Informatiebeveiliging
White Paper
Top 10 redenen voor extra beveiliging van informatie door middel van desktop virtualisatie Controle terug en risico’s gereduceerd zonder compromissen op het gebied van productiviteit en groei
www.citrix.com/secure
Informatiebeveiliging
White Paper
Nieuwe manieren van werken vragen om nieuwe manieren van risicobeheersing. Mobiliteit, flexwerken, bring-your-own device (BYOD) en intensievere samenwerking over de grenzen van de organisatie heen hebben het risicoprofiel ingrijpend veranderd en ondermijnen de houdbaarheid van bestaande IT-architecturen. De uitdaging is mensen de flexibiliteit te geven die ze nodig hebben om optimaal productief te kunnen zijn in hun werk en tegelijkertijd de veiligheid en conformering te waarborgen die voor de organisatie van belang zijn. De spanning tussen beveiliging en productiviteit is nog nooit zo acuut geweest. Om optimaal te presteren en concurrerend te blijven, moeten organisaties hun mensen toegang geven tot bedrijfsmiddelen en bedrijfsgegevens op meer locaties en op meer manieren dan ooit tevoren. Maar de steeds groter wordende verscheidenheid aan werkplekken, typen medewerkers en methoden van toegang die daar het gevolg van is, betekent dat de traditionele beveiligings strategieën niet langer doen waar ze voor bedoeld zijn. IT is een consumentenartikel geworden en dat brengt extra complexiteit met zich mee door de totale mix van al dan niet door het bedrijf ter beschikking gestelde laptops, tablets en smartphones die deel uit gaan maken van de systeemomgeving. Die diversiteit van apparatuur betekent tegelijkertijd een veelvoud van besturingssystemen, applicaties en configuraties in elke denkbare combinatie, waardoor het oude, consistente model van de door het bedrijf beheerde laptop definitief tot het verleden behoort. Als het om beveiliging gaat, blijven technologieën als firewalls, anti-virusprogrammatuur, toegangs controle en perimetermonitoring een belangrijke basis, die echter steeds minder zekerheid biedt, omdat de ervaren hacker van vandaag zich vaak direct op applicaties, data en apparaten richt. Er is, kortom, behoefte aan een nieuwe laag beveiliging, die een effectievere vorm van risico beheersing mogelijk maakt. Die extra beveiligingslaag kan worden gerealiseerd door middel van desktopvirtualisatie, een oplossing die organisaties de volledige vrijheid geeft om nieuwe werk methoden toe te passen – mobiel werken, flexwerken en BYOD – en mensen en middelen in te zetten op de plaats waar en op het moment dat ze nodig zijn. Tegelijkertijd biedt desktopvirtualisatie, in combinatie met secure file sharing en enterprise mobility management, het voordeel van versterkte informatiebeveiliging en de zekerheid van conformering aan geldende voorschriften in het volledige scala van applicaties, data en apparatuur en in dienst van zakelijke en systeemtechnische prioriteiten. In deze white paper wordt ingegaan op het gebruik van desktopvirtualisatie als middel tot verbeterde informatiebeveiliging. We besteden aandacht aan de volgende punten: • De steeds groter wordende uitdaging van behoud van informatiebeveiliging in de moderne, complexe en gevarieerde bedrijfsomgeving • De belangrijkste voordelen van desktopvirtualisatie als een inherent veiligere computerarchitectuur • De top 10 voordelen van desktopvirtualisatie als middel tot verbeterde informatiebeveiliging
www.citrix.com/secure
2
Informatiebeveiliging
White Paper
De risico’s van toenemende complexiteit Informatiebeveiliging is een kwestie van essentieel belang geworden voor elke organisatie. De gevaren zijn groter en gevarieerder dan ooit, van bedrijfsnetwerkinfectie door subversieve software, gerichte hacking en slimme vormen van phishing tot regelrechte corruptie of diefstal van bedrijfsmiddelen en intellectueel eigendom. Om nog maar te zwijgen van medewerkers die hun tablet of smartphone ergens laten liggen. In de jaarlijkse CSO enquête – de Global State of Information Security Survey – sprak dit jaar 13 procent van de ondervraagde organisaties van 50 of meer beveiligingsincidenten per dag, veel meer dan in de voorafgaande jaren.”1 Incidenten als het WikiLeaks schandaal en diverse gevallen van diefstal van persoonsgegevens bij uiteenlopende bedrijven laten overduidelijk zien hoe groot het risico is waaraan organisaties zijn blootgesteld. Beveiligingsincidenten betekenen bovendien een verstoring van de bedrijfscontinuïteit, waarbij pas weer tot de orde van de dag kan worden overgegaan als het probleem is gedetecteerd en verholpen en als de schade is geïnventariseerd en gerepareerd. Het is dus van cruciaal belang een effectieve vorm van informatiebeveiliging tot stand te brengen, maar het werkelijke probleem is om die beveiliging ook in stand te houden. Trends als mobiel werken, flexwerken, consumerization, met inbegrip van BYOD, en cloud computing, brengen met zich mee dat meer mensen, waaronder telewerkers, mobiele gebruikers, partners, aanbieders van outsourcing services en andere externe bedrijven, toegang krijgen tot bedrijfsapplicaties en -gegevens op tal van locaties, via allerlei apparatuur en op veel meer manieren dan in het verleden. Bedrijfsinformatie is, met andere woorden, overal aanwezig – bij mensen thuis, op persoonlijke en door het bedrijf ter beschikking gestelde apparatuur, in publiek toegankelijke en private clouds, bij partnerorganisaties, op de werkvloer en waar al niet. Iedereen die over een geldige account beschikt, kan doodeenvoudig e-maiberichten en andere bestanden met mogelijk gevoelige informatie kopiëren. plakken, opslaan en downloaden. Het kan dan ook nauwelijks verwonderlijk worden genoemd dat in een recent SANS onderzoek maar liefst 97 procent van de ondervraagden aangaf het belangrijk te vinden – 37 procent sprak zelfs van cruciaal en 40 procent koos voor de kwalificering ‘extreem belangrijk’ – dat regels voor mobiele toegang en mobiele beveiliging deel uit gaan maken van de algemene beveiligingsen conformeriingsstructuur.”2 In een zo breed panorama zorgen voor beveiliging van ‘normale’ pc’s zou al een uitdaging op zich zijn, maar nu gaat het ook nog eens om een bonte verzameling apparatuur, met laptops, tablets en smartphones van elk denkbaar type, zeker in een tijd waarin bring-your-own-device strategieën steeds gangbaarder worden. Al die apparaten moeten op de laatste stand worden gehouden en dat geldt zowel voor de besturingssystemen waar ze onder draaien als voor de applicaties die erop worden gebruikt. Er moeten patches en hotfixes worden geïnstalleerd, updates worden doorgevoerd en configuraties worden aangepast. Binnen de gangbare opvatting van beveiligingssystematiek is dat een nagenoeg onmogelijke opgave. Het volgende lek dichten is maar een deel van het probleem. Uw IT-mensen moeten er elk uur van elke dag voor waken dat de hand wordt gehouden aan ontelbare beveiligingsregels en -afspraken op basis van contractuele overeenkomsten met klanten en partners, op basis van wettelijke bepalingen ten aanzien van gegevensvertrouwelijkheid en privacy, op basis van eisen die per sector en per land verschillend zijn en op basis van intern beleid dat erop gericht is de belangen van uw bedrijf te beschermen.
www.citrix.com/secure
3
Informatiebeveiliging
White Paper
Het is in die context geen wonder dat veel IT-specialisten het gevoel hebben constant achter de feiten aan te lopen, voortdurend meer geld en moeite te moeten investeren in extra beveiligingsmaatregelen zonder werkelijk iets te kunnen doen aan de ontoereikendheid van traditionele strategieën in de complexe computeromgeving van vandaag. De fundamentele vraag blijft hoe IT-personeel de controle terug kan krijgen over bedrijfsgegevens en hoe de steeds groter wordende risico’s kunnen worden gereduceerd. De simpelste oplossing is alles rigoureus op slot gooien en iedereen te dwingen binnen het LAN van de organisatie te werken op standaard apparatuur. Maar dat heeft onacceptabel negatieve effecten op slagvaardigheid en productiviteit, met grote kans dat gefrustreerde medewerkers vroeg of laat in opstand komen tegen een beleid dat alleen maar belemmerend werkt. Het was per slot van rekening de bedoeling dat IT mensen zou faciliteren, het hen makkelijker, niet onmogelijk zou maken hun werk naar behoren te doen. Hoe kan IT ‘ja’ zeggen op de behoefte van mensen en organisaties aan een meer flexibele, meer mobiele en daardoor meer productieve manier van werken zonder de veiligheid van informatie in gevaar te brengen? De totale eliminatie van risico is een onrealistisch streven. Maar er is wel een manier om risico’s binnen de perken te houden en tegemoet te komen aan de eisen van de organisatie op het gebied van informatiebeveiliging, bescherming van gegevens en privacy en conformering aan regels en voorschriften – met optimalisering van productiviteit en met ruimte voor groei. De essentie van die strategie is het tot stand brengen van het juiste niveau veilige toegang en het faciliteren van samenwerking in combinatie met maximale controle over en volledige bescherming van bedrijfsgegevens, bedrijfsapplicaties en bedrijfsinfrastructuur. De technologie die deze strategie mogelijk maakt is desktopvirtualisatie.
Desktopvirtualisatie: conceptuele veiligheid Desktopvirtualisatie geeft organisaties betere mogelijkheden om informatie te beveiligen en risico’s te beheersen. De basis van desktopvirtualisatie is de centralisering van IT-resources in één datacenter – een inherent veiliger architectuur die het veel eenvoudiger maakt controle te houden over toegang en gegevens. Centraal beheerde, gevirtualiseerde Windows applicaties en desktops worden on-demand, als service aangeleverd, waarbij de totale gebruikersomgeving er uit ziet, aanvoelt en reageert als die van een normale pc, op welke manier en op wat voor apparatuur er ook mee gewerkt wordt. Gartner brengt het als volgt onder woorden: “Er is sprake van een daadwerkelijke synergie tussen desktopvirtualisatie en een strategie van flexibel werken, op elke gewenste locatie, op elk gewenst moment en met welke vorm van apparatuur dan ook.”3 Een goede desktopvirtualisatie-oplossing biedt belangrijke voordelen in vergelijking met de traditionele beveiligingsmodellen. • Centralisering van resources – Bedrijfsapplicaties onder Windows en de bijbehorende data worden op één centrale plaats – in het datacenter – beheerd en beveiligd en kunnen vanaf elke willekeurige locatie op een veilige manier worden benaderd. Ze bevinden zich dus niet fysiek op de endpoints van alle medewerkers in de organisatie en daarbuiten en dat betekent een radicale reductie van bedrijfsrisico. Het IT-personeel heeft volledig zicht op en controle over de centraal beheerde Windows applicaties en desktops en kan op een eenvoudige manier beleid formuleren en doorvoeren met betrekking tot beschikbaarheid van specifieke resources voor specifieke gebruikers of gebruikersgroepen die al dan niet de bevoegdheid hebben zelf applicaties te installeren en te configureren. Applicaties en desktops kunnen direct worden in- en uitgeschakeld op het moment dat daar behoefte aan is, bijvoorbeeld in het geval van nieuwe of vertrekkende medewerkers, bij overdrachten of functiewisselingen en in de context van continuïteitsscenario’s waarbij bepaalde personen extra verantwoordelijkheden krijgen toegewezen.
www.citrix.com/secure
4
Informatiebeveiliging
White Paper
• Toegangscontrole op basis van beleidsregels – De IT-staf kan gebruikmaken van vooraf vastgelegde beleidsregels om te bepalen wie op welke manier toegang heeft tot welke applicaties en gegevens, waar die zich ook bevinden – in het datacenter of in een persoonlijke dan wel publiek toegankelijke cloud. Resources kunnen zelfs zonder risico worden gedownload naar een lokaal apparaat voor gebruik offline. Isolatie, versleuteling en strikte controle over de bevoegdheid tot opslaan en kopiëren en het gebruik van randapparatuur zorgen er in dat geval voor dat gegevens niet op de verkeerde plaats terechtkomen. Deze vorm van toegangscontrole op basis van vastgelegd beleid maakt een meerlagig model van beveiliging mogelijk waarbij iedere gebruiker het juiste niveau van toegang krijgt toegewezen op basis van profiel, type apparatuur, netwerk en locatie. Een gebruiker die op kantoor toegang heeft tot een bepaalde set resources, kan bijvoorbeeld thuis, op zijn privécomputer, maar een beperkt selectie van die resources gebruiken en heeft op een huurapparaat of wanneer hij verbinding maakt via een openbare hotspot nog minder mogelijkheden. Niet alleen de resources waar een bepaalde gebruiker mee kan werken, kunnen exact worden vastgelegd, ook de acties die gebruikers per applicatie kunnen uitvoeren zijn aan vaste en fijnmazige regels te koppelen. Een van die regels kan bijvoorbeeld zijn dat een gebruiker op een door het bedrijf beheerd apparaat de mogelijkheid heeft af te drukken en gegevens te uploaden of downloaden, maar op minder betrouwbare apparatuur, in een internetcafé of op zijn eigen tablet, gegevens alleen kan bekijken. • Toegang op elke vorm van apparatuur – Omdat virtuele Windows applicaties en desktops hardware-onafhankelijk zijn, kunnen ze door iedereen – vaste medewerkers, tijdelijk personeel en partners – op elke vorm van bedrijfs- of persoonlijke apparatuur worden gebruikt. Het ITpersoneel hoeft dus geen onderscheid te maken tussen bedrijfsapparatuur en externe apparaten. Elk apparaat, iedere gebruiker wordt beoordeeld op door de beheerder gedefinieerde criteria op het moment dat verbinding met het bedrijfsnetwerk wordt gemaakt en krijgt vervolgens de juiste toegangsrechten op basis van vooraf gedefinieerde regels. • Ingebouwde dataconformering – Door de centralisering van resources en een strikt beleid van toegangscontrole wordt het veel eenvoudiger om gegevensverlies te voorkomen en te voldoen aan voorschriften op het gebied van privacy en andere regels. Alle activiteiten kunnen in logboeken worden geregistreerd en er zijn uitgebreide mogelijkheden voor rapportage en auditing. Het IT-personeel kan een compleet beleid definiëren en doorvoeren voor conformering aan alle interne en externe verplichtingen waar de organisatie mee te maken heeft, zonder dat het bedrijf daarmee de flexibiliteit verliest die nodig is om aan nieuwe eisen te voldoen op het moment dat die actueel worden. Citrix levert een complete oplossing voor desktopvirtualisatie die nadrukkelijk is ontworpen om organisaties in staat te stellen risico’s te beheersen zonder dat zakelijke belangen, productiviteit en groeipotentieel in het gedrang komen: centrale controle en gecentraliseerd beheer, flexibele aanleveringsscenario’s, toegangscontrole op basis van beleidsregels, bescherming van endpoints en ondersteuning van conformering. De kern van die oplossing is Citrix XenDesktop, een systeem dat on-demand aanlevering van virtuele Windows applicaties en desktops mogelijk maakt en voorziet in volledige functionaliteit voor aanleverings- en toegangscontrole en virtualisatie en versleuteling aan de client-kant. In 2011 ontving Citrix van de Information Systems Security Association (ISSA), een van de meest gerenommeerde beveiligingsinstanties ter wereld, de Outstanding Organization of the Year Award voor bewezen verdiensten op het gebied van verbetering van informatieveiligheid. Veiligheid is nu al een van de belangrijkste redenen waarom organisaties kiezen voor desktop virtualisatie, in combinaties met strategische prioriteiten op zakelijk gebied, zoals mobiliteit, flexwerken, BYOD, bedrijfscontinuïteit, fusies en overnames, outsourcing van bedrijfsprocessen en IT-efficiëntie. Met desktopvirtualisatie als hart van een beveiligingsbeleid zijn risico’s veel beter te beheersen terwijl tegelijkertijd de flexibiliteit gewaarborgd is die een organisatie nodig heeft om te doen wat gedaan moet worden op de manier waarop het gedaan moet worden.
www.citrix.com/secure
5
Informatiebeveiliging
White Paper
De top 10 redenen voor extra beveiliging van informatie door middel van desktopvirtualisatie 1. Flexibele werkplekken en mobiliteit Mobiliteit is essentieel voor de moderne werker. Steeds meer mensen werken, niet langer aan hun bureau gekluisterd, stelselmatig op locaties van klanten of partners, thuis, onderweg of op andere plaatsen. Maar waar ze ook werken, hun productiviteit is afhankelijk van toegang, zonder beperkingen van tijd of plaats, tot applicaties en informatie en van het vermogen gegevens te delen, samen te werken en deel te nemen aan meetings zonder fysiek aanwezig te hoeven zijn. Flexwerken is een belangrijke strategie geworden in een zakelijk landschap waarin werk steeds vaker op verschillende locaties, op verschillende tijdstippen en met verschillende resources moet worden gedaan om ervoor te zorgen dat het door de juiste mensen, op de juiste plaats en op het juiste moment gebeurt. Dat kan in de praktijk van alles betekenen. Van de introductie van telewerken en desk-sharing programma’s tot het overbrengen van bedrijfsprocessen of zelfs complete afdelingen naar een andere locatie. Het opent nieuwe mogelijkheden om de productiviteit te verhogen, om te besparen op reis- en arbeidskosten en de kosten voor onroerend goed en om de bedrijfscontinuïteit beter te waarborgen. Citrix XenDesktop helpt organisaties de veiligheid van informatie intact te houden in een model van werken waarbij iedereen, vanaf tal van locaties, toegang heeft tot IT-resources. Gecentraliseerd beheer van applicaties en data en een fijnmazig beleid van toegangscontrole zorgen ervoor dat alleen geautoriseerde gebruikers de beschikking krijgen over bedrijfsmiddelen. Veilige toegang voor iedereen, waar dan ook, tot een specifieke set van resources is onmiddellijk te realiseren, net zoals toegangsrechten op elk gewenst moment kunnen worden aangepast of beëindigd. Gevirtualiseerde applicaties en desktops kunnen op elke vorm van apparatuur worden gebruikt, van laptops tot tablets en smartphones, zonder de noodzaak van configuratie van individuele endpoints door de IT-afdeling – een niet te onderschatten voordeel als die endpoints zich bij de gebruiker thuis bevinden, bij een ander bedrijf of aan de andere kant van de wereld. Desktop virtualisatie maakt initiatieven op het gebied van mobiliteit en flexwerken niet alleen eenvoudiger, maar ook minder kostbaar, sneller te implementeren en, niet in de laatste plaats, veiliger. Waardoor het bedrijf maximaal profiteert van alle voordelen van een nieuwe, moderne manier van werken.
2. Geen angst voor consumerization Consumerization, of het daarbij nu gaat om consumentenapparatuur die door het bedrijf wordt aangeschaft of om apparaten die het eigendom zijn van individuele werknemers, heeft ervoor gezorgd – in combinatie met de wereldwijde beschikbaarheid van snelle verbindingen – dat steeds meer mensen productiever kunnen worden omdat ze hun werk kunnen doen op een manier die voor hen het prettigst is. Ze brengen hun eigen, vertrouwde laptop mee, ze werken op een tablet als ze niet op kantoor zijn of ze beantwoorden hun e-mail op de smartphone als ze onderweg zijn. Mensen blij, organisatie blij. Maar tegelijkertijd wordt het beveiligingsbeeld wel een heel stuk minder helder voor de IT-medewerkers. Meer verschillende vormen van apparatuur betekent ook meer, verschillende typen beveiligingssoftware of, in sommige gevallen, het totale ontbreken daarvan omdat veel populaire apparaten het gebruik van anti-virusprogrammatuur, firewalls en andere traditionele beveiligingsmechanismen domweg niet ondersteunen. Er moet dus een methode worden gevonden om op een veilige manier een scheiding aan te brengen tussen bedrijfsinformatie en persoonlijke gegevens op mobiele apparatuur in het consumentensegment.
www.citrix.com/secure
6
Informatiebeveiliging
White Paper
Desktopvirtualisatie verlost de IT-medewerkers van de nachtmerrie van beveiligingsbeheer in de complexiteit van een nagenoeg onbegrensde diversiteit van gebruikersapparatuur. Informatie is niet fysiek aanwezig op al die verschillende endpoints, maar wordt centraal beheerd in het datacenter. Applicaties, data en desktops worden uitsluitend in gevirtualiseerde vorm aangeleverd op de endpoints, geïsoleerd van persoonlijke gegevens of applicaties die zich op dat apparaat bevinden, en kunnen niet uit de centraal beheerde data store worden weggehaald. Zelfs als een virus de persoonlijke gegevens op een gebruikersapparaat infecteert, zorgt het isolement van de virtuele bedrijfsdesktop voor minimalisering van het effect dat zo’n virus uit kan oefenen op bedrijfsresources. Voor verdere reductie van risico kunnen beleidsregels worden opgesteld die voorkomen dat onbeheerde (en mogelijk besmette) apparaten interacteren met gevoelige informatie. En naast virtualisatiesystemen voor Windows applicaties en desktops, levert Citrix met Worx Mobile Apps en mobile device management ook aanvullende oplossingen voor optimale controle over en bescherming van gevirtualiseerde resources die op mobiele apparatuur worden gebruikt.
3. Voorkoming van dataverlies, garantie van privacy en bescherming van intellectueel eigendom Voor optimale productiviteit en speed-to-market moet een organisatie gevoelige gegevens en intellectueel eigendom min of meer vrijelijk beschikbaar maken, zowel in de waardeketen als in de leveringsketen. Partners, leveranciers, contractmedewerkers en andere externe partijen moeten applicaties en data kunnen raadplegen en delen met mensen binnen de organisatie om alles soepel en efficiënt te laten verlopen. Dat wil echter niet zeggen dat iedereen maar moet kunnen doen en laten wat hij wil achter de firewall. Het blijft de opgave van het IT-personeel om gegevensverlies te voorkomen, intellectueel eigendom te beschermen, privacy en vertrouwelijkheid te waarborgen en zorg te dragen voor naleving van contractuele verplichten en conformering aan geldende voorschriften. Door centralisering van resources in het datacenter, maakt desktopvirtualisatie beheer en beveiliging van applicaties en de bijbehorende data vele malen eenvoudiger en effectiever. Alles bevindt zich op één centrale locatie, in plaats van op duizenden verschillende locaties binnen de organisatie en daarbuiten. De IT-staf hoeft zich gen zorgen te maken over gegevens die worden opgeslagen op verwijderbare media als USB-sticks, per e-mail worden rondgestuurd, afgedrukt of anderszins worden blootgesteld aan diefstal of verlies. Vaste regels, centraal opgesteld en onderhouden, bepalen wie gegevens kan kopiëren, verplaatsen of afdrukken. Voor scenario’s die uitgaan van offline gebruik of lokale installatie van bedrijfsresources, kunnen gegevens versleuteld op het endpoint worden ondergebracht in een volledig geïsoleerde bestandsstructuur, die in geval van nood op afstand kan worden verwijderd. De veiligheid van die gegevens blijft dus onder alle omstandigheden gewaarborgd, ook als het apparaat in kwestie kwijtraakt of gestolen wordt. Voor laptops wordt die functionaliteit verzorgd door XenClient, terwijl XenMobile voor vergelijkbare isolatiemogelijkheden zorgt bij mobiele apparatuur.
4. Wereldwijde conformering Conformering aan nationale en internationale wetgeving, industrievoorschriften en intern beleid is een lastige opgave, al is het maar omdat alles constant aan verandering onderhevig is. Waar weinig controle bestaat over de verspreiding van gevoelige gegevens, waar sessiespecifieke locatiedata ontbreken, blijft het worstelen met grensoverschrijdende conformering. Te veel regels en het gebruik van informatie is aan te veel beperkingen gebonden. Te weinig regels en er is onvoldoende garantie dat voldaan wordt aan interne beveiligingseisen en dat risico’s binnen de perken blijven.
www.citrix.com/secure
7
Informatiebeveiliging
White Paper
Dankzij de gecentraliseerde, fijnmazige controle over bedrijfsbeleid die met desktopvirtualisatie tot stand komt, is beheer van conformering en gegevensprivacy niet langer een kwestie van reageren op incidenten en kan een beveiligingsstrategie worden ontwikkeld die tegemoetkomt aan alle behoeften op zakelijk gebied en waar het gaat om risicobeheersing. Eén vaste set beleidsregels bepaalt of gebruikers applicaties toe kunnen voegen, gegevens kunnen kopiëren. gebruik kunnen maken van randapparatuur of andere acties uit kunnen voeren, afhankelijk van de locatie waarop ze zich bevinden en andere relevante factoren. Daarnaast kunnen sector specifieke regels worden toegepast voor bedrijfsonderdelen en typen medewerkers waarvoor bepaalde industrievoorschriften gelden, zoals de EU-bepalingen ten aanzien van privacy, de Health Insurance Portability and Accountability Act (HIPAA) in de gezondheidszorg, PCI in de creditcardsector en de Sarbanes-Oxley Act. De aan desktopvirtualisatie inherente centralisering zorgt voor forse reductie van de moeite die het normaal gesproken kost om conformering te waarborgen en privacy van gegevens te garanderen. Zo is er bijvoorbeeld een bepaling van de EU die beperkingen oplegt aan het overbrengen van gegevens van Europese burgers naar landen buiten de Europese Unie. Met desktopvirtualisatie is daar ook geen enkele noodzaak voor, want gegevens kunnen letterlijk overal ter wereld worden opgevraagd zonder dat ze het centrale datacenter verlaten, terwijl toegang tot vertrouwelijke informatie aan exacte regels kan worden gebonden. Aantonen en documenteren van conformering wordt met Citrix ook een stuk eenvoudiger, dankzij de complete functionaliteit voor activity logging, rapportage en auditing. En in het geval van nieuwe voorschriften en standaarden kunnen eenvoudig aangepaste regels worden opgesteld die er, binnen hetzelfde, coherente kader, voor zorgen dat de organisatie aan alle verplichtingen blijft voldoen.
5. Meer mogelijkheden voor contractors Bedrijven maken steeds vaker gebruik van contractors, uitzendkrachten, adviseurs, outsourcing partners, offshoring resources en andere vormen van tijdelijk personeel. Dat is in veel gevallen goed voor de flexibiliteit en efficiëntie, maar het betekent ook een extra uitdaging voor de ITstaf, die de resources moet verzorgen die deze tijdelijke medewerkers nodig hebben, vaak van de ene dag op de andere, en diezelfde resources ook weer uit roulatie moet nemen als de contractperiode is afgelopen. Met wat voor apparatuur die tijdelijke mensen moeten werken, kan ook een probleem zijn. De goedkoopste oplossing is om ze hun eigen apparatuur te laten gebruiken, maar in dat geval is het niet zeker of die apparaten alle applicaties aankunnen die nodig zijn voor het werk dat moet worden gedaan. Desktopvirtualisatie biedt ook daar uitkomst. Windows applicaties en desktops kunnen onmiddellijk, vanuit een centrale beheerlocatie ter beschikking worden gesteld, ook als het gaat om tijdelijk personeel dat zich aan de andere kant van de wereld bevindt, en diezelfde applicaties en desktops kunnen ook even snel en eenvoudig weer worden gedeactiveerd. Ze kunnen bovendien worden aangeleverd op elk type apparaat, of dat nu eigendom is van de contractmedewerker zelf, van een partner, een andere organisatie of het eigen bedrijf. Zelfs huurapparaten zijn geen probleem. Op het moment dat het contract afloopt, wordt de beschikbaarheid van de betreffende resources op dat apparaat gewoon uitgeschakeld. Er blijven ook geen applicaties of gegevens achter op het apparaat, want die hebben er nooit op gestaan.
www.citrix.com/secure
8
Informatiebeveiliging
White Paper
6. Vermeerderde waarde van bestaande investeringen in beveiliging Elke poging tot beheer van de beveiliging op honderden, zo niet duizenden individuele endpoints kan niet anders dan extreem problematisch worden en, om het zacht uit te drukken, tijdsintensief. Vertragingen zijn vrijwel onvermijdelijk, foutjes ook. Studies tonen zelfs aan dat bij een overgrote meerderheid van geslaagde cyberaanvallen door hackers dat succes te danken is aan overbekende zwakke plekken waarvoor al lang patches of oplossingen in de vorm van configuratieaanpassingen beschikbaar waren. Door beheer en onderhoud te centraliseren, maakt desktopvirtualisatie die beveiligingsopgave vele malen eenvoudiger en minder tijdrovend. Patches, updates voor anti-virusprogrammatuur en hotfixes worden eenmalig geïnstalleerd op een master image, waarna ze onmiddellijk van kracht zijn voor de hele organisatie. Voor mobiele apparatuur verzorgt XenMobile een vergelijkbare vorm van centralisering en controle. Bevrijd van de tijdrovende en kostenverslindende opgave van het afzonderlijk actualiseren en onderhouden van besturingssystemen, applicaties en beveiliging op talloze endpoints, kan het IT-personeel zich concentreren op de werkelijk belangrijke zaken, zoals het beschermen van gegevens in het datacenter en snel reageren op nieuwe beveiligingsvereisten. Doordat Citrix bovendien samenwerkt met industrieleidende beveiligingsspecialisten, profiteert u niet alleen van de extra veiligheid die inherent is aan het concept van desktopvirtualisatie, maar kunt u ook rekenen op een complete, meerlagige beveiligingsoplossing. Onder de naam Citrix Ready leveren wij totaaloplossingen die extra flexibiliteit en keuzevrijheid bieden bij de beveiliging van vertrouwelijke informatie.
7. Behoud van informatie en operationaliteit in noodsituaties Onderbrekingen of verstoringen van het normale functioneren van een organisatie, gepland of niet, door overmacht veroorzaakt of door menselijk ingrijpen, kunnen periodes van verhoogde kwetsbaarheid zijn. Normale procedures moeten worden aangepast, applicaties en data worden op een andere manier benaderd en de beveiliging van perimeter en endpoints kan verzwakt zijn. In het geval van een noodsituatie moet niet alleen de veiligheid van data en applicaties gewaarborgd blijven, er moet ook verder gewerkt kunnen worden op een manier die de normale gang van zaken zo dicht mogelijk benadert. Al het andere betekent het risico van reputatieschade, financieel verlies, verstoorde relaties met partners en klanten, verlies van productiviteit en ander consequenties. Desktopvirtualisatie maakt een benadering van bedrijfscontinuïteit mogelijk waarin niet alleen het datacenter is opgenomen, maar ook de mensen die daarvan afhankelijk zijn. De centralisering van resources ondersteunt een strategie van dubbele datacenters, waarbij gebruikers automatisch, snel en transparant worden overgezet van het ene datacenter naar het andere en op die manier normaal door kunnen werken. Het IT-personeel, dat niet genoodzaakt is tot beheer van lokale applicaties op een enorme verzameling gebruikersapparatuur, kan zich intussen concentreren op bescherming van in het datacenter gecentraliseerde applicaties en data en veilige continuering van toegang tot die resources via XenDesktop en XenMobile. Endpoints waarvan de veiligheid niet langer gegarandeerd kan worden – bijvoorbeeld laptops die bij een evacuatie in het gebouw zijn achtergebleven – kunnen eenvoudig geblokkeerd worden en indien nodig kunnen op die apparaten aanwezige gegevens op afstand worden verwijderd. Datzelfde geldt ook voor mobiele apparaten, die met XenMobile selectief kunnen worden ‘schoongeveegd’. De virtuele applicaties en desktops kunnen ondertussen, via elk beschikbaar apparaat en op elke beschikbare locatie, gewoon worden gebruikt. Het is, met andere woorden, niet nodig om data via USB-sticks of e-mail over te brengen en er is geen sprake van het risico dat data achterblijven op huurapparaten.
www.citrix.com/secure
9
Informatiebeveiliging
White Paper
8. Minimalisering van de effecten van beveiligingsincidenten Geen enkele strategie biedt de garantie van perfecte informatiebeveiliging voor onbeperkte tijd. Risicobeheersing betekent niet dat er nooit meer iets kan gebeuren. Het betekent maximale beperking van de schade die optreedt als er wel wat gebeurt. Een van de grote voordelen van gecentraliseerd beheer is dat er snel actie kan worden ondernomen in het geval van een beveiligingsincident of configuratieprobleem. De eerste verdedigingslinie wordt gevormd door het met virtualisatie gepaard gaande vermogen gevoelige gegevens en kritieke applicaties onmiddellijk te isoleren en over te brengen van normale gebruikersaccounts naar accounts met speciale privileges. Problemen bij één component van het systeem krijgen op die manier niet de kans zich verder te verspreiden. En als een machine daadwerkelijk geïnfecteerd raakt, treedt de tweede verdedigingslinie in werking – een complete reset van de image op het moment dat de computer weer aangezet wordt. Een virus in een PDF-bestand bijvoorbeeld, heeft alleen effect op de functionaliteit van de gevirtualiseerde PDF-reader en kan nooit doordringen tot het Windows register of bestandssysteem, zoals dat in een nietgevirtualiseerde systeemomgeving wel kan gebeuren. Ook browsers kunnen op een vergelijkbare manier worden beschermd en geïsoleerd, zodat problemen zich niet kunnen verspreiden. Als de integriteit van een gebruiker wordt aangetast, zoals bij zero-day aanvallen gebeurt, kan de betreffende gebruikersomgeving direct offline worden gezet en vervolgens, met behulp van een ‘gouden’ image worden hersteld. Doordat alle beveiligingsvoorzieningen gedwongen worden opgenomen in alle virtuele systemen, kan een aanval zich nooit verspreiden naar andere onderdelen van de systeemomgeving, terwijl het toegangsbeleid in diezelfde, volledige systeemomgeving onmiddellijk kan worden aangepast als daar aanleiding voor is.
9. Ondersteuning van bedrijfsuitbreiding Als een organisatie een nieuw branchekantoor opent, een bestaande vestiging uitbreidt, samengaat met of overgaat tot overname van een ander bedrijf, kan een overgecompliceerd, gedistribueerd model van beveiliging tot enorme vertraging leiden bij het realiseren van daadwerkelijk rendement. Bedrijfsuitbreiding, in welke vorm dan ook, betekent immers dat grote aantallen nieuwe endpoints moeten worden opgenomen in de beveiligingsomgeving. Desktopvirtualisatie maakt het mogelijk een bestaand beveiligingsmodel snel, eenvoudig en zonder hoge kosten uit te breiden naar nieuwe locaties, nieuwe mensen en nieuwe gebruikers groepen. Het vereenvoudigt beheer van externe locaties en branchekantoren op diverse manieren – lokale lockdown, snelle setup en hoge beschikbaarheid bijvoorbeeld. De virtuele desktops kunnen direct ter beschikking worden gesteld van nieuwe gebruikers, zonder de noodzaak van netwerkintegratie. Door nieuwe gebruikers simpelweg op te nemen in bestaande groepen op basis van beveiligingsprofiel en werkbehoeften, zijn de juiste beleidsregels vanaf dag één op de juiste plaats van kracht. Snel groeiende organisaties zijn bovendien gebaat bij een flexibele werkstijl en afhankelijk van operationele schaalbaarheid. Ze zullen dus vaak tijdelijke medewerkers inhuren en kiezen voor oplossingen als outsourcing en telewerken om te voorzien in capaciteit waar en op het moment dat er behoefte aan is. In een gevirtualiseerde omgeving kunnen applicaties en desktops op afroep beschikbaar worden gemaakt voor elk type werker, op elke locatie, op elke vorm van apparatuur. Zonder belemmeringen als gevolg van een star en inefficiënt beveiligingsmodel, maar met volledig behoud van controle over hoe en waar gebruik wordt gemaakt van bedrijfsgegevens.
www.citrix.com/secure
10
Informatiebeveiliging
White Paper
10. Beveiliging die de gebruiker niet in de weg staat In de traditionele situatie gaat beveiliging voornamelijk ten koste van de gebruikers. Die kunnen maar op een beperkt aantal plaatsen werken, met minimale resources en alleen op standaard bedrijfsapparatuur. Mobiliteit bestaat niet en iedereen moet zich voortdurend aanmelden op allerlei systemen met allerlei wachtwoorden die ook nog om de zoveel tijd veranderd moeten worden. Onder die omstandigheden moet je als medewerker wel heel veel hart voor de zaak hebben om geen hekel aan beveiliging te krijgen en het is dan ook geen wonder dat er voortdurend gezondigd wordt tegen de regels. Mensen zetten gegevens op verboden USB-sticks om thuis te kunnen werken, ze installeren ongeautoriseerde software, negeren netwerkvoorschriften en nemen hun toevlucht tot eigen apparatuur en applicaties waar ze wel ongehinderd mee kunnen werken. Desktopvirtualisatie creëert een geheel andere werkelijkheid. De gebruiker zit niet meer opgescheept met een eindeloze reeks regeltjes en aanmeldingsschermen. Hij logt één keer in op zijn virtuele desktop en heeft onbeperkt beschikking over virtuele applicaties die on-demand worden aangeleverd op de plaats waar het werk gedaan moet worden en op de apparatuur waar de gebruiker bij voorkeur mee werkt. Mensen kunnen, met andere woorden, in vrijheid hun werk doen terwijl de IT-specialisten zich in het datacenter bezig houden met beveiliging. Die vrijheid om te kunnen werken waar dat het best uitkomt, op apparatuur waar dat het best op gaat, desnoods op een eigen laptop of tablet, zorgt ervoor dat mensen productiever worden en meer plezier hebben in hun werk. Terwijl tegelijkertijd het gevaar van beveiligingsproblemen tot een minimum wordt teruggebracht. De IT-afdeling stelt de regels op en die regels worden automatisch gehandhaafd, bij alle gebruikers en bij elke toegangsmethode.
Tot slot Geen enkele organisatie kan zich veroorloven nog verder achterop te raken in het op orde brengen van informatiebeveiligingsprocessen en -procedures. Desktopvirtualisatie is in die context een intrinsiek betrouwbare oplossing die beveiliging eenvoudiger maakt, intellectueel eigendom beschermt en de garantie biedt van gegevensprivacy en conformering aan geldende voorschriften. Een oplossing die risico drastisch reduceert, productiviteit bevordert en groei stimuleert. Desktopvirtualisatie brengt voorheen over honderden, zo niet duizenden afzonderlijke endpoint gedistribueerde Windows applicaties, data en desktops gecentraliseerd nu samen in de veilige omgeving van het datacenter, vanwaar ze on-demand, transparant en volledig gecontroleerd worden aangeleverd bij de gebruiker. Dat betekent veilige toegang tot bedrijfsresources, veilige mogelijkheden tot samenwerking voor medewerkers, tijdelijk personeel en partners, die stuk voor stuk de juiste bevoegdheden krijgen toegewezen op basis van gebruikersprofiel, apparatuur, netwerk of locatie. Gecentraliseerd databeheer en een fijnmazige vorm van toegangscontrole helpen gegevensverlies te voorkomen, de privacy van vertrouwelijke informatie te handhaven en bedrijfsresources veilig te houden – ook in het geval van informatie die op lokale apparatuur of in de cloud is opgeslagen. Volledige activiteitsmonitoring, logging en auditing ondersteunen een strikt beleid van conformering aan alle geldende voorschriften, terwijl de gebruiker de vrijheid heeft om te werken zoals hij dat wil, op vrijwel elke laptop, tablet of smartphone, zonder toegevoegde complexiteit in beheer en zonder extra beveiligingsrisico’s. Deze en andere overtuigende voordelen hebben er inmiddels voor gezorgd dat desktopvirtualisatie bij de meeste IT-organisaties hoog op de agenda is komen te staan. Het is een oplossing die niet alleen fungeert als aanvullende beveiligingslaag, maar bovendien de weg opent naar de nieuwe manier van werken die veel bedrijven voor ogen staat. Mobiliteit, flexwerken en BYOD worden met desktopvirtualisatie realistische alternatieven, terwijl risico’s veel effectiever binnen de perken kunnen worden gehouden. Applicaties en de bijbehorende data zijn niet langer verspreid aanwezig in de hele organisatie, maar blijven op één centrale plaats, in het datacenter, waar ze thuis horen, waar ze onder controle zijn en waar ze van grotere zakelijke waarde worden dan ooit tevoren.
www.citrix.com/secure
11
Informatiebeveiliging
12
White Paper
Meer over de oplossingen van Citrix voor effectieve informatiebeveiliging vindt u op www.citrix.com/secure.
Aanvullende informatie • CSO Magazine: Empowering information security with desktop virtualization • Secure by design: 5 customers use desktop virtualization for security • An insider’s look at security strategy based on desktop virtualization • IT security solutions from Citrix Ready partners 1. CSO 2013 Global State of Information Security Survey. 2. SANS Survey on Mobility/BYOD Security Policies and Practices, oktober 2012. 3. Gartner Peer Practices: Security Impacts and Benefits for Virtual Desktop Projects, september 2012.
Wereldwijd Hoofdkantoor Fort Lauderdale, FL, USA Europees Hoofdkantoor Schaffhausen, Switzerland
Benelux Kantoren Vianen Nederland Diegem België
Pacific Hoofdkantoor Hong Kong, China
Citrix Online divisie Santa Barbara, CA, USA
About Citrix Citrix (NASDAQ:CTXS) is the cloud company that enables mobile workstyles – empowering people to work and collaborate from anywhere, securely accessing apps and data on any of the latest devices, as easily as they would in their own office. Citrix solutions help IT and service providers build clouds, leveraging virtualisation and networking technologies to deliver high-performance, elastic and cost-effective cloud services. With market-leading cloud solutions for mobility, desktop virtualisation, networking, cloud platforms, collaboration and data sharing, Citrix helps organisations of all sizes achieve the speed and agility necessary to succeed in a mobile and dynamic world. Citrix products are in use at more than 260,000 organisations and by over 100 million users globally. Annual revenue in 2012 was $2.59 billion. Learn more at www.citrix.com ©2013 Citrix Systems, Inc. All rights reserved. Citrix®, XenDesktop®, Worx Mobile Apps™, XenClient®, XenMobile™ and Citrix Ready® are trademarks or registered trademarks of Citrix Systems, Inc. and/or one or more of its subsidiaries, and may be registered in the United States Patent and Trademark Office and in other countries. All other trademarks and registered trademarks are property of their respective owners. 0513/PDF
www.citrix.com/secure
