白皮书安全远程访问安全远程访问使用思杰虚拟化解决方案，一切尽在掌控！引言全球各种类型和规模的企业都需要具有向用户提供安全地访问应用、桌面和企业数据的能力，无论他们身在何处。

这种能力很重要，因为：• 如果企业的用户、员工和承包商（移动和远程）可以持续、可靠地访问应用和数据，那么对他们的业务开展将更有利。

• 从任何地点上安全地访问应用能够促进增长，顺利完成并购，如从分支机构、工厂、客户所在地、仓库或其它远程地点，而不需要在每个新地点上部署昂贵的计算基础架构。

此外，这样还可获得多方面的间接优势。

例如，完美设计的安全访问解决方案可以帮助企业：• 在需要的时间和地点为用户提供信息访问功能，提高生产率并降低劳动力、差旅和设施成本，进而增加企业的经济效益。

• 建立一套高效且强大的方式，确保业务在可能发生的灾难、疾病爆发及其它类型的中断期间不受影响。

• 轻松、经济地建立战术和战略合作伙伴关系。

但是，满足这一关键业务需求的传统方法会带来很多挑战。

例如，为了支持客户端/服务器应用，需要在每台远程台式和笔记本电脑上安装软件组件。

这种方式的实施、管理和支持不仅速度慢，成本高，而且不安全。

如果将应用和数据分发到用户端点上，将使企业面临重大风险。

虚拟专用网（VPN）解决方案也有一定的局限性。

虽然它们使用加密通道建立了一套安全交付方式，但是它们提供的访问范围通常过于广泛。

用户（以及系统中可能存在的任何恶意软件）通常可以访问整个网络。

同样，VPN对企业数据向授权用户和端点的发送几乎不做任何控制。

相反，Citrix® XenDesktop™和Citrix® XenApp™能够帮助企业快速、安全地为任何地点、使用任何设备的用户提供对应用和桌面的细粒度访问，同时对敏感数据的使用和分配进行严密、集中的控制。

使用XenApp实现应用虚拟化应用虚拟化是传统部署方式的一种替代方案。

通过虚拟化可以将应用与其基础计算平台分开，并允许将它们交付到用户设备上，而不用分配和安装在这些设备上。

使用XenApp，必须首先对应用进行重新配置。

这样就可以生成一个应用包，能够适用于运行各种应用的所有目标平台。

然后，应用包将被保存在一个中央应用中心（Application Hub）或文件系统中。

这样就可以使用按需交付来实现离线或在线应用访问。

2白皮书安全远程访问• 通过离线应用虚拟化，能够以”流”的形式动态地将应用交付到用户设备上的隔离环境中。

然后，使用本地计算资源来运行该应用；这样，即使用户未连接到企业网络时也可以访问基本的程序和数据。

• 此外，也可以通过在线应用虚拟化，应用将以“流”的方式交付到中央托管服务器上。

然后，用户被连接到运行他们需要访问的应用的远程会话上。

这种方式需要使用数据中心资源来运行这些应用，并且用户可以从任何地点访问。

同时一个经过充分优化后的协议，允许只传输键盘敲击、鼠标移动和屏幕更新信息，来帮助实现高清用户体验。

使用XenApp，用户可以使用任何设备，从任何地点上访问任何应用，而企业的敏感数据也不会离开数据中心。

同时，企业能够以高效、集中的方式管理相关应用，与传统部署方式相比，这种方式可降低复杂性和成本。

XenApp为数据提供强大保护和全面控制衡量任何远程应用访问解决方案的一个主要标准是，是否具有安全地实现保护和控制的能力；但这真的足够吗？仅允许授权用户访问，并对每次会话进行加密，以保持相关活动和任何内容或数据的保密性，这样是否就足够了？特别是，如何进一步保护用户访问时将被发送到用户端点上的数据？在选择远程访问解决方案时，必须考虑是否需要将数据发送到用户端点。

这包括评估如何实施这种限制（如果需要），而不对用户完成相应工作的能力产生任何负面影响。

而且，还应能控制被访问数据的使用方式及使用范围。

XenApp具有丰富的保护和控制功能，完全可以解决这些问题，消除相关顾虑。

XenApp的综合安全特性包括以下四个功能区：集中数据保存和管理、安全的访问和交付、精细化的控制访问和使用、综合监控。

集中数据保存和管理XenApp最强大的安全特性之一是在线应用虚拟化，或称之为托管：数据和敏感应用软件从不离开数据中心。

使用XenApp，用户可以访问、查看和处理应用及其数据，而不需要将任何相关信息发送到用户设备上。

用户只能看到他们当前工作的实时画面更新或图像。

对数据进行集中保存还具有以下两方面的安全优势：首先，可以更彻底、更高效地修补软件漏洞。

管理员只需要为每套应用打补丁和维护一个集中的镜像，而不需要进行数百甚至数千次的重复处理。

一种自动同步特性可以确保本地交付或离线、虚拟应用可自动得到更新。

3此外，托管的应用可以通过企业大多数中央办公室和数据中心的强大、集中安全性基础架构得到保护。

这与移动和分布式端点通常提供的非连续、效率低下的保护形成鲜明对比。

安全的访问和交付XenApp能够帮助控制哪些用户可以访问虚拟化资源，以及如何保护提供该访问的会话。

首先，XenApp本身可以支持广泛的验证机制，其中包括：Active Directory、Active Directory Federation Services、RADIUS、Kerberos、穿越验证（用户桌面密码被透明地提交给服务器），和双因子验证的多种选项，如RSA SecurID令牌和智能卡等。

此外，还可以通过Citrix 提供的SDK来实现生物测定和其它形式的验证。

XenApp中集成的单点登录技术可以提供全面的密码管理和控制。

它可以支持自动应用登录、用于控制密码强度和有效期的策略、自助密码重设 - 强化密码规则而不增加用户和系统管理员负担的一种基本功能。

用户只需要一个登录ID和密码，就能够安全地启动多个由XenApp交付、受密码保护的应用。

此外，思杰虚拟化还能使用诸如传输层安全性（TLS）和安全套接层（SSL）等多个标准协议，以及高级加密标准（AES）等高强度、高性能算法，对所有访问会话进行加密。

这不仅适用于XenApp交付的应用，同样也适用于允许从远程安全地访问XenApp托管的应用和企业内所有其它集中计算服务的全功能SSL VPN设备。

此外，还可以使用密码式授权来阻止用户访问未经授权或不可靠的服务器。

精细化的控制访问和使用XenApp的另一大优势和重要区别是，它能够对访问会话及如何在这些会话内使用数据进行细粒度的控制。

哪些用户可以访问哪些资源？如何访问？是否通过离线、在线或离线和在线组合的方式进行访问？这些都可以通过配置发布和交付策略得以控制。

但是，提供基于控制的用户ID仅仅是个开始。

何时、多长时间、从哪里访问、用户计算设备的状态等都是可以列入访问和使用策略的因素。

其结果是形成一种其它分布式数据设计无法实现的有效控制和保护。

XenApp自身的功能支持为单个用户或用户组设置细粒度的策略，以限制在访问会话期间是否可以访问硬盘、打印机、串口和剪贴板功能（即复制和粘贴），防止从数据中心下载和复制数据。

特别值得一提的是，带宽和处理器的使用率同样可以得到控制，以帮助管理用户体验和系统的总体性能。

此外，XenApp SSL VPN中集成的高级访问控制功能还支持综合端点扫描。

使用此功能，可以根据管理员定义的标准对客户端系统进行扫描和评估，以执行经过审核的安全配置，比如是否使用最新的安全性和操作系统软件。

然后，就可以根据其结果来决定是否允许访问以及可以访问多大范围。

例如，可以这样进行配置：如果系统显示无任何违规行为，则用户可以普通访问；如果有轻微违规行为，则会受到有限访问策略的限制；而如果有重大违规行为，则禁止他们访问除用于修正系统所需资源之外的任何资源。

4白皮书安全远程访问综合监控丰富的监控、跟踪和审核功能提供了一套针对误用和其它不希望发生，但由于恶意目的、未检测到的攻击、策略漏洞、错误或忽视而又不可避免的活动的对策。

XenApp提供以下功能来解决这些问题：• 会话映射– 支持在管理员的工作站上实时复制并显示指定用户会话。

此功能可用于故障排除，或监视用户的活动，以确定是否有值得怀疑的误用。

• 智能审核 – 对用户访问在线应用时在屏幕上的活动创建一条视频记录，并将其作为视频文件存储在安全服务器内。

例如，当受监视的某位用户连接到特定应用时，可以根据触发规则启动会话记录功能。

这种技术可用于帮助实现合规性、风险降低和故障排除目的。

• 配置日志 – 目的与智能审核相似，但是此功能是针对管理员而不是用户的。

对XenApp服务器场的每次配置更改都得到跟踪，以记录哪个用户在何时进行了该更改。

• 报告– 这是一个对时间不太敏感的机制，用于揭示用户活动的本质及其趋势。

在完成汇总并有选择性地显示时，这些详情不仅可用于帮助改进访问和使用策略，而且可用于支持法医鉴定，比如说，通过拼凑一条用户活动的时间线，并将其与其它系统的日志数据进行关联。

超越安全性和控制— XenApp的其它优势无与伦比的保护和数据控制仅仅是XenApp的两个安全远程访问优势。

XenApp的其它优势包括：能够最大程度地降低运营成本，提高业务灵活性，确保高清、高性能的用户体验。

最低成本的应用交付XenApp克服了与传统应用部署方式相关的一些问题，最多可降低50%的应用管理成本。

应用根据需要进行交付，而不会离开数据中心。

而且，不再需要在各台用户设备上安装或管理应用。

最终结果是：• 应用包的测试和故障排除更简单，更快速，因为需要管理的不同用户配置更少。

• 用户可在需要时随时获得他们需要的应用，而不是根据复杂的闲时使用计划长时间等待。

• 所有管理、维护和支持功能都得到集中和简化。

只需要对要求的更新进行一次配置，就能即时自动分发给所有用户。

5满足快速变化的业务需求的最高灵活性目前，企业不能一成不变。

领先竞争对手意味着需要对市场上的新趋势和不断发生的变化迅速做出反应。

对于某些企业，不仅需要在当地，而且需要在全球范围内实现这一目标。

XenApp能够帮助现代化企业解决这些问题。

XenApp的交付模式是联系用户、提供他们完成工作所需要的应用，以及防止关键业务流程出现中断等目标的最快捷方式。

用户可以迅速完成新应用的安装和现有应用的更新，而不再需要数天、数周、甚至数月的时间。

对于正在发展的企业来说，无论是通过自身的发展，还是通过并购壮大，这些都非常宝贵。

新的分支机构和并购的企业都可以在一天之内轻松访问企业应用，而不再需要在每个地点上为部署新设施投入巨资。

使用XenApp，可以缩短实现新服务、能力和设施价值的时间，同时将应用管理成本降低一半。

在任何网络中实现最佳应用性能与传统部署方式相比，应用虚拟化和集中应用交付方式的风险之一是，以上提及的优势通常以用户的体验为代价。

可能的缺点包括运行速度较慢，以及各种服务的可用性及如何访问不同应用之间的矛盾。