2016-12-22 12:07
需求分析
以电子文档为主的内部泄密正在成为企业内部数据安全的最大威胁。防火墙,入侵检测或专网,可以很大程度有效防止外部人员非法访问,但不能防止内部人员通过Mail或者U盘将一些敏感文件发送给其他人。来自内部的安全威胁逐年增加,信息安全的主要隐患已经从外部入侵逐渐转变为内部人员使用信息的不可控性上。作为敏感信息的载体—企业文档的安全已经成为信息安全领域最受关注的热点问题之一。
总体方案
Citrix集中上网解决方案从原理上解决了上述问题,用户桌面的PC不能直接访问互联网,所有的互联网访问都必须通过发布在CitrixXenApp上的相关应用(例如IE、MSN、QQ、FTP等),管理员可以根据用户的帐号来决定用户是否可以使用特殊的应用(例如只有开发人员可以使用FTP工具)。集中上网的XenApp服务器由管理员统一管理,最终用户只有普通用户权限。通过这样的改变可以方便地实现:
a) 防止P2P软件的泛滥,用户的PC不能直接上网,能够上网的XenApp服务器上不能安装任何P2P软件;
b) 用户的客户端不再被来自互联网的病毒、蠕虫、木马等攻击,因为浏览器(IE)运行在XenApp服务器上;
c) 管理员在XenApp服务器上集中统一设置IE安全选项,安装防病毒软件,由管理员负责更新病毒码,定期扫描等;
d) 只有被授权的用户才能访问特定应用,例如用户是否能用MSN、QQ等IM软件都是由管理员设定;
e) 设置针对部分用户的录像审核功能,利用屏幕录像高效记录用户的上网行为。
Citrix集中上网管理系统架构如下图所示:
技术原理
Citrix应用集中解决方案的核心是虚拟化技术,虚拟化计算的核心是ICA协议,ICA协议连接了运行在XENAPP服务器上的应用进程和远端客户端设备,通过ICA的32个虚拟通道(分别传递各种输入输出数据如鼠标、键盘、图像、声音、端口、打印等等),运行在中心服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上,因此虽然应用客户端软件并没有运行在客户端设备上,但是用户使用起来和在客户端安装运行客户端软件相比,没有感觉任何操作上的改变。
XENAPP虚拟化应用发布原理如下图所示:
性能方面改进的技术原因是:ICA传输的主要为人机交互数据,例如屏幕刷新和鼠标键盘信息,同时ICA协议是一种高效率的数据交换协议,采用了大量的数据压缩、加密和连接优化技术,因此每一个用户的连接只占用10-20Kbps的网络带宽。使用Citrix集中模式可以有效地降低数据传输,大大提高整体性能。
安全性方面改进的技术原因是:客户端直接访问后台时,之间传输的数据是真实的企业应用数据,该数据会被缓存在用户本地或在传输中被截获,这些都是不安全因素;而用户访问XENAPP服务器时,之间传输的是屏幕增量变化信息和鼠标键盘变化信息,用户端无任何应用数据缓存在本地,同时中途截获这些信息然后反推出用户真正的业务操作和数据比直接截获业务数据困难上千倍。因而可以说数据总是存放在最安全的地方。XENAPP带来的最大益处是采用应用虚拟化方式阻止数据任何时候离开数据中心。对于远程用户从公网访问内网,XENAPP通过严格的用户认证进行安全权限控制。对于企业越来越严格的审计要求,应用XENAPP虚拟化发布应用可以提供复杂的内控和审计功能。对于受控用户或敏感操作,XENAPP可以提供用户操作应用软件的记录监控,管理人员不仅可以实时在线地监控用户的屏幕操作,还可以用类似录像的方式记录下来,以备审计或回朔检查。
Citrix集中应用发布平台的核心产品是Citrix XenApp Server,提供了全面的性能优化、集中管理等功能,下面就XENAPP主要功能进行描述。
1)图像加速
XENAPP不仅降低了在客户端数据传输量,还提供了多种窄带网上的图像加速功能,如:
· 图形加速:针对如JPG等图片的传递,XENAPP提供了进一步的图形压缩,如采用大比例的JPG压缩算法等降低实际的图形传递数据量
· FLASH加速:针对浏览器中的FLASH插件进行加速,可以提高大多数WEB应用的现实效率
· 移动图像加速:针对用户对图像进行平移或转动的操作,在窄带网络上会消耗大量的带宽,XENAPP提供了降低图形分辨率的方式,当图像移动时降低分辨率以减少传输,当图像停止下来后,再还原分辨率
· 延时加速:XENAPP的会话连接会针对无线网络进行优化,当窄带网络有很大延时时,会提供本地回显和鼠标响应等优化手段。
2)单点登录
当用户通过了身份认证后,XENAPP可以自动管理后台应用的帐号和口令,CitrixPassword Manager(简称CPM),可以实现多系统登陆口令的自动管理,对应用系统无任何改动,是领先的企业单点登录解决方案。
CPM从根本上改变了传统的多口令管理方式。使用它,用户可直接登录OA系统或业务系统,且口令得到了更高的安全保障。以前,用户需记住10个,甚至20个口令,而且还必须弄清楚哪个应用配的是哪个口令,现在通过CPM的部署使用户只需一次身份验证,其余的工作将由CPM完成。它将自动接入受口令保护的信息资源,执行严密的口令策略,监控口令相关事项,自动化终端用户工作,例如口令变更,可以按照系统要求的口令策略自动生成口令。
3)智能审计
通过Citrix应用发布平台,任何用户使用应用的过程中可以被全程监控:用户的操作行为及显示器上的内容变化可以通过ICA协议存放到磁盘上,然后在需要的时候像看电影一样回放。
由于ICA协议高效率地节省网络带宽,因此通过ICA记录下来的用户操作录像非常节省空间,经过测试,一个员工一整天的操作全部通过ICA记录下来,生成的文件大小不会超过20M。
同时为有效利用资源和保护隐私,Citrix解决方案也允许灵活定制以时间、角色、应用名称、位置为参数的录像策略来控制录像的开始和停止。
4)智能访问
XENAPP提供了全面的安全访问控制,所有访问XENAPP服务器的用户,都会经过AAC高级访问控制,进行严格的权限控制。XENAPP的智能访问控制能够根据不同用户接入时的不同场景,将有相应的接入策略与之对应,并控制用户使用企业资源的过程和操作。
例如当用户从企业内部网络来访问企业门户中的各种资源时,XENAPP监测到该用户访问从信任网络发起(内部网络)后,该用户可以接入的企业资源及可以进行的对资源的操作权限相对较大;当用户作为企业移动用户来访问企业门户中的各种资源时,该用户可以接入的企业资源及可以进行的对资源的操作权限是有限的;毕竟,该用户是从外网接入,我们需要对其进行策略控制。当用户使用网吧计算机通过极其不安全的公共网络接入的企业资源及进行的对资源的操作权限我们是必须要对其进行严格控制的,此时,该用户会发现很多资源只能浏览而没有更多的控制能力。
5)性能监控
XENAPP性能监控工具可以方便地监控XENAPP服务器、访问客户端、网络等全方面的使用、错误、报警、性能、软硬件变更、硬件资源情况、软件使用情况、以及License管理等等。
通过性能监控工具,管理人员不仅可以追踪用户对应用软件的使用情况,提前预知系统的性能问题,并且保存数据,以供分析和产生报表。
6)负载均衡
XENAPP内置了负载均衡功能,用户无需额外购买任何组件。XENAPP的集群名称叫做Farm,在一个Farm之内负责计算负载量和分配连接的XENAPP服务器的角色叫做DataCollector,所有XENAPP服务器的负载状况会存入数据库并实时变化,Data Collector会查询Farm内所有XENAPP服务器的负载情况,决定将下一个连接交给Farm内哪一台最空闲的XENAPP服务器。如果一台DataCollector失效,会有备份的XENAPP接替。
XENAPP提供给用户多种负载均衡算法,其指标包括:CPU利用率、内存使用率、磁盘交换等十多项指标,用户还可以针对不同应用类型自行定义负载指标的组合。