Melhores práticas para a - Mobilize Your Business with ... · medidas críticas por meio de uma solução altamente integrada baseada em confidencialidade, ... alguma coisa que usa,

Whitepaper

citrix.com

Melhores práticas para a segurança corporativa Produtividade segura para a força de trabalho moderna

Como a Citrix ajuda as organizações a gerenciar os riscos e dá poder à mobilidade corporativa ao controlar o acesso aos aplicativos e dados em qualquer lugar, rede e dispositivo.

Whitepaper

citrix.com 2

Melhores práticas para a segurança corporativa

A TI e os líderes de segurança enfrentam hoje em dia o desafio de

reduzir os riscos para níveis aceitáveis e assegurar a facilidade de

uso e a produtividade dos funcionários. As pessoas devem conseguir

trabalhar quando e como precisam, ou seja, em qualquer lugar, com

qualquer dispositivo ou rede, sem ficarem frustradas por uma

experiência restringida ou complexa. Ao mesmo tempo, é essencial

proteger os aplicativos e dados da empresa de serem atingidos por

ameaças à segurança, prevenir perdas e roubos e assegurar o

cumprimento dos padrões e normas.

A Citrix suporta as melhores práticas de gerenciamento de riscos nos cinco pilares chave da

segurança corporativa: identidade e acesso, segurança da rede, segurança de aplicativos, segurança

de dados e monitoramento e resposta. Habilitamos os clientes a implementar e gerenciar estas

medidas críticas por meio de uma solução altamente integrada baseada em confidencialidade,

integridade e disponibilidade. Um modelo maduro de entrega de aplicativos centraliza os

aplicativos e os dados no datacenter e dá controle de acesso contextual em qualquer lugar, rede e

dispositivo. Como resultado, funcionários, contratados e parceiros têm a flexibilidade de escolher

como trabalham: no escritório, remotamente ou móvel. A visibilidade de ponta a ponta das

conexões, tráfego e atividades dos usuários permite que a TI lide com as prioridades de privacidade,

conformidade e do gerenciamento de riscos sem comprometer a produtividade da força de

trabalho. A integração com produtos de segurança de terceiros possibilita níveis avançados

de gerenciamento de sistemas e proteção das identidades, pontos de extremidade e da rede.

Este whitepaper explora as melhores práticas para abordar a produtividade dos usuários e os

desafios de segurança e explica como as soluções Citrix altamente integradas permitem que os

clientes usem todos os benefícios da mobilidade enquanto gerenciam os riscos.

Gerenciamento de risco

Confidencialidade Integridade Disponibilidade

Identidade e acesso

Segurança da rede

Segurança dos aplicativos

Segurança dos dados

Monitoramento e resposta

Produtividade segura na empresa modernaO desafio de segurança que as empresas estão enfrentando hoje em dia está crescendo

rapidamente em duas dimensões, exacerbado pelos dois níveis crescentes de risco e pela contínua

evolução e diversificação dos aplicativos. Ao mesmo tempo, a produtividade móvel – uma

capacidade crucial para qualquer empresa – depende de uma experiência conveniente, estável e

Whitepaper

citrix.com 3


confiável para os usuários, independente de onde estejam e de como trabalham. Isso precisa ser

estendido para qualquer tipo de aplicativo, qualquer rede e qualquer dispositivo que usem. Mesmo se

as exigências da força de trabalho móvel aumentarem muito e ficarem muito mais complexas, a TI

precisa continuar a empenhar-se para conseguir simplicidade.

Na Citrix achamos que uma excelente experiência para os usuários anda lado a lado com a

segurança. Nossa soluções são criadas de acordo com as melhores práticas de segurança e

projetadas para proteger o que importa – dados, aplicativos e uso – e possibilitar escolha, liberdade e

uma experiência perfeita para os usuários em qualquer cenário. Estas medidas incluem:

Identidade e acesso

• Autenticação de dois fatores para todos os usuários

• Autorização de menos privilégios

• Controle de acesso com base no contexto do usuário

Segurança da rede

• Acesso remoto seguro para usuários móveis e terceiros

• Segmentação de rede e de host para diminuir as superfícies de ataque

• Um método de várias camadas para assegurar disponibilidade

Segurança dos aplicativos

• Entrega de aplicativos centralizada e criptografada

• Contêinerização dos aplicativos móveis

• Inspeção para proteger os aplicativos web

Segurança dos dados

• Entrega de dados centralizada e hospedada

• Compartilhamento de arquivos seguros para reduzir perdas de dados

• Contêinerização para dados em trânsito e em repouso

Monitoramento e resposta

• Visibilidade de ponta a ponta do tráfego dos aplicativos

• Auditoria e contabilidade dos recursos de acesso

• Suporte para conformidade com padrões e normas

Estas melhores práticas, exploradas profundamente a seguir, definem nosso método de segurança

em todos os nossos produtos. Estes são os benefícios das soluções:

• Citrix NetScaler para contextualizar e controlar a conectividade com um sistema de ponta a ponta

e visibilidade dos usuários

• Citrix XenApp e XenDesktop para gerenciar aplicativos e desktops centralizadamente dentro do

datacenter

• Citrix XenMobile para proteger aplicativos e dispositivos móveis com uma excelente experiência

para os usuários

Whitepaper

citrix.com 4


• Citrix Sharefile para dar acesso, storage e compartilhamento, controlados e auditados, de dados,

nas instalações e na nuvem

Desta forma ajudamos as organizações a atender as exigências de segurança e os objetivos da

empresa sem dificultar a produtividade.

DMZ Aplicativos e dadosControladores de entrega

DMZ No localGerenciamento de Serviços

Aplicativos Windows

Aplicativos SaaS e Web

Aplicativos móveis

SharePoint e compartilhamento de arquivosStorage Zones

Trabalhadores de escritório

Trabalhadores móveis

Filiais

Arquitetura Citrix

StoreFront Monitoramento Provisionamento

Autenticação Lógica analítica Automatização

Desktops

os móveisos móveis

g nes

Identidade e acessoEvitar acesso não autorizado aos aplicativos, dados e à rede é uma exigência fundamental da

segurança. Usuários de todos os níveis, trabalhadores da área de negócios, administradores e

executivos, são visados frequentemente por ataques de phishing. Uma violação danosa é somente

uma olhadela em um e-mail ou um URL mal digitado. Os invasores enfocam em roubar credenciais. As

senhas, mesmo se forem fortes e sempre mudadas, não são mais suficientes para evitar o

compromisso das medidas de segurança, como a criptografia de um banco de dados. Uma única

combinação de nome de usuário/senha roubada pode ser suficiente para desbloquear muitos sites e

serviços– uma ação descuidada em uma conta pessoal de mídia social pode colocar o principal

produto ou serviço da organização em risco. Gerenciar o acesso dos usuários exige um método

equilibrado que seja conveniente para os usuários e mais seguro que uma simples combinação nome

de usuário/senha.

Autenticação: autenticação de dois fatores para todos os usuáriosDevido à vulnerabilidade das senhas, a autenticação de dois fatores aos aplicativos e desktops é

essencial para uma segurança efetiva. O princípio é exigir duas formas diferentes de autenticação–

uma que somente o usuário sabe e a segunda, alguma coisa que usa, como um token físico. Isso

coloca uma barreira na personificação do usuário, mesmo que a senha principal esteja comprometida.

Como parte disso, a autenticação deveria ser acrescentada aos aplicativos legados que não tem

suporte nativo. Esta capacidade é oferecida pelo NetScaler e pelo XenApp.

Para incentivar o uso de senhas fortes e reduzir a confusão e a frustração dos usuários, a TI pode usar

medidas que permitam uma experiência de login perfeita, inclusive:

Whitepaper

citrix.com 5


• Federação de identidade – Os usuários podem precisar um conjunto de credenciais adicionais

para usar os serviços de nuvem de terceiros. Ao compartilhar com segurança os dados de

autenticação e autorização entre partes em redes públicas, a federação de identidade elimina a

necessidade de um login separado. Na verdade, a organização vincula o acesso aos serviços, como o

Microsoft Office 365 ao seu diretório de usuários. Se um indivíduo sai da organização, a TI pode

remover o acesso a todos os serviços de terceiros centralizadamente, de forma tão fácil quanto

remover os recursos internos. O NetScaler e o ShareFile suportam o SAML, o padrão que geralmente

lida com federação.

• Single sign-on – Em ambientes federados e não federados, o single sign-on (SSO) pode reduzir as

frustrações dos usuários ao eliminar a necessidade de inserir as mesmas credenciais diversas vezes

em diversos sistemas. O NetScaler suporta os mecanismos SSO comuns, inclusive os baseados em

formulários, em 401 e Kerberos Constrained Delegation, e pode também manter cookies da sessão

de autenticação para oferecer SSO para todos os aplicativos web acessados via website, painel ou

portal, como o Microsoft SharePoint.

Autorização: implementar autorização com menos privilégios usando o controle de acesso contextualOs usuários autenticados deveriam ser autorizados a ter acesso somente aos aplicativos, desktops e

dados essenciais para fazerem seu trabalho–o princípio de menos privilégios– com direitos reduzidos

quando não precisarem mais. E na mesma linha de raciocínio:

• Para reduzir os riscos associados a malware, os administradores não devem fazer login nas estações

de trabalho como administradores, a não ser que a tarefa requeira a conta privilegiada. Devem usar

credenciais de usuário padrão para ações rotineiras, como checar e-mails ou navegar na web.

• Os aplicativos e serviços devem ser configurados para iniciar com o menor número possível de

privilégios e as contas de serviço devem ser criadas com as mínimas permissões exigidas.

• As tarefas administrativas devem ser separadas para restringir o poder de uma só pessoas e para

evitar que uma administração desonesta consiga cometer e encobrir um ataque.

Os níveis de autorização estão tipicamente ligados à identidade dos usuários por meio da lista de

membros do grupo, mas este método pode não ter a granularidade necessária para cada caso de uso.

Uma autorização orientada por tarefas ou baseada em local pode ser mais eficaz, especialmente para

casos de uso de acesso remoto, como acesso de teletrabalhadores, offshore e de terceiros. Ao

integrar os mecanismos de acesso baseados em funções, como o Microsoft Active Directory, o

NetScaler possibilita que as políticas de acesso pré-definidas sejam personalizadas no nível do grupo

e dos usuários.

Controle de acesso: gerenciamento de acesso ao validar os pontos de extremidade As organizações usam os benefícios da produtividade e da satisfação dos funcionários, como

teletrabalho e trabalho flexível, mas também precisam mais controle de acesso granular. As políticas

de segurança podem exigir a permissão de diferentes níveis de acesso, dependendo se um

determinado usuário está trabalhando dentro ou fora da rede da empresa e também diferencia os

trabalhadores corporativos dos terceiros. A diversificação dos pontos de extremidade e o crescimento

do programa BYOD tornaram o gerenciamento de acesso baseado em dispositivos muito mais

Whitepaper

citrix.com 6


complexos. Algumas organizações permitem que qualquer laptop, computador, telefone ou tablet

acessem a rede, algumas vezes sem exigir qualquer tipo de malware, antivírus ou restrição.

As melhores práticas da Citrix exigem dar o nível apropriado de acesso a aplicativos e dados com base

nos atributos combinados do usuário, dispositivo, localização, recurso ou ação. Antes de dar acesso, o

NetScaler interroga o ponto de extremidade para ter certeza que está saudável e em conformidade

em termos da proteção da associação de domínio, antivírus e malware. Esta análise permite que o

motor de política SmartAccess acione as políticas de sessões adaptáveis com base em quem, que,

quando, onde e por que. Os administradores têm total flexibilidade para definir vários cenários de

acesso e as regras correspondentes com base nas políticas de segurança da organização, enquanto os

trabalhadores ficam livres para trabalhar em qualquer dispositivo. Para dispositivos fora de

conformidade, os usuários podem ser colocados em quarentena e receber acesso limitado para sites

e recursos de remediação.

Segurança da redeA crescente função da mobilidade na empresa moderna torna o acesso remoto uma função core da TI

e um excelente vetor para que invasores entrem na rede da organização. As consequências de uma

violação podem ser devastadoras. Uma rede de um parceiro comprometida pode levar diretamente a

um ataque à organização porque oferece um link fraco para os invasores explorarem como um

gateway de rede. Uma vez dentro da organização, os invasores buscarão aumentar seus privilégios e

irão para os componentes core, como os controladores de domínio. Em uma violação que foi

altamente divulgada, os invasores conseguiram se comunicar de dispositivos da loja em rede, como

caixas registradores, diretamente para a rede core. Nesse ponto, um backdoor ou um Remote Access

Trojan (RAT) tem pouca dificuldade em conectar-se a um servidor Command and Control (C2) usando

uma chamada de fora para um sistema externo.

Os estressores de rede e ferramentas DDoS disponíveis gratuitamente podem ser configurados e

controlados em botnets com comando e controle, como com o Low Orbit Ion Cannon (LOIC).

Ferramentas mais avançadas incluem “Internet Cannons” que armam o tráfego válido dos usuários na

internet ao reescrever as solicitações HTTP para inundar os websites visados.

Acesso remoto: acesso remoto seguro para funcionários e terceirosAs capacidades de acesso remoto permitem que usuários fora da rede corporativa acessem aplicativos,

desktops e dados. Permitir, controlar e proteger este acesso é a função do NetScaler Unified Gateway,

que:

• Estende o acesso remoto e o SSO para todos os aplicativos corporativos e em nuvem

• Consolida a infraestrutura para reduzir a proliferação dos métodos de acesso

• Intercepta o tráfego de entrada como um gateway proxy reverso antes que seja enviado para os

aplicativos no backend

• Fornece um único URL para consolidar uma ampla gama de soluções existentes ao incorporar as

capacidades necessárias para dar suporte a todos os tipos de cenários de acesso, inclusive móvel

Um destes cenários é uma SSL VPN completa oferecendo uma conexão direta no nível da rede para o

datacenter. Para a maioria dos usuários que não exigem uma VPN completa, o NetScaler oferece um

Proxy ICA para o XenApp, conectando aplicativos e desktops hospedados para o Citrix Receiver. Como

Whitepaper

citrix.com 7


com a SSL VPN, todos os dados transmitidos entre o cliente e o datacenter são criptografados. Esta é

a configuração recomendada para ambientes altamente seguros, inclusive PCI DSS. Um URL dá aos

usuários finais um único lugar para acesso remoto à web, SaaS e aplicativos Citrix a partir de qualquer

dispositivo, com a habilidade de ter autenticação de dois fatores, SSO e Federação.

O NetScaler simplifica e centraliza o controle de acesso e a visibilidade ao fornecer um único ponto de

configuração e aplicação. O SmartControl age como um firewall ICA para centralizar o controle de

acesso para gerenciar autorizações contextuais com base em parâmetros, como por exemplo, um

dispositivo OS cliente e níveis de patch, e se há um antivírus instalado e atualizado. Os recursos

também podem ser bloqueados com base no cliente, servidor IP, porta, usuário e lista de membros do

grupo. Recursos como cortar e colar, mapeamento, mapeamento do drive cliente ou impressão

podem ser ativados por aplicativo para dar o nível certo de acesso.

Segmentação: implementação das zonas de segurança de rede A segmentação estende a regra de menos privilégios para a rede e hosts ao definir as zonas de

segurança que minimizam o acesso não autorizado a aplicativos e dados confidenciais. Os firewalls e

os gateways restringem o tráfego para seus zonas respectivas reduzindo o movimento lateral e a

superfície de ataque que contém o raio de alcance de uma violação.

As medidas de segmentação com suporte do NetScaler são:

• Autenticação e proxy de conexões cliente no DMZ para bloquear pacotes mal formados e

solicitações mal intencionadas.

• Otimização, multiplexação e limitação das taxas das conexões para servidores backend para

proteger seus recursos

• Uma arquitetura definida por software que usa a virtualização para ativar a plataforma de

hardware para dividir em instâncias separadas e única, cada uma com SLAs separados e memória

atribuídas, SSL CPU e NICs virtuais, que são compartilhados ou dedicados.

O NetScaler é arquitetado com segmentação como um princípio de design.

• Domínios de tráfego segmentação do tráfego para diversos aplicativos e locatários em ambientes

de rede totalmente isolados em um único dispositivo.

• Partições de administração segmentação individual de dispositivos NetScaler em recursos

separados com administração dedicada e login separado na interface, arquivos de configuração e

registros em log–por exemplo, usando partições específicas dos aplicativos para as equipes de

aplicativos da Citrix, de rede e da Microsoft.

Disponibilidade: uso inteligente do balanceamento de carga e da proteção em várias camadas de negação de serviço. A disponibilidade sofre diariamente com as falhas de hardware e software, assim como ataques DDoS,

que interrompem os serviços por meio da exaustão dos recursos de largura de banda, computação e

memória.

O balanceamento de carga, uma função core do NetScaler, distribui as solicitações cliente de entrada

em diversos servidores que hospedam aplicativos web e conteúdo. Isso evita que um servidor se torne

um único ponto de falha e, junto com os métodos de otimização da utilização, como Least Connection

Whitepaper

citrix.com 8


ou métricas baseadas em SNMP melhora a disponibilidade e a capacidade de resposta do aplicativo.

O balanceamento global de carga de servidores (GSLB) oferece uma camada extra de proteção e

otimização para organizações com diversos sites e serviços distribuídos geograficamente. Como parte

do seu método de diversas camadas para disponibilidade, o NetScaler também oferece:

• Proteção DDoS – O NetScaler verifica a conexão cliente e solicita parâmetros para evitar ataques de

inundação, como SYN, UDP, ICMP, Smurf e Fraggle, esperando para fazer proxy na conexão até que

uma solicitação válida do aplicativos tenha sido enviada.

• Descarregamento SSL/TLS – Ao fazer proxy, validar e, se precisar, limitar a taxa das conexões, o

NetScaler protege os serviços web contra ataques como HeartBleed, Shellshock e Poodle

que visam as vulnerabilidades SSL/TLS.

• Proteção contra sobretensão e enfileiramento prioritário – O NetScaler reduz os picos de

tráfego e sobretensões que podem sobrecarregar os servidores backend usando cachê e

priorizando as conexões e depois entregando somente quando a carga do servidor diminuir. O

NetScaler também oferece proteção DNS para servidores DNS e suporte DNSSEC para evitar que

registros de host forjados e corruptos se espalhem para novos alvos.

Segurança dos aplicativosAplicativos de todos os tipos são alvos comuns de explorações. Mesmo quando os pesquisadores de

segurança descobrem uma vulnerabilidade antes que os hackers, pode levar meses até que os

sistemas da organização sejam patch e atualizados. Mesmo assim, muitas violações bem-sucedidas

exploraram vulnerabilidades para as quais patches estiveram disponíveis durante anos, apesar os

modelos maduros de entrega de aplicativos com processos estabelecidos para encontrar, testar e

reparar o software vulnerável a tempo.

Em dispositivos móveis, os aplicativos instalados nativamente enfrentam riscos, como storage de

dados não seguro, transmissão de dados não segura e vazamento de dados confidenciais. Como os

smartphones e tablets se tornaram rapidamente um padrão de negócios, a separação entre os

aplicativos pessoais e corporativos não é mais tão clara e expõe dados confidenciais aos riscos de

compartilhar usando cloud storage, em redes sociais, entre aplicativos e entre colegas.

Os aplicativos web ficam vulneráveis por causa de uma configuração de segurança pobre,

gerenciamento de patch incompleto do sistema operacional subjacente, vulnerabilidades da

linguagem de código ou vulnerabilidades sem patch e dia zero nas instalações de terceiros. Os

aplicativos legados ou sem suporte arriscam ser atacados por ataques que fazem adulterações

campos, transbordamento de dados ou fazem uma injeção de comando e executam o código

remotamente. Os ataques na camada dos aplicativos estão muito acima dos controles dos firewalls de

rede e IDS/IPS, que não entendem ataques lógicos.

Centralização: virtualização de aplicativos e exigência de entrega criptografadaA virtualização de aplicativos protege os dados confidenciais ao centralizar os aplicativos no datacenter

e permitir somente uma representação em pixels do aplicativo para alcançar o ponto de extremidade–

não ocorre nenhuma transferência de dados real. A virtualização também permite a classificação dos

aplicativos com base nas suas exigências de segurança; os aplicativos confidenciais podem ser

colocados em silos em servidores dedicados, dentro de um segmento separado da rede com

classificações e restrições de confidencialidade diferentes, e diversas versões isoladas de navegadores

da web podem ser publicadas para abordar as variadas exigências de segurança e legadas dos

Whitepaper

citrix.com 9


aplicativos web. A TI ganha um único ponto de visibilidade e controle para definir e aplicar as políticas

de acesso para um grupo ou nível de usuários.

A configuração descentralizada de segurança e o gerenciamento de patches dos aplicativos instalados

localmente são ineficientes e, frequentemente, inconsistentes. Com a centralização, os patches do SO,

pacotes de serviço, hotfixes e atualizações de aplicativos e configurações são feitos em uma única

imagem mestre, o que acelera os testes e a distribuição. Os ataques baseados em pontos de

extremidade, como memória ou RAM scraping, deixaram de ser um risco.

A funcionalidade e a comunicação entre o cliente Citrix Receiver e os servidores XenApp acontece em

canais virtuais para gráficos, discos, portas COM, portas LPT, impressoras, áudio, vídeo e smart cards

com as políticas do XenApp controlando a capacidade de salvar, copiar, imprimir ou movimentar

dados. Para organizações que exigem uma camada extra de proteção, o SmartControl no NetScaler

faz filtragem no nível da rede. A criptografia é integrada em cada componente do fluxo de

comunicação, inclusive no ICA de diversas camadas e SSL/TLS.

Contêinerização: gerenciar aplicativos móveis para evitar perda de dadosAs melhores práticas da Citrix para segurança de aplicativos móveis são baseadas em contêinerização,

uma forma de segmentação no nível do dispositivo. Os usuários podem usar um único dispositivo com

aplicativos pessoais e corporativos, e os aplicativos e dados corporativos são gerenciados pela TI. A

segurança do hardware, sistema operacional e aplicativos individuais é estendida pelas medidas de

segurança baseadas em contêineres, inclusive storage e uso criptografado, controle de dados de

aplicativo a aplicativo e políticas de apagamento de dados.

Usando o método de contêinerização, o XenMobile permite que as organizações centralizem o

gerenciamento, a segurança e controle dos aplicativos, dados e configurações.

• Micro-VPN – O XenMobile e o NetScaler oferecem túneis micro-VPN dedicados para aplicativos

nativos móveis; as sessões SSL/TLS criptografadas entre o aplicativo e o NetScaler são protegidas de

outros dispositivos e das comunicações micro-VPN para assegurar que os recursos na rede interna

não fiquem expostos ao tráfego de aplicativos pessoais infectados com malware.

• Validação de dispositivo – Como a contêinerização sozinha não pode assegurar a segurança de

um dispositivo que foi jailbroken ou tem raiz, para permitir a instalação de aplicativos pirateados ou

não validados– um vetor comum para malware designado para adquirir status de super

administração– o XenMobile valida o status do dispositivo e bloqueia dispositivos jailbroken antes

do registro do dispositivo.

• Aplicativos nativos gerenciados – Os aplicativos de produtividade corporativos móveis da Citrix

incluem o WorxMail e o WorxWeb, que oferecem e-mail e navegação na web seguros e gerenciados.

Instalados nativamente em dispositivos móveis, são colocados dentro de um contêiner seguro que a

TI pode gerenciar, controlar, bloquear e apagar remotamente sem tocar os dados ou aplicativos

pessoais que estão no dispositivo.

Inspeção: proteção de aplicativos web contra ataquesOs aplicativos web são excelentes alvos para hackers, oferecendo uma superfície de ataque altamente

vulnerável com conectividade direta a bancos de dados que contêm informações informações

confidenciais de clientes e da empresa. Tais ameaças são frequentemente concebidas

especificamente para o alvo, fazendo as identificações por camada na rede, como sistemas de

Whitepaper

citrix.com 10


proteção de intrusão e firewalls de rede. Isso deixa os aplicativos web expostos a ataques na camada

dos aplicativos usando explorações conhecidas e dia zero. O NetScaler AppFirewall fecha esta lacuna

ao entregar segurança centralizada na camada dos aplicativos para aplicativos e serviços web.

Os ataques lógicos com base em falhas de injeção, exploram a falha do aplicativo em filtrar a

interação do usuário, como quando uma injeção SQL é usada para passar comandos arbitrários

através de um aplicativo executado pelo banco de dados. O Cross Site Scripting (XSS) usa os

aplicativos web como arma para atacar outros usuários, novamente por meio de uma falha na

validação. Como parte do aplicativo, a carga útil é devolvida para o navegador da vítima, onde é

tratado como um código e executado para fazer sequestro da sessão ou tentar roubar credenciais por

meio de phising.

O AppFirewall armazena padrões de injeção personalizados para proteger contra ataques de injeção

de todos os tipos.

• Os administradores podem usar a proteção do formato de campo para restringir os parâmetros dos

usuários com expressões comuns; os campos do formulário são verificados para assegurar que

estão consistentes para validar que não forma modificados.

• Para evitar injeção SQL, o AppFirewall inspeciona as solicitações para ver se a combinação da

palavras-chave e caracteres SQL.

Para uma proteção dinâmica e com contexto sensível contra ataques XSS, o AppFirewall procura

entradas que se assemelham com uma tag HTML e faz uma comparação dos atributos e tags HTML

permitidos para detectar scripts e ataques XSS.

Como os aplicativos web são frequentemente alvo de ataques DDoS, a proteção precisa ser estendida

para além da rede e das camadas da sessão. O NetScaler usa a proteção DDoS no nível dos aplicativos

para bloquear ou acelerar o tráfego de ataque que parece válido na camada da rede.

• A proteção HTTP DDos desafia as solicitações do cliente para assegurar que estão vindo de um

navegador válido; as solicitações de scripts e bots geralmente não podem responder o desafio

corretamente e, portanto, são negadas.

• Quando uma solicitação POST é recebida, é checada primeiro para ver se tem um cookie válido. Se

não tem um, o NetScaler envia um JavaScript para o cliente pedindo para que reenvie as

informações com um novo cookie, que vai se tornar inválido depois de quatro minutos. Todas as

respostas para o cliente são enviadas com o novo cookie. Durante um ataque, todos os cookies

enviados antes se tornam inválidos e uma página de erro com um cookie é enviada. As novas

conexões e as conexões que não podem fornecer dados de um cookie válido são colocadas em

uma fila de baixa prioridade.

O AppFirewall aplica modelos de segurança positivos e negativos para assegurar que os aplicativos se

compartam corretamente. O modelo de segurança positivo entende o bom comportamento dos

aplicativos e trata todo o outro tráfego como mal-intencionado–o único método comprovado de

entrega com proteção dia zero contra explorações não publicadas. Os administradores podem criar

exceções e atenuações gerenciadas quando o comportamento do aplicativo com intenção e legal

pode causar uma violação da política de segurança padrão.

Whitepaper

citrix.com 11


Ao usar o modelo de segurança negativo, o AppFirewall também faz análises contra ataques usando

milhares de assinaturas atualizadas automaticamente. O perfil avançado dos aplicativos web

acrescentam proteções com reconhecimento de sessão para proteger os elementos dinâmicos, como

cookies, campos de formulários e URLs específicos da sessão. Os ataques que visam a confiança entre

o cliente e o servidor são interrompidos. Tal proteção é fundamental para qualquer aplicativo que

processa conteúdo específico de usuários, como por exemplo, um site de comércio eletrônico.

Segurança dos dadosDados de todos os tipos, inclusive documentos jurídicos, contratos, dados de pesquisa e

desenvolvimento, informações de marketing e de vendas, mídia de entretenimento ou qualquer outra

forma de propriedade intelectual, são ativos organizacionais vitais que precisam ser protegidos.

Milhares de violações conhecidas nos últimos anos resultaram em milhões de registros

comprometidos de clientes e pacientes, muitos com informações pessoais identificáveis (PII), inclusive

números de cartões de crédito, números de seguro social, datas de nascimento, números de carteiras

de motorista, endereços, registros de saúde, registros de estudante, registros do governo e de

veteranos com impressões digitais e dados de permissão.

Nem todas as violações resultam de hacker, malware e outros ataques. Outras causas são divulgação

não intencional, hacking e malware, fraude de cartões de pagamento, fraude interna, perda de

documentos, perda de mídia e de dispositivos móveis e fixos. A popularidade do storage em nuvem no

nível do consumidor entre os usuários é especialmente problemática, porque tira os dados de redes de

confiança e leva para servidores que não estão sob controle da organização.

Centralização: centralizar, monitorar e controlar a saída de dados Em um ambiente virtualizado, os dados residem no datacenter. Os aplicativos são executados no

servidor somente com cliques do mouse e pressionamentos de teclado enviados para o dispositivo do

usuário–sem dados–reduzindo perdas e vazamentos causados por pontos de extremidade perdidos,

roubados ou destruídos. As organizações podem proteger ainda mais contra perda de dados em

massa ao evitar a transferência de arquivos e bancos de ados para estações de trabalho.

Para evitar que os dados sejam salvos em uma mídia removível, como drives USB, enviados por e-mail

entres usuários, impressos ou de outra forma, expostos a perda ou roubo, a TI pode definir políticas

para controlar a habilidade dos usuários de salvar, copiar, imprimir ou de outra forma, mover os dados

por um ponto central de administração. As políticas do dispositivo para aprimorar ainda mais a

segurança dos dados incluem a capacidade de:

• Segmentar dados do lado cliente de aplicativos ao bloquear canais virtuais, como mapeamento

do drive cliente, imprimir e copiar/colar.

• Definir o redirecionamento da pasta para mapear a pasta Meus Documentos do usuário para um

storage de arquivos central no datacenter.

• Restringir o lugar onde os arquivos são salvos para proteger contra perda, roubo ou destruição

no ponto de extremidade.

Contêinerização: criptografar dados em trânsito e em repouso.Quando os aplicativos móveis são rodados nativamente, os dados são armazenados localmente, o

que aumenta o risco de vazamento e perda de dados. O XenMobile aborda o storage de dados

móveis não seguro com contêinerização e criptografia.

Whitepaper

citrix.com 12


• Com a contêinerização, ou segmentação no nível do aplicativo, os dados para cada aplicativo

residem dentro do contêiner no qual são executados e não podem ser acessados por aplicativos

que residem em outro lugar.

• A TI pode criptografar os dados dentro de um contêiner seguro e isolado no ponto de extremidade,

reduzindo a perda de dados.

A implementação do programa BYOD torna essencial separar os aplicativos pessoais dos corporativos

e seus dados associados, especialmente considerando-se a disseminação do compartilhamento de

dados entre aplicativos móveis, como por exemplo, entre aplicativos integrados no sistema como

Contatos. O XenMobile protege dados iOS usando gerenciamento aberto, que permite que a TI

controle o fluxo de dados e o acesso entre aplicativos gerenciados e não gerenciados. Por exemplo, os

administradores podem bloquear usuários de usar um aplicativo não gerenciado para abrir dados

criados em um aplicativo gerenciado ou vice-versa. Os anexos de e-mails podem ser abertos somente

em aplicativos aprovados pela empresa, e links para websites são forçados a serem abertos em um

navegador seguro.

O XenMobile usa criptografia padrão da indústria para dados de aplicativos na hora de compilar ou

por meio de tecnologia de quebra. Todos os dados dos aplicativos são armazenados em um contêiner

seguro que criptografa os arquivos e a tecnologia SQL no dispositivo. Os dados dentro dos arquivos

locais do banco de dados são criptografados usando AES-256.

Compartilhamento seguro: compartilhamento seguro de arquivos para reduzir perda de dadosOs usuários buscam colaborar com eficiência e para isso descobrem o caminho de menor resistência

para compartilhar dados entre si e com terceiros, inclusive soluções sombra de TI que estão fora da

visibilidade, aprovação ou controle da TI. Isso leva ao espalhamento dos dados e compartilhamento

de arquivos não seguros via drives USB, na Internet e em serviços pessoais em nuvem, que geralmente

não têm controles básicos ou avançados contra vazamento de dados. Os funcionários podem usar

um FTP, que não tem autenticação segura–as credenciais são transmitidas em cleartext–ou e-mails

não criptografados, e até mesmo enviar arquivos acidentalmente para indivíduos não autorizados

dentro e fora da organização.

A Citrix aborda o desafio do compartilhamento seguro de arquivos com segurança integrada em

todos os níveis do ShareFile:

• Autenticação – os métodos de autenticação de dois fatores e de duas etapas contêm autenticação

com formulários e de tokens, além de SMS, voz e códigos de backup. O ShareFile também suporta

os mecanismos da autenticação single sign-on, inclusive SAML, exigindo que os usuários façam

autenticação primeiro com a identidade corporativa.

• Autorização – a TI ganha visibilidade e controle do compartilhamento de arquivos e tem a

capacidade de conceder, monitorar e revogar acesso. Para mais proteção dos dados, os usuários

podem expirar links de arquivos depois que a mensagem foi enviada e estabelecer uma data para

exclusão de uma pasta e seu conteúdo. Tanto os usuários como a TI podem fazer apagamento

remoto de dados no ShareFile e de senhas armazenadas em dispositivos móveis no caso de perda

ou roubo.

• Auditoria – o ShareFile rastreia e registra todas as atividades dos usuários, inclusive o acesso e o

compartilhamento de dados para dar suporte às exigências de conformidade e dar visibilidade do

Whitepaper

citrix.com 13


uso de dados. Para ajudar a conformidade e abordar as exigências de um storage de dados local, o

ShareFile permite que as organizações usem o plano de controle do ShareFile para gerenciamento e

storage de dados no datacenter.

• Criptografia – cada arquivo é criptografado usando uma chave única antes de ser copiado para seu

local permanente, e descriptografado antes de ser baixado para um navegador de um usuário; as

chaves de criptografia não são armazenadas no mesmo servidor que os arquivos para assegurar que

o acesso físico a um servidor de storage não tenha acesso aos arquivos que residem lá. O ShareFile

também oferece e-mails criptografados usando Microsoft Outlook para proteger as informações

confidenciais contidas no corpo do e-mail e nos anexos, e suporta conformidade com a HIPAA,

HITECH e CFPB.

Monitoramento e respostaMesmo no ambiente mais seguro, evitar uma violação de ameaças avançadas e persistentes é

praticamente impossível. Isso torna o monitoramento e a detecção de segurança absolutamente

essencial. As organizações precisam ganhar mais visibilidade da rede e dos aplicativos usando um

conjunto de registros, análises e escalonamento, filtrar ruídos de informações salientes, detectar

tentativas de conexão anormais, e identificar indicadores de ataques e concordar que podem ser

usados para ajudar uma resposta de incidentes.

O XenApp oferece ferramentas para dar suporte ao monitoramento de ponta a ponta de sua

infraestrutura, inclusive amplo monitoramento da infraestrutura, monitoramento da performance,

monitoramento de eventos, monitoramento de serviços e monitoramento da disponibilidade. A TI

pode identificar rapidamente a degradação da experiência do usuário e acelerar a análise da causa raiz.

As políticas Smart, a aplicação rigorosa e o monitoramento e a geração de relatórios profunda

permitem que a segurança seja eficaz sem impedir o acesso dos usuários.

Visibilidade: implementar monitoramento para abordar a disponibilidade e a performance degradadasOs desafios da visibilidade cresce com o aumento da quantidade e da complexidade dos aplicativos.

As implementações aumentam, assim como as ferramentas e as técnicas usados para fazer

monitoramentos. O NetScaler simplifica o monitoramento ao fornecer um ponto central pelo qual

todas as informações dos aplicativos viajam. Embora a finalidade principal deste design é permitir

balanceamento de carga e descarregamento SSL para escalabilidade e disponibilidade, ele também

posiciona o NetScaler para analisar o tráfego web e ICA de qualquer tipo de aplicativo que esteja

usando qualquer tipo de criptografia. Os dados da performance deste tráfego é enviado para o

NetScaler Insight Center, que usa o AppFlow para definir e extrair informações da visibilidade.

O Security Insight ajuda a administração a focar nos dados de monitoramento mais relevantes com

rapidez e eficiência usando as ferramentas automatizadas que aplicam a expertise incorporada para:

• Identificar os padrões de configuração e destacar as inconsistências que podem enfraquecer a sua

postura de segurança

• Analisar os registros do NetScaler e procurar por problemas que podem ser perigosos–indo além da

detecção de anomalias para gerar relatórios com contextos verdadeiramente sensíveis.

• Destacar quaisquer problemas com a conformidade PCI para tornar o processo de auditoria muito

mais fácil.

Whitepaper

citrix.com 14


Para monitorar a experiência dos usuários, o HDX Insight oferece visibilidade de ponta a ponta das

conexões ICA por meio de proxy pelo NetScaler para ajudar a TI a tratar de problemas de

performance, como aplicativos ou desktops lentos. Como uma ferramenta de triagem, o NetScaler

ajuda a TI a determinar se o problema existe no lado do cliente, servidor, aplicativo ou rede e fornece

uma análise detalhada do consumo de largura de banda dentro das informações do canal ICA,

SmartControl e GeoMaps.

O Web Insight dá visibilidade dos serviços que rodam na web ou na camada HTTP/S ao coletar e

fornecer relatórios analíticos dos registros do AppFlow deste tráfego. Um painel central dá visibilidade

das informações dos aplicativos em todas as dimensões, de clientes finais a servidores de aplicativos

backend. A habilidade de correlacionar os fatos da visibilidade para os pontos problemáticos dos

usuários ajuda a solucionar problemas.

Auditoria: integrar registros e alertas para detectar ataques e violações mais rápido A auditoria e a contabilidade periódicas do acesso dos usuários, as alterações de configuração e os

registros de gerenciamento de contas auxiliam a detectar ameaças ao capturar com antecedência os

indicadores de ataques. Estes podem ter um volume grande e incomum de tráfego de saída e

atividades incomuns das contas – especialmente as contas privilegiadas– e logins falhos e bem-

sucedidos de locais incomuns. Estes dados auxiliam a TI a limpar contas inativas, que é uma das

melhores práticas recomendadas. Como invasores bem-sucedidos frequentemente limpam registros

para atrasar as detecções de suas violações, os arquivos de registro devem ser armazenados fora do

sistema.

A auditoria do NetScaler fornece registros de muitas ações, em tempo real e históricas, inclusive:

• Falhas e sucessos de autenticações

• Falhas e sucessos de autorizações

• Atualmente, pausas e todas as sessões AAA para todo o trafego de aplicativos que passam pelo

NetScaler

O controle de acesso centralizado permite que os administradores consolidem o gerenciamento de todos os aplicativos dentro do mesmo domínio e dispositivo, em vez de usar controles separados para cada um.

Além de simplificar e acelerar a resolução de problemas, a capacidade de rastrear e de fazer relatórios

das mudanças feitas na configuração de uma farm de servidores do XenApp, por quem foi feito e a

que horas, assegura responsabilidade e auxilia a segurança–especialmente em ambientes onde vários

administradores fazem alterações. Os registros de configuração também capturam uma trilha de

auditoria para gerenciar as alterações, rastrear as configurações e fazer relatórios das atividades da

administração. Os administradores podem registrar sessões ativas virtuais de aplicativos, desktops e

servidores hospedados do XenApp com base no usuário, aplicativo ou servidor e, depois, arquivar os

registros para análises forenses ou referência, conforme necessário.

Conformidade: reduzir o escopo das auditorias ao projetar arquiteturas centradasA aderência estrita aos padrões de alta criptografia tem sido uma exigência dos órgãos do governo. A

conformidade FIPS está se tornando rapidamente um tópico de interesse de espaços comerciais,

0316/PDF

Matriz MundialFort Lauderdale, FL, EUA

Matriz Silicon ValleySanta Clara, CA, EUA

Matriz da região EMEASchaffhausen, Suíça

Centro de Desenvolvimento da ÍndiaBangalore, Índia

Matriz da Divisão OnlineSanta Barbara, CA, EUA

Matriz da região do PacíficoHong Kong, China

Matriz da América LatinaCoral Gables, FL, EUA

Centro de Desenvolvimento do Reino UnidoChalfont, Reino Unido

Sobre a CitrixA Citrix (NASDAQ:CTXS) é a empresa líder na transição para software definindo o espaço de trabalho, unindo a virtualização, o gerenciamento da mobilidade, as redes e as soluções SaaS a fim de oferecer novas formas para que empresas e pessoas trabalhem melhor. As soluções Citrix possibilitam a mobilidade corporativa por meio de espaços de trabalho móveis seguros que oferecem acesso instantâneo a aplicativos, desktops, dados e comunicações em qualquer dispositivo, usando qualquer rede e nuvem. Com uma receita anual de US$ 3.14 bilhões em 2014, as soluções da Citrix estão sendo usadas por mais de 330.000 organizações e por mais de 100 milhões de usuários globalmente. Leia mais no www.citrix.com.

Copyright © 2016 Citrix Systems. Inc. Todos os direitos reservados. Citrix, NetScaler, XenApp, XenDesktop, XenMobile e ShareFile são marcas registradas da Citrix Systems, Inc., e/ou de uma das suas subsidiárias e podem estar registradas nos Estados Unidos e em outros países. Todos os outros produtos e nomes de empresas mencionados neste documento são marcas comerciais de suas respectivas empresas.

Whitepaper

citrix.com 15


bancos, processadores de cartões de crédito e organizações da área de saúde visando proteger o

tráfego dentro dos seus datacenters.

O XenApp e o XenDesktop fornecem conformidade nativa FIPS 140-2 do protocolo HDX para

oferecer o mais alto nível de segurança de acesso a dados em ambientes virtuais. Todas as conexões

de usuários a aplicativos e desktops virtualizados são criptografadas usando os módulos validados

FIPS 140-2 NIST. A integração do NetScaler fornece conformidade FIPS 140-2 nível 2 para uma

garantia das informações de nível ainda mais alto com o dispositivo protegido. A centralização dos

dados, a entrega hospedada e a exibição remota restringem os dados PCI para um espaço pequeno e

protegido, que pode ser auditado com mais eficiência do que uma rede interna completa.

O XenApp, XenDesktop e o NetScaler também constituem a única solução de entrega de aplicativos e

desktops de ponta a ponta disponível no mercado que têm a certificação Common Criteria, um

padrão ISO de uma função de segurança de software que avalia autenticações, controle de acesso,

administrações e comunicações seguras.

ConclusãoA força de trabalho corporativa moderna exige uma segurança ampla e profunda para manter os

dados seguros independente de como as pessoas trabalham–em qualquer lugar, qualquer dispositivo

e qualquer método de acesso. Criadas em uma estrutura de confidencialidade, integridade e

disponibilidade, as melhores práticas da Citrix abrangem identidade e acesso, segurança da rede,

segurança de aplicativos, segurança da rede e monitoramento e resposta para assegurar proteção e

produtividade em todos os cenários dos usuários. Para ler mais sobre como assegurar a segurança por

meio das soluções integradas da Citrix, visite o URL.

Documents

Melhores práticas para a - Mobilize Your Business with ... · medidas críticas por meio de uma solução altamente integrada baseada em confidencialidade, ... alguma coisa que usa,