Citrix超越企业边界的安全性白皮书

（思杰应用交付）随时随地保护企业信息CitrixApplicationDelivery白皮书目录综述3引言3数据的广泛分布使安全风险不断增加..................................................................................3传统的安全保护措施不能扩展到企业边界外.........................................................................4企业必须重新考虑安全性，将重点从网络转移到数据上.....................................................5CitrixXenApp的应用交付方法6确保关键业务数据始终在IT部门控制之下............................................................................6白金版CitrixXenApp将安全性提升到新高度........................................................................7利用其它思杰产品构建合适的解决方案..............................................................................8结语8现在，企业需要采用一种超越公司边界的安全保护方法......................................................83综述对那些希望在全公司范围有效保护企业和客户信息的现代企业来说，坚不可摧的安全性已成了万能钥匙。日益普遍的全球化和员工移动性的不断提高使数据的分布范围日益扩大，敏感数据越来越多地传播到企业网络范围之外，这无疑增加了数据安全漏洞。保护企业数据变得越来越难，安全性理所当然地成了大多数IT机构工作的重中之重。然而，单靠部署最新的防火墙、防病毒或加密工具并不能拒日益狡猾的入侵者于网络之外。不光是黑客，有组织的犯罪、心怀不轨的内部员工和不经意间的错误都会使这些防线形同虚设；当关键数据不在IT部门控制范围之内时尤其如此。而且，应对安全威胁的重任使IT部门疲于应付。仅仅要求定期进行及时更新和维护的传统安全控制解决方案显得无能为力。新的蠕虫攻击，被盗的笔记本电脑或狡诈的访问权限修改都会迅速演变为一场灾难。在用户设备必须独立部署和维护的情况下，情况会变得更加糟糕。此外，接入控制及其他安全保护措施会降低最终用户的生产率，这使IT部门更加头疼。单纯靠使用更多工具来解决问题不是有效的解决办法。相反，IT部门需要一种全新的方法来应对面临的严峻挑战——这种方法必须使“位置”变得无关紧要，而且有望保护任何地方的重要企业信息。CitrixXenApp™(CitrixPresentationServer™的新名称）就是这样一种解决方案。它将传统的应用部署方法转变为应用交付方法应用交付方法，使IT部门可以全面控制整个企业范围内数千种应用中创建、共享和散发的企业数据。在应用交付方法中，只有应用的“屏幕的显示变化量”被动态地交付给最终用户，而应用本身及其企业数据仍保存在主机服务器中。继续阅读，将发现CitrixXenApp的应用交付如何提供一种更智能的新方法来保护安全性，使IT部门可以获得最终的控制权，确保全面的安全性和监管法规遵从而不降低业务性能和生产率。引言数据的广泛分布使安全风险不断增加目前，业务交易无处不在。快速的全球扩展和日益增强的员工移动性使企业信息迅速流入新的未知领域。不管是通过互联网、笔记本电脑、国外办事处、手机还是在家里，企业数据的使用范围不断扩大，使用方式日趋多样化，风险也随之增加。随着企业业务的扩展，与外界的联系点也不断增多，敏感的企业数据通过数十种用户设备、众多工作站点和业务应用传播到外界。企业数据的数量或安全漏洞之多达到了空前的地步。每个联系点都是一个可能带来安全威胁的环节，数据安全性变得比以往任何时候都更为重要，同时也成了一个非常难以实现的目标。4专业的黑客、有组织犯罪团体、身份信息窃贼和企业竞争对手都会采用更复杂的策略和攻击手段，尝试突破并利用这些安全漏洞。即便是一起安全事件（如客户信息被盗）都足以让企业蒙受数百万美元的损失，更不用说无法用数字衡量的客户信心的丢失。内部安全威胁也是有增无减，平均每5起安全攻击事件中有一起就是从企业内部发起的。1在当前监管要求日益严格的行业内，恶意内部用户造成的数据丢失和损坏（以及防止代价高昂的安全错误的任务）引起了人们日益广泛的重视。企业必须作好准备，有效应对这些入侵。因此，安全性顺理成章地成为排在IT部门工作日程最前面的重点工作，占用了大量预算和资源。所有公司都广泛采用了一整套安全工具，包括防火墙、病毒防护和接入权限限制等，占用了IT部门很多时间和精力。但是，如果要控制那些必须从企业边界外接入的信息，这些传统的安全保护措施就显得无能为力。传统的安全保护措施不能扩展到企业边界外不管你承不承认，企业的边界正在消失，因此很难界定，更不用说防护了。单纯将公司网络和其他公司控制的系统保护起来的方法已远远不够。现在，企业必须设法有效地保护企业和IT控制范围以外任何地点上的关键数据。企业信息存在于各种应用中企业信息存在于各种应用中大多数企业数据是在各种用户应用中创建、共享和分发的，而这些应用通常都是企业的生命线，包括生产率提高工具、交易处理应用等。某些企业内运行的不同应用达数百种之多，有些甚至多达数千种。在很多最终用户设备（包括台式电脑、笔记本电脑和PDA等）和员工工作场所都有这些应用的身影，包括现场、家里或飞机上。对这些数据进行有效控制是保护安全性的关键。将思维扩展到防火墙之外将思维扩展到防火墙之外如果安全工作的重点仅仅局限于网络，这一点很难实现。例如，如果某员工在家里工作，不在虚拟专用网（VPN）范围内，您如何跟踪用户活动？如今，内部网络和外部网络间的界限，以及防火墙“内部”和“外部”间的界限变得日益模糊，不再考虑网络的界限显得更为合理。单一功能产品无能为力单一功能产品无能为力同时，其它传统的安全保护措施并不能提供全面的保护。防病毒和防间谍软件是有用的安全威胁防护产品；然而，要让它们发挥作用，必须达到一定的条件。这些软件主要以负面安全模式（negativesecuritymodel）运行，需要连续不断地更新和修改才能保证适用性——这在全企业范围内部署时无疑会成为一项繁重的工作。作为安全解决方案的关键组件，它们本身不是一种安全解决方案，在企业边界以外提供的保护很有限。有限制的接入权限被分配给不适当的人有限制的接入权限被分配给不适当的人认识到这些不足之处后，许多IT部门都依靠限制接入权限的方法来降低风险。实施严格的网络接入限制确保了企业数据只会由适当的人员进行保管。情况是这样吗？很常见的情况是，接入成了一种非全有即全无的极端方法。获得接入权限后，用户就有了一切权利。他们可以拷贝、打印、分发甚至销毁数据，几乎不受任何限制。大多数接入策略都不够细，而且/或不能适应当代企业中的许多工作场景，也未考虑这些场景可能需要快速修改接入策略和控制手段。如果对接入的限制过多，或过于烦琐，就会降低员工工作效率。通常，这些员工在完成工作的过程中会找到新的方法来绕过安全控制方法，这样就进一步加大了风险。对那些最终被证明不完善的安全保护措施来说，这通常都是必须付出的沉重代价。CitrixApplicationDelivery白皮书5推陈出新推陈出新要点：传统的安全保护措施不能满足现代企业的管理需求和监管遵从要求。在这些过时的模式中，用户通常使用传统的应用部署模型来部署安全控制机制，然后徒劳无益地尝试管理控制范围以外的内容。最终，事实证明这种方法非常低效而且不安全，效果也是越来越不尽入人意。不安全的企业不安全的企业–传统的工具不能有效地扩展用于保护关键任务数据企业必须重新考虑安全性，将重点从网络转移到数据上。为了应对这些挑战，企业必须采用一种全新的安全保护方法，颠覆传统工具，注重保护整个企业内及企业外所有的敏感企业数据。利用这样一种方法，安全性就可以和企业的业务开展方式相得益彰。所有应用数据都可以在IT部门的全面控制之下而不受用户设备或位置影响。数据虽然仍存在并应用于整个企业范围内，但都保存在企业数据中心内，不会流失到企业外。IT部门可以根据对用户活动的全面了解来智能地进行控制。这样，IT部门就可以通过精细的控制方法来分配接入权限并使用数据。而这种控制方法可以轻松快速地进行修改，适应各种不同的工作场景——例如，仅允许用户查看某种应用的数据，同时允许打印另一种应用的数据等。这样就可以有效地捕获所有活动信息，合理掌握并解释用户的数据行为，轻松达到监管法规要求。最后，这种新方法可以提供坚不可摧的安全性而不降低用户生产效率和性能。用户只需要一个接入密码，而不需要在接入不同应用时输入不同的密码。所有安全措施对用户都是透明的，因此可确保业务运行不会中断。企业可以为数据创建一个更安全的存储环境，同时大大改进支持和维护应用的方式。在远距离内传输整个应用（包括所有内部数据和代码）的方法再也不实用也没有必要，同时可以降低关键企业信息被非法访问的风险。CitrixXenApp提供的应用交付方法可实现真正的安全性。LASONIndia-一家著名的美国业务流程外包（BPO）公司，采用思杰解决方案来确保客户数据的全面安全性，同时将离线BPO工作的效率提高了300%。完整的案例分析请访问：=20777。笔记本电脑：如果丢失或被盗，有多少敏感数据将面临风险？有多少数据在公司之外？防火墙：防火墙内的数据真的都很安全吗？加班人员：有谁在监视着他们？公司PC机：总是被动地响应安全威胁。承包商：他们能看到多少贵公司的数据？数据中心：您可以安全地存放数据的唯一地方，不管是物理上还是逻辑上。打印文件：您如何控制阅读文件的用户？6CitrixApplicationDelivery白皮书CitrixXenApp的应用交付方法确保关键业务数据始终在IT部门控制之下。CitrixXenApp是应用交付基础架构的一个基本组成部分。XenApp利用应用交付方法来取代应用部署方法，有效地帮助企业企业达到监管遵从和安全目标，使安全保护变得异常简单。在应用交付方法中，最终用户只在需要的时间和地点获得与应用交互所需的功能，而整个应用及相关数据安全地保存在数据中心内，在企业和IT部门的全面控制之下。应用可以实现虚拟化并/或以流的形式发送，为在线和离线使用提供最佳的体验。XenApp的额外内置保护措施还可以进一步增强安全性和保护功能，包括先进的接入工具和密码管理。在应用交付方法中，虚拟化技术可以从主机操作系统中提取应用程序，然后在任何设备上运行。这有助于大大增强安全性和遵从监管法规，更不用说对提高企业总体生产率的帮助了。帮助全球各地的企业迅速而经济高效地管理应用程序的那些技术现在也正在改变企业实现安全性的方式。接下来让我们看看XenApp的应用交付增强安全性的更多方式：数据尽在数据中心数据尽在数据中心XenApp可防止数据在没有明确许可的情况下离开数据中心。应用都集中在数据中心内而不是分散在整个企业内，因此管理应用和相关数据要容易得多。主机服务器可以动态地更新每个会话，确保所有安全补丁和更新都是最新的而且得到及时安装。应用以虚拟化方式运行，并与客户端操作系统环境隔离开来。监管遵从可得到大大简化，因为不再需要广泛的测试来对应用进行认证。此外，由于可以对应用使用和分发进行限制，IT部门可以更有效地进行控制。适合所有位置上的所有用户适合所