在本文中��,我們將為廣大讀者諸君介紹美國思杰公司是如何借助對于應(yīng)用程序和數(shù)據(jù)在任何地點、網(wǎng)絡(luò)和設(shè)備的訪問控制�,以幫助企業(yè)客戶在實現(xiàn)風(fēng)險管控的同時,授權(quán)業(yè)務(wù)移動性的�。
現(xiàn)如今��,企業(yè)的IT和安全管理領(lǐng)導(dǎo)人們正面臨著將業(yè)務(wù)安全風(fēng)險降低到可接受的水平的同時��,確保易用性和生產(chǎn)力的挑戰(zhàn)�����。企業(yè)員工需要能夠以自己最為舒適的方式來工作 即能夠在任何地方���、借助任何網(wǎng)絡(luò)或設(shè)備順暢工作,而不會因任何過度的限制或復(fù)雜的用戶體驗感到沮喪�����。與此同時���,保護企業(yè)應(yīng)用程序和數(shù)據(jù)避免因安全威脅而發(fā)生泄露�����、防止丟失和被盜�����,并確保完全符合行業(yè)標(biāo)準和監(jiān)管法規(guī)也是必不可少的�。
思杰公司跨五大關(guān)鍵支柱為企業(yè)客戶提供了安全風(fēng)險管理方面的最佳實踐方案支持,這五大關(guān)鍵支柱分別為:身份和訪問���、網(wǎng)絡(luò)安全����、應(yīng)用程序安全���、數(shù)據(jù)安全、監(jiān)控和響應(yīng)��。該公司通過一款建立在保密性�、完整性和可用性基礎(chǔ)上的緊密集成整合的解決方案,使得其客戶能夠?qū)嵤┖凸芾磉@些關(guān)鍵措施���。
一個成熟的應(yīng)用程序交付模式將應(yīng)用程序和數(shù)據(jù)集中在數(shù)據(jù)中心��,并提供跨任何地點����、網(wǎng)絡(luò)和設(shè)備的訪問控制��。這樣一來���,企業(yè)員工�����、承包商和合作伙伴均可以靈活地選擇他們的工作方式��,無論是遠程���、移動設(shè)備或在辦公室�。終端到終端連接的可視化����,流量和用戶的活動讓IT能夠重點優(yōu)先解決隱私,合規(guī)性和風(fēng)險管理問題�����,而又不影響企業(yè)員工的工作效率��。與第三方安全供應(yīng)廠商的集成整合有助于實現(xiàn)先進的系統(tǒng)管理和身份識別����、端點和網(wǎng)絡(luò)保護。
在本文中��,我們將與廣大讀者朋友們共同探討關(guān)于解決關(guān)鍵用戶的工作效率和安全挑戰(zhàn)的最佳實踐方案,以及緊密集成的思杰解決方案如何使得企業(yè)客戶能夠在充分利用業(yè)務(wù)移動性的全部優(yōu)勢的同時���,管理安全風(fēng)險�。
在現(xiàn)代企業(yè)的安全生產(chǎn)能力
當(dāng)今企業(yè)所面對的安全挑戰(zhàn)正從兩個方面迅速增長�����,包括安全風(fēng)險水平的不斷升級加劇����,以及應(yīng)用程序的不斷演變和多樣化。與此同時���,現(xiàn)已成為任何一家企業(yè)組織機構(gòu)的關(guān)鍵能力的移動生產(chǎn)力 則取決于企業(yè)業(yè)務(wù)部門的用戶是否能夠隨時隨地便利的開展他們的工作,并能夠確保一致和可靠的工作體驗���。這一移動生產(chǎn)力必須擴展到他們所使用的每一類型的應(yīng)用程序����、任何網(wǎng)絡(luò)和任何設(shè)備���。即使在移動辦公的需求所帶來的復(fù)雜性日漸增長的情況下����,企業(yè)IT部門也必須為使其進一步簡化而繼續(xù)努力。
在思杰公司�,我們相信,一個良好的用戶體驗是與安全管理齊頭并進的���。我們的解決方案是建立在旨在保護企業(yè)客戶的數(shù)據(jù)�����、應(yīng)用程序和使用等事項的安全最佳實踐方案基礎(chǔ)之上的��,同時在每一個場景中為用戶提供自由的選擇和無縫的體驗����。這些措施包括:
身份和訪問
對所有用戶實施雙因素身份驗證
最小特權(quán)授權(quán)
基于用戶環(huán)境的訪問控制
網(wǎng)絡(luò)安全
移動用戶和第三方用戶安全的遠程訪問
網(wǎng)絡(luò)和主機分割����,以縮小攻擊范圍
采用多層的方法來確保可用性
應(yīng)用程序安全
應(yīng)用程序的集中化和加密交付
移動應(yīng)用程序集裝箱
Web應(yīng)用程序的檢查保護
數(shù)據(jù)安全
數(shù)據(jù)的集中化和托管交付
安全文件共享�����,以減少數(shù)據(jù)丟失
對傳輸過程中和靜態(tài)的數(shù)據(jù)采用集裝箱
監(jiān)控和響應(yīng)
應(yīng)用程序流量終端到終端的可視化
資源訪問的審查
遵守行業(yè)標(biāo)準和監(jiān)管法規(guī)
如下,我們將為大家就這些最佳實踐方案跨我們所有的產(chǎn)品對我們的安全管理方法的定義�����,以及客戶每天都會從其工作中體驗到這些解決方案所帶給他們的益處進行深度的剖析和探討��。包括:
思杰NetScaler產(chǎn)品的背景情況��,及其對于終端到終端的系統(tǒng)和用戶可視化的控制連接
思杰XenApp和XenDesktop在數(shù)據(jù)中心內(nèi)部對于應(yīng)用程序和桌面臺式機的集中管理
思杰XenMobile確保移動應(yīng)用程序和設(shè)備具備一個強大的用戶體驗
思杰ShareFile提供對于數(shù)據(jù)訪問���、存儲和在企業(yè)內(nèi)部部署及云環(huán)境的共享的的控制和審查
通過這種方式��,我們可以幫助企業(yè)客戶滿足他們的安全需求����,并實現(xiàn)業(yè)務(wù)目標(biāo)�����,而不會對生產(chǎn)力造成阻礙���。
身份和訪問
防止對于應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問是一項基本的安全要求�。各個級別的用戶,從業(yè)務(wù)人員到管理人員再到企業(yè)高管,通常都是網(wǎng)絡(luò)釣魚攻擊的目標(biāo)����。破壞性的操作行為是永遠都是由真實的電子郵件或打錯網(wǎng)址而造成的。由于現(xiàn)如今的網(wǎng)絡(luò)安全攻擊者們都專注于竊取身份憑據(jù)���,故而即使是再強大的���,經(jīng)常改變的密碼口令也不再足以能夠防止黑客攻破企業(yè)的安全措施,如數(shù)據(jù)庫加密了��。網(wǎng)絡(luò)攻擊者們只需盜竊到一個用戶名/密碼的組合就可以打開多個網(wǎng)站和服務(wù)了 某個人對于其社交媒體賬戶的不經(jīng)意的粗心動作就可以導(dǎo)致一家企業(yè)組織的旗艦產(chǎn)品或服務(wù)面臨安全的風(fēng)險��。對于用戶訪問的管理需要采用一種平衡的方法�,既能夠方便用戶的訪問,又要比采用一個簡單的用戶名和密碼組合更安全����。
身份驗證:對所有用戶要求雙因素認證
鑒于密碼對于網(wǎng)絡(luò)攻擊的脆弱性,故而對應(yīng)用程序和桌面臺式機的訪問采用雙因素身份驗證的方法對于企業(yè)實施有效的安全管理而言是至關(guān)重要的����。其原理是需要兩種不同形式的認證:其一是用戶知道的;第二,是該用戶所使用的�,諸如一個物理標(biāo)記(physical token)。這就為用戶被模擬帶來了一個顯著的障礙,即使主密碼已經(jīng)被泄露�����。作為這一部分的一個更高的級別水平��,認證也應(yīng)該被添加到本身不支持它的傳統(tǒng)遺留應(yīng)用程序����,而NetScaler和XenApp就提供了這一功能。
為了鼓勵用戶使用更強大的密碼��,同時減少用戶在操作過程中的混亂和麻煩��,企業(yè)的IT管理部門可以采用一系列更為無縫的登錄體驗的措施���,包括:
身份聯(lián)盟 – 采用第三方云服務(wù)可以要求用戶管理一組額外的憑據(jù)�。在各方之間通過公共網(wǎng)絡(luò)安全地共享身份驗證和授權(quán)數(shù)據(jù)�����,身份聯(lián)盟無需進行單獨登錄�。實際上���,企業(yè)客戶可以將對于諸如Microsoft Office365等服務(wù)的訪問與他們的用戶目錄結(jié)合起來����。如果某名員工從企業(yè)離職了,IT部門可以很容易地集中刪除其所有的訪問權(quán)限���,包括其對于所有第三方服務(wù)的訪問權(quán)限���,如同刪除其對企業(yè)內(nèi)部資源的訪問一樣容易。NetScaler和ShareFile兩款產(chǎn)品均支持SAML 這一常見的處理聯(lián)盟的標(biāo)準��。
單點登錄 – 在聯(lián)盟與非聯(lián)盟環(huán)境下��,單點登錄(SSO)可以通過無需多次輸入相同的憑據(jù)到多個系統(tǒng)��,來減少用戶登錄的麻煩�����。 NetScaler可支持常見的SSO機制���,包括基于表單的����,基于401和Kerberos強制委派(Kerberos Constrained Delegation,KCD)����,并且還可以保持認證會話cookie以提供通過一個網(wǎng)站、儀表板或門戶��,如微軟的SharePoint跨所有Web應(yīng)用程序訪問的SSO�。
授權(quán):使用上下文訪問控制實現(xiàn)最小特權(quán)授權(quán)
經(jīng)過了身份驗證的用戶應(yīng)該被授權(quán)僅僅只能訪問那些為了完成其工作所必需要用到的應(yīng)用程序、桌面臺式機和數(shù)據(jù) 其原則是授予最低的特權(quán)��,一旦該訪問特權(quán)不再需要�����,就要降低其被授予的特權(quán)�。按照類似的思路:
為了減少與惡意軟件相關(guān)的風(fēng)險,除非工作任務(wù)需要特權(quán)帳戶����,否則管理員們不應(yīng)該以管理員的身份登錄到工作站。而是應(yīng)該使用標(biāo)準的用戶憑證進行常規(guī)性的操作�,如查看電子郵件和瀏覽網(wǎng)頁。
應(yīng)用程序和服務(wù)應(yīng)該被配置為以盡可能少的特權(quán)來啟動����,而服務(wù)帳戶也應(yīng)該以所需要的最低的權(quán)限進行創(chuàng)建�����。
管理職責(zé)應(yīng)分開,以限制某個人所擁有的特權(quán)�����,并防止某個單一惡意的管理員能夠違反操作規(guī)定或隱瞞網(wǎng)絡(luò)攻擊��。
授權(quán)級別通常通過組成員關(guān)系與用戶身份進行綁定�,但是這種方法可能缺乏了對于每個用例所需要的粒度。面向任務(wù)的或基于位置的授權(quán)則更有效�,特別是對遠程訪問使用案例,如遠程辦公人員���、離岸外包人員和第三方的訪問�。結(jié)合基于角色的訪問機制�����,如Microsoft Active Directory��,使得NetScaler允許預(yù)定義訪問策略���,為組和用戶級別量身定制��。
訪問控制:通過端點驗證管理訪問權(quán)限
隨著企業(yè)組織充分利用生產(chǎn)力和諸如遠程辦公���、彈性工作等實踐方案所帶來的員工滿意度提升的益處���,他們也面臨著更細粒度的訪問控制的需要。安全管理策略可能需要允許不同級別的訪問��,這取決于一位既定的用戶是否正在企業(yè)網(wǎng)絡(luò)內(nèi)部或外部工作�����,以及企業(yè)內(nèi)部和第三方員工之間的區(qū)別��。多樣化的終端和BYOD趨勢的興起����,使得基于設(shè)備的訪問管理變得更加復(fù)雜。一些企業(yè)組織允許任何筆記本電腦���、臺式電腦����、手機或平板電腦訪問企業(yè)網(wǎng)絡(luò),有時甚至沒有任何形式的惡意軟件���、防病毒軟件或應(yīng)用程序限制方面的要求��。
思杰的最佳實踐方案要求基于用戶、設(shè)備����、地理位置、資源和操作等屬性的組合�����,提供對于應(yīng)用程序和數(shù)據(jù)的適當(dāng)水平的訪問��。授予訪問權(quán)限之前����,NetScaler將審查端點,以確保其健康狀況和在域成員�����、防病毒和惡意軟件保護方面的遵從一致性��。這種分析使得SmartAccess策略引擎能夠觸發(fā)基于 五個W的訪問 自適應(yīng)策略,即:誰�����、什么��、何時���、哪里�����、為什么(who, what, when, where and why)���。管理員們根據(jù)他們企業(yè)的安全策略有完整的靈活性來定義不同的訪問方案和相應(yīng)的規(guī)則,而用戶可以自由的采用任何設(shè)備來工作�。對于不符合的設(shè)備,用戶可以隔離和被授予對輔導(dǎo)網(wǎng)站和資源的有限制的訪問權(quán)限�����。
網(wǎng)絡(luò)安全
隨著移動性在現(xiàn)代企業(yè)中所發(fā)揮的作用越來越大���,使得遠程訪問成為了一項核心的IT功能 同時也日漸成為網(wǎng)絡(luò)攻擊者們尋求攻入企業(yè)組織網(wǎng)絡(luò)的主要載體�����。
網(wǎng)絡(luò)攻擊所帶來的后果可能是毀滅性的��。對于企業(yè)的某家業(yè)務(wù)合作伙伴的網(wǎng)絡(luò)的攻擊可能會直接導(dǎo)致對該企業(yè)組織本身的攻擊�����,使其為網(wǎng)絡(luò)惡意攻擊者提供一個薄弱環(huán)節(jié)���,并利用該薄弱環(huán)節(jié)作為一個網(wǎng)絡(luò)網(wǎng)關(guān)。一旦進入了企業(yè)網(wǎng)絡(luò)����,攻擊者們將尋求特權(quán)升級,然后向橫向移動到核心組件��,如域控制器�����。在一個高度公開的網(wǎng)絡(luò)漏洞���,攻擊者能夠從網(wǎng)絡(luò)存儲設(shè)備��,如銷售點直接登錄到核心網(wǎng)絡(luò)進行通信�����。在這一點上�,一個后門或遠程訪問木馬(RAT)連接到命令和控制(C2)服務(wù)器,使用一個外撥呼出電話到外部系統(tǒng)�,通常會有點困難。
免費的網(wǎng)絡(luò)Stressors工具和DDoS工具可以借助命令和控制在僵尸網(wǎng)絡(luò)中進行配置和控制��,如低軌道離子炮(Low Orbit Ion Cannon��,LOIC)����。更先進的工具包括以民族國家支持的 互聯(lián)網(wǎng)大炮(Internet Cannons) ,通過重寫HTTP請求導(dǎo)入洪水般的流量到目標(biāo)網(wǎng)站�,以武器化有效的互聯(lián)網(wǎng)用戶流量。
遠程訪問:要求企業(yè)員工和第三方安全的訪問
遠程訪問功能允許企業(yè)網(wǎng)絡(luò)外部的用戶也能夠訪問應(yīng)用程序�����、桌面臺式機和數(shù)據(jù)�����。而NetScaler統(tǒng)一網(wǎng)關(guān)就具備了這一允許、控制和保護這種訪問的作用����,其中包括:
將遠程訪問和單點登錄擴展到所有企業(yè)和云應(yīng)用程序
整合基礎(chǔ)設(shè)施以降低訪問方法的擴散
在其發(fā)送到后端應(yīng)用程序之前,作為一個反向代理網(wǎng)關(guān)攔截傳入的流量
提供一個單一的URL�,以整合一系列廣泛的現(xiàn)有解決方案,通過合并所需的功能�,以支持所有類型的訪問方案,包括移動性
一個完整的SSL VPN提供對于數(shù)據(jù)中心的一個直接的網(wǎng)絡(luò)連接����,便是這樣的一個場景。對于大多數(shù)的那些不需要一個完整的VPN的用戶而言�,NetScaler為XenApp提供了一個ICA代理�,連接托管的應(yīng)用程序和桌面臺式機到Citrix Receiver軟件。借助SSL VPN�����,所有在客戶端和數(shù)據(jù)中心之間傳輸?shù)臄?shù)據(jù)都是加密的����。這是對于包括PCI DSS在內(nèi)的高安全性的環(huán)境推薦的配置。一個URL為從任何設(shè)備遠程訪問到Web、SaaS和Citrix應(yīng)用程序��,并具備進行雙因素認證���、單點登錄和聯(lián)盟的能力���,為最終用戶提供了一個簡單的定位。
NetScaler簡化并集中化訪問控制�����,并通過提供一個單點配置和執(zhí)行實現(xiàn)可視化���。智能控制充當(dāng)一個ICA防火墻��,以集中訪問控制�,基于諸如客戶端設(shè)備操作系統(tǒng)和補丁級別����、以及是否安裝、運行和更新了殺毒軟件等參數(shù)��,管理邏輯授權(quán)�。功能也可以基于客戶端和服務(wù)器IP和端口以及用戶和組成員關(guān)系被封鎖攔住�。虛擬通道訪問��,如剪切和粘貼�����,映射�,客戶端驅(qū)動映射或打印,可以啟用每一款應(yīng)用程序�����,以提供正確的訪問權(quán)限級別���。
分割:部署網(wǎng)絡(luò)安全區(qū)域
分割通過定義安全區(qū)域�����,最大限度地減少對敏感的應(yīng)用程序和數(shù)據(jù)不必要的訪問����,將最小特權(quán)的規(guī)則擴展延伸到網(wǎng)絡(luò)和主機���。防火墻和網(wǎng)關(guān)限制流量到達它們各自的區(qū)域��,減少橫向移動和攻擊面��,以牽制網(wǎng)絡(luò)攻擊半徑�。
NetScaler支持的分割措施包括:
在隔離區(qū)(demilitarized zone�,DMZ)中進行驗證和客戶端代理的連接,以便在這一點上阻止畸形數(shù)據(jù)包和惡意請求
優(yōu)化����、復(fù)用和速率限制連接到后端服務(wù)器,以保護企業(yè)自己的資源
一款軟件定義的架構(gòu)使用虛擬化技術(shù)�����,以使得硬件平臺能夠安全地成為單獨的和獨特的實例�,每個實例具有獨立的SLA和分配的內(nèi)存、SSL���、CPU和虛擬網(wǎng)卡要么是共享的要么是專用的���。
NetScaler本身的分割架構(gòu)作為了一個關(guān)鍵的設(shè)計原則。
流量域為不同的應(yīng)用程序和租戶在一款單一設(shè)備上進入完全隔離的網(wǎng)絡(luò)環(huán)境進行流量分割�。
管理分區(qū)將個別NetScaler設(shè)備分割進入具備專用的管理和單獨的登錄UI界面、視圖���、配置文件和日志記錄的獨立資源 例如��,為思杰���、網(wǎng)絡(luò)和微軟應(yīng)用程序團隊使用應(yīng)用程序特定分區(qū)�����。
可用性:使用智能負載均衡和多層拒絕服務(wù)保護����。
可用性是硬件和軟件故障以及通過耗盡帶寬�����、計算和內(nèi)存資源擾亂服務(wù)的DDoS攻擊的日常挑戰(zhàn)�。
負載平衡是NetScaler的一個核心功能,跨多臺服務(wù)器托管的web應(yīng)用程序和內(nèi)容分配傳入的客戶端請求�����。這可以防止任何一臺服務(wù)器成為一個單一故障點��,并能夠充分利用優(yōu)化的方法�����,如最小連接或基于SNMP的指標(biāo)����,提高了應(yīng)用程序整體的可用性和響應(yīng)能力。 全局負載均衡GSBL(Global Server Load Balancing)為具有多個站點和地理分布服務(wù)的企業(yè)組織提供一個額外的保護��、故障轉(zhuǎn)移和優(yōu)化附加層��。作為其多層方法可用性的一部分����,NetScaler可還提供了:
DDoS防護 – NetScaler檢查客戶端連接和請求參數(shù),以防止洪水攻擊�����,如SYN���、UDP�、ICMP�、Smurf和Fraggle等, 等待代理連接����,直到一個有效的應(yīng)用程序的請求被提交����。
SSL/TLS卸載 – 通過代理�、驗證和限速連接(如果需要的話),NetScaler可以保護網(wǎng)絡(luò)服務(wù)免受諸如HeartBleed�、Shellshock和Poodle等瞄準SSL/TLS漏洞的攻擊。
浪涌保護和優(yōu)先級隊列 – NetScaler可通過緩存和優(yōu)先連接來緩解流量尖峰和浪涌所導(dǎo)致的后端服務(wù)器超負荷�����,然后將他們作為減少的服務(wù)器負載進行交付��,這樣就沒有流量會被丟棄���。NetScaler還可以為DNS服務(wù)器提供DNS保護�,并支持DNSSEC�����,以防止偽造和損壞的主機記錄蔓延到新的目標(biāo)�����。
應(yīng)用程序安全
所有類型的應(yīng)用程序都是流行的網(wǎng)絡(luò)攻擊開發(fā)目標(biāo)。即使安全研究人員在黑客發(fā)起攻擊之前發(fā)現(xiàn)了某個漏洞��,可能也需要幾個月的時間來打補丁或更新企業(yè)的系統(tǒng)�。即便如此�����,許多成功的網(wǎng)絡(luò)攻擊行為也在利用那些多年前已經(jīng)推出的補丁���,盡管有成熟的應(yīng)用程序交付模式已經(jīng)在及時的尋找�����、檢測和修復(fù)軟件漏洞的基礎(chǔ)上建立了相應(yīng)的流程����。
在移動設(shè)備上安裝應(yīng)用程序本身就面臨諸如不安全的數(shù)據(jù)存儲�����、不安全的數(shù)據(jù)傳輸和敏感數(shù)據(jù)泄漏等風(fēng)險����。而隨著智能手機和平板電腦迅速成為一個商業(yè)標(biāo)準����,個人和商業(yè)應(yīng)用程序之間的界限已經(jīng)變得模糊����,通過云存儲、社交網(wǎng)絡(luò)���、應(yīng)用程序或?qū)Φ染W(wǎng)絡(luò)之間泄露敏感和機密數(shù)據(jù)的風(fēng)險也進一步增加��。
由于糟糕的安全配置�、底層操作系統(tǒng)不完整的補丁管理���、編碼語言的漏洞���,或第三方未打補丁和零日漏洞,使得Web應(yīng)用程序是相當(dāng)脆弱的���。傳統(tǒng)遺留或不支持的應(yīng)用程序風(fēng)險攻擊通過篡改字段�、緩沖區(qū)溢出�����、或執(zhí)行命令注入和遠程代碼執(zhí)行。應(yīng)用程序?qū)庸暨h遠高于網(wǎng)絡(luò)防火墻和IDS/IPS所提供的控制���,其并不明白邏輯攻擊��。
集中化:虛擬化的應(yīng)用程序和加密交付要求
應(yīng)用程序虛擬化通過將應(yīng)用程序集中到數(shù)據(jù)中心���,并只允許該應(yīng)用程序的一個像素化表示到達終端 沒有實際的數(shù)據(jù)傳輸發(fā)生���,來保護敏感數(shù)據(jù)����。虛擬化還允許應(yīng)用程序根據(jù)它們的安全要求進行分類;敏感的應(yīng)用程序可以獨立在專用的服務(wù)器�����,在隔離的網(wǎng)絡(luò)分區(qū)具備不同的敏感性分類和限制��,可以發(fā)布Web瀏覽器的多個相互隔離的版本���,以解決Web應(yīng)用程序多樣化的安全和遺留要求�。IT獲得一個單點的可視化和控制,以針對一組或用戶級別定義和執(zhí)行訪問策略�。
為本地安裝的應(yīng)用程序所執(zhí)行的分散式安全配置和補丁管理是低效的且經(jīng)常不一致的。而借助在一個單一的主圖像上執(zhí)行集中化�、操作系統(tǒng)補丁、服務(wù)包�、熱修復(fù)以及應(yīng)用程序和配置更新,能夠加快測試和部署����。基于終端的攻擊�����,如內(nèi)存或內(nèi)存資料截取(RAM scraping)攻擊不再存在風(fēng)險�����。
思杰Receiver客戶端和XenApp服務(wù)器之間的功能和通信都通過虛擬通道為顯卡�、磁盤、COM端口���、LPT端口�、打印機�、音頻��、視頻和智能卡發(fā)生����,使用XenApp策略控制能夠保存�����、復(fù)制����、打印或遷移數(shù)據(jù)��。對于需要額外的保護層的企業(yè)組織而言��,NetScaler上的SmartControl實現(xiàn)了在網(wǎng)絡(luò)級別的過濾�����。加密被集成到通信流的每一個組件�,包括多層ICA和SSL/TLS。
容器化技術(shù):管理移動應(yīng)用程序�����,以防止數(shù)據(jù)丟失
思杰的移動應(yīng)用程序安全的最佳實踐方案是基于容器化技術(shù)(containerization),在設(shè)備級別的一種分割形式�����。用戶可以使用一款同時安裝了個人和商業(yè)應(yīng)用程序的單一的設(shè)備���,業(yè)務(wù)應(yīng)用程序和數(shù)據(jù)都由IT管理�����。硬件��、操作系統(tǒng)和個人應(yīng)用程序的安全性通過基于容器的安全措施得到了擴展�,這些安全措施包括加密的存儲和使用��,應(yīng)用程序到應(yīng)用程序的數(shù)據(jù)控制和數(shù)據(jù)擦除策略��。
在容器化技術(shù)方法的基礎(chǔ)上���,XenMobile使企業(yè)組織能夠?qū)崿F(xiàn)應(yīng)用程序的管理����、安全和控制以及數(shù)據(jù)和設(shè)置的集中化���。
微型VPN – XenMobile與NetScaler可為原生移動應(yīng)用程序提供專用的微型VPN隧道;較之其他的設(shè)備和微型VPN通信�����,在應(yīng)用程序和NetScaler的之間的SSL/TLS通信會話是加密保護的���,以確保內(nèi)部網(wǎng)絡(luò)上的資源不會被接觸到惡意軟件的個人應(yīng)用程序的流量所感染��。
設(shè)備驗證 – 由于單獨的集?容器化技術(shù)并不能確保一款已經(jīng)越獄或root過的設(shè)備裝置安裝盜版或未經(jīng)驗證的應(yīng)用程序的安全性 旨在獲取超級管理員身份的惡意軟件一般所通用的矢量 故而XenMobile將驗證設(shè)備狀態(tài)�����,并阻止越獄的設(shè)備進行設(shè)備注冊�����。
管理本機應(yīng)用程序 – 思杰移動業(yè)務(wù)生產(chǎn)力應(yīng)用程序,包括WorxMail和WorxWeb��,以加強在移動設(shè)備上的本機安裝的電子郵件和Web瀏覽器的安全和管理�。IT人員可以對在安全容器中沙盒執(zhí)行遠程管理、控制�、鎖定和選擇性的擦除,而不接觸設(shè)備上的個人數(shù)據(jù)或應(yīng)用程序��。
檢查:保護Web應(yīng)用程序,抵御網(wǎng)絡(luò)攻擊
Web應(yīng)用程序是黑客最為豐富的攻擊目標(biāo)��,為黑客們提供了一個高度脆弱的攻擊面�����,且直接連接到包含敏感的客戶和公司信息的數(shù)據(jù)庫�����。這種安全威脅往往是以此為目標(biāo)專門設(shè)計的��,使得通過網(wǎng)絡(luò)層的安全設(shè)備進行識別��,如入侵保護系統(tǒng)和網(wǎng)絡(luò)防火墻是不可能的�����。這使得Web應(yīng)用程序暴露于應(yīng)用程序?qū)拥囊阎暮土闳章┒垂?���。NetScaler AppFirewall通過為Web應(yīng)用程序和服務(wù)提供集中的、應(yīng)用層安全關(guān)閉了這一差距����。
基于注入缺陷的邏輯攻擊利用一款應(yīng)用程序的故障過濾用戶輸入����,如當(dāng)SQL注入是用來通過一款應(yīng)用程序傳遞任意命令被數(shù)據(jù)庫執(zhí)行���?���?缯灸_本攻擊(Cross Site Scripting���,XSS)使用Web應(yīng)用程序作為武器來攻擊其他用戶�����,再通過一個故障失敗以驗證輸入����。通過成為應(yīng)用程序的一部分���,有效載荷返回到受害者的瀏覽器,被視為代碼和處理�����,以執(zhí)行會話劫持或嘗試通過網(wǎng)絡(luò)釣魚盜竊憑據(jù)。
AppFirewall存儲自定義注入方式�,以保護所有類型的攻擊。
管理員可以使用字段格式的保護����,借助正則表達式來限制用戶的參數(shù);表單字段用于檢查一致性,以確認它們沒有被修改過��。
為了防止SQL注入��,AppFirewall檢查用于SQL關(guān)鍵詞和字符的組合要求�。
為了防止XSS攻擊動態(tài)的和上下文敏感的保護,AppFirewall查找類似于HTML標(biāo)記的輸入��,并檢查與允許HTML屬性和標(biāo)簽��,以檢測XSS腳本和攻擊�����。
由于Web應(yīng)用程序通常是DDoS攻擊的目標(biāo)�����,因此,保護必須超越網(wǎng)絡(luò)層和會話層的范疇����。NetScaler使用應(yīng)用程序級別的DDoS保護,以阻止或扼殺出現(xiàn)在網(wǎng)絡(luò)層的流量攻擊����。
HTTP DDoS保護挑戰(zhàn)客戶端的請求,以確保它們是來自有效的瀏覽器;來自腳本和程序的請求通常不能正確解答所面臨的挑戰(zhàn)����,并因此拒絕。
當(dāng)接收到一個POST請求時��,首先檢查一個有效的cookie��。如果不具備一個有效的cookie��,NetScaler發(fā)送一個JavaScript腳本到客戶端����,要求其用一個新的cookie重新發(fā)送信息,其將在4分鐘之后成為無效的信息�����。到客戶端的每個響應(yīng)都以新的Cookie發(fā)送���。在某個網(wǎng)絡(luò)病毒攻擊過程中�,所有預(yù)先發(fā)送的cookie變得無效���,且一個有cookie的錯誤頁面被發(fā)送��。新的連接以及不能提供有效的cookie的連接數(shù)據(jù)都放入一個低優(yōu)先級的隊列中�����。
AppFirewall強制正反兩方面的安全模型���,以確保正確的應(yīng)用程序行為。積極的安全模型理解好的應(yīng)用程序行為�����,并將所有其他流量作為惡意流量來對待 唯一的證明方式提供零日保護�,防止未公開的漏洞。管理員們可以創(chuàng)建管理異常���,并當(dāng)一款應(yīng)用程序的目的和法律行為可能導(dǎo)致違反默認的安全策略時�����,適當(dāng)放寬���。
使用一種消極的安全模型����,AppFirewall還使用上千個自動更新的簽名來執(zhí)行對已知安全攻擊的掃描����。先進的Web應(yīng)用程序防護配置文件添加會話感知保護,以保護動態(tài)元素���,如cookie�����、表單字段和特定會話的URL����。針對客戶端和服務(wù)器之間信任的攻擊被停止����。對于處理用戶特定內(nèi)容的任何應(yīng)用程序�,如電子商務(wù)網(wǎng)站而言����,這種保護是勢在必行的��。
數(shù)據(jù)安全
各種類型的數(shù)據(jù)�,包括法律文件、合同����、研發(fā)數(shù)據(jù)、市場營銷和銷售信息����、娛樂媒體或任何其他形式的知識產(chǎn)權(quán),都是企業(yè)組織的一筆重要的資產(chǎn)�����,必須加以保護���。近年來��,成千上萬已知的網(wǎng)絡(luò)安全攻擊已導(dǎo)致了數(shù)以百萬計的客戶和病人病歷損失����,許多都涵蓋個人驗證信息(PII,personally identifiable information)�,包括信用卡號碼、社會安全號碼����、出生日期、駕駛執(zhí)照���、地址�����、健康檔案����、學(xué)生檔案�����、政府和老兵記錄指紋和安全檢查(Security Clearance)數(shù)據(jù)����。
并非每一項違規(guī)行為都是由黑客攻擊��、惡意軟件和其他網(wǎng)絡(luò)攻擊所導(dǎo)致的結(jié)果����。其他方面的原因包括意外泄露����,黑客和惡意軟件,支付卡詐騙����,內(nèi)幕欺詐�,文件丟失,媒體的丟失����,以及移動和固定設(shè)備的丟失。普通用戶級的云存儲在用戶中變得普及是特別有問題的�����,將數(shù)據(jù)遷移到不受信任的網(wǎng)絡(luò)服務(wù)器����,會造成數(shù)據(jù)不受企業(yè)組織的控制���。
集中:集中、監(jiān)控和控制數(shù)據(jù)的出口
在虛擬化的環(huán)境中�,數(shù)據(jù)存儲在數(shù)據(jù)中心。應(yīng)用程序在服務(wù)器上執(zhí)行�����,只需點擊幾下鼠標(biāo)和敲擊鍵盤��,發(fā)送到用戶設(shè)備 而不是數(shù)據(jù) 減輕由終端丟失�����、被盜或被毀壞造成的數(shù)據(jù)丟失或泄漏��。企業(yè)組織可以通過阻止文件和數(shù)據(jù)庫傳送到工作站進一步防止大量的數(shù)據(jù)丟失����。
為了防止被保存到可移動介質(zhì)如USB驅(qū)動器,或在用戶之間通過電子郵件發(fā)送����,打印出來,或以其他方式暴露造成數(shù)據(jù)丟失或被盜,企業(yè)組織的IT部門可以采取集中管理的策略來控制用戶對于企業(yè)數(shù)據(jù)的保存����、復(fù)制、打印或以其他方式移動數(shù)據(jù)�����。設(shè)備管理政策���,進一步提高了數(shù)據(jù)的安全性���,包括:
通過阻止虛擬通道,如客戶端驅(qū)動器映射��、打印和復(fù)制/粘貼����,實現(xiàn)客戶端數(shù)據(jù)從應(yīng)用程序的分割�����。
定義文件夾重定向到用戶的 我的文檔 文件夾的映射到數(shù)據(jù)中心的中央文件存儲���。
限制文件存儲在哪里���,以防止終端的丟失�����,被盜或破壞��。
容器化技術(shù):對傳輸過程中和閑置狀態(tài)的數(shù)據(jù)加密
當(dāng)移動應(yīng)用程序本地運行時��,日期存儲在本地����,增加了數(shù)據(jù)泄漏和丟失的風(fēng)險���。 XenMobile則通過容器化技術(shù)和加密解決了不安全的移動數(shù)據(jù)存儲��。
借助容器化技術(shù)���,或應(yīng)用程序級別的分割,每款應(yīng)用程序的數(shù)據(jù)都存儲在其所執(zhí)行的容器中����,不能被其他地方的應(yīng)用程序訪問���。
IT人員可以在安全和隔離的容器內(nèi)的終端上對數(shù)據(jù)進行加密,防止數(shù)據(jù)丟失�。
BYOD策略的實施,使得分離個人和企業(yè)應(yīng)用程序及其相關(guān)數(shù)據(jù)成為了必須��,特別是考慮到數(shù)據(jù)在移動應(yīng)用程序之間的廣泛共享���,例如通過系統(tǒng)內(nèi)置的應(yīng)用程序�,如通訊錄����。XenMobile采用開放式管理來加強iOS數(shù)據(jù)的安全,允許企業(yè)IT部門能夠在托管和非托管的應(yīng)用程序之間控制數(shù)據(jù)流和訪問����。例如,管理員們可以通過使用非托管的應(yīng)用程序開放數(shù)據(jù)�����,創(chuàng)建一款應(yīng)用程序管理來限制用戶�,反之亦然�����。電子郵件附件只能在企業(yè)認可的應(yīng)用程序中被打開,并且連接到企業(yè)網(wǎng)站的鏈接被強制在一款安全的瀏覽器中打開����。
XenMobile為應(yīng)用程序數(shù)據(jù)采用了行業(yè)標(biāo)準的加密,無論其是在編譯過程中或是通過封裝技術(shù)�。所有的應(yīng)用程序數(shù)據(jù)被存儲在一款安全的容器中,對文件及該設(shè)備上嵌入式SQL技術(shù)均進行了加密�。在本地數(shù)據(jù)庫文件中存儲的數(shù)據(jù)則使用AES-256加密。
安全共享:啟用安全文件共享���,以減少數(shù)據(jù)丟失
鑒于用戶都在尋求高效的協(xié)作���,他們發(fā)現(xiàn)了在彼此之間分享數(shù)據(jù)阻力最小的路徑方式和借助第三方,包括沒有沒有可視化����,未經(jīng)IT部門批準或控制的影子IT解決方案。這將導(dǎo)致通過USB驅(qū)動器����,互聯(lián)網(wǎng)和個人云服務(wù)的數(shù)據(jù)蔓延和非安全的文件共享,而這些共享方式往往缺乏對數(shù)據(jù)泄露的基本或高級的控件�。企業(yè)員工可能轉(zhuǎn)向?qū)で蟛捎肍TP�����,其缺乏安全認證 以明文形式傳達的憑據(jù) 或者未加密的電子郵件���,甚至不小心將文件發(fā)送給企業(yè)組織內(nèi)部和外部的未授權(quán)的個人。
思杰通過內(nèi)置于ShareFile的每一級別等安全����,來解決文件安全共享方面的挑戰(zhàn):
認證 – 多個雙因素和兩步驗證方法,包括形式和基于token的認證����,以及短信,語音和備份代碼���。ShareFile還支持單點登錄身份驗證機制����,包括SAML�����,需要用戶首先對企業(yè)的身份提供者進行身份驗證���。
授權(quán) – 借助授權(quán)�,監(jiān)控和撤銷訪問的能力��,IT獲得了對于共享文件的可視化和控制��。對于額外的數(shù)據(jù)保護�,用戶自己可以在消息發(fā)出后讓文件鏈接過期報廢,并設(shè)置一個文件夾及其內(nèi)容刪除的日期�����。用戶和IT部門都可以在移動設(shè)備上對存儲在ShareFile上的數(shù)據(jù)和密碼執(zhí)行遠程擦除��,以防止數(shù)據(jù)丟失或被盜的情況�����。
審計 – ShareFile跟蹤和記錄所有用戶的活動����,包括數(shù)據(jù)訪問和數(shù)據(jù)共享,支持合規(guī)性要求����,并提供對于數(shù)據(jù)使用的可視化��。為了符合數(shù)據(jù)存儲在企業(yè)內(nèi)部部署環(huán)境的要求����,ShareFile允許企業(yè)使用ShareFile控制面板在數(shù)據(jù)中心進行文件管理和存儲��。
加密 – 每個文件在其被復(fù)制到其永久位置之前�,都采用了獨特的密鑰進行加密,并在下載到用戶的瀏覽器之前解密;加密密鑰不被存儲在文件本身所存儲的同一服務(wù)器上����,以確保對于存儲服務(wù)器的物理訪問不允許訪問存儲在那里的文件。ShareFile還提供了使用Microsoft Outlook加密的郵件��,以保護包含了郵件正文和附件的敏感信息����,并支持HIPAA,HITECH和CFPB等合規(guī)性��。
監(jiān)控和響應(yīng)
即使在最好的安全環(huán)境下��,想要百分百的防止高級可持續(xù)威脅的網(wǎng)絡(luò)安全攻擊也幾乎是不可能的��。這使得安全監(jiān)控和檢測絕對是關(guān)鍵的。企業(yè)組織必須對于網(wǎng)絡(luò)和應(yīng)用程序獲得更高的可視化��,使用日志收集��,分析和逐步升級;從明顯的信息中進行過濾;檢測異常連接的嘗試;并確定網(wǎng)絡(luò)攻擊和違規(guī)行為的指標(biāo)����,用來進行事件響應(yīng)���。
XenApp提供工具來支持對其基礎(chǔ)設(shè)施的端到端的監(jiān)控�����,包括綜合基礎(chǔ)設(shè)施監(jiān)控�、性能監(jiān)控���、事件監(jiān)控����,服務(wù)監(jiān)控和可用性監(jiān)測��。IT可以快速識別用戶體驗的下降和提升的根本原因分析�。明智的政策、嚴格執(zhí)行�����、深度監(jiān)測和報告、有效的安全保障�����、不妨礙用戶訪問��。
可見化:部署監(jiān)控�,以解決可用性和性能的退化
隨著應(yīng)用程序的數(shù)量和復(fù)雜性的增加,及其跨業(yè)務(wù)部門的應(yīng)用程序和以便用于監(jiān)控的工具���、技術(shù)部署的增加���,可見性的挑戰(zhàn)也在進一步增加。NetScaler提供一個中心點�,通過該中心點傳播所有的應(yīng)用程序的信息,實現(xiàn)了對于監(jiān)測的簡化�����。而這一設(shè)計的主要目的是允許負載均衡和SSL卸載的可擴展性和可用性����,這也是NetScaler的理想定位����,以便為使用任何加密類型的任何應(yīng)用程序解析Web和ICA流量��。然后這一流量的性能數(shù)據(jù)被發(fā)送到NetScaler洞察中心���,采用AppFlow來定義和提取可視化信息。
安全的洞察力可以幫助管理員使用內(nèi)置專業(yè)知識的自動化工具快速高效的集中在最相關(guān)的監(jiān)測數(shù)據(jù)方面:
確定可能會削弱您企業(yè)的安全狀況的配置模式和突出矛盾
解析NetScaler中的日志�,尋找可能存在危險的問題,為敏感性報告進行異常檢測
突出強調(diào)PCI合規(guī)性的任何問題��,使審計過程更加容易
對于用戶體驗監(jiān)控�,HDX Insight通過NetScaler提供對于ICA連接代理的終端到終端的可視性,以幫助IT解決性能問題���,如應(yīng)用程序或桌面臺式機的緩慢���。作為分類工具,NetScaler可幫助IT確定該問題是否是存在于客戶端��,服務(wù)器���,應(yīng)用程序或網(wǎng)絡(luò)�,并在ICA通道中提供了帶寬消耗,SmartControl和地理地圖信息的細節(jié)信息��。
Web洞察通過在AppFlow記錄上收集和提供分析流量報告�,提供了對于運行在Web或HTTP/S層的服務(wù)的可見性。一個中央儀表板跨所有維數(shù)����,從客戶端到后端應(yīng)用程序服務(wù)器,提供了應(yīng)用程序可視化信息�。能夠為用戶提供與用戶痛點相關(guān)的可見化的能力,有助于幫助他們排除故障��。
審查:整合記錄和報警��,以更快的檢測網(wǎng)絡(luò)攻擊和違規(guī)行為
定期對用戶訪問��,配置更改和帳戶管理日志進行�����,有助于通過早期捕獲到安全攻擊和違規(guī)指標(biāo)來進行安全威脅檢測�����。這些審查的內(nèi)容可以包括出站流量異常和大量的出站流量,不尋常的賬戶活動 尤其是特權(quán)帳戶���,以及失敗�����、不尋常位置的成功登錄����。這些數(shù)據(jù)還可以幫助IT作為清理不活躍賬戶的最佳實踐建議�。由于成功的入侵者經(jīng)常清理日志以推遲對其違規(guī)行為的檢測�����,日志文件應(yīng)存儲在系統(tǒng)外部�。
NetScaler審核為一系列實時和歷史行為提供了日志,包括:
驗證失敗和成功
授權(quán)失敗和成功
所有通過NetScaler的應(yīng)用程序流量的當(dāng)前����、超時和所有AAA會話
集中式訪問控制允許管理員在同一域和設(shè)備統(tǒng)一管理所有應(yīng)用程序,而無需為每款應(yīng)用程序使用單獨的控制�。
除了簡化和加快故障排除,跟蹤和報告對XenApp服務(wù)器群組(Server Farms)配置所做的更改的能力���,包括由誰����,什么時候進行的更改,有助于確保問責(zé)制和安全管理 尤其是在多位管理員執(zhí)行修改的環(huán)境下����。配置日志還捕獲變更管理的審計細節(jié),配置跟蹤和報告管理活動�。管理員可以記錄活躍的XenApp虛擬應(yīng)用程序和服務(wù)器托管的臺式機會話,基于用戶�����,應(yīng)用程序或服務(wù)器��。然后在取證分析或需要參考時歸檔記錄�����。
合規(guī)性:通過注重架構(gòu)設(shè)計����,減少審計范圍
嚴格遵守高標(biāo)準的加密一直是政府監(jiān)管機構(gòu)的要求,并符合FIPS也正迅速成為商業(yè)領(lǐng)域感興趣的話題���,而包括銀行�����、信用卡機構(gòu)�����、醫(yī)療機構(gòu)等也在積極的尋求盡量確保其數(shù)據(jù)中心內(nèi)的流量的安全��。
XenApp和XenDesktop提供了HDX協(xié)議的本地FIPS 140-2合規(guī)性����,以提供在虛擬環(huán)境中最高水平的數(shù)據(jù)訪問安全性。所有連接虛擬應(yīng)用程序和桌面臺式機的用戶都是使用NIST授權(quán)的FIPS 140-2驗證模塊加密的�����。NetScaler的集成甚至為一個更高水平的信息保障與硬件設(shè)備提供了FIPS 140-2第2級合規(guī)性��。數(shù)據(jù)集中���,托管交付和遠程顯示將PCI數(shù)據(jù)限制到一個小的,受保護的空間��,比在整個內(nèi)部網(wǎng)絡(luò)能夠?qū)嵤└耆行У膶徍恕?/p>
XenApp��,XenDesktop和NetScaler也構(gòu)成了唯一的滿足通用標(biāo)準認證的一項ISO標(biāo)準的軟件安全功能評估認證����、訪問控制、管理和安全通信的端到端的應(yīng)用程序和桌面臺式機交付解決方案�����。
結(jié)論
現(xiàn)代企業(yè)的員工呼吁更深入�����,更全面的安全�����,以確保企業(yè)數(shù)據(jù)的安全�����,人們希望能夠在任何地理位置����、采用任何設(shè)備����,任何訪問方法都能夠順利的工作����。思杰公司的最佳實踐方案建立在一個充分的保密性、完整性和可用性的基礎(chǔ)之上�,包括身份和訪問、網(wǎng)絡(luò)安全����、應(yīng)用程序安全、數(shù)據(jù)安全�、監(jiān)控和響應(yīng)等一系列的安全措施,確保每個用戶在其工作情況下的安全保護和生產(chǎn)力���。欲了解更多關(guān)于通過緊密集成的思杰解決方案來確保企業(yè)安全生產(chǎn)的詳細信息��,請訪問思杰公司官方網(wǎng)站。
