Referenzarchitektur: Flexibles Arbeiten
Übersicht
Seit Jahren unterstützte CompanyA Remote-Arbeit für einen kleinen Prozentsatz der gesamten Nutzerpopulation. Um die besten Mitarbeiter aus jeder Region einzustellen, untersucht CompanyA die Ausweitung der Remote-Arbeit zu einer unternehmensweiten Richtlinie. Diese Richtlinie öffnet nicht nur den Pool potenzieller Mitarbeiterkandidaten, sondern bietet aktuellen Mitarbeitern auch eine bessere Flexibilität in Arbeit und Privatleben.
Die globale Pandemie von 2020-2021 brachte diese Initiative jedoch in den Vordergrund. Obwohl CompanyA in der Lage war, die Schwere der Pandemie zu überstehen, gibt es ein gesteigertes Bewusstsein, rechtzeitig eine Lösung zu entwickeln und umzusetzen.
Diese Referenzarchitektur erklärt, wie CompanyA seine Citrix Workspace-Lösung plant, um einen flexiblen Arbeitsstil zu unterstützen, ohne die IT-Sicherheit zu beeinträchtigen.
Erfolgskriterien
Obwohl viele Benutzer über eine primäre Arbeitsumgebung verfügen, muss die Lösung einen flexiblen Arbeitsstil unterstützen, der es Benutzern ermöglicht, bei Bedarf von überall aus zu arbeiten. Um erfolgreich zu sein, hat CompanyA eine Liste von Erfolgskriterien definiert, die die Grundlage für das übergeordnete Design bilden.
Benutzererfahrung
Der wichtigste Aspekt einer flexiblen Arbeitslösung ist es, die Bedürfnisse des Benutzers zu erfüllen. CompanyA identifizierte die folgenden benutzerbezogenen Kriterien für ein erfolgreiches Design.
| Erfolgskriterien | Beschreibung | Lösung |
|---|---|---|
| Einheitliche Erfahrung | Benutzer können mit zahlreichen Geräten, einschließlich PCs, Tablets und Smartphones, auf die Ressourcen zugreifen. Eine einheitliche Erfahrung auf allen Plattformen hilft, Verwirrung durch Endbenutzer zu vermeiden. | Citrix Workspace |
| Persönliche Mobilgeräte | Benutzer können aus einer Liste der von Unternehmen verwalteten Mobilgeräte auswählen. Bei Mobilgeräten ermöglicht CompanyA dem Benutzer, das Gerät für den persönlichen Gebrauch zu modifizieren und gleichzeitig die Sicherheitsrichtlinien des Unternehmens einzuhalten. | Citrix Endpoint Management — Unternehmensbesessen, persönlich aktiviert (COPE) |
| Persönliche PC-Geräte | Benutzer können aus einer Liste von geschäftlich verwalteten Endpunktgeräten auswählen, die ihren Nutzungsanforderungen entsprechen. Diese Geräte werden vollständig von CompanyA verwaltet und gesichert. | Citrix Endpoint Management — Wählen Sie Ihr eigenes Gerät (CYOD) |
| Redundantes Heimnetzwerk | Benutzer, die in einem geschäftskritischen Szenario von zu Hause aus arbeiten, müssen über redundante, hochverfügbare Netzwerkverbindungen verfügen. | Citrix SD-WAN 110 Hausgerät |
| Persönlicher Datenschutz | Bei der Nutzung nicht sanktionierter Websites muss die Privatsphäre des Benutzers gewährleistet sein und gleichzeitig den Benutzer und den Endpunkt vor potenziellen Bedrohungen schützen. | Citrix Secure Internet Access mit nicht entschlüsseln Richtlinien für Websites mit persönlichen Informationen |
| SaaS App-Zugriff | Benutzer müssen in der Lage sein, auf sanktionierte SaaS-Anwendungen zuzugreifen, mit einer starken Authentifizierung, die sich nicht auf das Erlebnis auswirkt. | Citrix Secure Private Access |
| Zugriff auf Web-Apps | Benutzer müssen auf jedem genehmigten Gerät auf sanktionierte, interne Webanwendungen zugreifen können. | Citrix Secure Private Access — Zero-Trust-Netzwerkzugriff |
| Zugriff auf virtuelle Apps und Desktops | Benutzer müssen auf jedem genehmigten Gerät auf autorisierte Windows-Apps und Desktops zugreifen können. | Citrix DaaS |
| Direktes virtuelles App- und Desktop-Routing | Benutzer, die von der lokalen Office-Umgebung aus arbeiten, können einen direkten Weg zur Ressource nutzen, ohne die Sicherheitsrichtlinien zu beeinträchtigen. | Citrix DaaS mit direkter Workload-Verbindung |
| Unterstützung virtueller Meetings | Da Benutzer nicht mehr daran gezwungen sind, am selben Ort zu arbeiten, ist die Verwendung von virtuellen Meetinglösungen wie Microsoft Teams eine Notwendigkeit. Jeder Benutzer kann auf die Anwendung zugreifen und lokale Webcams/Mikrofone verwenden. | Citrix DaaS mit Richtlinien für Multimediakonferenzen |
Sicherheit
Um erfolgreich zu sein, muss CompanyA in der Lage sein, seine Ressourcen zu schützen und zu sichern und gleichzeitig eine flexible Arbeitsumgebung bereitzustellen, die den Anforderungen der Benutzer entspricht. CompanyA identifizierte die folgenden sicherheitsrelevanten Kriterien für ein erfolgreiches Design.
| Erfolgskriterien | Beschreibung | Lösung |
|---|---|---|
| Ungesicherte persönliche Geräte | Benutzer, die versuchen, mit einem ungesicherten Gerät auf Workspace zuzugreifen, müssen keinen Zugriff auf sanktionierte Ressourcen erhalten. | Citrix Application Delivery Controller (ADC) - nFactor-Richtlinien und Endpunktanalyse |
| Sicheres Heimnetzwerk | Benutzer, die von zu Hause aus mit sensiblen finanziellen und persönlichen Daten arbeiten, müssen dies von einem separaten, gesicherten Netzwerk aus tun. | Citrix SD-WAN 110 Hausgerät |
| Internet-Sicherheit | Unabhängig vom Standort müssen Benutzer vor potenziellen Internetbedrohungen geschützt werden, die in E-Mails, Anwendungen und Websites verborgen sind. Der Internetschutz muss sich auf alle Bereitstellungsmodelle erstrecken, einschließlich virtueller Apps/Desktops, lokale Apps, mobile Apps, Web-Apps und SaaS-Apps. | Citrix Secure Internet Access |
| SaaS und Web App-Sicherheit | Die Fähigkeit des Benutzers, Daten aus SaaS-Apps mit finanziellen, persönlichen oder anderen sensiblen Informationen herunterzuladen, auszudrucken oder zu kopieren, muss eingeschränkt sein. | Citrix Secure Private Access — Sicherheitsrichtlinien mit Anwendungsschutz |
| Sicherheit für virtuelle Apps und Desktops | Benutzer, die auf virtuelle Apps und Desktops zugreifen, dürfen keine finanziellen, persönlichen oder anderen sensiblen Informationen kopieren, herunterladen oder ausdrucken können. | Citrix DaaS — Sicherheitsrichtlinien mit App-Schutz |
| Sicherer Zugang | Interne Unternehmensressourcen müssen vor nicht vertrauenswürdigen und ungesicherten Standorten geschützt werden. Um das Eindringen von Malware zu verhindern, wird Geräten kein direkter Zugriff auf das interne Netzwerk gewährt. | VPN-loser Zugang |
| Multifaktor-Authentifizierung | Da die Sicherheit im Vordergrund steht, ist MFA verpflichtet, eine weitere Layer des Authentifizierungsschutzes von Unternehmensressourcen zu gewährleisten. | Citrix ADC - Zeitbasiertes Einmalkennwort mit Push |
| SaaS-Berechtigungsschutz | Die Anmeldeinformationen des Benutzers für SaaS-Anwendungen müssen eine starke Multifaktor-Authentifizierung enthalten. | Citrix Secure Private Access — Single Sign-On mit Nur-SAML-Authentifizierung |
| Kompromittierter Benutzerschutz | Die IT muss in der Lage sein, Bedrohungen, die von einem kompromittierten Benutzerkonto ausgehen, schnell zu erkennen und zu mindern. | Citrix Security Analytics |
Konzeptarchitektur
Basierend auf den vorangegangenen Anforderungen schuf CompanyA die folgende hochrangige, konzeptionelle Architektur. Diese Architektur erfüllt alle vorhergehenden Anforderungen und gibt CompanyA die Grundlage , um in Zukunft auf zusätzliche Anwendungsfälle zu erweitern.
Das Architektur-Framework ist in mehrere Layer unterteilt. Das Framework bietet eine Grundlage für das Verständnis der technischen Architektur der flexiblen Arbeitseinsatzszenarien. Alle Ebenen fließen zusammen, um eine vollständige End-to-End-Lösung zu schaffen.
Im Überblick:
Benutzerebene: Die Benutzerebene beschreibt die Endbenutzerumgebung und Endgeräte, die zur Verbindung mit Ressourcen verwendet werden.
- Unabhängig vom Gerät greifen Benutzer auf Ressourcen von der Workspace-App zu, was zu einer Erfahrung führt, die für jeden Formfaktor und jede Geräteplattform identisch ist.
- Jedes Endpunktgerät muss gesichert sein. Benutzer, die es vorziehen, ein persönliches Mobilgerät zu verwenden, müssen das Gerät weiterhin bei der Organisation registrieren.
- Je nach Rolle benötigen bestimmte Benutzer möglicherweise ein separates, sicheres Heimnetzwerk oder fehlertolerante Netzwerkverbindungen.
- In einer flexiblen Arbeitsumgebung bietet CompanyA jedem Zugriff auf ein virtualisiertes Microsoft Teams, das integrierte Optimierungen der Workspace App enthält.
Zugriffsebene: Die Zugriffsebene beschreibt Details dazu, wie sich Benutzer bei ihrem Workspace und sekundären Ressourcen authentifizieren.
- 死Anmeldeseite皮毛Citrix Bevor静脉Benutzer再见Workspace zugreifen kann, hat der Endpoint Management-Dienst den Endpoint überprüft, um zu überprüfen, ob es sich um ein vom Unternehmen verwaltetes Gerät handelt. Um Ressourcen besser schützen zu können, benötigt CompanyA ein gewisses Maß an Management für alle Endpunktgeräte (Geräteebenenmanagement oder Windows- und Verwaltung auf Anwendungsebene für Mobilgeräte).
- Citrix Workspace bietet den primären Authentifizierungsbroker für alle nachfolgenden Ressourcen. CompanyA benötigt eine mehrstufige Authentifizierung, um die Authentifizierungssicherheit zu verbessern
- 有der autorisierten Ressourcen der Umgebungverwenden einen anderen Satz von Anmeldeinformationen als die, die für die primäre Workspace-Identität verwendet werden. CompanyA wird die Single Sign-On-Funktionen jedes Dienstes nutzen, um diese sekundären Identitäten besser zu schützen. Für SaaS-Apps erlauben die Anwendungen nur SAML-basierte Authentifizierung, die Benutzer daran hindert, direkt auf die SaaS-Apps zuzugreifen und die Sicherheitsrichtlinien zu umgehen.
Ressourcenebene: Die Ressourcenebene autorisiert bestimmte SaaS-, Web- und virtuelle Ressourcen für definierte Benutzer und Gruppen und definiert gleichzeitig die mit der Ressource verknüpften Sicherheitsrichtlinien.
- Um Daten besser schützen zu können, benötigt CompanyA Richtlinien, die das Drucken, Herunterladen und Kopieren/Einfügen von Inhalten von der verwalteten Ressource zum und vom Endpunkt deaktivieren.
Steuerungsebene: Die Steuerungsebene definiert, wie sich die zugrunde liegende Lösung basierend auf den zugrunde liegenden Aktivitäten des Benutzers anpasst.
- Selbst innerhalb einer geschützten Workspace-Ressource können Benutzer mit nicht vertrauenswürdigen Internetressourcen interagieren. CompanyA nutzt Secure Internet Access, um den Benutzer vor externen Bedrohungen durch SaaS-Apps, Web-Apps, virtuelle Apps, mobile Apps und Apps auf Endpunktgeräten zu schützen.
- Benutzer müssen möglicherweise auf persönliche Elemente auf den verwalteten Endpunktgeräten zugreifen. Geeignete Richtlinien werden definiert, um die Privatsphäre des Benutzers beim Zugriff auf persönliche Websites im Zusammenhang mit Gesundheit und Finanzen zu schützen.
- 达·阿莱Richtlinien zum Schutz der Benutzer贝德r Arbeit in einer flexiblen Umgebung gelten, bestehen weiterhin Risiken. CompanyA verwendet den Security Analytics-Dienst, um gefährdete Benutzer zu identifizieren und automatisch Maßnahmen zur Aufrechterhaltung einer sicheren Umgebung zu ergreifen.
Die folgenden Abschnitte enthalten detailliertere Details zu spezifischen Designentscheidungen für die flexible Arbeitsreferenzarchitektur von CompanyA.
Benutzerlayer
Konnektivität zu Hause
Für viele Benutzer ist der Zugriff auf ihren Workspace lediglich eine Frage der Verbindung zu ihrem Heimnetzwerk, das zwischen geschäftlicher und persönlicher Nutzung geteilt wird. Aufgrund bestimmter Anforderungen für Endbenutzer benötigt CompanyA jedoch entweder redundante Verbindungen oder ein gesichertes Heimnetzwerk.
Basierend auf diesen Anforderungen verwendet CompanyA eine Kombination der folgenden drei Optionen basierend auf den Benutzeranforderungen.
Aus Sicht der Konnektivität hat CompanyA vier Haupttypen von Benutzern, die sich auf die definierten Optionen für die Konnektivität zu Hause beziehen:
| Benutzer | Anforderungen | Lösung |
|---|---|---|
| Führungskräfte | Sicheres Heimnetzwerk mit redundanten Verbindungen | Option 3: Gesichertes, redundantes Netzwerk - Citrix SD-WAN 110 mit LTE |
| Finanzwesen | Sicheres Heimnetzwerk | Option 2: Gesichertes Netzwerk - Citrix SD-WAN 110 |
| Call-Center | Redundante Verbindungen | Option 3: Gesichertes, redundantes Netzwerk - Citrix SD-WAN 110 mit LTE |
| Jeder | Basis | Option 1: Gemeinsames Netzwerk |
Bestimmte Benutzer innerhalb der Organisation beschäftigen sich mit vertraulichen Informationen wie Finanzdaten. Um die Netzwerkkommunikation besser zu schützen, benötigen diese Benutzer ein separates, geschütztes Heimnetzwerk. Diese Benutzergruppe stellt eine SD-WAN 110 Appliance in ihrem Heimnetzwerk bereit. Obwohl sie sich immer noch die primäre ISP-Verbindung teilen, verwenden die Arbeitsgeräte das geschützte Heimnetzwerk. Das separate Netzwerk ermöglicht es CompanyA, Sicherheitsrichtlinien auf das Remote-Arbeitsnetzwerk anzuwenden, ohne den Rest des Heimnetzwerks zu beeinträchtigen.
Bestimmte Benutzergruppen benötigen fehlertolerante Verbindungen. Diese Benutzer stellen eine SD-WAN 110 Appliance mit einer Backup-LTE-Verbindung bereit. Wenn die SD-WAN 110 Appliance Zuverlässigkeitsprobleme mit dem primären ISP erkennt, schlägt SD-WAN automatisch zur LTE-Verbindung fehl.
Obwohl die SD-WAN 110 Appliances im Haus des Benutzers bereitgestellt werden, werden sie zentral verwaltet. Die zentrale Verwaltung der Geräte ermöglicht es CompanyA, einen Zero-Touch-Bereitstellungsansatz für Heimanwender zu finden, der diesen Anleitungen
Erfahren Sie mehr überSD-WAN 110 für Home-Office-Benutzer.
Endpunkt-Sicherheit
CompanyA hat zwei verschiedene Strategien für Endpunktgeräte basierend auf dem Formfaktor.
- Traditionelle Geräte: Für herkömmliche Geräte wie Desktops, PCs und Laptops verwendet CompanyA Mobile Device Management (MDM) mit einer Choose Your Own Device (CYOD) -Strategie. Mit diesem Ansatz ist CompanyA für den Kauf, die Sicherung und die Wartung des Geräts verantwortlich. Um das Gesamtmanagement zu vereinfachen und gleichzeitig die Zufriedenheit der Endbenutzer zu ermöglichen, verfügt CompanyA über eine Liste zugelassener Geräte von Windows bis Mac. Benutzer können vom Gerät aus auf persönliche Ressourcen zugreifen, aber das Gerät wird von CompanyA verwaltet, gesichert, überwacht und geprüft.
- Mobile Geräte: Für mobile Geräte wie iPhones und Android-Telefone verwendet CompanyA Mobile App Management (MAM) mit einer persönlich aktivierten (COPE-) Strategie des Unternehmens. Genau wie die Strategie Choose Your Own Device bietet die Strategie Company Owned, Personally Enabled dem Benutzer eine Liste der genehmigten Mobilgeräte. Das Gerät wird von CompanyA gekauft und gesichert, während Benutzer weiterhin auf persönliche Apps zugreifen können, die nicht von der Organisation geschützt oder geprüft werden. Arbeitsbezogene Anwendungen werden containerisiert und tragen dazu bei, arbeitsbezogene Apps und Inhalte vor lokal installierten persönlichen Apps zu schützen.
Erfahren Sie mehr überEndpoint Management-Eigentümermodelle
Die Registrierung der Geräte verwendet die folgenden Registrierungsrichtlinien
| Betriebssystem | Richtlinie | Wert |
|---|---|---|
| Windows | Geräteverwaltung | Vollständig verwaltet |
| Manuelles Aufheben der MDM-Registrierung zulassen | Deaktiviert | |
| iOS | Geräteverwaltung | Apple-Geräteregistrierung |
| Citrix MAM | Aktiviert | |
| Android | Verwaltung | Android Enterprise |
| Gerätebesitzermodus | Vollständig verwaltet mit Arbeitsprofil | |
| BYOD-Arbeitsprofil | Deaktiviert | |
| Citrix MAM | Aktiviert |
Sicherheitsrichtlinien für Endpunkte
Um die Endpunkte zu sichern, beginnt CompanyA mit den folgenden Baseline-Geräterichtlinien:
| Richtlinie | Wert | Endpunkte |
|---|---|---|
| Passcode: Mindestlänge | 6 | Alle Betriebssystemtypen (iOS, macOS, Android, Android Enterprise, Windows) |
| App-Bestand | Aktiviert | Alle Betriebssystemtypen (iOS, macOS, Android, Android Enterprise, Windows) |
| Geräteverschlüsselung | Gerät muss verschlüsselt werden | Windows — BitLocker |
| macOS — FileVault | ||
| Secure Mail | Richtlinie zur App-Bereitstellung | iOSund Android |
| Secure Web | Richtlinie zur App-Bereitstellung | iOSund Android |
| OS-Update | Automatisch installieren und benachrichtigen, um einen Neustart zu planen | Windows, macOS, iOS, Android |
Optimierung für Microsoft Teams
Bei einer verteilten Belegschaft verlässt sich CompanyA stärker auf virtuelle Konferenzlösungen und ist auf Microsoft Teams standardisiert. Durch die Optimierung der Art und Weise, wie Sprach- und Videokommunikationspakete von Microsoft Teams die Leitung übergehen, bieten Citrix Virtual Apps and Desktops ein virtuelles Meeting-Erlebnis, das mit dem eines herkömmlichen PCs identisch ist.
嗯多的超级死亡集成和Optimierung·冯·Microsoft Teams zu erfahren, gehen Sie folgendermaßen vor:
- Tech Insight Video von Microsoft Teams
- Leitfaden zum Machbarkeitsnachweis von Microsoft Teams für Citrix Virtual Apps and Desktops
Zugriffsebene
Authentifizierung
Aufgrund von Sicherheitsbedenken benötigt CompanyA eine starke Authentifizierungsrichtlinie. CompanyA verwendet einen zweistufig angehenden Ansatz.
Stufe 1 konzentriert sich darauf, die primäre Identität des Benutzers in Citrix Workspace mit einem kontextbezogenen Multi-Faktor-Ansatz zu sichern.
Die Authentifizierungsrichtlinie verweigert den Zugriff, wenn das Gerät keinen Endpunkt-Sicherheits-Scan besteht. Der Scan überprüft, ob das Gerät mit Unternehmenssicherheitsrichtlinien verwaltet und gesichert wird. Sobald der Scan erfolgreich ist, kann der Benutzer seine Active Directory-Anmeldeinformationen und ein TOTP-Token zur Authentifizierung verwenden. Das TOTP-Token kann entweder manuell oder automatisch mit Push-Benachrichtigungen eingegeben werden.
Das Authentifizierungsschema der Stufe 2 konzentriert sich auf die sekundären Ressourcen (SaaS-Apps, Web-Apps, virtuelle Apps und Desktops). Fast jede sekundäre Ressource erfordert eine Authentifizierung. Einige verwenden denselben Identitätsanbieter wie die primäre Identität des Benutzers, während andere einen unabhängigen Identitätsanbieter verwenden, der am häufigsten mit SaaS-Apps üblich ist.
- SaaS Apps: Für SaaS-Anwendungen verwendet CompanyA SAML-basierte Authentifizierung mit Citrix Workspace, die als Identitätsbroker für Active Directory fungiert. Nach der Konfiguration erlauben die SaaS-Anwendungen nur SAML-basierte Authentifizierung. Jeder Versuch, sich mit einem für die SaaS-App spezifischen Benutzernamen/Kennwort anzumelden, schlägt fehl. Diese Richtlinie ermöglicht es CompanyA, die Stärke der Authentifizierung zu verbessern und gleichzeitig die Deaktivierung des Zugriffs aufgrund eines kompromittierten Benutzerkontos zu erleichtern.
- Web-Apps: Der Bestand an Webanwendungen in CompanyA verwendet alle die Active Directory-Anmeldeinformationen des Benutzers. Für Webanwendungen verwendet CompanyA eine Kombination aus Formularen, Kerberos und SAML-basierter Authentifizierung, um Single Sign-On bereitzustellen. Die Auswahl zwischen den Optionen basiert auf den einzigartigen Aspekten jeder Webanwendung.
- Virtual Apps/Desktops: Für die virtuellen Apps und Desktops verwendet CompanyA Passthrough-Authentifizierung von Citrix Workspace, wodurch die sekundäre Authentifizierungsherausforderung eliminiert wird.
DerWorkspace Single Sign-On Tech Briefenthält zusätzliche Informationen zu Single Sign-On für SaaS, Web, virtuelle Apps, virtuelle Desktops und IdP-Verkettungsoptionen.
Zugriff auf Ressourcen
Aus Sicherheitsgründen werden alle Benutzer als extern betrachtet. CompanyA muss überlegen, wie externe Benutzer auf interne Ressourcen zugreifen können. Interne Unternehmensressourcen müssen vor nicht vertrauenswürdigen und ungesicherten Standorten geschützt werden. Um das Eindringen von Malware zu verhindern, wird Geräten kein direkter Zugriff auf das interne Netzwerk gewährt.
Um Zugriff auf interne Ressourcen wie private Web-Apps, virtuelle Apps und virtuelle Desktops zu ermöglichen, plant CompanyA die Verwendung des Secure Private Access-Dienstes und Citrix DaaS. Diese beiden Dienste verwenden eine Null-Vertrauens-Netzwerkzugriffslösung, die eine sicherere Alternative zu herkömmlichen VPNs darstellt.
Secure Workspace Service und Citrix DaaS verwenden die von den Cloud Connectors eingerichteten Outbound Control Channel-Verbindungen. Diese Verbindungen ermöglichen es dem Benutzer, remote auf interne Ressourcen zuzugreifen. Diese Verbindungen sind jedoch
- Eingeschränkt, so dass nur die definierte Ressource zugänglich ist
- Basierend auf der primären, gesicherten Identität des Benutzers
- Nur für bestimmte Protokolle, die Netzwerk-Traversal verbieten
Wenn Benutzer jedoch von einem lokalen Büro aus arbeiten, was als lokaler Zugriff gilt, wird das Routing für virtuelle Apps und Desktops optimiert, ohne die Sicherheitsrichtlinien zu beeinträchtigen. Zu diesem Zweck implementiert CompanyA die direkte Workload-Verbindungsfunktion innerhalb von Citrix DaaS.
Wenn ein Benutzer remote ist, lässt Citrix Workspace den Gateway Service eine sichere Verbindung zwischen der virtuellen Ressource und dem Remotebenutzer herstellen. Wenn sich der Benutzer jedoch physisch im lokalen Netzwerk befindet, erhöht das Folgen desselben Flusses die Latenz der Verbindung des Benutzers. Wenn der Benutzer in der Lage ist, eine lokale Verbindung mit der virtuellen Ressource herzustellen, sinkt die Latenz und die Benutzererfahrung steigt.
Direct Workload Connection ermöglicht es Unternehmen, eine Reihe von öffentlichen IP-Adressen zu definieren, die mit den lokalen Sites verknüpft sind. Wenn die IP-Adresse des Benutzers von einer der definierten IP-Adressen stammt, stellt Workspace fest, dass der Benutzer ein lokaler Benutzer ist, und verwendet ein direktes Verbindungsverfahren.
Ressourcenebene
Richtlinien zur Ressourcensicherheit
CompanyA möchte das Risiko eines Datenverlusts durch Diebstahl eines Endpunktgeräts oder eines kompromittierten Endpunktgeräts begrenzen. Innerhalb der verschiedenen Anwendungstypen beinhaltet CompanyA zahlreiche Einschränkungen, um zu verhindern, dass Benutzer Daten kopieren, herunterladen oder drucken.
Als Basisrichtlinie definierte CompanyA Folgendes (mit der Möglichkeit, Richtlinien je nach Benutzer und Anwendung nach Bedarf zu lockern).
| Kategorie | SaaS Apps | Webapps | Virtuelle Apps/Desktops | Mobile Apps |
|---|---|---|---|---|
| Zugriff auf die Zwischenablage | Abgelehnt | Abgelehnt | Nur Client zu Server | Nur zwischen geschützten Apps aktiviert |
| Abgelehnt | Abgelehnt | Abgelehnt | Abgelehnt | |
| Navigation | Abgelehnt | Abgelehnt | Nicht zutreffend | Nicht zutreffend |
| Downloads | Abgelehnt | Abgelehnt | Abgelehnt | Abgelehnt |
| Wasserzeichen | Aktiviert | Aktiviert | Aktiviert | Nicht zutreffend |
| Keylogging Prävention | Aktiviert | Aktiviert | Aktiviert | Nicht zutreffend |
| Screenshot-Prävention | Aktiviert | Aktiviert | Aktiviert | Nicht zutreffend |
DerTech Brief zu den Richtlinien zum Schutz von Appsenthält zusätzliche Informationen zu den Richtlinien zur Keylogging- und Screenshot-Verhinderung.
Steuerungsebene
Die Steuerungsebene definiert, wie sich die zugrunde liegende Lösung basierend auf den zugrunde liegenden Aktivitäten des Benutzers anpasst.
- Selbst innerhalb einer geschützten Workspace-Ressource haben Benutzer die Möglichkeit, mit nicht vertrauenswürdigen Ressourcen im Internet zu interagieren.CompanyA verwendet Secure Internet Access, um den Benutzer vor externen Bedrohungen aus SaaS-Apps, Web-Apps, virtuellen Apps, mobilen Apps und Apps auf Endpunktgeräten zu schützen.
- Benutzer müssen möglicherweise auf persönliche Elemente auf den verwalteten Endpunktgeräten zugreifen. Geeignete Richtlinien werden definiert, um die Privatsphäre des Benutzers beim Zugriff auf persönliche Websites im Zusammenhang mit Gesundheit und Finanzen zu schützen.
- 达·阿莱Richtlinien zum Schutz der Benutzer贝德r Arbeit in einer flexiblen Umgebung gelten, bestehen weiterhin Risiken. CompanyA verwendet den Security Analytics-Dienst, um gefährdete Benutzer zu identifizieren und automatisch Maßnahmen zur Aufrechterhaltung einer sicheren Umgebung zu ergreifen.
- CompanyA muss in der Lage sein, die Remote-SD-WAN 110-Geräte zu verwalten, die in zahlreichen Haushalten eingesetzt werden. Durch den Einsatz von SD-WAN Orchestrator kann CompanyA eine verteilte Bereitstellung zentral verwalten.
Sicherer Internetzugriff
Wenn Benutzer mit SaaS-, Web-, virtuellen, lokalen und mobilen Apps interagieren, greifen sie häufig auf öffentliche Internetseiten zu. Obwohl CompanyA über eine Internet-Sicherheits-Compliance-Klasse verfügt, die alle Benutzer jährlich abschließen müssen, hat es Angriffe nicht vollständig verhindert, die meistens durch Phishing-Betrug entstanden sind.
Um die Benutzer und die Organisation zu schützen, integriert CompanyA den Secure Internet Access Service und Security Analytics in das flexible Arbeitsdesign.
Jeglicher Internetverkehr zur/von der Bibliothek von Apps, Desktops und Geräten innerhalb der Organisation wird über den Secure Internet Access-Dienst weitergeleitet. Innerhalb dieses Dienstes wird jede URL gescannt, um zu überprüfen, ob sie sicher ist. Funktionalitäten innerhalb bestimmter öffentlicher Websites werden verweigert oder geändert. Downloads werden automatisch gescannt und verifiziert.
Da viele Websites jetzt verschlüsselt sind, besteht ein Teil dieses Sicherheitsprozesses darin, den Datenverkehr zu entschlüsseln und zu überprüfen. CompanyA möchte Benutzern mit der Flexibilität den Zugriff auf persönliche Websites auf unternehmenseigenen Geräten ermöglichen. Um die Privatsphäre der Mitarbeiter zu gewährleisten, werden bestimmte Kategorien von Websites nicht entschlüsselt, wie z. B. finanzielle und gesundheitsbezogene Websites. Um vollständige Transparenz zu gewährleisten, plant CompanyA, den gesamten Sicherheitsrichtlinienplan intern zur Verfügung zu stellen.
Bei der Gestaltung der Internetsicherheitsrichtlinie wollte CompanyA mit einer Grundlagenrichtlinie beginnen. Da CompanyA weiterhin Risiken innerhalb der Organisation bewertet, werden sie die Richtlinien gegebenenfalls lockeren/verstärken.
Standardmäßig werden alle Kategorien entschlüsselt und erlaubt. CompanyA hat die folgenden Änderungen vorgenommen, die global angewendet werden:
| Kategorie | Änderung | Grund |
|---|---|---|
| Finanzen und Investitionen | nicht entschlüsseln | Bedenken hinsichtlich der Privatsphäre |
| Integrität | nicht entschlüsseln | Bedenken hinsichtlich der Privatsphäre |
| Inhalte für Erwachsene | Blockieren | |
| Die Medikamente | Blockieren | |
| Datei-Sharing | Blockieren | |
| Glücksspiel | Blockieren | |
| Illegale Aktivitäten | Blockieren | |
| Bösartige Quellen | Blockieren | |
| Malware-Inhalt | Blockieren | |
| Porno/Nacktheit | Blockieren | |
| Viren & Schadsoftware | Blockieren | |
| Gewalt/Hass | Blockieren |
Neben globalen Sicherheitskontrollen muss CompanyA auch zusätzliche Internetkontrollen für eine Teilmenge der Umgebung implementieren.
| Kategorie | Gruppe | Grund |
|---|---|---|
| YouTube — HD-Video einschränken | Hosts für Virtual Apps and Desktops | Das Zulassen von HD-Video auf virtuellen Desktops führt häufig zu einer erhöhten Ressourcenauslastung, die sich möglicherweise auf die Leistung und Skalierbarkeit auswirkt. |
Sicherheitsanalysen
CompanyA muss Bedrohungen für die Umwelt identifizieren und stoppen, bevor die Auswirkungen zu groß sind.
Um die Umwelt zu schützen, verwendet CompanyA Citrix Security Analytics, um Insiderbedrohungen, kompromittierte Benutzer und kompromittierte Endpunkte zu identifizieren. In vielen Fällen rechtfertigt ein einzelner Fall einer Bedrohung keine drastischen Maßnahmen, aber eine Reihe von Bedrohungen kann auf eine Sicherheitsverletzung hinweisen.
CompanyA entwickelte die folgenden anfänglichen Sicherheitsrichtlinien:
| Name | Bedingungen | Aktion | Grund |
|---|---|---|---|
| Gerät mit Jailbreak | Jailbroken/verwurzeltes Gerät erkannt | Gerät sperren | Mobile Geräte sind Eigentum von CompanyA und werden von ihr verwaltet. Geräte mit Jailbreak können Malware einführen, die Daten stehlen kann. |
| Nicht verwalteter Endpunkt | Nicht verwaltetes Gerät erkannt | Admin benachrichtigen | CompanyA setzt voraus, dass jedes Gerät verwaltet wird Wenn ein nicht verwaltetes Gerät erkannt wird, besteht die Möglichkeit, dass die Umgebung verletzt wurde und das Konto des Benutzers deaktiviert werden muss. |
| Risiko von Endpunkten | EPA-Scanfehler | Zur Watchlist hinzufügen | Nur verwaltete Geräte dürfen darauf zugreifen. Wenn ein Benutzer versucht, ein nicht verwaltetes Gerät zu verwenden, wird der Benutzer überwacht, um sicherzustellen, dass er keine Bedrohung darstellt. Wenn zusätzliche Risiken auftreten, sind zusätzliche Maßnahmen gerechtfertigt. |
| Ungewöhnlicher Zugang | Melden Sie sich von verdächtiger IP an und greifen Sie von einem ungewöhnlichen Ort aus | Benutzer sperren | Wenn sich ein Benutzer von einem ungewöhnlichen Ort und einer verdächtigen IP aus anmeldet, gibt es einen starken Hinweis darauf, dass der Benutzer kompromittiert wurde. |
| Ungewöhnliches App- | Ungewöhnliche Zeit der App-Nutzung und des Zugriffs von ungewöhnlichem | Starten Sie die Aufzeichnung | Wenn ein Benutzer zu einer seltsamen Zeit und an einem seltsamen Ort auf eine virtuelle App zugreift, besteht das Potenzial, dass der Benutzer kompromittiert wird. Sicherheitsanalysen zeichnen die Sitzung auf, damit der Administrator die Legitimität überprüft. |
| Potenzielle Exploits für Anmeldedaten | Übermäßige Authentifizierungsfehler und Zugriff von einem ungewöhnlichen Ort | Zur Watchlist hinzufügen | 要是有Benutzer身份验证entifizierungsfehler von einem ungewöhnlichen Ort aus hat, kann dies darauf hinweisen, dass jemand versucht, in das System einzudringen. Der Angreifer hat jedoch noch keinen Erfolg. Sie müssen den Benutzer nur zur Watchlist hinzufügen. |
Das DokumentCitrix Benutzerrisikoindikatorenenthält zusätzliche Informationen zu den verschiedenen Risikoindikatoren, die für Citrix Security Analytics bereitgestellt werden.
Die SeiteRichtlinien und Aktionen von Citrixenthält Informationen zu den Standardisierungsschritten, die Citrix Security Analytics ausführen kann.
Citrix SD-WAN Orchestrator
Eine Teilmenge der Benutzerpopulation, basierend auf den Anforderungen, wird die Citrix SD-WAN 110 Appliance in ihrem Heimnetzwerk bereitstellen. Diese Appliance stellt entweder redundante Netzwerkverbindungen bereit oder erstellt ein separates, sicheres Heimnetzwerk.
Um das Management für die verteilte SD-WAN-Bereitstellung einfacher zu verwalten, wird CompanyA den Citrix SD-WAN Orchestrator verwenden.
Mit Orchestrator nimmt der Administrator alle notwendigen Konfigurationseinstellungen innerhalb des Clouddienstes vor. Sobald sie mit dem Netzwerk verbunden sind, registriert sich die SD-WAN 110 Appliances beim Clouddienst und erhält die Konfigurationsinformationen.
Der Cloud-basierte Service erleichtert dem Administrator die Verwaltung der verteilten SD-WAN-Umgebung.
Quellen
Um Ihnen die Planung einer flexiblen Arbeitslösung zu erleichtern, möchten wir IhnenQuelldiagrammezur Verfügung stellen, die Sie anpassen können.