企业级安全部署最佳实践（下篇）.docxVIP

企业级安全部署最佳实践（下篇） App 保护 各种类型的应用程序都是被攻击的热门目标。即使安全研究人员比黑客更早发现漏洞，一个组织的系统也需要几个月的时间才能打补丁或更新。即便如此，尽管有成熟的应用程序交付模型，以及及时发现、测试和修复易受攻击软件的既定流程，许多成功的入侵还是利用了多年来已经有补丁可用的漏洞。 在移动设备上，本地安装的应用程序存在数据存储不安全、数据传输不安全、敏感数据泄露等风险。随着智能手机和平板电脑迅速成为商业标准，个人和商业应用之间的界限变得模糊，敏感和机密数据暴露在通过云存储、社交网络、应用之间或点对点共享的风险中。 由于安全配置不完善、底层操作系统补丁管理不完整、编码语言存在漏洞，或第三方依赖程序中的未打补丁和零日漏洞，Web应用程序容易受到攻击。遗留或不受支持的应用程序有可能受到篡改字段、溢出缓冲区或执行命令注入和远程代码执行的攻击。应用层攻击远远高于网络防火墙和IDS/IPS提供的控制，它们不理解逻辑攻击。 集中化:虚拟化应用，要求加密交付 应用虚拟化通过在数据中心集中应用程序来保护敏感数据，只允许应用程序的像素化表示到达端点——没有实际的数据传输发生。虚拟化还允许基于应用程序的分类安全需求，敏感应用可以被竖井式地放置在独立网段内的专用服务器上，具有不同的敏感分类和限制，可以发布多个独立版本的web浏览器，以解决web应用的多样化安全和遗留需求。IT获得了一个单一的可见性和控制点，以定义和执行组或用户级别的访问策略。 对本地安装的应用程序进行分散的安全配置和补丁管理效率低下，而且常常不一致。通过集中化，操作系统补丁、服务包、修复程序以及应用程序和配置更新可以在单个主映像上执行，从而加速测试和上线。基于端点的攻击(如内存或RAM抓取)不再构成风险。 Citrix Receiver客户端和XenApp服务器之间的功能和通信是通过图形、磁盘、COM端口、LPT端口、打印机、音频、视频和智能卡的虚拟通道进行的，XenApp策略控制保存、复制、打印或以其他方式移动数据的能力。对于需要额外保护层的组织，NetScaler上的SmartControl实现了网络级别的过滤。加密被集成到通信流的每个组件中，包括多层ICA和SSL/TLS。 Containerization:管理移动应用，防止数据丢失 Citrix移动应用安全的最佳实践是基于容器化，这是一种在设备层面的细分形式。用户可以在设备上同时使用个人和商业应用程序，商业应用程序和数据由IT管理。硬件、操作系统和个人应用的安全通过基于容器的安全措施进行扩展，包括加密存储和使用、应用到应用的数据控制和数据擦除策略。 在容器化方法的基础上，XenMobile使组织能够对应用程序以及数据和设置进行集中管理、安全和控制。 ?Micro-VPN - XenMobile和NetScaler为原生移动应用提供专用的Micro-vpn隧道，应用程序和NetScaler之间的加密SSL/TLS会话受到保护，不受其他设备和Micro-vpn通信的影响，以确保内部网络上的资源不暴露于感染了恶意软件的个人应用的流量。 ?设备验证-因为容器化本身不能确保已经越狱或破解的设备的安全性，以允许安装盗版或未经验证的应用程序-这是恶意软件的常见载体，旨在获得超级管理员状态- xenmobile验证设备状态，并在设备注册之前阻止越狱设备。 ?管理原生应用- Citrix移动业务生产力应用程序，包括WorxMail和WorxWeb，用于安全管理安装在移动设备上的电子邮件和Web浏览器，沙盒在一个安全的容器中，IT可以远程管理，控制，锁定和有选择地擦除，而不接触设备上的个人数据或应用程序。 检查:保护web应用程序免受攻击 Web应用程序是黑客的主要目标，提供了一个高度脆弱的攻击面，可以直接连接到包含敏感客户和公司信息的数据库。这样的威胁通常是专门为目标而设计的，使得网络层安全设备(如入侵保护系统和网络防火墙)无法识别。这使得web应用程序暴露于使用已知的和零日漏洞的应用层攻击。NetScaler AppFirewall通过为web应用程序和服务提供集中的应用层安全来弥补这一差距。 基于注入漏洞的逻辑攻击利用了应用程序无法过滤用户输入的漏洞，例如，当SQL注入被用来通过应用程序传递任意命令，由数据库执行时。跨站脚本(XSS)使用web应用程序作为攻击其他用户的武器，同样是通过无法验证输入。成为应用程序的一部分后，有效负载被返回到受害者的浏览器，在那里它被视为代码并执行会话劫持或通过网络钓鱼试图窃取凭据。 AppFirewall存储自定义注入模式，以防止所有类型的注入攻击。 ?管理员可以使用字段格式保护来用正则表达式限制用户参数，检查表单字段的一致性，以确认它们没有被修改。 ?为了防止SQL注入，A