Citrix NetScaler Un elemento fondamentale per la sicurezza dei datacenter di prossima generazione



Documenti analoghi
IT Cloud Service. Semplice - accessibile - sicuro - economico

Firewall applicativo per la protezione di portali intranet/extranet

Politica per la Sicurezza

Panoramica sulla tecnologia

Network Services Location Manager. Guida per amministratori di rete

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

SICUREZZA. Sistemi Operativi. Sicurezza

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Cosa è Tower. Sistema di autenticazione per il controllo degli accessi a reti wireless. struttura scalabile. permette la nomadicità degli utenti

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

LA FORZA DELLA SEMPLICITÀ. Business Suite

Protezione delle informazioni in SMart esolutions

SERVER E VIRTUALIZZAZIONE. Windows Server Guida alle edizioni

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Virtualization. Strutturare per semplificare la gestione. ICT Information & Communication Technology

Vodafone Device Manager. La soluzione Vodafone per gestire Smartphone e Tablet aziendali in modo semplice e sicuro

Gestione in qualità degli strumenti di misura

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

Requisiti di controllo dei fornitori esterni

Approfondimento di Marco Mulas

Condividi, Sincronizza e Collabora

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Sistemi informativi secondo prospettive combinate

APPLICATION CONTROL SCENARIO DI INTERROGAZIONE DELLA RETE

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

IDS: Intrusion detection systems

Protezione integrale per la vostra azienda PROTECTION SERVICE FOR BUSINESS

Cloud Service Broker

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Informativa sulla privacy

Presentazione FutureMobile. Sicurezza e Tracciabilità

Offre da più di 40 anni soluzioni in settori critici come quello governativo, finanziario e della difesa.

Soluzioni HP per la Gestione della Stampa. Tutto TEMPO GUADAGNATO.

MANUALE DELLA QUALITÀ Pag. 1 di 6

Titolare del trattamento dei dati innanzi descritto è tsnpalombara.it

Progettare un Firewall

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

La sicurezza nel Web

TeamPortal. Servizi integrati con ambienti Gestionali

Firewall e Abilitazioni porte (Port Forwarding)

I livelli di Sicurezza

Problematiche correlate alla sicurezza informatica nel commercio elettronico

Docebo: la tua piattaforma E-Learning Google Ready.

Gartner Group definisce il Cloud

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments

Lo scenario: la definizione di Internet

Grazie a Ipanema, Coopservice assicura le prestazioni delle applicazioni SAP & HR, aumentando la produttivita del 12%

La tecnologia cloud computing a supporto della gestione delle risorse umane

La piattaforma di lettura targhe intelligente ed innovativa in grado di offrire servizi completi e personalizzati

Powered. Max Firewall. Soluzione intelligente. per un network sicuro

Software Servizi Web UOGA

Innovation Technology

Domande e risposte su Avira ProActiv Community

Sicurezza a livello IP: IPsec e le reti private virtuali

Attività federale di marketing

lem logic enterprise manager

Vincere la sfi da della visibilità delle applicazioni con NetScaler Insight Center

Network Monitoring. Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

SOFTWARE CLOUD PER LA GESTIONE DEI SISTEMI DI GESTIONE. Rev

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

Sicurezza informatica in azienda: solo un problema di costi?

1.0 POLITICA AZIENDALE PER LA SALUTE E LA SICUREZZA SUL LAVORO

Rendere mobile l azienda grazie a Citrix XenMobile e Citrix NetScaler

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

Modifiche principali al programma Adobe Open Options NOVITÀ! DISPONIBILITÀ ESCLUSIVA DEL SOFTWARE ADOBE ACROBAT ELEMENTS

SETEFI. Marco Cantarini, Daniele Maccauro, Domenico Marzolla. 19 Aprile 2012

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Elementi sull uso dei firewall

REGIONE BASILICATA DIPARTIMENTO PRESIDENZA DELLA GIUNTA UFFICIO SOCIETÀ DELL INFORMAZIONE

SAP per centralizzare tutte le informazioni aziendali

Software per Helpdesk

IDENTITÀ GIOVANE. Nata nel 2006 con l intento di diventare leader nel settore IT, Easytech cresce con una solida competenza in tre divisioni:

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Introduzione al Cloud Computing

PROFILO AZIENDALE 2011

CitySoftware PROTOCOLLO. Info-Mark srl

Company Profile. Quarto trimestre 2014

Guida Google Cloud Print

2 Gli elementi del sistema di Gestione dei Flussi di Utenza

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

Fatturazione Elettronica PA Specifiche del Servizio

UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI

IL CASO DELL AZIENDA. Perché SAP.

LA SOLUZIONE. EVOLUTION, con la E LA TECNOLOGIA TRASPARENTE IL SOFTWARE INVISIBILE INVISIBILE ANCHE NEL PREZZO R.O.I. IMMEDIATO OFFERTA IN PROVA

SOLUZIONE Web.Orders online

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

w w w. n e w s o f t s r l. i t Soluzione Proposta

1- Corso di IT Strategy

La piattaforma Microsoft per la gestione documentale e integrazioni con la firma digitale

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

Reti di Telecomunicazione Lezione 6

PIANO BIENNALE PER I DIRITTI DELLE PERSONE CON DISABILITÀ

2.5. L'indirizzo IP identifica il computer di origine, il numero di porta invece identifica il processo di origine.

Transcript:

Citrix NetScaler Un elemento fondamentale per la sicurezza dei datacenter di prossima generazione

2 Introduzione La necessità di garantire sicurezza ai massimi livelli per i datacenter non è mai stata così alta. Alle sfide e ai problemi tradizionali, inclusi i numerosi requisiti normativi, all aumento degli attacchi mirati e alla continua erosione dei modelli di sicurezza perimetrali, si è ora aggiunta la necessità di dover considerare architetture cloud aziendali altamente dinamiche e reti flat con un minor numero di potenziali punti di criticità. Aggiungete la sempre crescente necessità di fare di più con meno risorse e diventa chiaro che la base per una maggiore sicurezza deve essere costruita utilizzando l infrastruttura esistente del datacenter. Citrix NetScaler, il miglior controller di distribuzione delle applicazioni (ADC) per realizzare reti cloud aziendali, rappresenta esattamente la soluzione al problema. NetScaler, oltre ad essere già un componente strategico presente in migliaia di datacenter aziendali, offre un portafoglio completo di capacità essenziali per la sicurezza dei datacenter. Inoltre, minimizza per le aziende la necessità di investire in un ampio numero di soluzioni di sicurezza costose e autonome. NetScaler non solo fornisce la sicurezza per applicazioni importanti e critiche, la sicurezza per reti/infrastrutture e la gestione delle identità e degli accessi, ma supporta anche un ampio ecosistema di prodotti di partner per coprire gli ambiti di sicurezza complementari. Funzioni di sicurezza per il datacenter di NetScaler Sicurezza delle applicazioni NetScaler Application Firewall Protezione da perdita dati Protezione attacchi Layer 7 Sicurezza rete/infrastruttura SSL senza compromessi Sicurezza DNS Protezione attacchi Layer 4 Gestione identità e accessi Struttura sicurezza / Ecosistema Partner Il risultato finale è un solido elemento essenziale per la sicurezza dei datacenter di prossima generazione, vantaggioso anche dal punto di vista economico. NetScaler per la sicurezza delle applicazioni I professionisti della sicurezza investono al momento, a ragione, parecchio tempo, sforzi e denaro sulla sicurezza a livello applicativo. Dopo tutto, gli attacchi contro servizi vulnerabili a livello applicativo, logiche di business fallaci e dati preziosi si sono dimostrati del tutto fruttuosi. Di conseguenza, NetScaler incorpora numerose protezioni a livello applicativo, fra le quali un completo firewall per le applicazioni, la protezione dalla perdita dei dati e tutte le contromisure per contrastare gli attacchi di tipo denial-of-service (DoS) e altri di tipo Layer 7.

3 NetScaler Application Firewall I firewall di rete tradizionali mancano della visibilità e del controllo necessari a realizzare la protezione contro più del 70 percento degli attacchi internet che mirano alle vulnerabilità a livello applicativo. Questa è la logica alla base di NetScaler Application Firewall, una soluzione completa di sicurezza per le applicazioni web, certificata ICSA, che blocca gli attacchi noti e sconosciuti contro applicazioni web e servizi web. Utilizzando un modello di sicurezza ibrido e analizzando tutto il traffico bidirezionale, incluse le comunicazioni con crittografia SSL, l Application Firewall contrasta un ampia gamma di minacce alla sicurezza senza richiedere alcuna modifica alle applicazioni. Modello di sicurezza ibrido. Una combinazione di modelli di sicurezza sia positivi che negativi fornisce la più completa protezione contro tutte le modalità di attacco. Per sconfiggere minacce nuove e inedite, un motore di regole a modello positivo, che riconosce le interazioni utenteapplicazione consentite, blocca automaticamente tutto il traffico che ricade al di fuori di questo ambito. A suo completamento, un motore a modello negativo utilizza le firme di attacco per vigilare sulle minacce note alle applicazioni. Protezione XML. Oltre a bloccare le minacce note che possono essere adattate per attaccare applicazioni basate su XML (ad esempio il cross-site scripting, l iniezione di comandi, ecc.), Application Firewall incorpora un ricco insieme di protezioni specifiche per l XML. Fra queste vi sono: validazione degli schemi per verificare in maniera approfondita i messaggi SOAP e i payload XML, la capacità di bloccare gli allegati XML contenenti eseguibili maligni, difendere da tecniche di iniezione Xpath per ottenere accessi non autorizzati e la capacità di contrastare gli attacchi DOS (ad es. l eccessiva ricorsività). Protezione avanzata per gli elementi dinamici. Aumentando il profilo di protezione standard, un profilo avanzato offre la sicurezza indispensabile per le applicazioni che elaborano contenuti specifici dell utente. Protezioni multiple e session-aware proteggono gli elementi applicativi dinamici quali ad esempio i cookie, i campi per l immissione di dati e gli URL session-specific, contrastando quindi gli attacchi che minacciano la relazione sicura tra il client e il server (ad es. cross-site request forgery). Il dinamismo delle applicazioni viene gestito dal motore di sicurezza positivo e protetto senza definire in modo esplicito ogni elemento dinamico nei criteri. Dato che occorre apprendere solo le eccezioni, la configurazione è più semplice e la gestione dei cambiamenti è semplificata. Politiche di sicurezza personalizzate. Un motore di apprendimento avanzato determina automaticamente il comportamento atteso delle applicazioni web e genera raccomandazioni di criteri. Gli amministratori possono quindi adattare i criteri di sicurezza in base ai requisiti specifici di ogni applicazione ed evitare eventi potenzialmente falso-positivi. Garantire la conformità. Application Firewall permette alle aziende di ottenere la conformità con le regole di sicurezza per i dati, come il Payment Card Industry Data Security Standard, che incoraggia in modo esplicito l uso di firewall per le applicazioni web quali le applicazioni usate dal pubblico che gestiscono i dati delle carte di credito. Possono essere generati dei report dettagliati per documentare tutte le protezioni definite nei criteri del firewall con riferimento alle norme PCI. Prestazioni senza compromessi. La soluzione di sicurezza per le applicazioni web a più alte prestazioni del mercato offre fino a 12 Gbps di protezione completa senza degradare i tempi di risposta delle applicazioni. Inoltre, NetScaler migliora le prestazioni delle applicazioni grazie alle avanzate tecnologie di accelerazione (ad es. il content caching) e alle funzioni di scarico (offload) dei server (ad. es., gestione delle connessioni TCP, crittografia/decrittografia SSL e compressione dei dati). Architettura completamente integrata. Più che semplicemente installato sulla piattaforma NetScaler, Application Firewall è strettamente integrato con esso. La condivisione a livello di oggetti e policy semplifica la gestione, mentre la condivisione dei processi a livello di sistema garantisce alte prestazioni evitando la necessità di packet processing multi-pass.

4 Protezione dalla perdita dei dati La perdita inaspettata di dati sensibili nelle risposte dell application server deriva da un attacco riuscito contro l applicazione, da un vizio nella progettazione dell applicazione o dall uso scorretto da parte di un utente autorizzato. Un passo consigliato che le aziende devono intraprendere, e una parte essenziale di una strategia di sicurezza difensiva, consiste nel proteggersi attivamente contro tali perdite. NetScaler facilita questo aspetto grazie a una funzione chiara e di semplice utilizzo per la protezione dalla perdita dei dati. Le verifiche dei dati Safe Object, una funzione incorporata in NetScaler Application Firewall, offrono una protezione, configurabile dagli amministratori, per le informazioni aziendali sensibili, quali ad esempio i codici fiscali, altri codici e numeri telefonici. Un plug-in personalizzato o una regular expression definita dall amministratore, comunica al firewall delle applicazioni il formato di tali informazioni sensibili e definisce le regole da utilizzare per proteggersi dalle perdite di dati. Se una stringa in una richiesta di un utente corrisponde a una definizione safe object, il firewall delle applicazioni può di conseguenza prendere le azioni appropriate, incluse: Blocco della risposta Mascheramento delle informazioni protette Rimozione delle informazioni protette dalla risposta prima di inviarle all utente Azioni differenti possono essere specificate per ogni singola regola Safe Object. NetScaler offre anche il controllo Credit Card per prevenire perdite involontarie di numeri di carte di credito. Il controllo delle informazioni delle intestazioni e dei dati payload permette di evitare dei falsi negativi, mentre l abbinamento algoritmico delle stringhe fornisce la rilevazione ad alta accuratezza necessaria a evitare i falsi positivi. Se viene rilevato un numero di carta di credito quando l amministratore non consente all applicazione in questione l invio dei numeri di carta di credito, la risposta può essere bloccata nella sua interezza, o il firewall può essere impostato per mascherare tutto tranne le ultime quattro cifre del numero (ad es., xxxx-xxxxxxxx-5678). NetScaler Figura 1: NetScaler protegge contro la perdita di informazioni riservate. Il risultato netto è un altro potente insieme di funzioni che i responsabili della sicurezza IT possono usare non solo per il monitoraggio di eventi di uso improprio e di attacchi di successo, ma anche per limitarne in modo sostanziale il loro impatto.

5 Protezione addizionale agli attacchi Layer 7 NetScaler include numerosi meccanismi aggiuntivi che forniscono protezione dagli attacchi a livello applicativo. Validazioni del protocollo HTTP. Applicare la conformità RFC e tutte le best practice per l utilizzo dell HTTP costituisce un modo molto efficace affinché NetScaler elimini un ampia gamma di attacchi basati su richieste malformate e comportamenti irregolari del protocollo HTTP. Ulteriori controlli personalizzati possono anche essere aggiunti ai criteri di sicurezza avvalendosi del content filtering integrato, di azioni di risposta personalizzate e funzioni di riscrittura HTTP di tipo bidirezionale. Il potenziale utilizzo permette ad esempio di: impedire agli utenti l accesso a specifiche parti di un sito web almeno che non si stiano collegando da ubicazioni autorizzate; difendersi dalle minacce basate su HTTP (ad es. Nimda, Code Red), rimuovendo dalle risposte dei server tutte le informazioni che potrebbero essere utilizzate per perpetrare un attacco. NetScaler Figura 2: NetScaler di Citrix mette in sicurezza le applicazioni web. Protezione HTTP DoS. Per limitare gli HTTP GET flood viene utilizzato un metodo innovativo. Quando viene rilevata una condizione di attacco (sulla base di un livello configurabile di richieste accodate), viene inviata ad una percentuale di client definibile una prova computazionale a ridotto impatto. Questa prova è studiata in modo tale che i client legittimi possano rispondere ad essa in modo semplice, ma che non sia possibile una risposta da parte degli stupidi droni DoS. Ciò permette a NetScaler di riconoscere le richieste contraffatte da quelle inviate da utenti legittimi. È anche possibile utilizzare timeout adattivi e altri meccanismi per difendersi da altri tipi di minacce DoS come gli attacchi SlowRead e SlowPost. Limitazione dei volumi (e altro). Un approccio per contrastare gli attacchi DoS consiste nell evitare che la rete o i server vengano sovraccaricati ostacolando o re-indirizzando il traffico che ecceda un limite specificato. A tale scopo, i controlli dei volumi di AppExpert attivano i criteri di NetScaler sulla base della connessione, della richiesta o del volume di dati sia verso una data risorsa (cioè server virtuale, dominio o URL) che proveniente da essa. Tra le funzionalità strettamente correlate vi sono: Protezione dai picchi per ridurre l impatto dei bruschi aumenti di traffico sui server Priorità di accodamento per garantire che le risorse critiche vengano servite prima di quelle non critiche durante i periodi di alta richiesta

6 NetScaler per la sicurezza della rete e dell infrastruttura NetScaler incorpora anche molte funzioni di sicurezza orientate alla rete e all infrastruttura. Le più importanti fra queste sono l ampio supporto alla crittografia basata su SSL, la sicurezza DNS e la protezione dagli attacchi Layer 4. SSL senza compromessi Sia che si tratti di garantire che i criteri di distribuzione delle applicazioni siano pienamente applicati al traffico crittografato e/o di scaricare l infrastruttura server di back-end, gli ADC devono possedere la capacità di elaborare il traffico basato su SSL. Tuttavia, possedere solamente le funzionalità base in questo ambito non è più sufficiente, poiché sono due i fattori che stanno guidando i requisiti di elaborazione SSL al tal punto da sovra stressare le risorse infrastrutturali. In primo luogo, le aziende stanno sempre di più abbracciando una metodologia di tipo SSL Everywhere. Impiegata tipicamente per mitigare le preoccupazioni dei clienti e per neutralizzare strumenti di hacking quali Firesheep, la crittografia viene utilizzata non solo per le parti sensibili di un applicazione, come una pagina di login, ma anche per tutta l intera applicazione. Il risultato è un utilizzo consistentemente crescente dell SSL. Il secondo problema coinvolge l abbandono della crittografia con chiavi a 1024-bit in favore di quelle a 2048-bit (e maggiori). In linea con le linee guida emanate dal U.S. National Institute of Standards and Technology (NIST), questa transizione è anche guidata dai piani dei principali vendor di browser di non supportare i siti web che usano certificati inferiori ai 2048 bit oltre il 31 dicembre 2013. In questo caso l impatto si concretizza in un aumento esponenziale della robustezza della crittografia, ma al costo di almeno 5 volte in quanto a fabbisogno di capacità elaborativa. Le appliance NetScaler soddisfano entrambe queste tendenze. Incorporando un hardware dedicato di accelerazione SSL con supporto di chiavi sia a 2048 che a 4096 bit, NetScaler offre funzioni indispensabili di crittografia che evitano la necessità di dover scendere a compromessi tra una sicurezza più robusta e un esperienza utente ad alte prestazioni. Richiesta prestazioni SSL Applicazioni protette con SSL Social Networks Web Mail SaaS Azienda Banking Log-in Transazione Sessione completa Intero sito Area dell applicazione protetta con SSL Figura 3: SSL everywhere aumenta la sicurezza e i requisiti prestazionali. Un altra funzione correlata è la crittografia basata su criteri (policy based). Grazie a questa funzione, gli amministratori possono configurare NetScaler in modo tale che codifichi automaticamente porzioni di applicazioni web legacy che originariamente erano state progettate per non usare la crittografia ma che ora la richiedono.

7 Per quelle organizzazioni che necessitano di un alto livello di sicurezza tramite crittografia, NetScaler è anche disponibile in modelli conformi a FIPS 140-2, Level 2. Sicurezza DNS Il DNS è un servizio essenziale per l infrastruttura dei moderni datacenter. In mancanza di un implementazione DNS robusta e sicura, la disponibilità e l accessibilità di servizi e applicazioni chiave sono messi a rischio. Oltre a fornire il bilanciamento dei carichi su ampia scala dei server DNS interni di un organizzazione quando si opera in modalità DNS proxy, NetScaler può anche essere configurato come server DNS autorizzativo (ADNS) per gestire direttamente le richieste di risoluzione di nomi e IP. In entrambi gli scenari, NetScaler offre una base robusta e sicura di implementazione basata sulle seguenti funzioni: Progettazione rinforzata Progettata dall inizio quale servizio rinforzato, l implementazione del DNS di NetScaler non è basata su BIND open source e, quindi, non è soggetta alle vulnerabilità scoperte regolarmente in BIND. Conformità/applicazione RFC NetScaler effettua la piena validazione e applicazione del protocollo DNS per bloccare in modo automatico gli attacchi che utilizzano richieste DNS malformate, o altri tipi di uso scorretto del DNS. Limitazione nativa dei volumi DNS Per aiutare a prevenire gli attacchi flood DNS, è possibile impostare i criteri per definire dei limiti oppure eliminare le query sulla base di parametri configurati. Questo controllo può essere implementato sulla base del tipo di query e/o del nome del dominio, una funzione che consente alle aziende e ai service provider che gestiscono domini multipli di stabilire criteri separati per ciascuno. Protezione dal cache poisoning con DNSSEC Il response hi-jacking è una grave classe di minacce che vede l iniezione di record falsi da parte di hacker in server DNS, avvelenandone di conseguenza la cache. Questi record dirigono poi gli utenti ad un sito controllato dagli hacker che propone contenuti maligni oppure tenta di carpire preziose informazioni relative ad account e password. NetScaler vigila contro questi tipi di minacce con due protezioni potenti: Supporto integrato per DNSSEC, che può essere implementato per configurazioni sia ADNS che proxy DNS. NetScaler consente il signing delle risposte in modo che i resolving client possano successivamente validare l autenticità e l integrità della risposta. Questo approccio basato su standard elimina l introduzione di record falsi in una cache DNS altrimenti vulnerabile. La randomizzazione degli ID delle transazioni DNS e delle informazioni delle porte di origine rende difficile a un hacker l inserimento delle informazioni necessarie in una richiesta e la corruzione dei record DNS. Protezione dagli attacchi Layer 4 NetScaler protegge dagli attacchi DoS a livello di rete garantendo che le risorse di back-end non siano allocate finché non venga stabilita una connessione client legittima e non sia stata ricevuta una richiesta valida. Ad esempio, la difesa di NetScaler contro i flood SYN basati su TCP si basa principalmente sull allocazione delle risorse solo dopo il completamento totale di un three-way handshake TCP tra il client e l appliance NetScaler e, secondariamente, sulla disponibilità di un implementazione di cookie SYN ottimizzati per quanto concerne le prestazioni e migliorati in merito alla sicurezza. In aggiunta, una piattaforma hardware e un architettura di sistema operativo capace di elaborare milioni di pacchetti SYN al secondo garantisce che lo stesso NetScaler non soccomba nel caso venga colpito dallo stesso tipo di attacchi.

8 Altre protezioni di sicurezza a livello di rete includono: (a) Liste di controllo degli accessi (ACLs Access control lists) layer 3 e 4, in grado di accettare il traffico applicativo necessario e bloccare tutto il resto, (b) la limitazione dei volumi, la protezione dai picchi e le funzioni di accodamento primario discussi precedentemente e (c) uno stack TCP/IP, conforme agli standard, che è stato migliorato per: Scartare automaticamente il traffico malformato che potrebbe costituire una minaccia alle risorse di back-end. Prevenire la rivelazione di informazioni relative alle connessioni e agli host (ad es. indirizzi di server e porte) che potrebbero rilevarsi utili agli hacker che intendono effettuare un attacco. Contrastare automaticamente una moltitudine di minacce DoS, inclusi flood ICMP, pipeline, teardrop, land, small/zero window e attacchi zombie alle connessioni. AAA per la distribuzione delle applicazioni Sebbene sia essenziale avere una robusta copertura a livello di rete, infrastruttura e applicazioni per ottenere un efficace sicurezza per il datacenter, ciò non basta. Un altra dimensione che i responsabili della sicurezza IT devono tenere in considerazione è il livello utente. NetScaler fornisce un insieme ampio di funzionalità AAA: Funzioni di Autenticazione per validare le identità degli utenti. Autorizzazione per verificare e legittimare le risorse specifiche a cui ogni utente ha il permesso di accesso. Funzioni di Audit per mantenere registrazioni dettagliate delle attività di ogni utente (per la risoluzione di problemi, reporting, conformità). La forza della soluzione AAA di NetScaler non consiste solo delle sue ampie funzioni, quali il supporto per la modifica delle password e un ampia gamma di meccanismi di autenticazione (ad es. locale, RADIUS, LDAP, TACACS, certificati, NTLM/Kerberos, e SAML/SAML2). NetScaler infatti centralizza e consolida questi servizi per tutte le applicazioni. La cosa particolare è che piuttosto che implementare, applicare e gestire questi controlli individualmente per ogni applicazione, con NetScaler gli amministratori possono occuparsi di tutto in modo centralizzato e da un unico posto. I vantaggi di questo approccio sono: Migliorare le prestazioni dei server Il carico dei server può essere ridotto e le prestazioni delle applicazioni migliorate poiché le risorse di back-end non devono eseguire i task AAA.9 Citrix NetScaler White Paper citrix.com Aggiungere sicurezza alle applicazioni legacy È possibile aggiungere funzioni critiche di sicurezza alle applicazioni legacy prive di funzioni AAA native. Le applicazioni moderne beneficiano anche di una gamma di scelte più ampia, come la possibilità di incorporare un autenticazione più forte o una registrazione (logging) più granulare senza dover modificare l applicazione. Fornire un esperienza utente stabile L esperienza utente può essere resa omogenea standardizzando i meccanismi, i parametri (ad es. i timeout) e i criteri di autenticazione (ad es. quelli per la gestione dei tentativi falliti) nell ambito di gruppi di applicazioni. Consentire il single sign-on (SSO) Gli utenti devono fare il login una sola volta poiché NetScaler dà loro accesso in modo trasparente a tutte le risorse nell ambito di un dato dominio. Migliorare la sicurezza Esistono numerose opportunità per aumentare la sicurezza, fra le quali: attivazione di meccanismi di autenticazione multi-fattore o secondari; implementazione di disconnessioni (logout) sicure (ove i cookie scadono automaticamente); applicazione di criteri uniformi tra differenti insiemi di utenti e/o risorse.

9 Semplificare la progettazione della sicurezza Avere solo un posto (piuttosto che decine o centinaia) per implementare e gestire i servizi AAA semplifica in modo significativo l amministrazione e riduce i potenziali errori che conducono a falle nelle difese di un organizzazione. Realizzare una struttura di sicurezza con i prodotti NetScaler dei partner Il valore di NetScaler quale soluzione di sicurezza del datacenter viene anche rafforzato da un ricco ecosistema di prodotti di partner. Esempi significativi includono: Analisi e reporting NetScaler AppFlow, una tecnologia basata su standard, estende le informazioni a livello TCP già catturate da IPFIX, lo standard IETF per NetFlow, per includere record dati al layer dell applicazione per flusso. Completamente non-invasiva, AppFlow elimina la necessità di tap proprietari, agenti software o dispositivi aggiuntivi utilizzando l infrastruttura NetScaler già esistente di un organizzazione per fornire informazioni su chi sta usando quali risorse, quando e in quale misura. Splunk, un Citrix Ready Partner, utilizza i dati di AppFlow nella sua soluzione Splunk for NetScaler with AppFlow per consentire l analisi e la reportistica di informazioni relative alla sicurezza quali: eventi SSL VPN e relativi al firewall delle applicazioni, violazioni di criteri e risorse sotto attacco. Informazioni sulla sicurezza e gestione degli eventi (SIEM) NetScaler App Firewall supporta anche il Common Event Format (CEF) e il syslog per l output di dati verso soluzioni di terze parti. Un caso di utilizzo comune è l elaborazione di eventi e informazioni di log di NetScaler da parte di piattaforme leader SIEM (ad es. HP ArcSight e RSA envision) per la sicurezza operativa e scopi legati alla gestione delle conformità. Gestione delle vulnerabilità HailStorm e ClickToSecure di Cenzic, un Citrix Ready Partner, offre test dinamici e black-box di siti web per generare informazioni sulla vulnerabilità. In questo caso, la partnership ha portato all importazione semplificata dei risultati di scansione di Cenzic in NetScaler Application Firewall per configurare le regole finalizzate alla protezione contro le minacce che puntano alle vulnerabilità scoperte nelle applicazioni e nei servizi. Esempi di altri partner rappresentativi e delle loro tecnologie sono: RSA (Adaptive Authentication), Qualys (gestione delle vulnerabilità), Sourcefire (IPS e network awareness in tempo reale), TrendMicro (AV e sicurezza Web) e Venafi (gestione chiavi/certificati). Il risultato finale è che queste soluzioni e un insieme di altre soluzioni di partner disponibili, consentono alle aziende di costruire soluzioni di sicurezza sulle fondamenta offerte da NetScaler per realizzare una struttura di sicurezza completa per il proprio datacenter. Conclusioni I continui vincoli di budget e una richiesta crescente di sicurezza sempre più robusta nei datacenter hanno condotto a uno scenario in cui le aziende devono fare di più con meno. Citrix NetScaler, il miglior controller di distribuzione delle applicazioni (ADC) per la realizzazione di reti cloud aziendali, si adatta perfettamente a questa situazione. Unendo un portafoglio completo di funzionalità di sicurezza a livello di applicazione, rete e utente a un ricco ecosistema di prodotti partner interoperabili, NetScaler consente alle aziende di oggi di sfruttare l infrastruttura esistente per realizzare ed ampliare soluzioni su fondamenta robuste ed economiche per la sicurezza del datacenter di prossima generazione.

10 Corporate Headquarters Fort Lauderdale, FL, USA Silicon Valley Headquarters Santa Clara, CA, USA EMEA Headquarters Schaffhausen, Switzerland India Development Center Bangalore, India Online Division Headquarters Santa Barbara, CA, USA Pacific Headquarters Hong Kong, China Latin America Headquarters Coral Gables, FL, USA UK Development Center Chalfont, United Kingdom Informazioni su Citrix Citrix (NASDAQ:CTXS) è l azienda che trasforma il modo in cui le persone, le aziende e l IT lavorano e collaborano nell era del cloud. Grazie alle tecnologie leader di mercato di cloud computing, collaborazione, networking e virtualizzazione, Citrix consente stili di lavoro mobile e servizi cloud, semplificando e rendendo più accessibile il complesso IT aziendale per 260.000 aziende. Citrix raggiunge quotidianamente il 75% di utenti Internet e collabora con più di 10.000 aziende in 100 Paesi. Il fatturato annuo nel 2012 è stato di 2,59 miliardi di dollari. Ulteriori informazioni su www.citrix.com. 2013 Citrix Systems, Inc. Tutti i diritti riservati. Citrix e NetScaler sono marchi o marchi registrati di Citrix Systems, Inc. e/o di una o più delle sue filiali, e possono essere registrati presso l ufficio marchi e brevetti degli Stati Uniti o di altri Paesi. Tutti gli altri marchi e marchi registrati sono proprietà dei rispettivi proprietari. 0413/PDF

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back