我最近与一家大型医疗保健组织举行了一次会议,他们对使用内置浏览器的安全工作区访问解决方案很感兴趣Citrix工作区应用.然而,在看到一个演示后,他们的反应大致是:“那么,我为什么需要这个?”普通浏览器有什么问题?”
首先,让我们澄清一些浏览器定义。
嵌入式浏览器-这是一个基于chromium的浏览器,嵌入在Workspace应用程序中,在传统的Receiver组件中增加了可配置的安全功能。
Citrix安全浏览器服务-这是一个托管在Citrix Cloud虚拟机上的浏览器,每次使用都会启动和删除。该浏览器可以是标准浏览器,也可以是Citrix嵌入式浏览器托管。
Citrix Virtual App (XenApp)安全浏览器-类似于安全浏览器服务,但浏览器是由组织的Citrix虚拟应用和桌面(XenApp)数据中心托管(发布)的。
本机浏览器—Windows或Mac的本地默认浏览器(Chrome, IE, Edge, Safari)
随着组织采用和扩展SaaS和Web应用程序的使用,这些应用程序通常部署到本地“常规”浏览器上。问题是,尽管初始登录可能有一些身份验证控制,但IT无法控制SaaS/Web会话。用户可以下载任意数量的数据,复制和粘贴到未经授权的服务或设备,打印任何敏感信息,敏感数据可以缓存到浏览器中。如果SaaS应用程序包含指向危险恶意软件网站或违反政策的链接,标准浏览器就无法提供保护。不仅无法控制SaaS和网络流量,IT对正在发生的事情没有可见性.
然而,如果一个组织采用Citrix工作区, IT能够安全地向用户交付SaaS和web应用程序,并且仍然保持对SSO身份验证和整个会话的完全控制。在每个应用程序的基础上,IT可以配置SaaS/web应用程序从工作区应用程序启动,并在嵌入式浏览器中使用增强的安全特性。这包括复制/粘贴控制和水印,以及定义控制栏功能以包括或排除打印的能力。不久,IT还可以添加应用程序保护策略,包括击键记录器和屏幕复制保护。
启用了Citrix工作区和安全工作区访问功能后,如果用户点击SaaS应用程序中的链接,URL就会通过一个网络过滤器来屏蔽任何已知的恶意网站和违规策略。如果URL是未知的,那么它就会被无缝地定向到安全浏览器服务,在组织的网络之外安全地打开。这比标准的网络过滤器更有效,后者不会发现零日攻击或可能阻止合法网站访问。
此外,信息被(由IT控制)发送到Citrix分析平台,然后可以识别和评分用户行为风险,通知IT/安全,甚至注销和阻止用户。当SaaS应用程序配置了用于SSO的SAML时,SaaS服务将自动重定向到Citrix安全工作区访问,并阻止用户通过后门访问。例如,如果用户下载了过多的敏感数据,就会被标记甚至阻止。此功能可以增强甚至替代CASB(云访问安全代理)解决方案,后者有自己的开销和限制。
对于没有增强安全需求的SaaS和Web应用程序,IT部门可以配置应用程序以单点登录启动,或者只提供指向指定url的链接。对于对浏览器有特殊要求的SaaS和Web应用程序,如IE或特定插件,Citrix虚拟应用程序安全浏览器(CVAD)可以与在嵌入式浏览器中启动的其他应用程序一起发布。
请注意,嵌入式浏览器在PC/Mac上本地打开,不消耗服务器、存储或额外的许可证,在没有传统开销的情况下提供了显著的控制水平。
“好吧,我们的安全人员会喜欢这个……但它对用户有什么好处呢?”
用户还可以以多种方式从工作区访问控制中获益。他们把所有的应用程序放在一个地方,并可以最爱那些他们用得最多的。SaaS应用程序与托管的Windows和web应用程序并排显示。通过一次Citrix Workspace认证后,他们可以立即SSO访问任何SaaS应用程序。应用程序在本地快速启动。
在Windows中,所有的应用程序都可以在开始菜单和任务栏中以真正的应用程序的形式出现,而不是浏览器图标。在Mac SaaS应用程序图标出现在本地dock。
如果用户没有Citrix工作区应用,他们仍然可以从任何HTML5浏览器访问,然后将路由增强的安全应用程序在安全浏览器服务中打开。
展望未来,考虑如何控制浏览器,以提供一个平台,以添加额外的功能,包括额外的分析,安全,控制和更好的用户体验。请继续关注案例研究,如果有任何问题请告诉我。
