top of page

amidas #Blog

Citrix Workspace 融合 Zero Trust 理念



在所有數位轉型當中,合規性及安全性是企業優先考慮的因素,在 Hybrid 及 Distributed 的環境下,企業以 Cloud 作為現代化的主要策略使用安全,合規的及正確的工具來管理,任何位置的資源變得重要,要保證每個環節的安全及整體流暢度,說著都感到頭痛。在這環境下,一般客戶應該怎樣解決這方面的問題。我們很高興能邀請 Citrix Lead Sales Engineer Chris 來跟我們講解。




Amidas:大家都知道 Citrix 一路以來都是 VDI 界的 Leader,這幾年來, Citrix 都花了不少時間在 Security 方面,希望幫助客戶建構一個較全面及安全的Digital Workplace 及規劃未來的工作模式。現處於疫情底下,Citrix 對於企業的Hybrid-work 及 Digital Transformation 的安全層面有何看法?


Citrix:經過了幾年的疫情,不同企業都有不同方法處理 Remote Work,由初期只是救火,需要方法連接公司繼續工作,到現在過了三年,變成了新常態,大家在開心使用時便發現背後有很多 Security 挑戰,包括任何同事或伙伴在任何地方都可以連接公司的資源運行 Applications 時。究竟怎樣管理所有用戶?他們可能在不同地方,在家中、Café,可能在用自己的電腦或公司的電腦,沒有辦法統一管理他們。若然放鬆點便會出現 Security 問題,若然收緊些,用戶體驗就會變差,這就是第一個大問題出現。另一個問題,疫情加快了進入 Digital Transformation 時代,有很多東西上 Cloud,可能在用 Public Cloud 或 SaaS Service。剛才提及用戶不在公司難管理,現在提到數據及 Applications 都不是在自己網絡下變得更難管理,有很多 Security 風險衍生出來,所謂的 Attack Surface 的接觸面就越來越多,我們需要更多 Security 的策略來保障用戶、配備及數據,這就是 Citrix 對於現在 Security 的 Vision。


Amidas:坊間都聽到有不少供應商提到 Zero Trust Network Access,Citrix 同樣都可以提供,同時都有不少 Access Security,Citrix 在這兩方面又是怎樣?


Citrix:Zero Trust Network Access 即 ZTNA,在業界中是一門熱話,常常提及 ZTNA

有 ZTNA 1.0, 又有 ZTNA 2.0。Citrix 最重要的一點是就如我們的 Virtual Apps and Desktops

最講求是 User Experience,我們希望能夠提供一個 Unified Platform讓用戶可以放心又安全地提取及使用 Applications提取數據及滿足 User Experience。舉例,我們不單是提供 Virtual Apps and Desktops,Citrix ZTNA 方案可以令企業一向使用傳統 VPN 模式做 Remote Access

使用 Intranet WebApp, 或 SaaS App,怎樣可以安全地使用 SaaS App,Citrix ZTNA 方案提供一個 Unified Platform可以使用公司的 App, 亦可以使用 SaaS App,這是 Citrix ZTNA 方案能做到的第一點。另一件事就是作為客戶 VPN Replacement 方案,Gartner 有進行硏究說明未來兩年,有超過六成的用戶都正用 VPN作 Remote Access 的工具都會遷移到 Zero Trust Solution。在我們的角度來說,Zero Trust Solution可以做到 VPN 所有的功能包括 Authentication, MFA, 控制用戶運行那些 App全部都能提供到,而我們比較其他 ZTNA 會做多點什麼,就是在 Security 環節,例如在用戶登入後啟動了 Intranet WebApp, 或 SaaS App,如 HRM Application, CRM Application,我們可以控制用戶用這些 App 的時候,可否 Print, Save, Download, Upload,會否有 Watermark 保證不會有 Screen capture以防洩漏了任何數據,因為員工都不是在公司內工作,當他們在用一個很重要的 CRM Application就很容易提取很多公司的資料傳送給其他人。這就是 ZTNA 方案內比較特出的地方,就是保障用戶怎樣用 Application,加上,傳統 VPN Remote Access我們都擔心用很多 BYOD,即用自己的機,這真的很難避免,尤其提倡 Hybrid-work,甚至有很多是 Contractors 及 Partners,很難統一或管理他們一定要用某型號電腦或某款 OS, 或安裝某些軟件程式,要開放給他們用就要讓他們用自己的配備,用自己的配備時怎能保證是安全,有可能已中了 Malware, Keylogger, Screenscraper在盜取該配備的資料,ZTNA 方案就包括了 App Protection,當打開 Application 畫面時可以防止 Keylogger, 就算能 Screen Capture都只會是垃圾或灰色畫面。疫情前,較少人用虛疑會議如 Teams, Zoom 等,在虛疑會議中,都常會 Screen Sharing,如果該同事在處理敏感資料,但又同時做 Screen Sharing,不論是否不小心都會有資料外洩的風險,ZTNA 方案都可以保障這方面就算真的在分享畫面,該敏感資料部分都會是灰色一片,那就保證不會有資料外洩。整體來說,方案名叫 Secure Private Access,簡稱 SPA,透過 SPA, 用戶就可以在 Zero Trust 平台登入,登入時就可以檢測用戶的配備是否安全。在那個位置登入就著不同的條件需要 Single Factor Authorization還是 Multi Factor Authorization。例如,正用公司電腦在公司內登入就只需要登入名稱及密碼,但若果是在家中登入,那就需要登入名稱,密碼及 MFA,登入過後,在安全環境下會有十個 Applications,但若果在安全性不確定的情況下,就只能見到七個 Applications,不允許使用重要那些,甚至在運行 Applications 時,我們可以控制Save, Print, 及 Watermark 功能。若然真的是在處理高度敏感工作時,就需要 Remote Browser, Isolated Browser才能運行該 Application,所有功能都配套在整個 SPA 方案內,不需要分開不同工具或不同品牌的功能,我們就是單一及統一管理運作時亦非常簡單。最後一點, ZTNA 重點是 Always Verified: Never Trust, Always Verified,所以我們有 Analytic Solution由用戶預備登入到運作任何工作時都會被監控及監測,隨時出現異常行為時都可以馬上堵截及降低權限,這就是 Citrix SPA Secure Private Access,與一眾坊間的 ZTNA 的分別,我們的方案就是以上提及的。


Amidas:那即是說 Citrix 可以取代某些第三方工具做到相關的功能達至 User Control。剛才提及,除了 Access Security 外,企業都要留意自身 Application 的安全,這方面 Citrix 有何心得?


Citrix:Application Security 又是另一範疇。道理簡單,Access Security 還是 Network Security,就是在保障怎樣運行或進入 Network,Application Security 能幻想成在冬天時﹐我們會多穿兩件衣服等於多兩個 Firewall 在前面,但若然身體底子差,不健康,就容易生病。Application Security 就是保障自己身體健康,美國 NIST 早兩年做過一項調查﹐網絡上發現超過9成的漏洞都是出自 Application 本身的問題,不是網絡問題。很多客戶在處理安全問題時,只想到 Firewall,IPS, Endpoint Security Solution,但忽略了 Application Security 。倒過來說,當想到 Application 時就只會想到界面是否美觀,是否易用及 User-friendly。尤其在疫情下,使用多了 WebApp及 Mobile App, 如叫外賣、買衣服,上網訂票都是透過 App,所以大家都著重 App 的用戶體驗﹐反而忽略了 App 在運行時或在 Coding 上有沒有漏洞。對企業來說,App 是最 Valuable Asset,但同時亦是最 Risky。因為無人理會 App Security,很多時只會倚靠 Network Security,可以保障及包容它們,正如剛才提到以往管理都是困難,現在還要放上 Cloud放在 Cloud 那一處,Cloud 的 Security 是怎樣放到別人地方就更難控制,所以怎樣保障自己身體健康就是最重要。即是我們一直在說的 Application Security,Citrix 有那些 Application Security 可以幫忙,全都是以 NetScaler ADC ,Application Delivery Controller,NetScaler 平台可以提出各門各派、各式各樣,Application Security 的功能來保護 WebApp,包括 Web Application Firewall最傳統,有廿年歷史,保護 WebApp 會否出現 SQL Injection 等問題。Bot Management, 這是很大的話題。網絡上超過四成的流量都不是正常人,全都是機械人,Bot Traffic。大家最認識可能是抽波鞋,買演唱會飛,很多人會用機械人編寫程式搶購。這些流量對公司長遠來說並不是好事,包括保留貨物在購物車但未付款﹐即是未有生意,真正想購買的人連接不到又或者不斷用多了 ,Query Website Information 作價格戰,如酒店網站,不斷搜羅不同酒店的價格再推出不同套餐,這些都是在 Bot 層面的管理最基本有 VPN, Logon Page或 App 的 Logon Portal,有些人會編寫 Bot 作 Credential Stuffing不斷嘗試登入,從 Dark Web 買了一堆 Username, Password就不斷嘗試,看那一個可以登入,這些都會影響到 App Performance及背後的 Infrastructure,小問題可以加兩台 Server 加快速度,但大問題是洩漏了很多個人資料,商業及個人的敏感資料都是重要。萬一見報時,公司的聲譽就會受影響,最壞情況就是有法律責任,懲罰及以十億計的賠款,對於企業來說是很大的問題。NetScaler 的 WAF 及 Bot Management,希望能保障 Application 的自身安全,令它們在疫情後重新出發Application Security 除了 Bot 及 WAF,還有 API Security,很多不同的 App 都有編寫 API或透過 API 互相 Calling,例如寫了一個 Website ,用手機可能會用手機 App。手機 App 都是透過 API Call 來跟 WebApp 溝通,API 放出來都需要保護,NetScaler 就充當此角色。NetScaler Security 是很全面的,大家接觸的可能會是 SSL,我們會執行 Tierless ProcessingSSL Processing,確定客戶的 Website, WebApp 擁有 A+ 級別的 SSL,就不會出現用了 SSL 卻在 Auditing 拿低分保證有好的 Security。最後一點是單憑有工具進行保護,但不知道發生什麼事都是有問題的,最簡單就是沒有報告能交給老細,所以我們的 Analytics, 透過 ADM Service提供Application Security Analytics 令客戶清楚知道 NetScaler 幫忙看到什麼,攔截了什麼再提交報告。有了報告,透過 AI/ML 還可以偵測異常行為再執行適當的政策,正是一個 Closed Loop。見到問題就主動提防,這就是整個 NetScaler 層面處理的 Application Security。NetScaler 都有不同的 Form Factor有硬件、軟件、有 Virtual Platform, Cloud,有在地的、有 Tierless, 有 Container-based,以上所有提及的功能在任何 Form Factor 都有提供,所以客戶正進行 Cloud Journey 或Application Modernization,可能在不同的階段需要不同的 Application Firewall 或不同 Form Factor Load Balancer 等,我們的 NetScaler 都能幫助大家。而當中的管理及政策都能夠統一及同步運作,希望能夠提供簡便易用的平台給大家,不會因為改變考慮點就要輕易更改,Citrix 由此至終都想幫助客戶 Secure Apps。Ensure User Experience, 不論是 End-User還是 IT Support 的同事,這就是對於 Application Security 的看法。


在後疫情時代,遠端工作及混合辦公模式變成新標準,所有行業都值得使用 Citrix Workspace

去調整新的工作模式,融合剛才提及的 Zero Trust 理念。Citrix VDI 亦可以將未來數位化辦公

建立穩建基石,無論是大場面小細節,傳統行業還是新興行業,我們相信 Citrix 都能夠幫忙守住每一個關卡,無論是剛才提及的 Application Security還是 User External Security

Citrix 都可以一一幫忙。如果想輕鬆處理任何 Security 問題,可以透過以下方法聯絡我們,了解更多。


如有任何疑問,歡迎透過以下方式聯絡我們:

電話:2168 0388

Whatsapp: 98283401

電郵:sales@amidas.com.hk

bottom of page