Referenzarchitektur: Zero-Trust-Netzwerkzugang für Auftragnehmer und Zeitarbeiter
Übersicht
CompanyA ergänzt sein Vollzeitpersonal durch Auftragnehmer und Zeitarbeiter. Mit Citrix hat das Unternehmen mehrere Produktivitätsvorteile realisiert, da Auftragnehmer und Zeitarbeiter schnell an Bord gehen und mit minimaler Einrichtungszeit mit der Arbeit an Geschäftsprojekten beginnen können. Da die Auftragnehmer und Zeitarbeiter des Unternehmens in der Regel mobil sind, verwenden sie Citrix, um von überall, zu jeder Zeit und von jedem Gerät aus auf Ressourcen zuzugreifen.
Die Richtlinien von CompanyA für Auftragnehmer und Zeitarbeiter haben zu einer höheren Effizienz der Belegschaft geführt. Die Richtlinie hat jedoch ein komplexes Bereitstellungsmodell geschaffen und Sicherheitsbedenken eingeführt. Da die Grenze zwischen dem Büro und der Außenwelt weiter verschwimmt, muss CompanyA bestimmte Maßnahmen ergreifen, um vertrauliche Unternehmensinformationen zu schützen.
CompanyA verwendet derzeit mehrere nicht integrierte Einzelprodukte für den Fernzugriff. Das Unternehmen möchte eine unternehmensweite Zero Trust Network Access (ZTNA) -Lösung konsolidieren und erweitern und gleichzeitig seine Ressourcen schützen. CompanyA musste einen intelligenten, kontextbezogenen und anpassungsfähigen Ansatz für die Sicherheit am Workspace verfolgen, der seine Auftragnehmer, Zeitarbeiter und Daten nach dem Zero-Trust-Modell schützt. Zu diesem Zweck unternimmt CompanyA eine Initiative zur Aktualisierung seiner Anwendungsbereitstellungsarchitektur.
Companya entschied sich für Citrix aufgrund seiner Expertise in grundlegenden Technologien wie adaptivem Zugriff, Netzwerk, geringste Privilegien und Datenschutz. Das Unternehmen implementiert die integrierte Citrix-Lösung mit Citrix Secure Private Access, Citrix Gateway, Citrix Secure Internet Access und Citrix Web App and API Protection. Zusammen bietet diese Lösung einen End-to-End-Schutz für CompanyA-Ressourcen, auf die von Endgeräten für Auftragnehmer und Zeitarbeiter zugegriffen wird.
Diese Referenzarchitektur erklärt den Plan von CompanyA, den Zugriff von Auftragnehmern und Zeitarbeitern auf seine Daten und Apps zu schützen.
Erfolgskriterien
CompanyA möchte allen Auftragnehmern und Zeitarbeitern die Möglichkeit geben, von zu Hause aus und an entfernten Standorten zu arbeiten. Obwohl einige Auftragnehmer und Zeitarbeiter derzeit VPN-Zugriff auf Web- und SaaS-Apps haben, hat CompanyA mehrere Sicherheitsherausforderungen identifiziert, die eine unternehmensweite Bereitstellung verhindern. Daher implementiert CompanyA einen Ansatz ohne VPN.
CompanyA muss Sicherheitsbedrohungen gegen Apps und die Daten, die an den Endpunkt übertragen, auf dem Endpunkt verwendet werden und sich im Ruhezustand befinden, mindern. Nach sorgfältiger Abwägung der Sicherheits- und IT-Anforderungen hat Companya beschlossen, ein Modell für die Bereitstellung verwalteter Endpunkte sowohl für Vertrags- als auch für Zeitarbeiter zu implementieren. Da Auftragnehmer und Zeitarbeiter auf sensible Apps und Daten zugreifen, wird ihnen ein verwalteter Unternehmensendpunkt bereitgestellt, der zusätzliche Sicherheitsmaßnahmen erfordert. Die Sicherheitsrichtlinie von CompanyA verlangt, dass auf verwalteten Endpunkten Sicherheitssoftware-Agenten installiert sind, um Zugriff auf Unternehmensressourcen zu erhalten.
CompanyA hat eine dreifache Initiative gestartet, um Unternehmensressourcen zu schützen, auf die Endpunkte von Auftragnehmern und Zeitarbeitern zugreifen. Um erfolgreich zu sein, hat CompanyA eine Liste von Erfolgskriterien für die Initiative definiert. Diese Kriterien bilden die Grundlage für das übergreifende Design.
Schutz des Zugangs
CompanyA muss den Zugang von Auftragnehmern und Zeitarbeitern zu ihrer Arbeitsumgebung schützen. Das Unternehmen muss einen sicheren Modus für den nahtlosen Zugriff auf alle Apps und Daten schaffen. Der Zugriff muss sicher, einfach und flexibel sein, um von jedem Ort aus arbeiten zu können.
CompanyA帽子塞纳河Sicherheitsstrategie beschlossen, sich von einem traditionellen “Schloss und Wassergraben” -Ansatz in Bezug auf Zugang und Sicherheit zu entfernen. Es verfolgt einen Zero-Trust-Ansatz anstelle einer herkömmlichen Appliance-basierten Lösung wie einem VPN, bei dem davon ausgegangen wird, dass Auftragnehmern und Zeitarbeitskräften vertraut wird.
Im Fokus von CompanyA auf den Schutz des Zugangs von Auftragnehmern und Zeitarbeitern wurden die folgenden Kriterien für ein erfolgreiches Design identifiziert:
| Erfolgskriterien | Beschreibung | Lösung |
|---|---|---|
| Nicht verwaltete Geräte blockieren | Auftragnehmer und Zeitarbeiter, die versuchen, mit einem nicht verwalteten Gerät auf Citrix Workspace zuzugreifen, dürfen keinen Zugriff auf genehmigte Ressourcen erhalten | Citrix Application Delivery Controller (ADC) - nFactor-Richtlinien und Endpunktanalyse |
| Adaptiver Zugriff auf Web- und SaaS-Apps | Adaptiver Zugriff auf Web- und SaaS-Apps mit Citrix Secure Private Access zur Bestimmung der richtigen Zugriffsebene | Citrix Secure Private Access |
| Adaptiver Zugriff auf (virtuelle) Client-Server-Apps | Adaptiver Zugriff auf Client-Server-Apps (virtuelle) mit Citrix Secure Private Access und Citrix DaaS zur Bestimmung der richtigen Zugriffsebene | Citrix Secure Private Access und Citrix DaaS |
| Endbenutzer-Monitoring | Kontinuierliche Überwachung und kontinuierliche Bewertung zum Schutz vor potenziellen Bedrohungen. Apps werden kontinuierlich auf Datenexfiltration und ungewöhnliche Zugriffszeiten und Standorte überwacht. | Citrix Analytics |
| SaaS App-Zugriff | Auftragnehmer und Zeitarbeiter müssen auf genehmigte SaaS-Anwendungen mit starker Authentifizierung zugreifen, die die Benutzererfahrung nicht beeinträchtigt | Citrix Secure Private Access |
| Zugriff auf Web-Apps | Auftragnehmer und Zeitarbeiter müssen auf genehmigte interne Webanwendungen mit starker Authentifizierung zugreifen, die die Benutzererfahrung nicht beeinträchtigt. | Citrix Secure Private Access — Zero-Trust-Netzwerkzugriff |
| Persönlicher Datenschutz | CompanyA muss die Privatsphäre von Auftragnehmern und Zeitarbeitern gewährleisten und gleichzeitig die Endpunkte vor potenziellen Bedrohungen schützen, wenn nicht genehmigte Websites verwendet werden. | Citrix Secure Browser Service mit Citrix Secure Internet Access (“Nicht entschlüsseln” -Richtlinien für Websites mit persönlichen Daten verwenden) |
Schützen von Daten
CompanyA muss seine Daten schützen, auf die Geräte zugreifen, die von Auftragnehmern und Zeitarbeitern verwendet werden. Das Unternehmen verfügt über eine hochkomplexe Infrastruktur aus Layer von Anwendungen, Systemen und Netzwerken in Umgebungen, die aus on-premises Rechenzentren, öffentlichen und privaten Clouds bestehen. Diese Ausbreitung hat zu einem komplizierten Stapel verschiedener Tools und Technologien zum Schutz von Daten geführt.
CompanyA entwirft einen konsolidierten, in der Cloud bereitgestellten Sicherheitsstapel, um den Anforderungen seines modernen Arbeitsplatzes gerecht zu werden. Durch die Zentralisierung von Datensicherheitsrichtlinien in der gesamten Lösung werden redundante Aufgaben minimiert, überlappende Richtlinien werden beseitigt und es der IT ermöglicht, Daten und Geräte standortübergreifend zu schützen.
Im Fokus von CompanyA auf den Schutz von Daten wurden die folgenden Kriterien für ein erfolgreiches Design identifiziert:
| Erfolgskriterien | Beschreibung | Lösung |
|---|---|---|
| SaaS und Web App-Sicherheit | Die Fähigkeit des Auftragnehmers und des Zeitarbeiters, Daten aus SaaS-Apps, die finanzielle, persönliche oder andere sensible Informationen enthalten, herunterzuladen, zu drucken oder zu kopieren, muss eingeschränkt sein | Citrix Secure Private Access — Sicherheitsrichtlinien — Verbesserte Sicherheit |
| Schutz vor Keyloggern | CompanyA muss interne Unternehmensressourcen schützen, wenn sowohl von Auftragnehmern als auch von Zeitarbeiter-Endpunkten aus darauf zugegriffen wird Endpunkte können kompromittiert werden und Keylogging-Malware ist installiert. Keylogging muss bei Verwendung von Citrix Workspace blockiert werden | Citrix Secure Private Access — Sicherheitsrichtlinien mit Anwendungsschutz |
| Schutz vor Bildschirmschabern | CompanyA muss interne Unternehmensressourcen schützen, wenn von Auftragnehmer- und Zeitarbeiter-Endpunkten aus darauf zugegriffen wird. Endpunkte können kompromittiert werden und Screen-Scraping-Malware ist installiert. Screen Scraping muss bei der Verwendung von Citrix Workspace blockiert sein | Citrix Secure Private Access — Sicherheitsrichtlinien mit Anwendungsschutz |
| Remotebrowserisolierung | Die Social Media-Website wird in einer Remote-Browsersitzung gestartet | Citrix Secure Browser Service |
| Internet-Sicherheit | Schützen Sie Auftragnehmer und Zeitarbeiter unabhängig vom Standort vor potenziellen Internetbedrohungen, die in E-Mails, Anwendungen und Websites versteckt sind. | Citrix Secure Internet Access — Sicherheitsrichtlinien mit Malware-Schutz |
| Geräte schützen | Schützen Sie Endpunkte und die zugrunde liegende Infrastruktur vor Malware und Zero-Day-Bedrohungen | Citrix Secure Internet Access — Sicherheitsrichtlinien mit Malware-Schutz |
| Daten schützen | Schutz von Daten, die in genehmigten und nicht genehmigten Apps gespeichert sind | Citrix Secure Internet Access — Sicherheitsrichtlinien mit Webfilterung |
| Konformität | Compliance und Schutz von Auftragnehmern vor bösartigen URLs | Citrix Secure Internet Access — Sicherheitsrichtlinien mit Webfilterung |
Apps schützen
CompanyA muss seine Apps schützen, auf die Auftragnehmer- und Zeitarbeiter-Endpunkte zugreifen. Die Angriffsfläche hat zugenommen, weil das Unternehmen Apps in die Cloud verlagert und SaaS-Apps verwendet hat. Die aktuellen sicheren lokalen Webgateway- und VPN-Bereitstellungen von CompanyA mit strengen Sicherheitsrichtlinien können Anwendungen in der Cloud nicht effektiv schützen.
CompanyA muss eine Hybridlösung erstellen, die sowohl lokale Geräte als auch Cloud-Dienste für die Anwendungssicherheit verwendet. Vor-Ort-Geräte blockieren App-Layer- und DDoS-Angriffe on-premises, während ein cloudbasierter Schutzdienst volumetrische Angriffe und DDoS-Angriffe auf App-Ebene in der Cloud verhindert.
Im Fokus von CompanyA auf den Schutz von Apps wurden die folgenden Kriterien für ein erfolgreiches Design identifiziert:
| Erfolgskriterien | Beschreibung | Lösung |
|---|---|---|
| Sicherer Zugang | CompanyA muss interne Unternehmensressourcen schützen, wenn auf Geräte von Auftragnehmern und Zeitarbeitern zugegriffen wird. Geräte dürfen nicht direkt auf das interne Netzwerk zugreifen, um das Eindringen von Malware zu verhindern. | Sicherer privater Zugriff — Zugriff ohne VPN |
| SaaS-Berechtigungsschutz | Die Anmeldeinformationen des Auftragnehmers oder des temporären Mitarbeiters für SaaS-Anwendungen müssen eine Multifaktor-Authentifizierung beinhalten. | Citrix Secure Private Access — Single Sign-On mit Nur-SAML-Authentifizierung |
| SaaS DLP | CompanyA verlangt von seinen SaaS-Apps, dass sie DLP-Steuerelemente inline verwenden. | Sicherer Browserdienst mit Citrix Secure Internet Access |
| Remotebrowserisolierung | Social Media-Seiten werden in einer Remote-Browsersitzung gestartet | Citrix Secure Browser Service |
| Schützen Sie Web-Apps | CompanyA muss volumetrische DDoS-Angriffe am Netzwerkrand stoppen, bevor sie in das Netzwerk gelangen. CompanyA muss sowohl Cloud-Apps als auch interne Apps schützen. CompanyA hat Apps, die an mehreren Standorten auf Cloud-gehosteten Plattformen bereitgestellt werden. Es muss diese Apps vor Bedrohungen auf API-Ebene wie DDoS- und Bot-Angriffen, Cross-Site Scripting und SQL Injection-Angriffen schützen. | Citrix Web App Firewall |
| Beeinträchtigter Schutz von Auftragnehmern | Die IT muss in der Lage sein, Bedrohungen, die von einem kompromittierten Auftragnehmer- oder Zeitarbeiterkonto ausgehen, schnell zu erkennen und zu min Die IT muss die gesamte Bedrohungsfläche mit zentralisierten Orchestrierungsfunktionen schützen, um die vollständige Sicherheit zu bieten, die das Unternehmen benötigt. | Citrix Security Analytics |
Konzeptarchitektur
Diese Architektur erfüllt alle vorherigen Anforderungen und gibt CompanyA gleichzeitig die Grundlage, um in Zukunft auf weitere Anwendungsfälle zu expandieren.
Auf hohem Niveau:
Benutzerlayer: Die Benutzerebene beschreibt die Auftragnehmer- und Zeitarbeitsumgebung sowie die Endpunktgeräte, die für die Verbindung mit Ressourcen verwendet werden.
- Endpunktgeräte für Auftragnehmer und Zeitarbeiter werden von CompanyA mithilfe von Citrix Endpoint Management verwaltet.
- Für Endgeräte für Auftragnehmer und Zeitarbeiter muss die Citrix Workspace-App installiert sein.
- Auf Endgeräten von Auftragnehmern und Zeitarbeitern muss App Protection in der Workspace-App aktiviert sein.
- de Der Citrix安全上网代理是再见r Citrix DaaS-Infrastruktur installiert.
Zugriffsebene: Die Zugriffsebene beschreibt, wie sich Auftragnehmer bei ihrem Workspace und ihren sekundären Ressourcen authentifizieren.
- Citrix Gateway überprüft, ob der Auftragnehmer oder das temporäre Arbeitsgerät über ein Gerätezertifikat verfügt, bevor die Anmeldeseite angezeigt wird.
- Citrix Workspace bietet den primären Authentifizierungsbroker für alle nachfolgenden Ressourcen.
- CompanyA benötigt eine mehrstufige Authentifizierung, um die Authentifizierungssicherheit zu verbessern
- Viele der autorisierten Ressourcen in der Umgebung verwenden andere Anmeldeinformationen als die Anmeldeinformationen, die für die primäre Workspace-Identität verwendet werden. CompanyA wird die Single-Sign-On-Funktionen jedes Dienstes nutzen, um diese sekundären Identitäten besser zu schützen.
- Die Anwendungen ermöglichen nur SAML-basierte Authentifizierung für SaaS-Apps. Dies verhindert, dass Auftragnehmer und Zeitarbeiter direkt auf die SaaS-Apps zugreifen und die Sicherheitsrichtlinien umgehen.
Ressourcenebene: Die Ressourcenebene autorisiert bestimmte Client-Server- (virtuelle), Web- und SaaS-Ressourcen für definierte Benutzer und Gruppen und definiert gleichzeitig die mit der Ressource verknüpften Sicherheitsrichtlinien.
- CompanyA benötigt Richtlinien, die das Drucken, Herunterladen, Kopieren und Einfügen von Inhalten von der verwalteten Ressource zum und vom Auftragnehmer- und Zeitarbeiter-Endpunktgerät verhindern.
- CompanyA benötigt VPN-freien Zugriff auf Ressourcen für Auftragnehmer und Zeitarbeiter.
- Sensible SaaS-Apps erhalten zusätzlichen Schutz, der von der Citrix Workspace-App bereitgestellt wird. Wenn für das Endgerät des Auftragnehmers oder des temporären Arbeiters kein App-Schutz verfügbar ist, verhindern Richtlinien für den adaptiven Zugriff, dass die App gestartet wird.
- Da CompanyA den Zugriff auf interne Web-Apps von Endgeräten von Auftragnehmern und temporären Mitarbeitern ermöglicht, muss die Citrix Web App Firewall die Ressource vor Angriffen von potenziell gefährdeten Endpunkten schützen.
Steuerungsebene: Die Steuerungsebene definiert, wie sich die zugrunde liegende Lösung basierend auf den zugrunde liegenden Aktivitäten von Auftragnehmern und Zeitarbeitern anpasst.
- Selbst innerhalb einer geschützten Workspace-Ressource können Auftragnehmer und Zeitarbeiter mit nicht vertrauenswürdigen Internetressourcen interagieren. Companya verwendet Secure Internet Access, um Auftragnehmer und Zeitarbeiter bei der Verwendung von SaaS-Apps, Web-Apps, virtuellen Apps und Desktops vor externen Bedrohungen zu schützen.
- Social Media-Sites werden in einer Remote-Browsersitzung mithilfe des Citrix Secure Browser-Dienstes gestartet.
- Wenn Auftragnehmer oder Zeitarbeiter über die CompanyA-Ressource auf ihren Geräten auf persönliche Websites wie Gesundheit und Finanzen zugreifen müssen, schützen geeignete Richtlinien ihre Privatsphäre.
- CompanyA benotigt杯安全analytics服务, um gefährdete Auftragnehmer und Zeitarbeiter zu identifizieren und automatisch eine sichere Umgebung aufrechtzuerhalten.
In den folgenden Abschnitten werden spezifische Entwurfsentscheidungen für die Referenzarchitektur von CompanyA für den Auftragnehmer- und Arbeitnehmerschutz näher erläutert.
Zugriffsebene
Authentifizierung
Die Authentifizierungsrichtlinie von CompanyA verweigert den Zugriff, wenn der Auftragnehmer oder das temporäre Arbeitsgerät einen Endpunktsicherheitsscan nicht besteht. Der Scan überprüft, ob das Gerät verwaltet wird, indem nach einem Gerätezertifikat gesucht wird. Wenn das Gerät den Scan besteht, können sich Auftragnehmer und Zeitarbeiter am Citrix Gateway anmelden. CompanyA hat festgestellt, dass der Zugriff auf Ressourcen mit einem Benutzernamen und einem Kennwort keine ausreichende Sicherheit bietet und eine Multifaktor-Authentifizierung erfordert. Auftragnehmer und Zeitarbeiter verwenden ihre Active Directory-Anmeldeinformationen und ein TOTP-Token zur Authentifizierung.
Citrix Workspace beinhaltet ein von der Cloud bereitgestelltes zeitbasiertes Einmalkennwort (TOTP), das Multifaktor-Authentifizierung Auftragnehmer und Zeitarbeiter registrieren sich beim TOTP-Dienst und erstellen einen vorinstallierten geheimen Schlüssel in der Authentifizierungs-App auf einem mobilen Gerät. Sobald sich der Auftragnehmer oder Zeitarbeiter erfolgreich beim TOTP-Mikrodienst registriert hat, muss er das Token zusammen mit seinen Active Directory-Anmeldeinformationen verwenden, um sich erfolgreich bei Citrix Workspace zu authentifizieren.
Informationen zuActive Directory mit TOTP-Konzepten und -Terminologie finden Sie im Citrix WorkspaceActive Directory mit TOTP-Konzepten und -Terminologie.
Zero Trust Netzwerkzugriff
CompanyA verwendet den Citrix Secure Private Access-Dienst und Citrix DaaS, um Zugriff auf SaaS und interne Webanwendungen, virtuelle Apps und virtuelle Desktops bereitzustellen. Bei diesen Diensten handelt es sich um eine Zero-Trust-Netzwerkzugriffslösung, die eine sicherere Alternative zu einem herkömmlichen VPN darstellt.
Der Secure Private Access-Dienst und Citrix DaaS verwenden die ausgehenden Steuerkanalverbindungen der Cloud-Konnektoren. Diese Verbindungen ermöglichen es dem Auftragnehmer, remote auf interne Ressourcen zuzugreifen. Diese Verbindungen sind jedoch:
- Eingeschränkt, so dass nur die definierte Ressource zugänglich ist
- Basierend auf der primären, gesicherten Identität des Auftragnehmers
- Nur für bestimmte Protokolle, die Netzwerk-Traversal verbieten
Ressourcenebene
Richtlinien zur Ressourcensicherheit
CompanyA möchte das Risiko von Datenverlust und Datenremanenz auf Endgeräten von Auftragnehmern und Zeitarbeitern begrenzen. Da CompanyA sowohl über sensible als auch über reguläre virtuelle, SaaS- und Web-Apps verfügt, wird es auf der Grundlage seiner Sicherheitsanforderungen adaptive Zugriffsrichtlinien anwenden. Innerhalb der verschiedenen Anwendungstypen enthält CompanyA zahlreiche Einschränkungen, um das Kopieren, Herunterladen oder Drucken von Daten zu verhindern.
- Für Endgeräte von Auftragnehmern und Zeitarbeitern muss die Citrix Workspace-App für den Zugriff auf Unternehmensressourcen installiert sein.
- Endgeräte von Auftragnehmern und temporären Arbeiternmitder Citrix Workspace-App verwenden Secure Private Access, um SaaS- oder Web-Apps mit Citrix Enterprise Browser zu starten - einem containerisierten Browser lokal auf dem Endpunkt.
- Citrix Enterprise Browser (früher Citrix Workspace Browser) stellt eine Verbindung zur SaaS-App oder eine Zero Trust Network Access-Verbindung zur internen Web-App her.
- Secure Private Access bietet SSO und setzt adaptive Zugriffsrichtlinien durch (Einschränkungen beim Herunterladen, Drucken, Kopieren und Einfügen).
- Als Fallback verwenden Endgeräte von Auftragnehmern und ZeitarbeitskräftenohneCitrix Workspace-App Secure Private Access, um eine virtuelle, SaaS- oder Web-App über einen isolierten Browser mithilfe des Citrix Secure Browser-Dienstes zu starten.
- Secure Private Access bietet SSO und setzt anpassungsfähige Zugriffsrichtlinien wie Beschränkungen für das Herunterladen, Drucken, Kopieren und Einfügen von Web- und SaaS-Apps durch.
- Richtlinien für den App-Schutz schützen Web- und SaaS-Apps mithilfe von Screen Scraping und Keylogger-Einschränkungen.
- CompanyA benötigt App-Schutz-Richtlinien für sensible SaaS- und Web-Apps.
- Wenn für das Endgerät des Auftragnehmers oder des Zeitarbeiters kein App-Schutz verfügbar ist, verhindern adaptive Zugriffsrichtlinien, dass der Auftragnehmer die App startet.
- Um potenziell schädliche Webinhalte weiter zu isolieren und den Ressourcenverbrauch in der DaaS-Umgebung zu reduzieren, werden Social Media-Sites in einer Remote-Browsersitzung mit dem Citrix Secure Browser-Dienst gestartet.
- Wenn Auftragnehmer und Zeitarbeiter auf virtuelle Apps und Desktops zugreifen, bietet Citrix DaaS SSO und setzt Sperrrichtlinien durch. Der Dienst schränkt das Herunterladen, Drucken sowie unidirektionale und bidirektionale Kopier- und Einfügeaktionen ein.
CompanyA hat die folgenden vorgeschriebenen Zugriffsmodelle entwickelt, um die Sicherheitsanforderungen seiner Auftragnehmer und Zeitarbeiter zu erfüllen:
| Kategorie | SaaS Apps | Sensible SaaS-Apps | Webapps | Sensible Web-Apps | Virtual Apps and Desktops |
|---|---|---|---|---|---|
| Zugriff auf die Zwischenablage | Zugelassen | Abgelehnt | Zugelassen | Abgelehnt | Abgelehnt |
| Zugelassen | Abgelehnt | Zugelassen | Abgelehnt | Abgelehnt | |
| Navigation | Abgelehnt | Abgelehnt | Abgelehnt | Abgelehnt | Nicht zutreffend |
| Downloads | Zugelassen | Abgelehnt | Zugelassen | Abgelehnt | Abgelehnt |
| Wasserzeichen | Deaktiviert | Aktiviert | Deaktiviert | Aktiviert | Aktiviert |
| Keylogging Prävention | Deaktiviert | Aktiviert | Deaktiviert | Aktiviert | Aktiviert |
| Screenshot-Prävention | Deaktiviert | Aktiviert | Deaktiviert | Aktiviert | Aktiviert |
Steuerungsebene
Webapp- und API-Schutz
Wenn sich Auftragnehmer und Zeitarbeiter bei Citrix Workspace authentifizieren, greifen sie auf private interne Web-Apps zu. Um die lokalen Web-Apps besser zu schützen, verwendet CompanyA die Komponenten Citrix Application Delivery Controller Bot Management und Web App Firewall.
Die Bot-Management-Komponente des Application Delivery Controller erkennt eine Bot-Anforderung und verhindert, dass sie das System überschwemmt. Die Web App Firewall schützt öffentlich zugängliche Apps vor Angriffen. Diese Arten von Angriffen sind in der Regel Pufferüberlauf, SQL-Injection und Cross-Site Scripting. Die Web App Firewall erkennt und verhindert, dass sich diese Angriffe auf die Daten und die App auswirken.
Companya verwendet auch den Citrix Web App- und API-Schutzdienst, um volumetrische Angriffe und DDoS-Angriffe auf App-Ebene gegen Web-Apps zu verhindern, die nicht vor Ort sind.
Sicherer Internetzugriff
Wenn Auftragnehmer und Zeitarbeiter mit SaaS, Web, virtuellen Apps und Desktops interagieren, greifen sie häufig auf Internetseiten zu, die nicht vom Unternehmen genehmigt wurden. Um Auftragnehmer und Organisationen zu schützen, integriert CompanyA Citrix Secure Internet Access und Security Analytics in das Design.
Jeglicher CompanyA-bezogener Internetverkehr zu/von der Bibliothek von Apps, Desktops und Geräten innerhalb der Organisation wird über den Secure Internet Access Service weitergeleitet. Der Dienst scannt jede URL, um zu überprüfen, ob sie sicher ist. Funktionalitäten innerhalb bestimmter öffentlicher Websites werden verweigert oder geändert. Downloads werden automatisch gescannt und verifiziert.
- Endgeräte von Auftragnehmern und Zeitarbeitern werden vom Unternehmen verwaltet und verwenden Citrix Secure Internet Access als Proxy für den Internetverkehr, wenn gilt:
- Auftragnehmer und Zeitarbeiter greifen auf virtuelle Apps und Desktops zu. In der DaaS-Infrastruktur ist der Citrix Secure Internet Access Agent zum Proxy und Filtern des Internetverkehrs installiert.
- CompanyA帽子entschieden, dass社会媒体网站an den Citrix Secure Browser-Dienst umgeleitet werden, um diesen Internetverkehr zu isolieren und von der DaaS-Infrastruktur auszulagern. Citrix Secure Internet Access wird als Secure Web Gateway verwendet.
Da viele Websites jetzt verschlüsselt sind, besteht ein Teil dieses Sicherheitsprozesses darin, den Datenverkehr zu entschlüsseln und zu überprüfen. Der Dienst entschlüsselt keine bestimmten Kategorien von Websites, z. B. Finanz- und Gesundheitsseiten, um die Privatsphäre der Mitarbeiter zu gewährleisten.
Bei der Gestaltung der Internet-Sicherheitsrichtlinie wollte CompanyA mit einer Basisrichtlinie beginnen. Während CompanyA weiterhin die Risiken innerhalb des Unternehmens bewertet, wird es die Richtlinien gegebenenfalls lockern/stärken.
Standardmäßig werden alle Kategorien entschlüsselt und erlaubt. CompanyA hat die folgenden Richtlinien weltweit angewendet:
| Kategorie | Änderung | Grund |
|---|---|---|
| Finanzen und Investitionen | nicht entschlüsseln | Bedenken hinsichtlich der Privatsphäre |
| Integrität | nicht entschlüsseln | Bedenken hinsichtlich der Privatsphäre |
| Inhalte für Erwachsene | Blockieren | Unternehmens-Policy |
| Die Medikamente | Blockieren | Unternehmens-Policy |
| Datei-Sharing | Blockieren | Unternehmens-Policy |
| Glücksspiel | Blockieren | Unternehmens-Policy |
| Illegale Aktivitäten | Blockieren | Unternehmens-Policy |
| Bösartige Quellen | Blockieren | Unternehmens-Policy |
| Malware-Inhalt | Blockieren | Unternehmens-Policy |
| Porno/Nacktheit | Blockieren | Unternehmens-Policy |
| Viren & Schadsoftware | Blockieren | Unternehmens-Policy |
| Gewalt/Hass | Blockieren | Unternehmens-Policy |
Weitere Informationen zu den Webfilter- und Schutzfunktionen finden Sie imTech Brief von Citrix Secure Internet Access.
Zusammenfassung
Basierend auf den vorherigen Anforderungen hat CompanyA die konzeptionelle Architektur auf hoher Ebene erstellt. Der allgemeine Ablauf und die Anforderungen lauten, dass Auftragnehmer Folgendes benötigen:
- Geschützter Zugriff auf SaaS-Apps und VPN-loser Zugriff auf interne Web-Apps über Citrix Secure Private Access
- Adaptive Authentifizierung, bevor Zugriff auf externe oder interne Ressourcen über Citrix Secure Private Access gewährt wird
- Zero-Trust-Zugriff auf bestimmte Ressourcen über Citrix Secure Private Access
- Geschützter Zugriff auf Internetverkehr über Web-Apps oder virtuelle Apps und Desktops über Citrix Secure Internet Access und Citrix Secure Browser Service.
- Geschützter Zugriff auf Web-Apps, auf die von Auftragnehmer- und temporären Worker-Endgeräten mit Citrix Web Application Firewall
CompanyA nutzt Citrix, um eine moderne Umgebung für die Anwendungsbereitstellung aufzubauen, die Zero Trust Network Access durchsetzt und End-to-End-Schutz seiner Ressourcen bietet.