在本文中,我们将为广大读者诸君介绍美国思杰公司是如何借助对于应用程序和数据在任何地点、网络和设备的访问控制,以帮助企业客户在实现风险管控的同时,授权业务移动性的。
现如今,企业的IT和安全管理领导人们正面临着将业务安全风险降低到可接受的水平的同时,确保易用性和生产力的挑战。企业员工需要能够以自己最为舒适的方式来工作——即能够在任何地方、借助任何网络或设备顺畅工作,而不会因任何过度的限制或复杂的用户体验感到沮丧。与此同时,保护企业应用程序和数据避免因安全威胁而发生泄露、防止丢失和被盗,并确保完全符合行业标准和监管法规也是必不可少的。
思杰公司跨五大关键支柱为企业客户提供了安全风险管理方面的最佳实践方案支持,这五大关键支柱分别为:身份和访问、网络安全、应用程序安全、数据安全、监控和响应。该公司通过一款建立在保密性、完整性和可用性基础上的紧密集成整合的解决方案,使得其客户能够实施和管理这些关键措施。
一个成熟的应用程序交付模式将应用程序和数据集中在数据中心,并提供跨任何地点、网络和设备的访问控制。这样一来,企业员工、承包商和合作伙伴均可以灵活地选择他们的工作方式,无论是远程、移动设备或在办公室。终端到终端连接的可视化,流量和用户的活动让IT能够重点优先解决隐私,合规性和风险管理问题,而又不影响企业员工的工作效率。与第三方安全供应厂商的集成整合有助于实现先进的系统管理和身份识别、端点和网络保护。
在本文中,我们将与广大读者朋友们共同探讨关于解决关键用户的工作效率和安全挑战的最佳实践方案,以及紧密集成的思杰解决方案如何使得企业客户能够在充分利用业务移动性的全部优势的同时,管理安全风险。
在现代企业的安全生产能力
当今企业所面对的安全挑战正从两个方面迅速增长,包括安全风险水平的不断升级加剧,以及应用程序的不断演变和多样化。与此同时,现已成为任何一家企业组织机构的关键能力的移动生产力——则取决于企业业务部门的用户是否能够随时随地便利的开展他们的工作,并能够确保一致和可靠的工作体验。这一移动生产力必须扩展到他们所使用的每一类型的应用程序、任何网络和任何设备。即使在移动办公的需求所带来的复杂性日渐增长的情况下,企业IT部门也必须为使其进一步简化而继续努力。
在思杰公司,我们相信,一个良好的用户体验是与安全管理齐头并进的。我们的解决方案是建立在旨在保护企业客户的数据、应用程序和使用等事项的安全最佳实践方案基础之上的,同时在每一个场景中为用户提供自由的选择和无缝的体验。这些措施包括:
身份和访问
·对所有用户实施双因素身份验证
·最小特权授权
·基于用户环境的访问控制
网络安全
·移动用户和第三方用户安全的远程访问
·网络和主机分割,以缩小攻击范围
·采用多层的方法来确保可用性
应用程序安全
·应用程序的集中化和加密交付
·移动应用程序集装箱
·Web应用程序的检查保护
数据安全
·数据的集中化和托管交付
·安全文件共享,以减少数据丢失
·对传输过程中和静态的数据采用集装箱
监控和响应
·应用程序流量终端到终端的可视化
·资源访问的审查
·遵守行业标准和监管法规
如下,我们将为大家就这些最佳实践方案跨我们所有的产品对我们的安全管理方法的定义,以及客户每天都会从其工作中体验到这些解决方案所带给他们的益处进行深度的剖析和探讨。包括:
·思杰NetScaler产品的背景情况,及其对于终端到终端的系统和用户可视化的控制连接
·思杰XenApp和XenDesktop在数据中心内部对于应用程序和桌面台式机的集中管理
·思杰XenMobile确保移动应用程序和设备具备一个强大的用户体验
·思杰ShareFile提供对于数据访问、存储和在企业内部部署及云环境的共享的的控制和审查
通过这种方式,我们可以帮助企业客户满足他们的安全需求,并实现业务目标,而不会对生产力造成阻碍。
身份和访问
防止对于应用程序、数据和网络的未经授权的访问是一项基本的安全要求。各个级别的用户,从业务人员到管理人员再到企业高管,通常都是网络钓鱼攻击的目标。破坏性的操作行为是永远都是由真实的电子邮件或打错网址而造成的。由于现如今的网络安全攻击者们都专注于窃取身份凭据,故而即使是再强大的,经常改变的密码口令也不再足以能够防止黑客攻破企业的安全措施,如数据库加密了。网络攻击者们只需盗窃到一个用户名/密码的组合就可以打开多个网站和服务了——某个人对于其社交媒体账户的不经意的粗心动作就可以导致一家企业组织的旗舰产品或服务面临安全的风险。对于用户访问的管理需要采用一种平衡的方法,既能够方便用户的访问,又要比采用一个简单的用户名和密码组合更安全。
身份验证:对所有用户要求双因素认证
鉴于密码对于网络攻击的脆弱性,故而对应用程序和桌面台式机的访问采用双因素身份验证的方法对于企业实施有效的安全管理而言是至关重要的。其原理是需要两种不同形式的认证:其一是用户知道的;第二,是该用户所使用的,诸如一个物理标记(physical token)。这就为用户被模拟带来了一个显著的障碍,即使主密码已经被泄露。作为这一部分的一个更高的级别水平,认证也应该被添加到本身不支持它的传统遗留应用程序,而NetScaler和XenApp就提供了这一功能。
为了鼓励用户使用更强大的密码,同时减少用户在操作过程中的混乱和麻烦,企业的IT管理部门可以采用一系列更为无缝的登录体验的措施,包括:
·身份联盟 - 采用第三方云服务可以要求用户管理一组额外的凭据。在各方之间通过公共网络安全地共享身份验证和授权数据,身份联盟无需进行单独登录。实际上,企业客户可以将对于诸如Microsoft Office365等服务的访问与他们的用户目录结合起来。如果某名员工从企业离职了,IT部门可以很容易地集中删除其所有的访问权限,包括其对于所有第三方服务的访问权限,如同删除其对企业内部资源的访问一样容易。NetScaler和ShareFile两款产品均支持SAML——这一常见的处理联盟的标准。
·单点登录 - 在联盟与非联盟环境下,单点登录(SSO)可以通过无需多次输入相同的凭据到多个系统,来减少用户登录的麻烦。 NetScaler可支持常见的SSO机制,包括基于表单的,基于401和Kerberos强制委派(Kerberos Constrained Delegation,KCD),并且还可以保持认证会话cookie以提供通过一个网站、仪表板或门户,如微软的SharePoint跨所有Web应用程序访问的SSO。
授权:使用上下文访问控制实现最小特权授权
经过了身份验证的用户应该被授权仅仅只能访问那些为了完成其工作所必需要用到的应用程序、桌面台式机和数据——其原则是授予最低的特权,一旦该访问特权不再需要,就要降低其被授予的特权。按照类似的思路:
·为了减少与恶意软件相关的风险,除非工作任务需要特权帐户,否则管理员们不应该以管理员的身份登录到工作站。而是应该使用标准的用户凭证进行常规性的操作,如查看电子邮件和浏览网页。
·应用程序和服务应该被配置为以尽可能少的特权来启动,而服务帐户也应该以所需要的最低的权限进行创建。
·管理职责应分开,以限制某个人所拥有的特权,并防止某个单一恶意的管理员能够违反操作规定或隐瞒网络攻击。
授权级别通常通过组成员关系与用户身份进行绑定,但是这种方法可能缺乏了对于每个用例所需要的粒度。面向任务的或基于位置的授权则更有效,特别是对远程访问使用案例,如远程办公人员、离岸外包人员和第三方的访问。结合基于角色的访问机制,如Microsoft Active Directory,使得NetScaler允许预定义访问策略,为组和用户级别量身定制。
访问控制:通过端点验证管理访问权限
随着企业组织充分利用生产力和诸如远程办公、弹性工作等实践方案所带来的员工满意度提升的益处,他们也面临着更细粒度的访问控制的需要。安全管理策略可能需要允许不同级别的访问,这取决于一位既定的用户是否正在企业网络内部或外部工作,以及企业内部和第三方员工之间的区别。多样化的终端和BYOD趋势的兴起,使得基于设备的访问管理变得更加复杂。一些企业组织允许任何笔记本电脑、台式电脑、手机或平板电脑访问企业网络,有时甚至没有任何形式的恶意软件、防病毒软件或应用程序限制方面的要求。
思杰的最佳实践方案要求基于用户、设备、地理位置、资源和操作等属性的组合,提供对于应用程序和数据的适当水平的访问。授予访问权限之前,NetScaler将审查端点,以确保其健康状况和在域成员、防病毒和恶意软件保护方面的遵从一致性。这种分析使得SmartAccess策略引擎能够触发基于“五个W的访问”自适应策略,即:谁、什么、何时、哪里、为什么(who, what, when, where and why)。管理员们根据他们企业的安全策略有完整的灵活性来定义不同的访问方案和相应的规则,而用户可以自由的采用任何设备来工作。对于不符合的设备,用户可以隔离和被授予对辅导网站和资源的有限制的访问权限。
网络安全
随着移动性在现代企业中所发挥的作用越来越大,使得远程访问成为了一项核心的IT功能——同时也日渐成为网络攻击者们寻求攻入企业组织网络的主要载体。
网络攻击所带来的后果可能是毁灭性的。对于企业的某家业务合作伙伴的网络的攻击可能会直接导致对该企业组织本身的攻击,使其为网络恶意攻击者提供一个薄弱环节,并利用该薄弱环节作为一个网络网关。一旦进入了企业网络,攻击者们将寻求特权升级,然后向横向移动到核心组件,如域控制器。在一个高度公开的网络漏洞,攻击者能够从网络存储设备,如销售点直接登录到核心网络进行通信。在这一点上,一个后门或远程访问木马(RAT)连接到命令和控制(C2)服务器,使用一个外拨呼出电话到外部系统,通常会有点困难。
免费的网络Stressors工具和DDoS工具可以借助命令和控制在僵尸网络中进行配置和控制,如低轨道离子炮(Low Orbit Ion Cannon,LOIC)。更先进的工具包括以民族国家支持的“互联网大炮(Internet Cannons)”,通过重写HTTP请求导入洪水般的流量到目标网站,以武器化有效的互联网用户流量。
远程访问:要求企业员工和第三方安全的访问
远程访问功能允许企业网络外部的用户也能够访问应用程序、桌面台式机和数据。而NetScaler统一网关就具备了这一允许、控制和保护这种访问的作用,其中包括:
·将远程访问和单点登录扩展到所有企业和云应用程序
·整合基础设施以降低访问方法的扩散
·在其发送到后端应用程序之前,作为一个反向代理网关拦截传入的流量
·提供一个单一的URL,以整合一系列广泛的现有解决方案,通过合并所需的功能,以支持所有类型的访问方案,包括移动性
一个完整的SSL VPN提供对于数据中心的一个直接的网络连接,便是这样的一个场景。对于大多数的那些不需要一个完整的VPN的用户而言,NetScaler为XenApp提供了一个ICA代理,连接托管的应用程序和桌面台式机到Citrix Receiver软件。借助SSL VPN,所有在客户端和数据中心之间传输的数据都是加密的。这是对于包括PCI DSS在内的高安全性的环境推荐的配置。一个URL为从任何设备远程访问到Web、SaaS和Citrix应用程序,并具备进行双因素认证、单点登录和联盟的能力,为最终用户提供了一个简单的定位。
NetScaler简化并集中化访问控制,并通过提供一个单点配置和执行实现可视化。智能控制充当一个ICA防火墙,以集中访问控制,基于诸如客户端设备操作系统和补丁级别、以及是否安装、运行和更新了杀毒软件等参数,管理逻辑授权。功能也可以基于客户端和服务器IP和端口以及用户和组成员关系被封锁拦住。虚拟通道访问,如剪切和粘贴,映射,客户端驱动映射或打印,可以启用每一款应用程序,以提供正确的访问权限级别。
分割:部署网络安全区域
分割通过定义安全区域,最大限度地减少对敏感的应用程序和数据不必要的访问,将最小特权的规则扩展延伸到网络和主机。防火墙和网关限制流量到达它们各自的区域,减少横向移动和攻击面,以牵制网络攻击半径。
NetScaler支持的分割措施包括:
·在隔离区(demilitarized zone,DMZ)中进行验证和客户端代理的连接,以便在这一点上阻止畸形数据包和恶意请求
·优化、复用和速率限制连接到后端服务器,以保护企业自己的资源
·一款软件定义的架构使用虚拟化技术,以使得硬件平台能够安全地成为单独的和独特的实例,每个实例具有独立的SLA和分配的内存、SSL、CPU和虚拟网卡要么是共享的要么是专用的。
NetScaler本身的分割架构作为了一个关键的设计原则。
·流量域为不同的应用程序和租户在一款单一设备上进入完全隔离的网络环境进行流量分割。
·管理分区将个别NetScaler设备分割进入具备专用的管理和单独的登录UI界面、视图、配置文件和日志记录的独立资源——例如,为思杰、网络和微软应用程序团队使用应用程序特定分区。
可用性:使用智能负载均衡和多层拒绝服务保护。
可用性是硬件和软件故障以及通过耗尽带宽、计算和内存资源扰乱服务的DDoS攻击的日常挑战。
负载平衡是NetScaler的一个核心功能,跨多台服务器托管的web应用程序和内容分配传入的客户端请求。这可以防止任何一台服务器成为一个单一故障点,并能够充分利用优化的方法,如最小连接或基于SNMP的指标,提高了应用程序整体的可用性和响应能力。 全局负载均衡GSBL(Global Server Load Balancing)为具有多个站点和地理分布服务的企业组织提供一个额外的保护、故障转移和优化附加层。作为其多层方法可用性的一部分,NetScaler可还提供了:
·DDoS防护 - NetScaler检查客户端连接和请求参数,以防止洪水攻击,如SYN、UDP、ICMP、Smurf和Fraggle等, 等待代理连接,直到一个有效的应用程序的请求被提交。
·SSL/TLS卸载 - 通过代理、验证和限速连接(如果需要的话),NetScaler可以保护网络服务免受诸如HeartBleed、Shellshock和Poodle等瞄准SSL/TLS漏洞的攻击。
·浪涌保护和优先级队列 - NetScaler可通过缓存和优先连接来缓解流量尖峰和浪涌所导致的后端服务器超负荷,然后将他们作为减少的服务器负载进行交付,这样就没有流量会被丢弃。NetScaler还可以为DNS服务器提供DNS保护,并支持DNSSEC,以防止伪造和损坏的主机记录蔓延到新的目标。
应用程序安全
所有类型的应用程序都是流行的网络攻击开发目标。即使安全研究人员在黑客发起攻击之前发现了某个漏洞,可能也需要几个月的时间来打补丁或更新企业的系统。即便如此,许多成功的网络攻击行为也在利用那些多年前已经推出的补丁,尽管有成熟的应用程序交付模式已经在及时的寻找、检测和修复软件漏洞的基础上建立了相应的流程。
在移动设备上安装应用程序本身就面临诸如不安全的数据存储、不安全的数据传输和敏感数据泄漏等风险。而随着智能手机和平板电脑迅速成为一个商业标准,个人和商业应用程序之间的界限已经变得模糊,通过云存储、社交网络、应用程序或对等网络之间泄露敏感和机密数据的风险也进一步增加。
由于糟糕的安全配置、底层操作系统不完整的补丁管理、编码语言的漏洞,或第三方未打补丁和零日漏洞,使得Web应用程序是相当脆弱的。传统遗留或不支持的应用程序风险攻击通过篡改字段、缓冲区溢出、或执行命令注入和远程代码执行。应用程序层攻击远远高于网络防火墙和IDS/IPS所提供的控制,其并不明白逻辑攻击。
集中化:虚拟化的应用程序和加密交付要求
应用程序虚拟化通过将应用程序集中到数据中心,并只允许该应用程序的一个像素化表示到达终端——没有实际的数据传输发生,来保护敏感数据。虚拟化还允许应用程序根据它们的安全要求进行分类;敏感的应用程序可以独立在专用的服务器,在隔离的网络分区具备不同的敏感性分类和限制,可以发布Web浏览器的多个相互隔离的版本,以解决Web应用程序多样化的安全和遗留要求。IT获得一个单点的可视化和控制,以针对一组或用户级别定义和执行访问策略。
为本地安装的应用程序所执行的分散式安全配置和补丁管理是低效的且经常不一致的。而借助在一个单一的主图像上执行集中化、操作系统补丁、服务包、热修复以及应用程序和配置更新,能够加快测试和部署。基于终端的攻击,如内存或内存资料截取(RAM scraping)攻击不再存在风险。
思杰Receiver客户端和XenApp服务器之间的功能和通信都通过虚拟通道为显卡、磁盘、COM端口、LPT端口、打印机、音频、视频和智能卡发生,使用XenApp策略控制能够保存、复制、打印或迁移数据。对于需要额外的保护层的企业组织而言,NetScaler上的SmartControl实现了在网络级别的过滤。加密被集成到通信流的每一个组件,包括多层ICA和SSL/TLS。
容器化技术:管理移动应用程序,以防止数据丢失
思杰的移动应用程序安全的最佳实践方案是基于容器化技术(containerization),在设备级别的一种分割形式。用户可以使用一款同时安装了个人和商业应用程序的单一的设备,业务应用程序和数据都由IT管理。硬件、操作系统和个人应用程序的安全性通过基于容器的安全措施得到了扩展,这些安全措施包括加密的存储和使用,应用程序到应用程序的数据控制和数据擦除策略。
在容器化技术方法的基础上,XenMobile使企业组织能够实现应用程序的管理、安全和控制以及数据和设置的集中化。
·微型VPN - XenMobile与NetScaler可为原生移动应用程序提供专用的微型VPN隧道;较之其他的设备和微型VPN通信,在应用程序和NetScaler的之间的SSL/TLS通信会话是加密保护的,以确保内部网络上的资源不会被接触到恶意软件的个人应用程序的流量所感染。
·设备验证 - 由于单独的集 容器化技术并不能确保一款已经越狱或root过的设备装置安装盗版或未经验证的应用程序的安全性——旨在获取超级管理员身份的恶意软件一般所通用的矢量——故而XenMobile将验证设备状态,并阻止越狱的设备进行设备注册。
·管理本机应用程序 - 思杰移动业务生产力应用程序,包括WorxMail和WorxWeb,以加强在移动设备上的本机安装的电子邮件和Web浏览器的安全和管理。IT人员可以对在安全容器中沙盒执行远程管理、控制、锁定和选择性的擦除,而不接触设备上的个人数据或应用程序。
检查:保护Web应用程序,抵御网络攻击
Web应用程序是黑客最为丰富的攻击目标,为黑客们提供了一个高度脆弱的攻击面,且直接连接到包含敏感的客户和公司信息的数据库。这种安全威胁往往是以此为目标专门设计的,使得通过网络层的安全设备进行识别,如入侵保护系统和网络防火墙是不可能的。这使得Web应用程序暴露于应用程序层的已知的和零日漏洞攻击。NetScaler AppFirewall通过为Web应用程序和服务提供集中的、应用层安全关闭了这一差距。
基于注入缺陷的逻辑攻击利用一款应用程序的故障过滤用户输入,如当SQL注入是用来通过一款应用程序传递任意命令被数据库执行。跨站脚本攻击(Cross Site Scripting,XSS)使用Web应用程序作为武器来攻击其他用户,再通过一个故障失败以验证输入。通过成为应用程序的一部分,有效载荷返回到受害者的浏览器,被视为代码和处理,以执行会话劫持或尝试通过网络钓鱼盗窃凭据。
AppFirewall存储自定义注入方式,以保护所有类型的攻击。
·管理员可以使用字段格式的保护,借助正则表达式来限制用户的参数;表单字段用于检查一致性,以确认它们没有被修改过。
·为了防止SQL注入,AppFirewall检查用于SQL关键词和字符的组合要求。
·为了防止XSS攻击动态的和上下文敏感的保护,AppFirewall查找类似于HTML标记的输入,并检查与允许HTML属性和标签,以检测XSS脚本和攻击。
由于Web应用程序通常是DDoS攻击的目标,因此,保护必须超越网络层和会话层的范畴。NetScaler使用应用程序级别的DDoS保护,以阻止或扼杀出现在网络层的流量攻击。
·HTTP DDoS保护挑战客户端的请求,以确保它们是来自有效的浏览器;来自脚本和程序的请求通常不能正确解答所面临的挑战,并因此拒绝。
·当接收到一个POST请求时,首先检查一个有效的cookie。如果不具备一个有效的cookie,NetScaler发送一个JavaScript脚本到客户端,要求其用一个新的cookie重新发送信息,其将在4分钟之后成为无效的信息。到客户端的每个响应都以新的Cookie发送。在某个网络病毒攻击过程中,所有预先发送的cookie变得无效,且一个有cookie的错误页面被发送。新的连接以及不能提供有效的cookie的连接数据都放入一个低优先级的队列中。
AppFirewall强制正反两方面的安全模型,以确保正确的应用程序行为。积极的安全模型理解好的应用程序行为,并将所有其他流量作为恶意流量来对待——唯一的证明方式提供零日保护,防止未公开的漏洞。管理员们可以创建管理异常,并当一款应用程序的目的和法律行为可能导致违反默认的安全策略时,适当放宽。
使用一种消极的安全模型,AppFirewall还使用上千个自动更新的签名来执行对已知安全攻击的扫描。先进的Web应用程序防护配置文件添加会话感知保护,以保护动态元素,如cookie、表单字段和特定会话的URL。针对客户端和服务器之间信任的攻击被停止。对于处理用户特定内容的任何应用程序,如电子商务网站而言,这种保护是势在必行的。
数据安全
各种类型的数据,包括法律文件、合同、研发数据、市场营销和销售信息、娱乐媒体或任何其他形式的知识产权,都是企业组织的一笔重要的资产,必须加以保护。近年来,成千上万已知的网络安全攻击已导致了数以百万计的客户和病人病历损失,许多都涵盖个人验证信息(PII,personally identifiable information),包括信用卡号码、社会安全号码、出生日期、驾驶执照、地址、健康档案、学生档案、政府和老兵记录指纹和安全检查(Security Clearance)数据。
并非每一项违规行为都是由黑客攻击、恶意软件和其他网络攻击所导致的结果。其他方面的原因包括意外泄露,黑客和恶意软件,支付卡诈骗,内幕欺诈,文件丢失,媒体的丢失,以及移动和固定设备的丢失。普通用户级的云存储在用户中变得普及是特别有问题的,将数据迁移到不受信任的网络服务器,会造成数据不受企业组织的控制。
集中:集中、监控和控制数据的出口
在虚拟化的环境中,数据存储在数据中心。应用程序在服务器上执行,只需点击几下鼠标和敲击键盘,发送到用户设备——而不是数据——减轻由终端丢失、被盗或被毁坏造成的数据丢失或泄漏。企业组织可以通过阻止文件和数据库传送到工作站进一步防止大量的数据丢失。
为了防止被保存到可移动介质如USB驱动器,或在用户之间通过电子邮件发送,打印出来,或以其他方式暴露造成数据丢失或被盗,企业组织的IT部门可以采取集中管理的策略来控制用户对于企业数据的保存、复制、打印或以其他方式移动数据。设备管理政策,进一步提高了数据的安全性,包括:
·通过阻止虚拟通道,如客户端驱动器映射、打印和复制/粘贴,实现客户端数据从应用程序的分割。
·定义文件夹重定向到用户的“我的文档”文件夹的映射到数据中心的中央文件存储。
·限制文件存储在哪里,以防止终端的丢失,被盗或破坏。
容器化技术:对传输过程中和闲置状态的数据加密
当移动应用程序本地运行时,日期存储在本地,增加了数据泄漏和丢失的风险。 XenMobile则通过容器化技术和加密解决了不安全的移动数据存储。
·借助容器化技术,或应用程序级别的分割,每款应用程序的数据都存储在其所执行的容器中,不能被其他地方的应用程序访问。
·IT人员可以在安全和隔离的容器内的终端上对数据进行加密,防止数据丢失。
BYOD策略的实施,使得分离个人和企业应用程序及其相关数据成为了必须,特别是考虑到数据在移动应用程序之间的广泛共享,例如通过系统内置的应用程序,如通讯录。XenMobile采用开放式管理来加强iOS数据的安全,允许企业IT部门能够在托管和非托管的应用程序之间控制数据流和访问。例如,管理员们可以通过使用非托管的应用程序开放数据,创建一款应用程序管理来限制用户,反之亦然。电子邮件附件只能在企业认可的应用程序中被打开,并且连接到企业网站的链接被强制在一款安全的浏览器中打开。
XenMobile为应用程序数据采用了行业标准的加密,无论其是在编译过程中或是通过封装技术。所有的应用程序数据被存储在一款安全的容器中,对文件及该设备上嵌入式SQL技术均进行了加密。在本地数据库文件中存储的数据则使用AES-256加密。
安全共享:启用安全文件共享,以减少数据丢失
鉴于用户都在寻求高效的协作,他们发现了在彼此之间分享数据阻力最小的路径方式和借助第三方,包括没有没有可视化,未经IT部门批准或控制的影子IT解决方案。这将导致通过USB驱动器,互联网和个人云服务的数据蔓延和非安全的文件共享,而这些共享方式往往缺乏对数据泄露的基本或高级的控件。企业员工可能转向寻求采用FTP,其缺乏安全认证——以明文形式传达的凭据——或者未加密的电子邮件,甚至不小心将文件发送给企业组织内部和外部的未授权的个人。
思杰通过内置于ShareFile的每一级别等安全,来解决文件安全共享方面的挑战:
·认证 - 多个双因素和两步验证方法,包括形式和基于token的认证,以及短信,语音和备份代码。ShareFile还支持单点登录身份验证机制,包括SAML,需要用户首先对企业的身份提供者进行身份验证。
·授权 - 借助授权,监控和撤销访问的能力,IT获得了对于共享文件的可视化和控制。对于额外的数据保护,用户自己可以在消息发出后让文件链接过期报废,并设置一个文件夹及其内容删除的日期。用户和IT部门都可以在移动设备上对存储在ShareFile上的数据和密码执行远程擦除,以防止数据丢失或被盗的情况。
·审计 - ShareFile跟踪和记录所有用户的活动,包括数据访问和数据共享,支持合规性要求,并提供对于数据使用的可视化。为了符合数据存储在企业内部部署环境的要求,ShareFile允许企业使用ShareFile控制面板在数据中心进行文件管理和存储。
·加密 - 每个文件在其被复制到其永久位置之前,都采用了独特的密钥进行加密,并在下载到用户的浏览器之前解密;加密密钥不被存储在文件本身所存储的同一服务器上,以确保对于存储服务器的物理访问不允许访问存储在那里的文件。ShareFile还提供了使用Microsoft Outlook加密的邮件,以保护包含了邮件正文和附件的敏感信息,并支持HIPAA,HITECH和CFPB等合规性。
监控和响应
即使在最好的安全环境下,想要百分百的防止高级可持续威胁的网络安全攻击也几乎是不可能的。这使得安全监控和检测绝对是关键的。企业组织必须对于网络和应用程序获得更高的可视化,使用日志收集,分析和逐步升级;从明显的信息中进行过滤;检测异常连接的尝试;并确定网络攻击和违规行为的指标,用来进行事件响应。
XenApp提供工具来支持对其基础设施的端到端的监控,包括综合基础设施监控、性能监控、事件监控,服务监控和可用性监测。IT可以快速识别用户体验的下降和提升的根本原因分析。明智的政策、严格执行、深度监测和报告、有效的安全保障、不妨碍用户访问。
可见化:部署监控,以解决可用性和性能的退化
随着应用程序的数量和复杂性的增加,及其跨业务部门的应用程序和以便用于监控的工具、技术部署的增加,可见性的挑战也在进一步增加。NetScaler提供一个中心点,通过该中心点传播所有的应用程序的信息,实现了对于监测的简化。而这一设计的主要目的是允许负载均衡和SSL卸载的可扩展性和可用性,这也是NetScaler的理想定位,以便为使用任何加密类型的任何应用程序解析Web和ICA流量。然后这一流量的性能数据被发送到NetScaler洞察中心,采用AppFlow来定义和提取可视化信息。
安全的洞察力可以帮助管理员使用内置专业知识的自动化工具快速高效的集中在最相关的监测数据方面:
·确定可能会削弱您企业的安全状况的配置模式和突出矛盾
·解析NetScaler中的日志,寻找可能存在危险的问题,为敏感性报告进行异常检测
·突出强调PCI合规性的任何问题,使审计过程更加容易
对于用户体验监控,HDX Insight通过NetScaler提供对于ICA连接代理的终端到终端的可视性,以帮助IT解决性能问题,如应用程序或桌面台式机的缓慢。作为分类工具,NetScaler可帮助IT确定该问题是否是存在于客户端,服务器,应用程序或网络,并在ICA通道中提供了带宽消耗,SmartControl和地理地图信息的细节信息。
Web洞察通过在AppFlow记录上收集和提供分析流量报告,提供了对于运行在Web或HTTP/S层的服务的可见性。一个中央仪表板跨所有维数,从客户端到后端应用程序服务器,提供了应用程序可视化信息。能够为用户提供与用户痛点相关的可见化的能力,有助于帮助他们排除故障。
审查:整合记录和报警,以更快的检测网络攻击和违规行为
定期对用户访问,配置更改和帐户管理日志进行,有助于通过早期捕获到安全攻击和违规指标来进行安全威胁检测。这些审查的内容可以包括出站流量异常和大量的出站流量,不寻常的账户活动——尤其是特权帐户,以及失败、不寻常位置的成功登录。这些数据还可以帮助IT作为清理不活跃账户的最佳实践建议。由于成功的入侵者经常清理日志以推迟对其违规行为的检测,日志文件应存储在系统外部。
NetScaler审核为一系列实时和历史行为提供了日志,包括:
·验证失败和成功
·授权失败和成功
·所有通过NetScaler的应用程序流量的当前、超时和所有AAA会话
集中式访问控制允许管理员在同一域和设备统一管理所有应用程序,而无需为每款应用程序使用单独的控制。
除了简化和加快故障排除,跟踪和报告对XenApp服务器群组(Server Farms)配置所做的更改的能力,包括由谁,什么时候进行的更改,有助于确保问责制和安全管理——尤其是在多位管理员执行修改的环境下。配置日志还捕获变更管理的审计细节,配置跟踪和报告管理活动。管理员可以记录活跃的XenApp虚拟应用程序和服务器托管的台式机会话,基于用户,应用程序或服务器。然后在取证分析或需要参考时归档记录。
合规性:通过注重架构设计,减少审计范围
严格遵守高标准的加密一直是政府监管机构的要求,并符合FIPS也正迅速成为商业领域感兴趣的话题,而包括银行、信用卡机构、医疗机构等也在积极的寻求尽量确保其数据中心内的流量的安全。
XenApp和XenDesktop提供了HDX协议的本地FIPS 140-2合规性,以提供在虚拟环境中最高水平的数据访问安全性。所有连接虚拟应用程序和桌面台式机的用户都是使用NIST授权的FIPS 140-2验证模块加密的。NetScaler的集成甚至为一个更高水平的信息保障与硬件设备提供了FIPS 140-2第2级合规性。数据集中,托管交付和远程显示将PCI数据限制到一个小的,受保护的空间,比在整个内部网络能够实施更完全,有效的审核。
XenApp,XenDesktop和NetScaler也构成了唯一的满足通用标准认证的一项ISO标准的软件安全功能评估认证、访问控制、管理和安全通信的端到端的应用程序和桌面台式机交付解决方案。
结论
现代企业的员工呼吁更深入,更全面的安全,以确保企业数据的安全,人们希望能够在任何地理位置、采用任何设备,任何访问方法都能够顺利的工作。思杰公司的最佳实践方案建立在一个充分的保密性、完整性和可用性的基础之上,包括身份和访问、网络安全、应用程序安全、数据安全、监控和响应等一系列的安全措施,确保每个用户在其工作情况下的安全保护和生产力。欲了解更多关于通过紧密集成的思杰解决方案来确保企业安全生产的详细信息,请访问思杰公司官方网站。
本文转自d1net(转载)