Arquitectura de referencia: acceso privado seguro
Destinatarios
Este documento es para profesionales técnicos de Citrix, responsables de la toma de decisiones de TI, socios y consultores de seguridad que deseen explorar y adoptar el servicio Citrix Cloud de Secure Private Access. El lector debe tener una comprensión básica de los productos Citrix, la seguridad y los entornos Citrix Cloud. Para obtener más información sobre Citrix Cloud y sus servicios, consulte la documentación oficial del producto deCitrix Cloud.
Objetivo del presente documento
Este documento proporciona una descripción técnica y una arquitectura de Citrix Secure Private Access que proporciona acceso condicional a las aplicaciones en la nube y la navegación por Internet, lo que mejora la postura general de seguridad y cumplimiento de la organización. Citrix Secure Private Access combina elementos de varios servicios de Citrix Cloud para ofrecer una experiencia integrada para los usuarios finales y los administradores.
El documento guía a los administradores a ofrecer un espacio de trabajo digital seguro con una solución consolidada mediante el uso de Citrix Secure Private Access integrado con varios servicios de Citrix Cloud, incluidos el servicio Citrix Gateway y el Secure Browser Service. Para supervisar el comportamiento y la actividad de los usuarios, Citrix Secure Private Access se integra con el servicio Citrix Analytics.
Controles de seguridad y mitigación
En el mundo empresarial actual, los datos de los usuarios son uno de los productos más preciados, y las organizaciones siguen encontrando más valor en ellos. La mayoría de las violaciones que ocurren en las organizaciones se deben a controles de seguridad inadecuados, privilegios excesivos otorgados a los usuarios internos y una dependencia excesiva de los controles de seguridad basados en la red. Lamentablemente, muchas empresas no han adoptado realmente un enfoque seguro en profundidad para fortalecer su entorno.
mucho departamentos de TI de las organizaciones no tienen una solución para controlar el acceso a los usuarios que acceden a un número cada vez mayor de aplicaciones SaaS empresariales. Además de los riesgos de seguridad que plantea la posibilidad de que los datos corporativos interactúen con aplicaciones SaaS no administradas, la productividad del usuario se pierde debido al inicio de sesión en varias aplicaciones. Además, tener que recordar varias contraseñas a menudo puede provocar malos hábitos de contraseña, como el uso de la misma contraseña para varios sitios.
Navegar por Internet supone otro riesgo para las empresas de hoy. Según los expertos en seguridad, la mayoría de los ataques aprovechan las vulnerabilidades de sitios web, exploradores y complementos de explorador. En respuesta, algunas organizaciones incluso prohíben por completo la navegación por Internet, lo que puede afectar gravemente la productividad.
艾尔gunas aplicaciones web y SaaS requieren una determinada versión del explorador o complemento para funcionar correctamente. En el cambiante panorama de los exploradores, garantizar la usabilidad de las aplicaciones web y SaaS corporativas supone rápidamente una tarea de soporte que requiere muchos recursos.
Muchos departamentos de TI no tienen una estrategia completamente definida para administrar las aplicaciones SaaS, lo que genera importantes riesgos de seguridad y cumplimiento. Otros tienen un enfoque fragmentado que puede dar lugar a soluciones puntuales múltiples, como:
Implementación de una solución de inicio de sesión único:esta solución ayuda a optimizar la experiencia del usuario y puede incluir autenticación multifactor, pero estas soluciones normalmente no tienen controles de directivas granulares en las aplicaciones una vez que los usuarios inician sesión.
Implementación de filtros web para controlar o cerrar la navegación externa:esta solución ayuda a los usuarios a protegerse de las visitas a sitios web maliciosos. Sin embargo, muchas funciones no llegan a las directivas de seguridad para las aplicaciones SaaS, lo que lleva a muchos clientes a implementar varias soluciones además de una puerta de enlace web.
Publicar exploradores para cada aplicación SaaS:la publicación de un explorador web con Citrix Virtual Apps and Desktops es un método probado en el tiempo para controlar el acceso a aplicaciones SaaS no autorizadas. Sin embargo, sí que requiere otro recurso de TI para administrarlo y no es la misma experiencia de usuario que conectarse directamente a una aplicación SaaS a través de un explorador.
Ceder la administración de las aplicaciones SaaS al control departamental dentro de la empresa:este enfoque abre brechas de seguridad y cumplimiento, y pierde oportunidades de comprender el comportamiento de los usuarios y el uso de las aplicaciones; sin embargo, a menudo es la estrategia predeterminada de TI cuando se enfrentan a recursos limitados.
Citrix ha ideado una forma mejor de proteger el acceso a aplicaciones web y SaaS sancionadas con un enfoque centrado en el usuario, en lugar de las formas tradicionales que no tienen en cuenta la seguridad. Citrix Workspace proporciona acceso contextual y seguro a aplicaciones y escritorios SaaS, web y virtuales, reduce la exposición a amenazas internas y externas, asegura la colaboración de contenido y proporciona análisis del comportamiento de los usuarios e información proactiva sobre seguridad.
El diagrama anterior ilustra el entorno tradicional de Citrix en el que los puntos finales se conectan a través de Citrix ADC para acceder a sus recursos. Se accede a estos recursos, incluidos aplicaciones, escritorios y datos, desde las instalaciones y se accede a algunos de los recursos externos a través de Internet, incluidas las aplicaciones basadas en SaaS. Los usuarios acceden a estos recursos externos de forma segura mediante Secure Gateway y los servicios de filtrado web.
La aplicación Workspace es un único punto de entrada para acceder a los recursos desde cualquier dispositivo. Proporciona una funcionalidad única a los usuarios finales con una seguridad mejorada mediante el uso de un explorador web empresarial. Un motor de red dentro de la aplicación Workspace optimiza el tráfico de red y proporciona una VPN con SSL además de las capacidades de Micro VPN para ciertas aplicaciones. Los usuarios finales se conectan a través de Citrix ADC, que proporciona funciones de administración de acceso e identidad.
La supervisión de seguridad proporciona supervisión del comportamiento del usuario final y detección de amenazas dentro de la red. La seguridad de los datos incluye DLP e IRM para mantener el control de los datos cuando los usuarios trabajan con archivos o los comparten. Los servicios de filtrado web de Citrix Cloud, Citrix Analytics y Citrix Gateway ofrecen una solución consolidada para ofrecer un espacio de trabajo digital seguro a los usuarios finales.
Citrix Secure Private Access
CitrixSecure Private Accesscombina las capacidades del acceso seguro e instantáneo a aplicaciones web y SaaS mediante el inicio de sesión único (SSO), junto con controles de aplicaciones basadas en explorador y en la nube, directivas de filtrado web y análisis integrados del comportamiento de los usuarios. Citrix Secure Private Access va más allá de las capacidades tradicionales de SSO al introducir elcontrol de aplicaciones en la nube, un conjunto de controles de seguridad mejorados para aplicaciones web empresariales y SaaS que proporcionan acceso condicional a las aplicaciones en la nube y protegen las acciones de los usuarios en función de directivas de acceso gobernadas por el administrador. Esta solución mejora la postura general de seguridad y cumplimiento de la organización. La experiencia del usuario sigue siendo perfecta e integrada porque se puede acceder a las aplicaciones web y SaaS junto con sus aplicaciones móviles, aplicaciones virtuales y escritorios como parte integrada de Citrix Workspace.
Citrix Secure Private Access combina elementos de varios servicios de Citrix Cloud para ofrecer una experiencia integrada para los usuarios finales y los administradores.
| Funcionalidad | Servicio/componente que proporciona la funcionalidad |
|---|---|
| IU coherente para acceder a las aplicaciones | Aplicación Workspace Experience/WS |
| SSO a aplicaciones SaaS y web | Estándar de servicio Citrix Gateway |
| Filtrado y categorización web | Servicio de filtrado web |
| Directivas de seguridad mejoradas para SaaS | Control de aplicaciones de nube |
| Navegación segura | Secure Browser Service |
| Visibilidad del acceso al sitio web y comportamiento de riesgo | Citrix Analytics |
¿Por qué usar Citrix Secure Private Access?
La seguridad de los datos se caracteriza por la necesidad de garantizar la integridad de los datos, la confidencialidad y proteger la propiedad intelectual de la empresa. Hoy en día, las organizaciones enfrentan varios desafíos, tales como
- Múltiples productos puntuales que son difíciles de administrar y que tienen diferentes infraestructuras de directivas
- Proporcionar acceso remoto seguro a los usuarios finales para acceder a la información de la empresa
- Proteger la propiedad intelectual almacenada en la nube y las aplicaciones SaaS sin dejar de cumplir
- Obtención de visibilidad en la nube y las aplicaciones SaaS después de SSO y obtención de evaluaciones de riesgos
Citrix Secure Private Access ayuda a los administradores de TI y seguridad a controlar el acceso autorizado de los usuarios finales a las aplicaciones web alojadas en empresas y SaaS sancionadas. Las identidades y los atributos de los usuarios se utilizan para determinar los privilegios de acceso y las directivas de acceso privado seguro determinan los privilegios necesarios para realizar operaciones.
La integración de Citrix Secure Private Access ofrece varios beneficios:
Experiencia de usuario perfecta con inicio de sesión único en aplicaciones alojadas y SaaS:Esta prestación viene a través de una combinación de la aplicación Workspace y Gateway Service.
Mayor control de TI con entrega y acceso organizados para aplicaciones SaaS:Proporciona a TI una forma de asignar fácilmente aplicaciones SaaS a los miembros de sus trabajadores.
Seguridad mejorada con controles de directivas para el uso de SaaS:Se denomina control de aplicaciones en la nube, una nueva prestación que proporciona a TI una forma de aplicar directivas de seguridad en las aplicaciones SaaS que proporcionan a los empleados.
Flexibilidad para permitir el acceso controlado a contenido público de Internet o aplicaciones SaaS desconocidas sin sacrificar la seguridad:Esta prestación viene a través de una combinación del Secure Browser Service y la funcionalidad de filtrado web para que los sitios web puedan incluirse en listas de permitidos o prohibidos o mostrarse de forma aislada explorador.
Visibilidad del uso de SaaS y la actividad web de los usuarios:Esta prestación proporciona un subconjunto de Citrix Analytics para la actividad de SaaS y web para proporcionar más visibilidad para la seguridad y el cumplimiento.
Citrix Secure Private Access y Citrix Cloud
Citrix Secure Private Access es uno de los servicios que ofrece Citrix Cloud. Para acceder a estos servicios, un administrador debe tener una cuenta de Citrix (también conocida como cuenta de Citrix.com o Mi Citrix) para administrar las licencias y acceder al entorno.
Una cuenta de Citrix usa un ID de organización (OrgID) como identificador único. El administrador puede acceder a su cuenta de Citrix iniciando sesión encitrix.comcon el nombre de usuario o la dirección de correo electrónico vinculados a la cuenta. Inicialmente, Citrix Cloud redirige ahttps://citrix.cloud.compara crear una cuenta o iniciar sesión con una cuenta de Citrix existente para activar una prueba de servicios en la nube.
Una cuenta de Citrix Cloud permite a los administradores tener un amplio acceso administrativo a los servicios, por lo que Citrix exige que el primer administrador que cree la cuenta de Citrix Cloud dé acceso explícito a otros administradores según sea necesario, incluso si el otro administrador ya es miembro de la cuenta MyCitrix existente.
Citrix Secure Private Access es una solución que se muestra como un mosaico en la consola de Citrix Cloud e incluye la integración en el servicio Citrix Gateway, el servicio de filtrado web, el Secure Browser Service y el servicio Citrix Analytics.
Acceso privado seguro:el servicio Citrix Secure Private Access proporciona una experiencia unificada que integra el inicio de sesión único, el acceso remoto y la inspección de contenido en una única solución para el acceso privado seguro de extremo a extremo.
Citrix Secure Private Access proporciona las siguientes funciones a los administradores:
- Configurar la autenticación multifactor para los usuarios finales
- Configurar un espacio de trabajo para proporcionar acceso seguro a las aplicaciones desde cualquier dispositivo, administrar y agregar aplicaciones SaaS desde la biblioteca
- Configurar el filtrado web para permitir o bloquear sitios web para los usuarios finales y redirigirlos al servicio Citrix Secure Browser
Analytics:Citrix Analytics recopila datos en toda la cartera de productos de Citrix y genera información útil, lo que permite a los administradores gestionar de forma proactiva las amenazas de seguridad de usuarios y aplicaciones, mejorar el rendimiento de las aplicaciones y admitir operaciones continuas. Citrix Analytics recopila datos y proporciona la siguiente información:
- Security Analytics
- Performance Analytics
- Operations Analytics
Gateway:el servicio Citrix Gateway proporciona una solución de acceso remoto seguro, una experiencia de usuario unificada para aplicaciones SaaS configuradas, aplicaciones virtuales heterogéneas y escritorios. La entrega de aplicaciones SaaS mediante el servicio Citrix Gateway proporciona una solución fácil, segura, sólida y escalable para administrar las aplicaciones. Las aplicaciones SaaS suministradas en la nube tienen las siguientes ventajas:
- Configuración simple: fácil de operar, actualizar y consumir
- 在icio de sesión único: inicio de sesión sin complicaciones con SSO
- Plantilla estándar para diferentes aplicaciones: configuración basada en plantillas de aplicaciones populares
Secure Browser:el servicio Citrix Secure Browser aísla la navegación web para proteger la red corporativa de los ataques basados en el explorador. Ofrece acceso remoto seguro y uniforme a una aplicación web alojada en Internet sin necesidad de configurar el dispositivo del usuario.
Los administradores pueden abrir rápidamente exploradores seguros, lo que ofrece una eficiencia instantánea. Al aislar la navegación por Internet, los administradores de TI pueden ofrecer a los usuarios finales un acceso seguro a Internet sin comprometer la seguridad empresarial.
Gestión de identidades y accesos
En la sección Administración de acceso e identidad, se definen las cuentas y los proveedores de identidades utilizados para los administradores y los suscriptores de Citrix Cloud y sus ofertas. Citrix Cloud utiliza el proveedor de identidad de Citrix para administrar la información de identidad de los usuarios de la cuenta de Citrix Cloud. El administrador tiene la opción de integrar Azure Active Directory o un servicio de Active Directory local.
Para realizar actividades de administración e instalar Citrix Cloud Connector en Citrix Cloud, los administradores de Citrix utilizan su identidad para acceder a Citrix Cloud. Este mecanismo de identidad proporciona autenticación a los administradores mediante una dirección de correo electrónico y una contraseña. Además, los administradores pueden usar las credenciales de My Citrix para iniciar sesión en Citrix Cloud.
La identidad de un suscriptor define los servicios a los que ese suscriptor tiene acceso en Citrix Cloud. La identidad proviene de las cuentas de dominio de Active Directory proporcionadas desde los dominios dentro de la ubicación del recurso. Los suscriptores pueden autorizar el acceso a la oferta desde Citrix Cloud asignando un suscriptor a una oferta de biblioteca.
La comunicación local de Active Directory con Citrix Cloud se lleva a cabo a través de Citrix Cloud Connectors de alta disponibilidad. Las organizaciones que optan por usar el servicio Azure Active Directory tienen más flexibilidad en términos de administración de cuentas de usuario, control de auditoría y directivas de contraseñas. Además, el administrador puede configurar la autenticación multifactor para un mayor nivel de seguridad.
Citrix Secure Private Access con seguridad mejorada para aplicaciones SaaS
Citrix Cloud ofrece la capacidad de inicio de sesión único (SSO) a las aplicaciones SaaS a través del servicio Citrix Gateway. El SSO ofrece una experiencia de usuario unificada para el SSO de aplicaciones SaaS basadas en web y la publicación en la interfaz de usuario de la experiencia de Citrix Workspace. Para permitir una experiencia de usuario de inicio de sesión único, una aplicación SaaS confía en la aserción SAML proporcionada por el servicio Citrix Gateway.
El proceso de habilitar el inicio de sesión único en las aplicaciones SaaS ahora se simplifica a unos pocos formularios web y al hacer clic en la página de configuración. Citrix Gateway Connector proporciona un proxy para el acceso interno a la aplicación SaaS basada en web para el usuario de la aplicación Workspace.
Referencia:Citrix Gateway Connector
Control de contenido
Proteger los datos del usuario (usuarios de aplicaciones SaaS) es una tarea difícil para la mayoría de las organizaciones. Al usar Citrix Secure Private Access, las organizaciones pueden incorporar directivas de seguridad mejoradas en las aplicaciones SaaS. Cada directiva impone una restricción en el explorador web empresarial cuando se usa la aplicación Workspace para escritorio, o en Secure Browser cuando se usa la aplicación Workspace para la web o móvil.
- Explorador web preferido:在habilita el uso del explorador web local y se basa en el explorador web empresarial (aplicación Workspace, escritorio) o Secure Browser Service (aplicación Workspace, móvil y web)
- Restringir el acceso al portapapeles:在habilita las operaciones de cortar/copiar/pegar entre la aplicación y el portapapeles del dispositivo de punto final
- Restringir la impresión:在habilita la capacidad de imprimir desde el explorador de la aplicación
- Restringir navegación:在habilita los botones del explorador siguiente/atrás
- Restringir descargas:在habilita la capacidad del usuario de descargar desde la aplicación SaaS
- Mostrar marca de agua:Superpone una marca de agua basada en pantalla que muestra el nombre de usuario y la dirección IP del punto final. Si un usuario intenta imprimir o tomar una captura de pantalla, la marca de agua aparece como se muestra en la pantalla
在icio de sesión único de Citrix Secure Private Access sin seguridad mejorada
| SL NO | Aplicación Workspace con aplicación SaaS sancionada | Explorador web local con aplicación SaaS sancionada |
|---|---|---|
| 1 | El usuario inicia la aplicación Workspace en el endpoint. | El usuario inicia un explorador web en el extremo, se conecta a Workspace y se autentica mediante Active Directory local o Azure Active Directory. |
| 2 | La aplicación Workspace se conecta al espacio de trabajo y se autentica mediante Active Directory o Azure Active Directory local. | El explorador local se rellena con recursos aprobados. |
| 3 | La aplicación Workspace se rellena con recursos aprobados. | Cuando el usuario selecciona una aplicación SaaS, el explorador local envía la solicitud a Workspace, que solicita una URL de un solo uso y reenvía el explorador al servicio Gateway. |
| 4 | La aplicación Workspace envía la solicitud a Workspace, que solicita una URL de uso único del servicio Gateway y un explorador preferido. | El explorador local inicia una conexión con el servicio Gateway. |
| 5 | El explorador local inicia una conexión con el servicio Gateway. | El servicio Gateway solicita una afirmación del microservicio de inicio de sesión único. |
| 6 | El servicio Gateway solicita una afirmación del microservicio de inicio de sesión único. | El explorador local se redirige a la página de inicio de sesión de la aplicación SaaS donde se presenta la aserción. |
| 7 | El explorador local se redirige a la página de inicio de sesión de la aplicación SaaS donde se presenta la aserción. | La aplicación SaaS se pone en contacto con el servicio Gateway para validar la aserción y autenticar al usuario. |
| 8 | La aplicación SaaS se pone en contacto con el servicio Gateway para validar la aserción y autenticar al usuario. | Una vez autenticado, la comunicación se produce directamente entre el explorador y la aplicación SaaS. |
| 9 | Una vez autenticado, la comunicación se produce directamente entre el explorador y la aplicación SaaS. |
Acceso privado seguro: inicio de sesión único con seguridad mejorada
| SL NO | Aplicación Workspace con aplicación SaaS sancionada | Explorador web local con aplicación SaaS sancionada |
|---|---|---|
| 1 | El usuario inicia la aplicación Workspace en el endpoint. | El usuario inicia un explorador web en el punto final, se conecta a Workspace y se autentica mediante Active Directory local o Azure Active Directory. |
| 2 | La aplicación Workspace se conecta al espacio de trabajo y se autentica mediante Active Directory o Azure Active Directory local. | El explorador local se rellena con recursos aprobados. |
| 3 | La aplicación Workspace se rellena con recursos aprobados. | Cuando el usuario selecciona una aplicación SaaS, el explorador local envía la solicitud a Workspace, que solicita una URL de un solo uso y redirige el explorador al Secure Browser Service. |
| 4 | La aplicación Workspace envía la solicitud a Workspace, que solicita una URL de un solo uso del servicio Gateway. | El explorador local inicia una conexión de Secure Browser. |
| 5 | El explorador web empresarial inicia una conexión a Gateway Service. | Secure Browser inicia una conexión con el servicio Gateway. |
| 6 | El servicio Gateway solicita una afirmación del microservicio de inicio de sesión único y directivas de seguridad mejoradas del servicio Secure Private Access. | El servicio Gateway solicita una afirmación del microservicio SSO y directivas de seguridad mejoradas del servicio Secure Private Access. |
| 7 | El explorador web empresarial se redirige a la página de inicio de sesión de la aplicación SaaS donde se presenta la afirmación. | Secure Browser se redirige a la página de inicio de sesión de la aplicación SaaS, donde se presenta la afirmación. |
| 8 | La aplicación SaaS se pone en contacto con el servicio Gateway para validar la aserción y autenticar al usuario. | La aplicación SaaS se pone en contacto con el servicio Gateway para validar la aserción y autenticar al usuario. |
| 9 | Una vez autenticada, la comunicación se produce directamente entre el explorador y la aplicación SaaS. | Una vez autenticada, la comunicación se produce directamente entre el explorador y la aplicación SaaS. |
Referencia:informe técnico de Citrix Secure Private Access
Acceso contextual
La mayoría de las aplicaciones SaaS son seguras de usar, aunque a veces, cuando un usuario hace clic en un hipervínculo dentro de una aplicación SaaS, puede suponer un riesgo de seguridad para una organización. El microservicio de filtrado web permite, deniega o redirige la solicitud de hipervínculo del usuario.
| SL NO | Aplicación Workspace con seguridad mejorada | Explorador local con seguridad mejorada |
|---|---|---|
| 1 | El usuario selecciona un hipervínculo desde la aplicación SaaS. | El usuario selecciona un hipervínculo desde la aplicación SaaS. |
| 2 | El explorador web empresarial de la aplicación Workspace envía la URL a Secure Private Access Service. | Secure Browser envía la URL al servicio Secure Private Access. |
| 3 | El servicio Secure Private Access solicita un análisis de la URL por parte del microservicio de filtrado web. | El servicio Secure Private Access solicita un análisis de la URL por parte del microservicio de filtrado web. |
| 4 | 帕洛捆扎bloqueados el microservicio de filtrado web deniega el acceso al hipervínculo. | 帕洛捆扎bloqueados el microservicio de filtrado web deniega el acceso al hipervínculo. |
| 5 | Para los enlaces aprobados, el microservicio de filtrado web permite al usuario acceder al enlace con el explorador web empresarial. | Para los enlaces aprobados, el microservicio de filtrado web permite al usuario acceder al enlace como una ficha nueva dentro de su sesión actual del Secure Browser Service. |
| 6 | Para los enlaces redirigidos, el microservicio de filtrado web tiene una aplicación Workspace que envía el enlace al Secure Browser Service, que inicia una nueva sesión de explorador virtual para el usuario final. | Para los enlaces redirigidos, el microservicio de filtrado web permite al usuario acceder al enlace como una ficha nueva dentro de su sesión actual del Secure Browser Service. |
Descripción general del filtrado web
El filtrado web proporciona un control basado en directivas de sitios web mediante el uso de la información contenida en las direcciones URL. Esta función ayuda a los administradores de red a supervisar y controlar el acceso de los usuarios a sitios web maliciosos de la red.
Esta versión de servicio permite el filtrado web para que la aplicación Citrix Workspace acceda a las aplicaciones SaaS e Internet, y que Citrix Secure Browser acceda a las aplicaciones SaaS e Internet.
El administrador de Citrix Secure Private Access puede bloquear y permitir una lista de URL. El controlador de filtrado web utiliza una base de datos de categorización y una lista de URL. Cuando la solicitud llega al Controller de filtrado web, primero comprueba la lista global de permitidos, que también contiene las URL críticas de Citrix Cloud. Luego viene a Listas y Categorización y comprueba si hay URL bloqueadas, permitidas y redirigidas a Secure Browser. Si ninguna de las URL coincide, por defecto vuelve a la lista predeterminada.
Citrix Secure Private Access y Citrix Analytics
El servicio Citrix Analytics es un servicio basado en la nube que facilita información pragmática mediante la recopilación de datos en toda la gama de productos de Citrix. Citrix Secure Private Access organiza y produce información sobre las actividades de los usuarios, como los sitios web visitados y el ancho de banda gastado. Citrix Secure Private Access también supervisa los sitios de malware y phishing analizando el consumo de ancho de banda e informando al respecto. El administrador puede tomar medidas correctivas al aprovechar estas métricas clave para monitorear la red.
Citrix Analytics se integra fácilmente con Citrix Secure Private Access, el servicio Citrix Gateway y otros productos de la cartera de Citrix. Citrix Analytics proporciona información completa sobre el comportamiento de los usuarios. Utiliza algoritmos de aprendizaje automático para detectar comportamientos anómalos de los usuarios, solucionar problemas en las sesiones de los usuarios y ver las métricas operativas de los usuarios de una organización que usa productos Citrix.
Los servicios y productos de Citrix envían datos a Citrix Analytics, que se denominan fuentes de datos. El servicio Citrix Analytics detecta las fuentes de datos asociadas a la cuenta de Citrix Cloud. Los registros de Citrix Cloud se transmiten de forma segura a Citrix Analytics. Los registros se recopilan de Citrix Secure Private Access y se mantienen por separado de las fuentes de datos.
El servicio Citrix Secure Private Access ofrece paneles de seguridad y operaciones. El panel de seguridad proporciona perfiles de riesgo de los usuarios y un resumen de la actividad de acceso de los usuarios, como la URL o el dominio visitado y el ancho de banda utilizado. El acceso a aplicaciones resume los detalles de dominios, direcciones URL y aplicaciones a las que acceden los usuarios.
Referencia:Análisis y Citrix Secure Private Access
Los administradores de Citrix pueden crear reglas en Citrix Analytics para realizar acciones en cuentas de usuario cuando se producen actividades inusuales o sospechosas. Una regla es un conjunto de condiciones que deben cumplirse para que se ejecute una acción. Una regla puede contener una sola condición y una o más acciones. Condiciones como la “puntuación de riesgo” y el “cambio en la puntuación de riesgo” son condiciones globales. Las condiciones globales se pueden aplicar a un usuario específico para un origen de datos específico.
El administrador crea una regla basada en la actividad del usuario mediante la aplicación de condiciones que se enumeran a continuación:
- 在tento de acceder a una URL incluida en la lista de bloqueados在dica un intento de acceso a una URL incluida en la lista de bloqueados.
- Acceso arriesgado al sitio web在dica que el usuario intentó acceder a sitios web maliciosos, sospechosos o arriesgados.
- 羊皮纸书卷de descargas inusual在dica que el volumen de datos descargados por el usuario desde aplicaciones o sitios web ha superado el umbral definido implícitamente por Citrix Analytics.
- Volumen de carga inusual在dica que el volumen de datos cargado por el usuario desde aplicaciones o sitios web ha superado el umbral definido implícitamente por Citrix Analytics.
Referencia:Análisis y acceso privado seguro
Experiencia de usuario final de Citrix Secure Private Access
El administrador de Citrix tiene la facultad de ampliar el control de seguridad con la ayuda de Citrix Secure Private Access. La aplicación Citrix Workspace es un punto de entrada para acceder a todos los recursos de forma segura, los usuarios finales pueden acceder a aplicaciones virtuales, escritorios, aplicaciones SaaS y archivos a través de la aplicación Citrix Workspace. Con Citrix Secure Private Access, los administradores pueden controlar cómo el usuario final puede acceder a una aplicación SaaS a través de la interfaz de usuario web de Citrix Workspace Experience o el cliente nativo de la aplicación Citrix Workspace.
Para obtener más información, consulte laarquitectura de referenciade la aplicación Citrix Workspace.
Experiencia del usuario final con la aplicación Workspace y el portal web
Cuando el usuario inicia la aplicación Workspace en el endpoint, ve sus aplicaciones, escritorios, archivos y aplicaciones SaaS. Si un usuario hace clic en la aplicación SaaS cuando la seguridad mejorada está desactivada, la aplicación se abre en un explorador estándar que está instalado localmente. Si el administrador ha activado la seguridad mejorada, las aplicaciones SaaS se abren en el explorador web empresarial dentro de la aplicación Workspace. La accesibilidad a los hipervínculos dentro de las aplicaciones SaaS y las aplicaciones web se controla en función de las directivas de filtrado web.
德尔mismo) modo,反对el门户网站de工作区,铜ando se mejora la seguridad, se desactivan las aplicaciones SaaS se abren a través de un explorador estándar que se instala de forma nativa. Cuando se activa la seguridad mejorada, las aplicaciones SaaS se abren a través del explorador seguro. Los usuarios pueden acceder a los sitios web dentro de las aplicaciones SaaS basadas en directivas de filtrado web.
Implementación de Citrix Secure Private Access
El servicio Citrix Secure Private Access es un servicio basado en la nube. Para ofrecer soluciones centradas en el usuario a las organizaciones y cumplir con las directivas, Citrix Secure Private Access desempeña un papel vital. Junto con Citrix Secure Private Access, hay otros servicios que están habilitados para ofrecer soluciones consolidadas a los usuarios finales. Para empezar a incorporar y configurar el servicio Citrix Secure Private Access, el administrador debe configurar la autenticación, configurar el acceso a las aplicaciones SaaS y especificar la configuración de acceso al contenido en el servicio Citrix Secure Private Access. Los usuarios finales pueden acceder al servicio desde la aplicación Citrix Workspace o la URL de Workspace.
El administrador de Citrix inicia sesión en Citrix Cloud con sus credenciales y solicita el servicio Citrix Secure Private Access. Citrix Secure Private Access se integra con otros productos de la cartera de Citrix, incluidos Citrix Gateway, Secure Browser y Citrix Analytics. Esta solución ofrece seguridad para aplicaciones SaaS.
Paso 1:El administrador de Citrix configura la administración de acceso e identidad en Citrix Cloud. De forma predeterminada, Citrix Cloud usa el proveedor de identidades de Citrix para administrar la información de identidad de todos los usuarios de la cuenta de Citrix Cloud. El administrador tiene flexibilidad para cambiar y usar Azure Active Directory o un servicio de Active Directory local.
Paso 2:El administrador de Citrix inicia sesión en el servicio Citrix Gateway para configurar el inicio de sesión único para aplicaciones web y SaaS. El servicio Citrix Gateway ofrece un inicio de sesión seguro en el entorno de la empresa, en el que los usuarios finales inician sesión en las aplicaciones mediante el inicio de sesión único de SAML.
Agregue una aplicación web o SaaS a la biblioteca desde la plantilla. Para obtener más información sobre una lista de aplicaciones SaaS compatibles con Citrix Secure Private Access, consulteAplicaciones SaaS compatibles con el servicio Citrix Secure Private Access
Paso 3:El administrador introduce los detalles de la aplicación, como el nombre de la aplicación, la URL y los detalles del dominio. Se pueden habilitar directivas de seguridad mejoradas para evitar fugas de datos. Estas directivas dentro de las aplicaciones SaaS imponen restricciones en el explorador web empresarial cuando se usa una aplicación Workspace para escritorio o en Secure Browser cuando se usa la aplicación Workspace web o móvil.
Paso 4:Habilitar el inicio de sesión único para aplicaciones web/SaaS:el servicio Citrix Gateway (solo servicios en la nube) proporciona inicio de sesión único para las aplicaciones SaaS. La habilitación del inicio de sesión único para aplicaciones SaaS ahora se simplifica a unos pocos formularios web y al hacer clic en la página de configuración, lo que simplifica enormemente el proceso de implementación. Los administradores pueden aplicar el Gateway Connector para hacer de intermediario con el acceso interno de la aplicación SaaS basada en web al usuario externo de la aplicación Workspace.
En la secciónBibliotecade Citrix Cloud, se publican SaaS y aplicaciones web. El administrador debe agregar usuarios después de elegir el dominio y solo los usuarios suscritos pueden acceder a la aplicación a través de la aplicación Workspace o la web de Workspace.
Paso 5:Filtrar listas de sitios web:para proteger la red corporativa de los ataques basados en explorador, Citrix Secure Private Access incluye un servicio de filtrado web. Según las directivas, el servicio de filtrado web permite, deniega o redirige la solicitud de hipervínculo del usuario según lo definido:
Permitido:El enlace de solicitud se considera seguro y se permite el acceso desde el explorador web empresarial de la aplicación Workspace.
Bloqueado:El hipervínculo se considera peligroso y se deniega el acceso.
Redirigido:el administrador toma precauciones en los sitios web que presentan amenazas de seguridad redirigiéndolos a través del Secure Browser Service.
Paso 6:Filtrar categorías de sitios web. La base de datos de categorización ayuda a filtrar el tráfico web controlando el acceso de los usuarios finales a sitios web específicos, como las redes sociales, los juegos de azar, el contenido para adultos, los nuevos medios y las compras. Las categorías restringen el acceso de los usuarios a sitios Web específicos y a categorías de sitio web.
| Los ajustes preestablecidos de categorización proporcionan prácticas plantillas listas para usar | |
|---|---|
| Estricto | Minimiza el riesgo de acceder a sitios web no seguros o maliciosos. Los usuarios finales no pierden el acceso a sitios web que presenten un riesgo bajo. Incluye la mayoría de los sitios web de viajes de negocios y redes sociales. (133/192 categorías) |
| Moderado | Minimiza el riesgo al tiempo que permite otras categorías con una baja probabilidad de exposición de sitios no seguros o maliciosos. Incluye la mayoría de los sitios web de viajes de negocios, ocio y redes sociales. (65/192 categorías) |
| Flexible | Maximiza el acceso y, al mismo tiempo, controla el riesgo de sitios web ilegales y maliciosos. (36/192 categorías) |
| Nada | Permite todas las categorías. |
| Personalizado | Configure el filtrado personalizado de categorías. |
Referencia:lista de categorías de Citrix Secure Private Access
La aplicación Citrix Workspace ofrece a los usuarios una gran experiencia (Workspace unificado, contextual y seguro) en cualquier dispositivo. Los usuarios obtienen un acceso seguro y sin problemas mediante el inicio de sesión único a todas las aplicaciones que necesitan para ser productivos.
Para validar la configuración, los usuarios finales pueden iniciar la aplicación SaaS desde la aplicación Citrix Workspace (o Citrix Workspace Web). Además, los usuarios pueden verificar los sitios web permitidos o bloqueados agregados en las listas de filtrado de sitios web visitando las URL. El explorador web empresarial de la aplicación Citrix Workspace permite a los administradores proporcionar acceso nativo a las aplicaciones SaaS con controles de seguridad mejorados.
Para obtener más información sobre la aplicación Citrix Workspace, consulte laarquitectura de referencia de la aplicación Citrix Workspace.
Paso 7:El servicio Citrix Secure Private Access se integra con Citrix Analytics para obtener información sobre las actividades de los usuarios, como los sitios web visitados y el ancho de banda consumido. Citrix Analytics informa sobre amenazas detectadas, como sitios de phishing y malware.
El administrador puede iniciar sesión en el servicio en la nube de Citrix Analytics y crear reglas para Citrix Secure Private Access y, a continuación, aplicar el plan de acción cuando se cumplan las condiciones. Para supervisar y analizar las actividades de comportamiento de los usuarios, habilite “Activar el procesamiento de datos” para Citrix Secure Private Access para realizar análisis en Citrix Cloud (las fuentes de datos son servicios y productos de Citrix que envían datos a Citrix Analytics).
El servicio Citrix Analytics supervisa las actividades y el comportamiento de los usuarios mediante el aprendizaje automático y la inteligencia artificial. Las fuentes de datos para Citrix Analytics se recopilan de la aplicación Workspace, Citrix Gateway, Citrix Secure Private Access y el Secure Browser Service.
Casos de uso de Citrix Secure Private Access
En la actualidad, las organizaciones están recurriendo a las soluciones de software como servicio (SaaS) para abordar los requisitos empresariales, pero a menudo sin tomar las medidas de seguridad necesarias ni realizar el mantenimiento adecuado de las aplicaciones. La mayoría de los fallos de seguridad de las aplicaciones SaaS son causados por usuarios, no por proveedores en la nube. La organización debe regular sus estrategias para hacer frente a estos defectos.
Citrix Secure Private Access aplica directivas de seguridad mejoradas para las aplicaciones SaaS (marca de agua, restricción de copiar y pegar, evitar la descarga/carga de datos confidenciales, etc.). También define las directivas de acceso para las categorías de sitios web y los sitios web que se bloquearán o permitirán en forma de filtrado web.
| Implementaciones existentes en zonas industriales abandonadas | Cómo encaja Citrix Secure Private Access |
|---|---|
| Organizaciones que buscan adoptar los servicios Citrix Cloud. | 1) Citrix Secure Private Access proporciona el ajuste adecuado a su entorno, proporcionando seguridad para las funciones de SaaS, SSO y filtrado web a los usuarios finales. 2) Para las organizaciones que desean un modelo local, Citrix Gateway ayuda a proporcionar SSO y seguridad mejorada a los usuarios finales. |
| Organizaciones que ya han adoptado el servicio Citrix Gateway. | 1) Citrix Cloud ofrece varios servicios basados en la nube, incluidos Citrix Secure Private Access, Analytics y Secure Browser Service, que proporcionan control de seguridad para aplicaciones SaaS y basadas en Internet. |
| Organizaciones que ya han adoptado SSO de terceros | 1) Citrix Secure Private Access proporciona controles de seguridad de nivel granular para las aplicaciones SaaS, minimiza las amenazas basadas en la web y la aplicación automática de directivas mediante análisis basados en el comportamiento del usuario. 2) El proxy ICA es compatible con el servicio local y Citrix Virtual Apps and Desktops. |
Solución Citrix Secure Private Access para aplicaciones web empresariales
La mayoria de los客户机地区siguen utilizando aplicaciones web, como SharePoint, Confluence, Microsoft Office, aplicaciones de mesa de ayuda, etc. Las aplicaciones empresariales se entregan de forma remota mediante el servicio Citrix Gateway y se agrega la seguridad necesaria mediante Citrix Secure Private Access.
Los usuarios finales acceden a las aplicaciones web mediante Citrix Workspace, que aprovecha el servicio Citrix Gateway. El servicio Citrix Gateway, junto con Citrix Workspace de forma segura, ofrece una experiencia de usuario unificada para las aplicaciones web configuradas. El inicio de sesión único y la accesibilidad remota a aplicaciones web internas están disponibles a través de diferentes paquetes de servicios.
El diagrama anterior muestra la solución Citrix Secure Private Access aplicada a los clientes locales que utilizan Citrix Gateway Connector. El conector de Citrix Gateway actúa como puente entre las aplicaciones web empresariales y el servicio Citrix Workspace.
在icio de sesión único en la aplicación web con seguridad mejorada
El usuario inicia la aplicacion Citrix工作区yse conecta con Citrix Workspace mediante un servicio de Active Directory local. La aplicación Citrix Workspace se usa para iniciar una aplicación web. El servicio Citrix Gateway proporciona el explorador recomendado y el enlace. El explorador web empresarial de la aplicación Citrix Workspace establece una conexión de la aplicación con Citrix Gateway Service. Además, las directivas de seguridad mejoradas se habilitan a través del servicio Citrix Secure Private Access. Además, el servicio Citrix Gateway establece una conexión saliente con Gateway Connector desde la ubicación de recursos. Verifica las credenciales de inicio de sesión y la aplicación Citrix Workspace asegura una conexión de extremo a extremo con la aplicación web interna.
如果el usuario它联合国explorador当地autenticación se realiza a través del servicio Active Directory y el explorador local establece una conexión segura con el Secure Browser Service. Las directivas de seguridad mejoradas se habilitan a través del servicio Secure Private Access. A continuación, se establece un canal de salida seguro entre Gateway Connector y el servicio Citrix Gateway. A continuación, se negocian las credenciales de usuario y se establece el inicio de sesión único en nombre del usuario. Por último, se encuentra una conexión de extremo a extremo a través del explorador seguro para el usuario.
Referencia:Soporte para aplicaciones web empresariales
在icio de sesión único de Citrix Secure Private Access para aplicaciones web
Citrix Gateway Connector y el servicio Citrix Gateway en la nube protegen la comunicación con las aplicaciones locales. Se accede a las aplicaciones web y se entregan a través de Workspace mediante una conexión sin VPN. El administrador debe elegir el método de inicio de sesión único durante la configuración de la aplicación web.
Estos cuatro tipos de SSO se pueden configurar a través del servicio Citrix Gateway:
- Basado en formularios
- SSO básico
- Kerberos
- SAML (TP)
Autenticación basada
1) El servicio Citrix Gateway establece un canal seguro entre Citrix Gateway Connector y envía la solicitud de la aplicación web con las credenciales de inicio de sesión
2) Citrix Gateway Connector envía las credenciales de inicio de sesión a la aplicación web correspondiente
3) Se establece una conexión segura de extremo a extremo entre la aplicación web y la aplicación Citrix Workspace a través del servicio Citrix Gateway mediante el inicio de sesión único en la aplicación web
Autenticación básica de SSO
1) El servicio Citrix网关克雷亚un canal seguro entre Citrix Gateway Connector y envía la solicitud de la aplicación web con el nombre de usuario y la contraseña
2) El conector de Citrix Gateway envía las credenciales de inicio de sesión a la página de inicio de sesión
3) La aplicación web solicita autenticación mediante el protocolo NTLM
4) Citrix Gateway Connector responde a la solicitud NTLM con el nombre de usuario y la contraseña
5) Se establece una conexión segura de extremo a extremo entre la aplicación web y la aplicación Citrix Workspace a través del servicio Citrix Gateway mediante el inicio de sesión único en la aplicación web
Autenticación Kerberos
1) El servicio Citrix网关克雷亚un canal seguro entre Citrix Gateway Connector y envía una solicitud de aplicación web con el nombre de usuario y la contraseña
2) Citrix Gateway Connector envía credenciales de inicio de sesión a la página de inicio de sesión de la aplicación web
3) La aplicación web solicita autenticación mediante el protocolo Kerberos
4) El conector de Citrix Gateway se pone en contacto con el controlador de dominio para verificar las credenciales
5) el controlador de dominio valida las credenciales de usuario y reconoce
6) Citrix Gateway Connector reenviar la aplicación a la aplicación web
7) Se establece una conexión segura de extremo a extremo entre la aplicación web Citrix y la aplicación Citrix Workspace a través del servicio Citrix Gateway mediante el inicio de sesión único en la aplicación web
Para habilitar la funcionalidad de inicio de sesión único de Kerberos, los administradores configuran Gateway Connector con las credenciales de una cuenta de servicio de confianza para realizar la delegación restringida de Kerberos.
Los usuarios pueden intentar acceder a sitios web maliciosos que causan graves daños a la empresa. Además, pueden infringir las normas y directivas de la empresa. Para superar estos problemas, los administradores pueden adoptar Citrix Secure Private Access para filtrar los sitios web de riesgo que representan un riesgo para su organización. También se puede agregar una marca de agua a lo largo de la sesión que incluya el nombre y la dirección IP del usuario.
Referencia:Soporte para aplicaciones web empresariales
Directivas de protección de aplicaciones Citrix Secure Private Access
Es común que se roben las credenciales de inicio de sesión de un usuario y, sin embargo, es posible que el usuario no lo sepa. Los ciberdelincuentes utilizan varias técnicas para capturar los datos de los usuarios finales, y una técnica común es el uso de malware keylogger para capturar los datos de los usuarios. Estos productos de malware se pueden instalar fácilmente en el equipo de un usuario e inmediatamente comienzan a intentar obtener información del usuario. La filtración de información del usuario puede provocar daños importantes a la organización y al usuario. Para superar este problema, la organización debe invertir mucho en la protección de los datos de los usuarios y crear un escudo defensivo contra los registradores de pulsaciones de teclado.
类似一个洛杉矶的键盘记录程序的儿子las aplicaciones问capturan capturas de pantalla. Estos programas maliciosos funcionan realizando capturas de pantalla del escritorio del usuario para capturar la información que se muestra en la pantalla.
Se pueden instalar varios tipos de software en el punto final del usuario para evitar la captura de imágenes del escritorio del usuario. Sin embargo, esto puede llevar a un rendimiento más lento del escritorio y el entorno del usuario.
Citrix Secure Private Access tiene directivas avanzadas para proteger los datos empresariales. La seguridad de los puntos finales es una consideración de seguridad importante para cualquier organización porque la mayoría de las infracciones se producen en el punto final del usuario. Las directivas de protección de aplicaciones son reglas que se aplican cuando se habilita una seguridad mejorada para una aplicación SaaS. Los clientes pueden usar dos directivas de seguridad avanzadas:
Protección contra el registro de tecleo
Protección contra capturas de pantalla
Las directivas de protección de aplicaciones de Citrix se habilitan mediante la solución Citrix Secure Private Access. Los beneficios son los siguientes:
- Protección contra el registro de teclas y la captura de pantalla
- Administración centralizada para administradores de Citrix
- 在dependiente de la postura de seguridad del dispositivo
Las directivas de protección de aplicaciones están integradas en la aplicación Citrix Workspace a partir de la versión 1912 para Windows, pero el administrador debe habilitar esta función.
Referencia:directivas de protección de aplicaciones
Proteja一个洛杉矶usuarios de la peligrosa navegacionpor Internet con Citrix Secure Browser
Los exploradores web son esenciales para un entorno de producción activo. Son herramientas poderosas y ricas en datos expuestas a Internet más que cualquier otra aplicación en el entorno laboral. Durante los últimos años, los ciberdelincuentes se han aprovechado de los exploradores web para obtener grandes cantidades de información de los usuarios, incluidos datos de tarjetas de crédito, identificaciones de correo electrónico y contraseñas almacenadas.
Los ataques basados en explorador se han vuelto frecuentes no porque sean objetivos de hackeo estratégicamente deseables, sino porque los ataques basados en explorador son difíciles de detectar. Los controles de seguridad convencionales no detectan estos ataques porque estas aplicaciones solo examinan los archivos descargados y los archivos adjuntos. Por lo tanto, los ataques basados en explorador tienden a pasar desapercibidos.
El servicio Citrix Secure Browser aísla la navegación web para proteger el entorno de producción del cliente de los ataques basados en el explorador. La aplicación Citrix Workspace o los exploradores locales son un punto de entrada al entorno de producción de Citrix. Citrix Secure Browser aísla la navegación por Internet para que el sitio web no transfiera directamente ningún dato de navegación hacia o desde el dispositivo del usuario. Al usar esto, los administradores de seguridad pueden ofrecer un acceso seguro a Internet sin reducir la seguridad empresarial.
El servicio Citrix Secure Browser es un producto SaaS administrado y operado por Citrix. Permite el acceso a aplicaciones web a través de un explorador web intermedio cuyo host está en la nube. Al usar el servicio Citrix Secure, los exploradores web alojados rastrean el historial de navegación de un usuario y almacenan en caché las solicitudes HTTP/HTTPS. Citrix usa perfiles obligatorios y se asegura de que, una vez finalizada la sesión de navegación, se borren los datos de esa sesión.
Se puede acceder al Secure Browser Service con un explorador web compatible con HTML5. No hay ningún cliente que los usuarios deban descargar. Todo el tráfico entre el explorador del usuario final y el servicio Citrix Cloud se cifra mediante el cifrado TLS estándar del sector y solo se admite TLS 1.2.
El diagrama anterior muestra la integración de la solución Citrix Secure Private Access, incluido el servicio Citrix Secure Browser para entornos Citrix en la nube y locales. Los clientes de Citrix Virtual Apps and Desktops con un StoreFront local pueden integrarse fácilmente con el Secure Browser Service.
Para obtener más información sobre la configuración de Citrix StoreFront con el Secure Browser Service, siga esteenlace.
Colaboración de contenido y Citrix Secure Private Access
La mayoría de las organizaciones han experimentado algún tipo de ransomware o intentos de phishing que han puesto en peligro su red. La causa principal de estas amenazas suele ser una protección inadecuada contra las amenazas basadas en la web. Hay una falta de visibilidad de los sitios web a los que acceden los usuarios en el día a día.
El servicio Citrix安全permite私人访问una organización proteger su entorno de los ataques basados en el explorador y las filtraciones de datos. Cuando los empleados acceden a sus aplicaciones desde cualquier dispositivo, ya sea en la oficina, en casa o de viaje, el servicio Citrix Secure Private Access proporciona una experiencia cohesiva que integra el SSO, la autenticación de dos factores, el acceso remoto y el filtrado web en una única solución para el acceso privado seguro de extremo a extremo.
Citrix Content Collaboration permite a los usuarios intercambiar documentos de forma fácil y segura. Hay muchas formas de trabajar con Citrix Content Collaboration, como una interfaz basada en web, clientes móviles, aplicaciones de escritorio e integración con Microsoft Outlook y Gmail.
Citrix Files es un administrador de archivos que ofrece almacenamiento y uso compartido de datos, configuración y uso personalizables, y herramientas que permiten a los usuarios colaborar más fácilmente y trabajar desde cualquier dispositivo, en cualquier momento y en cualquier lugar.
El diagrama anterior muestra la entrega de la aplicación SaaS de Citrix Files a un usuario final en un caso de modelo de nube híbrida. Citrix Cloud Connector proporciona un enlace a la cuenta de Citrix Cloud y la ubicación de recursos. La ubicación de recursos contiene Active Directory para los usuarios finales, lo que les permite iniciar sesión sin problemas en su aplicación web.
El servicio Citrix Gateway ofrece autenticación, inicio de sesión único y permite la entrega rápida y segura de aplicaciones Citrix Virtual y aplicaciones SaaS. Los usuarios finales inician sesión en el entorno de la empresa con sus credenciales de inicio de sesión y pueden iniciar sesión en aplicaciones web mediante el inicio de sesión único de SAML. En el servicio Citrix Gateway, los administradores pueden elegir la plantilla de la aplicación Web/SaaS o definir sus propios parámetros de aplicación. Por ejemplo:
Nombre de la aplicación:“Citrix Files”
在troduzca la URL:https://xxxxx.sharefile.com/
Del mismo modo, en la página SSO, los administradores pueden asegurarse de que SAML esté seleccionado, suponiendo que la configuración de SAML o SSO para Citrix Files ya se haya completado para el back-end.
La URL de aserción es:https://xxxxx.sharefile.com/saml/xxxx
Audiencia:https://xxxxx.sharefile.com
Formato del ID del nombre:Dirección de correo electrónico
ID del nombre:Correo electrónico
Una vez que se haya agregado la aplicación SaaS a la biblioteca de Citrix Cloud, el administrador debe administrar los suscriptores y proporcionar la URL de Workspace a los usuarios para que accedan. Con Active Directory, puede servir como proveedor de identidades para permitir el inicio de sesión único SAML en varias aplicaciones web y SaaS.
Control de contenido y acceso contextual
En la página Seguridad mejorada, el administrador puede establecer directivas para proteger a la organización de las filtraciones de datos confidenciales. Ofrece las siguientes opciones:
- acceso restringido al portapapeles
- impresión restringida
- navegación restringida
- descargas restringidas
- visualización de marcas de agua
Para bloquear sitios web no deseados que presentan riesgos de seguridad para las organizaciones, el administrador de Citrix debe bloquear y permitir las URL agregando listas de URL o eligiendo listas de categorías. El administrador también puede adoptar un enfoque prudente al redirigir las URL a través de un explorador seguro.
Comportamiento y actividades del usuario
Para supervisar el comportamiento y las actividades de los usuarios por parte de un administrador, el servicio Citrix Secure Private Access se integra fácilmente con el servicio Citrix Analytics. El administrador impone condiciones predefinidas y un plan de acción para mitigar los riesgos.
Citrix Secure Private Access y G Suite
G Suite (también conocido como Google Workspace) es un conjunto de aplicaciones SaaS a las que se puede acceder de forma remota a través de Internet. G Suite se conocía anteriormente como Google Apps, desarrollado por Google. G Suite se compone de Gmail, Hangouts y Calendar para la comunicación; Google Drive para el almacenamiento; Documentos, Hojas de cálculo, Presentaciones, Formularios y Sitios de Google para la colaboración. G Suite ofrece enormes ventajas de productividad, pero la mayoría de las redes no están diseñadas correctamente para ofrecer el rendimiento y la seguridad necesarios para los casos de uso de la nube y la movilidad.
Google Cloud y Citrix permiten a los usuarios finales acelerar las soluciones pioneras que ofrecen una seguridad mejorada con una excelente experiencia de usuario y la flexibilidad tan deseada en un mundo centrado en las aplicaciones, en el que los dispositivos móviles son lo primero y la nube híbrida.
G Suite, un conjunto de aplicaciones SaaS de productividad líderes del mercado, se puede integrar con Citrix Secure Private Access para permitir que la organización obtenga una mayor visibilidad y control de las aplicaciones SaaS, lo que a su vez evita las fugas de datos y la divulgación no autorizada de información confidencial.
Los usuarios finales pueden acceder a las aplicaciones de G Suite con solo introducir la URL y las credenciales de inicio de sesión mediante la aplicación Citrix Workspace. Los usuarios tendrán todo un espacio de trabajo que incluye aplicaciones, escritorios y archivos, teniendo en cuenta que los usuarios nunca tendrán que introducir otro nombre de usuario y contraseña. Todo el espacio de trabajo se entrega a través de un único punto de acceso que mejora la productividad y optimiza los flujos de trabajo comunes para el usuario final.
Citrix Secure Private Access no solo proporciona una función de inicio de sesión único, sino que también proporciona una capa de controles de seguridad que no están disponibles en otras soluciones.
Implementación
Los Citrix Cloud Connectors se utilizan para gestionar todas las comunicaciones entre las ubicaciones de recursos y Citrix Cloud. Para una alta disponibilidad, se implementan un mínimo de dos conectores en cada ubicación de recursos. Las ubicaciones de recursos se integran con Active Directory, lo que permite a los usuarios finales iniciar sesión sin problemas en sus aplicaciones de G Suite.
El servicio Citrix Gateway con Active Directory puede funcionar como proveedor de identidad para permitir el inicio de sesión único de SAML en las aplicaciones SaaS de G Suite. Citrix Secure Private Access permite a los usuarios finales iniciar aplicaciones SaaS de G Suite en sesiones de Secure Browser y también permite al administrador aplicar cinco directivas de control diferentes.
Caso 1:la seguridad mejorada está desactivada. Cuando un usuario inicia Gmail en G Suite, se abre en un explorador estándar. Del mismo modo, las URL que se abren en su cuenta de Gmail utilizan un explorador estándar sin directivas ni controles de seguridad adicionales. Un usuario tiene libertad para navegar desde la página, cortar, copiar e imprimir la página.
Caso 2:la seguridad mejorada está activada. Cuando un usuario inicia Gmail en G Suite, se abre en un explorador seguro. Ahora se aplica una capacidad de nivel de control a través de Citrix Secure Private Access y el usuario final no tiene una barra de navegación para salir del sitio. Además, se imponen restricciones de cortar, copiar y pegar. Además de esto, Citrix Secure Private Access proporciona funciones de filtrado de URL que evitan que los usuarios visiten sitios web maliciosos. Como alternativa, se puede redirigir a los usuarios a Secure Browser en función de las directivas.
Beneficios de usar Citrix Secure Private Access con aplicaciones SaaS de G Suite:
- Single Sign-On
- Autenticación multifactor
- Directivas de seguridad mejoradas para G Suite
- Directivas de filtrado web para G Suite
- Visibilidad y análisis integrales
Conceptos avanzados
Diseño de referencia validado de SaaS y O365 Cloud de Citrix Gateway
Diseño de referencia validado de SSO del servicio Citrix Gateway con Secure Private Access
Resumen
Citrix Secure Private Access es una solución consolidada para un espacio de trabajo digital seguro. La mayoría de las organizaciones están adoptando aplicaciones SaaS y web a medida que el espacio de trabajo digital está cambiando. La implementación de una solución de colaboración mejoraría significativamente la seguridad y proporcionaría beneficios para las empresas, las pequeñas empresas y los proveedores de SaaS, al brindar la confianza de que sus datos están protegidos.
La idea de proteger únicamente una red ya no es suficiente. La organización debe proteger a los usuarios y las aplicaciones. Por eso Citrix Secure Private Access ofrece:
- y aplic Acceso consolidado SaaS,网络aciones virtuales
- Experiencia de usuario final consistente y flexibilidad para usar cualquier dispositivo de punto final
- Visibilidad del tráfico de aplicaciones y detección de amenazas mediante servicios analíticos que ayudan a controlar en la aplicación las aplicaciones SaaS más allá de Single Sign-On
Fuentes
El objetivo de esta arquitectura de referencia es ayudarle a planificar su propia implementación. Para facilitar su trabajo, nos gustaría proporcionarle diagramas fuente que puede aplicar en sus propios diseños detallados y guías de implementación:diagramas fuente.
Referencias
En este artículo
- Destinatarios
- Objetivo del presente documento
- Controles de seguridad y mitigación
- Citrix Secure Private Access
- ¿Por qué usar Citrix Secure Private Access?
- Citrix Secure Private Access y Citrix Cloud
- Gestión de identidades y accesos
- Citrix Secure Private Access con seguridad mejorada para aplicaciones SaaS
- 在icio de sesión único de Citrix Secure Private Access sin seguridad mejorada
- Acceso privado seguro: inicio de sesión único con seguridad mejorada
- Acceso contextual
- Descripción general del filtrado web
- Citrix Secure Private Access y Citrix Analytics
- Experiencia de usuario final de Citrix Secure Private Access
- Implementación de Citrix Secure Private Access
- Casos de uso de Citrix Secure Private Access
- Solución Citrix Secure Private Access para aplicaciones web empresariales
- 在icio de sesión único de Citrix Secure Private Access para aplicaciones web
- Directivas de protección de aplicaciones Citrix Secure Private Access
- Proteja一个洛杉矶usuarios de la peligrosa navegacionpor Internet con Citrix Secure Browser
- Colaboración de contenido y Citrix Secure Private Access
- Citrix Secure Private Access y G Suite
- Conceptos avanzados
- Resumen
- Fuentes
- Referencias