解决方案金融行业新一代堡垒机Citrix XenApp
一. 方案适用场景
当今的时代是一个信息化社会,信息系统已成为各企业业务运营的基础,由于信息系统运维人员掌握着信息系统的最高权限,一旦运维操作出现安全问题将会给企业或单位带来巨大的损失,因此,加强对运维人员操作行为的监管与审计是信息安全发展的必然趋势。金融企业拥有庞大的IT信息系统,数据中心的基础架构建设比较完善,随着金融行业监管的强化以及金融行业特殊的社会责任要求,金融企业对运维操作风险管理提出了更高的要求,希望能够对网络管理员、系统管理员、代维人员、开发人员等的运维操作行为,进行事前控制、事中监控和事后审计。
二. 用户需求
1.)集中管理:对网络管理员、系统管理员、代维人员、开发人员等进行统一认证管理,解决操作分散无序的问题,提高管理效率。
2.)数据管控:无论局域网操作者还是广域网远程操作者,可以看到数据,可以使用数据,但拿不走数据。
3.)高安全性:以客户端/服务器方式运行,将用户行为变为可视、可跟踪、可鉴定,保护重要数据的安全。
4.)灵活的策略:能够基于用户、应用对管理行为制定策略。
5.)审计操作行为:对网络管理员、系统管理员、代维人员、开发人员等的运维操作行为,进行事前控制、事中监控和事后行为进行有效的审计。
6.)支持动态口令技术:支持结合使用动态口令技术进行认证,在用户登录认证基础上,增加一道认证方式,提高更安全的认证方式。
7.)解决传统不足:能克服了传统堡垒机的很多不足,如专用硬件不易维修,容易形成单点故障和网络瓶颈,不能实现应用和数据管控,不能对图像操作进行检索等。
8.)满足三大运营商审计要求:系统可用于电信、移动、联通三个运营商实现网维4A审计和萨班斯法案的审计要求,要求适用于在证券等金融业机构完成对财务、会计、敏感信息操作的审计。
三.解决方案
Citrix金融行业应用虚拟解决方案基于最新的云计算和应用虚拟化技术构建,是新一代的堡垒机,实现安全访问以及对用户的行为审计,方案建议采用Citrix XenApp解决方案。推荐采用行业中技术领先的Citrix公司Citrix XenApp铂金版解决方案。采用Citrix XenApp将构建一个安全的集中访问平台,由于采用专利技术ICA协议,将远程服务器上的应用虚拟到客户端本地,服务器与客户端之间的数据传输只是屏幕变化和鼠标键盘的指令信息,而不传输任何实际操作数据,从安全性角度分析,这种安全性接近于物理环境隔离。采用Citrix SmartAuditor智能审,可以审计任何通过Citrix XenApp平台访问的用户会话,通过过与Citrix XenApp的无缝集成,不仅可以构建一个安全的远程集中访问平台,还可以对所有的用户会话,管理员维护操作等等的用户行为进行审计。如下为方案架构拓扑图:
四.方案所含系列产品简介
1.)Citrix XenApp -应用虚拟化(该方案必要产品):集中应用发布、智能录像审计、单点登录、HDX技术、数据安全集中管理、应用权限分配。
2.)Citrix NetScaler 网络安全访问、服务器负载均衡(该方案可选产品):SSL加密的应用安全访问,ICA代理转发、SmartAccess智能颗粒访问控制。
4.)Citrix XenServer 服务器虚拟化(该方案可选产品):服务器虚拟化平台、服务器资源充分利用、针对XenApp及XenDesktop服务器虚拟化平台优化。
五.方案特点及优点
该方案特点:
在隔离网络中部署XenServer虚拟化平台,分别虚拟出Web Interface服务器、Citrix XenApp数据库服务器以及多台台Citrix XenApp服务器等基础架构服务器,考虑到大量用户同时并发接入Citrix服务器的IO负载较大,因此在XenApp服务器场中配置了负载平衡策略,保障用户在使用时的性能和流畅体验。用户访问数据中心的业务系统,必须先访问隔离网络的XenApp服务器发布出来的应用,再由XenApp中转到应用系统,这样可以实现用户和数据隔离,而且用户的所有操作通过SmartAuditor录像记录做为审计。如果企业中有多台XenApp服务器,需要在隔离区防火墙上开放每一台XenApp服务器的1494、2598及W I80端口,这样XenApp服务器端口开放多了,不利于管理,而且也不安全,借助NetScaler 可以实现ICA代理,只需要开放NetScaler 443端口即可,同时NetScaler可以实现WI的负载均衡。部署Citrix XenApp后,通过Citrix 特有的HDX技术、SmartAuditor智能录像、单点登录等功能实现用户与业务系统数据隔离,集中管理用户访问应用,同时对用户的操作于录像方式记录,做为审计。
该方案优点:
1.)集中管理:对网络管理员、系统管理员、代维人员、开发人员等进行统一认证管理,解决操作分散无序的问题,提高管理效率。
2.)数据管控:无论局域网操作者还是广域网远程操作者,可以看到数据,可以使用数据,但拿不走数据。
3.)高安全性:以客户端/服务器方式运行,将用户行为变为可视、可跟踪、可鉴定,保护重要数据的安全。
3.)灵活的策略:能够基于用户、应用对管理行为制定策略。
3.)审计操作行为:对网络管理员、系统管理员、代维人员、开发人员等的运维操作行为,进行事前控制、事中监控和事后行为进行有效的审计。
4.)支持动态口令技术:支持结合使用动态口令技术进行认证,在用户登录认证基础上,增加一道认证方式,提高更安全的认证方式。
5.)解决传统不足:能克服了传统堡垒机的很多不足,如专用硬件不易维修,容易形成单点故障和网络瓶颈,不能实现应用和数据管控,不能对图像操作进行检索等。
6.)满足三大运营商审计要求:系统可用于电信、移动、联通三个运营商实现网维4A审计和萨班斯法案的审计要求,要求适用于在证券等金融业机构完成对财务、会计、敏感信息操作的审计。
7.) 不改变现有网络架构:无需对现有网络环境进行更改,通过Citrix的HDX协议就能够在现有的网络环境下达到出色的交付能力,网络两端的用户与服务器之间传输的只是鼠标的操作、键盘的敲击、屏幕的更新产生的数据, 比传统应用方式节省一半以上带宽。
8.) 应用集中管理:在数据中心的Citrix服务器上进行软件应用安装和管理,而无需要在终端用户自己的电脑上安装应用软件。
9.) 用户体验:增强的HDX技术帮助用户实现与本地一样部署应用使用一样的效果。
10.)优化应用的安全交付:结合NetScaler安全访问及负载均衡设备,NetScaler与Citrix XenApp同时部署时,可提供强大的接入管理功能及实现服务器负载均衡,无需任何额外的网络隧道软件,即可实现XenApp客户端的安全连,为IT人员提供了细粒度的应用层策略和行为控制能力,可保障应用和数据访问的安全,同时让用户可在任何地方开展工作。
11.)服务器资源充分利用:通过XenServer虚拟化平台,将多台XenApp及Citrix角色服务器整合到虚拟化平台上,充分利用物理服务器资源,同时节省机房空间,降低耗电成本,集中管理服务器,减少IT维护成本,简化IT管理。
六.Citrix案例:
1.)中国建设银行;2.)中信建投;3.)Independent Bank;4.)Tryg-Baltica
评论专区