Af Tom Madsen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Skyen, og de services der kommer med skyen, breder sig med lynets hast. I den forbindelse er der flere og flere applikationer, der bliver leveret til slutbrugerne via en browser. Skyen kan være af både privat og offentlig karakter eller en hybridudgave.
Det at skulle levere en applikation til brugerne via en browser giver en systemadministrator flere problemer.
For det første ved administratoren som regel ikke, hvad det er for en platform, som brugeren befinder sig på. Det kan være Mac, Windows eller en Linux-platform.
Vi har alle sammen skrækhistorier om en applikation, der ikke virker i en bestemt browser eller på et specifikt operativsystem. Oven i disse standardproblemer har vi udfordringen med, at brugerne installerer forskellige plugins i deres browsere. Mange af disse plugins har sikkerhedshuller, der bliver tilføjet de huller, der allerede er i browseren.
Reducerer administration
Hvad skal en sikkerhedsbevidst systemadministrator gøre for at sikre, at de applikationer, der bliver leveret via en browser, ikke bliver kompromitteret af slutbrugerne?
Systemadministratoren kunne naturligvis tilbyde den klassiske løsning med en remote desktop eller en vpn-forbindelse. Men det vil betyde yderligere administrative byrder og yderligere it-infrastruktur. Hele ideen bag at tilbyde applikationen via en browser er at reducere den administrative byrde til kun den tilbudte applikation. Oven i disse udfordringer, understøtter den tilbudte applikation måske kun support for en specifik version af Internet Explorer.
Det er f.eks. tilfældet for SAP og PeopleSoft. Samlet set, er disse udfordringer noget, som systemadministratorer står overfor på en daglig basis. Og med skyens stigende udbredelse, så vil disse udfordringer kun blive mere udtalte. På figur 1 kan du se en opgørelse fra Garner, der illustrerer, at ca. 50 % af alle applikationer nu bliver leveret via en browser.
I 2014 blev 50 % af alle applikationer leveret via en browser.Løsning fra Citrix
På opfodring fra mange af deres kunder er Citrix kommet med en løsning, der kan reducere eller direkte fjerne mange af disse problemer. Løsningen kalder de for ’Citrix Secure Browser’. For dem af jer, der allerede bruger Citrix i jeres infrastruktur, vil løsningen være baseret på en teknologi, som I allerede bruger, nemlig Xen, helt specifikt XenApp.
XenApp i sin seneste version 7.8 giver en systemadministrator mulighed for at publicere en applikation, ikke til en virtuel desktop, men derimod til en browser. Det eneste, der kræves af browseren, er, at den understøtter HTML5. Det vil naturligvis udelukke mange af de ældre browsere, men eftersom langt de fleste browsere i dag kommer med HTML5, så bør problemet på klienterne være minimalt. Og det er klienterne, der er målet for publiceringen af applikationerne.
Lad os forestille os en applikation, der kun understøtter Internet Explorer 8. Det vil være et mareridt for en sikkerhedsansvarlig, hvis virksomheden skulle kræve af deres klienter, at de kørte en Internet Explorer-version, der ikke længere bliver understøttet af Microsoft og derfor ikke længere får sikkerhedsopdateringer.
Fungerer stort set overalt
Her kommer Secure Browser-løsningen fra Citrix ind i billedet. Med denne kan systemadministratoren installere en klient-computer med de krævede versioner af en browser til virksomhedens applikation og publicere denne applikation til en klient. Klienten kan være hvad som helst, en tablet, en Mac eller en Windows-maskine, når bare den browser, som applikationen bliver åbnet i, understøtter HTML5, så vil det fungere.
Det er en god ide for rigtig mange firmaer, for på klienten vil applikationen eksekvere som en HTML5-applikation, mens applikation i virkeligheden vil køre i en Internet Explorer 8 i et af virksomhedens datacentre. Så virksomhedens, lad os sige SAP-system, vil fungere fint i en Chrome-browser på en Android Tablet, selvom SAP kræver en Internet Explorer 8 for at fungere. SAP vil dermed fungere i den seneste version af browseren på det system, som slutbrugeren har valgt som platform. SAP vil bare køre som et HTML5-vindue til det system, der kører tilbage i virksomhedens datacenter.
Mindre sårbarhed
Der er en bonus oven i dette scenarie. Normalt, når vi navigerer væk fra en applikation, der eksekverer i en browser, så vil mange af de ressourcer, som browseren har brugt i applikationen stadigvæk være åbne i applikationen. Det kan f.eks. være åbne filer eller porte til en database, der normalt vil forblive åbne, efter at brugeren er navigeret væk fra applikationen. Disse ressourcer vil være åbne, indtil de timer ud og bliver lukket automatisk.
Den adfærd vil betyde, at disse ressourcer vil være sårbare, hvis en bruger navigerer fra firmaets applikation til en hjemmeside, der f.eks. installerer noget farligt software i browseren.
En applikation, der er blevet publiceret via XenApp, vil, når brugeren navigerer væk fra applikationen, i stedet for automatisk lukke de ressourcer, som applikationen har brugt. På den måde vil applikationen ikke være sårbar over for de hjemmesider, som brugeren nu anvender. Ved at bruge Citrix Secure Browser-teknologi vil en systemadministrator have fuld kontrol over den platform, som brugeren skal anvende, uden at skulle bekymre sig om det eller de enheder, som en slutbruger kan tænkes at bruge, når han/hun skal bruge virksomhedens applikationer.
Selvom den eller de applikationer, som virksomheden bruger, eventuelt skulle kræve gamle og sårbare browsere, så kan applikationerne blive leveret til brugeren uden, at det er nødvendigt at kompromittere sikkerheden i leveringen af disse applikationer.
Krav til infrastrukturen
Hvad kræves der af din infrastruktur, hvis du skal kunne bruge Secure Browser? Du skal bruge Windows Server 2008R2 eller senere.
På figur 2 kan du se, hvordan det ser ud, når en applikation bliver publiceret fra en Windows Server 2012R2. Læg mærke til, at du kan vælge at publicere til en desktop, men hvis du gør det, så er du stadigvæk i den situation, at du skal til at bekymre dig om de enheder, som brugerne vælger i deres hverdag.
Det er stadigvæk en mulighed atpublicere en applikation direkte til en klient
med Secure Browser.
Systemadministratoren skal tillige til at tage sig af desktop management og patching af de applikationer, som brugerne har på deres enheder.
Hele ideen bag Secure Browser er at eliminere behovet for at bekymre sig om sikkerheden på de enheder, som brugerne tilgår virksomhedens applikationer med, og det er derved en mulig løsning for problemer hos mange virksomheder.
