远程接入方案 OpenText Exceed TurboX(ETX) 安全架构、安全功能
Exceed TurboX 安全功能
将所有重要的知识产权(IP )相关数据保存在受良好保护的中央数据中心是保护 IP 的最佳做法。安全的远程访问是保护知识产权的关键。
Exceed TurboX 突出优势
所有数据流量均采用最新标准加密技术进行加密;
ETX 整合多种身份验证系统;
ETX 集中管理用户、会话和数据中心基础设施;
保护您的 IP 的安全架构;
许多企业希望通过数据中心整合减少 IT 支出并提高集中化管理,他们还需要为 Linux®、Unix® 和 Microsoft®Windows® 上软件图形要求高的用户提供高性能的远程访问。
这类软件,以及其他图形要求高的设计和建筑软件,是许多企业用来设计其核心产品的工具,例如半导体、引擎部件或架构。企业正在寻找涵盖图形要求高的和标准业务用户桌面的解决方案,以实现虚拟化的好处。
Exceed TurboX 是一种高级解决方案,用于桌面虚拟化和远程访问图形要求苛刻的应用程序,例如 CAD、EDA 和许多其他应用程序,包括托管在 UNIX 和 Linux 服务器上的 X Window 应用程序以及托管在 Windows 服务器上的 Windows 应用程序。 Exceed TurboX 在长距离和低带宽数据连接上提供高性能。 它为 IT 提供了一个中心位置,可以将在各种服务器平台上运行的应用程序安全地部署到受管理的用户列表中,通过将应用程序整合到一个或几个全球数据中心来降低成本,同时最大限度地减少对业务的干扰。
Exceed TurboX 在多个层面提供高安全性,以保护知识产权免受内部和外部攻击。 将核心产品设计应用程序保存在中央数据中心可确保没有未经授权的物理访问。 强加密用于客户端浏览器与 Exceed TurboX Web 服务器之间的数据流量,以及节点与客户端之间的屏幕内容流。
用户可以通过多种平台选择远程访问其图形要求高的解决方案。 Exceed TurboX 可在 Windows、Mac、Linux 或 iPad 上使用。这些平台比为每个用户提供高端图形 Linux/Unix 工作站更具成本效益。
知识产权保护和安全
一项研究表明,60% 的知识产权泄露是由疏忽或员工恶意所为。这就是为什么处于工程、制造、石油和天然气勘探、科学研究、金融交易、医疗成像、建筑设计和其他处理敏感数据的行业的众多企业已经将他们的数据(以及读取和写入该数据的应用程序)从用户工作站转移到安全的数据中心。
远程访问软件 (RAS) 是信息安全难题的关键部分,因为它为用户查看和编辑信息资产提供了进入安全环境的唯一入口。 RAS 解决方案必须非常安全,以确保数据不会离开数据中心。 Exceed TurboX 是为需要最高安全标准来保护其敏感数据的客户而开发的。
• 文件传输、打印和复制/粘贴功能可以根据应用程序、用户、用户组或用户位置(子网)打开或关闭。
• 可以记录本地和远程系统之间复制/粘贴操作的剪贴板内容。
• 可以单向或双向启用文件传输和复制/粘贴操作。
• IT 保持对用户权限的完全控制,包括可以访问哪些主机、哪些应用程序或脚本可以在这些主机上运行,以及由哪些用户或用户组运行。
• 单个 ETX 服务器可以跨不同地理位置的多个数据中心实施企业范围的安全性。
• 借助VPN 或HTTP(S) 代理支持,ETX 给来自外部的客户和承包商站点提供了安全访问,无需将数据传输给第三方或通过机场安检传输敏感数据。
• 会话窗口可以在客户端屏幕截图中被清空,从而阻止用户捕获敏感应用程序和数据的图像。
加密和身份验证
• 所有ETX 连接都经过加密并验证服务器身份,以防止网络窥探和中间人攻击。
• 客户端浏览器和 ETX Web 服务器之间的数据流量使用 TLS 加密并支持 HTTPS 证书。
• 远程会话使用 TLS 1.3 加密;建立会话时通过证书验证服务器身份。
• ETX 节点和应用程序主机之间的后端连接可以使用 SSH 加密。
• ETX 服务器、节点和许可证服务器之间的后端连接采用 TLS 1.3 加密。
集中管理
• Exceed TurboX 使 IT 员工小组能够管理跨多个区域数据中心的数千个应用程序和桌面主机,从而使 IT 能够保持对复杂计算环境的控制。
• 电子邮件警报将环境问题通知管理员,包括内存或磁盘空间问题、冻结或用户会话的失控,以及可能导致停机的其他问题。
• 为用户登录、应用程序和桌面启动、配置更改和权限更改提供完整的审计轨迹。
• 应用程序服务器可以分组到区域中,针对这些服务器组的配置文件可以发布到这些区域中的用户组,从而确保最佳网络性能并在区域之间创建逻辑分离。
• 安装到 ETX Server 的软件更新会推送给所有用户和主机,从而可以快速修补错误并轻松部署新的安全功能。
• 可以为每个用户或每个组设置详细的权限,以便快速轻松地管理权限。
验证
ETX 支持以下认证方式:
• 轻量级目录访问协议 (LDAP)
• Microsoft® Active Directory® (AD)
• UNIX 可插入身份验证模块 (PAM)
• UNIX 本机帐户
• OpenText 目录服务 (OTDS) 通过 OAuth2 和其他 2FA 提供商对多种身份验证系统提供访问
• Kerberos 单点登录 (SSO)
ETX 通过将 ETX 登录凭据安全地转发到后端桌面和应用程序服务器,为 Windows 和 UNIX 主机提供单点登录。这包括将 Kerberos 票证从浏览器转发到 SSH 主机以获得端到端 SSO 支持。
ETX 的其他身份验证功能包括:
• 用于基于 REST 的管理和启动配置文件的 API 密钥。
• 永久或临时ETX 帐户锁定以防止密码暴力攻击,而不锁定域帐户。
• 从身份验证目录中批量导入用户和分配权限。
• 用户权限的详细定制
• 能够在成功登录或阻止新帐户时创建新的帐户(需要由 ETX 管理员手动创建)
如果您使用第三方解决方案进行单点登录或联合身份验证,OpenText 目录服务 (OTDS) 是一个免费的身份验证服务器,支持第三方 SSO、ADFS、SAML、OAuth2 甚至自定义身份验证。对于使用混合目录和安全身份验证解决方案的公司,OTDS 可以同时针对多个系统进行身份验证。
安全架构
ETX 客户端软件不需要管理员权限即可安装; 任何 Mac、Linux 或 Windows PC 在首次登录或启动会话时都会被提示安装轻量级启动器。
• ETX Server 使用嵌入式 Eclipse Jetty Web 服务器,该服务器占用空间小,潜在攻击者的表面积最小,
• ETX 服务器和节点既可以安装在 VPN 中,也可以安装在 HTTP(S) 代理或负载平衡器(Load balancer)下供承包商和客户访问。
• HTTP(S) 代理或负载平衡器(Load balancer)可以通过在这些主机上使用私有地址来阻止与 ETX 服务器和节点的直接连接。
• HTTP(S) 证书和节点证书确保与后端系统的连接是安全的。
• ETX 管理门户可以托管在只能从 VPN 或专用网络内访问的专用端口上,从而确保攻击者无法获得管理访问权限。
全球生产力与协作
由于员工和外部合作伙伴之间的简单协作提高了生产力。 Exceed TurboX 提供强大的屏幕共享功能,包括将控制权传递给远程用户的能力,以实现高效的全球劳动。
集成高可用性
Exceed TurboX 12 服务器现在可以部署在一个高可用性服务器“集群”中,以最大的正常运行时间提供对 Exceed TurboX 服务器的高可用性访问。 HA 集群中的每台服务器都处于活动状态,因此可以通过前端 Web 负载均衡器将会话分发到集群中的每台 Exceed TurboX 服务器。 这种新的 HA 模型遵循高可用性 Web 服务器的企业最佳实践,并取代了以前版本中的“故障转移”模型,该模型需要企业数据库复制并且仅支持单个“主”服务器。 在集群模型中,数据在 Exceed TurboX 服务器之间自动同步,因此故障的 Exceed TurboX 服务器可以在以后重新上线,而不会出现数据损坏或数据同步问题。
管理更轻松
Exceed TurboX 服务器的安装过程已简化为两个步骤:解压文件并启动服务器。 配置可以从命令行和 REST API 完全自动化,但也可以完全通过 Exceed TurboX 服务器管理器(Web 控制台)完成。 添加了新消息以通知服务器管理员出现问题,例如磁盘空间不足或无法访问许可证服务器或 HA 集群中的其他服务器。