Mit Citrix NetScaler die virtuelle Desktop- Infrastruktur sichern

Citrix NetScaler White Paper
Mit Citrix
NetScaler
die virtuelle
Desktop-
Infrastruktur
sichern
www.citrix.de

Citrix NetScaler White Paper
Im heutigen Unternehmensumfeld findet Desktop-
Virtualisierung immer stärker Verbreitung, denn sie hilft,
Betriebskosten zu senken und Arbeitsplätze flexibler zu
gestalten. Zudem fördert sie geschäftliche Agilität und
unterstützt Informationssicherheit und Compliance. Um
jedoch tatsächlich in den Genuss dieser Vorteile zu kommen,
müssen Sicherheit und Verfügbarkeit der virtuellen Desktop-
Infrastruktur gewährleistet sein. In diesem White Paper wird
erläutert, warum Citrix ® NetScaler ® ideal für diese Aufgaben
geeignet ist. NetScaler integriert umfassende Schutzmechanismen
für die Netzwerk- und Anwendungsebene, bietet erweiterte
Funktionen für die Zugriffs- und Aktionskontrolle sowie zahlreiche
zusätzliche Funktionen für die Servicebereitstellung. Auf diese
Weise werden die durch virtuelle Desktops gebotenen Vorteile
dauerhaft nutzbar und maximal ausgeschöpft.
Desktop-Virtualisierung und Sicherheit
Die Migration von der klassischen Desktop-Bereitstellung und herkömmlichen Managementkonzepten
auf Technologien und Techniken für die Desktop-Virtualisierung ist ein wichtiger
Schritt für alle Unternehmen weltweit, ganz gleich welcher Art und Größenordnung. Allein
70 Millionen Benutzer werden laut einer Gartner-Prognose bis Januar 2014 mit gehosteten
virtuellen Desktops arbeiten. 1 Dieser Trend wird von zahlreichen überzeugenden Vorteilen
vorangetrieben. Mit einer umfassenden Desktop-Virtualisierungslösung können Unternehmen
die System- und Betriebskosten für ihre Desktops spürbar und nachhaltig reduzieren sowie
für umfassende Arbeitsplatzflexibilität und höhere geschäftliche Agilität sorgen. Strategische
Initiativen wie Fusionen und Übernahmen, geografische Expansionen und dynamische
Partnerschaftsvereinbarungen lassen sich somit bestens unterstützen. Ein weiterer wichtiger
Pluspunkt der Desktop-Virtualisierung ist die erheblich verbesserte Informationssicherheit
und die vereinfachte Einhaltung von Richtlinien und Regeln (Compliance). Grundlage hierfür ist
das zentrale Vorhalten aller Daten und Anwendungen im Rechenzentrum des Unternehmens.
Da die Benutzer auf ihre Desktops remote zugreifen, besteht keine Notwendigkeit, sensible
Daten auf lokalen Endgeräten abzulegen. Die Zentralisierung von Desktop-Anwendungen und
Betriebssystemen gibt den IT-Administratoren mehr Kontrolle über diese wichtigen Ressourcen
und erhöht dadurch die Sicherheit. Eine zentralisierte Kontrolle ebnet nicht nur den Weg
für Standardisierung und reduziert dadurch Komplexität, Kosten und die Angriffsfläche des
Unternehmens, sondern ermöglicht außerdem eine einfachere, schnellere und vollständigere
Implementierung von Updates und Sicherheitspatches. Ein zentralisiertes Modell hat zudem
den Vorteil, dass Zugriffsrechte und -privilegien schnell und effizient freigegeben oder entzogen
werden können. Auch ist es nicht mehr nötig, auf die Rückgabe verteilter Endgeräte, Software
oder Daten durch die Benutzer zu achten.
1 „Prognose: Hosted Virtual Desktops, Worldwide, 2010-2014,” Gartner, November 2010.
www.citrix.de
2

Citrix NetScaler White Paper
Die Kehrseite der Medaille
Eines liegt auf der Hand: Die Desktop-Virtualisierung hat den Unternehmen von heute viel zu
bieten. Das muss jedoch nicht heißen, dass ihre Vorteile in vollem Umfang verwirklicht werden.
Um das Potenzial der Desktop-Virtualisierung dauerhaft ausschöpfen zu können, müssen
Organisationen für die entsprechende Sicherheit der Implementierungen sorgen. Dass
Organisationen in ein bestimmtes Sicherheitspaket investieren müssen, um Nutzen aus einem
zweiten Paket ziehen zu können, mag klingen, als drehten wir uns im Kreis – doch genau das ist
hier der Punkt. Zuverlässige Sicherheitsfunktionen sind aus mehreren Gründen erforderlich:
• Remote-Zugriff. Da Mobilität und Telearbeit eine immer größere Rolle spielen, benötigen
mitunter sehr viele der Benutzer Remote-Zugriff auf ihre Desktops. Dabei nutzen sie oftmals
ein unsicheres öffentliches Netzwerk.
• Wachsende Zahl von Endgeräten. Ausgelöst durch die Konsumerisierung muss eine
immer größere Bandbreite an Client-Endgeräten mit unterschiedlichsten Sicherheitsmerkmalen
und -profilen unterstützt werden. Erschwert wird dies durch die Tatsache, dass mittlerweile
die meisten dieser Endgeräte nicht im Eigentum oder unter der Kontrolle des Unternehmens
sind. Entscheidend ist jedoch Folgendes: Auch wenn die Desktop-Virtualisierung von
der Notwendigkeit entbindet, sensible Daten lokal vorzuhalten, stellt ein Client-Gerät mit
Sicherheitslücke trotzdem eine Bedrohung dar. Denn auch dann können sensible Daten
angezeigt werden, und die dem Benutzer bzw. dem Endgerät zugeteilten Rechte können für
einen Angriff größeren Umfangs missbraucht werden.
• Zugriffsumfang. Durch die Desktop-Virtualisierung erhalten Benutzer Zugriff auf einen
kompletten Desktop. Sie können nicht nur direkt auf ihre Anwendungen und Daten zugreifen,
sondern auch auf alle nachgelagerten Ressourcen, für die ihre Desktops zugriffsberechtigt
sind. Dieser Umstand erhöht die Bedeutung der Sicherheit im Allgemeinen und der
Zugriffskontrolle im Besonderen.
• Konzentration der Ressourcen. Die Bedeutung robuster Schutzmaßnahmen nimmt auch
deshalb zu, weil bei der Desktop-Virtualisierung im Unternehmen weitgehend auf eine Karte
gesetzt wird. Anders als beim konventionellen, verteilten Desktop-Computing-Modell birgt
jetzt ein einziger erfolgreicher Angriff das Potenzial, eine erhebliche Anzahl von Benutzern
und Desktop-Systemen zu treffen. Es gilt auch das Gesamtbild zu betrachten. Hacker sind
heutzutage sehr organisiert; sie sind darauf aus, Schaden anzurichten und wertvolle Daten zu
entwenden. Demzufolge wird ein robustes Abwehrinstrumentarium auf breiter Basis benötigt,
wenn auch einzig und allein zum Schutz vor einer zunehmend komplexen und feindlichen
Bedrohungslandschaft.
Wo Citrix NetScaler ansetzt
Als moderne Lösung zur Bereitstellung von Anwendungen, Cloud- und Unternehmensservices
bietet NetScaler eine umfangreiche Palette an Funktionen. Dadurch wird NetScaler zum perfekten
Front-End für die Desktop-Virtualisierungs-Infrastruktur. In diesem Zusammenhang sind die
zahlreichen Sicherheitsmechanismen und -funktionen, die NetScaler zum Schutz der virtuellen
Desktop-Infrastruktur bietet, von besonderer Bedeutung. Dabei sind drei Kategorien zu
unterscheiden.
Client Citrix
NetScaler
www.citrix.de
• Sicherer
Remote-Zugriff
• Anwendungssicherheit
• Hochverfügbarkeit
Desktop-
Virtualisierungs-
Infrastruktur
3

Citrix NetScaler in Kürze
NetScaler ist ein Application
Delivery Controller (ADC)
der als Hardware-Appliance
oder flexible, softwarebasierte
virtuelle Appliance
verfügbar ist. NetScaler
ermöglicht es über die
Kombination aus netz werkbasierterAnwendungsbeschleunigung,
Server-
Offload, Hochverfügbarkeit
und Anwendungssicherheit
Anwendungen um das bis zu
Fünffache zu beschleunigen.
NetScaler hat sich auf dem
Markt bewährt und ist für
die größten Websites der
Welt im Einsatz. Etwa 75
Prozent aller Internet-User
greifen täglich auf eine durch
NetScaler bereitgestellte Site
zu. Zudem bauen Tausende
von Unternehmen bei der
Bereitstellung ihrer Websites,
Intranet Sites und virtuellen
Desktops auf NetScaler.
Citrix NetScaler White Paper
Schutz auf Netzwerkebene
NetScaler schützt die virtuelle Desktop-Infrastruktur (VDI) auf Netzwerkebene. Und das gleich
in vielfältiger Weise. Erstens können Administratoren mit NetScaler eine grundlegende Zugriffskontrolle
durchsetzen. Anhand einfacher Zugriffskontrolllisten (ACLs) für Layer 3 und 4 können
sie zulässigen Datenverkehr selektiv erlauben und als unsicher eingestuften Verkehr blockieren.
Zusätzlich schützen einige wichtige Funktionen automatisch die Infrastruktur, der NetScaler
vorgeschaltet ist. Beispielsweise umfasst NetScaler einen standardkonformen Hochleistungs-
TCP/IP-Stack, der wie folgt verbessert wurde:
• Jeglicher Datenverkehr, der eine falsche Formatierung aufweist und eine Bedrohung für die
gesamte virtuelle Desktop-Infrastruktur darstellen könnte, wird automatisch verworfen.
• Die Weitergabe von Verbindungsdaten der unteren Ebenen (z. B. IP-Adressen, Port-Nummern
der Server), die sich für Hacker mit Angriffsabsicht als nützlich erweisen könnten, wird verhindert.
• Unterschiedlichste Denial-of-Service (DoS)-Attacken, die Lücken in gängigen Protokollen
ausnutzen, werden automatisch unterbunden.
Schutz auf Anwendungsebene
Die Proxy-Architektur von NetScaler ist weiter oben im Schichtenmodell von erheblicher Bedeutung.
Zusammen mit den Funktionen HTTP/URL Rewrite und für L7-Content-Filtering bietet NetScaler
folgende Vorteile:
• Connection Broker und andere nachgelagerte VDI-Komponenten werden vor direkten, von
externen Benutzern hergestellten TCP- und UDP-Verbindungen abgeschirmt und dadurch die
Bedrohung durch Schadprogramme und andere Arten von Angriffen reduziert.
• Cloaking und Inhaltsschutz für identische Komponenten. Server-Fehlercodes, echte URLs und
andere Daten, die Hackern Details liefern könnten, die sie zur Ausarbeitung gezielter Angriffe
benötigen, werden effizient verborgen.
• Unterschiedlichste Denial-of-Service (DoS)-Attacken, die Lücken in gängigen Protokollen
ausnutzen, werden automatisch geblockt.
Viele VDI-Implementierungen umfassen webbasierte Komponenten, die ihrerseits einen zuverlässigen
Angriffsschutz benötigen. Die integrierte NetScaler Application Firewall schützt gegen Angriffe
auf Anwendungsebene, etwa SQL-Injection, Cross-Site-Scripting und Buffer-Overflow-Attacken.
NetScaler Application Firewall bietet:
• ein flexibles, hybrides Sicherheitsmodell, das gegen bekannte Schwachstellen schützt, und
zwar mithilfe einer Signaturdatenbank und eines positiven Sicherheitsmodells zur Abwehr von
Zero-Day-Attacken, für die es noch keine Signaturen gibt
• einfach zu konfigurierende Sicherheitsrichtlinien und -vorlagen für eine einfache, schnelle
Bereitstellung und Verwaltung
• vollständige Integration in NetScaler, so dass Sicherheit und VDI-Verfügbarkeit über
gemeinsame Richtlinien und eine einheitliche Konsole verwaltet werden können.
Zu dem umfassenderen Schutz auf Anwendungsebene trägt auch die optimierte Unterstützung
für 2048-Bit-SSL-Schlüssel bei. In Übereinstimmung mit den Richtlinien der NIST-
Sonderveröffentlichung 800-57 betragen die Schlüssellängen für auf öffentlichen Schlüsseln
basierende Zertifikate – eine Basiskomponente von SSL – jetzt 2048 Bit (gegenüber dem
zuvor verabschiedeten 1024-Bit-Standard). Diese Verdoppelung der Standardschlüsselgröße
erhöht die Anzahl der zur Verarbeitung von SSL-Transaktionen erforderlichen CPU-Zyklen
erheblich – durchschnittlich auf das Fünffache. Zugunsten einer einfacheren Migration
auf 2048-Bit-SSL-Zertifikate steigert NetScaler die SSL-Performance mithilfe modernster
Beschleunigungsfunktionen. Dadurch können Organisationen ihre Performance-SLAs einhalten,
ohne Zugeständnisse an die Sicherheit machen zu müssen.
www.citrix.de
4

Citrix NetScaler White Paper
Erweiterte Zugriffs- und Aktionskontrolle
NetScaler Access Gateway , ein integraler Bestandteil des Produkts, ist ein universelles SSL-
VPN-, das Administratoren die granulare Kontrolle auf Anwendungsebene ermöglicht und den
Benutzern ortsunabhängigen Remote-Zugriff auf ihre virtuellen Desktops bereitstellt. Access
Gateway gestattet IT-Administratoren die Zugriffskontrolle und Beschränkung der möglichen
Aktivitäten auf der Grundlage von Benutzeridentität und Endgerät. Daraus ergibt sich eine höhere
Anwendungssicherheit sowie besserer Datenschutz und effizienteres Compliance-Management.
Access Gateway unterstützt den Remote-Zugriff auf virtuelle Desktops zunächst auf zweierlei
Weise: durch Bereitstellung eines verschlüsselten Tunnels und durch Unterstützung mehrerer
Verfahren für die Benutzerauthentifizierung. Desktop-Sitzungen, deren Datenverkehr über
öffentliche Netzwerke übertragen wird, sind vor Abhören geschützt. Darüber hinaus kann das
Unternehmen die in die Verzeichnis- und Identitätsmanagement-Infrastruktur getätigten Investitionen
weiterhin optimal ausschöpfen.
Des Weiteren kommt die granulare und adaptive Zugriffskontrolle zum Tragen. Mit Access
Gateway können Administratoren Zugriffe auf virtuelle Desktops lückenlos kontrollieren. Zu
diesem Zweck nutzen sie aus statischen wie auch dynamischen Attributen zusammengesetzte
Richtlinien wie Benutzeridentität und -rolle, Authentifizierungsstärke, Standort, Tageszeit und
Identität und Sicherheitsstatus des jeweiligen Client-Geräts. Ein Sicher heitsmerkmal, das diese
Funktion ebenfalls unterstützt, ist die Endgeräteanalyse. Das integrierte Endgeräte-Scanning
kann zur kontinuierlichen Überwachung von Clients eingesetzt werden, um zu ermitteln, ob
Client-Sicherheitssoftware – wie Virenschutz, persönliche Firewalls oder andere festgelegte
Programme – aktiv und auf dem neuesten Stand sind. Geräten, die die Analyse nicht bestehen,
kann wirksam der Zugriff verweigert werden. Sie können auch eingeschränkten Zugang
erhalten oder unter Quarantäne gestellt werden, indem ihr Zugriff auf Seiten mit Tools für die
richtlinienkonforme Neukonfiguration beschränkt wird.
Erweiterte Aktions- und Datenkontrollfunktionen bieten einen zusätzlichen wichtigen Schutz, vor
allem angesichts der wachsenden Zahl von Endgeräten und des Trends zu privaten Endgeräten
und Selbstmanagement. Zu den Funktionen zählen:
• optimierte Split-Tunnelling-Kontrolle, d. h. Benutzer können auf ihren Desktop und auf das
lokale Subnetz des Clients zugreifen, aber nicht unmittelbar auf das Internet.
• adaptive Aktionskontrolle, d. h. Funktionen wie lokales Drucken, Kopieren und Einfügen (Copy &
Paste) und Speichern auf Festplatte können durch adaptive Richtlinien eingeschränkt werden.
• Browser-Cache-Bereinigung, d. h. im lokalen Browser gespeicherte Objekte und Daten
werden nach Abschluss der virtuellen Desktop-Sitzung gelöscht.
Umfangreiche Protokollierungs-, Auditing- und Reporting-Funktionen, die von der zentralen
Management-Konsole von NetScaler, dem Citrix Command Center bereitgestellt werden, runden
das Gesamtpaket an Schutzfunktionen ab. Diese sind nicht nur zur Fehlerbehebung äußerst
wertvoll, sondern auch zur Aufdeckung von Missbrauch und anderer verdächtiger Aktivitäten, die
möglicherweise auf einen kompromittierten Client oder virtuellen Desktop oder auf einen breit
angelegten Angriff auf die virtuelle Desktop-Umgebung des Unternehmens hinweisen.
www.citrix.de
5

Citrix NetScaler White Paper
Weitere Überlegungen
Netzwerksicherheit ist lediglich ein Teil einer vollständigen Sicherheitsstrategie für VDI – wenn
auch ein sehr wichtiger. Zudem spiegelt sie nur einen einzigen Aspekt dessen wider, was
NetScaler zu bieten hat.
Über NetScaler hinaus
So leistungsstark die NetScaler-Funktionen zum Schutz virtueller Desktops auch sind, sie
beziehen sich auf nur eine Dimension einer umfassenden Sicherheitsstrategie für VDI. Neben
der Netzwerksicherheit sollten sich Unternehmen mit folgenden Notwendigkeiten befassen:
• Client-Sicherheit. Trotz des zentralisierten Betriebsmodells stellt ein Client-Gerät mit Sicherheitslücke
eine Bedrohung dar. Funktionen wie Endgeräteanalyse, Aktionskontrolle und
Datenbereinigung mit NetScaler leisten hier bereits einen großen Beitrag. Bei gewissen risikoreichen
Zugriffsszenarien jedoch kann es erforderlich sein, eine umfassende Sicherheits software-Suite
für Endgeräte zu implementieren.
• Sicherheit für virtuelle Systeme. Hierzu gilt es beispielsweise sicherzustellen, dass die
virtuellen Desktops die neuesten Versionen von eingebetteten Anwendungen und Betriebssystemen
mit allen Patches nutzen, und dass deaktivierte VMs nicht mehr zum Einsatz kommen. Ebenso
unerlässlich ist die Isolation aller VDI-Komponenten vom Netzwerk. Je nach der damit verbundenen
Ressourcenkonzentration kann auch die Implementierung einer Verschlüsselung für
die ange schlossenen Speicherbestände erforderlich werden.
• Sicherheit für die virtuellen Desktops. Mit VDI befinden sich Benutzerendgeräte mitsamt
den risikoreichen Verbindungen, die sie gewöhnlich mit Netzwerken und Computern unterschiedlicher
Vertrauenswürdigkeit herstellen, unmittelbar im Zentrum der Rechenzentren von
Unternehmen. In der Folge ist es überaus wichtig, über die Implementierung von Software für
Viren-/Malwareschutz, Aktivitätsüberwachung und Bedrohungsabwehr auf der Ebene der
virtuellen Maschine (VM) und/oder des Hypervisors nachzudenken. Unter Umständen ist es
sinnvoll, verschiedene Klassen von Benutzern mit unterschiedlichen Konfigurationen für die
virtuellen Desktops einzurichten und an schließend die VMs für die virtuellen Desktops je nach
dem relativen Vertrauensgrad (Trust-Level) getrennt zu betreiben.
Was außer Sicherheit noch wichtig ist
Ein angemessener Schutz der virtuellen Desktop-Infrastruktur allein ist nicht ausreichend, um
die Vorteile der Desktop-Virtualisierung stets im vollen Umfang auszuschöpfen. Unternehmen
müssen auch die Verfügbarkeit, Performance und Skalierbarkeit jeder Lösung gewährleisten, die
sie implementieren. Denn was nutzt eine hochsichere virtuelle Desktop-Umgebung, wenn sie
nicht durchgängig verfügbar ist? Oder wenn die Performance so schwach ist, dass die Benutzer
den Eindruck mangelnder Verfügbarkeit selbst dann erhalten, wenn das nicht der Fall ist? Hier ist
NetScaler wirklich die perfekte Front-End-Lösung für die Desktop-Virtualisierungs-Infrastruktur
von Organisationen. Neben den überzeugenden Funktionen für die Netzwerksicherheit bietet
NetScaler auch:
• eine Kombination aus Server Load Balancing, globalem Server Load Balancing und Systemstatusüberwachung
sowie Funktionen zur Gewährleistung der Verfügbarkeit der virtuellen
Desktops und der Business Continuity
• zahlreiche Mechanismen zur Leistungssteigerung der virtuellen Desktops im Netzwerk bei
gleichzeitiger Optimierung des Benutzerkomforts
• intelligentes Load Balancing und Server­Entlastungsfunktionen, die eine nahtlose Skalierbarkeit
der virtuellen Desktop­Infrastruktur ermöglichen.
www.citrix.de
6

0612/PDF
Citrix NetScaler White Paper
Fazit
NetScaler ist als hochleistungsfähige Hardware­Appliance oder flexible, softwarebasierte
virtuelle Appliance erhältlich und kann einfach und kosteneffizient als Front­End für die
virtuellen Desktop­Lösungen von heute eingesetzt werden. NetScaler stellt umfassende,
robuste Sicherheitsmechanismen für die Netzwerk­ und Anwendungsebene und fortschrittliche
Funktionen für die Zugriffs­ und Datenkontrolle bereit und bietet somit weit mehr als das,
was sich Organisationen von Desktop­Virtualisierung versprechen. NetScaler ist mehr als
eine Sicherheitslösung. Die Lösung hilft IT­Managern, die Verfügbarkeit, Performance und
Skalierbarkeit ihrer virtuellen Desktop­Implementierungen erheblich zu verbessern.
Hauptsitz
Europa
Citrix Systems
International GmbH
Rheinweg 9
8200 Schaffhausen
Schweiz
+41 (0)52 6 35 77-00
About Citrix
Citrix Systems, Inc. (NASDAQ:CTXS) verändert die Art und Weise, wie Menschen, Unternehmen und die IT im Cloud-Zeitalter zusammenarbeiten.
Mit führender Cloud-, Collaboration-, Netzwerk- und Virtualisierungstechnologie unterstützt Citrix mobile Arbeitsmodelle und
neue Cloud-Angebote. Mehr als 250.000 Unternehmen setzen weltweit auf Citrix und profitieren von flexiblen und jederzeit zugänglichen
IT-Angeboten. Insgesamt 75 Prozent aller Internetnutzer kommen täglich direkt oder indirekt mit Citrix-Lösungen in Kontakt. Citrix pflegt
Partnerschaften mit über 10.000 Firmen in 100 Ländern. Der jährliche Umsatz betrug 2,21 Milliarden US-Dollar in 2011.
©2012 Citrix Systems, Inc. Alle Rechte vorbehalten. Citrix ® , NetScaler ® , NetScaler App Firewall und NetScaler Access Gateway sind
Warenzeichen oder Markennamen von Citrix Systems, Inc. und/oder seinen Niederlassungen und sind ggf. beim US-Patentamt und
den Markenämtern anderer Länder eingetragen. Alle anderen Warenzeichen und Markennamen sind Eigentum der jeweiligen Besitzer.
www.citrix.de
Europäische
Niederlassungen
Citrix Systems GmbH
Am Söldnermoos 17
85399 Hallbergmoos /
München
Deutschland
+49 (0)811 83-0000
Hauptsitz
Citrix Systems, Inc.
851 West Cypress
Creek Road
Fort Lauderdale, FL
33309 USA
+1 (800) 393 1888
+1 (954) 267 3000
Hauptsitz
Pazifik
Citrix Systems
Asia Pacific Pty Ltd.
Suite 3201, 32nd Floor
One International
Finance Centre
1 Harbour View Street
Central
Hong Kong
+852 2100 5000
Citrix Online
Division
5385 Hollister Avenue
Santa Barbara, CA
93111
Tel: +1 (805) 690 6400
www.citrixonline.com
7