Referenzarchitektur: Sicherer privater Zugriff
Zielgruppe
Dieses Dokument richtet sich an technische Experten, IT-Entscheidungsträger, Partner und Sicherheitsberater von Citrix, die den Citrix Cloud-Dienst Secure Private Access erkunden und einsetzen möchten. Der Leser muss grundlegende Kenntnisse über Citrix Produkte, Sicherheit und Citrix Cloud-Frameworks haben. Weitere Informationen zu Citrix Cloud und seinen Diensten finden Sie in der offiziellen Produktdokumentation fürCitrix Cloud.
Ziel dieses Dokuments
Dieses Dokument bietet einen technischen Überblick und die Architektur von Citrix Secure Private Access, die bedingten Zugriff auf Cloud-Apps und Internet-Browsing ermöglicht und so die allgemeine Sicherheits- und Compliance-Situation des Unternehmens verbessert. Citrix Secure Private Access kombiniert Elemente verschiedener Citrix Cloud-Dienste, um Endbenutzern und Administratoren ein integriertes Erlebnis zu bieten.
Das Dokument unterstützt Administratoren bei der Bereitstellung eines sicheren digitalen Workspace mit einer konsolidierten Lösung unter Verwendung von Citrix Secure Private Access, das in mehrere Citrix Cloud-Dienste integriert ist, darunter den Citrix Gateway Service und den Remote Browser Isolation Service. Zur Überwachung des Benutzerverhaltens und der Benutzeraktivität ist Citrix Secure Private Access in den Citrix Analytics Service integriert
Sicherheitskontrollen und Risikominderung
In der heutigen Geschäftswelt sind Benutzerdaten eines der wertvollsten Rohstoffe, und Unternehmen finden weiterhin mehr Wert darin. Die meisten Verstöße in Unternehmen sind auf unzureichende Sicherheitskontrollen, übermäßige Berechtigungen, die internen Benutzern gewährt wurden, und auf die übermäßige Abhängigkeit von netzwerkbasierten Sicherheitskontrollen zurückzuführen. Viele Unternehmen haben es leider versäumt, wirklich einen sicheren, gründlichen Ansatz zur Stärkung ihrer Umwelt zu verfolgen.
Viele IT-Abteilungen innerhalb von Organisationen verfügen nicht über eine Lösung, um den Zugriff auf Benutzer zu kontrollieren, die auf eine ständig wachsende Anzahl von SaaS-basierten Unternehmensanwendungen zugreifen. Zusätzlich zu den Sicherheitsrisiken, die durch die Interaktion von Unternehmensdaten mit nicht verwalteten SaaS-Apps entstehen, geht die Benutzerproduktivität durch die Anmeldung bei mehreren Apps verloren. Darüber hinaus kann die Erinnerung an mehrere Kennwörter häufig zu schlechten Kennwortgewohnheiten führen, z. B. dass dasselbe Kennwort für mehrere Websites verwendet wird.
Das Surfen im Internet stellt heute ein weiteres Risiko für Unternehmen dar. Laut Sicherheitsexperten nutzen die meisten Angriffe Sicherheitslücken in Websites, Browsern und Browser-Plug-ins aus. Als Reaktion darauf verbieten einige Unternehmen das Surfen im Internet sogar vollständig, was die Produktivität erheblich beeinträchtigen kann.
Einige Web- und SaaS-Apps benötigen eine bestimmte Browserversion oder ein Plug-In, um ordnungsgemäß zu funktionieren. In der sich schnell verändernden Browserlandschaft stellt die Sicherstellung der Benutzerfreundlichkeit von Unternehmensweb- und SaaS-Apps schnell eine ressourcenintensive Supportaufgabe dar.
Viele IT-Abteilungen haben keine vollständig definierte Strategie für die Verwaltung von SaaS-Anwendungen, was zu erheblichen Sicherheits- und Compliance-Risiken führt. Andere verfolgen einen fragmentierten Ansatz, der zu mehreren Punktlösungen führen kann, wie zum Beispiel:
Bereitstellung einer Single Sign-On-Lösung:Diese Lösung trägt zur Rationalisierung der Benutzererfahrung bei und kann eine Multifaktor-Authentifizierung beinhalten, aber diese Lösungen verfügen in der Regel nicht über detaillierte Richtlinienkontrollen für Apps, sobald sich Benutzer anmelden.
Bereitstellung von Webfiltern zur Steuerung oder zum Herunterfahren des externen Surfens:Diese Lösung schützt Benutzer vor dem Besuch bösartiger Websites. Viele Funktionen fehlen jedoch nicht den Sicherheitsrichtlinien für SaaS-Apps, was viele Kunden dazu veranlasst, zusätzlich zu einem Web-Gateway mehrere Lösungen bereitzustellen.
Veröffentlichen von Browsern für jede SaaS-Anwendung:Das Veröffentlichen eines Webbrowsers mit Citrix Virtual Apps and Desktops ist eine bewährte Methode zur Steuerung des Zugriffs auf nicht genehmigte SaaS-Anwendungen. Es erfordert jedoch eine andere IT-Ressource für die Verwaltung und ist nicht die gleiche Benutzererfahrung wie die direkte Verbindung mit einer SaaS-App über einen Browser.
Übergeben Sie das Management von SaaS-Anwendungen an die Abteilungskontrolle innerhalb des Unternehmens:这位拟设offnet Sicherheits——和Compliance-Lücken und verpasst die Möglichkeit, das Benutzerverhalten und die App-Nutzung zu verstehen, ist jedoch häufig die Standardstrategie für die IT, wenn sie mit begrenzten Ressourcen konfrontiert wird.
Citrix hat eine bessere Methode entwickelt, um den Zugriff auf genehmigte SaaS- und Webanwendungen mit einem benutzerzentrierten Ansatz zu sichern, im Gegensatz zu herkömmlichen Methoden, die die Sicherheit nicht berücksichtigen. Citrix Workspace bietet kontextbezogenen und sicheren Zugriff auf SaaS-, Web- und virtuelle Desktops und Anwendungen, reduziert die Exposition gegenüber Insider- und Outsider-Bedrohungen, sichert die Zusammenarbeit an Inhalten und bietet Analysen zum Benutzerverhalten und proaktive Sicherheitseinblicke.
Das vorherige Diagramm zeigt die traditionelle Citrix-Umgebung, in der Endpunkte über Citrix ADC eine Verbindung herstellen, um auf ihre Ressourcen zuzugreifen. Auf diese Ressourcen - einschließlich Apps, Desktops und Daten - wird on-premises zugegriffen, und auf einige der externen Ressourcen wird über das Internet zugegriffen, einschließlich SaaS-basierter Anwendungen. Benutzer greifen über Secure Gateway und Webfilterdienste sicher auf diese externen Ressourcen zu.
Die Workspace-App ist ein einziger Einstiegspunkt für den Zugriff auf Ressourcen von jedem Gerät aus. Es bietet Endbenutzern einzigartige Funktionen mit verbesserter Sicherheit durch den Einsatz eines Unternehmensbrowsers. Eine Netzwerk-Engine innerhalb der Workspace-App optimiert den Netzwerkverkehr und bietet zusätzlich zu den Micro-VPN-Funktionen für bestimmte Anwendungen ein SSL-VPN. Endbenutzer sind über Citrix ADC verbunden, das Identitäts- und Zugriffsmanagementfunktionen bietet.
Die Sicherheitsüberwachung ermöglicht die Überwachung des Endbenutzerverhaltens und die Erkennung von Bedrohungen innerhalb des Netzwerks. Datensicherheit umfasst DLP und IRM, um die Kontrolle über Daten zu behalten, wenn Benutzer mit Dateien arbeiten oder diese gemeinsam nutzen. Citrix Cloud-Webfilterung, Citrix Analytics und Citrix Gateway Service bieten eine konsolidierte Lösung, um Endbenutzern einen sicheren digitalen Workspace zu bieten.
Citrix Secure Private Access
CitrixSecure Private Accesskombiniert die Funktionen des sofortigen sicheren Zugriffs auf SaaS- und Webanwendungen über Single Sign-On (SSO) zusammen mit browser- und cloudbasierten App-Steuerelementen, Webfilterungsrichtlinien und integrierten Benutzerverhaltensanalysen. Citrix Secure Private Access geht über herkömmliche SSO-Funktionen hinaus und führtCloud-App-Steuerung静脉-一张Reihe erweiterter Sicherheitskontrollenfür SaaS- und Unternehmens-Webanwendungen, die bedingten Zugriff auf Cloud-Apps bieten und Benutzeraktionen auf der Grundlage von vom Administrator gesteuerten Zugriffsrichtlinien schützen. Diese Lösung verbessert die allgemeine Sicherheits- und Compliance-Haltung des Unternehmens. Die Benutzererfahrung bleibt nahtlos und integriert, da auf die SaaS- und Web-Apps zusammen mit ihren mobilen Apps, virtuellen Apps und Desktops als integrierter Bestandteil von Citrix Workspace zugegriffen werden kann.
Citrix Secure Private Access kombiniert Elemente verschiedener Citrix Cloud-Dienste, um Endbenutzern und Administratoren ein integriertes Erlebnis zu bieten.
| Funktionalität | Service/Komponente, die die Funktionalität bereitstellt |
|---|---|
| Konsistente Benutzeroberfläche zum Zugriff auf Apps | Arbeitserlebnis/WS App |
| SSO zu SaaS und Web-Apps | Citrix Gateway Servicestandard |
| Webfilterung und Kategorisierung | Webfilter-Dienst |
| Verbesserte Sicherheitsrichtlinien für SaaS | Cloud-App-Steuerung |
| Sicheres Surfen | Remote-Browser-Isolationsdienst |
| Sichtbarkeit des Website-Zugriffs und riskantes Verhalten | Citrix Analytics |
Warum Citrix Secure Private Access?
Die Datensicherheit wird durch die Notwendigkeit gekennzeichnet, die Datenintegrität und Vertraulichkeit zu gewährleisten und das geistige Eigentum des Unternehmens zu schützen. Unternehmen stehen heute vor verschiedenen Herausforderungen wie:
- Mehrere Point-Produkte, die schwer zu verwalten sind und über unterschiedliche Policy-Infrastrukturen verfügen
- Bereitstellung eines sicheren Remote-Zugriffs für Endbenutzer für den Zugriff auf Unternehmensinformationen
- Schutz des in Cloud- und SaaS-Apps gespeicherten geistigen Eigentums bei gleichzeitiger Einhaltung gesetzlicher Vorschriften
- Einblick in Cloud- und SaaS-Apps nach SSO gewinnen und Risikobewertungen abrufen
Citrix Secure Private Access unterstützt IT- und Sicherheitsadministratoren dabei, den autorisierten Endbenutzerzugriff auf genehmigte SaaS- und von Unternehmen gehostete Web-Apps zu steuern. Benutzeridentitäten und -attribute werden verwendet, um Zugriffsrechte zu bestimmen, und Secure Private Access-Richtlinien legen fest, welche Berechtigungen für die Ausführung von Vorgängen erforderlich sind
Die Integration von Citrix Secure Private Access bietet mehrere Vorteile:
Nahtlose Benutzererfahrung mit Single-Sign-On für SaaS und gehostete Anwendungen:Diese Funktion wird durch eine Kombination aus Workspace-App und Gateway-Service bereitgestellt
Größere Kontrolle für die IT mit organisierter Bereitstellung und Zugriff für SaaS-Anwendungen:Bietet der IT eine Möglichkeit, SaaS-Anwendungen den Mitarbeitern ihrer Belegschaft einfach zuzuweisen
Verbesserte Sicherheit mit Richtlinienkontrollen für die SaaS-Nutzung:Cloud-App-Steuerung genannt, eine neue Funktion, die der IT die Möglichkeit bietet, Sicherheitsrichtlinien für die SaaS-Anwendungen durchzusetzen, die sie den Mitarbeitern bereitstellen
Flexibilität für den kontrollierten Zugriff auf öffentliche Internetinhalte oder unbekannte SaaS-Apps ohne Abstriche bei der Sicherheit: Diese Funktion wird durch eine Kombination aus Remote Browser Isolation-Dienst und Webfilterfunktionen ermöglicht, sodass Websites auf die Whitelist/Blacklist gesetzt oder in einem isolierten Browser gerendert werden können
Einblick in die SaaS-Nutzung und Benutzer-Webaktivität:Diese Funktion bietet eine Teilmenge von Citrix Analytics für SaaS- und Webaktivitäten, um mehr Transparenz für Sicherheit und Compliance zu bieten
Citrix Secure Private Access und Citrix Cloud
Citrix Secure Private Access ist einer der Dienste, die von Citrix Cloud angeboten werden. Um auf diese Dienste zugreifen zu können, muss ein Administrator über ein Citrix-Konto (auch bekannt als Citrix.com- oder My Citrix-Konto) verfügen, um Lizenzen zu verwalten und auf die Umgebung zuzugreifen.
Ein Citrix-Konto verwendet eine Organisations-ID (OrgID) als eindeutige Kennung. Der Administrator kann auf seinCitrix-Konto zugreifen, indem er sich mit dem mit dem Konto verknüpften Benutzernamen oder der E-Mail-Adresse bei citrix.comanmeldet. Zunächst leitet Citrix Cloud zuhttps://citrix.cloud.comum, um ein Konto zu erstellen, oder melden Sie sich mit einem vorhandenen Citrix-Konto an, um eine Testversion für Cloud-Dienste zu aktivieren.
Ein Citrix Cloud-Konto ermöglicht Administratoren einen breiten administrativen Zugriff auf die Dienste. Daher verlangt Citrix, dass der erste Administrator, der das Citrix Cloud-Konto erstellt, anderen Administratoren bei Bedarf explizit Zugriff gewährt, auch wenn der andere Administrator bereits Mitglied des vorhandenen MyCitrix-Kontos ist.
Citrix安全的私有访问这是Losung,死亡als Kachel auf der Citrix Cloud-Konsole angezeigt wird und die Integration zwischen dem Citrix Gateway Service, dem Web Filtering Service, dem Remote Isolation Service und dem Citrix Analytics Service umfasst.
Sicherer privater Zugriff:Der Citrix Secure Private Access Service bietet ein einheitliches Erlebnis bei der Integration von Single Sign-On, Remote-Zugriff und Inhaltsüberprüfung in einer einzigen Lösung für End-to-End Secure Private Access.
Citrix Secure Private Access bietet Administratoren die folgenden Funktionen:
- Konfigurieren der Multifaktor-Authentifizierung für Endbenutzer
- Konfigurieren Sie einen Workspace, um von jedem Gerät aus sicher Zugriff auf Apps zu ermöglichen, zu verwalten und SaaS-Anwendungen aus der Bibliothek hinzuzufügen
- Konfigurieren Sie die Webfilterung, um Websites für Endbenutzer zuzulassen/zu blockieren und sie an den Citrix Remote Browser Isolation Service weiterzuleiten
Analytics:Citrix Analytics sammelt Daten im gesamten Citrix Portfolio an Produkten und generiert umsetzbare Erkenntnisse. Administratoren können Sicherheitsbedrohungen von Benutzern und Anwendungen proaktiv umgehen, die App-Performance verbessern und kontinuierlichen Betrieb unterstützen. Citrix Analytics sammelt Daten und bietet die folgenden Erkenntnisse:
- Sicherheitsanalysen
- Leistungsanalyse
- Operations Analytics
Gateway:Der Citrix Gateway Service bietet eine sichere Remotezugriffslösung, eine einheitliche Benutzererfahrung für konfigurierte SaaS-Apps sowie heterogene virtuelle Apps und Desktops. Die Bereitstellung von SaaS-Apps mithilfe des Citrix Gateway Services bietet eine einfache, sichere, robuste und skalierbare Lösung zur Verwaltung der Apps. SaaS-Apps, die in der Cloud bereitgestellt werden, bieten folgende Vorteile:
- Einfache Konfiguration: Einfach zu bedienen, zu aktualisieren und zu verwenden
- Single Sign-On: Problemlose Anmeldung mit SSO
- Standardvorlage für verschiedene Apps: Vorlagenbasierte Konfiguration beliebter Apps
Remote Browser Isolation:Der Citrix Remote Browser Isolation Service isoliert das Surfen im Internet, um das Unternehmensnetzwerk vor browserbasierten Angriffen zu schützen. Es bietet konsistenten, sicheren Remote-Zugriff auf eine im Internet gehostete Webanwendung, ohne dass eine Konfiguration des Benutzergeräts erforderlich ist.
Administratoren können im Handumdrehen sichere Remote-Browser einführen und so eine sofortige Amortisierung sicherstellen. Durch die Isolierung des Surfens im Internet können IT-Administratoren Endbenutzern sicheren Internetzugang bieten, ohne die Unternehmenssicherheit zu gefährden.
Identitäts- und Zugriffsmanagement
Die Identitäts- und Zugriffsverwaltung definiert die Identitätsanbieter und Konten, die für Administratoren, Abonnenten und Angebote von Citrix Cloud verwendet werden. Citrix Cloud verwendet den Citrix Identitätsanbieter, um die Identitätsinformationen für Benutzer im Citrix Cloud-Konto zu verwalten. Der Administrator hat die Möglichkeit, Azure Active Directory oder einen on-premises Active Directory-Dienst zu integrieren.
Um Verwaltungsaktivitäten durchzuführen und die Citrix Connector Appliance (oder den Cloud Connector) in Citrix Cloud zu installieren, verwenden Citrix-Administratoren ihre Identität, um auf Citrix Cloud zuzugreifen. Dieser Identitätsmechanismus ermöglicht die Authentifizierung für Administratoren, die eine E-Mail-Adresse und ein Kennwort verwenden. Administratoren können sich auch mit My Citrix-Anmeldeinformationen bei Citrix Cloud anmelden.
Die Identität eines Abonnenten definiert die Dienste, auf die dieser Abonnent in der Citrix Cloud Zugriff hat. Identität stammt von den Active Directory-Domänenkonten, die von den Domänen innerhalb des Ressourcenstandorts bereitgestellt Abonnenten können den Zugriff auf das Angebot von Citrix Cloud aus autorisieren, indem sie einem Bibliotheksangebot einen Abonnenten zuweisen.
Die lokale Active Directory-Kommunikation mit Citrix Cloud erfolgt über die hochverfügbare Citrix Connector Appliance (oder Cloud Connectors). Unternehmen, die sich für den Azure Active Directory-Dienst entscheiden, haben mehr Flexibilität bei der Verwaltung der Benutzerkonten, der Auditkontrolle und der Kennwortrichtlinien. Außerdem kann der Administrator die Multifaktor-Authentifizierung für ein höheres Sicherheitsniveau konfigurieren.
Citrix Secure Private Access mit verbesserter Sicherheit für SaaS-Apps
Citrix Cloud bietet die Single Sign-On (SSO) -Funktion für SaaS-Anwendungen über den Citrix Gateway Service. SSO bietet eine einheitliche Benutzererfahrung für webbasierte SaaS-Anwendungs-SSO und die Veröffentlichung auf der Benutzeroberfläche von Citrix Workspace Experience. Um eine Single Sign-On Benutzererfahrung zu ermöglichen, vertraut eine SaaS-App der SAML-Assertion, die vom Citrix Gateway Service bereitgestellt wird.
Das Aktivieren von Single Sign-On für SaaS-Anwendungen ist jetzt auf nur wenige Webformulare und das Klicken auf die Konfigurationsseite vereinfacht. Die Citrix Connector Appliance bietet einen Proxy für den internen webbasierten SaaS-Anwendungszugriff für den Benutzer der Workspace-App.
Referenz:Citrix Connector Appliance
Kontrolle über den Inhalt
Der Schutz von Benutzerdaten (SaaS-App-Benutzer) ist für die meisten Unternehmen eine herausfordernde Aufgabe. Durch die Verwendung von Citrix Secure Private Access können Unternehmen erweiterte Sicherheitsrichtlinien in SaaS-Anwendungen integrieren. Jede Richtlinie erzwingt eine Einschränkung für den Unternehmensbrowser, wenn Sie die Workspace-App für Desktop verwenden, oder für den sicheren Remote-Browser, wenn Sie die Workspace-App für Web oder Mobilgeräte verwenden.
- Bevorzugter Browser:Deaktiviert die lokale Browsernutzung und ist auf den Unternehmensbrowser (Workspace-App — Desktop) oder den Remote Browser Isolation-Dienst (Workspace-App — mobil und Web) angewiesen
- Zugriff auf Zwischenablage einschränken:Deaktiviert Ausschneiden/Kopieren/Einfügen zwischen der App und der Zwischenablage des Endpunkts
- Drucken einschränken:Deaktiviert die Möglichkeit, aus dem App-Browser zu drucken
- Navigation einschränken:Deaktiviert die Browser-Schaltflächen “Weiter/Zurück”
- Downloads einschränken:Deaktiviert die Fähigkeit des Benutzers, aus der SaaS-App herunterzuladen
- Wasserzeichen anzeigen:Überlagert ein bildschirmbasiertes Wasserzeichen, das den Benutzernamen und die IP-Adresse des Endpunkts anzeigt. Wenn ein Benutzer versucht zu drucken oder einen Screenshot aufzunehmen, wird das Wasserzeichen wie auf dem Bildschirm angezeigt
Single Sign-On mit Citrix Secure Private Access ohne erweiterte Sicherheit
| SL NO | Workspace-App mit sanktionierter SaaS-App | Lokaler浏览器麻省理工学院sanktionierter SaaS-App |
|---|---|---|
| 1 | Der Benutzer startet die Workspace-App auf dem Endpunkt. | Der Benutzer startet einen Webbrowser auf dem Endpoint, stellt eine Verbindung mit Workspace her und authentifiziert sich mit lokaler Active Directory oder Azure Active Directory. |
| 2 | Die Workspace-App stellt eine Verbindung zum Workspace her und authentifiziert sich über das on-premises Active Directory/Azure Active Directory. | Der lokale Browser wird mit genehmigten Ressourcen gefüllt. |
| 3 | Workspace-App wird mit genehmigten Ressourcen gefüllt. | Wenn der Benutzer eine SaaS-App auswählt, sendet der lokale Browser die Anfrage an Workspace, der eine URL zur einmaligen Verwendung anfordert und den Browser an den Gateway-Dienst weiterleitet. |
| 4 | Die Workspace-App sendet die Anfrage an Workspace, der eine einmalige URL vom Gateway-Dienst und einem bevorzugten Browser anfordert. | Der lokale Browser initiiert eine Verbindung zum Gateway-Dienst. |
| 5 | Der lokale Browser initiiert eine Verbindung zum Gateway-Dienst. | Der Gateway-Dienst fordert eine Assertion vom Single Sign-On-Microservice an. |
| 6 | Der Gateway-Dienst fordert eine Assertion vom Single Sign-On-Microservice an. | Der lokale Browser wird die Anmeldeseite der SaaS-App umgeleitet, auf der die Behauptung angezeigt wird. |
| 7 | Der lokale Browser wird auf die Anmeldeseite der SaaS-App umgeleitet, auf der die Behauptung angezeigt wird. | Die SaaS-App kontaktiert den Gateway-Dienst, um die Assertion zu überprüfen, und authentifiziert den Benutzer. |
| 8 | Die SaaS-App kontaktiert den Gateway-Dienst, um die Assertion zu überprüfen, und authentifiziert den Benutzer. | Nach der Authentifizierung erfolgt die Kommunikation direkt zwischen dem Browser und der SaaS-Anwendung. |
| 9 | Nach der Authentifizierung erfolgt die Kommunikation direkt zwischen dem Browser und der SaaS-Anwendung. |
Secure Private Access-Single Sign-On mit verbesserter Sicherheit
| SL NO | Workspace-App mit sanktionierter SaaS-App | Lokaler浏览器麻省理工学院sanktionierter SaaS-App |
|---|---|---|
| 1 | Der Benutzer startet die Workspace-App auf dem Endpunkt. | Der Benutzer startet einen Webbrowser auf dem Endpunkt, stellt eine Verbindung zu Workspace her und authentifiziert sich mithilfe des on-premises Active Directory oder Azure Active Directory. |
| 2 | Die Workspace-App stellt eine Verbindung zum Workspace her und authentifiziert sich über das on-premises Active Directory/Azure Active Directory. | Lokaler Browser wird mit genehmigten Ressourcen gefüllt. |
| 3 | Workspace-App wird mit genehmigten Ressourcen gefüllt. | Wenn der Benutzer eine SaaS-App auswählt, sendet der lokale Browser die Anfrage an Workspace, der eine URL zur einmaligen Verwendung anfordert und den Browser an den Remote Browser Isolation-Dienst weiterleitet. |
| 4 | Die Workspace-App sendet die Anfrage an Workspace, der eine Einmal-URL vom Gateway-Dienst anfordert. | Der lokale Browser initiiert eine sichere Remote-Browser-Verbindung. |
| 5 | Der Unternehmensbrowser initiiert eine Verbindung zum Gateway-Dienst. | Der sichere Remote Browser initiiert eine Verbindung zum Gateway-Dienst. |
| 6 | Der Gateway-Dienst fordert Assertion vom Single Sign-On-Microservice und erweiterte Sicherheitsrichtlinien vom Secure Private Access-Dienst an. | Der Gateway-Dienst fordert eine Bestätigung des SSO-Mikrodienstes und erweiterte Sicherheitsrichtlinien vom Secure Private Access-Dienst an. |
| 7 | Der Unternehmensbrowser wird auf die Anmeldeseite der SaaS-App umgeleitet, auf der die Assertion dargestellt wird. | Secure Remote Browser wird auf die Anmeldeseite der SaaS-App umgeleitet, auf der die Assertion angezeigt wird. |
| 8 | Die SaaS-App kontaktiert den Gateway-Dienst, um die Assertion zu überprüfen, und authentifiziert den Benutzer. | Die SaaS-App kontaktiert den Gateway-Dienst, um die Assertion zu überprüfen, und authentifiziert den Benutzer. |
| 9 | Nach der Authentifizierung erfolgt die Kommunikation direkt zwischen dem Browser und der SaaS-Anwendung. | Nach der Authentifizierung erfolgt die Kommunikation direkt zwischen dem Browser und der SaaS-Anwendung. |
Referenz:科技Uberblick uber Citrix安全的私人ccess
Kontextueller Zugriff
Die meisten SaaS-Apps sind sicher zu verwenden, obwohl ein Benutzer manchmal, wenn er auf einen Hyperlink in einer SaaS-App klickt, ein Sicherheitsrisiko für ein Unternehmen darstellen kann. Der Webfilter-Microservice ermöglicht, verweigert oder leitet die Hyperlink-Anfrage des Benutzers um.
| SL NO | Workspace-App mit verbesserter Sicherheit | Lokaler Browser mit verbesserter Sicherheit |
|---|---|---|
| 1 | Der Benutzer wählt in der SaaS-App einen Hyperlink aus. | Der Benutzer wählt in der SaaS-App einen Hyperlink aus. |
| 2 | Der Unternehmensbrowser in der Workspace-App sendet die URL an den Secure Private Access Service. | Secure Remote Browser sendet die URL an den Secure Private Access Service. |
| 3 | Der Secure Private Access-Dienst fordert eine Analyse der URL durch den Web Filtering-Mikroservice an. | Der Secure Private Access-Dienst fordert eine Analyse der URL durch den Web Filtering-Mikroservice an. |
| 4 | Bei blockierten Links verweigert der Webfilter-Microservice den Zugriff auf den Hyperlink. | Bei blockierten Links verweigert der Webfilter-Microservice den Zugriff auf den Hyperlink. |
| 5 | Bei genehmigten Links ermöglicht der Webfilter-Microservice dem Benutzer den Zugriff auf den Link mit dem Unternehmensbrowser. | Bei zugelassenen Links ermöglicht der Web Filtering-Microservice dem Benutzer, innerhalb seiner aktuellen Remote Browser Isolation-Dienstsitzung als neue Registerkarte auf den Link zuzugreifen. |
| 6 | 贝sendet der Web Filtering-Mi umgeleiteten链接croservice über eine Workspace-App den Link an den Remote Browser Isolation-Dienst, der eine neue virtuelle Browsersitzung für den Endbenutzer startet. | Bei umgeleiteten Links ermöglicht der Web Filtering-Microservice dem Benutzer, innerhalb seiner aktuellen Remote Browser Isolation-Dienstsitzung als neue Registerkarte auf den Link zuzugreifen. |
Übersicht über Webfilterung
Die Webfilterung ermöglicht die richtlinienbasierte Steuerung von Websites mithilfe der in URLs enthaltenen Informationen. Mit dieser Funktion können Netzwerkadministratoren den Benutzerzugriff auf bösartige Websites im Netzwerk überwachen und kontrollieren.
Dieses Service Release ermöglicht die Webfilterung für die Citrix Workspace-App, die auf SaaS-Apps und das Internet zugreift, und Citrix Remote Browser Isolation für den Zugriff auf SaaS-Apps und das Internet.
Der Citrix Secure Private Access-Administrator kann eine Liste von URLs blockieren und zulassen. Der Webfilter-Controller verwendet eine Kategorisierungsdatenbank und eine URL-Liste. Wenn die Anforderung an den Webfiltercontroller kommt, überprüft sie zunächst die globale Zulassungsliste, die auch kritische Citrix Cloud-URLs enthält. Dann geht es um Listen und Kategorisierung und sucht nach blockierten, zulässigen und zu Remote Browser Isolation umgeleiteten URLs. Wenn keine der URLs übereinstimmen, wird standardmäßig auf die Standardliste zurückgesetzt.
Citrix Secure Private Access und Citrix Analytics
Der Citrix Analytics Dienst ist ein cloudbasierter Dienst, der pragmatische Einblicke ermöglicht, indem Daten über das gesamte Citrix Produktportfolio erfasst werden. Citrix Secure Private Access organisiert und produziert Informationen zu Benutzeraktivitäten wie besuchte Websites und die aufgewendete Bandbreite. Citrix Secure Private Access überwacht auch Malware- und Phishing-Sites, indem es den Bandbreitenverbrauch untersucht und Berichte dazu erstellt. Der Administrator kann Korrekturmaßnahmen ergreifen, indem er diese wichtigen Kennzahlen zur Überwachung des Netzwerks nutzt.
Citrix分析lasst西奇problemlos在Citrix年代ecure Private Access, den Citrix Gateway-Service und andere Citrix-Portfolioprodukte integrieren. Citrix Analytics bietet umfassende Einblicke in das Benutzerverhalten. Es verwendet Algorithmen für maschinelles Lernen, um ungewöhnliches Benutzerverhalten zu erkennen, Benutzersitzungen zu beheben und Betriebsmetriken für Benutzer in einer Organisation anzuzeigen, die Citrix-Produkte verwendet.
Die Dienste und Produkte von Citrix senden Daten an Citrix Analytics, die als Datenquellen bezeichnet werden. Die mit dem Citrix Cloud-Konto verknüpften Datenquellen werden vom Citrix Analytics Service erkannt. Citrix Cloud-Protokolle werden sicher an Citrix Analytics übertragen. Die Protokolle werden von Citrix Secure Private Access gesammelt und getrennt von den Datenquellen verwaltet.
Der Dienst Citrix Secure Private Access bietet Sicherheits- und Betriebs-Dashboards. Das Sicherheits-Dashboard bietet Benutzerrisikoprofile und eine Zusammenfassung der Zugriffsaktivitäten der Benutzer, wie z. B. die besuchte URL oder Domäne und die verwendete Bandbreite. Der App-Zugriff fasst die Details der Domains, URLs und Apps zusammen, auf die die Benutzer zugreifen.
Referenz:Citrix Secure Private Access und Analytics
Citrix Administratoren können Regeln in Citrix Analytics erstellen, um Aktionen für Benutzerkonten auszuführen, wenn ungewöhnliche oder verdächtige Aktivitäten auftreten. Eine Regel besteht aus einer Reihe von Bedingungen, die erfüllt sein müssen, damit eine Aktion ausgeführt werden kann. Eine Regel kann eine einzelne Bedingung und eine oder mehrere Aktionen enthalten. Bedingungen wie “Risikobewertung” und “Änderung der Risikobewertung” sind globale Bedingungen. Globale Bedingungen können auf einen bestimmten Benutzer für eine bestimmte Datenquelle angewendet werden.
Der Administrator erstellt eine Regel basierend auf der Aktivität des Benutzers, indem er Bedingungen anwendet, die wie folgt aufgeführt sind:
- Versuch, auf eine URL auf der Sperrliste zuzugreifenZeigt den Versuch an, auf eine URL auf der Sperrliste zuzugreifen.
- Riskanter Website-ZugriffZeigt an, dass der Benutzer versucht hat, auf eine bösartige, verdächtige oder riskante Website zuzugreifen.
- Ungewöhnliches Download-VolumenZeigt an, dass das vom Benutzer von Anwendungen oder Websites heruntergeladene Datenvolumen den implizit von Citrix Analytics definierten Schwellenwert überschritten hat.
- Ungewöhnliches Upload-VolumenZeigt an, dass das vom Benutzer von Anwendungen oder Websites hochgeladene Datenvolumen den implizit von Citrix Analytics definierten Schwellenwert überschritten hat.
Referenz:Secure Private Access und Analytics
Endbenutzererfahrung mit Citrix Secure Private Access
Der Citrix Administrator kann mit Citrix Secure Private Access die Steuerung der Sicherheit erweitern. Die Citrix Workspace-App ist ein Einstiegspunkt für den sicheren Zugriff auf alle Ressourcen. Endbenutzer können über die Citrix Workspace-App auf virtuelle Apps, Desktops, SaaS-Apps und Dateien zugreifen. Mit Citrix Secure Private Access können Administratoren steuern, wie der Endbenutzer über die Citrix Workspace Experience-Webbenutzeroberfläche oder den nativen Citrix Workspace-App-Client auf eine SaaS-Anwendung zugreifen kann.
Weitere Informationen finden Sie in derReferenzarchitekturder Citrix Workspace-App.
Endbenutzererfahrung mit Workspace App und Webportal
Wenn der Benutzer die Workspace-App auf dem Endpunkt startet, sieht er seine Anwendungen, Desktops, Dateien und SaaS-Apps. Wenn ein Benutzer auf die SaaS-Anwendung klickt, wenn die erweiterte Sicherheit deaktiviert ist, wird die Anwendung in einem Standardbrowser geöffnet, der lokal installiert ist. Wenn der Administrator die erweiterte Sicherheit aktiviert hat, werden SaaS-Apps im Unternehmensbrowser innerhalb der Workspace-App geöffnet. Der Zugriff auf Hyperlinks innerhalb von SaaS-Apps und Web-Apps wird auf der Grundlage von Webfilterungsrichtlinien gesteuert.
In ähnlicher Weise werden beim Workspace-Webportal SaaS-Anwendungen bei ausgeschalteter Sicherheit über einen Standardbrowser geöffnet, der nativ installiert ist. Wenn die erweiterte Sicherheit aktiviert ist, werden SaaS-Apps über den sicheren Remote-Browser geöffnet. Benutzer können basierend auf Webfilterrichtlinien auf die Websites in SaaS-Apps zugreifen.
Implementieren von Citrix Secure Private Access
是静脉Cl Der Dienst Citrix安全的私人访问oud-basierter Dienst. Um Unternehmen nutzerzentrierte Lösungen bereitzustellen und Richtlinien einzuhalten, spielt Citrix Secure Private Access eine wichtige Rolle. Zusammen mit Citrix Secure Private Access gibt es weitere Dienste, die konsolidierte Lösungen für Endbenutzer bereitstellen können. Um mit dem Onboarding und der Einrichtung des Citrix Secure Private Access Services zu beginnen, muss der Administrator die Authentifizierung einrichten, den Zugriff auf SaaS-Apps konfigurieren und die Inhaltszugriffseinstellungen im Citrix Secure Private Access Service angeben. Die Endbenutzer können über die Citrix Workspace-App oder die Workspace-URL auf den Dienst zugreifen.
Der Citrix Administrator meldet sich mit seinen Anmeldeinformationen bei Citrix Cloud an und fordert den Dienst Citrix Secure Private Access an. Citrix Secure Private Access ist in andere Produkte des Citrix-Portfolios integriert, darunter Citrix Gateway, Remote Browser Isolation und Citrix Analytics. Diese Lösung bietet Sicherheit für SaaS-Apps.
Schritt 1:Der Citrix Administrator konfiguriert Identitäts- und Zugriffsmanagement in der Citrix Cloud. Standardmäßig verwendet Citrix Cloud den Citrix Identity Provider, um Identitätsinformationen für alle Benutzer im Citrix Cloud-Konto zu verwalten. Der Administrator hat die Flexibilität, Azure Active Directory oder einen on-premises Active Directory-Dienst zu ändern und zu verwenden.
Schritt 2:Der Citrix Administrator meldet sich beim Citrix Gateway Service an, um Single Sign-On für SaaS- und Webanwendungen zu konfigurieren. Der Citrix Gateway Service bietet eine sichere Anmeldung in der Unternehmensumgebung, in der sich Endbenutzer mit SAML Single Sign-On bei Anwendungen anmelden.
Fügen Sie der Bibliothek eine Web- oder SaaS-App aus der Vorlage hinzu. Weitere Informationen über eine Liste der SaaS-Anwendungen, die von Citrix Secure Private Access unterstützt werden, finden Sie unterSaaS-Anwendungen, die vom Citrix Secure Private Access Service unterstützt werden.
Schritt 3:Der管理员有死App-Details是不是窝en der Anwendung, die URL und die Domaindetails ein. Verbesserte Sicherheitsrichtlinien können aktiviert werden, um Datenlecks zu verhindern. Diese Richtlinien innerhalb der SaaS-Anwendungen erzwingen Einschränkungen im Unternehmensbrowser, wenn Sie eine Workspace-App für Desktop verwenden, oder im sicheren Remote-Browser, wenn Sie die Workspace-App im Web oder auf Mobilgeräten verwenden.
Schritt 4:Single Sign-On für Web-/SaaS-Apps aktivieren:Der Citrix Gateway Service (nur Cloud-Dienste) bietet Single Sign-On für SaaS-Anwendungen. Die Aktivierung von Single Sign-On für SaaS-Anwendungen ist jetzt auf nur wenige Webformulare und das Klicken auf die Konfigurationsseite vereinfacht, was den Bereitstellungsprozess erheblich vereinfacht. Administratoren können die Connector Appliance verwenden, um den internen webbasierten SaaS-Anwendungszugriff an den externen Workspace-App-Benutzer weiterzuleiten.
Im BereichLibraryvon Citrix Cloud werden SaaS und Web-Apps veröffentlicht. Der Administrator muss Benutzer hinzufügen, nachdem er die Domain ausgewählt hat, und nur abonnierte Benutzer können über die Workspace-App oder Workspace Web auf die Anwendung zugreifen.
Schritt 5:Filtern von Website-Listen:Um das Unternehmensnetzwerk vor browserbasierten Angriffen zu schützen, enthält Citrix Secure Private Access einen Webfilterdienst. Basierend auf den Richtlinien erlaubt, verweigert oder leitet der Webfilterdienst die Hyperlinkanforderung des Benutzers wie definiert um:
Erlaubt:Der Anforderungslink gilt als sicher und der Zugriff ist im Unternehmensbrowser der Workspace-App zulässig.
Blockiert:Der Hyperlink gilt als gefährlich und der Zugriff wird verweigert.
Umgeleitet:Der Administrator trifft Vorsichtsmaßnahmen bei Websites, die Sicherheitsbedrohungen enthalten, indem er sie über den Remote Browser Isolation-Dienst umleitet.
Schritt 6:Filtern您死Kategorien der网站。死Kategorisierungsdatenbank hilft dabei, den Web-Traffic zu filtern, der den Zugriff der Endbenutzer auf bestimmte Websites wie soziale Netzwerke, Glücksspiele, Inhalte für Erwachsene, neue Medien und Einkäufe steuert. Kategorien schränken den Benutzerzugriff auf bestimmte Websites und Websitekategorien ein.
| Voreinstellungen für die Kategorisierung ermöglichen praktische, sofort einsatzbereite Vorlagen | |
|---|---|
| Strikte | Minimiert das Risiko des Zugriffs auf ungesicherte oder bösartige Websites. Endbenutzer können weiterhin auf Websites mit geringem Risiko zugreifen. Umfasst die meisten Websites für Geschäftsreisen und soziale Medien. (133/192 Kategorien) |
| Moderat | Minimiert das Risiko und ermöglicht gleichzeitig andere Kategorien mit einer geringen Wahrscheinlichkeit, dass sie von ungesicherten oder bösartigen Websites ausgesetzt werden. Umfasst die meisten Websites für Geschäftsreisen, Freizeit und soziale Medien. (65/192 Kategorien) |
| Nachsichtig | Maximiert den Zugriff bei gleichzeitiger Kontrolle des Risikos durch illegale und böswillige Websites. (36/192 Kategorien) |
| Ohne | Erlaubt alle Kategorien. |
| Brauch | Konfigurieren Sie die benutzerdefinierte Filterung von Kategorien. |
Referenz:Kategorienliste für Citrix Secure Private Access
Die Citrix Workspace App bietet Benutzern eine großartige Erfahrung (sicherer, kontextbezogener, einheitlicher Workspace) auf jedem Gerät. Benutzer erhalten durch Single Sign-On einen nahtlosen und sicheren Zugriff auf alle Apps, die sie für ihre Produktivität benötigen.
Um die Konfiguration zu überprüfen, können Endbenutzer die SaaS-App über die Citrix Workspace App (oder Citrix Workspace Web) starten. Außerdem können Benutzer erlaubte/blockierte Websites, die in den Website-Filterlisten hinzugefügt wurden, überprüfen, indem sie die URLs besuchen. Der Unternehmensbrowser der Citrix Workspace-App ermöglicht es Administratoren, nativen Zugriff auf SaaS-Anwendungen mit erweiterten Sicherheitskontrollen bereitzustellen.
Weitere Informationen zur Citrix Workspace-App finden Sie in derReferenzarchitektur der Citrix Workspace-App.
Schritt 7:Der Citrix Secure Private Access Service wird in Citrix Analytics integriert, um Informationen über die Aktivitäten der Benutzer abzurufen, z. B. besuchte Websites und genutzte Bandbreite. Citrix Analytics meldet erkannte Bedrohungen wie Malware und Phishing-Sites.
Der Administrator kann sich beim Citrix Analytics-Clouddienst anmelden und Regeln für Citrix Secure Private Access erstellen und dann den Aktionsplan anwenden, wenn die Bedingungen erfüllt sind. Um Benutzerverhaltensaktivitäten zu überwachen und zu analysieren, aktivieren Sie “Datenverarbeitung einschalten” für Citrix Secure Private Access für Analysen in der Citrix Cloud (Datenquellen sind Citrix Dienste und Produkte, die Daten an Citrix Analytics senden).
Der Citrix Analytics Service überwacht Benutzeraktivitäten und -verhalten mithilfe von maschinellem Lernen und künstlicher Intelligenz. Datenquellen für Citrix Analytics werden aus der Workspace-App, Citrix Gateway, Citrix Secure Private Access und dem Remote Browser Isolation Service gesammelt.
Anwendungsfälle für Citrix Secure Private Access
Heute wenden sich Unternehmen Software as a Service (SaaS) -Lösungen zu, um geschäftliche Anforderungen zu erfüllen, jedoch häufig ohne die erforderlichen Sicherheitsmaßnahmen zu ergreifen oder die Anwendungen ordnungsgemäß zu warten. Die meisten SaaS-Anwendungssicherheitsfehler werden von Benutzern verursacht, nicht von Cloudanbietern. Die Organisation muss ihre Strategien regeln, um diese Mängel zu beheben.
Citrix Secure Private Access setzt erweiterte Sicherheitsrichtlinien für SaaS-Apps durch (Wasserzeichen, Copy-Paste-Einschränkung, Verhinderung des Herunterladens/Hochladens sensibler Daten usw.). Es definiert auch Zugriffsrichtlinien für Webseitenkategorien und Websites, die in Form von Webfilterung blockiert/zugelassen werden sollen.
| Bestehende Brownfield-Bereitstellungen | So passt Citrix Secure Private Access |
|---|---|
| Unternehmen, die Citrix Clouddienste einsetzen möchten. | 1) Citrix Secure Private Access passt in ihre Umgebung und bietet Endbenutzern Sicherheit für SaaS-, SSO- und Webfilterfunktionen. 2) Für Unternehmen, die ein lokales Modell wünschen, hilft Citrix Gateway bei der Bereitstellung von SSO und verbesserter Sicherheit für Endbenutzer. |
| Organisationen, die den Citrix Gateway Dienst bereits übernommen haben. | 1) Citrix Cloud bietet mehrere cloudbasierte Dienste, darunter Citrix Secure Private Access, Analytics und Remote Browser Isolation Service, die Sicherheitskontrolle für SaaS und internetbasierte Apps bieten. |
| Organisationen, die bereits SSO von Drittanbietern übernommen haben | 1) Citrix Secure Private Access bietet detaillierte Sicherheitskontrollen für SaaS-Apps, minimiert webbasierte Bedrohungen und ermöglicht die automatische Durchsetzung von Richtlinien durch Analysen, die auf dem Benutzerverhalten basieren. 2) Der ICA-Proxy wird sowohl für on-premises als auch für Citrix DaaS unterstützt. |
Citrix Secure Private Access-Lösung für Unternehmens-Web-Apps
Die meisten on-premises Kunden verwenden immer noch Web-Apps, einschließlich SharePoint, Confluence, Microsoft Office, Helpdesk-Anwendungen usw. Unternehmensanwendungen werden remote über den Citrix Gateway Service bereitgestellt und die erforderliche Sicherheit wird mit Citrix Secure Private Access hinzugefügt.
Endbenutzer greifen über Citrix Workspace, der den Citrix Gateway Service nutzt, auf Web-Apps zu. Der Citrix Gateway Service, sicher mit Citrix Workspace gekoppelt, bietet eine einheitliche Benutzererfahrung für konfigurierte Web-Apps. Single Sign-On und Remote-Zugriff auf interne Web-Apps sind über verschiedene Servicepakete verfügbar.
Das obige Diagramm zeigt die Citrix Secure Private Access-Lösung, die auf die on-premises Kunden angewendet wird, die die Citrix Connector Appliance verwenden. Die Citrix Connector Appliance fungiert als Brücke zwischen Unternehmens-Web-Apps und dem Citrix Workspace-Dienst.
Single Sign-On der Web-App mit verbesserter Sicherheit
Der Benutzer startet die Citrix Workspace-App und stellt mithilfe eines on-premises Active Directory-Dienstes eine Verbindung mit Citrix Workspace her. Die Citrix Workspace-App wird zum Starten einer Web-App verwendet. Der Citrix Gateway Service stellt den empfohlenen Browser und den Link bereit. Der Unternehmensbrowser aus der Citrix Workspace-App stellt eine Anwendungsverbindung mit dem Citrix Gateway Service her. Außerdem werden erweiterte Sicherheitsrichtlinien über den Citrix Secure Private Access Service aktiviert. Darüber hinaus stellt der Citrix Gateway-Dienst vom Ressourcenstandort aus eine ausgehende Verbindung mit der Connector Appliance her. Es überprüft die Anmeldeinformationen und die Citrix Workspace-App sichert eine End-to-End-Verbindung mit der internen Web-App.
Wenn der Benutzer einen lokalen Browser verwendet, erfolgt die Authentifizierung über den Active Directory-Dienst, und der lokale Browser stellt eine sichere Verbindung mit dem Remote Browser Isolation-Dienst her. Verbesserte Sicherheitsrichtlinien werden durch den Secure Private Access-Dienst aktiviert. Anschließend wird ein sicherer ausgehender Kanal zwischen Connector Appliance und dem Citrix Gateway-Dienst eingerichtet. Als Nächstes werden Benutzeranmeldeinformationen ausgehandelt und Single Sign-On im Namen des Benutzers eingerichtet. Schließlich wird über den sicheren Browser eine Ende-zu-Ende-Verbindung für den Benutzer gefunden.
Referenz:Unterstützung für Unternehmens-Web-Apps
Citrix Secure Private Access Single Sign-On für Web-Apps
Die Citrix Connector Appliance und der Citrix Gateway-Dienst in der Cloud sichern die Kommunikation mit On-Premises-Anwendungen. Auf Webanwendungen wird über Workspace über eine VPN-Verbindung zugegriffen und bereitgestellt. Der Administrator muss bei der Konfiguration der Web-App die Methode für einmaliges Anmelden auswählen.
Diese vier Arten von SSO können über den Citrix Gateway Service konfiguriert werden:
- Formularbasiert
- Grundlegende SSO
- Kerberos
- SAML (TP)
Formularbasierte Authentifizierung
1) Der Citrix Gateway-Dienst stellt einen sicheren Kanal zwischen der Citrix Connector Appliance her und sendet die Web-App-Anforderung mit den Anmeldeinformationen.
2) Die Citrix Connector Appliance sendet Anmeldeinformationen an die jeweilige Webanwendung.
3) Über den Citrix Gateway-Dienst wird eine sichere End-to-End-Verbindung zwischen der Web-App und der Citrix Workspace-App mithilfe von Single Sign-On an der Web-App hergestellt
Grundlegende SSO-Authentifizierung
1) Der Citrix Gateway-Dienst erstellt einen sicheren Kanal zwischen der Citrix Connector Appliance und sendet die Web-App-Anforderung mit Benutzername und Kennwort.
2) Citrix Connector Appliance sendet Anmeldeinformationen an die Anmeldeseite der Webanwendung
3) Die Web-App fordert eine Authentifizierung mithilfe des NTLM-Protokolls an
4) Die Citrix Connector Appliance antwortet auf die NTLM-Anfrage mit Benutzername und Kennwort
5) Über den Citrix Gateway-Dienst wird eine sichere End-to-End-Verbindung zwischen der Web-App und der Citrix Workspace-App mithilfe von Single Sign-On an der Web-App hergestellt
Kerberos-Authentifizierung
1) Der Citrix Gateway-Dienst erstellt einen sicheren Kanal zwischen der Citrix Connector Appliance und sendet eine Web-App-Anfrage mit Benutzername und Kennwort.
2) Citrix Connector Appliance sendet Anmeldeinformationen an die Anmeldeseite der Webanwendung
3) Die Web-App fordert eine Authentifizierung mit dem Kerberos-Protokoll an
4) Die Citrix Connector Appliance kontaktiert den Domänencontroller, um die Anmeldeinformationen zu überprüfen
5) der Domänencontroller validiert die Benutzeranmeldeinformationen und bestätigt
6) Citrix Connector Appliance leitet die Anwendung zurück an die Web-App weiter
7) Über den Citrix Gateway-Dienst wird eine sichere End-to-End-Verbindung zwischen der Citrix Web-App und der Citrix Workspace-App mithilfe von Single Sign-On an der Web-App hergestellt
Um die Kerberos-Single-Sign-On-Funktion zu aktivieren, konfigurieren Administratoren die Connector Appliance mit Anmeldeinformationen für ein Dienstkonto, dem die eingeschränkte Kerberos-Delegierung als vertrauenswürdig eingestuft wird.
Benutzer versuchen möglicherweise, auf schädliche Websites zuzugreifen, die dem Unternehmen schweren Schaden zufügen. Sie können auch gegen Unternehmensvorschriften und -richtlinien verstoßen. Um diese Probleme zu lösen, können Administratoren Citrix Secure Private Access einsetzen, um riskante Websites zu filtern, die ein Risiko für ihr Unternehmen darstellen. Während der Sitzung kann auch ein Wasserzeichen hinzugefügt werden, das den Namen und die IP-Adresse des Benutzers enthält.
Referenz:Unterstützung für Unternehmens-Web-Apps
Richtlinien zum Schutz der Citrix Secure Private Access-App
Es是ublich, dass Anmeldeinformationen ei死去nes Benutzers gestohlen werden, und dennoch ist sich der Benutzer dessen möglicherweise nicht bewusst. Cyberkriminelle verwenden verschiedene Techniken, um Endbenutzerdaten zu erfassen, und eine gängige Technik ist die Verwendung von Keylogger-Malware zur Erfassung von Benutzerdaten. Diese Malware-Produkte können einfach auf einem Benutzercomputer installiert werden und versuchen sofort, Benutzerinformationen abzurufen. Das Auslaufen von Benutzerinformationen kann zu erheblichen Schäden für das Unternehmen und den Benutzer führen. Um dieses Problem zu lösen, muss das Unternehmen stark in den Schutz von Benutzerdaten investieren und einen Schutzschild gegen Keylogger schaffen.
Ähnlich wie bei Keyloggern sind Anwendungen, die Screenshots aufnehmen. Diese Schadprogramme erstellen Screenshots des Desktops des Benutzers, um die auf dem Bildschirm angezeigten Informationen zu erfassen.
Verschiedene Arten von Software können auf dem Benutzerendpunkt installiert werden, um das Imagegrabbing des Benutzerdesktops zu vermeiden. Dies kann jedoch zu einer langsameren Leistung des Desktops und der Umgebung des Benutzers führen.
Citrix Secure Private Access verfügt über erweiterte Richtlinien zum Schutz von Unternehmensdaten. Die Endpunktsicherheit ist ein wichtiger Sicherheitsaspekt für jedes Unternehmen, da die meisten Verstöße am Benutzerendpunkt auftreten. App-Schutzrichtlinien sind Regeln, die angewendet werden, wenn die erweiterte Sicherheit für eine SaaS-App aktiviert wird. Kunden können zwei erweiterte Sicherheitsrichtlinien verwenden:
Anti-Keylogging
Anti-Screenshotfunktion
Die Richtlinien für den Schutz der Citrix App werden über die Citrix Secure Private Access-Lösung aktiviert. Die Vorteile sind wie folgt:
- Schutz vor Keylogging und Bildschirmaufnahme
- Zentralisierte Verwaltung für Citrix Administratoren
- Agnostisch gegenüber der Sicherheitslage des Geräts
Richtlinien für den App-Schutz sind in der Citrix Workspace-App ab Version 1912 für Windows integriert, der Administrator muss diese Funktion jedoch aktivieren.
Referenz:Richtlinien für den App-Schutz
Schützen Sie Benutzer mit Citrix Secure Browser vor riskantem Surfen im Internet
Webbrowser sind integraler Bestandteil einer aktiven Produktionsumgebung. Sie sind leistungsstarke, datenreiche Tools, die dem Internet mehr ausgesetzt sind als jede andere Anwendung in der Arbeitsumgebung. In den letzten Jahren haben Cyberkriminelle Webbrowser genutzt, um riesige Mengen an Benutzerinformationen abzurufen, darunter Kreditkartendaten, E-Mail-IDs und gespeicherte Kennwörter.
Browserbasierte Angriffe sind weit verbreitet, nicht weil sie strategisch wünschenswerte Hacking-Ziele sind, sondern weil browserbasierte Angriffe schwer zu erkennen sind. Herkömmliche Sicherheitskontrollen können solche Angriffe nicht erkennen, da diese Anwendungen nur heruntergeladene Dateien und Anlagen überprüfen. Daher bleiben browserbasierte Angriffe in der Regel unbemerkt.
Der Citrix Remote Browser Isolation Service isoliert das Surfen im Internet, um die Produktionsumgebung des Kunden vor browserbasierten Angriffen zu schützen. Die Citrix Workspace-App oder lokale Browser sind ein Einstiegspunkt in die Citrix-Produktionsumgebung. Der Citrix Secure Browser isoliert das Surfen im Internet, sodass die Website keine Browserdaten direkt zum oder vom Benutzergerät überträgt. Auf diese Weise können Sicherheitsadministratoren einen sicheren Internetzugang anbieten, ohne die Unternehmenssicherheit zu beeinträchtigen.
Der Citrix Remote Browser Isolation Service ist ein SaaS-Produkt, das von Citrix verwaltet und betrieben wird. Er ermöglicht den Zugriff auf Webanwendungen über einen zwischengeschalteten Webbrowser in der Cloud. Bei Verwendung des Citrix Secure-Dienstes verfolgen gehostete Webbrowser den Browserverlauf eines Benutzers und führen das Zwischenspeichern von HTTP/HTTPS-Anforderungen durch. Citrix verwendet verbindliche Profile und stellt sicher, dass nach dem Ende der Browsersitzung die Daten dieser Sitzung gelöscht werden.
Auf den Remote Browser Isolation-Dienst kann mit einem HTML5-kompatiblen Webbrowser zugegriffen werden. Es gibt keinen Client, den Benutzer herunterladen müssen. Der gesamte Datenverkehr zwischen dem Endbenutzerbrowser und dem Citrix Cloud-Dienst wird mit der branchenüblichen TLS-Verschlüsselung verschlüsselt und nur TLS 1.2 wird unterstützt.
Das obige Diagramm zeigt die Integration der Citrix Secure Private Access-Lösung, einschließlich des Citrix Remote Browser Isolation-Dienstes für Cloud- und on-premises Citrix-Umgebungen. Kunden von Citrix Virtual Apps and Desktops mit einem on-premises StoreFront können den Remote Browser Isolation Service problemlos integrieren.
Um mehr über die Konfiguration von Citrix StoreFront mit dem Remote Browser Isolation Service zu erfahren, folgen Sie diesemLink.
Citrix Secure Private Access und Zusammenarbeit von Inhalten
Die meisten Unternehmen haben Ransomware- oder Phishing-Versuche erlebt, die ihr Netzwerk gefährdet haben. Die Hauptursache für solche Bedrohungen ist häufig ein unzureichender Schutz vor webbasierten Bedrohungen. Es mangelt an Transparenz darüber, auf welche Websites Benutzer täglich zugreifen.
Mit dem Citrix Secure Private Access Service kann ein Unternehmen seine Umgebung vor browserbasierten Angriffen und Datenlecks schützen. Wenn Mitarbeiter von einem beliebigen Gerät aus auf ihre Apps zugreifen, sei es im Büro, zu Hause oder auf Reisen, bietet der Citrix Secure Private Access Service ein einheitliches Erlebnis, bei dem SSO, Zwei-Faktor-Authentifizierung, Remote-Zugriff und Webfilterung in einer einzigen Lösung für End-to-End Secure Private Access integriert werden.
Citrix Content Collaboration ermöglicht Benutzern den einfachen und sicheren Austausch von Dokumenten. Es gibt viele Möglichkeiten, mit Citrix Content Collaboration zu arbeiten, darunter eine webbasierte Oberfläche, mobile Clients, Desktop-Apps und die Integration mit Microsoft Outlook und Gmail.
Citrix Files ist ein Dateimanager, der Datenfreigabe und -speicherung, anpassbare Nutzung und Einstellungen sowie Tools bietet, mit denen Benutzer einfacher zusammenarbeiten und die Arbeit von jedem Gerät aus erledigen können, jederzeit und überall.
Das obige Diagramm zeigt die Bereitstellung der Citrix Files SaaS-App für einen Endbenutzer in einem Hybrid-Cloud-Modellszenario. Die Citrix Connector Appliance (oder Cloud Connector) bietet einen Link zum Citrix Cloud-Konto und zum Ressourcenstandort. Der Ressourcenstandort enthält das Active Directory für Endbenutzer, sodass sie sich nahtlos bei ihrer Webanwendung anmelden können.
Der Citrix Gateway Service bietet Authentifizierung, Single Sign-On und ermöglicht die schnelle und sichere Bereitstellung von Citrix Virtual-Anwendungen und SaaS-Anwendungen. Endbenutzer melden sich mit ihren Anmeldeinformationen bei der Unternehmensumgebung an und können sich mit SAML Single Sign-On bei Webanwendungen anmelden. Im Citrix Gateway Service können Administratoren die Vorlage der Web/SaaS-App auswählen oder ihre eigenen Anwendungsparameter definieren. Beispiel:
NennenSie die Anwendung:“Citrix Files”
Enter the URL:https://xxxxx.sharefile.com/
Ebenso können Administratoren auf der SSO-Seite sicherstellen, dass SAML ausgewählt ist, vorausgesetzt, die SAML- oder SSO-Einstellung für Citrix Files wurde bereits für das Backend abgeschlossen.
Die Assertion-URL lautet:https://xxxxx.sharefile.com/saml/xxxx' '
Publikum:https://xxxxx.sharefile.com
Namens-ID-Format:E-Mail-Adresse
Namens-ID:E-Mail
Sobald die SaaS-App zur Citrix Cloud-Bibliothek hinzugefügt wurde, muss der Administrator Abonnenten verwalten und den Benutzern die Workspace-URL für den Zugriff bereitstellen. Mit Active Directory kann es als Identitätsanbieter dienen, um SAML Single Sign-On für verschiedene Web- und SaaS-Anwendungen zu ermöglichen.
Inhaltssteuerung und kontextbezogener Zugriff
Auf der Seite Enhanced Security kann der Administrator Richtlinien festlegen, um das Unternehmen vor vertraulichen Datenlecks zu schützen. Es bietet die folgenden Optionen:
- Eingeschränkter Zugriff auf die Zwischenablage
- eingeschränktes Drucken
- eingeschränkte Navigation
- eingeschränkte Downloads
- Anzeige von Wasserzeichen
Um unerwünschte Websites zu blockieren, die Sicherheitsrisiken für Unternehmen bergen, muss der Citrix Administrator URLs blockieren und zulassen, indem er URL-Listen hinzufügt oder Kategorielisten auswählt. Der Administrator kann auch vorsichtig vorgehen, indem er URLs über einen sicheren Browser umleitet.
Benutzerverhalten und Aktivitäten
Um das Benutzerverhalten und die Aktivitäten eines Administrators zu überwachen, lässt sich der Citrix Secure Private Access Service einfach in den Citrix Analytics Service integrieren. Der Administrator legt vordefinierte Bedingungen und einen Aktionsplan fest, um die Risiken zu mindern.
Citrix Secure Private Access und G Suite
G套件(欧什bekannt als谷歌工作区)是eine Reihe von SaaS-Anwendungen, auf die remote über das Internet zugegriffen werden kann. G Suite war früher als Google Apps bekannt, die von Google entwickelt wurden. G Suite besteht aus Gmail, Hangouts und Calendar für die Kommunikation, Google Drive für die Speicherung, Google Docs, Sheets, Slides, Forms und Sites für die Zusammenarbeit. Die G Suite bietet enorme Produktivitätsvorteile, aber die meisten Netzwerke sind nicht richtig darauf ausgelegt, die Leistung und Sicherheit zu bieten, die für Mobilitäts- und Cloud-Anwendungsfälle erforderlich sind.
Google Cloud und Citrix ermöglichen es Endnutzern, wegweisende Lösungen zu beschleunigen, die erweiterte Sicherheit mit hervorragender Benutzererfahrung und gewünschter Flexibilität in einer app-zentrierten, Mobile-First- und Hybrid-Cloud-Welt bieten.
G Suite, eine Reihe marktführender Produktivitäts-SaaS-Anwendungen, kann in Citrix Secure Private Access integriert werden, um dem Unternehmen eine bessere Sichtbarkeit und Kontrolle über SaaS-Anwendungen zu ermöglichen, was wiederum Datenlecks und die unbefugte Offenlegung sensibler Informationen verhindert.
Endbenutzer能帮改G Suite-Anwendungen zugreifen, indem sie einfach die URL und die Anmeldeinformationen über die Citrix Workspace-App eingeben. Benutzer haben einen ganzen Workspace mit Apps, Desktops und Dateien, wobei zu beachten ist, dass Benutzer niemals einen anderen Benutzernamen und ein anderes Kennwort eingeben müssen. Der gesamte Workspace wird über einen einzigen Access Point bereitgestellt, der die Produktivität verbessert und gängige Arbeitsabläufe für den Endbenutzer optimiert.
Citrix Secure Private Access bietet nicht nur eine Single-Sign-On-Funktion, sondern auch eine Layer von Sicherheitskontrollen, die in anderen Lösungen nicht verfügbar sind.
Bereitstellung
Die Citrix Connector Appliance (oder Cloud Connectors) wird verwendet, um die gesamte Kommunikation zwischen Ressourcenstandorten und Citrix Cloud abzuwickeln. Für hohe Verfügbarkeit werden an jedem Ressourcenstandort mindestens zwei Connectors bereitgestellt. Die Ressourcenstandorte lassen sich in Active Directory integrieren, sodass sich Endbenutzer nahtlos bei ihren G Suite-Anwendungen anmelden können.
Der Citrix Gateway Service mit Active Directory kann als Identitätsanbieter dienen, um SAML Single Sign-On für G Suite-SaaS-Anwendungen zu ermöglichen. Citrix Secure Private Access ermöglicht Endbenutzern das Starten von G Suite-SaaS-Anwendungen in Secure Browser-Sitzungen und ermöglicht es dem Administrator, fünf verschiedene Kontrollrichtlinien anzuwenden.
Szenario 1:Erweiterte Sicherheit ist deaktiviert. Wenn ein Benutzer Gmail in G Suite startet, wird es in einem Standardbrowser geöffnet. Ebenso verwenden URLs, die in ihrem Gmail-Konto geöffnet wurden, einen Standardbrowser ohne zusätzliche Sicherheitsrichtlinien oder -kontrollen. Ein Benutzer hat die Freiheit, von der Seite aus zu navigieren, die Seite auszuschneiden, zu kopieren und zu drucken.
Szenario 2:Die erweiterte Sicherheit ist aktiviert. Wenn ein Benutzer Gmail in der G Suite startet, wird er in einem sicheren Browser geöffnet. Jetzt wird eine Kontrollschicht über Citrix Secure Private Access angewendet, und der Endbenutzer erhält keine Navigationsleiste, um von der Site weg zu navigieren. Darüber hinaus gelten Einschränkungen beim Ausschneiden, Kopieren und Einfügen. Darüber hinaus bietet Citrix Secure Private Access URL-Filterfunktionen, die verhindern, dass Benutzer schädliche Websites besuchen. Alternativ können Benutzer basierend auf den Richtlinien zu einem sicheren Browser umgeleitet werden.
Vorteile der Verwendung von Citrix Secure Private Access mit G Suite SaaS-Apps:
- Single Sign-On
- Multifaktorauthentifizierung
- Verbesserte Sicherheitsrichtlinien für G Suite
- Richtlinien zur Webfilterung für G Suite
- End-to-End-Transparenz und Analysen
Erweiterte Konzepte
Citrix Gateway SaaS und O365 Cloud - Validiertes Referenzdesign
Citrix Gateway Service SSO mit validiertem Secure Private Access Referenzdesign
Zusammenfassung
Citrix Secure Private Access ist eine konsolidierte Lösung für einen sicheren digitalen Workspace. Die meisten Unternehmen verwenden SaaS und Web-Apps, da sich der digitale Workspace verändert. Die Implementierung einer kollaborativen Lösung würde die Sicherheit erheblich verbessern und Unternehmen, kleinen Unternehmen und SaaS-Anbietern Vorteile bieten und die Sicherheit bieten, dass ihre Daten geschützt sind.
Die Idee, nur ein Netzwerk zu schützen, reicht nicht mehr aus. Die Organisation muss Benutzer und Apps schützen. Aus diesem Grund bietet Citrix Secure Private Access:
- Konsolidierter Zugriff auf SaaS, Web und virtuelle Apps
- Konsistente Endbenutzererfahrung und Flexibilität bei der Verwendung jedes Endgeräts
- Transparenz des Anwendungsdatenverkehrs und Erkennung von Bedrohungen mithilfe von Analysediensten, die die In-App-Steuerung für SaaS-Anwendungen über Single Sign-On hinaus unterstützen
Quellen
Ziel dieser Referenzarchitektur ist es, Sie bei der Planung Ihrer eigenen Implementierung zu unterstützen. Um Ihnen die Arbeit zu erleichtern, möchten wir Ihnen Quelldiagramme zur Verfügung stellen, die Sie in Ihren eigenen detaillierten Designs und Implementierungsleitfäden anwenden können:Quelldiagramme.
Referenzen
In diesem Artikel
- Zielgruppe
- Ziel dieses Dokuments
- Sicherheitskontrollen und Risikominderung
- Citrix Secure Private Access
- Warum Citrix Secure Private Access?
- Citrix Secure Private Access und Citrix Cloud
- Identitäts- und Zugriffsmanagement
- Citrix Secure Private Access mit verbesserter Sicherheit für SaaS-Apps
- Single Sign-On mit Citrix Secure Private Access ohne erweiterte Sicherheit
- Secure Private Access-Single Sign-On mit verbesserter Sicherheit
- Kontextueller Zugriff
- Übersicht über Webfilterung
- Citrix Secure Private Access und Citrix Analytics
- Endbenutzererfahrung mit Citrix Secure Private Access
- Implementieren von Citrix Secure Private Access
- Anwendungsfälle für Citrix Secure Private Access
- Citrix Secure Private Access-Lösung für Unternehmens-Web-Apps
- Citrix Secure Private Access Single Sign-On für Web-Apps
- Richtlinien zum Schutz der Citrix Secure Private Access-App
- Schützen Sie Benutzer mit Citrix Secure Browser vor riskantem Surfen im Internet
- Citrix Secure Private Access und Zusammenarbeit von Inhalten
- Citrix Secure Private Access und G Suite
- Erweiterte Konzepte
- Zusammenfassung
- Quellen
- Referenzen