技术简介：安全的私人访问

概述

随着人们使用越来越多的基于saas的应用程序，组织必须能够统一对所有应用程序的访问并简化终端用户身份验证，同时仍然执行安全和隐私标准。监视供应商sla、应用程序利用率和安全分析也是至关重要的。Citrix Secure Private Access可以满足这些要求。

Secure Private Access提供即时单点登录(single sign On)访问SaaS和web应用、细粒度和上下文安全策略、针对所有应用的应用保护策略、web浏览器隔离和web过滤策略。安全私有访问结合了几个Citrix云服务的元素，为终端用户和管理员提供集成的体验:

• MFA和设备信任
• Web与SaaS-SSO
• 网关
• 云应用程序控制
• 网页过滤
• 安全浏览器
• 应用程序保护
• 分析

图1：安全私有访问功能

首选主身份

每个组织都可以为最终用户的Citrix工作区初始身份验证选择自己的唯一身份提供者。在Workspace中，最终用户使用他们的主用户身份使用强身份验证策略登录。

Workspace使用主标识授权用户访问一组资源，每个资源很可能具有其他标识。与授权资源集关联的帐户是辅助标识。

主要身份的示例包括：

• Azure Active Directory:工作区登录过程被重定向到Azure Active Directory，它可以包含定制品牌、多因素身份验证、密码策略和审计。
• Windows Active Directory：利用组织的内部部署Active Directory环境对用户的工作区体验进行初始登录。要将本地Active Directory与Citrix Cloud联合，管理员将在与Active Directory相同的资源位置部署冗余云连接器。
• 具有基于时间的一次性密码的Active Directory：基于Active Directory的身份验证还可以包括具有基于时间的一次性密码（TOTP）的多因素身份验证。
• Citrix网关：组织可以利用内部部署的Citrix网关作为Citrix Workspace的身份提供者。
• Okta：组织可以使用Okta作为Citrix Workspace的主要用户目录。

图2：多个身份提供者

拥有主和次身份允许Secure Private Access使用第三方提供SaaS应用的单点登录。安全私有访问将第三方视为服务提供者，以提供返回到主用户目录的标识链。这种身份链接使客户能够继续使用当前的SSO提供者，而不需要进行重大更改，也不需要对增强的安全策略和分析进行分层。

图3：使用多个身份提供者

了解更多在这里

单点登录

Secure Private Access能够在不依赖VPN的情况下创建到本地web应用的连接。这个没有vpn的连接使用一个在prem上部署的连接器。连接器创建到组织的Citrix Cloud订阅的出站控制通道。从那里，安全私有访问能够隧道连接到内部web应用程序，同时提供SSO。

一些组织可能已经在SSO提供者上进行了标准化。安全私有访问能够利用第三方SSO提供商，并仍然将这些资源拉入工作区，以维护所有资源的单一位置。

一旦用户通过主身份验证，Citrix Cloud中的单点登录功能将使用SAML断言自动完成SaaS和web应用程序的后续验证挑战。有300多个SAML SSO模板可用于web和SaaS应用程序的快速配置。

图4:使用SAML的SSO到SaaS

了解更多在这里

浏览器隔离

安全的私人访问使最终用户能够安全地浏览互联网。当最终用户从Citrix Workspace启动SaaS应用程序时，会动态做出若干决定，以决定如何最好地服务于此SaaS应用程序。安全私有访问提供了三种向最终用户提供此应用程序的方式：

• 在没有增强安全性的情况下在本地浏览器中启动应用程序
• 在Citrix Workspace中的嵌入式浏览器中启动应用程序
• 在安全浏览器会话（虚拟化浏览器）中启动应用程序

图5：多个浏览器选项

除了使用本地浏览器，Citrix还提供了两种在工作区中访问应用程序的选择。

首先，嵌入Citrix工作区的浏览器是一个基于chrome的浏览器，运行在嵌入Citrix工作区安全沙箱的客户端机器上。在本地运行可以为终端用户提供最佳性能，以呈现SaaS应用程序的网页。安全沙箱保护终端用户和企业免受恶意软件、性能下降、数据丢失和意外的终端用户行为。

图6:嵌入Citrix工作区的浏览器

其次，Citrix安全浏览器服务是一种云托管浏览器服务，不需要在终端用户设备上安装任何浏览器。安全浏览器服务本质上是运行在Citrix Cloud上的虚拟化浏览器。这个托管浏览器服务提供了一种安全的方式来访问互联网和基于公司浏览器的应用程序。它在浏览器和用户、设备和网络之间创造了一个空隙，保护他们免受危险的恶意软件的攻击。

指向未知或危险网站的Web链接可以自动重定向到Citrix Workspace嵌入式浏览器或安全浏览器服务，以保护最终用户免受潜在恶意网站的攻击。这种过渡对最终用户来说是完全透明的，在允许员工完成工作的同时，确保了组织的安全。

Secure Private Access有一个很大的URI数据库，这些URI都有风险评分，管理员可以在特定域上设置允许或阻止URI的策略。管理员还可以设置策略，说明如何向最终用户提供应用程序。

图7:使用Citrix工作区嵌入式浏览器和安全浏览器服务的Web浏览器隔离

下图对比了使用带有嵌入式浏览器的Workspace应用程序与本地浏览器时，与经认可的SaaS应用程序的通信流。

图8：增强的安全流程图

增强的安全

为了保护内容，安全私有访问在SaaS应用程序中采用了增强的安全策略。在使用工作区应用程序时，每个策略对嵌入式浏览器强制执行限制；在web或移动设备上使用工作区时，每个策略对安全浏览器服务强制执行限制。

此功能称为云应用程序控制，它为IT部门提供了一种在向员工提供的web和SaaS应用程序上实施安全策略的方法。这些策略保护存储在这些应用程序中的数据：

• 首选浏览器:禁用本地浏览器使用，依赖嵌入式浏览器引擎(工作区应用程序-桌面)或安全浏览器(工作区应用程序-移动和web)。
• 限制剪贴板访问:禁止在应用程序和端点剪贴板之间进行剪切/复制/粘贴操作。
• 限制打印：禁用从应用程序浏览器中打印的功能。
• 限制导航：禁用下一个/上一个浏览器按钮。
• 限制下载：禁用用户从SaaS应用程序内下载的能力。
• 显示水印：覆盖基于屏幕的水印，显示端点的用户名和IP地址。如果用户试图打印或拍摄屏幕截图，则水印将显示在屏幕上。

图9:内部web应用的增强安全策略

应用程序保护

当终端用户使用他们的个人设备工作时，一个必须降低的风险就是恶意软件。最危险的两种类型是键盘记录和截图恶意软件。两者都可用于窃取和获取敏感信息，如用户凭证或个人身份信息。

Secure Private Access拥有先进的策略来保护web、SaaS和虚拟应用中的用户和组织数据。应用保护策略保护用户会话和应用数据被键盘记录器和屏幕捕获恶意软件劫持。

应用保护策略是应用程序启用增强安全性时应用的规则。

• Anti-Keylogging–通过对击键进行加密，保护焦点中的活动窗口免受键盘记录者的攻击
• 防截屏–通过屏蔽屏幕保护活动窗口不受截屏影响

另一种恶意较小但同样危险的风险是意外的屏幕共享。设备上的个人使用和工作使用之间的界限已经变得模糊，所以终端用户从开发商务应用转向与朋友或家人在设备上虚拟聚会变得很常见。在这些情况下，商业应用程序中敏感数据的意外屏幕共享可能会导致重大问题，特别是对于处于高度监管行业的终端用户。

图10：应用程序保护策略在使用屏幕共享应用程序时保护Citrix Workspace隐私

网络过滤

安全私有访问包括一个URL过滤引擎。通过url中包含的信息，管理员可以监控和控制用户对互联网上恶意网站的访问。连同前面提到的浏览器隔离选项，web过滤为管理员提供了选择选项。它们可以完全阻止URL，要求在嵌入式浏览器中访问URL，或要求在安全浏览器会话中访问URL。

web过滤控制器使用分类数据库和url列表。当请求传到网络过滤控制器时，它首先检查全局允许列表，其中也包含关键的Citrix Cloud url。然后它检查到“列表和分类”，并验证阻止和允许，并重定向到安全浏览器的url。如果没有url匹配，则默认返回默认列表。

图11:Web过滤过程

即使是访问允许列表url，管理员也可以采取谨慎的方法。这种方法确保用户能够访问他们需要的信息。它不影响生产力，同时提供保护，防止任何不可预见的威胁或恶意内容从互联网交付。

一个传统的URL过滤引擎，它假定对允许列表URL的信任。Secure Private Access不隐式信任允许列表URL，因为网页被URL过滤引擎认为是安全的，可以承载恶意链接。使用安全私有访问，可信任站点上的url也会被测试。

图12：保护无意中访问阻止列表上站点的最终用户的Web筛选策略

下图对比了在使用带有嵌入式浏览器的工作区应用程序和本地浏览器的SaaS应用程序中，与url的通信流。

图13:URL过滤流程图

安全分析

终端用户总是访问启用了增强安全性的SaaS应用程序。工作空间应用程序、Citrix网关服务和安全浏览器服务提供安全分析服务，提供以下用户和应用程序行为信息。这些分析会影响用户的总体风险评分:

• 应用程序启动时间
• 应用程序结束时间
• 打印操作
• 剪贴板访问
• URL访问
• 数据上传
• 数据下载

web筛选功能评估在SaaS应用程序中选择的每个超链接的风险。访问这些网站并监控用户行为的变化会增加用户的总体风险分数。它表示终端设备被破坏并开始感染或加密数据，或者用户和设备正在窃取知识产权。

使用分析

使用情况分析可深入了解安全私人访问的基本使用情况数据。管理员可以了解用户如何与组织中使用的SaaS和Web应用程序交互。

使用数据帮助他们了解用户对产品的采用和参与情况。以下指标确定如何使用和为用户增加价值:

• 使用SaaS和Web应用程序的唯一用户数量
• 顶级SaaS和Web应用程序用户
• 推出的SaaS和Web应用程序数量
• 顶级SaaS和Web应用程序
• 用户访问的顶级域
• 跨用户、应用程序和域上载和下载的数据总量

了解更多在这里

用例

无VPN访问

Citrix Secure Private Access以零信任解决方案补充或替代现有VPN解决方案，该解决方案允许远程用户在没有VPN的情况下进行访问。此解决方案通过为外部用户提供对内部资源的访问解决了许多难题。通过安全的私人访问，可以：

• 没有网络设备来管理、维护和安全减少设备蔓延
• 不需要公共IP地址，因为云服务可以通过云连接器联系内部资源
• 不需要防火墙规则，因为云连接器和虚拟应用/桌面资源建立到基于云的服务的出站连接(不需要入站通信)
• 一个全局部署，组织自动路由/重路由到最优的网关服务，大大简化了组织所需的任何配置。
• 对底层数据中心基础设施没有任何更改。

Workspace能够创建到本地web应用程序的连接，而无需依赖VPN。这种无VPN连接利用了一个部署在prem上的连接器。连接器创建一个到组织的Citrix云订阅的出站控制通道。从那里，Workspace可以通过隧道连接到内部web应用程序，同时提供SSO。无VPN访问不仅提高了安全性和隐私性，还改善了最终用户体验。

图14：用例1：无VPN访问

SaaS应用程序的SSO和安全控制

安全私有访问为访问web和SaaS应用程序提供单点登录和上下文策略。使用Citrix Gateway或Okta作为IdP提供了对所有多因素身份验证机制和上下文控制的支持。这些集成保护了客户现有的身份生态系统投资，并简化了他们向云的迁移，而无需升级。

虽然经过授权的SaaS应用程序被认为是安全的，但SaaS应用程序中的内容实际上可能是危险的——构成安全风险。当用户单击SaaS应用程序中的超链接时，流量将通过web过滤功能路由，该功能为超链接提供风险评估。web过滤功能根据超链接的风险评估和URL分类，允许、拒绝或重定向用户的请求，具体如下:

• 已批准：超链接被认为是安全的，工作区应用程序中的嵌入式浏览器访问将访问超链接。
• 拒绝：超链接被认为是危险的，访问被拒绝。
• 重定向：超链接请求被重定向到嵌入式浏览器或安全浏览器服务，其中用户的internet浏览活动与端点设备、公司网络和SaaS应用程序隔离

应用程序保护增强的安全性为IT部门提供了一种方式，在他们提供给员工的web和SaaS应用程序上执行安全策略。这些策略通过应用以下控制来保护存储在这些应用程序中的数据:

• 水印
• 限制航行
• 限制下载
• 限制密钥记录
• 网站过滤
• 限制屏幕捕获
• 限制印刷

更多的远程工作者意味着通过各种应用程序进行更多的远程会议和web会议。这些会议通常要求员工共享屏幕，这样就有可能错误地暴露敏感数据。应用程序保护功能通过返回空白屏幕截图而不是用户屏幕上的信息来防止截图恶意软件和web会议屏幕捕获。这种保护也适用于最常见的剪贴工具、打印屏幕工具、屏幕捕获和录制工具。

针对互联网流量的浏览器隔离保护终端用户和企业免受基于web的威胁。有了嵌入式浏览器和安全浏览器服务，管理员可以选择在基于Chrome的本地浏览器上访问站点，云托管虚拟机(VM)。使用该服务，可能的攻击就包含在云中。浏览器运行在一个独立的环境中，在这个环境中，虚拟机在使用后会被销毁，并为每次应用访问创建一个新的实例。策略控制像“复制和粘贴”这样的功能，使文件或数据不能到达公司网络。

图15:用例2:SaaS应用程序的SSO和安全控制

保护BYO和非托管终结点上的用户和公司数据

使用增强的安全策略，安全的私有访问使管理员能够保护其组织免受数据丢失和凭据盗窃。当员工使用个人设备访问公司资源时，增强的安全策略更为重要。

一组策略是应用程序保护功能。应用程序保护使Citrix管理员可以执行策略来保护终端免受屏幕捕获和键盘记录。该功能可以保护员工免受潜伏的屏幕抓取恶意软件或键盘记录器的攻击，这些恶意软件或键盘记录器可能会窃取密码或个人信息。

应用保护策略通过控制对底层操作系统特定API调用的访问来实现，这些API调用需要捕获屏幕或键盘按键。这些策略甚至可以抵御最定制和最专门构建的黑客工具。它有助于确保员工在Citrix工作区和验证对话框中使用的任何虚拟或web应用程序的安全(防止密码泄露)。

应用程序保护功能使用户输入的文本无法破译，在键盘记录工具可以访问它之前对其进行加密。安装在读取数据的客户端上的键盘记录程序将捕获混乱的字符，而不是用户正在键入的按键。

图16:用例3:保护BYO和非托管设备上的用户和公司数据

总结

总之，Citrix Workspace将所有资源聚集到一个单独的、个性化的用户界面中。终端用户既可以选择本地安装的工作区应用程序(桌面和移动)，也可以使用本地浏览器访问基于web的工作区。无论选择何种方法和设备，体验都是熟悉和一致的。

通过安全的私有访问，组织可以超越访问和聚合。安全私有访问为IT部门提供了策略控制，使其能够有条件地访问SaaS应用程序和互联网浏览。它增强了组织的整体安全性和法规遵从性。用户体验保持无缝，并作为Citrix Workspace的一部分集成。SaaS和web应用程序可以与其移动和虚拟应用程序以及台式机一起访问。