在本文中,我們將為廣大讀者諸君介紹美國思杰公司是如何借助對于應用程序和數(shù)據(jù)在任何地點、網(wǎng)絡和設備的訪問控制,以幫助企業(yè)客戶在實現(xiàn)風險管控的同時,授權業(yè)務移動性的。
現(xiàn)如今,企業(yè)的IT和安全管理領導人們正面臨著將業(yè)務安全風險降低到可接受的水平的同時,確保易用性和生產力的挑戰(zhàn)。企業(yè)員工需要能夠以自己最為舒適的方式來工作——即能夠在任何地方、借助任何網(wǎng)絡或設備順暢工作,而不會因任何過度的限制或復雜的用戶體驗感到沮喪。與此同時,保護企業(yè)應用程序和數(shù)據(jù)避免因安全威脅而發(fā)生泄露、防止丟失和被盜,并確保完全符合行業(yè)標準和監(jiān)管法規(guī)也是必不可少的。
思杰公司跨五大關鍵支柱為企業(yè)客戶提供了安全風險管理方面的最佳實踐方案支持,這五大關鍵支柱分別為:身份和訪問、網(wǎng)絡安全、應用程序安全、數(shù)據(jù)安全、監(jiān)控和響應。該公司通過一款建立在保密性、完整性和可用性基礎上的緊密集成整合的解決方案,使得其客戶能夠實施和管理這些關鍵措施。
一個成熟的應用程序交付模式將應用程序和數(shù)據(jù)集中在數(shù)據(jù)中心,并提供跨任何地點、網(wǎng)絡和設備的訪問控制。這樣一來,企業(yè)員工、承包商和合作伙伴均可以靈活地選擇他們的工作方式,無論是遠程、移動設備或在辦公室。終端到終端連接的可視化,流量和用戶的活動讓IT能夠重點優(yōu)先解決隱私,合規(guī)性和風險管理問題,而又不影響企業(yè)員工的工作效率。與第三方安全供應廠商的集成整合有助于實現(xiàn)先進的系統(tǒng)管理和身份識別、端點和網(wǎng)絡保護。
在本文中,我們將與廣大讀者朋友們共同探討關于解決關鍵用戶的工作效率和安全挑戰(zhàn)的最佳實踐方案,以及緊密集成的思杰解決方案如何使得企業(yè)客戶能夠在充分利用業(yè)務移動性的全部優(yōu)勢的同時,管理安全風險。
在現(xiàn)代企業(yè)的安全生產能力
當今企業(yè)所面對的安全挑戰(zhàn)正從兩個方面迅速增長,包括安全風險水平的不斷升級加劇,以及應用程序的不斷演變和多樣化。與此同時,現(xiàn)已成為任何一家企業(yè)組織機構的關鍵能力的移動生產力——則取決于企業(yè)業(yè)務部門的用戶是否能夠隨時隨地便利的開展他們的工作,并能夠確保一致和可靠的工作體驗。這一移動生產力必須擴展到他們所使用的每一類型的應用程序、任何網(wǎng)絡和任何設備。即使在移動辦公的需求所帶來的復雜性日漸增長的情況下,企業(yè)IT部門也必須為使其進一步簡化而繼續(xù)努力。
在思杰公司,我們相信,一個良好的用戶體驗是與安全管理齊頭并進的。我們的解決方案是建立在旨在保護企業(yè)客戶的數(shù)據(jù)、應用程序和使用等事項的安全最佳實踐方案基礎之上的,同時在每一個場景中為用戶提供自由的選擇和無縫的體驗。這些措施包括:
身份和訪問
·對所有用戶實施雙因素身份驗證
·最小特權授權
·基于用戶環(huán)境的訪問控制
網(wǎng)絡安全
·移動用戶和第三方用戶安全的遠程訪問
·網(wǎng)絡和主機分割,以縮小攻擊范圍
·采用多層的方法來確保可用性
應用程序安全
·應用程序的集中化和加密交付
·移動應用程序集裝箱
·Web應用程序的檢查保護
數(shù)據(jù)安全
·數(shù)據(jù)的集中化和托管交付
·安全文件共享,以減少數(shù)據(jù)丟失
·對傳輸過程中和靜態(tài)的數(shù)據(jù)采用集裝箱
監(jiān)控和響應
·應用程序流量終端到終端的可視化
·資源訪問的審查
·遵守行業(yè)標準和監(jiān)管法規(guī)
如下,我們將為大家就這些最佳實踐方案跨我們所有的產品對我們的安全管理方法的定義,以及客戶每天都會從其工作中體驗到這些解決方案所帶給他們的益處進行深度的剖析和探討。包括:
·思杰NetScaler產品的背景情況,及其對于終端到終端的系統(tǒng)和用戶可視化的控制連接
·思杰XenApp和XenDesktop在數(shù)據(jù)中心內部對于應用程序和桌面臺式機的集中管理
·思杰XenMobile確保移動應用程序和設備具備一個強大的用戶體驗
·思杰ShareFile提供對于數(shù)據(jù)訪問、存儲和在企業(yè)內部部署及云環(huán)境的共享的的控制和審查
通過這種方式,我們可以幫助企業(yè)客戶滿足他們的安全需求,并實現(xiàn)業(yè)務目標,而不會對生產力造成阻礙。
身份和訪問
防止對于應用程序、數(shù)據(jù)和網(wǎng)絡的未經(jīng)授權的訪問是一項基本的安全要求。各個級別的用戶,從業(yè)務人員到管理人員再到企業(yè)高管,通常都是網(wǎng)絡釣魚攻擊的目標。破壞性的操作行為是永遠都是由真實的電子郵件或打錯網(wǎng)址而造成的。由于現(xiàn)如今的網(wǎng)絡安全攻擊者們都專注于竊取身份憑據(jù),故而即使是再強大的,經(jīng)常改變的密碼口令也不再足以能夠防止黑客攻破企業(yè)的安全措施,如數(shù)據(jù)庫加密了。網(wǎng)絡攻擊者們只需盜竊到一個用戶名/密碼的組合就可以打開多個網(wǎng)站和服務了——某個人對于其社交媒體賬戶的不經(jīng)意的粗心動作就可以導致一家企業(yè)組織的旗艦產品或服務面臨安全的風險。對于用戶訪問的管理需要采用一種平衡的方法,既能夠方便用戶的訪問,又要比采用一個簡單的用戶名和密碼組合更安全。
身份驗證:對所有用戶要求雙因素認證
鑒于密碼對于網(wǎng)絡攻擊的脆弱性,故而對應用程序和桌面臺式機的訪問采用雙因素身份驗證的方法對于企業(yè)實施有效的安全管理而言是至關重要的。其原理是需要兩種不同形式的認證:其一是用戶知道的;第二,是該用戶所使用的,諸如一個物理標記(physical token)。這就為用戶被模擬帶來了一個顯著的障礙,即使主密碼已經(jīng)被泄露。作為這一部分的一個更高的級別水平,認證也應該被添加到本身不支持它的傳統(tǒng)遺留應用程序,而NetScaler和XenApp就提供了這一功能。
為了鼓勵用戶使用更強大的密碼,同時減少用戶在操作過程中的混亂和麻煩,企業(yè)的IT管理部門可以采用一系列更為無縫的登錄體驗的措施,包括:
·身份聯(lián)盟 - 采用第三方云服務可以要求用戶管理一組額外的憑據(jù)。在各方之間通過公共網(wǎng)絡安全地共享身份驗證和授權數(shù)據(jù),身份聯(lián)盟無需進行單獨登錄。實際上,企業(yè)客戶可以將對于諸如Microsoft Office365等服務的訪問與他們的用戶目錄結合起來。如果某名員工從企業(yè)離職了,IT部門可以很容易地集中刪除其所有的訪問權限,包括其對于所有第三方服務的訪問權限,如同刪除其對企業(yè)內部資源的訪問一樣容易。NetScaler和ShareFile兩款產品均支持SAML——這一常見的處理聯(lián)盟的標準。
·單點登錄 - 在聯(lián)盟與非聯(lián)盟環(huán)境下,單點登錄(SSO)可以通過無需多次輸入相同的憑據(jù)到多個系統(tǒng),來減少用戶登錄的麻煩。 NetScaler可支持常見的SSO機制,包括基于表單的,基于401和Kerberos強制委派(Kerberos Constrained Delegation,KCD),并且還可以保持認證會話cookie以提供通過一個網(wǎng)站、儀表板或門戶,如微軟的SharePoint跨所有Web應用程序訪問的SSO。
授權:使用上下文訪問控制實現(xiàn)最小特權授權
經(jīng)過了身份驗證的用戶應該被授權僅僅只能訪問那些為了完成其工作所必需要用到的應用程序、桌面臺式機和數(shù)據(jù)——其原則是授予最低的特權,一旦該訪問特權不再需要,就要降低其被授予的特權。按照類似的思路:
·為了減少與惡意軟件相關的風險,除非工作任務需要特權帳戶,否則管理員們不應該以管理員的身份登錄到工作站。而是應該使用標準的用戶憑證進行常規(guī)性的操作,如查看電子郵件和瀏覽網(wǎng)頁。
·應用程序和服務應該被配置為以盡可能少的特權來啟動,而服務帳戶也應該以所需要的最低的權限進行創(chuàng)建。
·管理職責應分開,以限制某個人所擁有的特權,并防止某個單一惡意的管理員能夠違反操作規(guī)定或隱瞞網(wǎng)絡攻擊。
授權級別通常通過組成員關系與用戶身份進行綁定,但是這種方法可能缺乏了對于每個用例所需要的粒度。面向任務的或基于位置的授權則更有效,特別是對遠程訪問使用案例,如遠程辦公人員、離岸外包人員和第三方的訪問。結合基于角色的訪問機制,如Microsoft Active Directory,使得NetScaler允許預定義訪問策略,為組和用戶級別量身定制。
訪問控制:通過端點驗證管理訪問權限
隨著企業(yè)組織充分利用生產力和諸如遠程辦公、彈性工作等實踐方案所帶來的員工滿意度提升的益處,他們也面臨著更細粒度的訪問控制的需要。安全管理策略可能需要允許不同級別的訪問,這取決于一位既定的用戶是否正在企業(yè)網(wǎng)絡內部或外部工作,以及企業(yè)內部和第三方員工之間的區(qū)別。多樣化的終端和BYOD趨勢的興起,使得基于設備的訪問管理變得更加復雜。一些企業(yè)組織允許任何筆記本電腦、臺式電腦、手機或平板電腦訪問企業(yè)網(wǎng)絡,有時甚至沒有任何形式的惡意軟件、防病毒軟件或應用程序限制方面的要求。
思杰的最佳實踐方案要求基于用戶、設備、地理位置、資源和操作等屬性的組合,提供對于應用程序和數(shù)據(jù)的適當水平的訪問。授予訪問權限之前,NetScaler將審查端點,以確保其健康狀況和在域成員、防病毒和惡意軟件保護方面的遵從一致性。這種分析使得SmartAccess策略引擎能夠觸發(fā)基于“五個W的訪問”自適應策略,即:誰、什么、何時、哪里、為什么(who, what, when, where and why)。管理員們根據(jù)他們企業(yè)的安全策略有完整的靈活性來定義不同的訪問方案和相應的規(guī)則,而用戶可以自由的采用任何設備來工作。對于不符合的設備,用戶可以隔離和被授予對輔導網(wǎng)站和資源的有限制的訪問權限。
網(wǎng)絡安全
隨著移動性在現(xiàn)代企業(yè)中所發(fā)揮的作用越來越大,使得遠程訪問成為了一項核心的IT功能——同時也日漸成為網(wǎng)絡攻擊者們尋求攻入企業(yè)組織網(wǎng)絡的主要載體。
網(wǎng)絡攻擊所帶來的后果可能是毀滅性的。對于企業(yè)的某家業(yè)務合作伙伴的網(wǎng)絡的攻擊可能會直接導致對該企業(yè)組織本身的攻擊,使其為網(wǎng)絡惡意攻擊者提供一個薄弱環(huán)節(jié),并利用該薄弱環(huán)節(jié)作為一個網(wǎng)絡網(wǎng)關。一旦進入了企業(yè)網(wǎng)絡,攻擊者們將尋求特權升級,然后向橫向移動到核心組件,如域控制器。在一個高度公開的網(wǎng)絡漏洞,攻擊者能夠從網(wǎng)絡存儲設備,如銷售點直接登錄到核心網(wǎng)絡進行通信。在這一點上,一個后門或遠程訪問木馬(RAT)連接到命令和控制(C2)服務器,使用一個外撥呼出電話到外部系統(tǒng),通常會有點困難。
免費的網(wǎng)絡Stressors工具和DDoS工具可以借助命令和控制在僵尸網(wǎng)絡中進行配置和控制,如低軌道離子炮(Low Orbit Ion Cannon,LOIC)。更先進的工具包括以民族國家支持的“互聯(lián)網(wǎng)大炮(Internet Cannons)”,通過重寫HTTP請求導入洪水般的流量到目標網(wǎng)站,以武器化有效的互聯(lián)網(wǎng)用戶流量。
遠程訪問:要求企業(yè)員工和第三方安全的訪問
遠程訪問功能允許企業(yè)網(wǎng)絡外部的用戶也能夠訪問應用程序、桌面臺式機和數(shù)據(jù)。而NetScaler統(tǒng)一網(wǎng)關就具備了這一允許、控制和保護這種訪問的作用,其中包括:
·將遠程訪問和單點登錄擴展到所有企業(yè)和云應用程序
·整合基礎設施以降低訪問方法的擴散
·在其發(fā)送到后端應用程序之前,作為一個反向代理網(wǎng)關攔截傳入的流量
·提供一個單一的URL,以整合一系列廣泛的現(xiàn)有解決方案,通過合并所需的功能,以支持所有類型的訪問方案,包括移動性
一個完整的SSL VPN提供對于數(shù)據(jù)中心的一個直接的網(wǎng)絡連接,便是這樣的一個場景。對于大多數(shù)的那些不需要一個完整的VPN的用戶而言,NetScaler為XenApp提供了一個ICA代理,連接托管的應用程序和桌面臺式機到Citrix Receiver軟件。借助SSL VPN,所有在客戶端和數(shù)據(jù)中心之間傳輸?shù)臄?shù)據(jù)都是加密的。這是對于包括PCI DSS在內的高安全性的環(huán)境推薦的配置。一個URL為從任何設備遠程訪問到Web、SaaS和Citrix應用程序,并具備進行雙因素認證、單點登錄和聯(lián)盟的能力,為最終用戶提供了一個簡單的定位。
NetScaler簡化并集中化訪問控制,并通過提供一個單點配置和執(zhí)行實現(xiàn)可視化。智能控制充當一個ICA防火墻,以集中訪問控制,基于諸如客戶端設備操作系統(tǒng)和補丁級別、以及是否安裝、運行和更新了殺毒軟件等參數(shù),管理邏輯授權。功能也可以基于客戶端和服務器IP和端口以及用戶和組成員關系被封鎖攔住。虛擬通道訪問,如剪切和粘貼,映射,客戶端驅動映射或打印,可以啟用每一款應用程序,以提供正確的訪問權限級別。
分割:部署網(wǎng)絡安全區(qū)域
分割通過定義安全區(qū)域,最大限度地減少對敏感的應用程序和數(shù)據(jù)不必要的訪問,將最小特權的規(guī)則擴展延伸到網(wǎng)絡和主機。防火墻和網(wǎng)關限制流量到達它們各自的區(qū)域,減少橫向移動和攻擊面,以牽制網(wǎng)絡攻擊半徑。
NetScaler支持的分割措施包括:
·在隔離區(qū)(demilitarized zone,DMZ)中進行驗證和客戶端代理的連接,以便在這一點上阻止畸形數(shù)據(jù)包和惡意請求
·優(yōu)化、復用和速率限制連接到后端服務器,以保護企業(yè)自己的資源
·一款軟件定義的架構使用虛擬化技術,以使得硬件平臺能夠安全地成為單獨的和獨特的實例,每個實例具有獨立的SLA和分配的內存、SSL、CPU和虛擬網(wǎng)卡要么是共享的要么是專用的。
NetScaler本身的分割架構作為了一個關鍵的設計原則。
·流量域為不同的應用程序和租戶在一款單一設備上進入完全隔離的網(wǎng)絡環(huán)境進行流量分割。
·管理分區(qū)將個別NetScaler設備分割進入具備專用的管理和單獨的登錄UI界面、視圖、配置文件和日志記錄的獨立資源——例如,為思杰、網(wǎng)絡和微軟應用程序團隊使用應用程序特定分區(qū)。
可用性:使用智能負載均衡和多層拒絕服務保護。
可用性是硬件和軟件故障以及通過耗盡帶寬、計算和內存資源擾亂服務的DDoS攻擊的日常挑戰(zhàn)。
負載平衡是NetScaler的一個核心功能,跨多臺服務器托管的web應用程序和內容分配傳入的客戶端請求。這可以防止任何一臺服務器成為一個單一故障點,并能夠充分利用優(yōu)化的方法,如最小連接或基于SNMP的指標,提高了應用程序整體的可用性和響應能力。 全局負載均衡GSBL(Global Server Load Balancing)為具有多個站點和地理分布服務的企業(yè)組織提供一個額外的保護、故障轉移和優(yōu)化附加層。作為其多層方法可用性的一部分,NetScaler可還提供了:
·DDoS防護 - NetScaler檢查客戶端連接和請求參數(shù),以防止洪水攻擊,如SYN、UDP、ICMP、Smurf和Fraggle等, 等待代理連接,直到一個有效的應用程序的請求被提交。
·SSL/TLS卸載 - 通過代理、驗證和限速連接(如果需要的話),NetScaler可以保護網(wǎng)絡服務免受諸如HeartBleed、Shellshock和Poodle等瞄準SSL/TLS漏洞的攻擊。
·浪涌保護和優(yōu)先級隊列 - NetScaler可通過緩存和優(yōu)先連接來緩解流量尖峰和浪涌所導致的后端服務器超負荷,然后將他們作為減少的服務器負載進行交付,這樣就沒有流量會被丟棄。NetScaler還可以為DNS服務器提供DNS保護,并支持DNSSEC,以防止偽造和損壞的主機記錄蔓延到新的目標。
應用程序安全
所有類型的應用程序都是流行的網(wǎng)絡攻擊開發(fā)目標。即使安全研究人員在黑客發(fā)起攻擊之前發(fā)現(xiàn)了某個漏洞,可能也需要幾個月的時間來打補丁或更新企業(yè)的系統(tǒng)。即便如此,許多成功的網(wǎng)絡攻擊行為也在利用那些多年前已經(jīng)推出的補丁,盡管有成熟的應用程序交付模式已經(jīng)在及時的尋找、檢測和修復軟件漏洞的基礎上建立了相應的流程。
在移動設備上安裝應用程序本身就面臨諸如不安全的數(shù)據(jù)存儲、不安全的數(shù)據(jù)傳輸和敏感數(shù)據(jù)泄漏等風險。而隨著智能手機和平板電腦迅速成為一個商業(yè)標準,個人和商業(yè)應用程序之間的界限已經(jīng)變得模糊,通過云存儲、社交網(wǎng)絡、應用程序或對等網(wǎng)絡之間泄露敏感和機密數(shù)據(jù)的風險也進一步增加。
由于糟糕的安全配置、底層操作系統(tǒng)不完整的補丁管理、編碼語言的漏洞,或第三方未打補丁和零日漏洞,使得Web應用程序是相當脆弱的。傳統(tǒng)遺留或不支持的應用程序風險攻擊通過篡改字段、緩沖區(qū)溢出、或執(zhí)行命令注入和遠程代碼執(zhí)行。應用程序層攻擊遠遠高于網(wǎng)絡防火墻和IDS/IPS所提供的控制,其并不明白邏輯攻擊。
集中化:虛擬化的應用程序和加密交付要求
應用程序虛擬化通過將應用程序集中到數(shù)據(jù)中心,并只允許該應用程序的一個像素化表示到達終端——沒有實際的數(shù)據(jù)傳輸發(fā)生,來保護敏感數(shù)據(jù)。虛擬化還允許應用程序根據(jù)它們的安全要求進行分類;敏感的應用程序可以獨立在專用的服務器,在隔離的網(wǎng)絡分區(qū)具備不同的敏感性分類和限制,可以發(fā)布Web瀏覽器的多個相互隔離的版本,以解決Web應用程序多樣化的安全和遺留要求。IT獲得一個單點的可視化和控制,以針對一組或用戶級別定義和執(zhí)行訪問策略。
為本地安裝的應用程序所執(zhí)行的分散式安全配置和補丁管理是低效的且經(jīng)常不一致的。而借助在一個單一的主圖像上執(zhí)行集中化、操作系統(tǒng)補丁、服務包、熱修復以及應用程序和配置更新,能夠加快測試和部署。基于終端的攻擊,如內存或內存資料截取(RAM scraping)攻擊不再存在風險。
思杰Receiver客戶端和XenApp服務器之間的功能和通信都通過虛擬通道為顯卡、磁盤、COM端口、LPT端口、打印機、音頻、視頻和智能卡發(fā)生,使用XenApp策略控制能夠保存、復制、打印或遷移數(shù)據(jù)。對于需要額外的保護層的企業(yè)組織而言,NetScaler上的SmartControl實現(xiàn)了在網(wǎng)絡級別的過濾。加密被集成到通信流的每一個組件,包括多層ICA和SSL/TLS。
容器化技術:管理移動應用程序,以防止數(shù)據(jù)丟失
思杰的移動應用程序安全的最佳實踐方案是基于容器化技術(containerization),在設備級別的一種分割形式。用戶可以使用一款同時安裝了個人和商業(yè)應用程序的單一的設備,業(yè)務應用程序和數(shù)據(jù)都由IT管理。硬件、操作系統(tǒng)和個人應用程序的安全性通過基于容器的安全措施得到了擴展,這些安全措施包括加密的存儲和使用,應用程序到應用程序的數(shù)據(jù)控制和數(shù)據(jù)擦除策略。
在容器化技術方法的基礎上,XenMobile使企業(yè)組織能夠實現(xiàn)應用程序的管理、安全和控制以及數(shù)據(jù)和設置的集中化。
·微型VPN - XenMobile與NetScaler可為原生移動應用程序提供專用的微型VPN隧道;較之其他的設備和微型VPN通信,在應用程序和NetScaler的之間的SSL/TLS通信會話是加密保護的,以確保內部網(wǎng)絡上的資源不會被接觸到惡意軟件的個人應用程序的流量所感染。
·設備驗證 - 由于單獨的集 容器化技術并不能確保一款已經(jīng)越獄或root過的設備裝置安裝盜版或未經(jīng)驗證的應用程序的安全性——旨在獲取超級管理員身份的惡意軟件一般所通用的矢量——故而XenMobile將驗證設備狀態(tài),并阻止越獄的設備進行設備注冊。
·管理本機應用程序 - 思杰移動業(yè)務生產力應用程序,包括WorxMail和WorxWeb,以加強在移動設備上的本機安裝的電子郵件和Web瀏覽器的安全和管理。IT人員可以對在安全容器中沙盒執(zhí)行遠程管理、控制、鎖定和選擇性的擦除,而不接觸設備上的個人數(shù)據(jù)或應用程序。
檢查:保護Web應用程序,抵御網(wǎng)絡攻擊
Web應用程序是黑客最為豐富的攻擊目標,為黑客們提供了一個高度脆弱的攻擊面,且直接連接到包含敏感的客戶和公司信息的數(shù)據(jù)庫。這種安全威脅往往是以此為目標專門設計的,使得通過網(wǎng)絡層的安全設備進行識別,如入侵保護系統(tǒng)和網(wǎng)絡防火墻是不可能的。這使得Web應用程序暴露于應用程序層的已知的和零日漏洞攻擊。NetScaler AppFirewall通過為Web應用程序和服務提供集中的、應用層安全關閉了這一差距。
基于注入缺陷的邏輯攻擊利用一款應用程序的故障過濾用戶輸入,如當SQL注入是用來通過一款應用程序傳遞任意命令被數(shù)據(jù)庫執(zhí)行。跨站腳本攻擊(Cross Site Scripting,XSS)使用Web應用程序作為武器來攻擊其他用戶,再通過一個故障失敗以驗證輸入。通過成為應用程序的一部分,有效載荷返回到受害者的瀏覽器,被視為代碼和處理,以執(zhí)行會話劫持或嘗試通過網(wǎng)絡釣魚盜竊憑據(jù)。
AppFirewall存儲自定義注入方式,以保護所有類型的攻擊。
·管理員可以使用字段格式的保護,借助正則表達式來限制用戶的參數(shù);表單字段用于檢查一致性,以確認它們沒有被修改過。
·為了防止SQL注入,AppFirewall檢查用于SQL關鍵詞和字符的組合要求。
·為了防止XSS攻擊動態(tài)的和上下文敏感的保護,AppFirewall查找類似于HTML標記的輸入,并檢查與允許HTML屬性和標簽,以檢測XSS腳本和攻擊。
由于Web應用程序通常是DDoS攻擊的目標,因此,保護必須超越網(wǎng)絡層和會話層的范疇。NetScaler使用應用程序級別的DDoS保護,以阻止或扼殺出現(xiàn)在網(wǎng)絡層的流量攻擊。
·HTTP DDoS保護挑戰(zhàn)客戶端的請求,以確保它們是來自有效的瀏覽器;來自腳本和程序的請求通常不能正確解答所面臨的挑戰(zhàn),并因此拒絕。
·當接收到一個POST請求時,首先檢查一個有效的cookie。如果不具備一個有效的cookie,NetScaler發(fā)送一個JavaScript腳本到客戶端,要求其用一個新的cookie重新發(fā)送信息,其將在4分鐘之后成為無效的信息。到客戶端的每個響應都以新的Cookie發(fā)送。在某個網(wǎng)絡病毒攻擊過程中,所有預先發(fā)送的cookie變得無效,且一個有cookie的錯誤頁面被發(fā)送。新的連接以及不能提供有效的cookie的連接數(shù)據(jù)都放入一個低優(yōu)先級的隊列中。
AppFirewall強制正反兩方面的安全模型,以確保正確的應用程序行為。積極的安全模型理解好的應用程序行為,并將所有其他流量作為惡意流量來對待——唯一的證明方式提供零日保護,防止未公開的漏洞。管理員們可以創(chuàng)建管理異常,并當一款應用程序的目的和法律行為可能導致違反默認的安全策略時,適當放寬。
使用一種消極的安全模型,AppFirewall還使用上千個自動更新的簽名來執(zhí)行對已知安全攻擊的掃描。先進的Web應用程序防護配置文件添加會話感知保護,以保護動態(tài)元素,如cookie、表單字段和特定會話的URL。針對客戶端和服務器之間信任的攻擊被停止。對于處理用戶特定內容的任何應用程序,如電子商務網(wǎng)站而言,這種保護是勢在必行的。
數(shù)據(jù)安全
各種類型的數(shù)據(jù),包括法律文件、合同、研發(fā)數(shù)據(jù)、市場營銷和銷售信息、娛樂媒體或任何其他形式的知識產權,都是企業(yè)組織的一筆重要的資產,必須加以保護。近年來,成千上萬已知的網(wǎng)絡安全攻擊已導致了數(shù)以百萬計的客戶和病人病歷損失,許多都涵蓋個人驗證信息(PII,personally identifiable information),包括信用卡號碼、社會安全號碼、出生日期、駕駛執(zhí)照、地址、健康檔案、學生檔案、政府和老兵記錄指紋和安全檢查(Security Clearance)數(shù)據(jù)。
并非每一項違規(guī)行為都是由黑客攻擊、惡意軟件和其他網(wǎng)絡攻擊所導致的結果。其他方面的原因包括意外泄露,黑客和惡意軟件,支付卡詐騙,內幕欺詐,文件丟失,媒體的丟失,以及移動和固定設備的丟失。普通用戶級的云存儲在用戶中變得普及是特別有問題的,將數(shù)據(jù)遷移到不受信任的網(wǎng)絡服務器,會造成數(shù)據(jù)不受企業(yè)組織的控制。
集中:集中、監(jiān)控和控制數(shù)據(jù)的出口
在虛擬化的環(huán)境中,數(shù)據(jù)存儲在數(shù)據(jù)中心。應用程序在服務器上執(zhí)行,只需點擊幾下鼠標和敲擊鍵盤,發(fā)送到用戶設備——而不是數(shù)據(jù)——減輕由終端丟失、被盜或被毀壞造成的數(shù)據(jù)丟失或泄漏。企業(yè)組織可以通過阻止文件和數(shù)據(jù)庫傳送到工作站進一步防止大量的數(shù)據(jù)丟失。
為了防止被保存到可移動介質如USB驅動器,或在用戶之間通過電子郵件發(fā)送,打印出來,或以其他方式暴露造成數(shù)據(jù)丟失或被盜,企業(yè)組織的IT部門可以采取集中管理的策略來控制用戶對于企業(yè)數(shù)據(jù)的保存、復制、打印或以其他方式移動數(shù)據(jù)。設備管理政策,進一步提高了數(shù)據(jù)的安全性,包括:
·通過阻止虛擬通道,如客戶端驅動器映射、打印和復制/粘貼,實現(xiàn)客戶端數(shù)據(jù)從應用程序的分割。
·定義文件夾重定向到用戶的“我的文檔”文件夾的映射到數(shù)據(jù)中心的中央文件存儲。
·限制文件存儲在哪里,以防止終端的丟失,被盜或破壞。
容器化技術:對傳輸過程中和閑置狀態(tài)的數(shù)據(jù)加密
當移動應用程序本地運行時,日期存儲在本地,增加了數(shù)據(jù)泄漏和丟失的風險。 XenMobile則通過容器化技術和加密解決了不安全的移動數(shù)據(jù)存儲。
·借助容器化技術,或應用程序級別的分割,每款應用程序的數(shù)據(jù)都存儲在其所執(zhí)行的容器中,不能被其他地方的應用程序訪問。
·IT人員可以在安全和隔離的容器內的終端上對數(shù)據(jù)進行加密,防止數(shù)據(jù)丟失。
BYOD策略的實施,使得分離個人和企業(yè)應用程序及其相關數(shù)據(jù)成為了必須,特別是考慮到數(shù)據(jù)在移動應用程序之間的廣泛共享,例如通過系統(tǒng)內置的應用程序,如通訊錄。XenMobile采用開放式管理來加強iOS數(shù)據(jù)的安全,允許企業(yè)IT部門能夠在托管和非托管的應用程序之間控制數(shù)據(jù)流和訪問。例如,管理員們可以通過使用非托管的應用程序開放數(shù)據(jù),創(chuàng)建一款應用程序管理來限制用戶,反之亦然。電子郵件附件只能在企業(yè)認可的應用程序中被打開,并且連接到企業(yè)網(wǎng)站的鏈接被強制在一款安全的瀏覽器中打開。
XenMobile為應用程序數(shù)據(jù)采用了行業(yè)標準的加密,無論其是在編譯過程中或是通過封裝技術。所有的應用程序數(shù)據(jù)被存儲在一款安全的容器中,對文件及該設備上嵌入式SQL技術均進行了加密。在本地數(shù)據(jù)庫文件中存儲的數(shù)據(jù)則使用AES-256加密。
安全共享:啟用安全文件共享,以減少數(shù)據(jù)丟失
鑒于用戶都在尋求高效的協(xié)作,他們發(fā)現(xiàn)了在彼此之間分享數(shù)據(jù)阻力最小的路徑方式和借助第三方,包括沒有沒有可視化,未經(jīng)IT部門批準或控制的影子IT解決方案。這將導致通過USB驅動器,互聯(lián)網(wǎng)和個人云服務的數(shù)據(jù)蔓延和非安全的文件共享,而這些共享方式往往缺乏對數(shù)據(jù)泄露的基本或高級的控件。企業(yè)員工可能轉向尋求采用FTP,其缺乏安全認證——以明文形式傳達的憑據(jù)——或者未加密的電子郵件,甚至不小心將文件發(fā)送給企業(yè)組織內部和外部的未授權的個人。
思杰通過內置于ShareFile的每一級別等安全,來解決文件安全共享方面的挑戰(zhàn):
·認證 - 多個雙因素和兩步驗證方法,包括形式和基于token的認證,以及短信,語音和備份代碼。ShareFile還支持單點登錄身份驗證機制,包括SAML,需要用戶首先對企業(yè)的身份提供者進行身份驗證。
·授權 - 借助授權,監(jiān)控和撤銷訪問的能力,IT獲得了對于共享文件的可視化和控制。對于額外的數(shù)據(jù)保護,用戶自己可以在消息發(fā)出后讓文件鏈接過期報廢,并設置一個文件夾及其內容刪除的日期。用戶和IT部門都可以在移動設備上對存儲在ShareFile上的數(shù)據(jù)和密碼執(zhí)行遠程擦除,以防止數(shù)據(jù)丟失或被盜的情況。
·審計 - ShareFile跟蹤和記錄所有用戶的活動,包括數(shù)據(jù)訪問和數(shù)據(jù)共享,支持合規(guī)性要求,并提供對于數(shù)據(jù)使用的可視化。為了符合數(shù)據(jù)存儲在企業(yè)內部部署環(huán)境的要求,ShareFile允許企業(yè)使用ShareFile控制面板在數(shù)據(jù)中心進行文件管理和存儲。
·加密 - 每個文件在其被復制到其永久位置之前,都采用了獨特的密鑰進行加密,并在下載到用戶的瀏覽器之前解密;加密密鑰不被存儲在文件本身所存儲的同一服務器上,以確保對于存儲服務器的物理訪問不允許訪問存儲在那里的文件。ShareFile還提供了使用Microsoft Outlook加密的郵件,以保護包含了郵件正文和附件的敏感信息,并支持HIPAA,HITECH和CFPB等合規(guī)性。
監(jiān)控和響應
即使在最好的安全環(huán)境下,想要百分百的防止高級可持續(xù)威脅的網(wǎng)絡安全攻擊也幾乎是不可能的。這使得安全監(jiān)控和檢測絕對是關鍵的。企業(yè)組織必須對于網(wǎng)絡和應用程序獲得更高的可視化,使用日志收集,分析和逐步升級;從明顯的信息中進行過濾;檢測異常連接的嘗試;并確定網(wǎng)絡攻擊和違規(guī)行為的指標,用來進行事件響應。
XenApp提供工具來支持對其基礎設施的端到端的監(jiān)控,包括綜合基礎設施監(jiān)控、性能監(jiān)控、事件監(jiān)控,服務監(jiān)控和可用性監(jiān)測。IT可以快速識別用戶體驗的下降和提升的根本原因分析。明智的政策、嚴格執(zhí)行、深度監(jiān)測和報告、有效的安全保障、不妨礙用戶訪問。
可見化:部署監(jiān)控,以解決可用性和性能的退化
隨著應用程序的數(shù)量和復雜性的增加,及其跨業(yè)務部門的應用程序和以便用于監(jiān)控的工具、技術部署的增加,可見性的挑戰(zhàn)也在進一步增加。NetScaler提供一個中心點,通過該中心點傳播所有的應用程序的信息,實現(xiàn)了對于監(jiān)測的簡化。而這一設計的主要目的是允許負載均衡和SSL卸載的可擴展性和可用性,這也是NetScaler的理想定位,以便為使用任何加密類型的任何應用程序解析Web和ICA流量。然后這一流量的性能數(shù)據(jù)被發(fā)送到NetScaler洞察中心,采用AppFlow來定義和提取可視化信息。
安全的洞察力可以幫助管理員使用內置專業(yè)知識的自動化工具快速高效的集中在最相關的監(jiān)測數(shù)據(jù)方面:
·確定可能會削弱您企業(yè)的安全狀況的配置模式和突出矛盾
·解析NetScaler中的日志,尋找可能存在危險的問題,為敏感性報告進行異常檢測
·突出強調PCI合規(guī)性的任何問題,使審計過程更加容易
對于用戶體驗監(jiān)控,HDX Insight通過NetScaler提供對于ICA連接代理的終端到終端的可視性,以幫助IT解決性能問題,如應用程序或桌面臺式機的緩慢。作為分類工具,NetScaler可幫助IT確定該問題是否是存在于客戶端,服務器,應用程序或網(wǎng)絡,并在ICA通道中提供了帶寬消耗,SmartControl和地理地圖信息的細節(jié)信息。
Web洞察通過在AppFlow記錄上收集和提供分析流量報告,提供了對于運行在Web或HTTP/S層的服務的可見性。一個中央儀表板跨所有維數(shù),從客戶端到后端應用程序服務器,提供了應用程序可視化信息。能夠為用戶提供與用戶痛點相關的可見化的能力,有助于幫助他們排除故障。
審查:整合記錄和報警,以更快的檢測網(wǎng)絡攻擊和違規(guī)行為
定期對用戶訪問,配置更改和帳戶管理日志進行,有助于通過早期捕獲到安全攻擊和違規(guī)指標來進行安全威脅檢測。這些審查的內容可以包括出站流量異常和大量的出站流量,不尋常的賬戶活動——尤其是特權帳戶,以及失敗、不尋常位置的成功登錄。這些數(shù)據(jù)還可以幫助IT作為清理不活躍賬戶的最佳實踐建議。由于成功的入侵者經(jīng)常清理日志以推遲對其違規(guī)行為的檢測,日志文件應存儲在系統(tǒng)外部。
NetScaler審核為一系列實時和歷史行為提供了日志,包括:
·驗證失敗和成功
·授權失敗和成功
·所有通過NetScaler的應用程序流量的當前、超時和所有AAA會話
集中式訪問控制允許管理員在同一域和設備統(tǒng)一管理所有應用程序,而無需為每款應用程序使用單獨的控制。
除了簡化和加快故障排除,跟蹤和報告對XenApp服務器群組(Server Farms)配置所做的更改的能力,包括由誰,什么時候進行的更改,有助于確保問責制和安全管理——尤其是在多位管理員執(zhí)行修改的環(huán)境下。配置日志還捕獲變更管理的審計細節(jié),配置跟蹤和報告管理活動。管理員可以記錄活躍的XenApp虛擬應用程序和服務器托管的臺式機會話,基于用戶,應用程序或服務器。然后在取證分析或需要參考時歸檔記錄。
合規(guī)性:通過注重架構設計,減少審計范圍
嚴格遵守高標準的加密一直是政府監(jiān)管機構的要求,并符合FIPS也正迅速成為商業(yè)領域感興趣的話題,而包括銀行、信用卡機構、醫(yī)療機構等也在積極的尋求盡量確保其數(shù)據(jù)中心內的流量的安全。
XenApp和XenDesktop提供了HDX協(xié)議的本地FIPS 140-2合規(guī)性,以提供在虛擬環(huán)境中最高水平的數(shù)據(jù)訪問安全性。所有連接虛擬應用程序和桌面臺式機的用戶都是使用NIST授權的FIPS 140-2驗證模塊加密的。NetScaler的集成甚至為一個更高水平的信息保障與硬件設備提供了FIPS 140-2第2級合規(guī)性。數(shù)據(jù)集中,托管交付和遠程顯示將PCI數(shù)據(jù)限制到一個小的,受保護的空間,比在整個內部網(wǎng)絡能夠實施更完全,有效的審核。
XenApp,XenDesktop和NetScaler也構成了唯一的滿足通用標準認證的一項ISO標準的軟件安全功能評估認證、訪問控制、管理和安全通信的端到端的應用程序和桌面臺式機交付解決方案。
結論
現(xiàn)代企業(yè)的員工呼吁更深入,更全面的安全,以確保企業(yè)數(shù)據(jù)的安全,人們希望能夠在任何地理位置、采用任何設備,任何訪問方法都能夠順利的工作。思杰公司的最佳實踐方案建立在一個充分的保密性、完整性和可用性的基礎之上,包括身份和訪問、網(wǎng)絡安全、應用程序安全、數(shù)據(jù)安全、監(jiān)控和響應等一系列的安全措施,確保每個用戶在其工作情況下的安全保護和生產力。欲了解更多關于通過緊密集成的思杰解決方案來確保企業(yè)安全生產的詳細信息,請訪問思杰公司官方網(wǎng)站。