Architecture de référence : accès privé sécurisé
Audience
Ce document s’adresse aux professionnels techniques, aux décideurs informatiques, aux partenaires et aux consultants en sécurité de Citrix qui souhaitent explorer et adopter le service Citrix Cloud Secure Private Access. Le lecteur doit avoir une compréhension de base des produits Citrix, de la sécurité et des frameworks Citrix Cloud. Pour plus d’informations sur Citrix Cloud et ses services, consultez la documentation produit officielle deCitrix Cloud.
Objectif du présent document
Ce document fournit une présentation technique et une architecture de Citrix Secure Private Access qui fournit un accès conditionnel aux applications cloud et à la navigation Internet, améliorant ainsi la sécurité globale et la conformité de l’entreprise. Citrix Secure Private Access combine des éléments de plusieurs services Citrix Cloud pour offrir une expérience intégrée aux utilisateurs finaux et aux administrateurs.
Le document explique aux administrateurs comment fournir un espace de travail numérique sécurisé avec une solution consolidée utilisant Citrix Secure Private Access intégré à plusieurs services Citrix Cloud, notamment le service Citrix Gateway et le service Remote Browser Isolation. Pour surveiller le comportement et l’activité des utilisateurs, Citrix Secure Private Access s’intègre au service Citrix Analytics.
Contrôles de sécurité et atténuation
Dans le monde des affaires d’aujourd’hui, les données utilisateur sont l’un des biens les plus précieux, et les entreprises y trouvent toujours plus de valeur. La plupart des violations qui se produisent dans les entreprises sont dues à des contrôles de sécurité inadéquats, à des privilèges excessifs accordés aux utilisateurs internes et à une dépendance excessive aux contrôles de sécurité basés sur le réseau. De nombreuses entreprises n’ont malheureusement pas vraiment adopté une approche approfondie et sécurisée pour renforcer leur environnement.
De nombreux services informatiques au sein des entreprises ne disposent pas d’une solution permettant de contrôler l’accès des utilisateurs qui accèdent à un nombre toujours croissant d’applications SaaS d’entreprise. Outre les risques de sécurité liés à la possibilité que les données d’entreprise interagissent avec des applications SaaS non gérées, la productivité des utilisateurs est perdue en raison de la connexion à plusieurs applications. De plus, le fait de devoir se souvenir de plusieurs mots de passe peut souvent entraîner de mauvaises habitudes de mot de passe, comme l’utilisation d’un même mot de passe pour plusieurs sites.
Naviguer sur Internet représente un autre risque pour les entreprises aujourd’hui. Selon les experts en sécurité, la plupart des attaques exploitent les vulnérabilités des sites Web, des navigateurs et des plug-ins de navigateur. En réponse, certaines organisations interdisent même complètement la navigation sur Internet, ce qui peut nuire gravement à la productivité.
Certaines applications Web et SaaS nécessitent une certaine version de navigateur ou un plug-in pour fonctionner correctement. Dans le paysage des navigateurs en constante évolution, garantir la convivialité des applications Web et SaaS d’entreprise revient rapidement à une tâche d’assistance gourmande en ressources.
De nombreux services informatiques ne disposent pas d’une stratégie entièrement définie pour la gestion des applications SaaS, ce qui entraîne des risques importants en matière de sécurité et de conformité. D’autres ont une approche fragmentée qui peut aboutir à des solutions ponctuelles multiples, telles que :
Déploiement d’une solution d’authentification unique :cette solution permet de rationaliser l’expérience utilisateur et peut inclure une authentification multifacteur, mais ces solutions ne disposent généralement pas de contrôles de stratégie granulaires sur les applications une fois que les utilisateurs se connectent.
Déploiement du filtrage Web pour contrôler ou arrêter la navigation externe :cette solution aide les utilisateurs à se protéger contre les visites de sites Web malveillants. Cependant, de nombreuses fonctionnalités ne respectent pas les stratégies de sécurité pour les applications SaaS, ce qui amène de nombreux clients à déployer plusieurs solutions en plus d’une passerelle Web.
Publication de navigateurs pour chaque application SaaS :La publication d’un navigateur Web avec Citrix Virtual Apps and Desktops est une méthode éprouvée pour contrôler l’accès aux applications SaaS non autorisées. Cependant, elle nécessite une autre ressource informatique pour être gérée et il ne s’agit pas de la même expérience utilisateur que la connexion directe à une application SaaS via un navigateur.
Concéder la gestion des applications SaaS au contrôle départemental au sein de l’entreprise :cette approche ouvre des failles en matière de sécurité et de conformité, et laisse passer à côté des occasions de comprendre le comportement des utilisateurs et l’utilisation des applications. Pourtant, elle constitue souvent la stratégie par défaut du service informatique face à des ressources limitées.
Citrix a mis au point un meilleur moyen de sécuriser l’accès aux applications SaaS et Web approuvées avec une approche centrée sur l’utilisateur, par opposition aux méthodes traditionnelles qui ne tiennent pas compte de la sécurité. Citrix Workspace fournit un accès contextuel et sécurisé au SaaS, au Web et aux postes de travail et applications virtuels, réduit l’exposition aux menaces internes et externes, sécurise la collaboration sur le contenu et fournit des analyses du comportement des utilisateurs et des informations proactives sur la sécurité.
Le diagramme précédent illustre l’environnement Citrix traditionnel dans lequel les points de terminaison se connectent via NetScaler ADC pour accéder à leurs ressources. Ces ressources, notamment les applications, les postes de travail et les données, sont accessibles sur site, et certaines ressources externes sont accessibles via Internet, y compris les applications SaaS. Les utilisateurs accèdent à ces ressources externes en toute sécurité via Secure Gateway et les services de filtrage Web.
L’application Workspace est un point d’entrée unique pour accéder aux ressources depuis n’importe quel appareil. Il fournit des fonctionnalités uniques aux utilisateurs finaux avec une sécurité renforcée grâce à l’utilisation d’un navigateur d’entreprise. Un moteur réseau intégré à l’application Workspace optimise le trafic réseau et fournit un VPN SSL en plus des fonctionnalités Micro VPN pour certaines applications. Les utilisateurs finaux sont connectés via NetScaler ADC qui fournit des fonctionnalités de gestion des identités et des accès.
La surveillance de sécurité permet de surveiller le comportement des utilisateurs finaux et de détecter les menaces au sein du réseau. La sécurité des données inclut la DLP et l’IRM pour garder le contrôle des données lorsque les utilisateurs travaillent avec des fichiers ou les partagent. Le filtrage Web Citrix Cloud, Citrix Analytics et les services NetScaler Gateway offrent une solution consolidée pour fournir un espace de travail numérique sécurisé aux utilisateurs finaux.
Citrix Secure Private Access
CitrixSecure Private Accesscombine les fonctionnalités d’un accès sécurisé instantané aux applications SaaS et Web via l’authentification unique (SSO), ainsi que des contrôles d’applications basées sur le navigateur et le cloud, des stratégies de filtrage Web et des analyses intégrées du comportement des utilisateurs. Citrix Secure Private Access va au-delà des fonctionnalités SSO traditionnelles en introduisant lecontrôle des applications cloud安全范围,联合国还合奏de ameliores pour les applications Web SaaS et d’entreprise fournissant un accès conditionnel aux applications cloud et protégeant les actions des utilisateurs sur la base de stratégies d’accès gérées par l’administrateur. Cette solution améliore la position globale de l’organisation en matière de sécurité et de conformité. L’expérience utilisateur reste transparente et intégrée, car les applications SaaS et Web sont accessibles en même temps que leurs applications mobiles, leurs applications virtuelles et leurs postes de travail en tant que partie intégrante de Citrix Workspace.
Citrix Secure Private Access combine des éléments de plusieurs services Citrix Cloud pour offrir une expérience intégrée aux utilisateurs finaux et aux administrateurs.
| Fonctionnalité | Service/Composant fournissant la fonctionnalité |
|---|---|
| Interface utilisateur cohérente pour accéder aux applications | Workspace Experience/WS App |
| SSO vers SaaS et applications Web | Norme de service NetScaler Gateway |
| Filtrage Web et catégorisation | Service de filtrage Web |
| Stratégies de sécurité améliorées pour le SaaS | Contrôle des applications cloud |
| Navigation sécurisée | Service d’isolation du navigateur à distance |
| Visibilité sur l’accès au site Web et les comportements | Citrix Analytics |
Pourquoi choisir Citrix Secure Private Access ?
La sécurité des données est définie par la nécessité de garantir l’intégrité et la confidentialité des données et de protéger la propriété intellectuelle de l’entreprise. Aujourd’hui, les organisations sont confrontées à divers défis tels que :
- Plusieurs produits ponctuels difficiles à gérer et dotés d’infrastructures stratégiques différentes
- Fournir un accès distant sécurisé aux utilisateurs finaux pour accéder aux informations de l’entreprise
- Protéger la propriété intellectuelle stockée dans le cloud et les applications SaaS tout en restant conforme
- Gagner de la visibilité dans les applications cloud et SaaS après SSO et obtenir des évaluations des risques
Citrix Secure Private Access aide les administrateurs informatiques et de sécurité à gérer l’accès autorisé des utilisateurs finaux aux applications Web SaaS et hébergées par l’entreprise. Les identités et les attributs utilisateur sont utilisés pour déterminer les privilèges d’accès et les stratégies d’accès privé sécurisé déterminent les privilèges requis pour effectuer des opérations.
L’intégration de Citrix Secure Private Access présente plusieurs avantages :
Expérience utilisateur fluide grâce à l’authentification unique aux applications SaaS et hébergées :cette fonctionnalité est fournie par une combinaison de l’application Workspace et du service Gateway
Unmeilleur contrôle pour l’informatique grâce à une mise à disposition et un accès organisés pour les applications SaaS :fournit au service informatique un moyen d’attribuer facilement des applications SaaS aux membres de son personnel
Sécurité renforcée grâce à des contrôles de stratégie pour l’utilisation SaaS :appelé contrôle des applications cloud, une nouvelle fonctionnalité qui permet aux services informatiques d’appliquer des stratégies de sécurité sur les applications SaaS qu’ils fournissent aux employés
Flexibilité permettant de contrôler l’accès au contenu Internet public ou à des applications SaaS inconnues sans sacrifier la sécurité :cette fonctionnalité repose sur une combinaison d’un service d’isolation à distance du navigateur et d’une fonctionnalité de filtrage Web afin que les sites Web puissent être mis sur liste blanche/liste noire ou affichés dans un navigateur isolé
Visibilité de l’utilisation SaaS et de l’activité Web des utilisateurs :cette fonctionnalité fournit un sous-ensemble de Citrix Analytics pour SaaS et de l’activité Web afin de fournir une meilleure visibilité en matière de sécurité et de conformité
Citrix Secure Private Access et Citrix Cloud
Citrix Secure Private Access est l’un des services proposés par Citrix Cloud. Pour accéder à ces services, un administrateur doit disposer d’un compte Citrix (également appelé compte Citrix.com ou My Citrix) pour gérer les licences et accéder à l’environnement.
Un compte Citrix utilise un ID d’organisation (OrgID) comme identifiant unique. L’administrateur peut accéder à son compte Citrix en se connectant surcitrix.comavec le nom d’utilisateur ou l’adresse e-mail associé au compte. Dans un premier temps, Citrix Cloud redirige vershttps://citrix.cloud.compour créer un compte ou se connecter avec un compte Citrix existant afin d’activer une version d’évaluation des services Cloud.
Un compte Citrix Cloud permet aux administrateurs d’avoir un large accès administratif aux services. Par conséquent, Citrix exige que le premier administrateur qui crée le compte Citrix Cloud donne explicitement l’accès aux autres administrateurs selon les besoins, même si l’autre administrateur est déjà membre du compte MyCitrix existant.
Citrix Secure Private Access est une solution présentée sous forme de vignette sur la console Citrix Cloud et inclut l’intégration entre le service Citrix Gateway, le service de filtrage Web, le service d’isolation à distance et le service Citrix Analytics.
Accès privé sécurisé :le service Citrix Secure Private Access fournit une expérience unifiée intégrant l’authentification unique, l’accès à distance et l’inspection du contenu dans une solution unique pour un accès privé sécurisé de bout en bout.
Citrix Secure Private Access fournit les fonctionnalités suivantes aux administrateurs :
- Configurer l’authentification multifacteur pour les utilisateurs finaux
- Configurer un espace de travail pour fournir un accès sécurisé aux applications depuis n’importe quel appareil, gérer et ajouter des applications SaaS à partir de la bibliothèque
- Configurer le filtrage Web pour autoriser/bloquer les sites Web aux utilisateurs finaux et les rediriger vers le service Citrix Remote Browser Isolation
Analytics :Citrix Analytics collecte des données dans l’ensemble de la gamme de produits Citrix et génère des informations exploitables, permettant aux administrateurs de gérer de manière proactive les menaces de sécurité des utilisateurs et des applications, d’améliorer les performances des applications et de prendre en charge les opérations continues. Citrix Analytics collecte des données et fournit les informations suivantes :
- Analyses de sécurité
- Analyse des performances
- Analyse des opérations
Passerelle :le service NetScaler Gateway fournit une solution d’accès distant sécurisé, une expérience utilisateur unifiée pour les applications SaaS configurées, les applications virtuelles hétérogènes et les postes de travail. La mise à disposition d’applications SaaS à l’aide du service NetScaler Gateway fournit une solution simple, sécurisée, robuste et évolutive pour gérer les applications. Les applications SaaS fournies sur le cloud présentent les avantages suivants :
- Configuration simple : facile à utiliser, à mettre à jour et à utiliser
- Authentification unique : connexion sans tracas avec SSO
- Modèle standard pour différentes applications : configuration basée sur des modèles d’applications populaires
Isolation du navigateur à distance :le service Citrix Remote Browser Isolation isole la navigation Web afin de protéger le réseau de l’entreprise contre les attaques basées sur le navigateur. Il fournit un accès distant cohérent et sécurisé à une application Web hébergée sur Internet, sans qu’il soit nécessaire de configurer la machine utilisateur.
Les administrateurs peuvent部署人员能很快des navigateurs distants sécurisés, offrant ainsi un délai de rentabilisation instantané. En isolant la navigation sur Internet, les administrateurs informatiques peuvent offrir aux utilisateurs finaux un accès Internet sécurisé sans compromettre la sécurité de l’entreprise.
Gestion des identités et des accès
La fonction Gestion des identités et des accès définit les fournisseurs d’identité et les comptes utilisés pour les administrateurs et les abonnés à Citrix Cloud et ses offres. Citrix Cloud utilise le fournisseur Citrix Identity pour gérer les informations d’identité des utilisateurs dans le compte Citrix Cloud. L’administrateur a la possibilité d’intégrer Azure Active Directory ou un service Active Directory local.
Pour effectuer des activités de gestion et installer l’appliance Citrix Connector (ou Cloud Connector) sur Citrix Cloud, les administrateurs Citrix utilisent leur identité pour accéder à Citrix Cloud. Ce mécanisme d’identité permet d’authentifier les administrateurs à l’aide d’une adresse de messagerie et d’un mot de passe. Les administrateurs peuvent également utiliser les informations d’identification My Citrix pour se connecter à Citrix Cloud.
L’identité d’un abonné définit les services auxquels cet abonné a accès sur Citrix Cloud. L’identité provient des comptes de domaine Active Directory fournis à partir des domaines dans l’emplacement de ressource. Les abonnés peuvent autoriser l’accès à l’offre à partir de Citrix Cloud en affectant un abonné à une offre de bibliothèque.
La communication locale entre Active Directory et Citrix Cloud s’effectue via l’appliance Citrix Connector à haut niveau de disponibilité (ou Cloud Connectors). Les organisations qui choisissent d’utiliser le service Azure Active Directory disposent d’une plus grande flexibilité en termes de gestion des comptes d’utilisateurs, de contrôle d’audit et de stratégies de mot de passe. En outre, l’administrateur peut configurer l’authentification multifacteur pour un niveau de sécurité plus élevé.
Citrix Secure Private Access avec sécurité renforcée pour les applications SaaS
Citrix Cloud offre la capacité d’authentification unique (SSO) aux applications SaaS via le service NetScaler Gateway. L’authentification unique offre une expérience utilisateur unifiée pour l’authentification unique des applications SaaS basées sur le Web et la publication sur l’interface utilisateur de l’expérience Citrix Workspace. Pour permettre une expérience utilisateur d’authentification unique, une application SaaS approuve l’assertion SAML fournie par le service NetScaler Gateway.
Le processus d’activation de l’authentification unique pour les applications SaaS est désormais simplifié en quelques formulaires Web et en cliquant sur la page de configuration. L’appliance Citrix Connector fournit un proxy à l’accès aux applications SaaS Web internes pour l’utilisateur de l’application Workspace.
Référence :Appliance Citrix Connector
Contrôle du contenu
La protection des données utilisateur (utilisateurs d’applications SaaS) est une tâche difficile pour la plupart des entreprises. En utilisant Citrix Secure Private Access, les entreprises peuvent intégrer des stratégies de sécurité améliorées dans les applications SaaS. Chaque politique impose une restriction sur le navigateur d’entreprise lors de l’utilisation de l’application Workspace pour ordinateur de bureau, ou sur le navigateur distant sécurisé lors de l’utilisation de l’application Workspace pour le Web ou mobile.
- Navigateur préféré :désactive l’utilisation du navigateur local et s’appuie sur le navigateur d’entreprise (application Workspace - ordinateur de bureau) ou le service Remote Browser Isolation (application Workspace - mobile et Web)
- Restreindre l’accès au presse-papiers :désactive les opérations de couper/copier/coller entre l’application et le presse-papiers
- Restreindre l’impression :désactive la possibilité d’imprimer depuis le navigateur de l’application
- Restreindre la navigation :désactive les boutons du navigateur suivant/précédent
- Restreindre les téléchargements :désactive la capacité de l’utilisateur à télécharger depuis l’application SaaS
- Filigrane d’affichage :superpose un filigrane basé sur l’écran indiquant le nom d’utilisateur et l’adresse IP du point final. Si un utilisateur tente d’imprimer ou de prendre une capture d’écran, le filigrane apparaît comme affiché à l’écran
Authentification unique Citrix Secure Private Access sans sécurité renforcée
| SLNO | Application Workspace avec application SaaS approuvée | Navigateur local avec application SaaS approuvée |
|---|---|---|
| 1 | L’utilisateur lance l’application Workspace sur le point de terminaison. | L 'utilisateur兰斯联合国navigateur Web苏尔勒点de terminaison, se connecte à Workspace et s’authentifie à l’aide d’Active Directory local ou Azure Active Directory. |
| 2 | L’application Workspace se connecte à l’espace de travail et s’authentifie à l’aide d’Active Directory/Azure Active Directory sur site. | Le navigateur local remplit les ressources approuvées. |
| 3 | L’application Workspace est pré-remplie avec des ressources approuvées. | 当l 'utilisateur为一个应用程序SaaS, le navigateur local envoie la demande à Workspace, qui demande une URL à usage unique et transmet le navigateur au service Gateway. |
| 4 | L’application Workspace envoie la demande à Workspace, qui demande une URL à usage unique au service Gateway et à un navigateur préféré. | Le navigateur local établit une connexion au service de passerelle. |
| 5 | Le navigateur local établit une connexion au service de passerelle. | Le service de passerelle demande une assertion au microservice d’authentification unique. |
| 6 | Le service de passerelle demande une assertion au microservice d’authentification unique. | Le navigateur local est redirigé vers la page de connexion de l’application SaaS où l’assertion est présentée. |
| 7 | Le navigateur local est redirigé vers la page de connexion de l’application SaaS où l’assertion est présentée. | L’application SaaS contacte le service Gateway pour valider l’assertion et authentifier l’utilisateur. |
| 8 | L’application SaaS contacte le service Gateway pour valider l’assertion et authentifier l’utilisateur. | Une fois authentifié, la communication s’effectue directement entre le navigateur et l’application SaaS. |
| 9 | Une fois authentifié, la communication s’effectue directement entre le navigateur et l’application SaaS. |
Accès privé sécurisé : authentification unique avec sécurité renforcée
| SLNO | Application Workspace avec application SaaS approuvée | Navigateur local avec application SaaS approuvée |
|---|---|---|
| 1 | L’utilisateur lance l’application Workspace sur le point de terminaison. | L’utilisateur lance un navigateur Web sur le terminal, se connecte à Workspace et s’authentifie à l’aide d’Active Directory ou d’Azure Active Directory sur site. |
| 2 | L’application Workspace se connecte à l’espace de travail et s’authentifie à l’aide d’Active Directory/Azure Active Directory sur site. | Le navigateur local est pré-rempli avec des ressources approuvées. |
| 3 | L’application Workspace est pré-remplie avec des ressources approuvées. | 当l 'utilisateur为一个应用程序SaaS, le navigateur local envoie la demande à Workspace, qui demande une URL à usage unique et redirige le navigateur vers le service Remote Browser Isolation. |
| 4 | L’application Workspace envoie la demande à Workspace, qui demande une URL à usage unique au service Gateway. | Le navigateur local établit une connexion sécurisée au navigateur distant. |
| 5 | Le navigateur d’entreprise établit une connexion au service Gateway. | Le navigateur distant sécurisé établit une connexion avec le service Gateway. |
| 6 | Le service de passerelle demande une assertion au microservice d’authentification unique et des stratégies de sécurité améliorées au service d’accès privé sécurisé. | Le service Gateway demande une assertion au microservice SSO et des stratégies de sécurité améliorées au service Secure Private Access. |
| 7 | Le navigateur d’entreprise est redirigé vers la page de connexion de l’application SaaS où l’assertion est présentée. | Secure Remote Browser est redirigé vers la page de connexion de l’application SaaS où l’assertion est présentée. |
| 8 | L’application SaaS contacte le service Gateway pour valider l’assertion et authentifier l’utilisateur. | L’application SaaS contacte le service Gateway pour valider l’assertion et authentifier l’utilisateur. |
| 9 | Une fois authentifié, la communication se produit directement entre le navigateur et l’application SaaS. | Une fois authentifié, la communication se produit directement entre le navigateur et l’application SaaS. |
Référence :fiche technique Citrix Secure Private Access
Accès contextuel
La plupart des applications SaaS sont sûres à utiliser, même si parfois, lorsqu’un utilisateur clique sur un lien hypertexte dans une application SaaS, cela peut présenter un risque de sécurité pour une entreprise. Le microservice de filtrage Web autorise, refuse ou redirige la demande de lien hypertexte de l’utilisateur.
| SLNO | Application Workspace avec sécurité renforcée | Navigateur local avec sécurité renforcée |
|---|---|---|
| 1 | L’utilisateur sélectionne un lien hypertexte dans l’application SaaS. | L’utilisateur sélectionne un lien hypertexte dans l’application SaaS. |
| 2 | Le navigateur d’entreprise intégré à l’application Workspace envoie l’URL au service Secure Private Access. | Secure Remote Browser envoie l’URL au service Secure Private Access. |
| 3 | Le service Secure Private Access demande une analyse de l’URL par le microservice de filtrage Web. | Le service Secure Private Access demande une analyse de l’URL par le microservice de filtrage Web. |
| 4 | Pour les liens bloqués, le microservice de filtrage Web refuse l’accès au lien hypertexte. | Pour les liens bloqués, le microservice de filtrage Web refuse l’accès au lien hypertexte. |
| 5 | Pour les liens approuvés, le microservice de filtrage Web permet à l’utilisateur d’accéder au lien via le navigateur de l’entreprise. | Pour les liens approuvés, le microservice de filtrage Web permet à l’utilisateur d’accéder au lien sous la forme d’un nouvel onglet dans sa session de service Remote Browser Isolation en cours. |
| 6 | Pour les liens redirigés, le microservice de filtrage Web permet à une application Workspace d’envoyer le lien au service Remote Browser Isolation, qui démarre une nouvelle session de navigateur virtuelle pour l’utilisateur final. | Pour les liens redirigés, le microservice de filtrage Web permet à l’utilisateur d’accéder au lien sous la forme d’un nouvel onglet dans sa session de service Remote Browser Isolation en cours. |
Présentation du filtrage Web
Le filtrage Web fournit un contrôle basé sur des stratégies des sites Web en utilisant les informations contenues dans les URL. Cette fonctionnalité permet aux administrateurs réseau de surveiller et de contrôler l’accès des utilisateurs aux sites Web malveillants sur le réseau.
Cette version de service permet le filtrage Web pour l’application Citrix Workspace accédant aux applications SaaS et à Internet, et pour Citrix Remote Browser Isolation pour accéder aux applications SaaS et à Internet.
L’administrateur Citrix Secure Private Access peut bloquer et autoriser une liste d’URL. Le contrôleur de filtrage Web utilise une base de données de catégorisation et une liste d’URL. Lorsque la demande vient au contrôleur de filtrage Web, il vérifie d’abord la liste d’autorisation globale qui contient également les URL critiques de Citrix Cloud. Ensuite, il s’agit des listes et de la catégorisation et de la vérification des URL bloquées, autorisées et redirigées vers les URL d’isolation du navigateur distant. Si aucune des URL ne correspond, elle revient par défaut à la liste par défaut.
Citrix Secure Private Access et Citrix Analytics
Le service Citrix Analytics est un service basé sur le cloud qui facilite les analyses pragmatiques en collectant des données dans l’ensemble de la gamme de produits Citrix. Citrix Secure Private Access organise et produit des informations sur les activités des utilisateurs, telles que les sites Web visités et la bande passante utilisée. Citrix Secure Private Access surveille également les logiciels malveillants et les sites de phishing en examinant la consommation de bande passante et en établissant des rapports à ce sujet. L’administrateur peut prendre des mesures correctives en exploitant ces mesures clés pour surveiller le réseau.
Citrix Analytics s’intègre facilement à Citrix Secure Private Access, au service NetScaler Gateway et aux autres produits du portefeuille Citrix. Citrix Analytics fournit des informations complètes sur le comportement des utilisateurs. Il utilise des algorithmes d’apprentissage automatique pour détecter les comportements anormaux des utilisateurs, résoudre les problèmes liés aux sessions utilisateur et afficher les mesures opérationnelles pour les utilisateurs d’une organisation qui utilise des produits Citrix.
Les服务等的Citrix envoient多恩es à Citrix Analytics, appelées sources de données. Les sources de données associées au compte Citrix Cloud sont découvertes par le service Citrix Analytics. Les journaux Citrix Cloud sont transmis en toute sécurité à Citrix Analytics. Les journaux sont collectés auprès de Citrix Secure Private Access et conservés séparément des sources de données.
Le service Citrix Secure Private Access fournit des tableaux de bord de sécurité et d’opérations. Le tableau de bord de sécurité fournit des profils de risque utilisateur et un résumé de l’activité d’accès des utilisateurs, tels que l’URL ou le domaine visité et la bande passante utilisée. L’accès aux applications résume les détails des domaines, des URL et des applications accessibles par les utilisateurs.
Référence :Accès privé sécurisé et analytique Citrix
Les administrateurs Citrix peuvent认为des regles sur Citrix Analytics pour effectuer des actions sur les comptes d’utilisateurs en cas d’activités inhabituelles ou suspectes. Une règle est un ensemble de conditions qui doivent être remplies pour qu’une action soit exécutée. Une règle peut contenir une seule condition et une ou plusieurs actions. Des conditions telles que le « score de risque » et le « changement de score de risque » sont des conditions globales. Des conditions globales peuvent être appliquées à un utilisateur spécifique pour une source de données spécifique.
L’administrateur crée une règle basée sur l’activité de l’utilisateur en appliquant des conditions répertoriées comme suit :
- Tentative d’accès à l’URL de la liste noireIndique une tentative d’accès à une URL sur liste noire.
- Accès à un site Web à risqueIndique que l’utilisateur a tenté d’accéder à un site Web malveillant, suspect ou risqué.
- Volume de téléchargement inhabituelIndique que le volume de données téléchargées par l’utilisateur à partir d’applications ou de sites Web a dépassé le seuil défini implicitement par Citrix Analytics.
- Volume de téléchargement inhabituelIndique que le volume de données chargées par l’utilisateur à partir d’applications ou de sites Web a dépassé le seuil défini implicitement par Citrix Analytics.
Référence :Accès privé sécurisé et analyse
Expérience utilisateur final Citrix Secure Private Access
L’administrateur Citrix est habilité à étendre le contrôle de sécurité à l’aide de Citrix Secure Private Access. L’application Citrix Workspace est un point d’entrée pour accéder à toutes les ressources en toute sécurité. Les utilisateurs finaux peuvent accéder aux applications virtuelles, aux bureaux, aux applications SaaS et aux fichiers via l’application Citrix Workspace. Avec Citrix Secure Private Access, les administrateurs peuvent contrôler la façon dont l’utilisateur final peut accéder à une application SaaS via l’interface utilisateur Web Citrix Workspace Experience ou le client d’application Citrix Workspace natif.
Pour plus d’informations, consultezArchitecture de référencede l’application Citrix Workspace.
Expérience utilisateur final avec l’application Workspace et le portail Web
Lorsque l’utilisateur lance l’application Workspace sur le terminal, il voit ses applications, ses bureaux, ses fichiers et ses applications SaaS. Si un utilisateur clique sur l’application SaaS lorsque la sécurité renforcée est désactivée, l’application s’ouvre dans un navigateur standard installé localement. Si l’administrateur a activé la sécurité renforcée, les applications SaaS s’ouvrent sur le navigateur de l’entreprise au sein de l’application Workspace. L’accessibilité aux liens hypertextes au sein des applications SaaS et des applications Web est contrôlée sur la base de politiques de filtrage Web.
De même, avec le portail Web Workspace, lorsque la sécurité renforcée est désactivée, les applications SaaS sont ouvertes via un navigateur standard installé en mode natif. Lorsque la sécurité renforcée est activée, les applications SaaS sont ouvertes via le navigateur distant sécurisé. Les utilisateurs peuvent accéder aux sites Web au sein des applications SaaS en fonction de stratégies de filtrage Web.
Mise en œuvre de Citrix Secure Private Access
Le service Citrix Secure Private Access est un service basé sur le cloud. Pour fournir des solutions centrées sur l’utilisateur aux entreprises et respecter les stratégies, Citrix Secure Private Access joue un rôle essentiel. Outre Citrix Secure Private Access, d’autres services sont activés pour fournir des solutions consolidées aux utilisateurs finaux. Pour commencer à intégrer et à configurer le service Citrix Secure Private Access, l’administrateur doit configurer l’authentification, configurer l’accès aux applications SaaS et spécifier les paramètres d’accès au contenu dans le service Citrix Secure Private Access. Les utilisateurs finaux peuvent accéder au service à partir de l’application Citrix Workspace ou de l’URL Workspace.
L’administrateur Citrix se connecte à Citrix Cloud à l’aide de ses informations d’identification et demande le service Citrix Secure Private Access. Citrix Secure Private Access est intégré à d’autres produits du portefeuille Citrix, notamment Citrix Gateway, Remote Browser Isolation et Citrix Analytics. Cette solution offre une sécurité pour les applications SaaS.
Étape 1 :L 'administrateur Citrix配置标识和Access Management sur Citrix Cloud. Par défaut, Citrix Cloud utilise le fournisseur d’identité Citrix pour gérer les informations d’identité de tous les utilisateurs du compte Citrix Cloud. L’administrateur peut modifier et utiliser Azure Active Directory ou un service Active Directory local.
Étape 2 :L’administrateur Citrix se connecte au service NetScaler Gateway pour configurer l’authentification unique pour les applications SaaS et Web. Le service NetScaler Gateway offre une connexion sécurisée à l’environnement de l’entreprise où les utilisateurs finaux se connectent aux applications à l’aide de l’authentification unique SAML.
Ajoutez une application Web ou SaaS à la bibliothèque à partir du modèle. Pour en savoir plus sur la liste des applications SaaS prises en charge par Citrix Secure Private Access, consultez la sectionApplications SaaS prises en charge par le service Citrix Secure Private Access
Étape 3 :L’administrateur saisit les détails de l’application, tels que le nom de l’application, l’URL et les détails du domaine. Des stratégies de sécurité améliorées peuvent être activées pour empêcher les fuites de données. Ces politiques au sein des applications SaaS imposent des restrictions sur le navigateur d’entreprise lors de l’utilisation d’une application Workspace pour ordinateur de bureau ou sur un navigateur distant sécurisé lors de l’utilisation de l’application Workspace Web ou mobile.
Étape 4 :Activer l’authentification unique pour les applications Web/SaaS :le service NetScaler Gateway (services cloud uniquement) fournit une authentification unique pour les applications SaaS. L’activation de l’authentification unique pour les applications SaaS est désormais simplifiée en quelques formulaires Web et en cliquant sur la page de configuration, ce qui simplifie considérablement le processus de déploiement. Les administrateurs peuvent appliquer l’Connector Appliance pour transmettre par proxy l’accès à une application SaaS Web interne à l’utilisateur externe de l’application Workspace.
Dans la sectionBibliothèquede Citrix Cloud, les applications SaaS et Web sont publiées. L’administrateur doit ajouter des utilisateurs après avoir choisi le domaine, et seuls les utilisateurs abonnés peuvent accéder à l’application via l’application Workspace ou Workspace Web.
Étape 5 :Filtrer les listes de sites Web :Pour protéger le réseau de l’entreprise contre les attaques basées sur le navigateur, Citrix Secure Private Access inclut un service de filtrage Web. Sur la base des stratégies, le service de filtrage Web autorise, refuse ou redirige la demande de lien hypertexte de l’utilisateur comme défini :
Autorisé :le lien de demande est considéré comme sûr et l’accès est autorisé dans le navigateur d’entreprise de l’application Workspace.
Bloqué :Le lien hypertexte est considéré comme dangereux et l’accès est refusé.
Redirigé :l’administrateur prend des précautions sur les sites Web présentant des menaces de sécurité en les redirigeant via le service Remote Browser Isolation.
Étape 6 :Filtrer les catégories du site Web. La base de données de catégorisation permet de filtrer le trafic Web en contrôlant l’accès des utilisateurs finaux à des sites Web spécifiques, tels que les réseaux sociaux, les jeux de hasard, le contenu pour adultes, les nouveaux médias et les achats. Les catégories restreignent l’accès des utilisateurs à des sites Web et à des catégories de sites Web spécifiques.
| Les prereglages de分类fournissent des modèles prêts à l’emploi pratiques | |
|---|---|
| Strict | Réduit le risque d’accès à des sites Web non sécurisés ou malveillants. Les utilisateurs peuvent toujours accéder aux sites Web qui présentent de faibles risques. Comprend la plupart des sites Web de voyages d’affaires et de médias sociaux. (133/192 catégories) |
| Modéré | Minimise les risques tout en autorisant d’autres catégories présentant une faible probabilité d’exposition à partir de sites non sécurisés ou malveillants. Comprend la plupart des sites Web sur les voyages d’affaires, les loisirs et les médias sociaux. (65/192 catégories) |
| Tolérant | Maximise l’accès tout en contrôlant les risques liés aux sites Web illégaux et malveillants. (36/192 catégories) |
| Aucun | Autorise toutes les catégories. |
| Personnalisée | Configurer le filtrage personnalisé des catégories. |
Référence :liste des catégories Citrix Secure Private Access
L’application Citrix Workspace offre aux utilisateurs une grande expérience (Workspace sécurisé, contextuel, unifié) sur n’importe quel appareil. Les utilisateurs bénéficient d’un accès transparent et sécurisé à toutes les applications dont ils ont besoin pour être productifs grâce à l’authentification unique.
Pour valider la configuration, les utilisateurs finaux peuvent lancer l’application SaaS à partir de l’application Citrix Workspace (ou Citrix Workspace Web). En outre, les utilisateurs peuvent vérifier les sites Web autorisés/bloqués ajoutés dans les listes de filtrage des sites Web en visitant les URL. Le navigateur d’entreprise de l’application Citrix Workspace permet aux administrateurs de fournir un accès natif aux applications SaaS avec des contrôles de sécurité améliorés.
Pour en savoir plus sur l’application Citrix Workspace, consultezArchitecture de référence de l’application Citrix Workspace.
Étape 7 :乐服务s 'integre Citrix安全的私人访问à Citrix Analytics pour récupérer des informations sur les activités des utilisateurs, telles que les sites Web visités et la bande passante consommée. Citrix Analytics signale les menaces détectées, telles que les logiciels malveillants et les sites de phishing.
L’administrateur peut se connecter au service cloud Citrix Analytics et créer des règles pour Citrix Secure Private Access, puis appliquer le plan d’action lorsque les conditions sont remplies. Pour surveiller et analyser les activités du comportement des utilisateurs, activez « Activer le traitement des données » pour Citrix Secure Private Access pour les analyses sur Citrix Cloud (les sources de données sont des services et produits Citrix qui envoient des données à Citrix Analytics).
Le service Citrix Analytics surveille les activités et le comportement des utilisateurs à l’aide de l’apprentissage automatique et de l’intelligence artificielle. Les sources de données pour Citrix Analytics sont collectées à partir de l’application Workspace, de Citrix Gateway, de Citrix Secure Private Access et du service Remote Browser Isolation.
Cas d’utilisation de Citrix Secure Private Access
今天,les信息化se tournent更莱斯solutions SaaS (Software as a Service) pour répondre aux besoins de l’entreprise, mais souvent sans prendre les mesures de sécurité nécessaires ni maintenir correctement les applications. La plupart des défaillances de sécurité des applications SaaS sont causées par des utilisateurs et non par des fournisseurs de cloud. L’organisation doit réglementer ses stratégies pour remédier à ces lacunes.
Citrix Secure Private Access applique des stratégies de sécurité améliorées pour les applications SaaS (filigrane, restriction du copier-coller, empêcher le téléchargement/le téléchargement de données sensibles, etc.). Il définit également les stratégies d’accès pour les catégories de sites Web et les sites Web à bloquer/autoriser sous la forme d’un filtrage Web.
| Déploiements de friches industrielles | 评论Citrix年代'integre安全的私人访问 |
|---|---|
| Les organisations souhaitant adopter les services Citrix Cloud. | 1) Citrix Secure Private Access s’adapte parfaitement à leur environnement, fournissant aux utilisateurs finaux une sécurité pour les fonctionnalités SaaS, SSO et de filtrage Web. 2) Aux entreprises qui souhaitent un modèle sur site, NetScaler Gateway contribue à fournir une authentification unique et une sécurité renforcée aux utilisateurs finaux. |
| Les organisations qui ont déjà adopté le service NetScaler Gateway. | 1) Citrix Cloud propose plusieurs services basés sur le cloud, notamment Citrix Secure Private Access, Analytics et le service Remote Browser Isolation, qui fournissent un contrôle de sécurité pour les applications SaaS et Internet. |
| Organisations qui ont déjà adopté un SSO tiers | 1) Citrix Secure Private Access fournit des contrôles de sécurité de niveau granulaire pour les applications SaaS, minimise les menaces Web et applique automatiquement les politiques grâce à des analyses basées sur le comportement des utilisateurs. 2) Le proxy ICA est pris en charge à la fois sur site et Citrix DaaS. |
Solution Citrix Secure Private Access pour les applications Web d’entreprise
La plupart des clients sur site utilisent toujours des applications Web, notamment SharePoint, Confluence, Microsoft Office, des applications de centre d’assistance, etc. Les applications d’entreprise sont fournies à distance à l’aide du service NetScaler Gateway et la sécurité nécessaire est ajoutée à l’aide de Citrix Secure Private Access.
Les utilisateurs finaux accèdent aux applications Web à l’aide de Citrix Workspace qui exploite le service NetScaler Gateway. Le service NetScaler Gateway, associé de manière sécurisée à Citrix Workspace, offre une expérience utilisateur unifiée pour les applications Web configurées. L’authentification unique et l’accessibilité à distance aux applications Web internes sont disponibles via différents packages de services.
Le schéma précédent montre la solution Citrix Secure Private Access appliquée aux clients locaux à l’aide de l’appliance Citrix Connector. L’appliance Citrix Connector fait office de pont entre les applications Web d’entreprise et le service Citrix Workspace.
Authentification unique avec application Web avec sécurité renforcée
L’utilisateur lance l’application Citrix Workspace et se connecte avec Citrix Workspace à l’aide d’un service Active Directory local. L’application Citrix Workspace est utilisée pour démarrer une application Web. Le service NetScaler Gateway fournit le navigateur recommandé et le lien. Le navigateur d’entreprise de l’application Citrix Workspace établit une connexion d’application avec le service NetScaler Gateway. En outre, les stratégies de sécurité améliorées sont activées via le service Citrix Secure Private Access. En outre, le service Citrix Gateway établit une connexion sortante avec Connector Appliance à partir de l’emplacement des ressources. Elle vérifie les informations de connexion et l’application Citrix Workspace sécurise une connexion de bout en bout avec l’application Web interne.
Si l’utilisateur utilise un navigateur local, l’authentification s’effectue via le service Active Directory, et le navigateur local établit une connexion sécurisée avec le service Remote Browser Isolation. Les stratégies de sécurité améliorées sont activées via le service Secure Private Access. Un canal sortant sécurisé est ensuite établi entre l’Connector Appliance et le service Citrix Gateway. Ensuite, les informations d’identification de l’utilisateur sont négociées et l’authentification unique est établie pour le compte de l’utilisateur. Enfin, une connexion de bout en bout est trouvée via le navigateur sécurisé pour l’utilisateur.
Référence :Prise en charge des applications Web d’entreprise
Authentification unique Citrix Secure Private Access pour les applications Web
L’appliance Citrix Connector et le service Citrix Gateway dans le cloud sécurisent la communication avec les applications locales. Les applications Web sont accessibles et mises à disposition via Workspace à l’aide d’une connexion sans VPN. L’administrateur doit choisir la méthode d’authentification unique lors de la configuration de l’application Web.
Ces quatre types d’authentification unique peuvent être configurés via le service NetScaler Gateway :
- Formulaire basé
- SSO de base
- Kerberos
- SAML (TP)
Authentification par formulaire
1) Le service Citrix Gateway établit un canal sécurisé entre l’appliance Citrix Connector et envoie la demande d’application Web avec les informations de connexion
2) L’appliance Citrix Connector envoie les informations de connexion à l’application Web correspondante
3) Une connexion sécurisée de bout en bout est établie entre l’application Web et l’application Citrix Workspace via le service NetScaler Gateway à l’aide de l’authentification unique à l’application Web
Authentification SSO de base
1) Le service Citrix Gateway crée un canal sécurisé entre l’appliance Citrix Connector et envoie la demande d’application Web avec le nom d’utilisateur et le mot de passe
2) L’appliance Citrix Connector envoie les informations de connexion à la page de connexion de l’application Web
3) L’application Web demande une authentification à l’aide du protocole NTLM
4) L’appliance Citrix Connector répond à la demande NTLM avec un nom d’utilisateur et un mot de passe
5) Une connexion sécurisée de bout en bout est établie entre l’application Web et l’application Citrix Workspace via le service NetScaler Gateway à l’aide de l’authentification unique à l’application Web
Authentification Kerberos
1) Le service Citrix Gateway crée un canal sécurisé entre l’appliance Citrix Connector et envoie une demande d’application Web avec un nom d’utilisateur et un mot de passe
2) L’appliance Citrix Connector envoie les informations de connexion à la page de connexion de l’application Web
3) L’application Web demande une authentification à l’aide du protocole Kerberos
4) L’appliance Citrix Connector contacte le contrôleur de domaine pour vérifier les informations de connexion
5) le contrôleur de domaine valide les informations d’identification de l’utilisateur et accuse réception
6) L’appliance Citrix Connector retransmet l’application vers l’application Web
7) Une connexion sécurisée de bout en bout est établie entre l’application Web Citrix et l’application Citrix Workspace via le service NetScaler Gateway à l’aide de l’authentification unique à l’application Web
Pour activer la fonctionnalité d’authentification unique Kerberos, les administrateurs configurent Connector Appliance avec les informations d’identification d’un compte de service autorisé à effectuer la délégation contrainte Kerberos.
Les utilisateurs peuvent essayer d’accéder à des sites Web malveillants qui causent de graves dommages à l’entreprise. Ils peuvent également enfreindre les réglementations et les stratégies de l’entreprise. Pour résoudre ces problèmes, les administrateurs peuvent adopter Citrix Secure Private Access pour filtrer les sites Web à risque qui présentent un risque pour leur organisation. Un filigrane peut également être ajouté tout au long de la session avec le nom et l’adresse IP de l’utilisateur.
Référence :Prise en charge des applications Web d’entreprise
Stratégies de protection des applications Citrix Secure Private Access
Il est fréquent que les identifiants de connexion d’un utilisateur soient volés, mais il se peut que l’utilisateur ne le sache pas. Les cybercriminels utilisent diverses techniques pour appréhender les données des utilisateurs finaux, et une technique courante consiste à utiliser un logiciel malveillant enregistreur de frappe pour capturer les données des utilisateurs. Ces produits malveillants peuvent être facilement installés sur la machine d’un utilisateur et commencer immédiatement à essayer d’obtenir des informations sur l’utilisateur. La fuite d’informations utilisateur peut entraîner des dommages importants pour l’entreprise et l’utilisateur. Pour surmonter ce problème, l’entreprise doit investir massivement dans la protection des données des utilisateurs et créer un bouclier défensif contre les enregistreurs de frappe.
Les applications qui capturent des captures d’écran sont similaires aux enregistreurs de frappe. Ces programmes malveillants fonctionnent en faisant des captures d’écran du bureau de l’utilisateur afin de capturer les informations affichées à l’écran.
不同类型软件peuvent可能安装és sur le point final de l’utilisateur pour éviter la capture d’image sur le bureau de l’utilisateur. Mais cela peut entraîner un ralentissement des performances du bureau et de l’environnement de l’utilisateur.
Citrix Secure Private Access dispose de stratégies avancées pour protéger les données d’entreprise. La sécurité des terminaux est une considération de sécurité importante pour toute entreprise, car la majorité des violations se produisent au niveau du point de terminaison de l’utilisateur. Les stratégies de protection des applications sont des règles qui sont appliquées lors de l’activation de la sécurité renforcée pour une application SaaS. Les clients peuvent utiliser deux stratégies de sécurité avancées :
Anti-journalisation des touches
Prévention de capture d’écran
Les stratégies de protection des applications Citrix sont activées via la solution Citrix Secure Private Access. Les avantages sont les suivants :
- 保护反对l 'enregistrement au键盘et la capture d’écran
- Gestion centralisée pour les administrateurs Citrix
- Indépendant de la posture de sécurité de l’appareil
Les stratégies de protection des applications sont intégrées dans l’application Citrix Workspace à partir de la version 1912 pour Windows, mais l’administrateur doit activer cette fonctionnalité.
Référence :Stratégies de protection des applications
Protégez les utilisateurs contre la navigation Internet risquée à l’aide de Citrix Secure Browser
Les navigateurs Web font partie intégrante d’un environnement de production actif. Ce sont des outils puissants et riches en données exposés à Internet plus que n’importe quelle autre application de l’environnement de travail. Au cours des dernières années, les cybercriminels ont utilisé les navigateurs Web pour récupérer de grandes quantités d’informations sur les utilisateurs, notamment des données de carte de crédit, des identifiants de messagerie et des mots de passe stockés.
Les attaques basées sur les navigateurs sont devenues courantes non pas parce qu’elles constituent des cibles de piratage stratégiques souhaitables, mais parce que les attaques basées sur des navigateurs sont difficiles à détecter. Les contrôles de sécurité classiques ne parviennent pas à détecter de telles attaques, car ces applications examinent uniquement les fichiers téléchargés et les pièces jointes. Par conséquent, les attaques basées sur un navigateur ont tendance à passer inaperçues.
Le service Citrix Remote Browser Isolation isole la navigation Web afin de protéger l’environnement de production du client contre les attaques basées sur le navigateur. L’application Citrix Workspace ou les navigateurs locaux constituent un point d’entrée dans l’environnement de production Citrix. Citrix Secure Browser isole la navigation sur Internet afin que le site Web ne transfère aucune donnée de navigation directement vers ou depuis la machine utilisateur. Grâce à cela, les administrateurs de sécurité peuvent offrir un accès Internet sécurisé sans réduire la sécurité de l’entreprise.
Le service Citrix Remote Browser Isolation est un produit SaaS géré et exploité par Citrix. Il permet d’accéder aux applications Web via un navigateur Web intermédiaire hébergé dans le cloud. Lorsque vous utilisez le service Citrix Secure, les navigateurs Web hébergés suivent l’historique de navigation d’un utilisateur et mettent en cache les requêtes HTTP/HTTPS. Citrix utilise des profils obligatoires et s’assure qu’une fois la session de navigation terminée, les données de cette session sont effacées.
Le service Remote Browser Isolation est accessible via un navigateur Web compatible HTML5. Les utilisateurs ne doivent télécharger aucun client. Tout le trafic entre le navigateur de l’utilisateur final et le service Citrix Cloud est chiffré à l’aide du cryptage TLS standard et seul TLS 1.2 est pris en charge.
Le schéma précédent montre l’intégration de la solution Citrix Secure Private Access, y compris le service Citrix Remote Browser Isolation pour les environnements Citrix sur site et dans le cloud. Les clients de Citrix Virtual Apps and Desktops disposant d’un StoreFront sur site peuvent facilement s’intégrer au service Remote Browser Isolation.
Citrix Secure Private Access et collaboration de contenu
La plupart des entreprises ont été confrontées à des ransomwares ou à des tentatives d’hameçonnage qui ont compromis leur réseau. La cause première de ces menaces est souvent une protection insuffisante contre les menaces Web. Il y a un manque de visibilité sur les sites Web auxquels les utilisateurs accèdent au jour le jour.
Le service Citrix Secure Private Access permet à une entreprise de protéger son environnement contre les attaques par navigateur et les fuites de données. Lorsque les employés accèdent à leurs applications depuis n’importe quel appareil, qu’ils soient au bureau, à la maison ou en déplacement, le service Citrix Secure Private Access offre une expérience cohérente intégrant l’authentification unique, l’authentification à deux facteurs, l’accès à distance et le filtrage Web dans une solution unique pour un accès privé sécurisé de bout en bout.
Citrix Content Collaboration permet aux utilisateurs d’échanger facilement et en toute sécurité des documents. Il existe de nombreuses façons de travailler avec Citrix Content Collaboration, notamment une interface Web, des clients mobiles, des applications de bureau et l’intégration avec Microsoft Outlook et Gmail.
Citrix Files est un gestionnaire de fichiers qui offre le partage et le stockage des données, une utilisation et des paramètres personnalisables, ainsi que des outils qui permettent aux utilisateurs de collaborer plus facilement et de travailler depuis n’importe quel appareil, à tout moment et en tout lieu.
Le schéma précédent illustre la mise à disposition de l’application Citrix Files SaaS à un utilisateur final dans un scénario de modèle de cloud hybride. L’appliance Citrix Connector (ou Cloud Connector) fournit un lien vers le compte Citrix Cloud et l’emplacement des ressources. L’emplacement des ressources contient Active Directory pour les utilisateurs finaux, ce qui leur permet de se connecter de manière transparente à leur application Web.
Le service NetScaler Gateway propose l’authentification, l’authentification unique et permet la mise à disposition rapide et sécurisée des applications virtuelles Citrix et des applications SaaS. Les utilisateurs finaux se connectent à l’environnement de l’entreprise à l’aide de leurs identifiants de connexion et peuvent se connecter aux applications Web à l’aide de l’authentification unique SAML. Sur le service NetScaler Gateway, les administrateurs peuvent choisir le modèle d’application Web/SaaS ou définir leurs propres paramètres d’application. Par exemple :
Nommez l’application :« Citrix Files »
Entrez l’URL :https://xxxxx.sharefile.com/
De même, sur la page SSO, les administrateurs peuvent s’assurer que SAML est sélectionné, en supposant que le paramètre SAML ou SSO pour Citrix Files est déjà défini pour le back-end.
L’URL d’assertion est :https://xxxxx.sharefile.com/saml/xxxx
Public :https://xxxxx.sharefile.com
Format de l’ID de nom :adresse e-mail
Nom ID :Email
Une fois l’application SaaS ajoutée à la bibliothèque Citrix Cloud, l’administrateur doit gérer les abonnés et fournir l’URL Workspace aux utilisateurs pour y accéder. Avec Active Directory, il peut servir de fournisseur d’identité pour permettre l’authentification unique SAML à diverses applications Web et SaaS.
Contrôle du contenu et accès contextuel
Sur la page Sécurité renforcée, l’administrateur peut définir des stratégies pour protéger l’entreprise contre les fuites de données sensibles. Il propose les options suivantes :
- accès restreint au presse-papiers
- impression restreinte
- navigation restreinte
- téléchargements restreints
- affichage des filigranes
倒bloquer les网站Web indesirables qui presentent des risques de sécurité pour les entreprises, l’administrateur Citrix doit bloquer et autoriser les URL en ajoutant des listes d’URL ou en choisissant des listes de catégories. L’administrateur peut également adopter une approche prudente en redirigeant les URL via un navigateur sécurisé.
Comportement et activités de l’utilisateur
Pour surveiller le comportement et les activités des utilisateurs par un administrateur, le service Citrix Secure Private Access s’intègre facilement au service Citrix Analytics. L’administrateur impose des conditions prédéfinies et un plan d’action pour atténuer les risques.
Citrix Secure Private Access et G Suite
G Suite (également connu sous le nom de Google Workspace) est un ensemble d’applications SaaS accessibles à distance via Internet. G Suite était auparavant connu sous le nom de Google Apps développé par Google. G Suite comprend Gmail, Hangouts et Calendar pour la communication ; Google Drive pour le stockage ; Google Docs, Sheets, Slides, Forms et Sites pour la collaboration. G Suite offre d’énormes avantages en termes de productivité, mais la plupart des réseaux ne sont pas conçus correctement pour fournir les performances et la sécurité nécessaires aux cas d’utilisation de la mobilité et du cloud.
Google Cloud et Citrix permettent aux utilisateurs finaux d’accélérer la mise en place de solutions novatrices offrant une sécurité renforcée, une expérience utilisateur exceptionnelle et une flexibilité tant recherchée dans un monde de cloud hybride, centré sur les applications, axé sur la mobilité et axé sur les applications.
G Suite, un ensemble d’applications SaaS de productivité leaders sur le marché, peut être intégré à Citrix Secure Private Access pour permettre à l’entreprise d’obtenir une visibilité et un contrôle accrus des applications SaaS, ce qui empêche les fuites de données et la divulgation non autorisée d’informations sensibles.
Les utilisateurs finaux peuvent accéder aux applications G Suite en saisissant simplement l’URL et les informations de connexion via l’application Citrix Workspace. Les utilisateurs disposeront d’un espace de travail complet comprenant des applications, des postes de travail et des fichiers, en gardant à l’esprit qu’ils n’auront jamais à saisir un autre nom d’utilisateur et mot de passe. L’ensemble de l’espace de travail est fourni via un point d’accès unique qui améliore la productivité et rationalise les flux de travail courants pour l’utilisateur final.
Citrix Secure Private Access fournit non seulement une fonctionnalité d’authentification unique, mais fournit également une couche de contrôles de sécurité qui ne sont pas disponibles dans d’autres solutions.
Déploiement
L’appliance Citrix Connector (ou Cloud Connectors) est utilisée pour gérer toutes les communications entre les emplacements de ressources et Citrix Cloud. Pour une haute disponibilité, un minimum de deux connecteurs sont déployés à chaque emplacement de ressource. Les emplacements de ressources s’intègrent à Active Directory, ce qui permet aux utilisateurs finaux de se connecter de manière transparente à leurs applications G Suite.
Le service NetScaler Gateway avec Active Directory peut servir de fournisseur d’identité pour permettre l’authentification unique SAML aux applications SaaS G Suite. Citrix Secure Private Access permet aux utilisateurs finaux de lancer des applications SaaS G Suite dans des sessions Secure Browser et permet également à l’administrateur d’appliquer cinq stratégies de contrôle différentes.
Scénario 1 :la sécurité renforcée est désactivée. Lorsqu’un utilisateur lance Gmail dans G Suite, il s’ouvre dans un navigateur standard. De même, les URL ouvertes dans leur compte Gmail utilisent un navigateur standard sans aucune stratégie ou contrôle de sécurité supplémentaire. Un utilisateur a la liberté de naviguer à partir de la page, de couper, de copier et d’imprimer la page.
Scénario 2 :la sécurité améliorée est activée. Lorsqu’un utilisateur lance Gmail dans la suite G, il s’ouvre dans un navigateur sécurisé. Désormais, une couche de capacité de contrôle est appliquée via Citrix Secure Private Access et l’utilisateur final n’a pas de barre de navigation pour quitter le site. De plus, des restrictions de copier-coller sont imposées. En outre, Citrix Secure Private Access fournit des fonctionnalités de filtrage d’URL qui empêchent les utilisateurs de visiter des sites Web malveillants. Les utilisateurs peuvent également être redirigés vers un navigateur sécurisé en fonction des stratégies.
Avantages de l’utilisation de Citrix Secure Private Access avec les applications SaaS G Suite :
- Single Sign-On
- Authentification multifacteur
- Stratégies de sécurité améliorées pour G Suite
- Stratégies de filtrage Web pour G Suite
- Visibilité et analyse de bout en bout
Concepts avancés
Modèle de conception validé NetScaler Gateway SaaS et O365 Cloud
Résumé
Citrix Secure Private Access est une solution consolidée pour un espace de travail numérique sécurisé. La plupart des entreprises adoptent des applications SaaS et Web à mesure que l’espace de travail numérique évolue. La mise en œuvre d’une solution collaborative améliorerait considérablement la sécurité et apporterait des avantages aux entreprises, aux petites entreprises et aux fournisseurs de SaaS, tout en garantissant la protection de leurs données.
L’idée de protéger uniquement un réseau ne suffit plus. L’entreprise doit protéger les utilisateurs et les applications. C’est pourquoi Citrix Secure Private Access fournit :
- Accès consolidé aux applications SaaS, Web et virtuelles
- Expérience constante de l’utilisateur final et flexibilité d’utilisation de n’importe quel périphérique de terminal
- Visibilité du trafic des applications et détection des menaces à l’aide de services d’analyse qui permettent un contrôle intégré des applications SaaS au-delà de l’authentification unique
Sources
L’objectif de cette architecture de référence est de vous aider à planifier votre propre implémentation. Pour vous faciliter la tâche, nous aimerions vous fournir des diagrammes sources que vous pouvez appliquer à vos propres conceptions détaillées et guides de mise en œuvre :diagrammes source.
Références
Dans cet article
- Audience
- Objectif du présent document
- Contrôles de sécurité et atténuation
- Citrix Secure Private Access
- Pourquoi choisir Citrix Secure Private Access ?
- Citrix Secure Private Access et Citrix Cloud
- Gestion des identités et des accès
- Citrix Secure Private Access avec sécurité renforcée pour les applications SaaS
- Authentification unique Citrix Secure Private Access sans sécurité renforcée
- Accès privé sécurisé : authentification unique avec sécurité renforcée
- Accès contextuel
- Présentation du filtrage Web
- Citrix Secure Private Access et Citrix Analytics
- Expérience utilisateur final Citrix Secure Private Access
- Mise en œuvre de Citrix Secure Private Access
- Cas d’utilisation de Citrix Secure Private Access
- Solution Citrix Secure Private Access pour les applications Web d’entreprise
- Authentification unique Citrix Secure Private Access pour les applications Web
- Stratégies de protection des applications Citrix Secure Private Access
- Protégez les utilisateurs contre la navigation Internet risquée à l’aide de Citrix Secure Browser
- Citrix Secure Private Access et collaboration de contenu
- Citrix Secure Private Access et G Suite
- Concepts avancés
- Résumé
- Sources
- Références