Citrix NetScaler : une base solide pour la sécurité des datacenters de nouvelle génération

Documents pareils
Résoudre les problèmes de visibilité applicative avec NetScaler Insight Center

Assurer la mobilité d entreprise grâce à Citrix XenMobile et Citrix NetScaler

Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler.

La gestion de la mobilité d entreprise : adopter le BYOD grâce à la mise à disposition sécurisée des données et des applications

Citrix ShareFile Enterprise : présentation technique

Une consolidation sans compromis

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Citrix XenDesktop avec la technologie FlexCast. Citrix XenDesktop : la virtualisation des postes de travail pour tous.

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger

Citrix CloudGateway Présentation du produit. Citrix CloudGateway

Meilleures pratiques de l authentification:

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Livre blanc. Les 8 raisons pour lesquelles Citrix NetScaler surclasse la concurrence.

Le VDI et au-delà : répondre aux principaux défis informatiques pour favoriser l'agilité et la croissance

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

La technologie Citrix TriScale révolutionne la mise en réseau cloud

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Trend Micro Deep Security

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Solutions de sécurité des données Websense. Sécurité des données

Fiche Technique. Cisco Security Agent

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

La Gestion des Applications la plus efficace du marché

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Migrez facilement vers Windows 7 avec Citrix XenDesktop

Un investissement judicieux pour sécuriser votre environnement Citrix Delivery Center

Présentation de la technologie Citrix Unified Storefront

z Fiche d identité produit

Tableau Online Sécurité dans le cloud

Sécuriser l entreprise étendue. La solution TRITON de Websense

Critères d évaluation pour les pare-feu nouvelle génération

10 façons d optimiser votre réseau en toute sécurité

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

FORMATION CN01a CITRIX NETSCALER

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI

Catalogue «Intégration de solutions»

Présentation de la solution Open Source «Vulture» Version 2.0

Symantec Endpoint Protection Fiche technique

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

LIVRE BLANC. Citrix XenDesktop. La virtualisation de poste de travail : la check-list de l acheteur.

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!


Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Trusteer Pour la prévention de la fraude bancaire en ligne

Retour d expérience sur Prelude

Web Security Gateway

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Groupe Eyrolles, 2006, ISBN : X

La Sécurité des Données en Environnement DataCenter

Sécurité des réseaux Les attaques

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Mail-SeCure sur une plateforme VMware

Découvrir les vulnérabilités au sein des applications Web

Mise en place d une politique de sécurité

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Citrix XenDesktop : Le système de mise à disposition de poste de travail le mieux adapté aux besoins d aujourd hui.

Projet Sécurité des SI

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Single Sign-On open source avec CAS (Central Authentication Service)

Symantec MessageLabs Web Security.cloud

RSA ADAPTIVE AUTHENTICATION

Atteindre la flexibilité métier grâce au data center agile

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

PACK SKeeper Multi = 1 SKeeper et des SKubes

Les cinq considérations à prendre en compte pour simplifier ses postes virtuels

SOLUTIONS TRITON DE WEBSENSE

LIVRE BLANC. Citrix XenDesktop. Faites des économies sur les coûts de possession grâce à la virtualisation de postes de travail!

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

Vers un nouveau modèle de sécurisation

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

AccessMaster PortalXpert

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

NEXT GENERATION APPLICATION SECURITY

CloudSwitch sécurise les clouds d entreprise

Conception d une infrastructure «Cloud» pertinente

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Le protocole SSH (Secure Shell)

Citrix Password Manager

Solutions McAfee pour la sécurité des serveurs

10 bonnes pratiques de sécurité dans Microsoft SharePoint

Groupe Eyrolles, 2004, ISBN :

La gestion Citrix. Du support technique. Désignation d un Responsable de la relation technique

LIVRE BLANC. La garantie de la meilleure performance réseau pour les applications Cloud

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Une représentation complète

Sécurité sur le web : protégez vos données dans le cloud

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

Positionnement produit

Brochure Datacenter. Novell Cloud Manager. Création et gestion d un cloud privé. (Faire du cloud une réalité)

Transcription:

Citrix NetScaler : une base solide pour la sécurité des datacenters de nouvelle génération

2 Introduction La nécessité d une robuste sécurisation des datacenters n a jamais été aussi impérieuse. Aux problèmes traditionnels (exigences réglementaires multiples, développement accéléré des attaques ciblées, affaiblissement continu des modèles de sécurité centrés sur le périmètre de l entreprise) s ajoute désormais le besoin de prendre en charge les architectures cloud d entreprise hautement dynamiques et les réseaux plats en minimisant le nombre de goulots d étranglement naturels. Si l on ajoute à cela les contraintes budgétaires qui imposent de toujours faire plus avec moins, il devient clair que le renforcement de la sécurité doit impérativement être intégré à l infrastructure de datacenter existante. Citrix NetScaler, le contrôleur de mise à disposition d applications (ou ADC) le plus adapté à la conception de réseaux cloud d entreprise, est une solution qui répond précisément à cet impératif. Déjà adopté comme composant stratégique au sein de milliers de datacenters d entreprise, NetScaler délivre un large éventail de fonctionnalités essentielles de sécurisation des datacenters. De plus, NetScaler permet à l entreprise d éviter d avoir à investir dans une multitude de coûteuses solutions ponctuelles de sécurité. NetScaler délivre une multitude de fonctionnalités stratégiques de sécurisation des applications, de sécurisation des réseaux et infrastructures et de gestion des identités et de l accès. NetScaler bénéficie en outre du soutien d un riche écosystème de partenaires dont les produits couvrent des domaines de sécurité complémentaires. Fonctionnalités NetScaler de sécurisation des datacenters Sécurité applicative Pare-feu applicatif NetScaler Protection contre la perte de données Protection contre les attaques de la couche 7 Sécurité des réseaux et des infrastructures Protection contre la compromission SSL Sécurité DNS Protection contre les attaques de la couche 4 Gestion des identités et de l accès Architecture de sécurité / Ecosystème de partenaires Le résultat? NetScaler constitue une base idéale pour la sécurisation à moindre coût des datacenters de nouvelle génération. NetScaler et la sécurisation des applications Les professionnels de la sécurité consacrent à juste titre une quantité significative de temps, d efforts et d argent à la sécurisation de la couche applicative. Après tout, pour les pirates, les attaques contre les services applicatifs vulnérables, les couches logiques défaillantes et les données sensibles s avèrent toujours payantes. C est pourquoi NetScaler intègre de nombreuses fonctionnalités de protection de la couche applicative, notamment un pare-feu applicatif complet, des mesures de protection contre la perte de données et des contremesures permettant de contrer le déni de service et les autres attaques de la couche 7.

3 NetScaler Application Firewall Les pare-feu réseau traditionnels ne bénéficient pas du degré de visibilité et de contrôle indispensable à une protection efficace contre les plus de 70% des attaques Internet qui ciblent spécifiquement les vulnérabilités de la couche applicative. Ce constat a poussé Citrix à mettre au point NetScaler Application Firewall, une solution de sécurité Web complète, certifiée ICSA, qui garantit le blocage de toutes les attaques connues et inconnues visant les applications et les services Web. Basé sur un modèle de sécurité hybride et sur l analyse de l ensemble du trafic bidirectionnel (y compris des communications chiffrées en SSL), Application Firewall permet de contrer un large éventail de menaces sans qu il ne soit nécessaire d apporter la moindre modification aux applications. Un modèle de sécurité hybride. L association de modèles de sécurité positive et négative assure la protection la plus complète contre tous les modes d attaques. Pour contrer les nouveaux exploits encore inconnus, un moteur de stratégies basé sur un modèle positif et comprenant les interactions utilisateur-application autorisées bloque automatiquement l intégralité du trafic n entrant pas dans ce cadre. En complément, un moteur basé sur un modèle négatif s appuie sur les signatures d attaques pour assurer une protection efficace contre les menaces applicatives connues. Sécurité XML. NetScaler Application Firewall ne se contente pas de bloquer les attaques courantes pouvant être modifiées pour cibler les applications XML (cross-site scripting, injection de commande, etc.), il intègre également un ensemble très complet de mesures de sécurité spécifiques à XML. Application Firewall intègre notamment la validation de schéma (qui vérifie les messages SOAP et les charges XML), la capacité à bloquer les pièces jointes contenant des exécutables malveillants, une protection contre les techniques d injection Xpath visant à obtenir un accès non autorisé, et la capacité à contrer les attaques de type déni de service (récursion excessive, par exemple). Protection avancée des éléments dynamiques. En complément du profil de protection par défaut, un profil avancé assure la sécurité indispensable des applications traitant du contenu spécifique aux utilisateurs. De multiples protections de type «sensibles à la session» protègent les éléments applicatifs dynamiques, comme les cookies, les champs de formulaires et les adresses URL spécifiques à chaque session, contrant ainsi efficacement les attaques ciblant la relation de confiance établie entre le client et le serveur (comme, par exemple, la contrefaçon de requêtes cross-site). Le dynamisme applicatif est géré et sécurisé par le moteur de sécurité positive, sans définition explicite de chaque élément dynamique dans les stratégies. Seules les exceptions devant être apprises, la configuration est bien plus simple et la gestion des modifications grandement facilitée. Des stratégies de sécurité sur mesure. Un moteur d apprentissage avancé détermine automatiquement le comportement attendu des applications Web d entreprise et génère des recommandations stratégiques interprétables par l utilisateur. Les administrateurs peuvent alors personnaliser la stratégie de sécurité en fonction des exigences propres à chaque application, et ainsi éviter les faux-positifs éventuels. Conformité garantie. Application Firewall permet aux entreprises de se conformer simplement à leurs obligations en matière de confidentialité des données, notamment à la norme PCI-DSS qui encourage de façon explicite l utilisation de pare-feu applicatifs Web pour les applications destinées au public et traitant des informations associées aux cartes de crédit. Des comptesrendus détaillés peuvent être générés afin de documenter toutes les mesures de protection adoptées dans la stratégie de pare-feu pour se conformer aux obligations PCI. Des performances sans compromis. La solution de sécurisation des applications Web la plus performante du marché délivre jusqu à 12 Gb/s de protection complète sans aucune dégradation des temps de réponse applicatifs. De plus, NetScaler améliore les performances applicatives grâce à des technologies d accélération avancée (comme, par exemple, la mise en cache de contenu) et à des fonctionnalités de délestage de serveur (gestion des connexions TCP, chiffrement/déchiffrement SSL, compression des données, etc.).

4 Une architecture totalement intégrée. Application Firewall n est pas simplement déployé sur la plate-forme NetScaler, il lui est étroitement intégré. Le partage au niveau des objets et des stratégies simplifie l administration, tandis que le partage du traitement au niveau du système garantit de hautes performances en rendant inutile tout traitement de paquet multipassage. Protection contre la perte de données Les fuites de données sensibles dans les réponses de serveurs applicatifs résultent le plus souvent d une attaque réussie contre l application, d un défaut dans la conception de l application ou de l action abusive d un utilisateur autorisé. Se prévenir activement contre ce type de fuites est fortement recommandé et constitue un composant essentiel de toute stratégie de sécurité de type «défense en profondeur». NetScaler facilite cette prévention grâce à une fonctionnalité très simple d emploi de protection contre les pertes de données. Les vérifications de données Safe Object, une fonctionnalité intégrée à NetScaler Application Firewall, offrent une protection configurable par l administrateur à toutes les données d entreprise sensibles de type numéro de Sécurité Sociale, références de commandes ou numéros de téléphone propres à un pays ou une région. Un plug-in personnalisé ou une expression standard définie par l administrateur indique au pare-feu applicatif le format de ces données et définit les règles à appliquer pour les protéger contre les fuites. Si une chaîne d une requête utilisateur correspond à une définition Safe Object, le pare-feu applicatif effectuera alors l action appropriée, qui pourra être selon le cas : Bloquer la réponse Masquer les données protégées Retirer les données protégées de la réponse avant de la transmettre à l utilisateur Différentes actions peuvent être définies pour chaque règle Safe Object. NetScaler effectue également des vérifications Credit Card afin de prévenir toute fuite concernant les numéros de cartes de crédit. L inspection des en-têtes et des charges assure la rigueur indispensable pour éviter les faux-négatifs et la comparaison des chaînes algorithmiques garantit une détection très précise nécessaire pour éviter les faux-positifs. Si un numéro de carte de crédit est découvert et que l administrateur n a pas autorisé la transmission de numéros de cartes de crédit pour l application concernée, la réponse peut être bloquée dans son intégralité ou le parefeu peut être paramétré pour masquer ce numéro à l exception de ses 4 derniers chiffres (affichant ainsi par exemple, xxxx-xxxx- xxxx-5678). NetScaler Figure 1 : NetScaler assure une protection efficace contre la perte de données clients confidentielles. Les équipes en charge de la sécurité informatique bénéficient donc d un autre éventail de fonctionnalités puissantes sur lesquelles elles peuvent s appuyer non seulement pour détecter les utilisations abusives et les attaques réussies, mais également pour limiter significativement leur impact.

5 Protection supplémentaire contre les attaques de la couche 7 NetScaler comprend plusieurs autres mécanismes dont l association fournit une protection efficace contre les attaques ciblant la couche applicative. Validations de protocole HTTP. Garantir la conformité RFC et appliquer les meilleures pratiques en matière d utilisation HTTP est le moyen particulièrement efficace adopté par NetScaler pour contrer une grande variété d attaques basées sur des requêtes malformées ou sur un comportement illégal du protocole HTTP. D autres vérifications personnalisées peuvent également être intégrées à la stratégie de sécurité en s appuyant sur diverses fonctionnalités (filtrage de contenu, réponses personnalisées, réécriture HTTP bidirectionnelle). Les scénarios d utilisation sont nombreux : empêcher les utilisateurs d accéder à certaines parties d un site Web s ils ne se connectent pas depuis un lieu autorisé, protection contre les menaces HTTP (Nimda, Code Red, etc.), retrait de données pouvant être utilisées dans une attaque dans les réponses des serveurs, etc. NetScaler Figure 2: Citrix NetScaler sécurise les applications Web. Protection contre le déni de service HTTP. NetScaler utilise une méthode innovante pour contrer les attaques par saturation HTTP GET. Lorsque les conditions d une attaque sont détectées (à partir d un seuil configurable défini pour les requêtes en file d attente), un pourcentage paramétrable de clients reçoit une question de vérification. Cette question est conçue de façon à ce que les clients légitimes puissent facilement y répondre correctement, mais pas les drones DoS passifs. Ce qui permet à NetScaler de faire la différence entre les fausses requêtes et les requêtes transmises par des utilisateurs légitimes. Des délais d expiration paramétrables et d autres mécanismes peuvent également être utilisés pour assurer une protection efficace contre d autres types de menaces de type déni de service (SlowRead, SlowPost, etc.). Limitation de débit (et autres fonctionnalités associées). Une approche efficace pour contrer les attaques de type déni de service consiste à préserver le réseau et les serveurs des surcharges en limitant ou en redirigeant le trafic au-delà d un certain seuil. Pour ce faire, le contrôle de débit AppExpert déclenche l application de stratégies NetScaler en fonction de différents débits (données, connexions, requêtes) en provenance ou en direction d une ressource donnée (serveur virtuel, domaine, URL, etc.). D autres fonctionnalités étroitement associées jouent également un rôle : Protection contre les pics de trafic pour limiter l incidence des pics d utilisation des serveurs Mise en attente des connexions afin d assurer la priorité aux ressources critiques durant les périodes de forte demande

6 NetScaler et la sécurisation des réseaux et des infrastructures NetScaler intègre également plusieurs fonctionnalités de sécurisation orientées vers les réseaux et les infrastructures. La prise en charge étendue du chiffrement SSL, la sécurité DNS et la protection contre les attaques de la couche 4 sont les plus importantes. Un chiffrement SSL sans compromis Que ce soit pour s assurer que les stratégies de mise à disposition d applications sont totalement appliquées au trafic chiffré ou pour délester l infrastructure serveur d arrière-plan, les contrôleurs ADC doivent impérativement intégrer une capacité de traitement du trafic SSL. Mais les fonctionnalités de base ne suffisent plus dans ce domaine, deux nouveaux facteurs ayant pour conséquence la saturation des ressources de traitement SSL. Le premier d entre eux, c est que les entreprises ont de plus en plus tendance à adopter une posture de type «SSL partout». Cette posture, adoptée en général dans le but de tranquilliser les clients et de contrer les outils de piratage de type Firesheep, consiste à ne pas se contenter de chiffrer uniquement les parties sensibles d une application (comme la page d accueil, par exemple), mais l intégralité de l application. La conséquence immédiate de ce type d approche est l explosion de l empreinte SSL. Le second facteur est l abandon progressif des clés de chiffrement 1 024 bits au profit des clés 2 048 bits (ou plus). Conforme aux directives émises par le NIST (National Institute of Standards and Technology) américain, cette transition est en outre encouragée par les principaux éditeurs de navigateurs qui prévoient de ne plus prendre en charge au delà du 31 décembre 2013 les sites Web s appuyant sur des certificats de longueur inférieure à 2 048 bits. Cette approche se traduit par un renforcement exponentiel de la force de chiffrement, mais au prix d un besoin en ressources de traitement SSL multiplié par 5, si ce n est plus. Les appliances NetScaler apportent la réponse idéale aux défis posés par ces deux facteurs. En intégrant un matériel d accélération SSL dédié avec prise en charge des clés 2 048 et 4 096 bits, NetScaler délivre des fonctionnalités de chiffrement stratégiques, qui évitent d avoir à sacrifier soit le renforcement du chiffrement, soit l expérience des utilisateurs. Besoin en performance SSL Réseaux sociaux Applications SSL Messagerie Web SaaS Entreprise Finance Session Intégralité Connexion Transaction complète du site Composants applicatifs protégés par SSL Figure 3: L approche de type «SSL partout» augmente les besoins en performance et en sécurité. Autre fonctionnalité associée essentielle : le chiffrement basé sur des stratégies. Grâce à cette fonctionnalité, les administrateurs peuvent configurer NetScaler pour chiffrer automatiquement certaines parties de sites Web propriétaires conçus à l origine pour ne pas supporter le chiffrement.

7 Grâce à NetScaler, les entreprises évoluant dans des environnements réglementaires à forte exigence de chiffrement peuvent également s appuyer sur la certification FIPS 140-2, niveau 2. Sécurité DNS DNS est un service d infrastructure essentiel pour tout datacenter moderne. Sans un robuste environnement DNS parfaitement sécurisé, la disponibilité et l accessibilité des applications et services clés de l entreprise courent un risque notable. NetScaler permet non seulement la répartition de charge à grande échelle pour les serveurs DNS internes de l entreprise opérant en mode proxy DNS, mais peut également être configuré pour opérer comme serveur DNS faisant autorité (ou serveur ADNS) et ainsi traiter directement les requêtes de résolution de nom et d IP. Dans les deux cas, NetScaler garantit la mise en place d un environnement à la fois robuste et sécurisé grâce aux fonctionnalités suivantes : Conception renforcée : Conçu à la base comme un service renforcé, l environnement DNS de NetScaler ne s appuie pas sur le logiciel open source BIND et ne souffre donc pas des différentes vulnérabilités qui lui sont très souvent associées. Conformité RFC : Grâce à la validation complète de protocole DNS, NetScaler permet de bloquer automatiquement les attaques s appuyant sur des requêtes DNS malformées et les différentes tentatives d utilisation abusive de DNS. Limitation native de débit DNS : Afin d aider à prévenir les attaques par saturation DNS, des stratégies peuvent être définies pour limiter le trafic ou rejeter certaines requêtes en fonction de paramètres configurés. Ces stratégies peuvent être mises en œuvre en fonction du type de requête et/ou du nom de domaine. Cette fonctionnalité permet aux entreprises et aux fournisseurs de services utilisant des domaines multiples de définir des stratégies distinctes pour chacun d entre eux. Protection contre l empoisonnement du cache grâce à DNSSEC : Le détournement de réponse constitue une classe de menaces particulièrement dangereuse. Les pirates injectent de faux enregistrements sur un serveur DNS et empoisonnent son cache. Ces enregistrements dirigent ensuite les utilisateurs vers un site contrôlé par le pirate, qui peut alors transmettre du contenu malveillant ou tenter de récolter de précieuses informations sur les comptes et les mots de passe. NetScaler assure une protection efficace contre ce type de menace grâce à deux mécanismes puissants : La prise en charge intégrée de DNSSEC, qui peut être mise en œuvre à la fois dans les configurations ADNS et proxy DNS. NetScaler autorise la signature de réponse, ce qui permet aux clients de valider l authenticité et l intégrité de la réponse. Cette approche fondée sur des standards reconnus permet d éviter l introduction de faux enregistrements dans les caches DNS particulièrement vulnérables. Rendre aléatoire les identifiants de transactions DNS et les données de port source permet de compliquer considérablement la tâche des pirates qui doivent saisir les informations nécessaires dans une requête pour corrompre un enregistrement DNS. Protection contre les attaques de la couche 4 NetScaler assure une protection efficace contre les dénis de service ciblant la couche réseau en s assurant que les ressources d arrière-plan ne sont pas allouées tant qu une connexion client légitime n a pas été établie et qu une requête valide n a pas été reçue. Ainsi, par exemple, le mécanisme de défense de NetScaler contre les attaques par saturation TCP SYN s appuie en premier lieu sur l allocation de ressources uniquement une fois la procédure de prise de contact TCP à 3 étapes entre le client et l appliance NetScaler totalement achevée, et dans un second temps sur la mise en œuvre optimisée et sécurisée de cookies SYN.

8 De plus, une plate-forme matérielle et une architecture de système d exploitation capables de traiter plusieurs millions de paquets SYN par seconde permettent de garantir que NetScaler ne succombera pas lui-même à une attaque de ce type. NetScaler intègre de nombreux autres mécanismes de sécurisation de la couche réseau : (a) listes de contrôle d accès (ou ACL) des couches 3 et 4 qui peuvent autoriser le trafic applicatif nécessaire tout en bloquant tout le reste, (b) limitation de débit, protection contre les pics de trafic, mise en attente des connexions (fonctionnalités décrites précédemment) et (c) une pile TCP/IP haute performance et conforme aux standards en vigueur, spécialement améliorée pour : Rejeter automatiquement le trafic malformé qui pourrait constituer une menace pour les ressources d arrière-plan. Prévenir la divulgation de données de connexion et d hébergement (adresses de serveurs, numéros de ports serveur, etc.) potentiellement utiles aux pirates souhaitant perpétrer une attaque. Contrer automatiquement une multitude de menaces de type déni de service (saturation ICMP, pipeline, teardrop, land, fraggle, small/zero window, zombie connection, etc.). AAA (authentification, autorisation et audit) pour la mise à disposition d applications Bien que disposer d une défense solide couvrant les couches applicative, réseau et infrastructure soit indispensable à la sécurisation efficace des datacenters, cela ne suffit malheureusement pas. En effet, les équipes en charge de la sécurité informatique doivent également prendre en compte la couche utilisateur. NetScaler délivre dans ce domaine un large éventail de fonctionnalités AAA : Fonctionnalités d Authentification pour valider l identité des utilisateurs. Fonctionnalités d Autorisation pour déterminer à quelles ressources précises chaque utilisateur aura le droit d accéder. Fonctionnalités d Audit pour conserver un enregistrement détaillé de l activité de chaque utilisateur (à des fins de dépannage, de compte-rendu ou de conformité). La force de la solution AAA de NetScaler ne réside pas uniquement dans l étendue de ses fonctionnalités (prise en charge des modifications de mots de passe et d une grande variété de mécanismes d authentification : local, RADIUS, LDAP, TACACS, certificats, NTLM/Kerberos, SAML/SAML2, etc.). Elle réside surtout dans la capacité de NetScaler à centraliser et à consolider tous ces services au profit des différentes applications. Plutôt que de mettre en œuvre, d appliquer et de gérer ces différents mécanismes de contrôle individuellement pour chaque application, les administrateurs gèrent l ensemble à partir d un point unique. Grâce à cette approche, les directions informatiques peuvent : Améliorer les performances de leurs serveurs : Les ressources d arrière-plan étant délestées des trois tâches effectuées par AAA, la charge serveur peut être réduite et les performances applicatives améliorées. Renforcer la sécurité de leurs applications propriétaires : Des fonctionnalités de sécurité stratégiques peuvent être intégrées aux vieilles applications propriétaires ne bénéficiant pas de fonctionnalités AAA natives. Les applications modernes bénéficient également d une flexibilité accrue (capacité à intégrer une authentification renforcée ou des journaux plus détaillés sans avoir à modifier l application). Garantir à leurs utilisateurs une expérience cohérente : L expérience de l utilisateur peut être homogénéisée grâce à la standardisation des mécanismes d authentification, des paramètres (délai d expiration, etc.) et des stratégies (traitement des tentatives de connexion avortées) appliqués aux différentes applications.

9 Permettre le SSO (single sign-on) : Les utilisateurs n ont à s authentifier qu une seule fois, NetScaler se chargeant ensuite de les connecter de façon transparente à toutes les ressources d un domaine donné. Renforcer leur sécurité : Il existe de nombreuses façons de renforcer la sécurité : autoriser l utilisation de mécanismes d authentification secondaires ou multifacteurs, appliquer des déconnexions de sécurité (les cookies d authentification se voient appliquer un délai d expiration automatique), définir des stratégies cohérentes pour les différents ensemble d utilisateurs et/ou de ressources. Simplifier leur infrastructure de sécurité : Pouvoir mettre en œuvre et gérer les services AAA à partir d un point unique (et non plus de plusieurs dizaines ou centaines) rationalise significativement l administration et réduit les risques d erreur aboutissant à l apparition de failles dans les défenses de l entreprise. Mise en place d une infrastructure de sécurité avec les produits partenaires de NetScaler La valeur ajoutée de NetScaler en matière de sécurisation des datacenters est en outre renforcée par la présence d un riche écosystème de produits partenaires : Comptes-rendus et analyses : NetScaler AppFlow, une technologie basée sur des standards reconnus, prolonge l information TCP déjà recueillie par IPFIX (le standard IETF pour NetFlow) et permet de générer des enregistrements de données de la couche applicative flux par flux. Totalement non intrusif, AppFlow rend inutile l utilisation d outils propriétaires, d agents logiciels ou de multiples périphériques ponctuels et s appuie sur l infrastructure NetScaler existante de l entreprise pour offrir une visibilité détaillée permettant de savoir qui utilise quelles ressources, quand et de quelle façon. Splunk, un partenaire Citrix Ready, utilise les données AppFlow au sein de sa solution Splunk for NetScaler with AppFlow afin de permettre l analyse (et la publication de comptes-rendus) de différentes informations de sécurité (événements associés au VPN SSL et au pare-feu applicatif, violations de stratégies, ressources subissant une attaque, etc.). SIEM (Security information and event management) : NetScaler App Firewall prend également en charge les formats CEF (Common Event Format) et Syslog pour les données transmises à des solutions tierces. L une des utilisations les plus fréquentes de cette fonctionnalité est le traitement des données de journaux et des événements NetScaler par des plates-formes SIEM (HP ArcSight, RSA envision, etc.) à des fins de gestion de la conformité et de la sécurité. Gestion de la vulnérabilité : HailStorm et ClickToSecure, deux produits proposés par Cenzic, un autre partenaire Citrix Ready, permettent l essai fonctionnel dynamique des sites Web afin de générer des informations sur leur vulnérabilité. Dans ce cas précis, le partenariat établi avec Citrix permet l importation simplifiée des résultats des analyses Cenzic dans NetScaler Application Firewall, afin de pouvoir configurer par la suite des règles de protection spécifiques contre les menaces ciblant les vulnérabilités découvertes dans les applications et les services. Ce riche écosystème comprend bien d autres partenaires représentatifs avec leurs différentes technologies : RSA (authentification évolutive), Qualys (gestion de la vulnérabilité), Sourcefire (IPS et détection de réseau en temps réel), TrendMicro (antivirus et sécurité Web, Venafi (gestion des clés et des certificats), etc. En clair, toutes ces solutions partenaires (il en existe bien d autres encore) permettent aux entreprises de s appuyer sur la solide fondation que constitue NetScaler pour mettre en place une infrastructure complète de sécurisation des datacenters.

10 Conclusion Les sempiternelles contraintes budgétaires et le besoin croissant en sécurisation des datacenters imposent à l entreprise de faire toujours plus avec moins. Citrix NetScaler, le contrôleur de mise à disposition d applications le plus adapté à la conception de réseaux cloud d entreprise, convient parfaitement à cette situation. Associant un large éventail de fonctionnalités de sécurisation des couches applicative, réseau et utilisateur à un riche écosystème de produits partenaires interopérables, NetScaler permet aux entreprises modernes de s appuyer sur leur infrastructure existante pour mettre en place et étendre à moindre coût une solide infrastructure de sécurisation des datacenters de nouvelle génération. Corporate Headquarters Fort Lauderdale, FL, USA Silicon Valley Headquarters Santa Clara, CA, USA EMEA Headquarters Schaffhausen, Switzerland India Development Center Bangalore, India Online Division Headquarters Santa Barbara, CA, USA Pacific Headquarters Hong Kong, China Latin America Headquarters Coral Gables, FL, USA UK Development Center Chalfont, United Kingdom About Citrix Citrix (NASDAQ : CTXS) est l entreprise cloud qui favorise le travail mobile en permettant aux individus de travailler et de collaborer depuis n importe où, d accéder aux applications et aux données à partir de n importe lequel des périphériques les plus récents, aussi simplement que dans un bureau, avec facilité et en toute sécurité. Les solutions cloud de Citrix aident les directions informatiques et les fournisseurs de services à bâtir des infrastructures cloud à la fois publiques et privées en s appuyant sur les technologies de virtualisation et de mise en réseau afin de délivrer des services rentables, élastiques et hautement performants, parfaitement adaptés au travail mobile. Grâce à ses solutions inégalées de mobilité, de virtualisation de postes, de mise en réseau cloud, de plates-formes cloud, de collaboration et de partage des données, Citrix aide les entreprises de toutes tailles à bénéficier de la rapidité et de la réactivité nécessaires au succès dans un monde sans cesse plus mobile et dynamique. Les produits Citrix sont utilisés dans le monde entier par plus de 260 000 entreprises et plus de 100 millions d utilisateurs. Le chiffre d affaires annuel de l entreprise a atteint 2,59 milliards de dollars en 2012. Pour en savoir plus : www.citrix.com. 2013 Citrix Systems, Inc. Tous droits réservés. Citrix, Citrix Receiver TM, XenDesktop, Citrix CloudGateway TM, Podio, GoToMeeting et ShareFile sont des marques déposées ou des marques commerciales de Citrix Systems, Inc. et/ou de l une ou plusieurs de ses filiales, et peuvent être déposées aux Etats-Unis ou dans d autres pays. Toutes les autres marques commerciales et marques déposées appartiennent à leurs propriétaires respectifs. 0912/PDF

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back