OpenText Exceed TurboX (ETX) 安全功能介绍

将所有重要的知识产权（IP ）相关数据保存在受良好保护的中央数据中心是保护 IP 的最佳做法。安全的远程访问是保护知识产权的关键。

• 所有数据流量均采用最新标准加密技术进行加密
• ETX 整合多种身份验证系统
• ETX 集中管理用户、会话和数据中心基础设施
• 保护您的 IP 的安全架构

许多企业希望通过数据中心整合减少 IT 支出并提高集中化管理，他们还需要为 Linux®、Unix® 和 Microsoft®Windows® 上软件图形要求高的用户提供高性能的远程访问。

这类软件，以及其他图形要求高的设计和建筑软件，是许多企业用来设计其核心产品的工具，例如半导体、引擎部件或架构。企业正在寻找涵盖图形要求高的和标准业务用户桌面的解决方案，以实现虚拟化的好处。

知识产权保护和安全
2016 年的一项研究表明，60% 的知识产权泄露是由疏忽或员工恶意所为。这就是为什么处于工程、制造、石油和天然气勘探、科学研究、金融交易、医疗成像、建筑设计和其他处理敏感数据的行业的众多企业已经将他们的数据（以及读取和写入该数据的应用程序）从用户工作站转移到安全的数据中心。
远程访问软件 (RAS) 是信息安全难题的关键部分，因为它为用户查看和编辑信息资产提供了进入安全环境的唯一入口。 RAS 解决方案必须非常安全，以确保数据不会离开数据中心。 Exceed TurboX 是为需要最高安全标准来保护其敏感数据的客户而开发的。

• 文件传输、打印和复制/粘贴功能可以根据应用程序、用户、用户组或用户位置（子网）打开或关闭。
• 可以记录本地和远程系统之间复制/粘贴操作的剪贴板内容。
• 可以单向或双向启用文件传输和复制/粘贴操作。
• IT 保持对用户权限的完全控制，包括可以访问哪些主机、哪些应用程序或脚本可以在这些主机上运行，以及由哪些用户或用户组运行。
• 单个 ETX 服务器可以跨不同地理位置的多个数据中心实施企业范围的安全性。
• 借助VPN 或HTTP(S) 代理支持，ETX 给来自外部的客户和承包商站点提供了安全访问，无需将数据传输给第三方或通过机场安检传输敏感数据。
• 会话窗口可以在客户端屏幕截图中被清空，从而阻止用户捕获敏感应用程序和数据的图像。

加密和身份验证
• 所有ETX 连接都经过加密并验证服务器身份，以防止网络窥探和中间人攻击。
• 客户端浏览器和 ETX Web 服务器之间的数据流量使用 TLS 加密并支持 HTTPS 证书。
• 远程会话使用 TLS 1.3 加密；建立会话时通过证书验证服务器身份。
• ETX 节点和应用程序主机之间的后端连接可以使用 SSH 加密。
• ETX 服务器、节点和许可证服务器之间的后端连接采用 TLS 1.3 加密。

集中管理
• Exceed TurboX 使 IT 员工小组能够管理跨多个区域数据中心的数千个应用程序和桌面主机，从而使 IT 能够保持对复杂计算环境的控制。
• 电子邮件警报将环境问题通知管理员，包括内存或磁盘空间问题、冻结或用户会话的失控，以及可能导致停机的其他问题。
• 为用户登录、应用程序和桌面启动、配置更改和权限更改提供完整的审计轨迹。
• 应用程序服务器可以分组到区域中，针对这些服务器组的配置文件可以发布到这些区域中的用户组，从而确保最佳网络性能并在区域之间创建逻辑分离。
• 安装到 ETX Server 的软件更新会推送给所有用户和主机，从而可以快速修补错误并轻松部署新的安全功能。
• 可以为每个用户或每个组设置详细的权限，以便快速轻松地管理权限。

验证
ETX 支持以下认证方式：
• 轻量级目录访问协议 (LDAP)
• Microsoft® Active Directory® (AD)
• UNIX 可插入身份验证模块 (PAM)
• UNIX 本机帐户
• OpenText 目录服务 (OTDS) 通过 OAuth2 和其他 2FA 提供商对多种身份验证系统提供访问
• Kerberos 单点登录 (SSO)

ETX 通过将 ETX 登录凭据安全地转发到后端桌面和应用程序服务器，为 Windows 和 UNIX 主机提供单点登录。这包括将 Kerberos 票证从浏览器转发到 SSH 主机以获得端到端 SSO 支持。

ETX 的其他身份验证功能包括：
• 用于基于 REST 的管理和启动配置文件的 API 密钥。
• 永久或临时ETX 帐户锁定以防止密码暴力攻击，而不锁定域帐户。
• 从身份验证目录中批量导入用户和分配权限。
• 用户权限的详细定制
• 能够在成功登录或阻止新帐户时创建新的帐户（需要由 ETX 管理员手动创建）

如果您使用第三方解决方案进行单点登录或联合身份验证，OpenText 目录服务 (OTDS) 是一个免费的身份验证服务器，支持第三方 SSO、ADFS、SAML、OAuth2 甚至自定义身份验证。对于使用混合目录和安全身份验证解决方案的公司，OTDS 可以同时针对多个系统进行身份验证。

安全架构
ETX 客户端软件不需要管理员权限即可安装； 任何 Mac、Linux 或 Windows PC 在首次登录或启动会话时都会被提示安装轻量级启动器。

• ETX Server 使用嵌入式 Eclipse Jetty Web 服务器，该服务器占用空间小，潜在攻击者的表面积最小，
• ETX 服务器和节点既可以安装在 VPN 中，也可以安装在 HTTP(S) 代理或负载平衡器（Load balancer）下供承包商和客户访问。
• HTTP(S) 代理或负载平衡器（Load balancer）可以通过在这些主机上使用私有地址来阻止与 ETX 服务器和节点的直接连接。
• HTTP(S) 证书和节点证书确保与后端系统的连接是安全的。
• ETX 管理门户可以托管在只能从 VPN 或专用网络内访问的专用端口上，从而确保攻击者无法获得管理访问权限。

如有疑问，请留言或私信。