Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler

Transcript

1 Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler

2 2 Le aziende attuali stanno adottando rapidamente la virtualizzazione desktop quale mezzo per ridurre i costi operativi, rendere possibile la flessibilità del luogo di lavoro, aumentare la flessibilità dell azienda e garantire la sicurezza delle informazioni e la conformità. Il concreto ottenimento di questi benefici, tuttavia, dipende quanto si è in grado di garantire la sicurezza e la disponibilità dell infrastruttura desktop virtuale. Questo documento chiarisce i motivi per cui Citrix NetScaler è il prodotto ideale per il raggiungimento di questi obiettivi. Integrando numerosi meccanismi di protezione della rete e delle applicazioni, capacità avanzate di controllo degli accessi e delle azioni e molte funzioni aggiuntive di distribuzione dei servizi, NetScaler non solo garantisce i benefici promessi dai desktop virtuali ma li massimizza. La sicurezza con la virtualizzazione desktop La migrazione dagli approcci tradizionali di distribuzione e gestione dei desktop alle tecnologie e alle tecniche di virtualizzazione desktop rappresenta un iniziativa prioritaria per le aziende di tutti i tipi e dimensioni, in tutto il mondo. Infatti, la società Gartner prevede che l adozione di desktop virtuali hosted raggiunga i 70 milioni di utenti entro il Questa crescita è favorita da un insieme di benefici irrinunciabili. Grazie a una soluzione di virtualizzazione desktop completa di ogni funzionalità, le aziende possono ridurre in maniera significativa e sostenibile i costi di proprietà e gestione, consentire una completa flessibilità del luogo di lavoro e aumentare l agilità aziendale fornendo un rapido supporto alle iniziative strategiche quali fusioni e acquisizioni, espansioni geografiche e accordi dinamici di partnership. Un altro importante vantaggio della virtualizzazione desktop è rappresentato dal significativo rafforzamento della sicurezza delle informazioni e della conformità. Questo beneficio deriva primariamente dalla capacità di centralizzare tutti i dati e le applicazioni nel datacenter aziendale. Dato che gli utenti visualizzano e modificano i loro desktop da remoto, non vi è necessità di distribuire ai dispositivi locali materiale potenzialmente sensibile. La sicurezza migliora anche perché la centralizzazione delle applicazioni desktop e dei sistemi operativi aumenta il controllo degli amministratori su queste risorse cruciali. Il controllo centralizzato, non solo rende più semplice perseguire la standardizzazione che riduce la complessità, i costi e la superficie di attacco di un organizzazione, ma aumenta anche la semplicità, la velocità e l accuratezza con cui vengono implementati gli aggiornamenti e le patch di sicurezza. Un altro vantaggio del modello centralizzato è rappresentato dal fatto che l attivazione e la revoca dei diritti e privilegi di accesso possono essere realizzate in modo rapido ed efficiente. Inoltre, non vi è la necessità di gestire la restituzione di dispositivi, software o dati distribuiti, da parte degli utenti semplicemente perché con la virtualizzazione desktop non ve ne sono. 1 Forecast: Hosted Virtual Desktops, Worldwide, , Gartner, novembre 2010.

3 3 Ogni cosa ha il suo prezzo La virtualizzazione desktop ha chiaramente molto da offrire alle aziende di oggi. Tuttavia, ottenere interamente i suoi benefici non è cosa scontata. Per preservare i potenziali vantaggi, le organizzazioni devono, tra le altre attività, garantire la sicurezza delle loro implementazioni di virtualizzazione desktop. Sono necessarie robuste capacità di sicurezza per molte ragioni: Accesso remoto. Con la mobilità e le iniziative di telelavoro in crescita, una percentuale significativa di utenti avrà probabilmente necessità di avere accesso ai desktop da un ubicazione remota, e spesso tramite una rete pubblica non protetta. Proliferazione dei dispositivi. La consumerizzazione ha amplificato il bisogno di supportare una varietà in rapida espansione di dispositivi client con caratteristiche e profili di sicurezza ampiamente variabili. Ciò viene ulteriormente complicato dal fatto che la maggior parte di questi dispositivi non è più posseduta o controllata dall azienda. Il punto cruciale, in ogni caso, è che sebbene la virtualizzazione desktop possa eliminare la memorizzazione locale di dati sensibili, un dispositivo client compromesso rappresenta ancora una minaccia. È ancora possibile visionare i dati sensibili, e i diritti attribuiti all utente/dispositivo possono ancora essere sfruttati per lanciare un attacco molto più dannoso. Estensione degli accessi. Con la virtualizzazione desktop gli utenti hanno accesso a un desktop completo. In aggiunta alle loro applicazioni e ai loro dati, gli utenti possono anche usufruire di tutte le risorse sottostanti alle quali i desktop sono autorizzati ad accedere. Questo aumenta, in generale, l importanza della sicurezza e, in aprticolare, del controllo degli accessi. Concentrazione di risorse. Aumenta anche l importanza di avere difese robuste perché la virtualizzazione desktop significa per un azienda mettere molte uova in un paniere. In contrasto con i modelli distribuiti e convenzionali di elaborazione desktop, un singolo attacco di successo ha ora il potenziale di avere conseguenze su un numero sostanziale di utenti e di sistemi desktop. Occorre considerare anche il quadro generale. Gli hacker di oggi sono molto ben organizzati e motivati nel fare danni e poi scomparire con dati preziosi. Di conseguenza, sono necessarie delle forti difese per proteggere i dati dai sempre più sofisticati attacchi esterni. Cosa può fare Citrix NetScaler NetScaler è una soluzione avanzata per distribuire applicazioni e servizi cloud e aziendali e rappresenta la scelta ideale per essere il front-end dell infrastruttura di virtualizzazione desktop di un organizzazione. Particolarmente rilevanti in questo contesto sono i numerosi meccanismi e funzioni di sicurezza forniti da NetScaler per aiutare a proteggere l infrastruttura di desktop virtuali. Possiamo raggruppare tali funzioni e meccanismi in tre categorie distinte. Client Citrix NetScaler Accesso protetto Sicurezza delle applicazioni Alta disponibilità Desktop virtuali Infrastruttura

4 4 Citrix NetScaler in breve NetScaler è una soluzione di classe enterprise che consente di eseguire le applicazioni e i servizi cinque volte meglio, grazie a una potente combinazione di accelerazione delle applicazioni basate sulla rete, scarico dei server, alta disponibilità e sicurezza delle applicazioni. NetScaler è utilizzato dai più grandi siti web del mondo, con una stima del 75% degli utenti di Internet che accedono a un sito distribuito da NetScaler, tutti i giorni. In aggiunta, migliaia di aziende si affidano a NetScaler per i propri siti web pubblici, le intranet e le esigenze di distribuzione dei desktop. Protezione a livello di rete NetScaler fornisce protezione a livello core e di rete per l infrastruttura di desktop virtuali (VDI) in molti modi. Per cominciare, gli amministratori possono usare NetScaler per applicare un livello base di controllo degli accessi usando semplici ACL (access control list lista di controllo degli accessi) di livello 3 e 4 per autorizzare in modo selettivo il traffico legale e bloccare quello considerato insicuro. In aggiunta, vi sono due funzioni chiave che proteggono in modo automatico qualsiasi infrastruttura NetScaler usata come front-end. Per esempio, NetScaler incorpora uno stack TCP/IP ad alte prestazioni e conforme agli standard, che è stato migliorato per: eliminare automaticamente il traffico irregolare che potrebbe costituire una minaccia all intera infrastruttura di desktop virtuali prevenire la rivelazione di informazioni di connessione a basso livello (ad es. indirizzi IP, numeri di porte dei server) che potrebbero rivelarsi utili agli hacker intenzionati a condurre un attacco contrastare automaticamente molti tipi di attacchi DoS (Denial of Service) che sfruttano i gap nei protocolli di uso comune Protezione a livello applicativo Risalendo di un livello, un altra funzione importante di NetScaler è la sua architettura proxy. Unita a funzioni di riscrittura degli HTTP/URL e di content filtering L7, permette a NetScaler di: proteggere i connection broker e altre componenti VDI a valle dalle connessioni dirette TCP e UDP iniziate da utenti esterni, riducendo così l esposizione a malware e ad altri tipi di attacco fornire cloacking e content security agli stessi componenti per nascondere efficacemente i codici di errore dei server, i veri URL e altre informazioni che potrebbero fornire agli hacker i dettagli di cui hanno bisogno per realizzare attacchi personalizzati contrastare automaticamente molti tipi di attacchi DoS (Denial of Service) che sfruttano i gap nei protocolli di uso comune. Molte implementazioni VDI contengono componenti basati sul web che pure necessitano di una robusta protezione contro gli attacchi. Il NetScaler App Firewall integrato protegge dagli attacchi a livello delle applicazioni, come l SQL injection, il cross-site scripting e le minacce di buffer overflow. NetScaler App Firewall offre: un modello flessibile di sicurezza ibrida che protegge dalle vulnerabilità note utilizzando un database aggiornato di firme di attacco e un modello di sicurezza positivo per sconfiggere gli attacchi zero-day per i quali non esistono ancora le firme criteri e modelli di sicurezza di facile configurazione per una distribuzione e gestione semplici e veloci piena integrazione con NetScaler in modo tale che la sicurezza e la disponibilità della VDI possano essere gestite tramite criteri e console comuni. Una maggiore protezione a livello applicativo deriva anche dal migliorato supporto delle chiavi di crittografia SSL a 2048 bit. Conforme ai consigli della NIST Special Publication , la lunghezza delle chiavi per i certificati che supportano la crittografia con chiave pubblica, un componente intrinseco dell SSL, è ora regolarmente di bit (rispetto allo standard precedentemente accettato di bit). Il raddoppio della dimensione standard delle chiavi rappresenta un incremento esponenziale nel numero dei cicli di CPU richiesti per elaborare le transazioni SSL, in media cinque volte di più. Per facilitare la migrazione ai certificati SSL a 2048 bit, NetScaler aumenta le prestazioni SSL grazie ad avanzate capacità di accelerazione per evitare che le organizzazioni debbano sacrificare la sicurezza per garantire gli SLA relativi alle prestazioni.

5 5 Controllo avanzato degli accessi e delle operazioni Componente integrante del prodotto, Access Gateway è una VPN SSL completa di tutte le funzionalità che offre agli amministratori un controllo granulare a livello delle applicazioni e che rende nel contempo disponibile agli utenti l accesso remoto ai loro desktop virtuali da qualsiasi luogo. Con Access Gateway gli amministratori IT possono gestire il controllo degli accessi e limitare le azioni all interno delle sessioni sulla base dell identità dell utente e del dispositivo endpoint. Il tutto si traduce in un miglioramento della sicurezza delle applicazioni, della protezione dei dati e della gestione delle conformità, senza la necessità dell installazione di un nuovo dispositivo. Le prime due modalità con cui Access Gateway supporta l accesso remoto ai desktop virtuali consistono nel fornire un tunnel crittografato e nel supportare un ampia gamma di metodi per l autenticazione degli utenti. Le sessioni desktop che attraversano le reti pubbliche sono protette contro l intercettazione consentendo nel contempo all azienda di continuare a utilizzare la propria directory esistente e l infrastruttura di gestione delle identità. Vi è poi il controllo degli accessi granulare e adattivo. Con Access Gateway gli amministratori possono controllare in modo stretto l accesso ai desktop virtuali usando criteri costituiti da attributi sia fissi che dinamici, inclusi l identità e il ruolo degli utenti, la robustezza dell autenticazione, l ubicazione, l ora del giorno, l identità e la condizione di sicurezza del dispositivo client. A supporto di questa capacità vi è un altra importante funzione di sicurezza:l analisi degli endpoint. Per monitorare continuamente i dispositivi client e determinare se il software di sicurezza dei client, quali gli antivirus, i firewall personali o altri programmi obbligatori, sono attivi e aggiornati, è possibile usare la scansione integrata degli endpoint. È possibile poi in modo efficace negare l accesso o autorizzare un accesso limitato a quei dispositivi che non superano tali verifiche oppure metterli in quarantena restringendo il loro accesso ai siti che forniscono gli strumenti necessari a ripristinarli a una configurazione conforme. Le capacità di azioni avanzate e di controllo dei dati offrono tuttavia un altro strato cruciale di protezione, particolarmente importante data la proliferazione dei dispositivi client e la crescente tendenza verso la proprietà e la gestione diretta da parte degli utenti. Tra le relative funzioni vi sono: un maggior controllo dello split tunneling, con il quale agli utenti viene consentito l accesso ai loro desktop e alla subnet locale del cliente ma viene loro impedito l accesso diretto a Internet il controllo adattivo delle azioni, con il quale è possibile restringere le funzionalità di stampa locale, copia, incolla e salvataggio su disco per mezzo di criteri adattivi il cache cleanup, con il quale gli oggetti e i dati memorizzati sul browser locale vengo rimossi al termine della sessione di desktop virtuale A completamento del portafoglio delle funzioni di protezione vi sono le notevoli capacità di registrazione, reportistica e controllo offerte da Citrix Command Center, la console di gestione centrale di NetScaler. Tali capacità sono di inestimabile valore non solo per quanto concerne le attività di ricerca dei malfunzionamenti ma anche per scoprire gli usi impropri e altre attività di spionaggio che possono essere indicative di un client o un desktop compromesso, o di un più vasto attacco contro l ambiente di desktop virtuali dell azienda.

6 6 Ulteriori considerazioni La sicurezza della rete è solo uno degli elementi di una strategia di sicurezza completa per la VDI e nonché uno dei tanti benefici che NetScaler offre. Oltre NetScaler Per quanto potenti siano le funzioni di NetScaler per la protezione dei desktop virtuali, esse rappresentano solo una parte di una strategia completa di sicurezza per la VDI. Oltre alla sicurezza della rete, le aziende dovrebbero anche considerare la necessità di: Sicurezza dei client. Malgrado il modello operativo centralizzato della virtualizzazione, un dispositivo client compromesso rappresenta ancora una minaccia. Le funzioni di analisi degli endpoint, controllo delle azioni e pulizia dei dati di NetScaler offrono senza dubbio un grande contributo a questo proposito. In alcuni scenari di accessi ad alto rischio, tuttavia, può essere anche necessario implementare una suite completa di software di sicurezza per gli endpoint. Sicurezza dei sistemi virtuali. Questo comporta il mantenimento in buona salute delle macchine virtuali (ad es. garantendo che i desktop virtuali usino le ultime versioni aggiornate delle applicazioni embedded e dei sistemi operativi, eliminando le VM non più usate). Ciò permette anche di fornire l isolamento di rete per tutti i componenti VDI e potenzialmente implementare la crittografia per i volumi di storage associati, vista la concentrazione di risorse coinvolte. Sicurezza dei desktop virtuali. Effettivamente la VDI porta i dispositivi degli utenti, con il loro comportamento ad alto rischio di connettersi a reti e computer con svariati livelli di trust, direttamente nel cuore del datacenter aziendale. Di conseguenza, è mandatorio considerare l implementazione, a livello di VM e/o di hypervisor, di agenti anti-virus/antimalware, di attività di monitoraggio e software di prevenzione delle minacce. Potrebbe anche avere senso fornire configurazioni differenti di desktop virtuali a classi diverse di utenti e di segregare conseguentemente le VM dei desktop virtuali a seconda dei loro livelli di trust. Oltre la sicurezza Di per sé, mettere adeguatamente in sicurezza l infrastruttura dei desktop virtuali non è sufficiente per salvaguardare appieno i benefici della virtualizzazione desktop. Le aziende devono anche garantire la disponibilità, le prestazioni e la scalabilità di qualunque soluzione decidano di implementare. Dopo tutto, quanto è utile un ambiente di desktop virtuali altamente sicuro se non è regolarmente disponibile? Oppure se le prestazioni sono così scarse che gli utenti lo percepiscono come non disponibile anche quando lo è? Qui è dove NetScaler eccelle veramente come soluzione front-end per l infrastruttura di virtualizzazione desktop di un azienda. In aggiunta al suo insieme irrinunciabile di funzioni di sicurezza per la rete, NetScaler offre: una combinazione di capacità di classe enterprise per il load balancing dei server, il load balancing globale dei server e il monitoraggio dello stato di salute per assicurare la disponibilità dei desktop virtuali e la continuità aziendale un ampia collezione di meccanismi che non solo migliorano le prestazioni dei desktop virtuali sulla rete ma ottimizzano anche l esperienza degli utenti capacità di distribuzione intelligente del carico e funzionalità di scarico dei server che permettono una scalabilità continua dell infrastruttura dei desktop virtuali.

7 7 Conclusione Disponibile come appliance hardware ad alte prestazioni o come appliance virtuale flessibile basata su software, NetScaler può essere installato facilmente e in modo economico come front-end delle soluzioni di desktop virtuali di oggi. Offrendo un insieme robusto di sicurezza a livello di rete e a livello applicativo nonché funzionalità di controllo avanzato degli accessi e dei dati, NetScaler preserva e amplifica i vantaggi che le organizzazioni si aspettano quando adottano la virtualizzazione desktop. Più che una semplice soluzione di sicurezza, NetScaler aiuta anche gli IT manager a migliorare in modo sostanziale la disponibilità, le prestazioni e la scalabilità delle loro implementazioni di desktop virtuali. Sedi nel mondo Sedi Europa Estremo Oriente Citrix Online Division Citrix Systems, Inc. 851 West Cypress Creek Road Fort Lauderdale, FL 33309, USA +1 (800) (954) Citrix Systems International GmbH Rheinweg Schaffhausen Svizzeria +41 (0) Citrix Systems Hong Kong Ltd. Suite 3201, 32nd Floor One International Finance Centre 1 Harbour View Street Central, Hong Kong Hollister Avenue Santa Barbara, CA (805) Sedi in Italia Citrix Systems Italy Srl Via Cavriana, Milano, Italy Citrix Systems Italy Srl Piazza Marconi, Roma, Italy Informazioni su Citrix Citrix Systems, Inc. (NASDAQ:CTXS) è l azienda che trasforma il modo in cui le persone, le aziende e l IT lavora e collabora nell era del cloud. Grazie alle tecnologie leader di mercato di cloud computing, collaborazione, rete e virtualizzazione, Citrix consente stili di lavoro mobile e servizi cloud, rendendo semplice e più accessibile il complesso IT aziendale per aziende. Citrix sfiora quotidianamente il 75% di utenti internet e collabora con più di aziende in 100 Paesi. Il fatturato annuo nel 2011 è stato di 2,21 miliardi di dollari Citrix Systems, Inc. Tutti i diritti riservati. Citrix, NetScaler, NetScaler App Firewall e NetScaler Access Gateway sono marchi registrati di Citrix Systems, Inc. e/o di una o più delle sue filiali, e possono essere registrati presso l ufficio marchi e brevetti degli Stati Uniti e in altri Paesi. Tutti gli altri marchi e marchi registrati sono proprietà dei rispettivi proprietari. 0612/PDF