参考架构:参考架构-保护随身携带设备上的应用程序和数据
概述
公司为其整体用户群中的一小部分提供远程访问。这些终端用户是混合和分布式劳动力的一部分,他们使用自带(BYO)设备来访问内部和云资源。资源包括客户端-服务器应用程序(虚拟应用程序和桌面)、内部web和SaaS应用程序,当从不受信任的设备访问时必须加以保护。
公司的远程访问政策为其混合和分布式员工带来了更高的效率。然而,该策略创建了一个复杂的交付模型,并引入了安全问题。由于终端用户设备不受管理,公司必须减轻对应用程序和传输到设备上、在设备上使用和在设备上休息的数据的安全威胁。
公司目前使用几个未集成的点产品进行远程访问。它希望在保护其资源的同时,整合并扩展到全公司范围的零信任网络访问(ZTNA)解决方案。为此,公司正在参与一项更新其应用程序交付架构的计划。它正在使用Citrix Secure Private Access、Citrix Gateway、Citrix Secure Internet Access以及Citrix Web App和API Protection实现集成的Citrix解决方案。该解决方案为BYO设备访问的CompanyA资源提供端到端保护。
该参考架构解释了公司保护用户访问、保护数据和设备以及保护应用程序的计划。
成功的标准
公司希望所有用户都能在家和远程办公。大流行后,员工继续受益于BYOD支持的混合和分布式劳动力。虽然目前一些用户可以通过VPN访问web和SaaS应用程序,但公司已经发现了几个阻止全公司范围内部署的安全挑战。因此,公司正在实施一种无vpn的方法。
由于公司不管理终端用户的设备,因此无法了解设备是否将恶意内容传输到其应用程序基础设施中。此外,CompanyA的安全策略不要求BYO设备安装代理以提供对公司资源的访问。
因此,公司已经开始了一项三重计划,以保护BYO设备访问的公司资源。为了取得成功,公司为该计划定义了一系列成功标准。这些标准构成了总体设计的基础。
保护用户访问
公司必须保护BYOD用户对其工作环境的访问。它必须为终端用户创建一种无缝访问所有应用程序和数据的安全模式。访问必须安全、简单和灵活,以便在任何位置使用任何设备和工作。
公司已经决定,其安全战略是摆脱传统的“城堡和护城河”方式来访问和安全。它采用了零信任方法,而不是使用传统的基于设备的解决方案,比如假定用户是可信的VPN。
在公司对保护用户访问的关注中,它已经确定了成功设计的以下标准:
| 成功的标准 | 描述 | 解决方案 |
|---|---|---|
| web和SaaS应用程序的自适应访问 | 使用Citrix Secure Private access的web和SaaS应用程序的自适应访问,以确定正确的访问级别 | Citrix安全私有访问 |
| 客户端-服务器(虚拟)应用程序的自适应访问 | 使用Citrix安全私有访问和Citrix虚拟应用程序和桌面对客户端-服务器(虚拟)应用程序进行自适应访问,以确定正确的访问级别 | Citrix安全私有访问和Citrix虚拟应用程序和桌面 |
| 终端用户的监控 | 持续监测和持续评估以防范潜在威胁。应用程序被持续监控数据泄露、异常访问时间和位置。 | Citrix分析 |
| SaaS应用接入 | 用户必须使用不影响体验的强身份验证访问认可的SaaS应用程序 | Citrix安全私有访问 |
| Web应用访问 | 用户必须能够使用不影响体验的强身份验证访问认可的内部Web应用程序 | Citrix安全私有访问-零信任网络访问 |
| 个人隐私 | 在使用未经批准的网站时,公司必须确保用户隐私,同时仍然保护用户和终端免受潜在威胁 | Citrix Secure Internet Access的Citrix Secure Browser Service(对包含个人信息的站点使用“不解密”策略) |
保护数据
公司必须保护BYO设备访问的数据。它具有高度复杂的应用程序层、系统层和网络层的基础设施,环境由内部部署的数据中心、公共云和私有云组成。这种蔓延导致了一系列复杂的保护数据的工具和技术。
公司正在设计一个统一的、云交付的安全堆栈,以满足其现代工作场所的需求。通过在整个解决方案中集中数据安全策略,可以最大限度地减少冗余任务,消除重叠的策略,并允许it跨所有位置保护数据和设备。
在公司对保护数据的关注中,它已经确定了成功设计的以下标准:
| 成功的标准 | 描述 | 解决方案 |
|---|---|---|
| 设备自带食物 | 用户使用BYO设备访问工作区,并且不能不受限制地访问认可的资源。 | Citrix安全私有访问 |
| SaaS和Web应用程序安全 | 必须限制用户从SaaS应用程序下载、打印或复制包含财务、个人或其他敏感信息的数据的能力。 | Citrix Secure Private Access -安全策略增强了安全性 |
| 防止键盘记录器 | 当BYO设备访问公司内部资源时,公司必须保护这些资源。设备可能会受到损害,并安装了键盘记录恶意软件。在使用Citrix Workspace时,必须阻止关键日志记录。 | Citrix安全私人访问-安全策略与应用程序保护 |
| 防止屏幕抓取 | 当BYO设备访问公司内部资源时,公司必须保护这些资源。设备可能会受到损害,并安装了屏幕抓取恶意软件。在使用Citrix工作区时,必须阻止屏幕抓取。 | Citrix安全私人访问-安全策略与应用程序保护 |
| 网络安全 | 保护用户免受隐藏在电子邮件、应用程序和网站中的潜在互联网威胁,无论位置如何。 | Citrix安全浏览器服务与Citrix安全互联网访问-安全策略与恶意软件保护 |
| 保护设备 | 保护设备和底层基础设施免受恶意软件和零日威胁 | Citrix安全浏览器服务与Citrix安全互联网访问-安全策略与恶意软件保护 |
| 保护数据 | 保护存储在批准和未经批准的应用程序中的数据 | Citrix安全浏览器服务与Citrix安全互联网访问-安全策略与Web过滤 |
| 合规 | 遵从性和保护用户免受恶意url的侵害 | Citrix安全浏览器服务与Citrix安全互联网访问-安全策略与Web过滤 |
保护应用程序
公司必须保护BYO设备访问的应用程序。该公司使用BYO设备增加了设备访问公司应用程序的风险。此外,由于该公司将应用程序转移到云端并使用SaaS应用程序,其攻击面也有所增加。其目前的本地安全web网关和VPN部署具有严格的安全策略,不能有效地保护云中应用程序。
公司必须创建一个混合的解决方案,同时使用预置设备和云服务来实现应用程序安全。On-prem设备可以阻止内部应用程序层和DDoS攻击,而基于云的防护服务可以防止云中的容量攻击和应用程序层DDoS攻击。
在公司专注于保护应用程序的过程中,它确定了成功设计的以下标准:
| 成功的标准 | 描述 | 解决方案 |
|---|---|---|
| 安全访问 | 当从不可信和不安全的位置访问时,公司必须保护内部公司资源。设备不允许直接访问内部网络,以帮助防止恶意软件入侵。 | Secure Private Access -无vpn接入 |
| SaaS凭据保护 | 用户对SaaS应用程序的凭证必须包括多因素身份验证。 | Citrix安全私有访问-单点登录,仅使用saml身份验证 |
| SaaS DLP | 公司要求他们的SaaS应用内联使用DLP控件。 | 安全浏览器服务与Citrix安全互联网访问 |
| 保护网页应用 | 公司必须在容量DDoS攻击进入网络之前在边缘停止攻击。公司必须同时保护云应用和内部应用。公司将应用程序部署在云托管平台的多个位置。它必须保护这些应用程序免受api级别的威胁,如DDoS和Bot攻击,跨站点脚本和SQL注入攻击。 | Citrix Web应用防火墙 |
| 受损害的用户保护 | IT部门必须能够快速识别并减轻用户帐户泄露所造成的威胁。IT必须使用集中式编排功能保护整个威胁面,以提供业务所需的完整安全性。 | 思杰安全分析 |
概念架构
该体系结构满足了前面所有的需求,同时为CompanyA将来扩展到更多用例提供了基础。
在高层次上:
用户层:用户层描述终端用户环境和用于连接资源的终端设备。
终端用户设备为BYOD。设备为非托管设备,且公司不需要在设备上安装代理。
最终用户从Citrix Workspace web访问资源,从而获得即使在BYO设备上也受到保护的体验。
最终用户可以安装Citrix Workspace App以获得更多功能,但不是必须的。
访问层:访问层描述用户如何向其工作区和辅助资源进行身份验证。
Citrix Workspace为所有后续资源提供了主身份验证代理。为了提高认证的安全性,公司需要采用多因素认证。
环境中的许多授权资源使用了一组不同于用于主Workspace标识的凭据。公司将使用每项服务的单点登录功能来更好地保护这些次要身份。
这些应用程序只允许SaaS应用程序进行基于saml的身份验证。这可以防止用户直接访问SaaS应用程序,从而绕过安全策略。
资源层:资源层为已定义的用户和组授权特定的客户端-服务器(虚拟)、web和SaaS资源,同时定义与这些资源关联的安全策略。
公司要求策略禁用从托管资源到BYO设备的打印、下载、复制和粘贴内容的功能。
由于端点安全状态的未知性质,公司要求使用隔离浏览器或虚拟会话对资源进行VPN-less访问。
高度敏感的SaaS应用程序可以由Citrix Workspace应用程序提供额外的保护。如果BYO设备没有可用的应用程序保护,自适应访问策略会阻止用户启动应用程序。
由于公司允许从BYO设备访问内部web应用程序,思杰web应用程序防火墙必须保护资源免受来自潜在受损端点的攻击。
控制层:控制层定义了底层解决方案如何根据用户的底层活动进行调整。
即使在受保护的Workspace资源中,用户也可以与不受信任的Internet资源进行交互。公司使用安全互联网接入来保护用户在使用SaaS应用程序、web应用程序和虚拟应用程序和桌面时免受外部威胁。
如果用户必须通过公司资源在BYO设备上访问个人网站,如健康和金融网站,则适当的政策将保护用户的隐私。
公司需要安全分析服务来识别受损用户并自动维护安全环境。
接下来的部分将详细介绍CompanyA BYOD保护参考体系结构的具体设计决策。
访问层
身份验证
公司认为使用用户名和密码访问资源并不能提供足够的安全性。所有用户都需要进行多因素认证。CompanyA使用Active Directory + Token作为其多因素方法和Citrix Gateway服务来处理所有身份验证请求。
Citrix Workspace集成了云交付的基于时间的一次性密码(TOTP),提供多因素身份验证。用户向TOTP服务注册,并在移动设备上的验证程序应用程序中创建预共享的秘密密钥。
一旦用户成功地向TOTP微服务注册,用户必须使用令牌以及他们的Active Directory凭据,才能成功地向Citrix Workspace进行身份验证。
请参阅思杰工作空间活动目录与TOTP技术简报充分了解TOTP的概念和术语。
零信任网络接入
公司使用Citrix安全私有访问服务和虚拟应用程序和桌面服务来提供对SaaS和内部web应用程序、虚拟应用程序和虚拟桌面的访问。这些服务是零信任网络访问解决方案,是传统VPN的更安全的替代方案。
安全专用访问服务和虚拟应用程序和桌面服务使用云连接器的出站控制通道连接。这些连接允许用户远程访问内部资源。然而,这些联系是:
- 范围有限,因此只有已定义的资源可以访问
- 基于用户的主要安全身份
- 仅针对特定协议,不允许网络遍历
资源层
资源安全策略
公司希望限制BYO设备上数据丢失和数据残留的风险。在不同的应用程序类型中,CompanyA包含了许多限制,以防止用户复制、下载或打印数据。
公司开发了规范的访问模型,以满足其安全需求:
- 设备自带食物没有工作区应用程序使用安全私有访问,通过使用Citrix安全浏览器服务的隔离浏览器启动SaaS或web应用程序。安全私有访问提供SSO,并对web和SaaS应用程序实施自适应访问策略,例如下载、打印、复制和粘贴限制。
- 设备自带食物与工作区应用程序使用安全私有访问来启动一个Saas或web应用程序,使用Citrix工作区浏览器-一个本地,容器化的浏览器。浏览器创建到SaaS应用程序的连接或到内部web应用程序的零信任网络访问连接。安全私有访问提供SSO并实施自适应访问策略(下载、打印、复制和粘贴限制)。
- 应用程序保护策略保护使用屏幕抓取和键盘记录器限制的web和SaaS应用程序。如果BYO设备没有可用的应用保护,自适应访问策略会阻止用户启动应用。
- 当用户访问虚拟应用和桌面时,虚拟应用和桌面服务提供单点登录,并执行锁定策略。该服务限制下载、打印、单向和双向复制粘贴操作。
公司拥有敏感和常规的SaaS和Web应用程序,并将根据其安全需求应用自适应访问策略。作为基准,CompanyA定义了以下策略(能够根据用户和应用程序根据需要放宽策略)。
| 类别 | SaaS应用程序 | 敏感SaaS应用 | 网络应用程序 | 敏感网络应用 | 虚拟应用和桌面 |
|---|---|---|---|---|---|
| 访问剪贴板 | 允许 | 否认 | 允许 | 否认 | 否认 |
| 印刷 | 允许 | 否认 | 允许 | 否认 | 否认 |
| 导航 | 否认 | 否认 | 否认 | 否认 | 不适用 |
| 下载 | 允许 | 否认 | 允许 | 否认 | 否认 |
| 水印 | 禁用 | 启用 | 禁用 | 启用 | 启用 |
| Keylogging预防* | 禁用 | 启用 | 禁用 | 启用 | 启用 |
| 截图预防* | 禁用 | 启用 | 禁用 | 启用 | 启用 |
控制层
Web应用程序和API保护
当用户向思杰工作区进行身份验证时,他们可以访问BYO设备上的私有web应用程序。为了更好地保护本地私有web应用程序,公司使用Citrix应用程序交付控制器机器人管理和web应用程序防火墙组件。
应用程序交付控制器的bot管理组件检测bot请求并防止它淹没系统。Web应用防火墙保护面向公众的应用免受攻击。这些类型的攻击通常是缓冲区溢出、SQL注入和跨站点脚本。Web应用防火墙检测和拒绝这些攻击影响数据和应用程序。
CompanyA还使用Citrix Web应用程序和API保护服务来防止针对非on-prem的Web应用程序的容量攻击和应用程序层DDoS攻击。
安全上网
当用户与SaaS、网络和虚拟应用程序交互时,他们经常访问非公司批准的互联网网站。为了帮助保护用户和组织,公司将思杰安全浏览器服务与思杰安全互联网访问和安全分析集成到设计中。
任何与公司相关的互联网流量进出组织内的应用程序库、桌面和设备都要通过安全互联网访问服务路由。该服务扫描任何URL以验证其安全性。特定公共站点内的功能被拒绝或修改。下载会自动扫描和验证。
- 当用户访问虚拟应用程序和桌面时,虚拟应用程序和桌面基础设施会安装Citrix安全Internet访问代理来代理流量。
- 当用户使用Citrix Secure Browser服务访问web和SaaS资源时,Citrix Secure Internet access被用作其安全web网关。
由于现在许多网站都是加密的,这个安全过程的一部分是解密流量和检查。该服务不解密特定类别的网站,如金融和健康相关网站,以确保员工隐私。
在设计互联网安全政策时,公司希望从一个基准政策开始。随着公司继续评估组织内部的风险,公司将酌情放宽/加强政策。
默认情况下,所有类别都被解密并允许。公司有以下全球适用的政策:
| 类别 | 改变 | 原因 |
|---|---|---|
| 金融与投资 | 不要解密 | 员工隐私问题 |
| 健康 | 不要解密 | 员工隐私问题 |
| 成人内容 | 块 | 公司的政策 |
| 药物 | 块 | 公司的政策 |
| 文件共享 | 块 | 公司的政策 |
| 赌博 | 块 | 公司的政策 |
| 非法活动 | 块 | 公司的政策 |
| 恶意的来源 | 块 | 公司的政策 |
| 恶意软件的内容 | 块 | 公司的政策 |
| 色情/裸体 | 块 | 公司的政策 |
| 病毒和恶意软件 | 块 | 公司的政策 |
| 暴力和仇恨 | 块 | 公司的政策 |
请参阅思杰安全互联网接入技术简介获取有关网页过滤和保护功能的额外信息。
总结
根据上述需求,公司创建了高层概念体系结构。一般流程和需求是最终用户需要的:
- 通过Citrix Secure Private access对SaaS应用程序的保护访问和对内部web应用程序的无vpn访问
- 在通过Citrix Secure Private access授予对外部或内部资源的访问权限之前进行自适应身份验证
- 通过Citrix Secure Private access对特定资源进行零信任访问
- 通过使用思杰安全浏览器服务和思杰安全互联网接入,保护来自web应用程序或虚拟应用程序和桌面的互联网流量访问
- 使用Citrix web应用防火墙保护从BYO设备访问的web应用程序的访问
公司正在使用思杰(Citrix)构建一个现代化的应用程序交付环境,该环境实施零信任网络访问,并提供对其资源的端到端保护。