分割:部署网络安全区域
分割通过定义安全区域,最大限度地减少对敏感的应用程序和数据不必要的访问,将最小特权的规则扩展延伸到网络和主机。防火墙和网关限制流量到达它们各自的区域,减少横向移动和攻击面,以牵制网络攻击半径。
NetScaler支持的分割措施包括:
·在隔离区(demilitarized zone,DMZ)中进行验证和客户端代理的连接,以便在这一点上阻止畸形数据包和恶意请求
·优化、复用和速率限制连接到后端服务器,以保护企业自己的资源
·一款软件定义的架构使用虚拟化技术,以使得硬件平台能够安全地成为单独的和独特的实例,每个实例具有独立的SLA和分配的内存、SSL、CPU和虚拟网卡要么是共享的要么是专用的。
NetScaler本身的分割架构作为了一个关键的设计原则。
·流量域为不同的应用程序和租户在一款单一设备上进入完全隔离的网络环境进行流量分割。
·管理分区将个别NetScaler设备分割进入具备专用的管理和单独的登录UI界面、视图、配置文件和日志记录的独立资源——例如,为思杰、网络和微软应用程序团队使用应用程序特定分区。
可用性:使用智能负载均衡和多层拒绝服务保护。
可用性是硬件和软件故障以及通过耗尽带宽、计算和内存资源扰乱服务的DDoS攻击的日常挑战。
负载平衡是NetScaler的一个核心功能,跨多台服务器托管的web应用程序和内容分配传入的客户端请求。这可以防止任何一台服务器成为一个单一故障点,并能够充分利用优化的方法,如最小连接或基于SNMP的指标,提高了应用程序整体的可用性和响应能力。 全局负载均衡GSBL(Global Server Load Balancing)为具有多个站点和地理分布服务的企业组织提供一个额外的保护、故障转移和优化附加层。作为其多层方法可用性的一部分,NetScaler可还提供了:
·DDoS防护 - NetScaler检查客户端连接和请求参数,以防止洪水攻击,如SYN、UDP、ICMP、Smurf和Fraggle等, 等待代理连接,直到一个有效的应用程序的请求被提交。
·SSL/TLS卸载 - 通过代理、验证和限速连接(如果需要的话),NetScaler可以保护网络服务免受诸如HeartBleed、Shellshock和Poodle等瞄准SSL/TLS漏洞的攻击。
·浪涌保护和优先级队列 - NetScaler可通过缓存和优先连接来缓解流量尖峰和浪涌所导致的后端服务器超负荷,然后将他们作为减少的服务器负载进行交付,这样就没有流量会被丢弃。NetScaler还可以为DNS服务器提供DNS保护,并支持DNSSEC,以防止伪造和损坏的主机记录蔓延到新的目标。
应用程序安全
所有类型的应用程序都是流行的网络攻击开发目标。即使安全研究人员在黑客发起攻击之前发现了某个漏洞,可能也需要几个月的时间来打补丁或更新企业的系统。即便如此,许多成功的网络攻击行为也在利用那些多年前已经推出的补丁,尽管有成熟的应用程序交付模式已经在及时的寻找、检测和修复软件漏洞的基础上建立了相应的流程。
在移动设备上安装应用程序本身就面临诸如不安全的数据存储、不安全的数据传输和敏感数据泄漏等风险。而随着智能手机和平板电脑迅速成为一个商业标准,个人和商业应用程序之间的界限已经变得模糊,通过云存储、社交网络、应用程序或对等网络之间泄露敏感和机密数据的风险也进一步增加。
由于糟糕的安全配置、底层操作系统不完整的补丁管理、编码语言的漏洞,或第三方未打补丁和零日漏洞,使得Web应用程序是相当脆弱的。传统遗留或不支持的应用程序风险攻击通过篡改字段、缓冲区溢出、或执行命令注入和远程代码执行。应用程序层攻击远远高于网络防火墙和IDS/IPS所提供的控制,其并不明白逻辑攻击。
集中化:虚拟化的应用程序和加密交付要求
应用程序虚拟化通过将应用程序集中到数据中心,并只允许该应用程序的一个像素化表示到达终端——没有实际的数据传输发生,来保护敏感数据。虚拟化还允许应用程序根据它们的安全要求进行分类;敏感的应用程序可以独立在专用的服务器,在隔离的网络分区具备不同的敏感性分类和限制,可以发布Web浏览器的多个相互隔离的版本,以解决Web应用程序多样化的安全和遗留要求。IT获得一个单点的可视化和控制,以针对一组或用户级别定义和执行访问策略。
为本地安装的应用程序所执行的分散式安全配置和补丁管理是低效的且经常不一致的。而借助在一个单一的主图像上执行集中化、操作系统补丁、服务包、热修复以及应用程序和配置更新,能够加快测试和部署。基于终端的攻击,如内存或内存资料截取(RAM scraping)攻击不再存在风险。
思杰Receiver客户端和XenApp服务器之间的功能和通信都通过虚拟通道为显卡、磁盘、COM端口、LPT端口、打印机、音频、视频和智能卡发生,使用XenApp策略控制能够保存、复制、打印或迁移数据。对于需要额外的保护层的企业组织而言,NetScaler上的SmartControl实现了在网络级别的过滤。加密被集成到通信流的每一个组件,包括多层ICA和SSL/TLS。
容器化技术:管理移动应用程序,以防止数据丢失
思杰的移动应用程序安全的最佳实践方案是基于容器化技术(containerization),在设备级别的一种分割形式。用户可以使用一款同时安装了个人和商业应用程序的单一的设备,业务应用程序和数据都由IT管理。硬件、操作系统和个人应用程序的安全性通过基于容器的安全措施得到了扩展,这些安全措施包括加密的存储和使用,应用程序到应用程序的数据控制和数据擦除策略。
在容器化技术方法的基础上,XenMobile使企业组织能够实现应用程序的管理、安全和控制以及数据和设置的集中化。
·微型VPN - XenMobile与NetScaler可为原生移动应用程序提供专用的微型VPN隧道;较之其他的设备和微型VPN通信,在应用程序和NetScaler的之间的SSL/TLS通信会话是加密保护的,以确保内部网络上的资源不会被接触到恶意软件的个人应用程序的流量所感染。
·设备验证 - 由于单独的集 容器化技术并不能确保一款已经越狱或root过的设备装置安装盗版或未经验证的应用程序的安全性——旨在获取超级管理员身份的恶意软件一般所通用的矢量——故而XenMobile将验证设备状态,并阻止越狱的设备进行设备注册。
·管理本机应用程序 - 思杰移动业务生产力应用程序,包括WorxMail和WorxWeb,以加强在移动设备上的本机安装的电子邮件和Web浏览器的安全和管理。IT人员可以对在安全容器中沙盒执行远程管理、控制、锁定和选择性的擦除,而不接触设备上的个人数据或应用程序。
检查:保护Web应用程序,抵御网络攻击
Web应用程序是黑客最为丰富的攻击目标,为黑客们提供了一个高度脆弱的攻击面,且直接连接到包含敏感的客户和公司信息的数据库。这种安全威胁往往是以此为目标专门设计的,使得通过网络层的安全设备进行识别,如入侵保护系统和网络防火墙是不可能的。这使得Web应用程序暴露于应用程序层的已知的和零日漏洞攻击。NetScaler AppFirewall通过为Web应用程序和服务提供集中的、应用层安全关闭了这一差距。
基于注入缺陷的逻辑攻击利用一款应用程序的故障过滤用户输入,如当SQL注入是用来通过一款应用程序传递任意命令被数据库执行。跨站脚本攻击(Cross Site Scripting,XSS)使用Web应用程序作为武器来攻击其他用户,再通过一个故障失败以验证输入。通过成为应用程序的一部分,有效载荷返回到受害者的浏览器,被视为代码和处理,以执行会话劫持或尝试通过网络钓鱼盗窃凭据。
AppFirewall存储自定义注入方式,以保护所有类型的攻击。
·管理员可以使用字段格式的保护,借助正则表达式来限制用户的参数;表单字段用于检查一致性,以确认它们没有被修改过。
·为了防止SQL注入,AppFirewall检查用于SQL关键词和字符的组合要求。
·为了防止XSS攻击动态的和上下文敏感的保护,AppFirewall查找类似于HTML标记的输入,并检查与允许HTML属性和标签,以检测XSS脚本和攻击。
由于Web应用程序通常是DDoS攻击的目标,因此,保护必须超越网络层和会话层的范畴。NetScaler使用应用程序级别的DDoS保护,以阻止或扼杀出现在网络层的流量攻击。
·HTTP DDoS保护挑战客户端的请求,以确保它们是来自有效的浏览器;来自脚本和程序的请求通常不能正确解答所面临的挑战,并因此拒绝。
·当接收到一个POST请求时,首先检查一个有效的cookie。如果不具备一个有效的cookie,NetScaler发送一个JavaScript脚本到客户端,要求其用一个新的cookie重新发送信息,其将在4分钟之后成为无效的信息。到客户端的每个响应都以新的Cookie发送。在某个网络病毒攻击过程中,所有预先发送的cookie变得无效,且一个有cookie的错误页面被发送。新的连接以及不能提供有效的cookie的连接数据都放入一个低优先级的队列中。
AppFirewall强制正反两方面的安全模型,以确保正确的应用程序行为。积极的安全模型理解好的应用程序行为,并将所有其他流量作为恶意流量来对待——唯一的证明方式提供零日保护,防止未公开的漏洞。管理员们可以创建管理异常,并当一款应用程序的目的和法律行为可能导致违反默认的安全策略时,适当放宽。
使用一种消极的安全模型,AppFirewall还使用上千个自动更新的签名来执行对已知安全攻击的扫描。先进的Web应用程序防护配置文件添加会话感知保护,以保护动态元素,如cookie、表单字段和特定会话的URL。针对客户端和服务器之间信任的攻击被停止。对于处理用户特定内容的任何应用程序,如电子商务网站而言,这种保护是势在必行的。
数据安全
各种类型的数据,包括法律文件、合同、研发数据、市场营销和销售信息、娱乐媒体或任何其他形式的知识产权,都是企业组织的一笔重要的资产,必须加以保护。近年来,成千上万已知的网络安全攻击已导致了数以百万计的客户和病人病历损失,许多都涵盖个人验证信息(PII,personally identifiable information),包括信用卡号码、社会安全号码、出生日期、驾驶执照、地址、健康档案、学生档案、政府和老兵记录指纹和安全检查(Security Clearance)数据。
并非每一项违规行为都是由黑客攻击、恶意软件和其他网络攻击所导致的结果。其他方面的原因包括意外泄露,黑客和恶意软件,支付卡诈骗,内幕欺诈,文件丢失,媒体的丢失,以及移动和固定设备的丢失。普通用户级的云存储在用户中变得普及是特别有问题的,将数据迁移到不受信任的网络服务器,会造成数据不受企业组织的控制。
集中:集中、监控和控制数据的出口
在虚拟化的环境中,数据存储在数据中心。应用程序在服务器上执行,只需点击几下鼠标和敲击键盘,发送到用户设备——而不是数据——减轻由终端丢失、被盗或被毁坏造成的数据丢失或泄漏。企业组织可以通过阻止文件和数据库传送到工作站进一步防止大量的数据丢失。
为了防止被保存到可移动介质如USB驱动器,或在用户之间通过电子邮件发送,打印出来,或以其他方式暴露造成数据丢失或被盗,企业组织的IT部门可以采取集中管理的策略来控制用户对于企业数据的保存、复制、打印或以其他方式移动数据。设备管理政策,进一步提高了数据的安全性,包括:
·通过阻止虚拟通道,如客户端驱动器映射、打印和复制/粘贴,实现客户端数据从应用程序的分割。
·定义文件夹重定向到用户的“我的文档”文件夹的映射到数据中心的中央文件存储。
·限制文件存储在哪里,以防止终端的丢失,被盗或破坏。
(责任编辑:安博涛)