Arquitectura de referencia: acceso privado seguro
Audiencia
Este documento es para profesionales técnicos de Citrix, responsables de la toma de decisiones de TI, socios y consultores de seguridad que deseen explorar y adoptar el servicio Citrix Cloud de Secure Private Access. El lector debe tener una comprensión básica de los productos Citrix, la seguridad y los entornos Citrix Cloud. Para obtener más información sobre Citrix Cloud y sus servicios, consulte la documentación oficial del producto deCitrix Cloud.
Objetivo del presente documento
Este documento proporciona una descripción técnica y una arquitectura de Citrix Secure Private Access que proporciona acceso condicional a las aplicaciones en la nube y la navegación por Internet, lo que mejora la postura general de seguridad y cumplimiento de la organización. Citrix Secure Private Access combina elementos de varios servicios de Citrix Cloud para ofrecer una experiencia integrada para los usuarios finales y los administradores.
El documento guía a los administradores a ofrecer un espacio de trabajo digital seguro con una solución consolidada mediante Citrix Secure Private Access integrado con varios servicios de Citrix Cloud, incluidos el servicio Citrix Gateway y el servicio Remote Browser Isolation. Para supervisar el comportamiento y la actividad de los usuarios, Citrix Secure Private Access se integra con el servicio Citrix Analytics.
Controles de seguridad y mitigación
En el mundo empresarial actual, los datos de los usuarios son uno de los productos más preciados, y las organizaciones siguen encontrando más valor en ellos. La mayoría de las violaciones que ocurren en las organizaciones se deben a controles de seguridad inadecuados, privilegios excesivos otorgados a los usuarios internos y una dependencia excesiva de los controles de seguridad basados en la red. Lamentablemente, muchas empresas no han adoptado realmente un enfoque seguro en profundidad para fortalecer su entorno.
Muchos departamentos de TI de las organizaciones no tienen una solución para controlar el acceso a los usuarios que acceden a un número cada vez mayor de aplicaciones SaaS empresariales. Además de los riesgos de seguridad que plantea la posibilidad de que los datos corporativos interactúen con aplicaciones SaaS no administradas, la productividad del usuario se pierde debido al inicio de sesión en varias aplicaciones. Además, tener que recordar varias contraseñas a menudo puede provocar malos hábitos de contraseña, como el uso de la misma contraseña para varios sitios.
Navegar por Internet supone otro riesgo para las empresas de hoy. Según los expertos en seguridad, la mayoría de los ataques aprovechan las vulnerabilidades de sitios web, exploradores y complementos de explorador. En respuesta, algunas organizaciones incluso prohíben por completo la navegación por Internet, lo que puede afectar gravemente la productividad.
Algunas aplicaciones web y SaaS requieren una determinada versión del explorador o complemento para funcionar correctamente. En el cambiante panorama de los exploradores, garantizar la usabilidad de las aplicaciones web y SaaS corporativas supone rápidamente una tarea de soporte que requiere muchos recursos.
Muchos departamentos de TI no tienen una estrategia completamente definida para administrar las aplicaciones SaaS, lo que genera importantes riesgos de seguridad y cumplimiento. Otros tienen un enfoque fragmentado que puede dar lugar a soluciones puntuales múltiples, como:
Implementación de una solución de inicio de sesión único:esta solución ayuda a optimizar la experiencia del usuario y puede incluir autenticación multifactor, pero estas soluciones normalmente no tienen controles de directivas granulares en las aplicaciones una vez que los usuarios inician sesión.
Implementación de filtros web para controlar o cerrar la navegación externa:esta solución ayuda a los usuarios a protegerse de las visitas a sitios web maliciosos. Sin embargo, muchas funciones no llegan a las directivas de seguridad para las aplicaciones SaaS, lo que lleva a muchos clientes a implementar varias soluciones además de una puerta de enlace web.
Publicar exploradores para cada aplicación SaaS:la publicación de un explorador web con Citrix Virtual Apps and Desktops es un método probado en el tiempo para controlar el acceso a aplicaciones SaaS no autorizadas. Sin embargo, sí que requiere otro recurso de TI para administrarlo y no es la misma experiencia de usuario que conectarse directamente a una aplicación SaaS a través de un explorador.
Ceder la administración de las aplicaciones SaaS al control departamental dentro de la empresa:este enfoque abre brechas de seguridad y cumplimiento, y pierde oportunidades de comprender el comportamiento de los usuarios y el uso de las aplicaciones; sin embargo, a menudo es la estrategia predeterminada de TI cuando se enfrentan a recursos limitados.
Citrix ha ideado una forma mejor de proteger el acceso a aplicaciones web y SaaS sancionadas con un enfoque centrado en el usuario, en lugar de las formas tradicionales que no tienen en cuenta la seguridad. Citrix Workspace proporciona acceso contextual y seguro a aplicaciones y escritorios SaaS, web y virtuales, reduce la exposición a amenazas internas y externas, asegura la colaboración de contenido y proporciona análisis del comportamiento de los usuarios e información proactiva sobre seguridad.
El diagrama anterior ilustra el entorno tradicional de Citrix en el que los puntos finales se conectan a través de Citrix ADC para acceder a sus recursos. Se accede a estos recursos, incluidos aplicaciones, escritorios y datos, desde las instalaciones y se accede a algunos de los recursos externos a través de Internet, incluidas las aplicaciones basadas en SaaS. Los usuarios acceden a estos recursos externos de forma segura mediante Secure Gateway y los servicios de filtrado web.
La aplicación Workspace es un único punto de entrada para acceder a los recursos desde cualquier dispositivo. Proporciona una funcionalidad única a los usuarios finales con una seguridad mejorada mediante el uso de un explorador web empresarial. Un motor de red dentro de la aplicación Workspace optimiza el tráfico de red y proporciona una VPN con SSL además de las capacidades de Micro VPN para ciertas aplicaciones. Los usuarios finales se conectan a través de Citrix ADC, que proporciona funciones de administración de acceso e identidad.
La监督de seguridad proporciona监督。n del comportamiento del usuario final y detección de amenazas dentro de la red. La seguridad de los datos incluye DLP e IRM para mantener el control de los datos cuando los usuarios trabajan con archivos o los comparten. Los servicios de filtrado web de Citrix Cloud, Citrix Analytics y Citrix Gateway ofrecen una solución consolidada para ofrecer un espacio de trabajo digital seguro a los usuarios finales.
Citrix Secure Private Access
CitrixSecure Private Accesscombina las capacidades del acceso seguro e instantáneo a aplicaciones web y SaaS mediante el inicio de sesión único (SSO), junto con controles de aplicaciones basadas en explorador y en la nube, directivas de filtrado web y análisis integrados del comportamiento de los usuarios. Citrix Secure Private Access va más allá de las capacidades tradicionales de SSO al introducir elcontrol de aplicaciones en la nube, un conjunto de controles de seguridad mejorados para aplicaciones web empresariales y SaaS que proporcionan acceso condicional a las aplicaciones en la nube y protegen las acciones de los usuarios en función de directivas de acceso gobernadas por el administrador. Esta solución mejora la postura general de seguridad y cumplimiento de la organización. La experiencia del usuario sigue siendo perfecta e integrada porque se puede acceder a las aplicaciones web y SaaS junto con sus aplicaciones móviles, aplicaciones virtuales y escritorios como parte integrada de Citrix Workspace.
Citrix Secure Private Access combina elementos de varios servicios de Citrix Cloud para ofrecer una experiencia integrada para los usuarios finales y los administradores.
| Funcionalidad | Servicio/componente que proporciona la funcionalidad |
|---|---|
| IU coherente para acceder a las aplicaciones | Aplicación Workspace Experience/WS |
| SSO a aplicaciones SaaS y web | Estándar de servicio Citrix Gateway |
| Filtrado y categorización web | Servicio de filtrado web |
| Directivas de seguridad mejoradas para SaaS | Control de aplicaciones de nube |
| Navegación segura | Remote Browser Isolation Service |
| Visibilidad del acceso al sitio web y comportamiento de riesgo | Citrix Analytics |
¿Por qué usar Citrix Secure Private Access?
La seguridad de los datos se caracteriza por la necesidad de garantizar la integridad de los datos, la confidencialidad y proteger la propiedad intelectual de la empresa. Hoy en día, las organizaciones enfrentan varios desafíos, tales como
- Múltiples productos puntuales que son difíciles de administrar y que tienen diferentes infraestructuras de directivas
- Proporcionar acceso remoto seguro a los usuarios finales para acceder a la información de la empresa
- Proteger la propiedad intelectual almacenada en la nube y las aplicaciones SaaS sin dejar de cumplir
- Obtención de visibilidad en la nube y las aplicaciones SaaS después de SSO y obtención de evaluaciones de riesgos
Citrix安全的私人访问洛杉矶administr效果adores de TI y seguridad a controlar el acceso autorizado de los usuarios finales a las aplicaciones web alojadas en empresas y SaaS sancionadas. Las identidades y los atributos de los usuarios se utilizan para determinar los privilegios de acceso y las directivas de acceso privado seguro determinan los privilegios necesarios para realizar operaciones.
La integración de Citrix Secure Private Access ofrece varios beneficios:
Experiencia de usuario perfecta con inicio de sesión único en aplicaciones alojadas y SaaS:Esta prestación viene a través de una combinación de la aplicación Workspace y Gateway Service.
Mayor control de TI con entrega y acceso organizados para aplicaciones SaaS:Proporciona a TI una forma de asignar fácilmente aplicaciones SaaS a los miembros de sus trabajadores.
Seguridad mejorada con controles de directivas para el uso de SaaS:Se denomina control de aplicaciones en la nube, una nueva prestación que proporciona a TI una forma de aplicar directivas de seguridad en las aplicaciones SaaS que proporcionan a los empleados.
Flexibilidad para permitir el acceso controlado al contenido público de Internet o a aplicaciones SaaS desconocidas sin sacrificar la seguridad:Esta prestación se obtiene mediante una combinación de Remote Browser Isolation Service y la funcionalidad de filtrado web, de modo que los sitios web pueden incluirse en la lista de permitidos o de prohibidos, o bien mostrarse en un navegador aislado.
Visibilidad del uso de SaaS y la actividad web de los usuarios:Esta prestación proporciona un subconjunto de Citrix Analytics para la actividad de SaaS y web para proporcionar más visibilidad para la seguridad y el cumplimiento.
Citrix Secure Private Access y Citrix Cloud
Citrix Secure Private Access es uno de los servicios que ofrece Citrix Cloud. Para acceder a estos servicios, un administrador debe tener una cuenta de Citrix (también conocida como cuenta de Citrix.com o Mi Citrix) para administrar las licencias y acceder al entorno.
Una cuenta de Citrix usa un ID de organización (OrgID) como identificador único. El administrador puede acceder a su cuenta de Citrix iniciando sesión encitrix.comcon el nombre de usuario o la dirección de correo electrónico vinculados a la cuenta. Inicialmente, Citrix Cloud redirige ahttps://citrix.cloud.compara crear una cuenta o iniciar sesión con una cuenta de Citrix existente para activar una prueba de servicios en la nube.
Una东西德Citrix云permite洛administradores tener un amplio acceso administrativo a los servicios, por lo que Citrix exige que el primer administrador que cree la cuenta de Citrix Cloud dé acceso explícito a otros administradores según sea necesario, incluso si el otro administrador ya es miembro de la cuenta MyCitrix existente.
Citrix Secure Private Access es una solución que se muestra como un mosaico en la consola de Citrix Cloud e incluye la integración entre los servicios Citrix Gateway, Web Filtering, Remote Isolation y Citrix Analytics.
Acceso privado seguro:el servicio Citrix Secure Private Access proporciona una experiencia unificada que integra el inicio de sesión único, el acceso remoto y la inspección de contenido en una única solución para el acceso privado seguro de extremo a extremo.
Citrix Secure Private Access proporciona las siguientes funciones a los administradores:
- Configurar la autenticación multifactor para los usuarios finales
- Configurar un espacio de trabajo para proporcionar acceso seguro a las aplicaciones desde cualquier dispositivo, administrar y agregar aplicaciones SaaS desde la biblioteca
- Configure el filtrado web para permitir o bloquear sitios web a los usuarios finales y redirigirlos al servicio Citrix Remote Browser Isolation
Analytics:Citrix Analytics recopila datos en toda la cartera de productos de Citrix y genera información útil, lo que permite a los administradores gestionar de forma proactiva las amenazas de seguridad de usuarios y aplicaciones, mejorar el rendimiento de las aplicaciones y admitir operaciones continuas. Citrix Analytics recopila datos y proporciona la siguiente información:
- Security Analytics
- Performance Analytics
- Operations Analytics
Gateway:el servicio Citrix Gateway proporciona una solución de acceso remoto seguro, una experiencia de usuario unificada para aplicaciones SaaS configuradas, aplicaciones virtuales heterogéneas y escritorios. La entrega de aplicaciones SaaS mediante el servicio Citrix Gateway proporciona una solución fácil, segura, sólida y escalable para administrar las aplicaciones. Las aplicaciones SaaS suministradas en la nube tienen las siguientes ventajas:
- Configuración simple: fácil de operar, actualizar y consumir
- Inicio de sesión único: inicio de sesión sin complicaciones con SSO
- Plantilla estándar para diferentes aplicaciones: configuración basada en plantillas de aplicaciones populares
Remote Browser Isolation:Citrix Remote Browser Isolation Service aísla la navegación web para proteger la red corporativa de los ataques por explorador web. Ofrece acceso remoto seguro y uniforme a una aplicación web alojada en Internet sin necesidad de configurar el dispositivo del usuario.
Los administradores pueden implementar rápidamente exploradores web remotos seguros, lo que proporciona una rentabilidad instantánea. Al aislar la navegación por Internet, los administradores de TI pueden ofrecer a los usuarios finales un acceso seguro a Internet sin comprometer la seguridad empresarial.
Gestión de identidades y accesos
En la sección Administración de acceso e identidad, se definen las cuentas y los proveedores de identidades utilizados para los administradores y los suscriptores de Citrix Cloud y sus ofertas. Citrix Cloud utiliza el proveedor de identidad de Citrix para administrar la información de identidad de los usuarios de la cuenta de Citrix Cloud. El administrador tiene la opción de integrar Azure Active Directory o un servicio de Active Directory local.
Para realizar actividades de administración e instalar el Connector Appliance (o Cloud Connector) en Citrix Cloud, los administradores de Citrix utilizan su identidad para acceder a Citrix Cloud. Este mecanismo de identidad proporciona autenticación a los administradores mediante una dirección de correo electrónico y una contraseña. Además, los administradores pueden usar las credenciales de My Citrix para iniciar sesión en Citrix Cloud.
La identidad de un suscriptor define los servicios a los que ese suscriptor tiene acceso en Citrix Cloud. La identidad proviene de las cuentas de dominio de Active Directory proporcionadas desde los dominios dentro de la ubicación del recurso. Los suscriptores pueden autorizar el acceso a la oferta desde Citrix Cloud asignando un suscriptor a una oferta de biblioteca.
La comunicación local de Active Directory con Citrix Cloud se realiza a través del dispositivo Citrix Connector (o Cloud Connectors) de alta disponibilidad. Las organizaciones que optan por usar el servicio Azure Active Directory tienen más flexibilidad en términos de administración de cuentas de usuario, control de auditoría y directivas de contraseñas. Además, el administrador puede configurar la autenticación multifactor para un mayor nivel de seguridad.
Citrix Secure Private Access con seguridad mejorada para aplicaciones SaaS
Citrix Cloud ofrece la capacidad de inicio de sesión único (SSO) a las aplicaciones SaaS a través del servicio Citrix Gateway. El SSO ofrece una experiencia de usuario unificada para el SSO de aplicaciones SaaS basadas en web y la publicación en la interfaz de usuario de la experiencia de Citrix Workspace. Para permitir una experiencia de usuario de inicio de sesión único, una aplicación SaaS confía en la aserción SAML proporcionada por el servicio Citrix Gateway.
El proceso de habilitar el inicio de sesión único en las aplicaciones SaaS ahora se simplifica a unos pocos formularios web y al hacer clic en la página de configuración. El Connector Appliance proporciona un proxy al acceso a la aplicación SaaS interna basada en la web para el usuario de la aplicación Workspace.
Referencia:Connector Appliance
Control de contenido
Proteger los datos del usuario (usuarios de aplicaciones SaaS) es una tarea difícil para la mayoría de las organizaciones. Al usar Citrix Secure Private Access, las organizaciones pueden incorporar directivas de seguridad mejoradas en las aplicaciones SaaS. Cada directiva impone una restricción en el explorador web empresarial cuando se usa la aplicación Workspace para escritorio, o en el explorador web remoto seguro cuando se usa la aplicación Workspace para web o móvil.
- Explorador web preferido:Inhabilita el uso del explorador web local y se basa en el explorador web empresarial (aplicación Workspace, de escritorio) o en Remote Browser Isolation Service (aplicación Workspace, móvil y web)
- Restringir el acceso al portapapeles:Inhabilita las operaciones de cortar/copiar/pegar entre la aplicación y el portapapeles del dispositivo de punto final
- Restringir la impresión:Inhabilita la capacidad de imprimir desde el explorador de la aplicación
- Restringir navegación:Inhabilita los botones del explorador siguiente/atrás
- Restringir descargas:Inhabilita la capacidad del usuario de descargar desde la aplicación SaaS
- Mostrar marca de agua:Superpone una marca de agua basada en pantalla que muestra el nombre de usuario y la dirección IP del punto final. Si un usuario intenta imprimir o tomar una captura de pantalla, la marca de agua aparece como se muestra en la pantalla
Inicio de sesión único de Citrix Secure Private Access sin seguridad mejorada
| SL NO | Aplicación Workspace con aplicación SaaS sancionada | Explorador web local con aplicación SaaS sancionada |
|---|---|---|
| 1 | El usuario inicia la aplicación Workspace en el endpoint. | El usuario inicia un explorador web en el extremo, se conecta a Workspace y se autentica mediante Active Directory local o Azure Active Directory. |
| 2 | La aplicación Workspace se conecta al espacio de trabajo y se autentica mediante Active Directory o Azure Active Directory local. | El explorador local se rellena con recursos aprobados. |
| 3 | La aplicación Workspace se rellena con recursos aprobados. | Cuando el usuario selecciona una aplicación SaaS, el explorador local envía la solicitud a Workspace, que solicita una URL de un solo uso y reenvía el explorador al servicio Gateway. |
| 4 | La aplicacion工作区envia La solicitud作品pace, que solicita una URL de uso único del servicio Gateway y un explorador preferido. | El explorador local inicia una conexión con el servicio Gateway. |
| 5 | El explorador local inicia una conexión con el servicio Gateway. | El servicio Gateway solicita una afirmación del microservicio de inicio de sesión único. |
| 6 | El servicio Gateway solicita una afirmación del microservicio de inicio de sesión único. | El explorador local se redirige a la página de inicio de sesión de la aplicación SaaS donde se presenta la aserción. |
| 7 | El explorador local se redirige a la página de inicio de sesión de la aplicación SaaS donde se presenta la aserción. | La aplicación SaaS se pone en contacto con el servicio Gateway para validar la aserción y autenticar al usuario. |
| 8 | La aplicación SaaS se pone en contacto con el servicio Gateway para validar la aserción y autenticar al usuario. | Una vez autenticado, la comunicación se produce directamente entre el explorador y la aplicación SaaS. |
| 9 | Una vez autenticado, la comunicación se produce directamente entre el explorador y la aplicación SaaS. |
Acceso privado seguro: inicio de sesión único con seguridad mejorada
| SL NO | Aplicación Workspace con aplicación SaaS sancionada | Explorador web local con aplicación SaaS sancionada |
|---|---|---|
| 1 | El usuario inicia la aplicación Workspace en el endpoint. | El usuario inicia un explorador web en el punto final, se conecta a Workspace y se autentica mediante Active Directory local o Azure Active Directory. |
| 2 | La aplicación Workspace se conecta al espacio de trabajo y se autentica mediante Active Directory o Azure Active Directory local. | El explorador local se rellena con recursos aprobados. |
| 3 | La aplicación Workspace se rellena con recursos aprobados. | Cuando el usuario selecciona una aplicación SaaS, el explorador web local envía la solicitud a Workspace, que solicita una URL de uso único y redirige el explorador web a Remote Browser Isolation Service. |
| 4 | La aplicacion工作区envia La solicitud作品pace, que solicita una URL de un solo uso del servicio Gateway. | El explorador web local inicia una conexión segura con el explorador web remoto. |
| 5 | El explorador web empresarial inicia una conexión a Gateway Service. | El explorador web remoto seguro inicia una conexión con Gateway Service. |
| 6 | El servicio Gateway solicita una afirmación del microservicio de inicio de sesión único y directivas de seguridad mejoradas del servicio Secure Private Access. | El servicio Gateway solicita una afirmación del microservicio SSO y directivas de seguridad mejoradas del servicio Secure Private Access. |
| 7 | El explorador web empresarial se redirige a la página de inicio de sesión de la aplicación SaaS donde se presenta la afirmación. | Secure Remote Browser se redirige a la página de inicio de sesión de la aplicación SaaS, donde se presenta la afirmación. |
| 8 | La aplicación SaaS se pone en contacto con el servicio Gateway para validar la aserción y autenticar al usuario. | La aplicación SaaS se pone en contacto con el servicio Gateway para validar la aserción y autenticar al usuario. |
| 9 | Una vez autenticada, la comunicación se produce directamente entre el explorador y la aplicación SaaS. | Una vez autenticada, la comunicación se produce directamente entre el explorador y la aplicación SaaS. |
Referencia:informe técnico de Citrix Secure Private Access
Acceso contextual
La mayoría de las aplicaciones SaaS son seguras de usar, aunque a veces, cuando un usuario hace clic en un hipervínculo dentro de una aplicación SaaS, puede suponer un riesgo de seguridad para una organización. El microservicio de filtrado web permite, deniega o redirige la solicitud de hipervínculo del usuario.
| SL NO | Aplicación Workspace con seguridad mejorada | Explorador local con seguridad mejorada |
|---|---|---|
| 1 | El usuario selecciona un hipervínculo desde la aplicación SaaS. | El usuario selecciona un hipervínculo desde la aplicación SaaS. |
| 2 | El explorador web empresarial de la aplicación Workspace envía la URL a Secure Private Access Service. | Secure Remote Browser envía la URL al servicio Secure Private Access. |
| 3 | El servicio Secure Private Access solicita un análisis de la URL por parte del microservicio de filtrado web. | El servicio Secure Private Access solicita un análisis de la URL por parte del microservicio de filtrado web. |
| 4 | Para los enlaces bloqueados, el microservicio de filtrado web deniega el acceso al hipervínculo. | Para los enlaces bloqueados, el microservicio de filtrado web deniega el acceso al hipervínculo. |
| 5 | 帕洛捆扎aprobados el microservicio de filtrado web permite al usuario acceder al enlace con el explorador web empresarial. | En el caso de los enlaces aprobados, el microservicio de filtrado web permite al usuario acceder al enlace como una nueva ficha dentro de su sesión actual de Remote Browser Isolation Service. |
| 6 | Para los enlaces redirigidos, el microservicio de filtrado web hace que una aplicación de Workspace envíe el enlace a Remote Browser Isolation Service, que inicia una nueva sesión de explorador web virtual para el usuario final. | En el caso de los enlaces redirigidos, el microservicio de filtrado web permite al usuario acceder al enlace como una nueva ficha dentro de su sesión actual de Remote Browser Isolation Service. |
Descripción general del filtrado web
El filtrado web proporciona un control basado en directivas de sitios web mediante el uso de la información contenida en las direcciones URL. Esta función ayuda a los administradores de red a supervisar y controlar el acceso de los usuarios a sitios web maliciosos de la red.
Esta versión de servicio permite el filtrado web para que la aplicación Citrix Workspace acceda a las aplicaciones SaaS e Internet, y Citrix Remote Browser Isolation acceda a las aplicaciones SaaS e Internet.
El administrador de Citrix Secure Private Access puede bloquear y permitir una lista de URL. El controlador de filtrado web utiliza una base de datos de categorización y una lista de URL. Cuando la solicitud llega al Controller de filtrado web, primero comprueba la lista global de permitidos, que también contiene las URL críticas de Citrix Cloud. Luego, pasa a Listas y categorización y comprueba si las URL están bloqueadas, permitidas y redirigidas a Remote Browser Isolation. Si ninguna de las URL coincide, por defecto vuelve a la lista predeterminada.
Citrix Secure Private Access y Citrix Analytics
El servicio Citrix Analytics es un servicio basado en la nube que facilita información pragmática mediante la recopilación de datos en toda la gama de productos de Citrix. Citrix Secure Private Access organiza y produce información sobre las actividades de los usuarios, como los sitios web visitados y el ancho de banda gastado. Citrix Secure Private Access también supervisa los sitios de malware y phishing analizando el consumo de ancho de banda e informando al respecto. El administrador puede tomar medidas correctivas al aprovechar estas métricas clave para monitorear la red.
Citrix分析se integra facilmente con CitrixSecure Private Access, el servicio Citrix Gateway y otros productos de la cartera de Citrix. Citrix Analytics proporciona información completa sobre el comportamiento de los usuarios. Utiliza algoritmos de aprendizaje automático para detectar comportamientos anómalos de los usuarios, solucionar problemas en las sesiones de los usuarios y ver las métricas operativas de los usuarios de una organización que usa productos Citrix.
Los servicios y productos de Citrix envían datos a Citrix Analytics, que se denominan fuentes de datos. El servicio Citrix Analytics detecta las fuentes de datos asociadas a la cuenta de Citrix Cloud. Los registros de Citrix Cloud se transmiten de forma segura a Citrix Analytics. Los registros se recopilan de Citrix Secure Private Access y se mantienen por separado de las fuentes de datos.
El servicio Citrix ofrece pa安全的私人访问neles de seguridad y operaciones. El panel de seguridad proporciona perfiles de riesgo de los usuarios y un resumen de la actividad de acceso de los usuarios, como la URL o el dominio visitado y el ancho de banda utilizado. El acceso a aplicaciones resume los detalles de dominios, direcciones URL y aplicaciones a las que acceden los usuarios.
Referencia:Análisis y Citrix Secure Private Access
Los administradores de Citrix pueden crear reglas en Citrix Analytics para realizar acciones en cuentas de usuario cuando se producen actividades inusuales o sospechosas. Una regla es un conjunto de condiciones que deben cumplirse para que se ejecute una acción. Una regla puede contener una sola condición y una o más acciones. Condiciones como la “puntuación de riesgo” y el “cambio en la puntuación de riesgo” son condiciones globales. Las condiciones globales se pueden aplicar a un usuario específico para un origen de datos específico.
El administrador crea una regla basada en la actividad del usuario mediante la aplicación de condiciones que se enumeran a continuación:
- Intento de acceder a una URL incluida en la lista de bloqueadosIndica un intento de acceso a una URL incluida en la lista de bloqueados.
- Acceso arriesgado al sitio webIndica que el usuario intentó acceder a sitios web maliciosos, sospechosos o arriesgados.
- Volumen de descargas inusualIndica que el volumen de datos descargados por el usuario desde aplicaciones o sitios web ha superado el umbral definido implícitamente por Citrix Analytics.
- Volumen de carga inusual籼稻,el羊皮纸书卷de拿督cargado穷el都会rio desde aplicaciones o sitios web ha superado el umbral definido implícitamente por Citrix Analytics.
Referencia:Análisis y acceso privado seguro
Experiencia de usuario final de Citrix Secure Private Access
El administrador de Citrix如果la facultad depliar el control de seguridad con la ayuda de Citrix Secure Private Access. La aplicación Citrix Workspace es un punto de entrada para acceder a todos los recursos de forma segura, los usuarios finales pueden acceder a aplicaciones virtuales, escritorios, aplicaciones SaaS y archivos a través de la aplicación Citrix Workspace. Con Citrix Secure Private Access, los administradores pueden controlar cómo el usuario final puede acceder a una aplicación SaaS a través de la interfaz de usuario web de Citrix Workspace Experience o el cliente nativo de la aplicación Citrix Workspace.
Para obtener más información, consulte laarquitectura de referenciade la aplicación Citrix Workspace.
Experiencia del usuario final con la aplicación Workspace y el portal web
Cuando el usuario inicia la aplicación Workspace en el endpoint, ve sus aplicaciones, escritorios, archivos y aplicaciones SaaS. Si un usuario hace clic en la aplicación SaaS cuando la seguridad mejorada está desactivada, la aplicación se abre en un explorador estándar que está instalado localmente. Si el administrador ha activado la seguridad mejorada, las aplicaciones SaaS se abren en el explorador web empresarial dentro de la aplicación Workspace. La accesibilidad a los hipervínculos dentro de las aplicaciones SaaS y las aplicaciones web se controla en función de las directivas de filtrado web.
Del mismo modo, con el portal web de Workspace, cuando se mejora la seguridad, se desactivan las aplicaciones SaaS se abren a través de un explorador estándar que se instala de forma nativa. Cuando se activa la seguridad mejorada, las aplicaciones SaaS se abren a través del explorador web remoto seguro. Los usuarios pueden acceder a los sitios web dentro de las aplicaciones SaaS basadas en directivas de filtrado web.
Implementación de Citrix Secure Private Access
El servicio Citrix Secure Private Access es un servicio basado en la nube. Para ofrecer soluciones centradas en el usuario a las organizaciones y cumplir con las directivas, Citrix Secure Private Access desempeña un papel vital. Junto con Citrix Secure Private Access, hay otros servicios que están habilitados para ofrecer soluciones consolidadas a los usuarios finales. Para empezar a incorporar y configurar el servicio Citrix Secure Private Access, el administrador debe configurar la autenticación, configurar el acceso a las aplicaciones SaaS y especificar la configuración de acceso al contenido en el servicio Citrix Secure Private Access. Los usuarios finales pueden acceder al servicio desde la aplicación Citrix Workspace o la URL de Workspace.
El administrador de Citrix inicia sesión en Citrix Cloud con sus credenciales y solicita el servicio Citrix Secure Private Access. Citrix Secure Private Access está integrado con otros productos de la cartera de productos de Citrix, como Citrix Gateway, Remote Browser Isolation y Citrix Analytics. Esta solución ofrece seguridad para aplicaciones SaaS.
Paso 1:El administrador de Citrix configura la administración de acceso e identidad en Citrix Cloud. De forma predeterminada, Citrix Cloud usa el proveedor de identidades de Citrix para administrar la información de identidad de todos los usuarios de la cuenta de Citrix Cloud. El administrador tiene flexibilidad para cambiar y usar Azure Active Directory o un servicio de Active Directory local.
Paso 2:El administrador de Citrix inicia sesión en el servicio Citrix Gateway para configurar el inicio de sesión único para aplicaciones web y SaaS. El servicio Citrix Gateway ofrece un inicio de sesión seguro en el entorno de la empresa, en el que los usuarios finales inician sesión en las aplicaciones mediante el inicio de sesión único de SAML.
Agregue una aplicación web o SaaS a la biblioteca desde la plantilla. Para obtener más información sobre una lista de aplicaciones SaaS compatibles con Citrix Secure Private Access, consulteAplicaciones SaaS compatibles con el servicio Citrix Secure Private Access
Paso 3:El administrador introduce los detalles de la aplicación, como el nombre de la aplicación, la URL y los detalles del dominio. Se pueden habilitar directivas de seguridad mejoradas para evitar fugas de datos. Estas directivas de las aplicaciones SaaS imponen restricciones en el explorador web empresarial cuando se usa una aplicación Workspace para escritorio o en un explorador web remoto seguro cuando se usa la aplicación Workspace web o móvil.
Paso 4:Habilitar el inicio de sesión único para aplicaciones web/SaaS:el servicio Citrix Gateway (solo servicios en la nube) proporciona inicio de sesión único para las aplicaciones SaaS. La habilitación del inicio de sesión único para aplicaciones SaaS ahora se simplifica a unos pocos formularios web y al hacer clic en la página de configuración, lo que simplifica enormemente el proceso de implementación. Los administradores pueden aplicar el Connector Appliance para hacer de intermediario en el acceso a la aplicación SaaS interna basada en la web al usuario externo de la aplicación Workspace.
En la secciónBibliotecade Citrix Cloud, se publican SaaS y aplicaciones web. El administrador debe agregar usuarios después de elegir el dominio y solo los usuarios suscritos pueden acceder a la aplicación a través de la aplicación Workspace o la web de Workspace.
Paso 5:Filtrar listas de sitios web:para proteger la red corporativa de los ataques basados en explorador, Citrix Secure Private Access incluye un servicio de filtrado web. Según las directivas, el servicio de filtrado web permite, deniega o redirige la solicitud de hipervínculo del usuario según lo definido:
Permitido:El enlace de solicitud se considera seguro y se permite el acceso desde el explorador web empresarial de la aplicación Workspace.
Bloqueado:El hipervínculo se considera peligroso y se deniega el acceso.
Redirigido:El administrador toma precauciones en los sitios web que presentan amenazas de seguridad al redirigirlos a través de Remote Browser Isolation Service.
Paso 6:Filtrar categorías de sitios web. La base de datos de categorización ayuda a filtrar el tráfico web controlando el acceso de los usuarios finales a sitios web específicos, como las redes sociales, los juegos de azar, el contenido para adultos, los nuevos medios y las compras. Las categorías restringen el acceso de los usuarios a sitios Web específicos y a categorías de sitio web.
| Los ajustes preestablecidos de categorización proporcionan prácticas plantillas listas para usar | |
|---|---|
| Estricto | Minimiza el riesgo de acceder a sitios web no seguros o maliciosos. Los usuarios finales no pierden el acceso a sitios web que presenten un riesgo bajo. Incluye la mayoría de los sitios web de viajes de negocios y redes sociales. (133/192 categorías) |
| Moderado | Minimiza el riesgo al tiempo que permite otras categorías con una baja probabilidad de exposición de sitios no seguros o maliciosos. Incluye la mayoría de los sitios web de viajes de negocios, ocio y redes sociales. (65/192 categorías) |
| Flexible | Maximiza el acceso y, al mismo tiempo, controla el riesgo de sitios web ilegales y maliciosos. (36/192 categorías) |
| Nada | Permite todas las categorías. |
| Personalizado | Configure el filtrado personalizado de categorías. |
Referencia:lista de categorías de Citrix Secure Private Access
La aplicación Citrix Workspace ofrece a los usuarios una gran experiencia (Workspace unificado, contextual y seguro) en cualquier dispositivo. Los usuarios obtienen un acceso seguro y sin problemas mediante el inicio de sesión único a todas las aplicaciones que necesitan para ser productivos.
Para validar la configuración, los usuarios finales pueden iniciar la aplicación SaaS desde la aplicación Citrix Workspace (o Citrix Workspace Web). Además, los usuarios pueden verificar los sitios web permitidos o bloqueados agregados en las listas de filtrado de sitios web visitando las URL. El explorador web empresarial de la aplicación Citrix Workspace permite a los administradores proporcionar acceso nativo a las aplicaciones SaaS con controles de seguridad mejorados.
Para obtener más información sobre la aplicación Citrix Workspace, consulte laarquitectura de referencia de la aplicación Citrix Workspace.
Paso 7:El servicio Citrix Secure Private Access se integra con Citrix Analytics para obtener información sobre las actividades de los usuarios, como los sitios web visitados y el ancho de banda consumido. Citrix Analytics informa sobre amenazas detectadas, como sitios de phishing y malware.
El administrador puede iniciar sesión en el servicio en la nube de Citrix Analytics y crear reglas para Citrix Secure Private Access y, a continuación, aplicar el plan de acción cuando se cumplan las condiciones. Para supervisar y analizar las actividades de comportamiento de los usuarios, habilite “Activar el procesamiento de datos” para Citrix Secure Private Access para realizar análisis en Citrix Cloud (las fuentes de datos son servicios y productos de Citrix que envían datos a Citrix Analytics).
El servicio Citrix Analytics supervisa las actividades y el comportamiento de los usuarios mediante el aprendizaje automático y la inteligencia artificial. Las fuentes de datos de Citrix Analytics se recopilan de la aplicación Workspace, Citrix Gateway, Citrix Secure Private Access y Remote Browser Isolation Service.
Casos de uso de Citrix Secure Private Access
En la actualidad, las organizaciones están recurriendo a las soluciones de software como servicio (SaaS) para abordar los requisitos empresariales, pero a menudo sin tomar las medidas de seguridad necesarias ni realizar el mantenimiento adecuado de las aplicaciones. La mayoría de los fallos de seguridad de las aplicaciones SaaS son causados por usuarios, no por proveedores en la nube. La organización debe regular sus estrategias para hacer frente a estos defectos.
Citrix Secure Private Access aplica directivas de seguridad mejoradas para las aplicaciones SaaS (marca de agua, restricción de copiar y pegar, evitar la descarga/carga de datos confidenciales, etc.). También define las directivas de acceso para las categorías de sitios web y los sitios web que se bloquearán o permitirán en forma de filtrado web.
| Implementaciones existentes en zonas industriales abandonadas | Cómo encaja Citrix Secure Private Access |
|---|---|
| Organizaciones que buscan adoptar los servicios Citrix Cloud. | 1) Citrix Secure Private Access proporciona el ajuste adecuado a su entorno, proporcionando seguridad para las funciones de SaaS, SSO y filtrado web a los usuarios finales. 2) Para las organizaciones que desean un modelo local, Citrix Gateway ayuda a proporcionar SSO y seguridad mejorada a los usuarios finales. |
| Organizaciones que ya han adoptado el servicio Citrix Gateway. | 1) Citrix Cloud ofrece varios servicios basados en la nube, como Citrix Secure Private Access, Analytics y Remote Browser Isolation Service, que proporcionan control de seguridad para aplicaciones SaaS y basadas en Internet. |
| Organizaciones que ya han adoptado SSO de terceros | 1) Citrix安全的私人访问proporciona控制器les de seguridad de nivel granular para las aplicaciones SaaS, minimiza las amenazas basadas en la web y la aplicación automática de directivas mediante análisis basados en el comportamiento de los usuarios. 2) ICA Proxy es compatible tanto con Citrix DaaS local como con Citrix. |
Solución Citrix Secure Private Access para aplicaciones web empresariales
La mayoría de los clientes locales siguen utilizando aplicaciones web, como SharePoint, Confluence, Microsoft Office, aplicaciones de mesa de ayuda, etc. Las aplicaciones empresariales se entregan de forma remota mediante el servicio Citrix Gateway y se agrega la seguridad necesaria mediante Citrix Secure Private Access.
Los usuarios finales acceden a las aplicaciones web mediante Citrix Workspace, que aprovecha el servicio Citrix Gateway. El servicio Citrix Gateway, junto con Citrix Workspace de forma segura, ofrece una experiencia de usuario unificada para las aplicaciones web configuradas. El inicio de sesión único y la accesibilidad remota a aplicaciones web internas están disponibles a través de diferentes paquetes de servicios.
El diagrama anterior muestra la solución Citrix Secure Private Access que se aplica a los clientes locales que utilizan el Connector Appliance. El Connector Appliance actúa como puente entre las aplicaciones web empresariales y el servicio de Citrix Workspace.
Inicio de对话整合en la aplicacion网络诈骗guridad mejorada
El usuario inicia la aplicacion Citrix工作区yse conecta con Citrix Workspace mediante un servicio de Active Directory local. La aplicación Citrix Workspace se usa para iniciar una aplicación web. El servicio Citrix Gateway proporciona el explorador recomendado y el enlace. El explorador web empresarial de la aplicación Citrix Workspace establece una conexión de la aplicación con Citrix Gateway Service. Además, las directivas de seguridad mejoradas se habilitan a través del servicio Citrix Secure Private Access. Además, Citrix Gateway Service establece una conexión saliente con el Connector Appliance desde la ubicación del recurso. Verifica las credenciales de inicio de sesión y la aplicación Citrix Workspace asegura una conexión de extremo a extremo con la aplicación web interna.
Si el usuario utiliza un explorador web local, la autenticación se realiza a través del servicio de Active Directory y el explorador web local establece una conexión segura con Remote Browser Isolation Service. Las directivas de seguridad mejoradas se habilitan a través del servicio Secure Private Access. A continuación, se establece un canal de salida seguro entre Connector Appliance y Citrix Gateway Service. A continuación, se negocian las credenciales de usuario y se establece el inicio de sesión único en nombre del usuario. Por último, se encuentra una conexión de extremo a extremo a través del explorador seguro para el usuario.
Referencia:Soporte para aplicaciones web empresariales
Inicio de sesión único de Citrix Secure Private Access para aplicaciones web
El Connector Appliance y Citrix Gateway Service en la nube protegen la comunicación con las aplicaciones locales. Se accede a las aplicaciones web y se entregan a través de Workspace mediante una conexión sin VPN. El administrador debe elegir el método de inicio de sesión único durante la configuración de la aplicación web.
Estos cuatro tipos de SSO se pueden configurar a través del servicio Citrix Gateway:
- Basado en formularios
- SSO básico
- Kerberos
- SAML (TP)
Autenticación basada
1) Citrix Gateway Service establece un canal seguro entre el Connector Appliance y envía la solicitud de la aplicación web con las credenciales de inicio de sesión
2) El Connector Appliance envía las credenciales de inicio de sesión a la aplicación web correspondiente.
3) Se establece una conexión segura de extremo a extremo entre la aplicación web y la aplicación Citrix Workspace a través del servicio Citrix Gateway mediante el inicio de sesión único en la aplicación web
Autenticación básica de SSO
1) Citrix Gateway Service crea un canal seguro entre el Connector Appliance y envía la solicitud de la aplicación web con el nombre de usuario y la contraseña
2) El Connector Appliance envía las credenciales de inicio de sesión a la página de inicio de sesión de la aplicación web
3) La aplicación web solicita autenticación mediante el protocolo NTLM
4) El Connector Appliance responde a la solicitud de NTLM con un nombre de usuario y una contraseña
5) Se establece una conexión segura de extremo a extremo entre la aplicación web y la aplicación Citrix Workspace a través del servicio Citrix Gateway mediante el inicio de sesión único en la aplicación web
Autenticación Kerberos
1) Citrix Gateway Service crea un canal seguro entre el Connector Appliance y envía una solicitud de aplicación web con nombre de usuario y contraseña
2) El Connector Appliance envía las credenciales de inicio de sesión a la página de inicio de sesión de la aplicación web
3) La aplicación web solicita autenticación mediante el protocolo Kerberos
4) El Connector Appliance se pone en contacto con el controlador de dominio para comprobar las credenciales de inicio de sesión
5) el controlador de dominio valida las credenciales de usuario y reconoce
6) El Connector Appliance reenvía la aplicación a la aplicación web
7) Se establece una conexión segura de extremo a extremo entre la aplicación web Citrix y la aplicación Citrix Workspace a través del servicio Citrix Gateway mediante el inicio de sesión único en la aplicación web
Para habilitar la función de inicio de sesión único de Kerberos, los administradores configuran Connector Appliance con las credenciales de una cuenta de servicio en la que se confía para realizar la delegación restringida de Kerberos.
洛杉矶usuarios含量intentar sitios网络加入maliciosos que causan graves daños a la empresa. Además, pueden infringir las normas y directivas de la empresa. Para superar estos problemas, los administradores pueden adoptar Citrix Secure Private Access para filtrar los sitios web de riesgo que representan un riesgo para su organización. También se puede agregar una marca de agua a lo largo de la sesión que incluya el nombre y la dirección IP del usuario.
Referencia:Soporte para aplicaciones web empresariales
Directivas de protección de aplicaciones Citrix Secure Private Access
Es común que se roben las credenciales de inicio de sesión de un usuario y, sin embargo, es posible que el usuario no lo sepa. Los ciberdelincuentes utilizan varias técnicas para capturar los datos de los usuarios finales, y una técnica común es el uso de malware keylogger para capturar los datos de los usuarios. Estos productos de malware se pueden instalar fácilmente en el equipo de un usuario e inmediatamente comienzan a intentar obtener información del usuario. La filtración de información del usuario puede provocar daños importantes a la organización y al usuario. Para superar este problema, la organización debe invertir mucho en la protección de los datos de los usuarios y crear un escudo defensivo contra los registradores de pulsaciones de teclado.
Similar a los keyloggers son las aplicaciones que capturan capturas de pantalla. Estos programas maliciosos funcionan realizando capturas de pantalla del escritorio del usuario para capturar la información que se muestra en la pantalla.
Se pueden instalar varios tipos de software en el punto final del usuario para evitar la captura de imágenes del escritorio del usuario. Sin embargo, esto puede llevar a un rendimiento más lento del escritorio y el entorno del usuario.
Citrix Secure Private Access tiene directivas avanzadas para proteger los datos empresariales. La seguridad de los puntos finales es una consideración de seguridad importante para cualquier organización porque la mayoría de las infracciones se producen en el punto final del usuario. Las directivas de protección de aplicaciones son reglas que se aplican cuando se habilita una seguridad mejorada para una aplicación SaaS. Los clientes pueden usar dos directivas de seguridad avanzadas:
Protección contra el registro de tecleo
Protección contra capturas de pantalla
Las directivas de protección de aplicaciones de Citrix se habilitan mediante la solución Citrix Secure Private Access. Los beneficios son los siguientes:
- Protección contra el registro de teclas y la captura de pantalla
- Administración centralizada para administradores de Citrix
- Independiente de la postura de seguridad del dispositivo
Las directivas de protección de aplicaciones están integradas en la aplicación Citrix Workspace a partir de la versión 1912 para Windows, pero el administrador debe habilitar esta función.
Referencia:directivas de protección de aplicaciones
Proteja a los usuarios de la peligrosa navegación por Internet con Citrix Secure Browser
Los exploradores web son esenciales para un entorno de producción activo. Son herramientas poderosas y ricas en datos expuestas a Internet más que cualquier otra aplicación en el entorno laboral. Durante los últimos años, los ciberdelincuentes se han aprovechado de los exploradores web para obtener grandes cantidades de información de los usuarios, incluidos datos de tarjetas de crédito, identificaciones de correo electrónico y contraseñas almacenadas.
Los ataques basados en explorador se han vuelto frecuentes no porque sean objetivos de hackeo estratégicamente deseables, sino porque los ataques basados en explorador son difíciles de detectar. Los controles de seguridad convencionales no detectan estos ataques porque estas aplicaciones solo examinan los archivos descargados y los archivos adjuntos. Por lo tanto, los ataques basados en explorador tienden a pasar desapercibidos.
Citrix Remote Browser Isolation Service aísla la navegación web para proteger el entorno de producción del cliente de los ataques por explorador web. La aplicación Citrix Workspace o los exploradores locales son un punto de entrada al entorno de producción de Citrix. Citrix Secure Browser aísla la navegación por Internet para que el sitio web no transfiera directamente ningún dato de navegación hacia o desde el dispositivo del usuario. Al usar esto, los administradores de seguridad pueden ofrecer un acceso seguro a Internet sin reducir la seguridad empresarial.
El servicio Citrix Remote Browser Isolation es un producto SaaS administrado y operado por Citrix. Permite el acceso a aplicaciones web a través de un explorador web intermedio cuyo host está en la nube. Al usar el servicio Citrix Secure, los exploradores web alojados rastrean el historial de navegación de un usuario y almacenan en caché las solicitudes HTTP/HTTPS. Citrix usa perfiles obligatorios y se asegura de que, una vez finalizada la sesión de navegación, se borren los datos de esa sesión.
Se puede acceder a Remote Browser Isolation Service con un explorador web web compatible con HTML5. No hay ningún cliente que los usuarios deban descargar. Todo el tráfico entre el explorador del usuario final y el servicio Citrix Cloud se cifra mediante el cifrado TLS estándar del sector y solo se admite TLS 1.2.
El diagrama anterior muestra la integración de la solución Citrix Secure Private Access, que incluye el servicio Citrix Remote Browser Isolation para entornos Citrix locales y en la nube. Los clientes de Citrix Virtual Apps and Desktops con un StoreFront local pueden integrarse fácilmente con el servicio Remote Browser Isolation.
Para obtener más información sobre la configuración de Citrix StoreFront con el servicio Remote Browser Isolation, siga esteenlace.
Colaboración de contenido y Citrix Secure Private Access
La mayoría de las organizaciones han experimentado algún tipo de ransomware o intentos de phishing que han puesto en peligro su red. La causa principal de estas amenazas suele ser una protección inadecuada contra las amenazas basadas en la web. Hay una falta de visibilidad de los sitios web a los que acceden los usuarios en el día a día.
El servicio Citrix Secure Private Access permite a una organización proteger su entorno de los ataques basados en el explorador y las filtraciones de datos. Cuando los empleados acceden a sus aplicaciones desde cualquier dispositivo, ya sea en la oficina, en casa o de viaje, el servicio Citrix Secure Private Access proporciona una experiencia cohesiva que integra el SSO, la autenticación de dos factores, el acceso remoto y el filtrado web en una única solución para el acceso privado seguro de extremo a extremo.
Citrix Content Collaboration permite a los usuarios intercambiar documentos de forma fácil y segura. Hay muchas formas de trabajar con Citrix Content Collaboration, como una interfaz basada en web, clientes móviles, aplicaciones de escritorio e integración con Microsoft Outlook y Gmail.
Citrix Files es un administrador de archivos que ofrece almacenamiento y uso compartido de datos, configuración y uso personalizables, y herramientas que permiten a los usuarios colaborar más fácilmente y trabajar desde cualquier dispositivo, en cualquier momento y en cualquier lugar.
El diagrama anterior muestra la entrega de la aplicación SaaS de Citrix Files a un usuario final en un caso de modelo de nube híbrida. El Connector Appliance (o Cloud Connector) proporciona un enlace a la cuenta y la ubicación de los recursos de Citrix Cloud. La ubicación de recursos contiene Active Directory para los usuarios finales, lo que les permite iniciar sesión sin problemas en su aplicación web.
El servicio Citrix Gateway ofrece autenticación, inicio de sesión único y permite la entrega rápida y segura de aplicaciones Citrix Virtual y aplicaciones SaaS. Los usuarios finales inician sesión en el entorno de la empresa con sus credenciales de inicio de sesión y pueden iniciar sesión en aplicaciones web mediante el inicio de sesión único de SAML. En el servicio Citrix Gateway, los administradores pueden elegir la plantilla de la aplicación Web/SaaS o definir sus propios parámetros de aplicación. Por ejemplo:
Nombre de la aplicación:“Citrix Files”
Introduzca la URL:https://xxxxx.sharefile.com/
Del mismo modo, en la página SSO, los administradores pueden asegurarse de que SAML esté seleccionado, suponiendo que la configuración de SAML o SSO para Citrix Files ya se haya completado para el back-end.
La URL de aserción es:https://xxxxx.sharefile.com/saml/xxxx
Audiencia:https://xxxxx.sharefile.com
Formato del ID del nombre:Dirección de correo electrónico
ID del nombre:Correo electrónico
Una vez que se haya agregado la aplicación SaaS a la biblioteca de Citrix Cloud, el administrador debe administrar los suscriptores y proporcionar la URL de Workspace a los usuarios para que accedan. Con Active Directory, puede servir como proveedor de identidades para permitir el inicio de sesión único SAML en varias aplicaciones web y SaaS.
Control de contenido y acceso contextual
En la página Seguridad mejorada, el administrador puede establecer directivas para proteger a la organización de las filtraciones de datos confidenciales. Ofrece las siguientes opciones:
- acceso restringido al portapapeles
- impresión restringida
- navegación restringida
- descargas restringidas
- visualización de marcas de agua
Para bloquear sitios web no deseados que presentan riesgos de seguridad para las organizaciones, el administrador de Citrix debe bloquear y permitir las URL agregando listas de URL o eligiendo listas de categorías. El administrador también puede adoptar un enfoque prudente al redirigir las URL a través de un explorador seguro.
Comportamiento y actividades del usuario
Para supervisar el comportamiento y las actividades de los usuarios por parte de un administrador, el servicio Citrix Secure Private Access se integra fácilmente con el servicio Citrix Analytics. El administrador impone condiciones predefinidas y un plan de acción para mitigar los riesgos.
Citrix Secure Private Access y G Suite
G Suite (también conocido como Google Workspace) es un conjunto de aplicaciones SaaS a las que se puede acceder de forma remota a través de Internet. G Suite se conocía anteriormente como Google Apps, desarrollado por Google. G Suite se compone de Gmail, Hangouts y Calendar para la comunicación; Google Drive para el almacenamiento; Documentos, Hojas de cálculo, Presentaciones, Formularios y Sitios de Google para la colaboración. G Suite ofrece enormes ventajas de productividad, pero la mayoría de las redes no están diseñadas correctamente para ofrecer el rendimiento y la seguridad necesarios para los casos de uso de la nube y la movilidad.
Google Cloud y Citrix permiten a los usuarios finales acelerar las soluciones pioneras que ofrecen una seguridad mejorada con una excelente experiencia de usuario y la flexibilidad tan deseada en un mundo centrado en las aplicaciones, en el que los dispositivos móviles son lo primero y la nube híbrida.
G Suite, un conjunto de aplicaciones SaaS de productividad líderes del mercado, se puede integrar con Citrix Secure Private Access para permitir que la organización obtenga una mayor visibilidad y control de las aplicaciones SaaS, lo que a su vez evita las fugas de datos y la divulgación no autorizada de información confidencial.
Los usuarios finales pueden acceder a las aplicaciones de G Suite con solo introducir la URL y las credenciales de inicio de sesión mediante la aplicación Citrix Workspace. Los usuarios tendrán todo un espacio de trabajo que incluye aplicaciones, escritorios y archivos, teniendo en cuenta que los usuarios nunca tendrán que introducir otro nombre de usuario y contraseña. Todo el espacio de trabajo se entrega a través de un único punto de acceso que mejora la productividad y optimiza los flujos de trabajo comunes para el usuario final.
Citrix Secure Private Access no solo proporciona una función de inicio de sesión único, sino que también proporciona una capa de controles de seguridad que no están disponibles en otras soluciones.
Implementación
El dispositivo Citrix Connector (o Cloud Connectors) se utiliza para gestionar todas las comunicaciones entre las ubicaciones de recursos y Citrix Cloud. Para una alta disponibilidad, se implementan un mínimo de dos conectores en cada ubicación de recursos. Las ubicaciones de recursos se integran con Active Directory, lo que permite a los usuarios finales iniciar sesión sin problemas en sus aplicaciones de G Suite.
El servicio Citrix Gateway con Active Directory puede funcionar como proveedor de identidad para permitir el inicio de sesión único de SAML en las aplicaciones SaaS de G Suite. Citrix Secure Private Access permite a los usuarios finales iniciar aplicaciones SaaS de G Suite en sesiones de Secure Browser y también permite al administrador aplicar cinco directivas de control diferentes.
Caso 1:la seguridad mejorada está desactivada. Cuando un usuario inicia Gmail en G Suite, se abre en un explorador estándar. Del mismo modo, las URL que se abren en su cuenta de Gmail utilizan un explorador estándar sin directivas ni controles de seguridad adicionales. Un usuario tiene libertad para navegar desde la página, cortar, copiar e imprimir la página.
Caso 2:la seguridad mejorada está activada. Cuando un usuario inicia Gmail en G Suite, se abre en un explorador seguro. Ahora se aplica una capacidad de nivel de control a través de Citrix Secure Private Access y el usuario final no tiene una barra de navegación para salir del sitio. Además, se imponen restricciones de cortar, copiar y pegar. Además de esto, Citrix Secure Private Access proporciona funciones de filtrado de URL que evitan que los usuarios visiten sitios web maliciosos. Como alternativa, se puede redirigir a los usuarios a Secure Browser en función de las directivas.
Beneficios de usar Citrix Secure Private Access con aplicaciones SaaS de G Suite:
- Single Sign-On
- Autenticación multifactor
- Directivas de seguridad mejoradas para G Suite
- Directivas de filtrado web para G Suite
- Visibilidad y análisis integrales
Conceptos avanzados
Diseño de referencia validado de SaaS y O365 Cloud de Citrix Gateway
Diseño de referencia validado de SSO del servicio Citrix Gateway con Secure Private Access
Resumen
Citrix Secure Private Access es una solución consolidada para un espacio de trabajo digital seguro. La mayoría de las organizaciones están adoptando aplicaciones SaaS y web a medida que el espacio de trabajo digital está cambiando. La implementación de una solución de colaboración mejoraría significativamente la seguridad y proporcionaría beneficios para las empresas, las pequeñas empresas y los proveedores de SaaS, al brindar la confianza de que sus datos están protegidos.
La idea de proteger únicamente una red ya no es suficiente. La organización debe proteger a los usuarios y las aplicaciones. Por eso Citrix Secure Private Access ofrece:
- Acceso consolidado a SaaS, web y aplicaciones virtuales
- Experiencia de usuario final consistente y flexibilidad para usar cualquier dispositivo de punto final
- Visibilidad del tráfico de aplicaciones y detección de amenazas mediante servicios analíticos que ayudan a controlar en la aplicación las aplicaciones SaaS más allá de Single Sign-On
Fuentes
El objetivo de esta arquitectura de referencia es ayudarle a planificar su propia implementación. Para facilitar su trabajo, nos gustaría proporcionarle diagramas fuente que puede aplicar en sus propios diseños detallados y guías de implementación:diagramas fuente.
Referencias
En este artículo
- Audiencia
- Objetivo del presente documento
- Controles de seguridad y mitigación
- Citrix Secure Private Access
- ¿Por qué usar Citrix Secure Private Access?
- Citrix Secure Private Access y Citrix Cloud
- Gestión de identidades y accesos
- Citrix Secure Private Access con seguridad mejorada para aplicaciones SaaS
- Inicio de sesión único de Citrix Secure Private Access sin seguridad mejorada
- Acceso privado seguro: inicio de sesión único con seguridad mejorada
- Acceso contextual
- Descripción general del filtrado web
- Citrix Secure Private Access y Citrix Analytics
- Experiencia de usuario final de Citrix Secure Private Access
- Implementación de Citrix Secure Private Access
- Casos de uso de Citrix Secure Private Access
- Solución Citrix Secure Private Access para aplicaciones web empresariales
- Inicio de sesión único de Citrix Secure Private Access para aplicaciones web
- Directivas de protección de aplicaciones Citrix Secure Private Access
- Proteja a los usuarios de la peligrosa navegación por Internet con Citrix Secure Browser
- Colaboración de contenido y Citrix Secure Private Access
- Citrix Secure Private Access y G Suite
- Conceptos avanzados
- Resumen
- Fuentes
- Referencias