Monitoring: BalaBits Shell Control Box von Citrix zertifiziert

Mit der Shell Control Box (SCB) hat Citrix das PAM-Tool (Privileged Identity Management) des IT-Sicherheitsspezialisten BalaBit offiziell für den Einsatz mit XenDesktop und XenApp 7.6 freigegeben. Mit der SCB können IT-Abteilungen, speziell Sicherheitsfachleute, den Zugriff auf Remote-Server, virtuelle Desktops und Netzwerksysteme kontrollieren.

Außerdem erstellt die SCB so genannte Audit Trails. Sie dokumentieren beweissicher, wer was auf welchen IT-Systemen "angestellt" hat, etwa auf welche Datenbanken ein Mitarbeiter Zugriff hatte. Das ermöglicht es, sicherheitsrelevante Vorkommnisse oder Verstöße gegen Compliance-Regeln nachzuvollziehen. Auch bei der Suche nach Cyber-Kriminellen helfen solche Aufzeichnungen.

Auch für XenApp 7.6 geeignet

Die Shell Control Box unterstützt Citrix HDX für den Zugriff auf virtualisierte Desktop- und Anwendungsserver-Umgebungen von Citrix. Nach Angaben von BalaBit ist die SCB die erste Client- und Server-unabhängige Lösung, mit der sich Implementierungen von XenDesktop und XenApp 7.6 kontrollieren lassen. Allerdings arbeitet die SCB nicht nur mit Citrix Xen zusammen, sondern auch mit VMware View. Zudem lässt sich die virtualisierte Version der Lösung als VM unter Microsoft Hyper-V einsetzen.

Weitere technische Details

Neben der Virtual Appliance ist die SCB auch in einer Hardware-gestützten Variante verfügbar. Das System arbeitet als transparentes Proxy-Gateway. Gut ist, dass Administratoren weder an den Servern noch an den Client-Anwendungen Modifikationen vornehmen müssen.

Das Monitoring-System läuft unabhängig von den kontrollierten IT-Usern. Das schließt Manipulationen aus und macht die Installation und Wartung von Agenten auf Produktionsservern überflüssig. Unterstützt werden neben bereits erwähnten XenApp, XenDesktop und VMware View auch SSH-, RDP- und HTTP(S)-Verbindungen sowie Telnet/TN3270, VNC, Citrix ICA und SCP/SFTP. Das ermöglicht das Auditieren von heterogenen IT-Umgebungen, einschließlich Netzwerksystemen, Firewalls sowie Citrix-, Windows-, Unix- und Linux-Servern.

Einhaltung von Regeln umsetzen

Noch ein Blick auf zwei weitere Funktionen: Der Systemverwalter kann mithilfe der SCB festlegen, welche Nutzer oder Nutzergruppen auf bestimmte Netzwerkdienste und Daten zugreifen dürfen. Nötigenfalls kann die IT-Abteilung unerwünschte oder potenziell gefährliche Protokolle und Anwendungen ganz sperren, etwa FTP-Filetransfers oder File-Sharing.

Die zweite Funktion betrifft die Interventionsoptionen der SCB, wenn sie Verstöße gegen Policies feststellt. In diesem Fall lässt sich das System so konfigurieren, dass es Netzwerkverbindungen blockiert. Der Administrator kann beispielsweise festlegen, dass dies bei der Eingabe bestimmter Befehle auf der Kommandozeilen-Ebene der Fall ist.