В прошлом году Citrix и Microsoft приступили к совместной работе по созданию новых решений. Один из результатов этой деятельности – интеграция NetScaler Unified Gateway с Microsoft EMS. Она позволяет ИТ-администраторам определять политики контроля доступа на основе состояния мобильного устройства конечного пользователя. Эти политики проверяют каждое мобильное устройство конечного пользователя до того, как устанавливается пользовательский сеанс, чтобы определить, зарегистрировано ли устройство с помощью Microsoft Intune, и соответствуют ли оно политикам безопасности организации, и только затем – даёт или отклоняет доступ. Ниже приведена схема работы этого решения. О том, что это такое и как оно работает, расскажу в этом материале.
Для начала коротко о самих решениях. Компания Citrix представляет шлюз для безопасного доступа к сети, а Microsoft — платформу для управления приложениями и данными в ЦОДе и облаке. Составные части решения:
Если компании уже используют NetScaler Gateway для Citrix XenApp и/или XenDesktop и планируют подключать Microsoft EMS, то им стоит обратить внимание на новую версию NetScaler Gateway с приставкой Unified. Компании получат единую точку входа, сквозную аутентификацию, простоту и безопасность использования.
Microsoft EMS и NetScaler Unified Gateway вместе образуют интеллектуальную систему, которая предлагает дополнительный уровень защиты локальных ресурсов при помощи предварительной проверки конечного устройства. Что это означает: устройства, с которых сотрудники пытаются получить доступ к корпоративным системам, ещё до установления VPN-соединения, будут верифицированы в Microsoft Intune (сервис Microsoft для управления мобильными устройствами и приложениями, входящий в состав платформы EMS). Для того чтобы смартфон или планшет мог получить доступ к локальным ресурсам, он должен быть зарегистрирован в сервисе Microsoft Intune.
Администраторы могут установить политики контроля доступа к локальным ресурсам, включая MS Exchange, SharePoint и любым другим приложениям, на основании статуса мобильного устройства конечного пользователя. Таким образом, девайс каждого, кто хочет подключиться, будет проверяться ещё до установки сессии, чтобы определить, зарегистрировано ли конкретное устройство в сервисе Microsoft Intune и соответствует ли оно политикам безопасности компании. Пока идёт эта проверка, мобильный пользователь будет иметь всего лишь условный доступ, а система соберёт информацию и на её основании примет решение – предоставить полный доступ или заблокировать его. В результате, компания получает дополнительную защиту локальных ресурсов.
Помимо предоставления условного доступа к корпоративным ресурсам, данное решение может выполнять сканирование мобильных устройств и выявить, есть ли какие-либо факторы риска, такие как «взломанное» состояние (возможность получения root-прав), устаревшие базы антивирусов или установленное вредоносное ПО. По результатам проверки принимаются соответствующие меры. Это гарантирует безопасность и централизованное управление техникой, зарегистрированной ранее в Microsoft Intune.
В случае использования MS Intune, так же как и других систем управления мобильными устройствами (например, XenMobile), можно избежать утечки важных данных и удалить их с телефона или планшета если сотрудник их потерял. Кроме того, есть возможность управлять устройствами, настраивать их удаленно (например профиль Wi-Fi), что значительно упрощает администрирование и контроль над корпоративными данными.
Ещё одна функция, на которую стоит обратить внимание, это расширенные возможности пользователей: администраторы могут перенести на мобильные устройства политики и настройки конфигурации без необходимости регулировки, которую не нужно делать вручную конечным пользователям. Решение поддерживает платформы iOS и Android. Пользовательский интерфейс одинаков для обеих платформ.
Кроме того, NetScaler Unified Gateway предлагает многофакторную аутентификацию (nFactor Authentication) на базе политик. Системные администраторы могут выбрать любые механизмы, включая технологии RADIUS, Kerberos и т.д., для аутентификации конечных пользователей. Например, можно проверять членство пользователя в группе AD, и исходя из этой принадлежности, добавлять или нет следующий фактор аутентификации, либо в случае неудачной попытки, предлагать другие методы проверки пользователя. Также имеется возможность персонализации портала аутентификации в зависимости от требований компании. Если есть интеграция с Intunes – на основе, например, членства пользователя в группе AD, можно определять, имеет ли он доступ к секретным данным предприятия, и если да, то запрашивать дополнительно один из вариантов одноразовых паролей (OTP). Данная технология предоставляет неограниченные возможности для создания сложных алгоритмов аутентификации пользователей.
Отдельно хотелось бы остановиться на такой возможности как сквозной контроль: NetScaler Unified Gateway с помощью функции Gateway Insight предоставляет полный и сквозной контроль, а также мониторинг доступа всех пользователей к локальным приложениям. Данный функционал просто необходим администраторам, занимающимся поддержкой подобной инфраструктуры. Детальный мониторинг позволяет отслеживать пользователей, приложения к которым они хотят получить доступ, а также — ошибки, с которыми они сталкиваются.
Вводить каждый раз логин/пароль на мобильном устройстве не самое увлекательное занятие, особенно по нескольку раз. В современном мире безопасно – НЕ значит неудобно! Для всех приложений шлюз Citrix NetScaler Unified Gateway позволяет выполнять удаленный доступ и однократную идентификацию пользователей. При интеграции с Microsoft EMS в NetScaler эта функциональная возможность также реализуется. Благодаря технологии OAuth которая поддерживается Citrix Netscaler, пользователь, пройдя аутентификацию в Intune единожды, может построить SSL VPN туннель до Netscaler, и далее, с помощью Singl-Sign-ON, учетные данные будут проброшены ещё и к приложению, например, к Sharepoint.
Компании, использующие NetScaler или NetScaler Unified Gateway для Citrix XenApp/XenDesktop или для однократной идентификации пользователей (для всех приложений в ЦОД или облаке), могут также применять эти решения для поддержки функциональности MDM в Microsoft EMS.
NetScaler Unified Gateway может быть полезен не только тем, кто переходит на Microsoft EMS, но и тем, кто хочет обеспечить безопасный доступ к корпоративным ресурсам. Это может быть компания из любой отрасли: банки, операторы связи, различные предприниматели и многие другие. Шлюз предоставляет уже заслуживший доверие удаленный доступ к XenApp и XenDesktop, а также ко всем корпоративным веб-, SaaS- и Citrix-приложениям. Благодаря NetScaler Unified Gateway можно избавиться от потребности в отдельной виртуальной частной сети с SSL-шифрованием с удаленным доступом для корпоративных и облачных приложений, что позволяет сократить общие расходы и обеспечить удобство работы пользователей.
Для начала коротко о самих решениях. Компания Citrix представляет шлюз для безопасного доступа к сети, а Microsoft — платформу для управления приложениями и данными в ЦОДе и облаке. Составные части решения:
- Citrix NetScaler Unified Gateway даёт защищенный доступ и однократную идентификацию пользователей для всех приложений.
- Решение Microsoft Enterprise Mobile + Security (EMS) разработано для того, чтобы помочь компаниям управлять и защищать пользователей, устройства, приложения и данные в условиях широкого распространения мобильных и облачных технологий.
Если компании уже используют NetScaler Gateway для Citrix XenApp и/или XenDesktop и планируют подключать Microsoft EMS, то им стоит обратить внимание на новую версию NetScaler Gateway с приставкой Unified. Компании получат единую точку входа, сквозную аутентификацию, простоту и безопасность использования.
Microsoft EMS и NetScaler Unified Gateway вместе образуют интеллектуальную систему, которая предлагает дополнительный уровень защиты локальных ресурсов при помощи предварительной проверки конечного устройства. Что это означает: устройства, с которых сотрудники пытаются получить доступ к корпоративным системам, ещё до установления VPN-соединения, будут верифицированы в Microsoft Intune (сервис Microsoft для управления мобильными устройствами и приложениями, входящий в состав платформы EMS). Для того чтобы смартфон или планшет мог получить доступ к локальным ресурсам, он должен быть зарегистрирован в сервисе Microsoft Intune.
Администраторы могут установить политики контроля доступа к локальным ресурсам, включая MS Exchange, SharePoint и любым другим приложениям, на основании статуса мобильного устройства конечного пользователя. Таким образом, девайс каждого, кто хочет подключиться, будет проверяться ещё до установки сессии, чтобы определить, зарегистрировано ли конкретное устройство в сервисе Microsoft Intune и соответствует ли оно политикам безопасности компании. Пока идёт эта проверка, мобильный пользователь будет иметь всего лишь условный доступ, а система соберёт информацию и на её основании примет решение – предоставить полный доступ или заблокировать его. В результате, компания получает дополнительную защиту локальных ресурсов.
Помимо предоставления условного доступа к корпоративным ресурсам, данное решение может выполнять сканирование мобильных устройств и выявить, есть ли какие-либо факторы риска, такие как «взломанное» состояние (возможность получения root-прав), устаревшие базы антивирусов или установленное вредоносное ПО. По результатам проверки принимаются соответствующие меры. Это гарантирует безопасность и централизованное управление техникой, зарегистрированной ранее в Microsoft Intune.
В случае использования MS Intune, так же как и других систем управления мобильными устройствами (например, XenMobile), можно избежать утечки важных данных и удалить их с телефона или планшета если сотрудник их потерял. Кроме того, есть возможность управлять устройствами, настраивать их удаленно (например профиль Wi-Fi), что значительно упрощает администрирование и контроль над корпоративными данными.
Ещё одна функция, на которую стоит обратить внимание, это расширенные возможности пользователей: администраторы могут перенести на мобильные устройства политики и настройки конфигурации без необходимости регулировки, которую не нужно делать вручную конечным пользователям. Решение поддерживает платформы iOS и Android. Пользовательский интерфейс одинаков для обеих платформ.
Кроме того, NetScaler Unified Gateway предлагает многофакторную аутентификацию (nFactor Authentication) на базе политик. Системные администраторы могут выбрать любые механизмы, включая технологии RADIUS, Kerberos и т.д., для аутентификации конечных пользователей. Например, можно проверять членство пользователя в группе AD, и исходя из этой принадлежности, добавлять или нет следующий фактор аутентификации, либо в случае неудачной попытки, предлагать другие методы проверки пользователя. Также имеется возможность персонализации портала аутентификации в зависимости от требований компании. Если есть интеграция с Intunes – на основе, например, членства пользователя в группе AD, можно определять, имеет ли он доступ к секретным данным предприятия, и если да, то запрашивать дополнительно один из вариантов одноразовых паролей (OTP). Данная технология предоставляет неограниченные возможности для создания сложных алгоритмов аутентификации пользователей.
Отдельно хотелось бы остановиться на такой возможности как сквозной контроль: NetScaler Unified Gateway с помощью функции Gateway Insight предоставляет полный и сквозной контроль, а также мониторинг доступа всех пользователей к локальным приложениям. Данный функционал просто необходим администраторам, занимающимся поддержкой подобной инфраструктуры. Детальный мониторинг позволяет отслеживать пользователей, приложения к которым они хотят получить доступ, а также — ошибки, с которыми они сталкиваются.
Вводить каждый раз логин/пароль на мобильном устройстве не самое увлекательное занятие, особенно по нескольку раз. В современном мире безопасно – НЕ значит неудобно! Для всех приложений шлюз Citrix NetScaler Unified Gateway позволяет выполнять удаленный доступ и однократную идентификацию пользователей. При интеграции с Microsoft EMS в NetScaler эта функциональная возможность также реализуется. Благодаря технологии OAuth которая поддерживается Citrix Netscaler, пользователь, пройдя аутентификацию в Intune единожды, может построить SSL VPN туннель до Netscaler, и далее, с помощью Singl-Sign-ON, учетные данные будут проброшены ещё и к приложению, например, к Sharepoint.
Компании, использующие NetScaler или NetScaler Unified Gateway для Citrix XenApp/XenDesktop или для однократной идентификации пользователей (для всех приложений в ЦОД или облаке), могут также применять эти решения для поддержки функциональности MDM в Microsoft EMS.
NetScaler Unified Gateway может быть полезен не только тем, кто переходит на Microsoft EMS, но и тем, кто хочет обеспечить безопасный доступ к корпоративным ресурсам. Это может быть компания из любой отрасли: банки, операторы связи, различные предприниматели и многие другие. Шлюз предоставляет уже заслуживший доверие удаленный доступ к XenApp и XenDesktop, а также ко всем корпоративным веб-, SaaS- и Citrix-приложениям. Благодаря NetScaler Unified Gateway можно избавиться от потребности в отдельной виртуальной частной сети с SSL-шифрованием с удаленным доступом для корпоративных и облачных приложений, что позволяет сократить общие расходы и обеспечить удобство работы пользователей.
Поделиться с друзьями