Architecture de référence : travail flexible
Vue d’ensemble
Pendant des années, l’entreprise a soutenu le travail à distance pour un faible pourcentage de l’ensemble de la population d’utilisateurs. Pour embaucher les meilleures personnes de n’importe quelle géographie, l’entreprise étudie l’expansion du travail à distance pour devenir une stratégie à l’échelle de l’entreprise. Cette stratégie ouvre non seulement le bassin de candidats potentiels, mais offre également aux employés actuels une plus grande souplesse dans le domaine du travail et de la vie personnelle.
Toutefois, la pandémie mondiale de 2020-2021 a mis cette initiative à l’avant-garde. Bien que l’entreprise ait été en mesure de faire face à la gravité de la pandémie, il y a une prise de conscience accrue pour concevoir et mettre en œuvre une solution en temps opportun.
Cette architecture de référence explique comment CompanYA planifie sa solution Citrix Workspace pour prendre en charge un style de travail flexible sans compromettre la sécurité informatique.
Critères de réussite
Bien que de nombreux utilisateurs disposent d’un environnement de travail principal, la solution doit prendre en charge un style de travail flexible permettant aux utilisateurs de travailler de n’importe où, selon les besoins. Pour réussir, l’entreprise a défini une liste de critères de réussite qui constitue la base de la conception globale.
Expérience utilisateur
L’aspect le plus important d’une solution de travail flexible est de répondre aux besoins de l’utilisateur. L’entreprise A a identifié les critères suivants liés à l’utilisateur pour une conception réussie.
| Critères de réussite | Description | Solution |
|---|---|---|
| Expérience unifiée | Les utilisateurs peuvent accéder aux ressources avec de nombreux appareils, y compris des PC, tablettes et smartphones. Une expérience unifiée sur toutes les plates-formes permet d’éviter la confusion des utilisateurs finaux. | Citrix Workspace |
| Appareils mobiles personnels | Les utilisateurs peuvent choisir parmi une liste d’appareils mobiles gérés par l’entreprise. Avec les appareils mobiles, l’entreprise A permet à l’utilisateur de modifier l’appareil pour un usage personnel tout en maintenant les stratégies de sécurité de l’entreprise en place. | Citrix Endpoint Management — Propriété de l’entreprise, personnellement activée (COPE) |
| Appareils PC personnels | Les utilisateurs peuvent choisir parmi une liste d’appareils de point de terminaison gérés par l’entreprise qui répondent à leurs besoins d’utilisation. Ces appareils sont entièrement gérés et sécurisés par la société. | Citrix Endpoint Management — Choisissez votre propre appareil (CYOD) |
| Réseau domestique redondant | Les utilisateurs travaillant à domicile dans un scénario critique doivent disposer de connexions réseau redondantes et hautement disponibles. | Appareil domestique Citrix SD-WAN 110 |
| Confidentialité | Lors de l’utilisation de sites Web non autorisés, la confidentialité de l’utilisateur doit être assurée tout en protégeant l’utilisateur et le point de terminaison contre les menaces potentielles. | Citrix Secure Internet Access avec des stratégies de ne pas déchiffrer pour les sites contenant des informations personnelles |
| Accès aux applications SaaS | Les utilisateurs doivent pouvoir accéder aux applications SaaS sanctionnées, avec une authentification forte qui n’a pas d’impact sur l’expérience. | Citrix Secure Private Access |
| Accès aux applications Web | Les utilisateurs doivent pouvoir accéder à des applications Web internes sanctionnées sur n’importe quel appareil approuvé. | Citrix Secure Private Access — Accès réseau Zero Trust |
| Accès aux applications et bureaux virtuels | Les utilisateurs doivent pouvoir accéder aux applications et postes de travail Windows autorisés sur n’importe quel appareil approuvé. | Citrix DaaS |
| Routage direct des applications virtuelles et des bureaux | Les utilisateurs travaillant à partir de l’environnement local de bureau peuvent utiliser un itinéraire direct vers la ressource sans compromettre les stratégies de sécurité. | Citrix DaaS avec connexion directe aux charges de travail |
| Support pour les réunions virtuelles | Comme les utilisateurs ne sont plus contraints de travailler dans le même emplacement, l’utilisation de solutions de réunion virtuelles, comme Microsoft Teams, est une nécessité. Chaque utilisateur est en mesure d’accéder à l’application et d’utiliser des webcams/microphones locaux. | Citrix DaaS avec stratégies de conférence multimédia |
Sécurité
Pour réussir, l’entreprise doit être en mesure de protéger et de sécuriser ses ressources tout en fournissant simultanément un environnement de travail flexible qui s’adapte aux besoins de l’utilisateur. L’entreprise A a identifié les critères de sécurité suivants pour une conception réussie.
| Critères de réussite | Description | Solution |
|---|---|---|
| Appareils personnels non sécurisés | Les utilisateurs, tentent d 'acceder工作区avec un périphérique non sécurisé doivent être incapables d’accéder à une ressource sanctionnée. | Citrix Application Delivery Controller (ADC) - Stratégies nFactor et analyse des points de terminaison |
| Réseau domestique sécurisé | Les utilisateurs travaillant à domicile avec des données financières et personnelles sensibles doivent le faire à partir d’un réseau séparé et sécurisé. | Appareil domestique Citrix SD-WAN 110 |
| Sécurité Internet | 嘧啶醇,所以他们侵位,les utilisateurs doivent être protégés contre les menaces Internet potentielles cachées dans les e-mails, les applications et les sites Web. La protection Internet doit s’étendre à tous les modèles de mise à disposition, y compris les applications/postes de travail virtuels, les applications locales, les applications mobiles, les applications Web et les applications SaaS. | Citrix Secure Internet Access |
| Sécurité SaaS et applications Web | La capacité de l’utilisateur à télécharger, imprimer ou copier des données provenant d’applications SaaS contenant des informations financières, personnelles ou autres informations sensibles doit être limitée. | Citrix Secure Private Access — Stratégies de sécurité avec protection des applications |
| Sécurité des applications virtuelles et des bureaux | Les utilisateurs, accedent des应用et postes de travail virtuels ne doivent pas être en mesure de copier, télécharger ou imprimer des informations financières, personnelles ou autres informations sensibles. | Citrix DaaS — Stratégies de sécurité avec App Protection |
| Accès sécurisé | Les ressources internes de l’entreprise doivent être protégées contre les emplacements non sécurisés et non sécurisés. Pour prévenir les intrusions de logiciels malveillants, les appareils ne sont pas autorisés à accéder directement au réseau interne. | Accès sans VPN |
| Authentification multifacteur | La sécurité étant au premier plan, MFA est nécessaire pour assurer une autre couche de protection de l’authentification des ressources de l’entreprise. | Citrix ADC - Mot de passe à usage unique basé sur le temps avec Push |
| Protection des informations d’identification SaaS | Les informations d’identification de l’utilisateur pour les applications SaaS doivent inclure une authentification multifactorielle forte. | Citrix Secure Private Access — Authentification unique avec authentification SAML uniquement |
| Protection de l’utilisateur compromise | Les services informatiques doivent être en mesure d’identifier et d’atténuer rapidement les menaces posées par un compte utilisateur compromis. | Analyses de sécurité Citrix |
Architecture conceptuelle
Sur la base des exigences précédentes, l’entreprise A a créé l’architecture conceptuelle de haut niveau suivante. Cette architecture répond à toutes les exigences précédentes tout en donnant à la société la base nécessaire pour s’étendre à d’autres cas d’utilisation à l’avenir.
Le cadre d’architecture est divisé en plusieurs couches. Le cadre fournit une base pour comprendre l’architecture technique des scénarios de déploiement de travail flexibles. Toutes les couches s’unissent pour créer une solution complète de bout en bout.
À un haut niveau :
Couche utilisateur: La couche utilisateur décrit l’environnement de l’utilisateur final et les périphériques de point de terminaison utilisés pour se connecter aux ressources.
- Quel que soit l’appareil, les utilisateurs accèdent aux ressources de l’application Workspace, ce qui permet d’obtenir une expérience identique sur tous les facteurs de forme et toutes les plateformes de périphériques.
- Chaque périphérique de point de terminaison doit être sécurisé. Les utilisateurs qui préfèrent utiliser un appareil mobile personnel doivent tout de même inscrire l’appareil à l’organisation.
- Selon le rôle, certains utilisateurs peuvent avoir besoin d’un réseau domestique séparé et sécurisé ou de connexions réseau tolérantes aux pannes.
- Dans un environnement de travail flexible, l’entreprise A permet à tout le monde d’accéder à un Microsoft Teams virtualisé, qui inclut des optimisations intégrées de Workspace App.
Couche d’accès: la couche d’accès décrit en détail comment les utilisateurs s’authentifient auprès de leur espace de travail et de leurs ressources secondaires.
- Avant qu’un utilisateur puisse accéder à la page d’ouverture de session pour Citrix Workspace, le service Endpoint Management a analysé le point de terminaison pour vérifier qu’il s’agit d’un appareil géré par l’entreprise. Pour mieux protéger les ressources, l’entreprise a besoin d’un certain niveau de gestion pour tous les terminaux (gestion au niveau des périphériques ou gestion du niveau Windows et application pour mobile).
- Citrix Workspace fournit le broker d’authentification principal pour toutes les ressources suivantes. L’entreprise A a besoin d’une authentification multifacteur pour améliorer la sécurité de l’authentification.
- De nombreuses ressources autorisées dans l’environnement utilisent un ensemble d’informations d’identification différent de celles utilisées pour l’identité d’espace de travail principale. L’entreprise utilisera les capacités d’authentification unique de chaque service pour mieux protéger ces identités secondaires. Pour les applications SaaS, les applications autorisent uniquement l’authentification basée sur SAML, ce qui empêche les utilisateurs d’accéder directement aux applications SaaS et de contourner les stratégies de sécurité.
Couche de ressources: la couche de ressources autorise des ressources SaaS, Web et virtuelles spécifiques pour des utilisateurs et des groupes définis tout en définissant les politiques de sécurité associées à la ressource.
- Pour mieux protéger les données, la société a besoin de stratégies qui désactivent la possibilité d’imprimer, de télécharger et de copier/coller du contenu de la ressource gérée vers et à partir du point de terminaison.
Couche de contrôle: la couche de contrôle définit la manière dont la solution sous-jacente s’adapte en fonction des activités sous-jacentes de l’utilisateur.
- Même au sein d’une ressource Workspace protégée, les utilisateurs ont la possibilité d’interagir avec des ressources Internet non fiables. L’entreprise A utilise l’accès Internet sécurisé pour protéger l’utilisateur contre les menaces externes provenant d’applications SaaS, d’applications Web, d’applications virtuelles, d’applications mobiles et d’applications sur les terminaux.
- Les utilisateurs peuvent avoir besoin d’accéder aux éléments personnels sur les terminaux gérés. Des stratégies appropriées sont définies pour protéger la vie privée de l’utilisateur lors de l’accès à des sites personnels liés à la santé et aux finances.
- Avec toutes les stratégies mises en place pour protéger les utilisateurs lorsqu’ils travaillent dans un environnement flexible, il y a encore des risques. L’entreprise A utilise le service Security Analytics pour identifier les utilisateurs compromis et prend automatiquement des mesures pour maintenir un environnement sécurisé.
Les sections suivantes fournissent plus de détails sur les décisions de conception spécifiques de l’architecture flexible de référence de travail de l’entreprise.
Couche utilisateur
Connectivité réseau domestique
他们倒我们utilisateurs, l 'acces载荷适配器ce de travail est simplement une question de connexion à leur réseau domestique, qui sera partagé entre le travail et l’utilisation personnelle. Toutefois, en fonction de certaines exigences de l’utilisateur final, l’entreprise a besoin de connexions redondantes ou d’un réseau domestique sécurisé.
Sur la base de ces exigences, l’entreprise A utilise une combinaison des trois options suivantes en fonction des besoins de l’utilisateur.
Du point de vue de la connectivité, l’entreprise a quatre principaux types d’utilisateurs, qui se rapportent aux options de connectivité domestique définies :
| Utilisateurs | Exigences | Solution |
|---|---|---|
| Cadres | Réseau domestique sécurisé avec connexions redondantes | Option 3 : Réseau sécurisé et redondant - Citrix SD-WAN 110 avec LTE |
| Finance | Réseau domestique sécurisé | Option 2 : Réseau sécurisé - Citrix SD-WAN 110 |
| Centre d’appels | Connexions redondantes | Option 3 : Réseau sécurisé et redondant - Citrix SD-WAN 110 avec LTE |
| Tout le monde | Ligne de base | Option 1 : Réseau partagé |
Certains utilisateurs au sein de l’organisation traitent des informations sensibles, comme les données financières. Pour mieux protéger la communication réseau, ces utilisateurs ont besoin d’un réseau domestique distinct et protégé. Ce groupe d’utilisateurs déploie une appliance SD-WAN 110 sur son réseau domestique. Bien qu’ils partagent toujours la connexion ISP principale, les périphériques de travail utilisent le réseau domestique protégé. Le réseau séparé permet à l’entreprise d’appliquer des stratégies de sécurité au réseau de travail distant sans affecter le reste du réseau domestique.
Certains groupes d’utilisateurs nécessitent des connexions tolérantes aux pannes. Ces utilisateurs déploient une appliance SD-WAN 110 avec une connexion LTE de sauvegarde. Lorsque l’appliance SD-WAN 110 détecte des problèmes de fiabilité avec le fournisseur de services Internet principal, le SD-WAN bascule automatiquement vers la connexion LTE.
Bien que les appliances SD-WAN 110 soient déployées dans le domicile de l’utilisateur, elles sont gérées de manière centralisée. La gestion centralisée des appareils permet à l’entreprise d’instituer une approche de déploiement zéro contact pour les utilisateurs à domicile en suivant les guides suivants :
En savoir plus sur leSD-WAN 110 pour les utilisateurs de bureaux à domicile.
Sécurité des points de terminaison
L’entreprise A a deux stratégies différentes pour les terminaux basés sur le facteur de forme.
- Appareils traditionnels : Pour les appareils traditionnels tels que les ordinateurs de bureau, les PC et les ordinateurs portables, CompanYA utilise la gestion des périphériques mobiles (MDM) avec une stratégie de choix de votre propre appareil (CYOD). Avec cette approche, l’entreprise A est responsable de l’achat, de la sécurisation et de l’entretien de l’appareil. Pour faciliter la gestion globale tout en permettant la satisfaction de l’utilisateur final, l’entreprise A dispose d’une liste d’appareils approuvés allant de Windows à Mac. Les utilisateurs peuvent accéder aux ressources personnelles à partir de l’appareil, mais l’appareil est géré, sécurisé, surveillé et audité par l’entreprise A.
- Appareils mobiles : Pour les appareils mobiles tels que les iPhones et les téléphones Android, l’entreprise A utilise la gestion des applications mobiles (MAM) avec une stratégie COPE (Entreprise Owned, Personally Enabled). Tout comme la stratégie Choose Your Own Device, la stratégie Company Owned, Personally Enabled Activé fournit à l’utilisateur une liste d’appareils mobiles approuvés. L’appareil est acheté et sécurisé par la société, tout en permettant aux utilisateurs d’accéder à des applications personnelles qui ne sont pas protégées ou auditées par l’organisation. Les applications liées au travail sont conteneurisées, ce qui permet de protéger les applications professionnelles et le contenu des applications personnelles installées localement.
En savoir plus sur lesmodèles de propriété Endpoint Management
L’inscription des appareils utilise les stratégies d’inscription suivantes
| OS | Stratégie | Valeur |
|---|---|---|
| Windows | Gestion des appareils | Entièrement géré |
| Autoriser la désinscription MDM manuelle | Désactivé | |
| iOS | Gestion des appareils | Inscription d’appareils Apple |
| Citrix MAM | Activé | |
| Android | Direction | Android Entreprise |
| Mode propriétaire de l’appareil | Entièrement géré avec profil de travail | |
| Profil de travail BYOD | Désactivé | |
| Citrix MAM | Activé |
Stratégies de sécurité des terminaux
Pour sécuriser les terminaux, l’entreprise A commence par les stratégies de périphérique de base suivantes :
| Stratégie | Valeur | Points de terminaison |
|---|---|---|
| Code d’accès : longueur minimale | 6 | Tous les types d’OS (iOS, macOS, Android, Android Enterprise, Windows) |
| Inventaire des applications | Activé | Tous les types d’OS (iOS, macOS, Android, Android Enterprise, Windows) |
| Cryptage de l’appareil | Exiger cryptage de l’appareil | Windows — BitLocker |
| macOS — FileVault | ||
| Secure Mail | Stratégie de déploiement d’applications | iOS et Android |
| Secure Web | Stratégie de déploiement d’applications | iOS et Android |
| Mise à jour d’OS | Installation automatique et notification pour planifier le redémarrage | 窗户,macOS, iOS,roid |
Optimisation pour Microsoft Teams
Avec une main-d’œuvre distribuée, l’entreprise A s’appuie davantage sur les solutions de conférence virtuelle et standardisée sur Microsoft Teams. En optimisant la façon dont les paquets de communication vocale et vidéo Microsoft Teams traversent le fil, Citrix Virtual Apps and Desktops offre une expérience de réunion virtuelle identique à celle d’un PC traditionnel.
Pour en savoir plus sur l’intégration et l’optimisation de Microsoft Teams, consultez les points suivants :
- Vidéo Microsoft Teams Tech Insight
- Guide de validation de concept de Microsoft Teams pour Citrix Virtual Apps and Desktops
Couche d’accès
Authentification
En raison de problèmes de sécurité, la société a besoin d’une stratégie d’authentification forte. L’entreprise A utilise une approche en deux étapes.
L’étape 1 est axée sur la sécurisation de l’identité principale de l’utilisateur dans Citrix Workspace à l’aide d’une approche contextuelle et multifactorielle.
La stratégie d’authentification refuse l’accès si le périphérique ne réussit pas une analyse de sécurité des terminaux. L’analyse vérifie que l’appareil est géré et sécurisé avec les stratégies de sécurité de l’entreprise. Une fois l’analyse réussie, l’utilisateur peut utiliser ses informations d’identification Active Directory et un jeton TOTP pour s’authentifier. Le jeton TOTP peut être saisi manuellement ou automatiquement avec des notifications push.
Le schéma d’authentification de phase 2 se concentre sur les ressources secondaires (applications SaaS, applications Web, applications virtuelles et postes de travail). Presque toutes les ressources secondaires nécessitent une authentification. Certains utilisent le même fournisseur d’identité que l’identité principale de l’utilisateur, tandis que d’autres utilisent un fournisseur d’identité indépendant, le plus courant avec les applications SaaS.
- Apps SaaS : Pour les applications SaaS, l’entreprise A utilise l’authentification basée sur SAML avec Citrix Workspace agissant en tant que broker d’identité pour Active Directory. Une fois configurées, les applications SaaS autorisent uniquement l’authentification basée sur SAML. Toute tentative d’ouverture de session avec un nom d’utilisateur/mot de passe spécifique à l’application SaaS échouera. Cette stratégie permet à l’entreprise A d’améliorer la force de l’authentification tout en facilitant la désactivation de l’accès en raison d’un compte utilisateur compromis.
- Web Apps : L’inventaire des applications Web dans l’entreprise A utilise toutes les informations d’identification Active Directory de l’utilisateur. Pour les applications Web, l’entreprise A utilise une combinaison de formulaires, Kerberos et authentification basée sur SAML pour fournir une authentification unique. Le choix entre les options est basé sur les aspects uniques de chaque application Web.
- Apps/bureaux virtuels : pour les applications virtuelles et les postes de travail, l’entreprise A utilise l’authentification directe à partir de Citrix Workspace, éliminant ainsi le défi d’authentification secondaire.
Ledossier technique de Workspace Single Sign-Oncontient des信息supplementaires concernant l’authentification unique pour SaaS, le Web, les applications virtuelles, les bureaux virtuels et les options de chaînage IdP.
Accès aux ressources
Du point de vue de la sécurité, tous les utilisateurs sont considérés comme externes. L’entreprise A doit tenir compte de la façon dont les utilisateurs externes peuvent accéder aux ressources internes. Les ressources internes de l’entreprise doivent être protégées contre les emplacements non sécurisés et non sécurisés. Pour prévenir les intrusions de logiciels malveillants, les appareils ne sont pas autorisés à accéder directement au réseau interne.
倒fournir联合国acc辅助资源的实习生es que les applications Web privées, les applications virtuelles et les bureaux virtuels, CompanyA prévoit d’utiliser le service Secure Private Access et Citrix DaaS. Ces deux services utilisent une solution d’accès réseau zéro confiance, qui est une alternative plus sécurisée aux VPN traditionnels.
Secure Workspace Service et Citrix DaaS utilisent les connexions de canal de contrôle sortantes établies par les Cloud Connector. Ces connexions permettent à l’utilisateur d’accéder à distance aux ressources internes. Cependant, ces connexions sont
- Portée limitée de sorte que seule la ressource définie soit accessible
- Basé sur l’identité principale et sécurisée de l’utilisateur
- Seulement pour les protocoles spécifiques, qui interdisent la traversée réseau
Toutefois, lorsque les utilisateurs travaillent à partir d’un bureau local, dans ce qui est considéré comme un accès local, le routage des applications virtuelles et des postes de travail est optimisé sans compromettre les stratégies de sécurité. Pour ce faire, CompanyA implémente la fonctionnalité de connexion directe de la charge de travail dans Citrix DaaS.
Lorsqu’un utilisateur est distant, Citrix Workspace dispose que le service de passerelle établit une connexion sécurisée entre la ressource virtuelle et l’utilisateur distant. Toutefois, lorsque l’utilisateur se trouve physiquement sur le réseau local, suivre le même flux ajoute de la latence à la connexion de l’utilisateur. Si l’utilisateur est capable d’établir une connexion locale à la ressource virtuelle, la latence diminue et l’expérience utilisateur augmente.
La connexion directe à la charge de travail permet aux organisations de définir un ensemble d’adresses IP publiques associées aux sites locaux. Si l’adresse IP de l’utilisateur provient de l’une des adresses IP définies, Workspace détermine que l’utilisateur est un utilisateur local et utilise une procédure de connexion directe.
Couche de ressources
Stratégies de sécurité des ressources
La société veut limiter le risque de perte de données due au vol d’un terminal ou d’un périphérique de point de terminaison compromis. Dans les différents types d’applications, l’entreprise A intègre de nombreuses restrictions pour empêcher les utilisateurs de copier, télécharger ou imprimer des données.
En tant que stratégie de base, la société a défini ce qui suit (avec la possibilité d’assouplir les stratégies selon les besoins en fonction de l’utilisateur et de l’application).
| Catégorie | Applications SaaS | Applications Web | Apps/Ordinateurs de bureau virtuels | Applications mobiles |
|---|---|---|---|---|
| Accès au Presse-papiers | Refusé | Refusé | Client à serveur uniquement | Activé uniquement entre les applications protégées |
| Impression | Refusé | Refusé | Refusé | Refusé |
| Navigation | Refusé | Refusé | Sans objet | Sans objet |
| Téléchargements | Refusé | Refusé | Refusé | Refusé |
| Filigrane | Activé | Activé | Activé | Sans objet |
| Prévention de la journalisation | Activé | Activé | Activé | Sans objet |
| Prévention de capture d’écran | Activé | Activé | Activé | Sans objet |
Lafiche technique des stratégies de protection des applicationscontient des信息supplementaires concernant les stratégies de prévention de l’enregistrement au clavier et des captures d’écran
Couche de contrôle
La couche de contrôle définit la façon dont la solution sous-jacente s’ajuste en fonction des activités sous-jacentes de l’utilisateur.
- Même au sein d’une ressource Workspace protégée, les utilisateurs ont la possibilité d’interagir avec des ressources non fiables sur Internet.l’entreprise A utilise l’accès Internet sécurisé pour protéger l’utilisateur contre les menaces externes depuis les applications SaaS, les applications Web, les applications virtuelles, les applications mobiles et les applications sur les terminaux.
- Les utilisateurs peuvent avoir besoin d’accéder aux éléments personnels sur les terminaux gérés. Des stratégies appropriées sont définies pour protéger la vie privée de l’utilisateur lors de l’accès à des sites personnels liés à la santé et aux finances.
- Avec toutes les stratégies mises en place pour protéger les utilisateurs lorsqu’ils travaillent dans un environnement flexible, il y a encore des risques. L’entreprise A utilise le service Security Analytics pour identifier les utilisateurs compromis et prend automatiquement des mesures pour maintenir un environnement sécurisé.
- L’entreprise doit être en mesure de gérer les périphériques SD-WAN 110 distants, déployés dans de nombreux foyers. En utilisant SD-WAN Orchestrator, l’entreprise A peut gérer de manière centralisée un déploiement distribué.
Accès Internet sécurisé
Lorsque les utilisateurs interagissent avec des applications SaaS, Web, virtuelles, locales et mobiles, ils accèdent souvent à des sites Internet publics. Bien que la l’entreprise A dispose d’une classe Internet Security Compliance que tous les utilisateurs doivent suivre chaque année, elle n’a pas complètement empêché les attaques, le plus souvent provoquées par des escroqueries par hameçonnage.
Afin de protéger les utilisateurs et l’organisation, l’entreprise A intègre le service d’accès Internet sécurisé et les analyses de sécurité dans la conception flexible du travail.
Tout trafic Internet vers et en provenance de la bibliothèque d’applications, de postes de travail et d’appareils au sein de l’organisation est acheminé via le service Accès Internet sécurisé. Au sein de ce service, toute URL est analysée pour vérifier qu’elle est sûre. Les fonctionnalités de certains sites publics sont refusées ou modifiées. Les téléchargements sont automatiquement analysés et vérifiés.
Comme de nombreux sites Web sont maintenant cryptés, une partie de ce processus de sécurité consiste à déchiffrer le trafic et à inspecter. L’entreprise A veut permettre aux utilisateurs avec la flexibilité d’accéder à des sites personnels sur des appareils appartenant à l’entreprise. Pour garantir la confidentialité des employés, certaines catégories de sites Web ne seront pas déchiffrées, comme les sites financiers et les sites liés à la santé. Pour assurer une transparence totale, la société a l’intention de rendre le plan global de stratégie de sécurité disponible en interne.
Dans la conception de la stratégie de sécurité Internet, l’entreprise A a voulu commencer par une stratégie de base. À mesure que l’entreprise A continue d’évaluer les risques au sein de l’organisation, elle assouplira ou renforcera les stratégies, le cas échéant.
Par défaut, toutes les catégories sont déchiffrées et autorisées. L’entreprise A a apporté les modifications suivantes qui sont appliquées globalement :
| Catégorie | Modification | Raison |
|---|---|---|
| Financière et investissement | Ne pas déchiffrer | Confidentialité des employés |
| Intégrité | Ne pas déchiffrer | Confidentialité des employés |
| Contenu pour adultes | Bloquer | |
| Médicaments | Bloquer | |
| Partage de fichiers | Bloquer | |
| Jeux d’argent | Bloquer | |
| Activité illégale | Bloquer | |
| Sources malveillantes | Bloquer | |
| Contenu malveillant | Bloquer | |
| Pornographie/Nudité | Bloquer | |
| Virus et logiciels malveillants | Bloquer | |
| Violence/haine | Bloquer |
En plus des contrôles de sécurité mondiaux, la société a également besoin d’implémenter des contrôles Internet supplémentaires pour un sous-ensemble de l’environnement.
| Catégorie | Groupe | Raison |
|---|---|---|
| YouTube — Restreindre la vidéo HD | Virtual Apps and Desktops hôtes | L’autorisation de la vidéo HD dans les postes de travail virtuels entraîne souvent une augmentation de la charge de ressources, ce qui peut avoir un impact sur les performances et l’évolutivité. |
Analyses de sécurité
L’entreprise A doit identifier et arrêter les menaces pour l’environnement avant que l’impact ne soit trop important.
Pour aider à protéger l’environnement, l’entreprise A utilise Citrix Security Analytics pour identifier les menaces initiées, les utilisateurs compromis et les terminaux compromis. Dans de nombreux cas, un seul cas de menace ne justifie pas une action drastique, mais une série de menaces peut indiquer une atteinte à la sécurité.
L’entreprise A a développé les stratégies de sécurité initiales suivantes :
| Nom | Conditions | Action | Raison |
|---|---|---|---|
| Dispositif jailbreaké | Appareil jailbreaké/rooté détecté | Verrouiller l\‘appareil | Les appareils mobiles sont détenus et gérés par la société. Les appareils Jailbreakés peuvent introduire des logiciels malveillants, capables de voler des données. |
| Point de terminaison non géré | Périphérique non géré détecté | Avertir admin | La société exige que tous les appareils soient gérés. Si un périphérique non géré est détecté, il est possible que l’environnement ait été violé et que le compte de l’utilisateur doit être désactivé. |
| Risque sur les terminaux | Échec de l’analyse EPA | Ajouter à la liste de surveillance | Seuls les périphériques gérés sont autorisés à accéder. Si un utilisateur tente d’utiliser un périphérique non géré, il est surveillé pour vérifier qu’il ne constitue pas une menace. En cas de risques supplémentaires, des mesures supplémentaires sont justifiées. |
| Accès inhabituel | Ouvrez une session à partir d’une adresse IP suspecte et accès à partir d’un emplacement inhabituel | Verrouiller l’utilisateur | 如果联合国utilisateur se connecte它一个emplacement inhabituel et d’une adresse IP suspecte, il y a une forte indication que l’utilisateur a été compromis. |
| Comportement de l’application | Temps inhabituel d’utilisation de l’application et d’accès à partir d’un emplacement inhabituel | Démarrer l’enregistrement de session | Si un utilisateur accède à une application virtuelle à un moment et à un endroit étranges, il y a le potentiel que l’utilisateur est compromis. L’analyse de sécurité enregistre la session pour que l’administrateur vérifie la légitimité. |
| Exploits potentiels des informations d’identification | Défaillances d’authentification excessives et accès à partir d’un emplacement inhabituel | Ajouter à la liste de surveillance | Si un utilisateur présente de nombreux échecs d’authentification à partir d’un emplacement inhabituel, cela peut indiquer que quelqu’un tente d’entrer dans le système. Cependant, l’attaquant n’a pas encore réussi. Il suffit d’ajouter l’utilisateur à la liste de surveillance. |
Le documentIndicateurs de risque utilisateur Citrixcontient des信息supplementaires concernant les différents indicateurs de risque fournis à Citrix Security Analytics.
La pageStratégies et actions Citrixcontient des informations sur les étapes de résolution que Citrix Security Analytics peut effectuer.
Citrix SD-WAN Orchestrator
Un sous-ensemble de la population d’utilisateurs, en fonction des besoins, déploie l’appliance Citrix SD-WAN 110 au sein de leur réseau domestique. Cette appliance fournit des connexions réseau redondantes ou crée un réseau domestique séparé et sécurisé.
Pour gérer plus facilement la gestion du déploiement SD-WAN distribué, l’entreprise A utilise Citrix SD-WAN Orchestrator.
Avec Orchestrator, l’administrateur établit tous les paramètres de configuration nécessaires au sein du service cloud. Une fois connecté au réseau, les appliances SD-WAN 110 s’enregistrent auprès du service cloud et reçoivent les informations de configuration.
Le service basé sur le cloud facilite la gestion de l’environnement SD-WAN distribué pour l’administrateur.
Sources
Pour faciliter la planification d’une solution de travail flexible, nous aimerions vous fournir desdiagrammes sourcesque vous pouvez adapter.