Citrix NetScaler je síťové zařízení zabezpečující velkou škálu bezpečnostních a síťových funkcionalit.
Citrix NetScaler je síťové zařízení zabezpečující velkou škálu bezpečnostních a síťových funkcionalit:
- Doručování aplikací a loadbalancing (NetScaler ADC)
- Vzdálený přístup, single sign on a VDI monitoring (NetScaler Unified Gateway)
- Ochrana webových aplikací a služeb (NetScaler AppFirewall)
- Ochrana uživatelů před webovými hrozbami (NetScaler Secure Web Gateway)
- Propojení poboček s centrálou a optimalizace provozu (NetScaler SD-WAN)
- Kontrola a správa infrastruktury (NetScaler Management and Analytics System)
Pojďme se zde ale věnovat hlavně bezpečnostním vlastnostem. NetScaler AppFirewall je jeden z nejlepších WAF firewallů, který chrání webové aplikace a webové stránky od známých i neznámých útoků, včetně celé aplikační vrstvy a „zero-day“ hrozeb. Hlavní vlastnosti NetScaler Appfirewallu:
- Hybridní bezpečnostní model zabezpečuje ochranu proti novým nepublikovaným hrozbám. Tzv. „positive-model policy engine“ kontroluje přípustné interakce mezi uživateli a aplikacemi a automaticky blokuje veškerou komunikaci mimo tuto oblast. Jako doplněk je používán tzv. „negative model engine“, který využívá databázi vzorů známých útoků a tím chrání weby proti známým aplikačním hrozbám.
- Ochrana XML. Aplikace NetScaler AppFirewall blokuje nejen běžné hrozby, které mohou být přizpůsobeny pro útoky na aplikace založené na XML (např. cross-site scripting, command injection), ale také zahrnuje bohatou sadu specifických ochran pro XML, včetně komplexní validace schémat a schopnosti zabránit DoS útokům.
- Pokročilá ochrana pro dynamické prvky. Systém zajišťuje vícenásobnou ochranu dynamických prvků v rámci webových aplikací, jako jsou soubory cookie, pole formuláře a URL adresy, a tím potlačuje útoky, které jsou zaměřeny na vztah důvěryhodnosti mezi klientem a serverem (např. tzv. cross-site request forgery).
- Bezpečnostní zásady přizpůsobení. Vyspělý automaticky se učící systém určuje očekávané chování podnikových webových aplikací a generuje doporučení pro politiky, které jsou čitelné pro lidi. Administrátoři pak mohou přizpůsobit bezpečnostní pravidla jedinečným požadavkům každé aplikace, aby se zabránilo detekování „false-positiv“ událostem (falešným poplachům).
- Zajištění souladu. NetScaler AppFirewall umožňuje podnikům splnit požadavky na zabezpečení dat, jako je PCI DSS (Payment Card Industry Data Security Standard), který výslovně podporuje použití WAF pro aplikace orientované na veřejnost, které zpracovávají informace o kreditních kartách. Lze také generovat podrobné reporty, aby dokumentovaly všechny ochrany definované v zásadách firewallu, které se vztahují k mandátům PCI.
- „Zero-compromise“. Nejvýkonnější řešení zabezpečení webových aplikací na trhu poskytuje až 12Gbps komplexní ochrany bez snížení doby odezvy aplikace.
NetScaler bezpečnostní webová brána je efektivní, snadno použitelné a vysoce výkonné řešení pro zabezpečení webu s analýzou chování uživatelů. Je vybaveno výkonnými specializovanými procesory SSL, které dokáží zpracovat až 80 tisíc 2048bitovových SSL handshakes (navázání spojení) za sekundu – čtyřikrát více než většina ostatních prodejců na trhu. Služba NetScaler SWG (Secure Web Gateway) používá cloudovou službu a lokální cache, která kontroluje URL reputace a kategorie. Zvládá „zero-day“ (útoky nultého dne) útoky až desetkrát rychleji než jiné proxy zařízení, které musí stahovat celou databázi nebo minimálně její část. Vzdělávací organizace mohou toto řešení využít také pro blokování některých webů – například umožnit studentům sledovat pouze vhodný video obsah na YouTube. IT administrátoři jsou upozorněni, když se student pokusí přistupovat k nevhodným videím. NetScaler SWG umožňuje vynutit zásady zabezpečení společnosti pro veškerou odchozí webovou komunikaci a zároveň zablokovat přístup k nevhodným stránkám na základě uživatele nebo skupiny.
Partnerství Citrix a K-net
K-net je Citrix partnerem už více než 20 let a většinu Citrix produktů využívá pro vlastní potřebu i ve svém Cloudovém centru. Nejinak je tomu i v případě NetScaleru, který má pro K-net velké množství důležitých funkcí. Jeho použití je jako centrální přístupová brána k firemním aplikacím a datům. K-net ho využívá nejen pro přístup k aplikacím publikovaným na XenApp serverech, ale aktuálně ho testuje také pro přístup na Microsoft Terminálové servery z internetu. Měl by tedy sloužit pro službu RDP over HTTPS a tím zvýšit bezpečnost pro uživatele přistupující ke svým aplikacím protokolem RDP.
NetScaler také stojí před všemi K-net webovými servery a zabezpečuje tak ochranu proti útokům zvenčí. Webové systémy jako je Joomla, WordPress a podobně mají své aplikační chyby, což přináší nutnost pravidelné kontroly a instalace aktualizací.
„Díky NetScaleru jsme schopni zabránit většině útoků využívající „nezaplátované“ díry v systému“,
říká Tomáš Kiedroň, Citrix architekt a IT specialista K-net a dodává:
„Instalací NetScaleru jako WAF nemáme zatím u našich zákazníků velké množství, ale díky rozmachu webových aplikací má tento produkt do budoucna ohromný potenciál.“
K-net dokončil před několika měsíci specializaci na Citrix Networking, kterou disponuje v ČR pouze jeden další subjekt. Jsme také jedna z mála společností, která díky CSP (Citrix Solution Provider) partnerství dokáže NetScaler systémy i pronajímat jako službu. Jsme tedy nyní kompletně připraveni na zvyšování požadavků na bezpečnost webových aplikací, které vyplývají nejen z nařízení GDPR.
Petr Nepustil
Vystudoval VUT v Brně obor Sdělovací technika. Ve firmě K-net je už více než 20 let, začal s ní spolupracovat už na vysoké škole. Závěr studií na vysoké škole strávil na univerzitě v Paříži, kde psal půl roku diplomovou práci na téma kódování řečových signálů. V K-net si prošel pozicemi IT Specialista, vedoucí oddělení, vedoucí divize produkce a kvality. Aktuálně se zaměřuje hlavně na obchod a vedení divize produkce. Baví ho pomáhat našim zákazníkům s návrhem a budováním jejich IT infrastruktury.
