Реализация контура безопасности Citrix

1. Реализация контура безопасности Citrix 17 июня 2008 – конференция Citrix Virtualizations Conference, Safar отель Подробности на сайте http://www.citrix.ru/cvc08 Зарегистрируйся уже сегодня и выиграй главный приз!! Конференция проводится при поддержке ICL-КПО ВС, Microsoft, HP, Intel, WYSE и др. Денис Гундарев Системный Инженер Citrix Systems Inc.

2. Citrix Delivery Center XenApp - Platinum Workflow Studio Динамические Датацентры LAN, WAN XenApp XenServer XenDesktop NetScaler Provisioning Server EdgeSight Access Gateway WANScaler Пользователи Приложения

3. Citrix XenApp Лучший способ доставки Windows приложений • Виртуализация или потоковая доставка • Централизация приложений для снижения затрат • Централизация данных для повышения безопасности • Обеспечение доступности и соответствия требованиям • Используется 100,000+ заказчиками

4. Citrix XenApp • -ПО не устанавливается на ПК • Гибкость в выборе устройств • Постоянная мобильность • Централизованная Безопасность • Низкие требования к каналу • Низкая TCO Доставка Приложений Windows Лидер рынка виртуализации приложений, лучшее решение для доставкиклиент-серверных иперсональныхприложений

5. Isolation 2.0 Расширенная совместимость приложений Улучшена совместимость системы и приложений Изолирует и защищает приложения от конфликтов Предоставляет возможность настройки степени изоляции Исключает проведение зависимых тестирований Следующее поколение технологии изоляции Улучшаетпроизводительность изолированных приложений Расширяет совместимость с большинством Windows приложений Предоставляет технологическую основу для Application Streaming,Application Isolation Environments, иApplication Hub

6. Application Streaming Доставка приложений на рабочие столы Расширяет преимущества централизованного управления на клиентские Windows приложения Доставка приложений в изолированном окружении на ПК для использования где и когда угодно – даже после отключения от сети Автоматическое обновление и восстановление приложений Исчезают конфликты приложений и дорогостоящее тестирование Идеально для приложений, требующих ресурсов или периферийного оборудования ПК Presentation Server динамически выбирает лучший метод доставки – виртуализация или потоковая доставка – в зависимости от пользователя, устройства и сети

7. Потоковая доставка – как работает? • Пользователь запускает приложение из Веб-интерфейса или PN Агента • Загружается RAD файл • RAD файл запускает клиент Tarpon для создания изолированной среды приложения (AIE) • RAD файл указывает клиенту Tarpon что необходимо загрузить: • Файл-манифест • Правила изоляции • Исполняемые файлы приложения • Скрипты исполняемые до и после запуска приложения • Клиент Tarpon запускает исполняемые файлы согласно инструкциям в файле-манифесте и правилам изоляции • Приложение доступно пользователю • Tarpon по необходимости загружает дополнительные файлы, сначала проверяя их в кэше на стороне клиента, и только затем, загружает дополнительные файлы с сервера • Файл-манифест • Исполняемый файл • Правила изоляции • .dll’s • данные • другие .exe’s • .dll’s • данные • другие .exe’s • .dll’s • данные • другие .exe’s Файл RAD Пользователь Клиент Tarpon и AIE Сетевой файл-сервер

8. SpeedScreen Progressive Display20-ти кратное ускорение графики Ускоряет передачу графики по сети Гарантирует пользователям работу с «тяжелыми» графическими приложениями Системы архивирования и взаимодействия изображений (PACS) Гео-информационные системы (GIS) Изображения систем корпоративного анализа и сбора информации Редактирование 2D изображений Защищает ценную интеллектуальную собственность не пересылая файлы из дата-центра Значительно снижает затраты на доставку приложений интенсивно использующих графику Снижает на 95% требования к пропускной способности канала Доставляется на любое устройство

9. Журналирование Конфигурациидля упрощения администрирования • Обеспечивает возможность аудита для всех администраторов производящих изменения в инфраструктуре • ВСЕ действия администратора сохраняются вцентрализованной БД (имя, дата, операция) • Источники журналирования: • Access Management Console • Presentation Server Console • Утилиты командной строки • Сторонние утилиты написанные с использованием MFCOM

10. Поддержка Web Interface для ADFS ADFS поддерживается в Windows Server 2003 R2 Active Directory Federation Services (ADFS) Позволяет организовать доступ к приложениям для партнёров «Поворачивает» Active Directory к доступным через Интернет Web приложениям Для Безопасного Удалённого Доступа

11. SmartAuditor

12. Smart Auditor (FP1, Platinum) Мощное средство мониторинга активности пользователей (мониторинг подозрительной активности, запись ценных транзакций, подготовка данных для расследования, соответствие требованиям регулирующих органов) Помощь группе поддержки для более быстрого решения проблем Запись сессий пользователей и возможность их воспроизведения

13. SmartAuditor – Как это работает Администратор выбирает пользователей, приложения и серверы для мониторинга Настройка Сбор данных Экранная активность сохраняется в видео-файл в центральном месте с использованием цифровой подписи Службы техподдержки и безопасности могут найти в архиве и просмотреть нужную запись с помощью удобного проигрывателя Аудит Настройка Сбор данных Аудит Просмотр записанной активности Система автоматически записывает и сохраняет активность Выбор параметров для автоматической записи

14. Требования к архиву SmartAuditor Оценочный размер записи Необходимое место для архива < 200GB для 10,000 пользователей * Оценочный размер файла для 8-часовойзаписи. Обычная активность = например, Microsoft OutlookНепрерывная активность = например, Microsoft Excel * Предполагается использование в сессии 50% обычной активности и 50% непрерывной активности в течении 8 часов. При вычислениях учитывались оценочные размеры записей.

15. SmartAuditor Player Toolbars Metadata Viewer Bookmarks

16. EasyCall

17. Citrix EasyCall Коммуникации доступны в любом приложении • Звонок-в один-Клик • Любой номер в любом приложении • Любой телефон порождает звонок • Интуитивно, воспринимаемои просто в использовании • Стандартная Функция в: • XenApp Platinum • XenDesktop Platinum • NetScaler Platinum

18. Citrix EasyCall Любой телефон Любое приложение

19. PBX EasyCall Gateway Интерфейс пользователя ипринцип вызова Звонок Вызывающему Исходящий Звонок Звонок Состоялся

20. Возможности по определению номера XenApp приложения Локальные приложения PDF Web приложения Global Numbers Приложения Instant Messaging Факсы

21. Single Sign-On

22. Single Sign-On Windows Web Host Доступ клюбомуприложению Решение SSO для Windows, Web иХост приложений ОднаУчетнаяЗапись… Различные учетные сведениядля каждого прикладногоприложения/ресурса Интегрированнаясболее чем 20 производителями средств сильной аутентификации

23. Как это работает? Агентвзаимодействует отимени пользователя Устанавливается там,где исполняется клиентская часть приложения Распознаетиотвечает на события, относящиеся к паролям Агент,получаетучетные данные и настройки определяющие их поведениеизЦентрального Хранилища АдминистраториспользуетКонсольдлясозданиянастроекиопределения приложений Single Sign-on (Password Manager)

24. Мониторинг работы пользовательских приложений

25. Приложения работают МЕДЛЕННО! Система ТОРМОЗИТ! Вы слышали это раньше ? ITАдминистратор НЕТ ЯСНОСТИ Пользователи

26. Сегодняшняя реальность… 78% Отказов обнаруживает пользователь Пользователь обращается в Servicedesk после 6отказов Источник:

27. Сегодняшняя реальность… 78% Отказов обнаруживает пользователь Пользователь обращается в Servicedesk после 6 отказов Источник:

28. Приложения Работают МЕДЛЕННО! Иногда это пользователь ITАдминистратор Пользователи

29. Система ТОРМОЗИТ! Иногда это приложение ITАдминистратор Пользователи

30. Задержки клиента Задержки сети Задержки сервера Иногда это комбинация

31. Агент EdgeSight для конечного устройства • Не агрессивный самоконфигурируемый агент • Постоянный сбор данных Агент EdgeSight дляPresentation Server • Захват данных пользовательских сессий • Системные метрики • Отчеты о возможностях сервера Сервер EdgeSight Консоль EdgeSight • Настройка бизнес правил • Аггрегирование данных и анализ • Централизованное администрирование • Веб-интерфейс • Оповещения реального времени • Анализ причина-следствие • Исторические тренды Архитектура EdgeSight Инфраструктура Presentation Server Устройства конечного пользователя Бэк-енд сервера инфраструктуры приложений Интеграция с консолями управления системой (OpenView, MOM, Tivoli)

32. SmartAccess

33. Безопасный доступ из любой точкико всем приложения и данным AAC (SmartAccess) Корпоративные ноутбуки Web-приложения Удаленные пользователи Приложения Партнерские станции SSL VPN Windows-приложения Internet DMZ Домашние компьютеры Рабочие столы Мобильныеустройства Access Gateway Локальные пользователи

34. SmartAccessУдаленный Доступ сегодня … Офис Удаленный клиент

35. SmartAccessУдаленный Доступ с Access Gateway… Доступ Нет Доступа Полный Доступ

36. SmartAccess: Контроль действий в управлении доступом КАКИЕдействия разрешены Какой пользователь Запустить через ICA Только чтение Сохранить Какое устройство Отправить как вложение Редактировать Загрузить Печать Контроль действий К ЧЕМУнеобходим доступ КТОполучает доступ? Сетевые ресурсы Файловые и Web-серверы Приложения Presentation Server Почтовые серверы Из какого места Аутентификация и анализ конечной точки Контроль доступа

37. Корпоративные рабочие станции Удаленныекорпоративные устройства Интернет-киоски Пример: Сценарии доступа и SmartAccess • Загрузка/выгрузка файлов • Локальное редактирование и сохранение • Локальная печать • Синхронизация почты • Web E-mail • Неограниченный набор приложений Presentation Server • Неограниченный доступк приложениям Presentation Server • Ограниченный набор приложений Presentation Server • Ограниченный доступк приложениям Presentation Server • Предварительный просмотр • Выгрузка файлов (Upload) • Синхронизация почты • Web E-mail • Предварительный просмотр • Web E-mail • Контролируемый доступ к ресурсам Presentation Server Администраторы определяют собственные политики для каждого сценария доступа

38. Access Gateway Standard Edition Access Gateway Advanced Edition Access Gateway Enterprise Edition Citrix Access GatewayБезопасный доступ к приложениям через SSL VPN • Безопасныйдоступ ко всем внутренним IT-ресурсам • Easy-to-use, авто-загружаемый/обновляемый клиент • SmartAccess™ для тонкой настройки прав доступа • Тесная интеграцияс Citrix Presentation Server • Масштабируемые, защищенные устройства

39. Client-server приложнения Подключение дисков Web приложения Voice over IP Полный доступ

40. Citrix Secure Access Client Сторона клиента

41. Свойства клиента

42. Постоянное соединение Automatically

43. Office Hotspot Hotel In Transit In Transit Прозрачное постоянное соединение Можно настроить, когда пользователь обязан повторно авторизоваться

44. Office Hotspot Hotel In Transit In Transit Прозрачное постоянное соединение Можно настроить, когда пользователь обязан повторно авторизоваться

45. Интегрированная проверка пользовательского устройства • Проверка устройств на соответсвие • Комбинация pre-login, login, и continuous проверок • Проверка файлов, процессов, настроек реестра VPN замораживается при нарушении

46. Pre-Authentication проверки Не дает пользователю поля ввода пароля при несоответсвовании требованиям

47. Результат Pre-Authentication проверки

48. Белые списки приложений • Тонкий контроль, какому приложению можно пользоваться VPN • Запрет подозрительным приложениям • Ограничение приложений по ресурсам сети • Например, NOTES.EXE определенной версии может общаться с одним cервером Lotus • Могут быть привязанны к политикам устройств

49. 17 июня 2008 – конференция Citrix Virtualizations Conference, Safar отель Подробности на сайте http://www.citrix.ru/cvc08 Зарегистрируйся уже сегодня и выиграй главный приз!! Конференция проводится при поддержке ICL-КПО ВС, Microsoft, HP, Intel, WYSE и др. Вопросы?