Accès sécurisé à工作空间

Generalites

应用软件软件即服务(SaaS)，企业服务être统一措施'accès à应用软件和简化认证应用软件和应用规范sécurité和confidentialité。Il est également essentiel de surveiller les SLA des fournisseurs, l ' utilization des applications et les analyses de sécurité。思杰安全工作空间访问répond à ces exigences et bien plus encore。

L’secure Workspace Access fournit un accès instantané à la connexion unique (SSO) aux applications SaaS et Web, des stratégies de sécurité granulaires et contextuelles, des stratégies de protection des applications pour toutes les applications, L’isolation des navigateurs Web et des stratégies de filtrage Web。安全工作空间访问组合des éléments de plusieurs services Citrix Cloud pour offrir une expérience intégrée aux utilisateurs finaux et aux administrateurs:

• MFA及服装认可
• SSO Web et SaaS
• Passerelle
• Contrôle des应用程序云
• Filtrage网络
• 安全浏览器
• 保护des应用
• 分析

图1:fonctionnalités d 'Secure Workspace Access

Identité principale préférée

查克组织peut sélectionner son propre fournisseur d 'identité unique pour l ' authentication initiale des utilisateurs finaux vers思杰工作空间。Avec Workspace, les utilisateurs finaux se connect à l 'aide de stratégies d ' authentication fortes en utilisateur identité d 'utilisateur principale。

工作空间利用l 'identité principale pour autoriser l 'utilisateur à utiliser un ensemble de resource, chacune ayant probability des identités supplémentaires。Les comptes associés à l 'ensemble des resources autorisées sont des identités seconaires。

Voici des示例d 'identités primaires:

• Azure Active Directory: le process de connexion à l 'espace de travail est redirigé vers Azure Active Directory, qui peut intégrer la marque personnalisée, l ' authentication multifacteur, les stratégies de mot de pass et l 'audit。
• Windows活动目录:利用l '环境活动目录本地d 'une组织pour la connecnexion initiale à l 'expérience de l 'espace de travail de l 'utilisateur。倒fédérer Active Directory本地avec Citrix云，l ' administreur déploie des connecteurs云冗余dans le même emplacement de resources qu 'Active Directory。
• Active Directory avec mot de passe unique basé sur le temps: L ' authentication basée sur Active Directory peut également inclure une authentication multifacteur avec un mot de passe à usage unique (TOTP) basé sur le temps。
• 思杰网关:Les organisations peuvent utiliser un思杰网关local pour agir en tant que fournisseur d 'identité pour思杰工作空间。
• Okta: Les organisations peuvent utiliser Okta comme répertoire d 'utilisateurs principal pour Citrix Workspace。

图2:fournisseurs d 'identité倍数

Le fait d 'avoir des identités primaires et secondaires permet à安全工作区Access d 'utiliser untiers pour fournir une身份验证独特的aux应用程序SaaS。安全工作空间访问traite le tiers comme un fournisseur de services pour fournir une chaîne d 'identité à l ' annual aire principal des utilisateurs。Ce chaînage d 'identité可替换的设备与设备的单点同步设备nécessiter不可抗力和测量的修改stratégies d sécurité分析的计算améliorées。

图3:plusieurs fournisseurs d使用率'identité

En savoir +这里

单点登录

安全的工作空间访问措施créer une连接à des应用程序Web locale无计算机基于VPN。Cette connexion sans VPN使用unconnecterdéployé sur site。Le connecteur crée un canal de contrôle sortant vers l 'abonnement Citrix Cloud de l 'organisation。À partir de là，安全的工作空间访问est en mesure de tunnel de connections aux application Web internet tout en fournissant l 'interface so。

法国特定组织déjà normalisé法国服务机构SSO。安全的工作空间访问和利用措施SSO层和资源分配工作空间倾注保护不放置唯一倾注的资源。

Une fois l 'utilisateur authentifié avec Une identité principale, la fonctionnalité d ' authentication unique de Citrix Cloud utilise des断言SAML pour répondre automatiquement aux défis d ' authentication suivants pour SaaS et应用程序Web。+ de 300 modèles SSO SAML sont disponibles pour une配置快速倾倒应用程序Web et SaaS。

图4:SSO vers SaaS à l 'aide de SAML

En savoir +这里

隔离杜

L '安全的工作空间访问永久的互联网导航工具sécurité。Lorsqu 'un utilisateur final lance une application SaaS à partir de Citrix Workspace, plusieurs décisions sont prises dynamiquement pour décider de la meilleure façon de servir cette application SaaS。安全工作空间访问三重façons de servir cette应用程序à l 'utilisateur最终:

• 导航手册本地无sécurité renforcée
• Lancez l 'application dans le navigateur intégré dans Citrix Workspace
• Lancez l 'application dans une session安全浏览器- unnavigateur virtualisé

图5:plusieurs选项du navigateur

oute l 'utilisation du navigateur Web local, Citrix offre deux alternatives à l 'accès aux applications dans Workspace。

Tout d 'abord, le navigateur intégré Citrix工作空间est un navigateur basé sur Chrome s 'exécutant sur l 'ordinateur客户端intégré dans le sandbox de sécurité Citrix工作空间。L 'exécution现场服务，现场服务，现场服务，现场服务，现场服务，现场服务，现场服务，现场服务，现场服务，现场服务。Le沙盒sécurisé protège l’utilisateur final和l’entreprise contre les logiciels malveillants, la dégradation des performance, la perte de données et Le compontaire de l’utilisateur final。

图6:navigateur intégré à Citrix Workspace

Deuxièmement, le service Citrix安全浏览器和导航服务hébergé dans le cloud qune nécessite pas d 'installation de navigateur sur les machines des utilisateurs finaux。Le安全浏览器服务est essentiellement unnavigateur virtualisé exécuté dans Citrix Cloud。Ce service de navigateur hébergé fournit un moyen sécurisé d 'accéder à Internet et aux applications basées sur un navigateur d ' enterprise。Il crée un espace d 'air entre le navigator et les utilisateurs, les apparel et les réseaux, les protégeant control les logiciels malveillants dangereux。

Les liens Web vers des sites Web inconnus ou risqués peuvent être automatiquement redirigés vers le navigateur intégré Citrix Workspace ou le Secure Browser Service afin de protéger Les utilisateurs finaux contre Les sites Web potentielment malveillants。Cette过渡est总透明pour l 'utilisateur最终保证la sécurité de企业tout en permettant aux employés de faire leur travail。

安全的工作空间访问处理大基地données d 'URI évaluées管理人员définir des stratégies管理领域spécifiques自动控制和封锁URI。Les administrateurs peuvent également définir des stratégies sur la manière don ' t Les applications doivent être servies aux utilisateurs finaux。

图7:隔离导航器Web安全导航器intégré Citrix工作空间等服务安全浏览器

Le diagramme suivant比较Le flux de communication avec les applications SaaS sanctionnées lors de l 'utilisation de l 'application Workspace avec navigateur intégré par rapport à un navigateur local。

图8:流量图sécurité amélioré

安全炸药amelioree

Pour protéger le contenu，安全工作区访问intègre des stratégies de sécurité améliorées dans les应用程序SaaS。查克stratégie导航者附加限制intégré应用程序空间安全浏览器服务空间安全使用Web或移动。

Appelée云应用程序控制，电子邮件fonctionnalité提供信息服务的电子邮件stratégies电子邮件sécurité提供应用程序Web和软件即服务的电子邮件employés。Ces stratégies protègent les données stockées dans les应用suivantes:

• 导航员préféré: désactive l 'utilisation du Navigateur local et s 'appuie sur le moteur de Navigateur intégré(应用程序工作区-局)ou安全浏览器(应用程序工作区-移动等Web)。
• Restreindre l 'accès au press - paperiers: désactive les opérations de coupe/复印机/coller entre l 'application et le press - paperiers du point de terminaition。
• Restreindre l 'impression: désactive la possibilité d 'imprimer à partir du navigateur de l 'application。
• 导航导航:désactive les boutons du navigateur suivant/arrière。
• Restreindre les téléchargements: désactive la capacité de téléchargement de l 'utilisateur à partir de l 'application SaaS。
• 执着:在écran上叠加不执着的笔名和地址在终点上。是一种利用，捕捉，捕捉écran，柔美，apparaît comme affiché à l ' écran。

图9:Stratégies de sécurité améliorées avec une应用程序Web internet

保护des应用

Un risque qui doit être atténué lorsque les utilisateurs finaux utilisleurs服装部人员pour travailler est les logiciels malveillants。两种类型加危险和登记的接触和逻辑的错误捕获écran。Ces deux éléments peuvent être utilisés à la fois pour exfilter et collection des information sensibles telles que les information d 'identification des utilisateurs ou des information personnel可识别人员。

安全工作空间访问处置de stratégies avancées pour protéger les données des utilisateurs et de l 'organisation sur le Web, le SaaS et les applications virtuelles。Les stratégies de保护des应用程序protègent Les session utilisateur et le détournement de données d ' application par Les enregistreurs de frappe and Les logiciels malveillants de capture ' écran

Les stratégies de protection des applications sont des règles appliquées tout en améliorant la sécurité d 'une application。

• 反键盘记录:protège la fenêtre active en focus contre les enregistreurs de touchen chiffrant les frappes
• 捕获反-écran: protège la fenêtre主动控制捕获d ' écran en effaçant l ' écran

有恶意的事是危险的écran意外事故。frontière法国服装行业人员使用中心été法国服装行业人员使用中心à法国服装行业家庭成员使用中心été法国服装行业人员使用中心été法国服装行业家庭成员使用中心été法国服装行业人员使用中心été法国服装行业人员使用中心étéDans ces scénarios, le partage accident d ' écran de données sensible Dans l ' application métier peut entraîner des problèmes important, en specier pour les utilisateurs des sector haute finaux réglementés。

图10:Stratégies de protection des applications protégeant la confidentialité de Citrix Workspace lors de l ' utilization d ' application de partage écran

Filtrage网络

安全工作空间访问包括不过滤。En utilant les information contenans les URL, cette fonctionnalité aide les administrateurs à surveiller et à contrôler l 'accès des utilisateurs aux sites Web malveillants sur Internet。Avec les options d 'isolation du navigateur mentionnées précédemment, le filtralweb permet aux administrateurs de choisir parmi les options。Ils peuvent blocquer complètement une URL, exiger l 'accès à une URL dans le navigateur intégré ou exiger l 'accès à une URL dans une session安全浏览器。

Le contrôleur de filter Web utilise une base de données de catégorisation et une liste d 'URL。Lorsque la demandeest adressée au contrôleur de过滤Web, il vérifie d 'abord la liste d 'autorisation global qui continent également des URL Citrix Cloud批评。Ensuite, il vérifie à«Listes et catégorisation»et vérifie avec bloqué et autorisé et重设vers安全浏览器URL。Si aucune des URL ne对应，elle revient par défaut à la liste par défaut。

图11:过滤过程Web

Les administrateurs peuvent adopter une approche prudente même pour accéder aux URL de liste d 'autorisation。可使用的方法'accéder à信息不可见。我们的影响productivité我们的威胁保护imprévues我们的恶意攻击diffusés在互联网上。

传统过滤系统是自动认证系统。安全工作空间访问授权授权à授权授权页面Web, considérées comme sûres过滤授权授权页面，peuvent héberger恶意留置权。Avec安全工作区访问，les URL des sites de confinsont également testées。

图12:Stratégies de过滤Web protégeant les utilisateurs finaux qui accèdent par intance aux sites de la list bloqué

Le diagramme suivant比较Le flux de communication avec les URL des applications SaaS sanctionnées lors de l ' utilization de l 'application Workspace avec navigateur intégré par rapport à un navigateur local。

图13:流量过滤图

分析de sécurité

Les utilisateurs finaux accèdent invariablement aux applications SaaS don la sécurité est améliorée。L 'application Workspace, le service Citrix Gateway et le service Secure Browser fournissent au service d 'analyse de sécurité des关于工具和应用程序的信息。对全球使用损害性评分不影响的分析:

• Heure de lancement de l 'application
• Heure de fin de l 'application
• 行动d 'impression
• Accès au press -papiers
• Accès aux URL
• données
• Téléchargement de données

La function de filter Web évalue le risque de chque lien hypertexte sélectionné dans l 'application SaaS。L 'accès à cessites et la surveillance des change dans le交通工具增强le score de risque global de L 'utilisateur。Il signale que le périphérique终端est妥协和开始à感染ou à chiffrer les données ou que l 'utilisateur et l 'appareil volent la propriété intelligelle。

使用分析(分析de l’utilization)

使用分析提供信息données d 'utilisation de base de Secure Workspace Access。Les administrateurs bénéficient d 'une visibilité sur la façon don Les utilisateurs interagissent avec Les applications SaaS et Web utilisées dans leur organisation。

Les données d 'utilisation Les aident à compprenre l 'adoption和l 'engagement des utilisateurs d 'un product。Les measures suivantes permeent de déterminer la façon not Les sont utilisés et d 'ajouter de la valeur ajoutée pour Les utilisateurs:

• Nombre d 'utilisateurs独特的应用程序SaaS和Web
• 应用软件即服务和应用程序Web
• Nombre d 'applications SaaS et Web lancées
• 原理应用软件即服务和Web
• 土地原则accédés使用原则
• Quantité totale de données téléchargées et téléchargées关于利用、应用和领域

En savoir +这里

ca d 'utilisation

Accès sans VPN

Citrix安全工作空间访问complète ou remplace les solutions VPN existantes par une solution零信任qui permet l 'accès aux utilisateurs distants sans VPN。赛特解决方案résout de nombreux défis en fournissant l 'accès aux资源internes pour les utilisateurs externes。Avec安全工作区访问，il y a:

• Aucun périphérique réseau à gérer， à entretenir et à sécuriser, ce qui réduit l ' étalement de l ' appliance
• Aucune address IP publicque requise car les services cloud sont en measure de contact les resources internes via les connecteurs de cloud
• Aucune règle de pare-feu requise car le connecteur cloud et les resource d 'application /bureau virtuelles établissent des connexions sortantes aux services basés sur le cloud (Aucune通信入口requise)
• Un déploiement global, les organizations sont automatiquement routées/réacheminées vers le service de passerelle优化，简化的级配toutes les配置要求par l ' organization。
• Aucune修改de l 'infrastructure苏-雅森特杜中心données。

工作空间最强大的de créer une连接à des应用程序Web locale sans computer sur un VPN。Cette connexion sans VPN使用unconnecterdéployé sur site。Le connecteur crée un canal de contrôle sortant vers l 'abonnement Citrix Cloud de l 'organisation。À partir de là，工作空间est en mesure de créer un tunnel de connections aux applications Web internet tout en fournissant l 'interface so。L 'accès sans VPN améliore non selement la sécurité et la confidentialité， mais améliore également L 'expérience utilisateur final。

图14:Cas d 'utilisation 1: accès sans VPN

Contrôles SSO et de sécurité pour les applications SaaS

安全工作空间访问建议des stratégies d '身份验证独特的等conttuelles pour l 'accès aux应用程序Web et SaaS。利用思杰网关你的义务和责任mécanismes d '鉴权多因素和contrôles上下文。Ces intégrations protègent l ' investissement existing des clients dans l ' écosystème d 'identité et facilitleur passage vers le cloud sans une mise à niveau de战车élévateur et de替代品。

Bien qu 'une应用软件即服务autorisée soit considérée comme sûre, le contenu de l '应用软件即服务peut être dangereux, ce qui constitue unrisque pour la sécurité。Lorsqu 'un utilisateur clique sur un lien hypertext dans une应用程序SaaS, le traffic est acheminé via la功能性过滤Web, qui fournit une évaluation des risques pour le lien hypertext。En function de l ' évaluation des risques et des catégories d ' url du lien hypertexte, la function de filtrage Web permet，拒绝ou rerige la demand de l ' utilisateur comme suit:

• Approuvé: le lien超文本est considéré comme sûr et le navigateur intégré accède au lien超文本dans l 'application工作区。
• Refusé: le lien超文本est considéré comme dangereux et l 'accès est refusé。
• 重定向:la demande de lien超文本est redirigée vers le navigateur intégré ou le安全浏览器服务，où les activités de navigation Internet de l 'utilisateur sont isolées du终端，du réseau d ' enterprise et de l 'application SaaS

La sécurité renforcée grâce à La保护应用程序提供信息服务的方式stratégies de sécurité提供应用程序Web等软件即服务提供方式employés。Ces stratégies protègent les données stockées dans Ces应用en appliquant les contrôles suivants:

• Filigrane
• 重新导航
• Restreindre les téléchargements
• Restreindre la journalism
• 滤液过滤网站
• limited la capture d ' écran
• 这时l 'impression

Un plus grand nombre de collaborateurs distants表示davantage de réunions à distance et de conférences Web通过各种应用程序。Ces réunions exigent généralement que les employés partagent leur écran, ce qui ouvre la possibilité d ' exposure des données sensibles par error。La fonctionnalité保护应用protège控制逻辑设备捕获écran等捕获écran de conférence Web en renvoyant une捕获d ' écran信息保护affichées sur l ' écran d ' un utilisateur。赛特保护贴花également aux outils de capture d ' écran, aux outils d ' écran d ' impression， à la capture d ' écran et aux outils d ' enregistrement les plus courants。

互联网导航员保护措施protège企业控制威胁措施basées互联网导航员保护措施protège企业控制威胁措施baséesAvec le navigateur intégré et le Secure Browser Service, les administrateurs ont le choix d 'accéder à des sites dans un navigateur Chrome local à une machine virtuelle (VM) hébergée dans le cloud。有多服务，就有多攻击。Les navigateurs s 'exécutent dans un environment isolé où la machine virtuelle est détruite après utilisation et où une nouvelle instance est créée pour chque accès à l 'application。Les stratégies contrôlent des function telles que«复印机和制版机»afin qu 'aucun fichier ou données ne puisse atteindre le réseau de l ' enterprisprise。

图15:Cas d 'utilisation 2: Contrôles SSO et de sécurité pour les applications SaaS

保护données利用和企业对不受损害的决定点的保护gérés

Grâce à des stratégies de sécurité améliorées，安全工作空间访问永久管理员de protéger leur组织contre la perte de données et le vol d ' information d 'identification。Les politiques de sécurité améliorées sont encore + importantes lorsque Les employés实用的服装人员倒accéder企业资源。

Un ensemble de stratégies est la fonctionnalité de保护des应用。应用程序保护永久管理员Citrix d ' appliquurs stratégies pour protéger捕获控制终端écran和新闻记录clés。Cette fonctionnalité protège les employés管理信息系统的管理人员触摸潜在信息捕获人员。

Les stratégies de保护des应用功能en contrôlant l 'accès à des上诉d 'API spécifiques du système d '开发辅助要求倾倒捕获des écrans ou des压力de键盘。Ces stratégies peuvent se protéger même contre les outils de pirage les加上personnalisés et spécialement conçus。Il permet de sécuriser toute application virtuelle ou Web que les employés utilisent dans Citrix Workspace et dans les boîtes de dialogue d’authentication (empêchant les fuites de mot de passe) dans Workspace。

La fonctionnalité App Protection rend le texte saisi par l 'utilisateur indéchiffrable en le chiffrant avant qu 'un outil de keylogging puisse y accéder。unkeylogger installé sur le point决定终端客户程序les données capture des caractères charabia au lieu de frappes que l 'utilisateur saisit。

图16:Cas d ' utilization 3: protection des données utilisateur et d 'entreprise sur les périphériques BYO et non gérés

综合

总之，Citrix Workspace regroupe toutes les resources dans une interface utilisateur unique et personnalisée。Les utilisateurs finaux peuvent opter pour une application Workspace installée localement (bureau et mobile) ou utiliser leurs navigateurs locaux pour accéder à un espace de travail basé sur le Web。Indépendamment de l ' approach choisie et de l ' apparel choisie, l 'expérience reste familière et cohérente。

Avec安全工作空间访问，les企业冯特au-delà del 'accès et del 'agrégation。安全工作空间访问提供contrôles de stratégie informatique qui permeent un accès conditionnel aux applications SaaS et à la navigation sur Internet。Il améliore la position globale de sécurité et de conformité d 'une organisation。L 'expérience utilisateur reste transparente et intégrée dans Citrix工作区。Les applications SaaS et Web sont accessibility en même temps que leurs applications mobiles et virtuelles et leurs posts de travail。