Documento técnico

citrix.com

Las mejores prácticas para la seguridad empresarial Ofrezca productividad segura para la fuerza de trabajo moderna

Descubra cómo Citrix ayuda a las organizaciones a administrar el riesgo, al tiempo que las empodera con movilidad empresarial mediante el control del acceso a las aplicaciones y los datos en cualquier ubicación, red y dispositivo.

Documento técnico

citrix.com 2

Las mejores prácticas para la seguridad empresarial

Los líderes de TI y seguridad enfrentan el desafío de disminuir el riesgo

empresarial a niveles aceptables al tiempo que garantizan la facilidad de

uso y la productividad. Las personas deben poder trabajar del modo que

mejor se adapte a sus propósitos, es decir cualquier ubicación, dispositivo

o red, sin sentirse frustrados por una experiencia de usuario

excesivamente restrictiva o compleja. Además, es fundamental proteger

los datos y las aplicaciones empresariales contra las vulnerabilidades que

plantean las amenazas de seguridad, evitar el robo y la pérdida de datos y

garantizar el cumplimiento absoluto con estándares y reglamentaciones.

Citrix apoya las mejores prácticas para la administración de riesgos a través de los cinco pilares

fundamentales de la seguridad empresarial: la identidad y el acceso, la seguridad de la red, las aplicaciones

y los datos, y la supervisión y respuesta. Habilitamos a los clientes para implementar y administrar estas

medidas críticas con una solución estrechamente integrada y creada sobre una base de confidencialidad,

integridad y disponibilidad. Un modelo maduro de entrega de aplicaciones centraliza las aplicaciones y los

datos en el centro de datos y provee control de acceso contextual en cualquier ubicación, red y dispositivo.

Así, los empleados, contratistas y socios disponen de la flexibilidad para elegir cómo trabajar, ya sea de

forma remota, móvil o en la oficina. La visibilidad de extremo a extremo de las conexiones, el tráfico y la

actividad de los usuarios permite a TI abordar las prioridades de privacidad, cumplimiento y administración

de riesgos sin poner en peligro la productividad de la fuerza de trabajo. La integración con proveedores de

seguridad de terceros ofrece niveles avanzados de administración de sistemas y de protección de redes,

dispositivos terminales e identidades.

Este documento técnico analiza las mejores prácticas para abordar los principales desafíos de seguridad y

productividad de los usuarios, y el modo en que las soluciones de Citrix estrechamente integradas

permiten a los clientes aprovechar todos los beneficios de la movilidad empresarial, al tiempo que

administran el riesgo.

Administración de riesgos

Confidencialidad Integridad Disponibilidad

Identidad y acceso

Seguridad de la red

Seguridad de las aplicaciones

Seguridad de los datos

Supervisión y respuesta

Productividad segura en la empresa modernaEl desafío en materia de seguridad que enfrentan las empresas en la actualidad está creciendo

rápidamente en dos dimensiones, exacerbado al mismo tiempo por los crecientes niveles de riesgo y la

Documento técnico

citrix.com 3

Las mejores prácticas para la seguridad empresarial

continua evolución y diversificación de las aplicaciones. Al mismo tiempo, la productividad móvil (una

capacidad fundamental para toda empresa) depende de una experiencia conveniente, uniforme y confiable

para los usuarios en cualquier lugar y de cualquier forma que trabajen. Esto debe extenderse a cualquier tipo

de aplicación que utilicen, en cualquier red y en cualquier dispositivo. Incluso a medida que los requisitos de

la fuerza de trabajo móvil se vuelven notablemente más complejos, TI debe continuar esforzándose por

lograr la simplicidad.

En Citrix, creemos que una buena experiencia de usuario va de la mano con la seguridad. Nuestras soluciones

están creadas sobre la base de las mejores prácticas de seguridad diseñadas para proteger lo que más

importa: los datos, las aplicaciones y el uso, y ofrecen posibilidades, libertad y una experiencia sin problemas

a los usuarios en todos los escenarios. Estas medidas incluyen:

Identidad y acceso

• Autenticación de dos factores para todos los usuarios

• Autorización de privilegios mínimos

• Control de acceso basado en el contexto de los usuarios

Seguridad de la red

• Acceso remoto seguro para usuarios móviles y de terceros

• Segmentación de red y host para reducir las superficies de ataque

• Un abordaje multicapa para garantizar la disponibilidad

Seguridad de las aplicaciones

• Centralización y entrega de aplicaciones cifradas

• Contenerización para las aplicaciones móviles

• Inspección para proteger las aplicaciones web

Seguridad de los datos

• Centralización y entrega de datos alojados

• Uso compartido seguro de archivos para reducir la pérdida de datos

• Contenerización para los datos en tránsito e inactivos

Supervisión y respuesta

• Visibilidad de extremo a extremo del tráfico de las aplicaciones

• Auditoría y administración del acceso a recursos

• Respaldo para el cumplimiento con estándares y reglamentaciones

Estas mejores prácticas, que se analizarán exhaustivamente en las siguientes secciones, definen nuestro

abordaje de la seguridad en todos nuestros productos. Cada día, los clientes aprovechan los beneficios de

soluciones como:

• Citrix NetScaler para contextualizar y controlar la conectividad con visibilidad de extremo a extremo de los

sistemas y usuarios.

• Citrix XenApp y XenDesktop para administrar las aplicaciones y los escritorios en forma centralizada

dentro del centro de datos.

• Citrix XenMobile para proteger los dispositivos y las aplicaciones móviles con una experiencia de usuario

superior.

Documento técnico

citrix.com 4

Las mejores prácticas para la seguridad empresarial

• Citrix ShareFile para otorgar acceso, almacenamiento y uso compartido de datos en la empresa y en la

nube, de modo controlado y auditado.

De esta manera, ayudamos a las organizaciones a cumplir con los requisitos de seguridad y con los objetivos

empresariales sin impedir la productividad.

DMZ Aplicaciones y datosControladores de entrega

DMZ Dentro de la empresaAdministración de servicios

Aplicaciones Windows

Aplicaciones web y de SaaS

Aplicaciones móviles

SharePoint y uso compartido de archivosZonas de almacenamiento

Empleados de oficina

Empleados móviles

Sucursales

Arquitectura de Citrix

StoreFront Supervisión Aprovisionamiento

Autenticación Análisis Automatización

Escritorios

nes móvilenes móvile

macenamie

Identidad y accesoUno de los requisitos de seguridad fundamentales consiste en evitar el acceso no autorizado a las

aplicaciones, los datos y la red. A menudo, los ataques de phishing apuntan a usuarios de todos los niveles,

desde empleados de la línea de negocios hasta administradores y ejecutivos. La violación siempre se

produce a través de un simple mensaje que parece auténtico o una dirección URL mal escrita. Debido a que

los atacantes se centran en robar credenciales (aunque estas sean seguras), el cambio frecuente de

contraseñas ya no resulta suficiente para evitar que se vulneren medidas de seguridad tales como el cifrado

de bases de datos. El robo de una sola combinación de nombre de usuario/contraseña puede bastar para

desbloquear múltiples sitios y servicios; una acción descuidada en una cuenta personal de una red social

puede poner en riesgo un producto o servicio emblemático de una organización. La administración del

acceso de los usuarios requiere un abordaje equilibrado que sea conveniente para los usuarios y más seguro

que una simple combinación de nombre de usuario y contraseña.

Autenticación: solicite la autenticación de dos factores para todos los usuarios Dada la vulnerabilidad de las contraseñas, la autenticación de dos factores para las aplicaciones y los

escritorios es fundamental para lograr una seguridad eficaz. Este principio consiste en solicitar dos formas

diferentes de autenticación: la primera, relacionada con algo que el usuario conozca; y la segunda,

relacionada con algo que el usuario utilice, como un token físico. Esto plantea una barrera significativa para

la suplantación de usuarios, incluso si la contraseña principal ha sido vulnerada. Como parte de esta mejora,

la autenticación también debe incorporarse a las aplicaciones heredadas que no la admiten de modo nativo,

una capacidad que proporcionan NetScaler y XenApp.

Para fomentar el uso de contraseñas seguras y, al mismo tiempo, reducir la confusión y frustración de los

usuarios, TI puede aplicar medidas que permitan una experiencia de inicio de sesión más armónica. Entre

estas medidas se incluyen:

Documento técnico

citrix.com 5

Las mejores prácticas para la seguridad empresarial

• Federación de identidades: El uso de servicios en nube de terceros puede requerir que los usuarios

administren un conjunto adicional de credenciales. Mediante el uso compartido seguro de datos de

autenticación y autorización entre las partes a través de redes públicas, la federación de identidades

elimina la necesidad de un inicio de sesión separado. De hecho, la organización vincula el acceso a

servicios tales como Microsoft Office 365 con su directorio de usuarios. Si una persona abandona la

organización, TI puede eliminar el acceso a todos los servicios de terceros de forma centralizada de manera

tan sencilla como lo hace con los recursos internos. Tanto NetScaler como ShareFile admiten SAML, el

estándar que comúnmente maneja la federación.

• Registro único: Tanto en entornos federados como no federados, el registro único (SSO) puede reducir la

frustración de los usuarios al eliminar la necesidad de introducir las mismas credenciales varias veces en

múltiples sistemas. NetScaler admite mecanismos comunes de SSO, como el basado en formularios, en el

protocolo 401 y la delegación limitada de kerberos, y también puede mantener cookies de sesiones de

autenticación para proveer SSO en todas las aplicaciones web a las que se accede a través de un sitio web,

tablero o portal como Microsoft SharePoint.

Autorización: implemente la autorización de privilegios mínimos mediante el control de acceso contextualLos usuarios autenticados deben tener autorización para acceder solamente a las aplicaciones, los

escritorios y los datos fundamentales para realizar su trabajo (el principio de privilegios mínimos). Estos

derechos se reducen cuando ya no se necesitan. Además de esta, deben tomarse otras medidas similares:

• Para reducir los riesgos asociados con el malware, los administradores no deberían iniciar sesión en las

estaciones de trabajo como administradores, excepto que la tarea requiera el uso de la cuenta con

privilegios en lugar de las credenciales de usuario estándar para las acciones habituales como la

comprobación del correo electrónico y la navegación web.

• Las aplicaciones y los servicios deberían configurarse para su inicio con la menor cantidad posible de

privilegios, y las cuentas de servicios deberían crearse con la mínima cantidad de permisos requeridos.

• Las tareas administrativas deberían separarse para restringir el poder que tiene una persona y evitar que un

solo administrador deshonesto pueda cometer y ocultar un ataque.

Los niveles de autorización suelen estar vinculados a la identidad de los usuarios mediante la pertenencia a

grupos; no obstante, este abordaje puede carecer de la granularidad requerida para cada caso de uso. La

autorización basada en las tareas o en la ubicación puede resultar más eficaz, en especial para los casos de

uso de acceso remoto, como los teletrabajadores, la subcontratación en el extranjero y el acceso de terceros.

Al integrarse con mecanismos de acceso basado en funciones como Microsoft Active Directory, NetScaler

permite la adaptación de políticas de acceso predefinidas a nivel de grupos y usuarios.

Control del acceso: administre el acceso mediante la validación de dispositivos terminales Las organizaciones aprovechan los beneficios que proporcionan el teletrabajo y el trabajo flexible en materia

de productividad y satisfacción de los empleados. No obstante, también deben enfrentar la necesidad de un

control de acceso más granular. Es posible que las políticas de seguridad requieran el otorgamiento de

diferentes niveles de acceso si un determinado usuario trabaja dentro o fuera de la red empresarial, además

de hacer distinciones entre los empleados de la empresa y de terceros. La diversidad de dispositivos

terminales y el crecimiento de BYOD han aumentado notablemente la complejidad de la administración del

acceso basado en dispositivos. Algunas organizaciones permiten que cualquier computadora portátil,

computadora de escritorio, teléfono o tableta acceda a la red, en ocasiones sin solicitar ningún tipo de

restricción para malware, antivirus o aplicaciones.

Documento técnico

citrix.com 6

Las mejores prácticas para la seguridad empresarial

Las mejores prácticas de Citrix recomiendan otorgar el nivel de acceso adecuado a aplicaciones y datos en

base a los atributos combinados del usuario, el dispositivo, la ubicación, el recurso y la acción. Antes de

otorgar acceso, NetScaler analiza el dispositivo terminal para garantizar que sea seguro y que cumpla con la

membresía de dominio y la protección antivirus y antimalware. Este análisis permite al motor de políticas

SmartAccess activar políticas de sesión adaptables basadas en “las cinco preguntas del acceso”: quién, qué,

cuándo, dónde y por qué. Los administradores tienen flexibilidad absoluta para definir los diversos

escenarios de acceso y las reglas correspondientes en base a las políticas de seguridad de su organización,

mientras que los usuarios tienen la libertad para trabajar desde cualquier dispositivo. En el caso de que los

usuarios utilicen dispositivos que incumplan las políticas, se les puede aplicar una cuarentena y limitar el

acceso a recursos y sitios de remediación.

Seguridad de la redEl creciente papel que desempeña la movilidad en la empresa moderna convierte al acceso remoto en una

función de TI clave, y en uno de los principales vectores para los atacantes que buscan ingresar a la red de la

organización. Las consecuencias de una violación pueden ser devastadoras: Si se vulnera la red de un socio

de negocios, puede producirse un ataque directo a la organización, lo que proporciona a los atacantes un

eslabón débil para aprovechar como puerta de enlace a la red. Una vez que ingrese a la red, el atacante

buscará realizar una escalada de privilegios y luego, se dirigirá lateralmente a los componentes centrales,

como los controladores de dominio. En una violación que fue de público conocimiento, los atacantes

lograron comunicarse desde dispositivos de tiendas en red, como las registradoras de punto de ventas,

directamente a la red principal. En este punto, un troyano de puerta trasera o troyano de acceso remoto

(RAT) suele tener poca dificultad para conectarse con un servidor de comando y control (C2) mediante una

llamada saliente a un sistema externo.

Las herramientas contra DDoS y estresores de red, que se encuentran disponibles de manera gratuita,

pueden configurarse y controlarse en botnets mediante el comando y control, y con la aplicación Low Orbit

Ion Cannon (LOIC). Entre las herramientas más avanzadas se incluyen los "Cánones de Internet" respaldados

por estados nacionales que convierten el tráfico de los usuarios de Internet válidos en un arma mediante la

reescritura de las solicitudes HTTP para desbordar los sitios web vulnerados.

Acceso remoto: solicite acceso seguro para empleados y tercerosLas capacidades de acceso remoto permiten a los usuarios fuera de la red empresarial acceder a

aplicaciones, escritorios y datos. La función de permitir, controlar y proteger el acceso está a cargo de

NetScaler Unified Gateway, que:

• Hace extensivo el acceso remoto y el registro único a todas las aplicaciones empresariales y en nube.

• Consolida la infraestructura para reducir la proliferación de métodos de acceso.

• Intercepta el tráfico entrante como una puerta de enlace de proxy inverso completo antes de enviarlo a

las aplicaciones del backend.

• Provee una dirección URL única para consolidar una amplia variedad de soluciones existentes mediante

la incorporación de las capacidades necesarios para admitir todos los tipos de escenarios de acceso,

incluido el móvil.

Un ejemplo de este escenario es una red privada virtual (VPN) completa con protocolo SSL que proporciona

una conexión directa a nivel de la red con el centro de datos. Para la mayoría de los usuarios que no

necesitan una VPN completa, NetScaler proporciona un Proxy ICA para XenApp, que conecta las

aplicaciones heredadas y los escritorios con Citrix Receiver. Del mismo modo que con una VPN SSL, todos

Documento técnico

citrix.com 7

Las mejores prácticas para la seguridad empresarial

los datos que se transmiten entre el cliente y el centro de datos están cifrados. Esta es la configuración

recomendada para los entornos de máxima seguridad, incluido los entornos que deben cumplir con PCI DSS.

Una dirección URL única proporciona a los usuarios finales una ubicación simple para el acceso remoto a las

aplicaciones web, de SaaS y de Citrix desde cualquier dispositivo, con la capacidad para realizar autenticación

de dos factores, registro único y federación.

NetScaler simplifica y centraliza la visibilidad y el control del acceso al proporcionar un único punto de

aplicación y configuración. SmartControl actúa como un firewall de ICA para centralizar la lógica del control

de acceso a fin de administrar la autorización contextual basada en parámetros como el SO del dispositivo

cliente y los niveles de parches, además de la condición de instalación, ejecución y actualización del antivirus.

Las funciones también pueden bloquearse en base a la dirección IP y al puerto del cliente y del servidor, así

como en base al usuario y a la pertenencia a grupos. El acceso a canales virtuales como las funciones de

cortar y pegar, la asignación de unidades cliente o la impresión puede habilitarse por aplicación para otorgar

el nivel de acceso adecuado.

Segmentación: implemente zonas de seguridad de red La segmentación extiende la regla del menor privilegio a la red y hosts mediante la definición de zonas de

seguridad que minimizan el acceso no deseado a las aplicaciones y los datos confidenciales. Los firewalls y

las puertas de enlace restringen el tráfico a sus zonas respectivas, lo que reduce el movimiento lateral y la

superficie de ataque para contener el radio de expansión de una violación.

Entre las medidas de segmentación que admite NetScaler se incluyen:

• Autenticación y transferencia a través del proxy de las conexiones de clientes en la zona

desmilitarizada (DMZ) para bloquear los paquetes malformados y las solicitudes maliciosas en este punto.

• Optimización, multiplexación y límite de velocidad de las conexiones a los servidores de backend para

proteger sus recursos.

• Una arquitectura definida por software que utiliza la virtualización para permitir la delimitación segura

de la plataforma de hardware en instancias separadas y exclusivas, cada una con un acuerdo de nivel de

servicio (SLA) y una memoria asignada aparte, SSL, CPU y tarjetas de interfaz de red (NIC) virtuales que

pueden ser compartidas o exclusivas.

La segmentación es un principio clave en el diseño de la arquitectura de NetScaler.

• Los dominios de tráfico segmentan el tráfico de diferentes aplicaciones e inquilinos en entornos de red

completamente aislados en un solo dispositivo.

• Las particiones administrativas segmentan los dispositivos individuales de NetScaler en recursos

separados con administración dedicada e IU de inicio de sesión, vistas, archivos de configuración y registros

separados; por ejemplo, se utilizan particiones específicas por aplicación para los equipos de aplicaciones

de Microsoft, Citrix y redes.

Disponibilidad: utilice balanceo de carga inteligente y protección multicapa contra ataques de denegación de servicio. A diario, la disponibilidad debe enfrentar los desafíos que plantean las fallas de hardware y software, así

como los ataques de denegación de servicio distribuido (DDoS) que interrumpen los servicios mediante el

agotamiento de los recursos informáticos, del ancho de banda y de la memoria.

El balanceo de carga, una función central de NetScaler, distribuye las solicitudes de clientes entrantes en

varios servidores que alojan el contenido y las aplicaciones web. Esto evita que un servidor se convierta en un

Documento técnico

citrix.com 8

Las mejores prácticas para la seguridad empresarial

punto único de falla y, junto con la utilización de métodos de optimización como Least Connection o las

métricas basadas en SNMP, mejora la disponibilidad y la capacidad de respuesta de las aplicaciones en

general. El balanceo de carga global de servidores (GSLB) provee una capa adicional de protección,

recuperación ante fallas y optimización para las organizaciones que cuentan con varias ubicaciones y

servicios distribuidos geográficamente. Como parte de su abordaje multicapa a la disponibilidad, NetScaler

también proporciona:

• Protección contra DDoS: NetScaler verifica la conexión del cliente y los parámetros de solicitud para

evitar ataques de sobrecarga como SYN, UDP, ICMP, Smurf y Fraggle, que esperan para transferir la

conexión a través del proxy hasta que se envíe una solicitud de aplicación válida.

• Offload de SSL/TLS: Al transferir las conexiones a través del proxy, validarlas y, si es necesario, limitar su

velocidad, NetScaler protege los servicios web contra los ataques como HeartBleed, Shellshock y Poodle

que apuntan a las vulnerabilidades de SSL/TLS.

• Protección ante picos de demanda y colas de prioridad: NetScaler mitiga los picos de tráfico y de

demanda que pueden sobrecargar los servidores de backend, al almacenar en caché y priorizar las

conexiones para luego entregarlas cuando la carga del servidor se reduce de modo que no se pierdan.

NetScaler también otorga protección de DNS para servidores de nombre de dominio (DNS) y admite la

tecnología de Extensiones de seguridad para el Sistema de Nombres de Dominio (DNSSEC) para otorgar

protección contra los registros de hosts falsificados y corruptos que se distribuyen a nuevos objetivos.

Seguridad de las aplicacionesLas aplicaciones de todos los tipos son objetivos populares para la explotación. Incluso si los investigadores

de seguridad encuentran una vulnerabilidad antes que los hackers, la aplicación de parches o la

actualización de los sistemas de una organización puede demorar meses. Aún así, varias violaciones exitosas

han aprovechado las vulnerabilidades para las que había parches desde hacía años, a pesar de los modelos

de entrega de aplicaciones maduros que ofrecían procesos establecidos para encontrar, probar y arreglar el

software vulnerable a tiempo.

Las aplicaciones instaladas de forma nativa en los dispositivos móviles enfrentan riesgos tales como el

almacenamiento de datos inseguro, la transmisión de datos insegura y la filtración de datos confidenciales.

A medida que los teléfonos inteligentes y las tabletas se convierten rápidamente en un estándar de

negocios, la línea entre las aplicaciones personales y las empresariales se ha desdibujado, lo que expone a

los datos confidenciales al riesgo de ser compartidos a través del almacenamiento en nube, en redes

sociales, entre aplicaciones o entre colegas.

Las aplicaciones web son vulnerables debido a la configuración de seguridad deficiente, la administración de

parches incompleta del sistema operativo subyacente, las vulnerabilidades en el lenguaje de programación o

las vulnerabilidades para las que aún no existen parches o las de día cero en dependencias de terceros. Las

aplicaciones heredadas o no admitidas están expuestas a ataques que alteran los campos, desbordan los

búferes o realizan inyección de comandos y ejecución remota de códigos. Los ataques a nivel de las

aplicaciones están fuera del control de los firewalls de redes y los sistemas de prevención de intrusiones (IPS)

y de detección de intrusiones (IDS), que no reconocen los ataques de lógica.

Centralización: virtualice las aplicaciones y solicite la entrega cifradaLa virtualización de aplicaciones protege los datos confidenciales al centralizar las aplicaciones en el centro

de datos y permitir que solo una representación pixelada de la aplicación llegue al dispositivo terminal, en

lugar de realizar una transferencia de datos real. La virtualización también permite la clasificación de

aplicaciones en base a sus requisitos de seguridad; las aplicaciones confidenciales pueden almacenarse en

Documento técnico

citrix.com 9

Las mejores prácticas para la seguridad empresarial

silos en servidores dedicados dentro de un segmento de red separado con diferentes restricciones y

clasificaciones de confidencialidad, y múltiples versiones aisladas de navegadores web pueden publicarse

para abordar los diversos requisitos heredados y de seguridad de las aplicaciones web. TI obtiene un punto

único de visibilidad y control para definir y aplicar políticas de acceso a nivel de grupos o usuarios.

La configuración de seguridad y la administración de parches descentralizadas para aplicaciones instaladas

de forma local resulta ineficiente y a menudo incoherente. Con la centralización, los parches de SO, paquetes

de servicios, hotfixes, y actualizaciones de aplicaciones y configuraciones se realizan a través de una única

imagen maestra, lo que acelera los procesos de prueba e implementación. Los ataques basados en

dispositivos terminales, tales como la extracción de datos confidenciales de la memoria o la memoria RAM

(scraping) ya no representan un riesgo.

La funcionalidad y la comunicación entre el cliente Citrix Receiver y los servidores de XenApp se llevan a cabo

a través de canales virtuales para gráficos, discos, puertos de comunicación, puertos LPT, impresoras, audio,

video y tarjetas inteligentes, con políticas de XenApp que controlan la capacidad para guardar, copiar,

imprimir o mover los datos. Para las organizaciones que requieren un nivel de protección adicional,

SmartControl en NetScaler ofrece filtrado a nivel de la red. El cifrado está integrado a cada componente del

flujo de comunicación, incluidos los protocolos multicapa ICA y SSL/TLS.

Contenerización: administre las aplicaciones móviles para evitar la pérdida de datosLas mejores prácticas de Citrix para la seguridad de aplicaciones móviles se basan en la contenerización, una

forma de segmentación a nivel del dispositivo. Los usuarios pueden emplear un solo dispositivo con

aplicaciones personales y empresariales, con las aplicaciones y los datos empresariales administrados por TI.

La seguridad del hardware, del sistema operativo y de las aplicaciones individuales se hace extensiva a través

de las medidas de seguridad basadas en el contenedor, entre las que se incluyen las políticas de

almacenamiento y uso cifrados, de control de datos entre aplicaciones y de eliminación de datos.

XenMobile está basado en el abordaje de la contenerización, y permite a las organizaciones centralizar la

administración, la seguridad y el control de las aplicaciones, los datos y la configuración.

• Micro-VPN: XenMobile y NetScaler proporcionan túneles de microrred privada virtual específicos para

aplicaciones móviles nativas; las sesiones cifradas de SSL/TLS entre la aplicación y NetScaler se protegen de

las comunicaciones con otros dispositivos y otras micro-VPN para garantizar que los recursos de la red

interna no queden expuestos al tráfico de las aplicaciones personales infectadas con malware.

• Validación de dispositivos: Debido a que la contenerización en sí misma no puede garantizar la

seguridad de un dispositivo que ha sido liberado o rooteado para permitir la instalación de aplicaciones

pirateadas o no validadas (un vector común para inyectar malware diseñado para obtener la condición de

superadministrador), XenMobile valida la condición del dispositivo y bloquea los dispositivos liberados

antes del registro de dispositivos.

• Aplicaciones nativas administradas: Las aplicaciones de productividad empresarial móvil de Citrix como

WorxMail y WorxWeb para la navegación en la web y el uso del correo electrónico administrado y seguro se

instalan de forma nativa en los dispositivos móviles, aisladas en un contenedor seguro que TI puede

administrar, controlar, bloquear y borrar de forma remota y selectiva, sin tocar los datos ni las aplicaciones

personales que se encuentran en el dispositivo.

Inspección: proteja las aplicaciones web contra los ataquesLas aplicaciones web son objetivos clave para los hackers, puesto que ofrecen una superficie de ataque muy

vulnerable con conectividad directa a las bases de datos que contienen información confidencial de la

Documento técnico

citrix.com 10

Las mejores prácticas para la seguridad empresarial

empresa y los clientes. Dichas amenazas suelen diseñarse específicamente para el objetivo, lo que hace

imposible su identificación mediante los dispositivos de seguridad a nivel de la red, como los sistemas de

protección contra intrusiones y los firewalls de red. Esto expone a las aplicaciones web a los ataques a nivel

de las aplicaciones que utilizan vulnerabilidades conocidas y de día cero. NetScaler AppFirewall reduce esta

brecha mediante la entrega de seguridad centralizada a nivel de las aplicaciones para los servicios y las

aplicaciones web.

Los ataques de lógica basados en flujos de inyecciones aprovechan la falla de una aplicación para filtrar

entradas de usuarios, al igual que cuando se utiliza la inyección SQL para pasar comandos arbitrarios a través

de una aplicación para que sean ejecutados por la base de datos. La reescritura de comandos entre sitios

(XSS) utiliza la aplicación web como un arma para atacar a otros usuarios, nuevamente a través de una falla

para validar las entradas. Tras haberse convertido en parte de la aplicación, la carga útil se devuelve al

navegador de la víctima, donde se la trata como un código y se la ejecuta para llevar a cabo el secuestro de

sesiones o para intentar robar credenciales mediante phishing.

AppFirewall almacena los patrones de inyección personalizados para otorgar protección contra los ataques

de inyección de todos los tipos.

• Los administradores pueden utilizar la protección del formato de campo para restringir los parámetros de

los usuarios con expresiones regulares; se verifica la coherencia de los campos de formulario para

comprobar que no se hayan modificado.

• Para evitar la inyección SQL, AppFirewall inspecciona las solicitudes en busca de una combinación de

caracteres y palabras clave de SQL.

• Para otorgar protección dinámica y contextual contra los ataques de XSS, AppFirewall busca las entradas

que se asemejan a una etiqueta HTML y las compara con las etiquetas y los atributos HTML permitidos,

para detectar reescrituras de comandos y ataques de XSS.

Debido a que las aplicaciones web suelen ser el objetivo de los ataques de DDoS, la protección debe

extenderse más allá de las capas de la red y las sesiones. NetScaler utiliza protección contra DDoS a nivel de

las aplicaciones para bloquear o regular el tráfico de ataque que aparenta ser válido a nivel de la red.

• La protección de HTTP contra DDoS pone a prueba las solicitudes del cliente para garantizar que

provengan de un navegador válido; generalmente, las solicitudes de scripts y bots no pueden responder

correctamente y entonces son denegados.

• Cuando se recibe una solicitud POST, primero se verifica que tenga una cookie válida. Si no la tiene,

NetScaler envía un JavaScript al cliente solicitándole que vuelva a enviar la información con una nueva

cookie, que se vuelve inválida después de cuatro minutos. Cada respuesta al cliente se envía con la nueva

cookie. Durante un ataque, todas las cookies enviadas anteriormente se vuelven inválidas, y se envía una

página de error con una cookie. Las nuevas conexiones, al igual que las conexiones que no pueden proveer

datos de cookies válidos, se colocan en una cola de baja prioridad.

AppFirewall aplica modelos de seguridad positivos y negativos para garantizar el correcto comportamiento

de las aplicaciones. El modelo de seguridad positivo reconoce el buen comportamiento de las aplicaciones y

trata a todo el resto del tráfico como malicioso; este es el único enfoque comprobado que otorga protección

de día cero contra las vulnerabilidades no publicadas. Los administradores pueden crear excepciones y

relajaciones administradas cuando el comportamiento intencional y legal de una aplicación podría ocasionar

una violación de la política de seguridad predeterminada.

Documento técnico

citrix.com 11

Las mejores prácticas para la seguridad empresarial

Mediante el uso de un modelo de seguridad negativo, AppFirewall también realiza análisis contra ataques

conocidos utilizando miles de firmas actualizadas automáticamente. El perfil avanzado de protección de las

aplicaciones web incorpora protección por reconocimiento de sesión para proteger los elementos

dinámicos como cookies, campos de formulario y direcciones URL específicas de cada sesión. Los ataques

que apuntan a la confianza entre el cliente y el servidor son detenidos. Este tipo de protección es

fundamental para cualquier aplicación que procese contenido específico de cada usuario, como un sitio de

comercio electrónico.

Seguridad de los datosLos datos de todo tipo, incluidos documentos legales, contratos, datos de investigación y desarrollo,

información de mercadeo y ventas, medios y entretenimiento o cualquier otra forma de propiedad

intelectual, son un recurso fundamental para las organizaciones que debe protegerse. En los últimos años,

miles de violaciones conocidas lograron vulnerar millones de registros de pacientes y clientes, muchos con

información de identificación personal (PII), como números de tarjetas de crédito, números de seguro social,

fechas de nacimiento, licencias de conducir, direcciones, historias clínicas, expedientes escolares, registros

gubernamentales y de veteranos con huellas dactilares y datos de permisos de acreditación de seguridad.

No todas las violaciones son provocadas por el hackeo, el malware y otros ataques. Entre otras causas se

incluyen: la divulgación no deseada, el hackeo y el malware, el fraude de tarjetas de pago, el fraude interno,

la pérdida de documentos, medios y dispositivos móviles y fijos. La popularidad que tiene el

almacenamiento en nube para consumidores entre los usuarios es especialmente problemática, debido a

que los datos se trasladan de la red de confianza a servidores que están fuera del control de la organización.

Centralización: centralice, supervise y controle la salida de datos En un entorno virtualizado, los datos residen en el centro de datos. Las aplicaciones se ejecutan en el

servidor solo a través de movimientos del mouse y pulsaciones de teclas que se envían al dispositivo del

usuario, en lugar de los datos, para mitigar la pérdida y filtración de los datos ocasionadas por dispositivos

terminales perdidos, robados o destruidos. Las organizaciones pueden protegerse aun más contra la

pérdida de datos masiva al evitar la transferencia de archivos y bases de datos a las estaciones de trabajo.

Para evitar que los datos se almacenen en medios extraíbles como unidades USB, se envíen por correo

electrónico entre los usuarios, se impriman o se expongan a la pérdida o al robo, TI puede administrar de

forma centralizada las políticas que controlan la capacidad de los usuarios para guardar, copiar, imprimir o

mover los datos. Las políticas de dispositivos que mejoran aun más la seguridad de los datos incluyen la

capacidad para:

• Segmentar datos del lado del cliente desde las aplicaciones mediante el bloqueo de canales virtuales

como la asignación de unidades cliente, la impresión y la función de copiar/pegar.

• Definir la redirección de carpetas para asignar la carpeta Mis documentos del usuario a un almacén de

archivos central en el centro de datos.

• Restringir la ubicación donde se guardan los archivos para otorgar protección contra la pérdida, el

robo o la destrucción del dispositivo terminal.

Contenerización: cifre los datos en tránsito e inactivosCuando las aplicaciones móviles se ejecutan de forma nativa, los datos se almacenan de forma local, lo que

aumenta el riesgo de filtración y pérdida de datos. XenMobile se ocupa del almacenamiento de datos móvil

inseguro con la contenerización y el cifrado.

Documento técnico

citrix.com 12

Las mejores prácticas para la seguridad empresarial

• Con la contenerización, o la segmentación a nivel de las aplicaciones, los datos para cada aplicación

residen dentro del contenedor donde se ejecutan y las aplicaciones que residen en otro lugar no pueden

acceder a ellos.

• TI puede cifrar los datos dentro de un contenedor seguro y aislado en el dispositivo terminal, lo que mitiga

la pérdida de datos.

La implementación de BYOD hace que sea fundamental separar las aplicaciones personales de las

empresariales y sus datos asociados, especialmente dado el uso compartido generalizado de datos entre

aplicaciones móviles tales como el de aplicaciones incorporadas al sistema, como Contactos. XenMobile

protege los datos de iOS mediante la administración abierta que permite a TI controlar el flujo de datos y el

acceso entre las aplicaciones administradas y las no administradas. Por ejemplo, los administradores pueden

evitar que los usuarios utilicen una aplicación no administrada para abrir los datos creados en una aplicación

administrada, o viceversa. Los adjuntos de mensajes de correo electrónico solo pueden abrirse en

aplicaciones aprobadas por la empresa, y los enlaces a sitios web se abren forzosamente en un navegador

seguro.

XenMobile aprovecha el cifrado estándar del sector para los datos de aplicaciones en el momento de la

compilación o mediante una tecnología de encapsulamiento. Todos los datos de aplicaciones se almacenan

en un contenedor seguro que cifra tanto los archivos como la tecnología SQL incorporada a los dispositivos.

Los datos alojados en archivos de bases de datos locales utilizan un cifrado de nivel AES-256.

Uso compartido seguro: permita el uso compartido seguro de archivos para reducir la pérdida de datosCuando los usuarios buscan colaborar de manera eficiente, a menudo encuentran el camino de menor

resistencia para compartir datos entre ellos y con terceros, incluidas las soluciones de TI alternativa que

están fuera de la visibilidad, la aprobación o el control de TI. Esto conduce a la proliferación de datos y al uso

compartido inseguro de archivos a través de unidades USB, Internet y servicios de nube personal que a

menudo carecen de controles básicos o avanzados contra la filtración de datos. Es posible que los

empleados recurran al FTP, que carece de autenticación segura (las credenciales se transmiten en texto no

cifrado) o al correo electrónico no cifrado; incluso pueden enviar archivos accidentalmente a personas no

autorizadas dentro y fuera de la organización.

Citrix aborda el desafío del uso compartido seguro de archivos con seguridad incorporada en cada nivel de

ShareFile:

• Autenticación: Los diversos métodos de autenticación de dos factores y en dos pasos incluyen la

autenticación basada en tokens y formularios, así como mensajes SMS, de voz y códigos de seguridad.

ShareFile también admite mecanismos de autenticación de registro único como SAML, que requiere que

los usuarios se autentiquen primero con el proveedor de identidades de la empresa.

• Autorización: TI obtiene visibilidad y control del uso compartido de archivos, además de la capacidad

para otorgar, supervisar y revocar el acceso. Para mayor protección de los datos, los usuarios pueden

configurar los enlaces de archivos para que caduquen después de que se envía el mensaje, y establecer

una fecha para la eliminación de una carpeta y su contenido. En caso de pérdida o robo, tanto los usuarios

como TI pueden realizar el borrado remoto de datos y contraseñas de ShareFile almacenados en

dispositivos móviles.

Documento técnico

citrix.com 13

Las mejores prácticas para la seguridad empresarial

• Auditoría: ShareFile realiza un seguimiento y lleva un registro de todas las actividades de los usuarios,

incluido el acceso y uso compartido de los datos, para satisfacer los requisitos de cumplimiento y otorgar

visibilidad del uso de los datos. Para mejorar el cumplimiento y abordar los requisitos para el

almacenamiento de datos a nivel local, ShareFile permite a las organizaciones usar el plano de control de

ShareFile para la administración y el almacenamiento de archivos en el centro de datos.

• Cifrado: Cada archivo se cifra con una clave única antes de copiarse a su ubicación permanente, y se

descifra antes de descargarse al navegador de un usuario. Las claves de cifrado no se almacenan en el

mismo servidor que los archivos para garantizar que el acceso físico a un servidor de almacenamiento no

permita el acceso a los archivos que residen allí. ShareFile también ofrece mensajes de correo electrónico

cifrados con Microsoft Outlook para proteger la información confidencial incluida en el cuerpo y en los

adjuntos, y permite el cumplimiento de las normativas de HIPAA, HITECH y CFPB.

Supervisión y respuestaIncluso en el entorno más protegido es casi imposible evitar una violación por parte de atacantes con

amenazas persistentes y avanzadas. Esto hace que la detección y la supervisión de la seguridad sean

funciones imprescindibles. Las organizaciones deben obtener mayor visibilidad de la red y las aplicaciones

que utilizan la recopilación, el análisis y el escalamiento de registros; además, deben filtrar el ruido de la

información saliente, detectar los intentos de conexión anormales e identificar los indicadores de ataque y

riesgo que pueden utilizarse para ayudar en la respuesta a incidentes.

XenApp otorga herramientas para permitir la supervisión de su infraestructura de extremo a extremo, como

la supervisión integral de la infraestructura, del rendimiento, de eventos, servicios y disponibilidad. TI puede

identificar rápidamente la degradación de la experiencia de usuario y acelerar el análisis de causa raíz. Las

políticas inteligentes, la aplicación estricta, y la supervisión y los informes exhaustivos ofrecen seguridad

eficaz sin impedir el acceso a los usuarios.

Visibilidad: implemente la supervisión para abordar la degradación del rendimiento y de la disponibilidadLos desafíos en materia de visibilidad aumentan a medida que crecen la cantidad y complejidad de las

aplicaciones e implementaciones en las líneas de negocios, así como las herramientas y técnicas que se

utilizan para la supervisión. NetScaler simplifica la supervisión al proporcionar un punto central a través del

cual viaja toda la información de las aplicaciones. Si bien el objetivo principal de este diseño es permitir el

balanceo de carga y el offload de SSL a los fines de la escalabilidad y la disponibilidad, también ubica a

NetScaler en una posición ideal para analizar el tráfico web e ICA para detectar cualquier tipo de aplicación

que utilice cualquier tipo de cifrado. Luego, los datos de rendimiento de este tráfico se envían a NetScaler

Insight Center, que utiliza AppFlow para definir y extraer información sobre la visibilidad.

Security Insight permite a los administradores centrarse en los datos de supervisión más relevantes de forma

rápida y eficiente con herramientas automatizadas que aplican los conocimientos incorporados para:

• Identificar patrones de configuración y resaltar incoherencias que pueden debilitar su postura de

seguridad

• Analizar su montaña de registros de NetScaler para detectar problemas que pueden ser peligrosos; va más

allá de la detección de anomalías para elaborar informes verdaderamente contextuales

• Resaltar problemas de cumplimiento con las normas PCI para facilitar en gran medida el proceso de

auditoría

Documento técnico

citrix.com 14

Las mejores prácticas para la seguridad empresarial

Para la supervisión de la experiencia de usuario, HDX Insight otorga visibilidad de extremo a extremo de las

conexiones ICA que se transfieren a través del proxy a NetScaler con el fin de ayudar a TI a abordar

problemas de rendimiento, como la ralentización de aplicaciones o escritorios. Como herramienta de

clasificación, NetScaler ayuda a TI a determinar si el problema se encuentra del lado del cliente, el servidor, la

aplicación o la red, además de proporcionar un desglose del consumo de ancho de banda dentro del canal

ICA, SmartControl e información geográfica.

Web Insight ofrece visibilidad de los servicios que se ejecutan en la web o en el nivel HTTP/S, al recopilar y

proveer informes analíticos basados en los registros de AppFlow sobre este tráfico. Un tablero central

proporciona información de visibilidad de las aplicaciones en todas las dimensiones, desde clientes finales

hasta servidores de aplicaciones de backend. La capacidad para correlacionar los datos de visibilidad con los

problemas de los usuarios ayuda al ejercicio de resolución de problemas.

Auditoría: integre los registros y las alertas para detectar ataques y violaciones con mayor agilidad La auditoría periódica y la información que proporcionan los registros sobre el acceso de los usuarios, los

cambios en la configuración y la administración de las cuentas permiten detectar amenazas mediante la

captación temprana de indicadores de ataque y riesgo. Estos indicadores pueden incluir volúmenes grandes

e inusuales de tráfico saliente, actividades de cuenta inusuales, especialmente de cuentas con privilegios, e

inicios de sesión fallidos y exitosos desde ubicaciones inusuales. Estos datos también ayudan a TI a limpiar

las cuentas inactivas según la recomendación de las mejores prácticas. Debido a que los intrusos exitosos

suelen borrar los registros para demorar la detección de sus ataques, los archivos de registro deben

almacenarse de forma externa al sistema.

La auditoría de NetScaler provee registros de diversas acciones históricas y en tiempo real, entre las que se

incluyen:

• Intentos de autenticación fallidos y exitosos

• Intentos de autorización fallidos y exitosos

• Las sesiones vigentes, las que expiraron y todas las sesiones de AAA de todo el tráfico de las aplicaciones

que atraviesa NetScaler

El control de acceso centralizado permite a los administradores consolidar la administración de todas las aplicaciones dentro del mismo dominio y dispositivo, en lugar de utilizar controles separados para cada aplicación.

Además de simplificar y acelerar la solución de problemas, la capacidad para realizar un seguimiento de los

cambios hechos a la configuración de una granja de servidores de XenApp y para elaborar informes acerca

de quién los hizo y cuándo, garantiza la identificación de responsabilidades y contribuye a la seguridad,

especialmente en entornos donde varios administradores realizan modificaciones. Los registros de

configuración también captan el seguimiento de auditoría para la administración de cambios, el

seguimiento de la configuración y la elaboración de informes sobre la actividad de administración. Los

administradores pueden registrar sesiones activas de aplicaciones virtuales de XenApp y de escritorios

alojados en servidores por usuario, aplicación o servidor, y luego archivar los registros para realizar análisis

forenses o para referencia cuando sea necesario.

Cumplimiento: reduzca el alcance de las auditorías mediante el diseño de arquitecturas específicasDesde hace mucho tiempo, los organismos gubernamentales deben cumplir estrictamente con estándares

de cifrado exigentes y, actualmente, el cumplimiento con la norma FIPS se está convirtiendo rápidamente

0316/PDF

Oficina principal de la empresaFort Lauderdale, FL, EE. UU.

Oficina principal en Silicon ValleySanta Clara, CA, EE. UU.

Oficina principal de EMEASchaffhausen, Suiza

Centro de desarrollo en IndiaBangalore, India

Oficina principal de la división Citrix OnlineSanta Barbara, CA, EE. UU.

Oficina principal del PacíficoHong Kong, China

Oficina principal de América LatinaCoral Gables, FL, EE. UU.

Centro de desarrollo en el Reino UnidoChalfont, Reino Unido

Acerca de CitrixCitrix (NASDAQ:CTXS) está liderando la transición hacia un espacio de trabajo definido por software mediante la unificación de las soluciones de virtualización, administración de la movilidad, redes y SaaS, a fin de ofrecer nuevas formas de trabajar mejor a las empresas y las personas. Las soluciones de Citrix impulsan la movilidad empresarial por medio de espacios de trabajo móviles seguros que otorgan a los usuarios acceso instantáneo a aplicaciones, escritorios, datos y comunicaciones en cualquier dispositivo, red y nube. Citrix obtuvo 3140 millones de dólares en ingresos anuales en 2014. Sus soluciones son utilizadas en más de 330.000 organizaciones y por más de 100 millones de usuarios en todo el mundo. Obtenga más información en www.citrix.com.

Copyright © 2016 Citrix Systems, Inc. Quedan reservados todos los derechos. Citrix, NetScaler, XenApp, XenDesktop, XenMobile y FileShare son marcas comerciales de Citrix Systems, Inc. y/o una de sus subsidiarias, y pueden estar registradas en los Estados Unidos y en otros países. Los demás nombres de productos y de empresas aquí mencionados pueden ser marcas comerciales de sus respectivas empresas.

Documento técnico

citrix.com 15

Las mejores prácticas para la seguridad empresarial

en un tema de interés en los espacios comerciales, como así también en bancos, procesadores de tarjetas

de crédito y organizaciones del sector de atención de la salud que buscan proteger el tráfico dentro de su

centro de datos.

XenApp y XenDesktop ofrecen cumplimiento nativo de la norma FIPS 140-2 del protocolo HDX para otorgar

el mayor nivel de seguridad para el acceso a los datos en entornos virtuales. Todas las conexiones de los

usuarios a las aplicaciones y los escritorios virtualizados se cifran con módulos validados para FIPS 140-2 y

reglamentados por el Instituto Nacional de Normas y Tecnología (NIST). La integración con NetScaler

permite el cumplimiento con la norma FIPS 140-2 Nivel 2 para obtener un nivel incluso mayor de seguridad

de la información con un dispositivo de hardware. La centralización de los datos, la entrega alojada y la

visualización remota restringen los datos de PCI a un espacio pequeño y protegido que puede auditarse de

manera más completa y eficiente que una red interna entera.

XenApp, XenDesktop y NetScaler también constituyen la única solución disponible de entrega de

aplicaciones y escritorios de extremo a extremo que cumple con la certificación de Criterios Comunes, una

norma ISO para la función de seguridad del software que evalúa la autenticación, el control de acceso, la

administración y la comunicación segura.

ConclusiónLa fuerza de trabajo de la empresa moderna exige seguridad integral y exhaustiva para mantener los datos

protegidos, independientemente de cómo trabajen las personas: en cualquier ubicación, con cualquier

dispositivo y con cualquier método de acceso. Las mejores prácticas de Citrix para la seguridad están

creadas sobre una base de confidencialidad, integridad y disponibilidad y abarcan la identidad y el acceso, la

seguridad de la red, la seguridad de las aplicaciones, la seguridad de los datos, y la supervisión y respuesta

para garantizar la protección y la productividad en cada escenario de los usuarios. Para obtener más

información sobre cómo garantizar la seguridad con soluciones de Citrix estrechamente integradas, visite la

página web.