Mettere in sicurezza l`infrastruttura dei desktop virtuali con Citrix

Citrix NetScaler
White Paper
Mettere in
sicurezza
l’infrastruttura
dei desktop
virtuali con Citrix
NetScaler
www.citrix.it
Citrix NetScaler
White Paper
Le aziende attuali stanno adottando rapidamente la virtualizzazione
desktop quale mezzo per ridurre i costi operativi, rendere possibile
la flessibilità del luogo di lavoro, aumentare la flessibilità dell’azienda
e garantire la sicurezza delle informazioni e la conformità. Il
concreto ottenimento di questi benefici, tuttavia, dipende quanto
si è in grado di garantire la sicurezza e la disponibilità
dell’infrastruttura desktop virtuale. Questo documento chiarisce
i motivi per cui Citrix® NetScaler® è il prodotto ideale per il
raggiungimento di questi obiettivi. Integrando numerosi
meccanismi di protezione della rete e delle applicazioni, capacità
avanzate di controllo degli accessi e delle azioni e molte funzioni
aggiuntive di distribuzione dei servizi, NetScaler non solo
garantisce i benefici promessi dai desktop virtuali ma li massimizza.
La sicurezza con la virtualizzazione desktop
La migrazione dagli approcci tradizionali di distribuzione e gestione dei desktop alle tecnologie e
alle tecniche di virtualizzazione desktop rappresenta un’iniziativa prioritaria per le aziende di tutti
i tipi e dimensioni, in tutto il mondo. Infatti, la società Gartner prevede che l’adozione di desktop
virtuali hosted raggiunga i 70 milioni di utenti entro il 2014.1 Questa crescita è favorita da un insieme
di benefici irrinunciabili. Grazie a una soluzione di virtualizzazione desktop completa di ogni
funzionalità, le aziende possono ridurre in maniera significativa e sostenibile i costi di proprietà e
gestione, consentire una completa flessibilità del luogo di lavoro e aumentare l’agilità aziendale
fornendo un rapido supporto alle iniziative strategiche quali fusioni e acquisizioni, espansioni
geografiche e accordi dinamici di partnership.
Un altro importante vantaggio della virtualizzazione desktop è rappresentato dal significativo
rafforzamento della sicurezza delle informazioni e della conformità. Questo beneficio deriva
primariamente dalla capacità di centralizzare tutti i dati e le applicazioni nel datacenter aziendale.
Dato che gli utenti visualizzano e modificano i loro desktop da remoto, non vi è necessità di distribuire
ai dispositivi locali materiale potenzialmente sensibile.
La sicurezza migliora anche perché la centralizzazione delle applicazioni desktop e dei sistemi
operativi aumenta il controllo degli amministratori su queste risorse cruciali. Il controllo centralizzato,
non solo rende più semplice perseguire la standardizzazione che riduce la complessità, i costi
e la superficie di attacco di un’organizzazione, ma aumenta anche la semplicità, la velocità e
l’accuratezza con cui vengono implementati gli aggiornamenti e le patch di sicurezza. Un altro
vantaggio del modello centralizzato è rappresentato dal fatto che l’attivazione e la revoca dei
diritti e privilegi di accesso possono essere realizzate in modo rapido ed efficiente. Inoltre, non
vi è la necessità di gestire la restituzione di dispositivi, software o dati distribuiti, da parte degli
utenti semplicemente perché con la virtualizzazione desktop non ve ne sono.
1
“Forecast: Hosted Virtual Desktops, Worldwide, 2010-2014,” Gartner, novembre 2010.
www.citrix.it
2
Citrix NetScaler
3
White Paper
Ogni cosa ha il suo prezzo
La virtualizzazione desktop ha chiaramente molto da offrire alle aziende di oggi. Tuttavia, ottenere
interamente i suoi benefici non è cosa scontata. Per preservare i potenziali vantaggi, le organizzazioni
devono, tra le altre attività, garantire la sicurezza delle loro implementazioni di virtualizzazione desktop.
Sono necessarie robuste capacità di sicurezza per molte ragioni:
• Accesso remoto. Con la mobilità e le iniziative di telelavoro in crescita, una percentuale significativa
di utenti avrà probabilmente necessità di avere accesso ai desktop da un’ubicazione remota, e
spesso tramite una rete pubblica non protetta.
• Proliferazione dei dispositivi. La consumerizzazione ha amplificato il bisogno di supportare
una varietà in rapida espansione di dispositivi client con caratteristiche e profili di sicurezza
ampiamente variabili. Ciò viene ulteriormente complicato dal fatto che la maggior parte di questi
dispositivi non è più posseduta o controllata dall’azienda. Il punto cruciale, in ogni caso, è che
sebbene la virtualizzazione desktop possa eliminare la memorizzazione locale di dati sensibili,
un dispositivo client compromesso rappresenta ancora una minaccia. È ancora possibile visionare
i dati sensibili, e i diritti attribuiti all’utente/dispositivo possono ancora essere sfruttati per lanciare
un attacco molto più dannoso.
• Estensione degli accessi. Con la virtualizzazione desktop gli utenti hanno accesso a un desktop
completo. In aggiunta alle loro applicazioni e ai loro dati, gli utenti possono anche usufruire di
tutte le risorse sottostanti alle quali i desktop sono autorizzati ad accedere. Questo aumenta, in
generale, l’importanza della sicurezza e, in aprticolare, del controllo degli accessi.
• Concentrazione di risorse. Aumenta anche l’importanza di avere difese robuste perché la
virtualizzazione desktop significa per un’azienda mettere molte uova in un paniere. In contrasto
con i modelli distribuiti e convenzionali di elaborazione desktop, un singolo attacco di successo
ha ora il potenziale di avere conseguenze su un numero sostanziale di utenti e di sistemi desktop.
Occorre considerare anche il quadro generale. Gli hacker di oggi sono molto ben organizzati e
motivati nel fare danni e poi scomparire con dati preziosi. Di conseguenza, sono necessarie delle
forti difese per proteggere i dati dai sempre più sofisticati attacchi esterni.
Cosa può fare Citrix NetScaler
NetScaler è una soluzione avanzata per distribuire applicazioni e servizi cloud e aziendali e
rappresenta la scelta ideale per essere il front-end dell’infrastruttura di virtualizzazione desktop
di un’organizzazione. Particolarmente rilevanti in questo contesto sono i numerosi meccanismi
e funzioni di sicurezza forniti da NetScaler per aiutare a proteggere l’infrastruttura di desktop
virtuali. Possiamo raggruppare tali funzioni e meccanismi in tre categorie distinte.
Client
Citrix
NetScaler
• Accesso protetto
• Sicurezza delle
applicazioni
• Alta disponibilità
www.citrix.it
Desktop virtuali
Infrastruttura
Citrix NetScaler
White Paper
Protezione a livello di rete
Citrix NetScaler in breve
NetScaler è una soluzione
di classe enterprise che
consente di eseguire le
applicazioni e i servizi cinque
volte meglio, grazie a una
potente combinazione
di accelerazione delle
applicazioni basate sulla
rete, scarico dei server, alta
disponibilità e sicurezza
delle applicazioni. NetScaler
è utilizzato dai più grandi siti
web del mondo, con una
stima del 75% degli utenti
di Internet che accedono
a un sito distribuito da
NetScaler, tutti i giorni. In
aggiunta, migliaia di aziende
si affidano a NetScaler per
i propri siti web pubblici,
le intranet e le esigenze di
distribuzione dei desktop.
NetScaler fornisce protezione a livello core e di rete per l’infrastruttura di desktop virtuali (VDI) in
molti modi. Per cominciare, gli amministratori possono usare NetScaler per applicare un livello
base di controllo degli accessi usando semplici ACL (access control list – lista di controllo degli
accessi) di livello 3 e 4 per autorizzare in modo selettivo il traffico “legale” e bloccare quello
considerato insicuro. In aggiunta, vi sono due funzioni chiave che proteggono in modo automatico
qualsiasi infrastruttura NetScaler usata come front-end. Per esempio, NetScaler incorpora uno
stack TCP/IP ad alte prestazioni e conforme agli standard, che è stato migliorato per:
• eliminare automaticamente il traffico irregolare che potrebbe costituire una minaccia all’intera
infrastruttura di desktop virtuali
• prevenire la rivelazione di informazioni di connessione a basso livello (ad es. indirizzi IP, numeri
di porte dei server) che potrebbero rivelarsi utili agli hacker intenzionati a condurre un attacco
• contrastare automaticamente molti tipi di attacchi DoS (Denial of Service) che sfruttano i gap
nei protocolli di uso comune
Protezione a livello applicativo
Risalendo di un livello, un’altra funzione importante di NetScaler è la sua architettura proxy. Unita
a funzioni di riscrittura degli HTTP/URL e di content filtering L7, permette a NetScaler di:
• proteggere i connection broker e altre componenti VDI a valle dalle connessioni dirette TCP e
UDP iniziate da utenti esterni, riducendo così l’esposizione a malware e ad altri tipi di attacco
• fornire cloacking e content security agli stessi componenti per nascondere efficacemente i
codici di errore dei server, i veri URL e altre informazioni che potrebbero fornire agli hacker i
dettagli di cui hanno bisogno per realizzare attacchi personalizzati
• contrastare automaticamente molti tipi di attacchi DoS (Denial of Service) che sfruttano i gap
nei protocolli di uso comune.
Molte implementazioni VDI contengono componenti basati sul web che pure necessitano di una
robusta protezione contro gli attacchi. Il NetScaler App Firewall™ integrato protegge dagli attacchi
a livello delle applicazioni, come l’SQL injection, il cross-site scripting e le minacce di buffer overflow.
NetScaler App Firewall offre:
• un modello flessibile di sicurezza ibrida che protegge dalle vulnerabilità note utilizzando un database
aggiornato di firme di attacco e un modello di sicurezza positivo per sconfiggere gli attacchi
zero-day per i quali non esistono ancora le firme
• criteri e modelli di sicurezza di facile configurazione per una distribuzione e gestione semplici e veloci
• piena integrazione con NetScaler in modo tale che la sicurezza e la disponibilità della VDI possano
essere gestite tramite criteri e console comuni.
Una maggiore protezione a livello applicativo deriva anche dal migliorato supporto delle chiavi di
crittografia SSL a 2048 bit. Conforme ai consigli della NIST Special Publication 800-57, la lunghezza
delle chiavi per i certificati che supportano la crittografia con chiave pubblica, un componente
intrinseco dell’SSL, è ora regolarmente di 2.048 bit (rispetto allo standard precedentemente
accettato di 1.024 bit). Il raddoppio della dimensione standard delle chiavi rappresenta un incremento
esponenziale nel numero dei cicli di CPU richiesti per elaborare le transazioni SSL, in media cinque
volte di più. Per facilitare la migrazione ai certificati SSL a 2048 bit, NetScaler aumenta le prestazioni
SSL grazie ad avanzate capacità di accelerazione per evitare che le organizzazioni debbano
sacrificare la sicurezza per garantire gli SLA relativi alle prestazioni.
www.citrix.it
4
Citrix NetScaler
White Paper
Controllo avanzato degli accessi e delle operazioni
Componente integrante del prodotto, Access Gateway™ è una VPN SSL completa di tutte le
funzionalità che offre agli amministratori un controllo granulare a livello delle applicazioni e che
rende nel contempo disponibile agli utenti l’accesso remoto ai loro desktop virtuali da qualsiasi
luogo. Con Access Gateway gli amministratori IT possono gestire il controllo degli accessi e
limitare le azioni all’interno delle sessioni sulla base dell’identità dell’utente e del dispositivo endpoint.
Il tutto si traduce in un miglioramento della sicurezza delle applicazioni, della protezione dei dati
e della gestione delle conformità, senza la necessità dell’installazione di un nuovo dispositivo.
Le prime due modalità con cui Access Gateway supporta l’accesso remoto ai desktop virtuali
consistono nel fornire un tunnel crittografato e nel supportare un’ampia gamma di metodi per
l’autenticazione degli utenti. Le sessioni desktop che attraversano le reti pubbliche sono protette
contro l’intercettazione consentendo nel contempo all’azienda di continuare a utilizzare la propria
directory esistente e l’infrastruttura di gestione delle identità.
Vi è poi il controllo degli accessi granulare e adattivo. Con Access Gateway gli amministratori
possono controllare in modo stretto l’accesso ai desktop virtuali usando criteri costituiti da
attributi sia fissi che dinamici, inclusi l’identità e il ruolo degli utenti, la robustezza dell’autenticazione,
l’ubicazione, l’ora del giorno, l’identità e la condizione di sicurezza del dispositivo client. A supporto
di questa capacità vi è un’altra importante funzione di sicurezza:l’analisi degli endpoint. Per
monitorare continuamente i dispositivi client e determinare se il software di sicurezza dei client,
quali gli antivirus, i firewall personali o altri programmi obbligatori, sono attivi e aggiornati, è
possibile usare la scansione integrata degli endpoint. È possibile poi in modo efficace negare
l’accesso o autorizzare un accesso limitato a quei dispositivi che non superano tali verifiche
oppure metterli in quarantena restringendo il loro accesso ai siti che forniscono gli strumenti
necessari a ripristinarli a una configurazione conforme.
Le capacità di azioni avanzate e di controllo dei dati offrono tuttavia un altro strato cruciale di
protezione, particolarmente importante data la proliferazione dei dispositivi client e la crescente
tendenza verso la proprietà e la gestione diretta da parte degli utenti. Tra le relative funzioni vi sono:
• un maggior controllo dello split tunneling, con il quale agli utenti viene consentito l’accesso ai
loro desktop e alla subnet locale del cliente ma viene loro impedito l’accesso diretto a Internet
• il controllo adattivo delle azioni, con il quale è possibile restringere le funzionalità di stampa
locale, copia, incolla e salvataggio su disco per mezzo di criteri adattivi
• il cache cleanup, con il quale gli oggetti e i dati memorizzati sul browser locale vengo rimossi
al termine della sessione di desktop virtuale
A completamento del portafoglio delle funzioni di protezione vi sono le notevoli capacità di
registrazione, reportistica e controllo offerte da Citrix Command Center, la console di gestione
centrale di NetScaler. Tali capacità sono di inestimabile valore non solo per quanto concerne le
attività di ricerca dei malfunzionamenti ma anche per scoprire gli usi impropri e altre attività di
“spionaggio” che possono essere indicative di un client o un desktop compromesso, o di un più
vasto attacco contro l’ambiente di desktop virtuali dell’azienda.
www.citrix.it
5
Citrix NetScaler
White Paper
Ulteriori considerazioni
La sicurezza della rete è solo uno degli elementi di una strategia di sicurezza completa per la
VDI e nonché uno dei tanti benefici che NetScaler offre.
Oltre NetScaler
Per quanto potenti siano le funzioni di NetScaler per la protezione dei desktop virtuali, esse
rappresentano solo una parte di una strategia completa di sicurezza per la VDI. Oltre alla sicurezza
della rete, le aziende dovrebbero anche considerare la necessità di:
• Sicurezza dei client. Malgrado il modello operativo centralizzato della virtualizzazione, un
dispositivo client compromesso rappresenta ancora una minaccia. Le funzioni di analisi degli
endpoint, controllo delle azioni e pulizia dei dati di NetScaler offrono senza dubbio un grande
contributo a questo proposito. In alcuni scenari di accessi ad alto rischio, tuttavia, può essere
anche necessario implementare una suite completa di software di sicurezza per gli endpoint.
• Sicurezza dei sistemi virtuali. Questo comporta il mantenimento in “buona salute” delle
macchine virtuali (ad es. garantendo che i desktop virtuali usino le ultime versioni aggiornate
delle applicazioni embedded e dei sistemi operativi, eliminando le VM non più usate). Ciò permette
anche di fornire l’isolamento di rete per tutti i componenti VDI e potenzialmente implementare
la crittografia per i volumi di storage associati, vista la concentrazione di risorse coinvolte.
• Sicurezza dei desktop virtuali. Effettivamente la VDI porta i dispositivi degli utenti, con il loro
comportamento ad alto rischio di connettersi a reti e computer con svariati livelli di trust,
direttamente nel cuore del datacenter aziendale. Di conseguenza, è mandatorio considerare
l’implementazione, a livello di VM e/o di hypervisor, di agenti anti-virus/antimalware, di attività di
monitoraggio e software di prevenzione delle minacce. Potrebbe anche avere senso fornire
configurazioni differenti di desktop virtuali a classi diverse di utenti e di segregare conseguentemente
le VM dei desktop virtuali a seconda dei loro livelli di trust.
Oltre la sicurezza
Di per sé, mettere adeguatamente in sicurezza l’infrastruttura dei desktop virtuali non è sufficiente
per salvaguardare appieno i benefici della virtualizzazione desktop. Le aziende devono anche
garantire la disponibilità, le prestazioni e la scalabilità di qualunque soluzione decidano di
implementare. Dopo tutto, quanto è utile un ambiente di desktop virtuali altamente sicuro se non
è regolarmente disponibile? Oppure se le prestazioni sono così scarse che gli utenti lo percepiscono
come non disponibile anche quando lo è?
Qui è dove NetScaler eccelle veramente come soluzione front-end per l’infrastruttura di virtualizzazione
desktop di un’azienda. In aggiunta al suo insieme irrinunciabile di funzioni di sicurezza per la rete,
NetScaler offre:
• una combinazione di capacità di classe enterprise per il load balancing dei server, il load balancing
globale dei server e il monitoraggio dello stato di salute per assicurare la disponibilità dei desktop
virtuali e la continuità aziendale
• un’ampia collezione di meccanismi che non solo migliorano le prestazioni dei desktop virtuali
sulla rete ma ottimizzano anche l’esperienza degli utenti
• capacità di distribuzione intelligente del carico e funzionalità di scarico dei server che permettono
una scalabilità continua dell’infrastruttura dei desktop virtuali.
www.citrix.it
6
Citrix NetScaler
7
White Paper
Conclusione
Disponibile come appliance hardware ad alte prestazioni o come appliance virtuale flessibile basata
su software, NetScaler può essere installato facilmente e in modo economico come front-end
delle soluzioni di desktop virtuali di oggi. Offrendo un insieme robusto di sicurezza a livello di rete
e a livello applicativo nonché funzionalità di controllo avanzato degli accessi e dei dati, NetScaler
preserva e amplifica i vantaggi che le organizzazioni si aspettano quando adottano la virtualizzazione
desktop. Più che una semplice soluzione di sicurezza, NetScaler aiuta anche gli IT manager a
migliorare in modo sostanziale la disponibilità, le prestazioni e la scalabilità delle loro implementazioni
di desktop virtuali.
Sedi
nel mondo
Sedi
Europa
Estremo
Oriente
Citrix Online
Division
Citrix Systems, Inc.
851 West Cypress
Creek Road
Fort Lauderdale, FL
33309, USA
+1 (800) 393 1888
+1 (954) 267 3000
Citrix Systems
International GmbH
Rheinweg 9
8200 Schaffhausen
Svizzeria
+41 (0)52 6 35 77-00
Citrix Systems Hong
Kong Ltd.
Suite 3201, 32nd Floor
One International
Finance Centre
1 Harbour View Street
Central, Hong Kong
+852 2100 5000
5385 Hollister Avenue
Santa Barbara, CA
93111
+1 (805) 690 6400
Sedi
in Italia
Citrix Systems Italy Srl
Via Cavriana, 20
20134 Milano, Italy
+39 02 75 775 800
Citrix Systems Italy Srl
Piazza Marconi, 15
00144 Roma, Italy
+39 06 32 80 31
Informazioni su Citrix
Citrix Systems, Inc. (NASDAQ:CTXS) è l’azienda che trasforma il modo in cui le persone, le aziende e l’IT lavora e collabora nell’era
del cloud. Grazie alle tecnologie leader di mercato di cloud computing, collaborazione, rete e virtualizzazione, Citrix consente stili
di lavoro mobile e servizi cloud, rendendo semplice e più accessibile il complesso IT aziendale per 250.000 aziende. Citrix sfiora
quotidianamente il 75% di utenti internet e collabora con più di 10.000 aziende in 100 Paesi. Il fatturato annuo nel 2011 è stato di 2,21
miliardi di dollari.
©2012 Citrix Systems, Inc. Tutti i diritti riservati. Citrix®, NetScaler ®, NetScaler App Firewall™ e NetScaler Access Gateway™ sono marchi
registrati di Citrix Systems, Inc. e/o di una o più delle sue filiali, e possono essere registrati presso l’ufficio marchi e brevetti degli Stati Uniti
e in altri Paesi. Tutti gli altri marchi e marchi registrati sono proprietà dei rispettivi proprietari.
0612/PDF
www.citrix.it