身份验证：对所有用户要求双因素认证

鉴于密码对于网络攻击的脆弱性，故而对应用程序和桌面台式机的访问采用双因素身份验证的方法对于企业实施有效的安全管理而言是至关重要的。其原理是需要两种不同形式的认证：其一是用户知道的;第二，是该用户所使用的，诸如一个物理标记(physical token)。这就为用户被模拟带来了一个显著的障碍，即使主密码已经被泄露。作为这一部分的一个更高的级别水平，认证也应该被添加到本身不支持它的传统遗留应用程序，而NetScaler和XenApp就提供了这一功能。

为了鼓励用户使用更强大的密码，同时减少用户在操作过程中的混乱和麻烦，企业的IT管理部门可以采用一系列更为无缝的登录体验的措施，包括：

·身份联盟 - 采用第三方云服务可以要求用户管理一组额外的凭据。在各方之间通过公共网络安全地共享身份验证和授权数据，身份联盟无需进行单独登录。实际上，企业客户可以将对于诸如Microsoft Office365等服务的访问与他们的用户目录结合起来。如果某名员工从企业离职了，IT部门可以很容易地集中删除其所有的访问权限，包括其对于所有第三方服务的访问权限，如同删除其对企业内部资源的访问一样容易。NetScaler和ShareFile两款产品均支持SAML——这一常见的处理联盟的标准。

·单点登录 - 在联盟与非联盟环境下，单点登录(SSO)可以通过无需多次输入相同的凭据到多个系统，来减少用户登录的麻烦。 NetScaler可支持常见的SSO机制，包括基于表单的，基于401和Kerberos强制委派(Kerberos Constrained Delegation，KCD)，并且还可以保持认证会话cookie以提供通过一个网站、仪表板或门户，如微软的SharePoint跨所有Web应用程序访问的SSO。

　　授权：使用上下文访问控制实现最小特权授权

经过了身份验证的用户应该被授权仅仅只能访问那些为了完成其工作所必需要用到的应用程序、桌面台式机和数据——其原则是授予最低的特权，一旦该访问特权不再需要，就要降低其被授予的特权。按照类似的思路：

·为了减少与恶意软件相关的风险，除非工作任务需要特权帐户，否则管理员们不应该以管理员的身份登录到工作站。而是应该使用标准的用户凭证进行常规性的操作，如查看电子邮件和浏览网页。

·应用程序和服务应该被配置为以尽可能少的特权来启动，而服务帐户也应该以所需要的最低的权限进行创建。

·管理职责应分开，以限制某个人所拥有的特权，并防止某个单一恶意的管理员能够违反操作规定或隐瞒网络攻击。

授权级别通常通过组成员关系与用户身份进行绑定，但是这种方法可能缺乏了对于每个用例所需要的粒度。面向任务的或基于位置的授权则更有效，特别是对远程访问使用案例，如远程办公人员、离岸外包人员和第三方的访问。结合基于角色的访问机制，如Microsoft Active Directory，使得NetScaler允许预定义访问策略，为组和用户级别量身定制。

　　访问控制：通过端点验证管理访问权限

随着企业组织充分利用生产力和诸如远程办公、弹性工作等实践方案所带来的员工满意度提升的益处，他们也面临着更细粒度的访问控制的需要。安全管理策略可能需要允许不同级别的访问，这取决于一位既定的用户是否正在企业网络内部或外部工作，以及企业内部和第三方员工之间的区别。多样化的终端和BYOD趋势的兴起，使得基于设备的访问管理变得更加复杂。一些企业组织允许任何笔记本电脑、台式电脑、手机或平板电脑访问企业网络，有时甚至没有任何形式的恶意软件、防病毒软件或应用程序限制方面的要求。

思杰的最佳实践方案要求基于用户、设备、地理位置、资源和操作等属性的组合，提供对于应用程序和数据的适当水平的访问。授予访问权限之前，NetScaler将审查端点，以确保其健康状况和在域成员、防病毒和恶意软件保护方面的遵从一致性。这种分析使得SmartAccess策略引擎能够触发基于“五个W的访问”自适应策略，即：谁、什么、何时、哪里、为什么(who, what, when, where and why)。管理员们根据他们企业的安全策略有完整的灵活性来定义不同的访问方案和相应的规则，而用户可以自由的采用任何设备来工作。对于不符合的设备，用户可以隔离和被授予对辅导网站和资源的有限制的访问权限。

　　网络安全

随着移动性在现代企业中所发挥的作用越来越大，使得远程访问成为了一项核心的IT功能——同时也日渐成为网络攻击者们寻求攻入企业组织网络的主要载体。

网络攻击所带来的后果可能是毁灭性的。对于企业的某家业务合作伙伴的网络的攻击可能会直接导致对该企业组织本身的攻击，使其为网络恶意攻击者提供一个薄弱环节，并利用该薄弱环节作为一个网络网关。一旦进入了企业网络，攻击者们将寻求特权升级，然后向横向移动到核心组件，如域控制器。在一个高度公开的网络漏洞，攻击者能够从网络存储设备，如销售点直接登录到核心网络进行通信。在这一点上，一个后门或远程访问木马(RAT)连接到命令和控制(C2)服务器，使用一个外拨呼出电话到外部系统，通常会有点困难。

免费的网络Stressors工具和DDoS工具可以借助命令和控制在僵尸网络中进行配置和控制，如低轨道离子炮(Low Orbit Ion Cannon，LOIC)。更先进的工具包括以民族国家支持的“互联网大炮(Internet Cannons)”，通过重写HTTP请求导入洪水般的流量到目标网站，以武器化有效的互联网用户流量。

　　远程访问：要求企业员工和第三方安全的访问

远程访问功能允许企业网络外部的用户也能够访问应用程序、桌面台式机和数据。而NetScaler统一网关就具备了这一允许、控制和保护这种访问的作用，其中包括：

·将远程访问和单点登录扩展到所有企业和云应用程序

·整合基础设施以降低访问方法的扩散

·在其发送到后端应用程序之前，作为一个反向代理网关拦截传入的流量

·提供一个单一的URL，以整合一系列广泛的现有解决方案，通过合并所需的功能，以支持所有类型的访问方案，包括移动性

一个完整的SSL VPN提供对于数据中心的一个直接的网络连接，便是这样的一个场景。对于大多数的那些不需要一个完整的VPN的用户而言，NetScaler为XenApp提供了一个ICA代理，连接托管的应用程序和桌面台式机到Citrix Receiver软件。借助SSL VPN，所有在客户端和数据中心之间传输的数据都是加密的。这是对于包括PCI DSS在内的高安全性的环境推荐的配置。一个URL为从任何设备远程访问到Web、SaaS和Citrix应用程序，并具备进行双因素认证、单点登录和联盟的能力，为最终用户提供了一个简单的定位。

NetScaler简化并集中化访问控制，并通过提供一个单点配置和执行实现可视化。智能控制充当一个ICA防火墙，以集中访问控制，基于诸如客户端设备操作系统和补丁级别、以及是否安装、运行和更新了杀毒软件等参数，管理逻辑授权。功能也可以基于客户端和服务器IP和端口以及用户和组成员关系被封锁拦住。虚拟通道访问，如剪切和粘贴，映射，客户端驱动映射或打印，可以启用每一款应用程序，以提供正确的访问权限级别。

(责任编辑：安博涛)