リファレンスアーキテクチャ:リファレンスアーキテクチャ-自分の持ち込みデバイス上のアプリとデータを保護する
概要
CompanyA は、ユーザーベース全体のごく一部にリモートアクセスを提供します。ハイブリッドで分散した労働力の一部であるこれらのエンドユーザーは、個人持ち込み(BYO)デバイスを使用して内部リソースとクラウドリソースにアクセスします。リソースには、信頼できないデバイスからアクセスされたときに保護する必要があるクライアントサーバーアプリ(仮想アプリケーションとデスクトップ)、内部Web、SaaSアプリが含まれます。
CompanyAのリモートアクセスポリシーにより,ハイブリッドおよび分散型の従業員の効率が向上しました。しかし、このポリシーによって複雑な配信モデルが作成され、セキュリティ上の懸念が生じました。エンドユーザーのデバイスは管理対象外であるため、A社は、デバイスに送信中、使用中、およびデバイス上の保存中のアプリおよびデータに対するセキュリティの脅威を軽減する必要があります。
A社は現在、リモートアクセスにいくつかの統合されていないポイント製品を使用しています。同社は、リソースを保護しながら、全社的なゼロトラストネットワークアクセス(ZTNA)ソリューションを統合して拡張したいと考えています。そのために、A社はアプリ配信アーキテクチャを更新するイニシアチブに取り組んでいます。Citrixセキュアプライベートアクセス、NetScaler Gateway、Citrixセキュアインターネットアクセス、およびCitrix WebアプリケーションとAPI保護を使用して、統合されたCitrixソリューションを実装しています。このソリューションを組み合わせることで、BYOデバイスからアクセスされるCompanyAのリソースをエンドツーエンドで保護できます。
このリファレンスアーキテクチャは、ユーザーアクセスを保護し、データとデバイスを保護し、アプリを保護するという会社の計画を説明しています。
成功基準
会社Aは、すべてのユーザーが自宅や遠隔地から作業できるようにしたいと考えています。パンデミック後、従業員はBYOD対応のハイブリッドおよび分散型労働力の恩恵を受け続けています。現在、一部のユーザーはWebおよびSaaSアプリケーションへのVPNアクセスを持っていますが、会社Aは全社的な展開を妨げるいくつかのセキュリティ上の課題を特定しました。そのため、A社はVPNなしのアプローチを実装しています。
A社はエンドユーザーのデバイスを管理していないため、デバイスが悪意のあるコンテンツをアプリケーションインフラストラクチャに転送するかどうかを理解する方法はありません。さらに、会社Aのセキュリティポリシーでは、会社のリソースへのアクセスを提供するためにBYOデバイスにエージェントをインストールすることを要求していません。
したがって、CompanyAは、BYOデバイスがアクセスする企業リソースを保護するための3つのイニシアチブを開始しました。成功するために、CompanyAはイニシアチブの成功基準のリストを定義しました。これらの基準は、包括的な設計の基礎を形成します。
ユーザーアクセスを保護する
CompanyA は、BYOD ユーザーの職場環境へのアクセスを保護する必要があります。エンドユーザーにとってシームレスな、すべてのアプリとデータへの安全なアクセスモードを作成する必要があります。あらゆるデバイスを使用し、どこからでも作業するには、アクセスが安全で、シンプルで、柔軟でなければなりません。
A社は、セキュリティ戦略は、アクセスとセキュリティに対する従来の「城と堀」のアプローチから離れることであると判断しました。ユーザーが信頼されていることを前提とするVPNのような従来のアプライアンスベースのソリューションを使用する代わりに、ゼロトラストアプローチを採用しています。
A社はユーザーアクセスの保護に重点を置いており、設計を成功させるための次の基準を特定しました。
| 成功基準 | 説明 | 解決策 |
|---|---|---|
| Web アプリと SaaS アプリへのアダプティブアクセス | Citrix Secure Private Accessを使用して適切なアクセスレベルを判断するWebおよびSaaSアプリケーションへの適応型アクセス | Citrix Secure Private Access |
| クライアント/サーバー (仮想) アプリのアダプティブアクセス | Citrix Secure Private Access と Citrix DaaS を使用したクライアント/サーバー(仮想)アプリへのアダプティブアクセスにより、適切なアクセスレベルを判断する | Citrix Secure Private Access と Citrix DaaS |
| エンドユーザー監視 | 潜在的な脅威から保護するための継続的な監視と継続的な評価。アプリは、データの流出や、異常なアクセス時間や場所がないか継続的に監視されます。 | Citrix Analytics |
| SaaS アプリケーションアクセス | ユーザーは、エクスペリエンスに影響を与えない強力な認証を使用して、認可されたSaaSアプリケーションにアクセスする必要があります | Citrix Secure Private Access |
| ウェブアプリケーションアクセス | ユーザーは、エクスペリエンスに影響を与えない強力な認証を使用して、認可された内部Webアプリケーションにアクセスできる必要があります | Citrix Secure Private Access — ゼロトラストネットワークアクセス |
| 個人のプライバシー | A社は、認可されていないウェブサイトを使用する際の潜在的な脅威からユーザーとエンドポイントを保護しつつ、ユーザーのプライバシーを確保する必要があります | Citrix Secure Internet AccessによるCitrixリモートブラウザ分離サービス(個人情報を含むサイトには「復号化しない」ポリシーを使用) |
データの保護
会社Aは、BYOデバイスがアクセスするデータを保護する必要があります。オンプレミスのデータセンター、パブリッククラウド、プライベートクラウドで構成される環境に、アプリケーション、システム、ネットワークのレイヤーで構成される非常に複雑なインフラストラクチャがあります。この無秩序な増加により、データを保護するためのさまざまなツールやテクノロジーの複雑なスタックが生まれました。
A社は、現代の職場の要求を満たすために、統合されたクラウド配信のセキュリティスタックを設計しています。ソリューション全体にわたってデータセキュリティポリシーを一元化することで、重複するタスクを最小限に抑え、重複するポリシーを排除し、IT部門がすべての場所でデータとデバイスを保護できるようにします。
A社はデータ保護に重点を置いており、設計を成功させるための次の基準を特定しました。
| 成功基準 | 説明 | 解決策 |
|---|---|---|
| 持ち込みデバイス | ユーザーはBYOデバイスを使用してWorkspaceにアクセスし、認可されたリソースに自由にアクセスしてはなりません。 | Citrix Secure Private Access |
| SaaS とウェブアプリケーションのセキュリティ | 財務、個人情報、またはその他の機密情報を含むデータを SaaS アプリからダウンロード、印刷、またはコピーするユーザーの機能を制限する必要があります。 | Citrix Secure Private Access — セキュリティポリシー強化されたセキュリティ |
| キーロガーからの保護 | 会社Aは、BYOデバイスからアクセスされる場合、社内のリソースを保護する必要があります。デバイスが侵害され、キーロギングマルウェアがインストールされている可能性があります。Citrix Workspace の使用中は、キーログをブロックする必要があります。 | Citrix Secure Private Access — アプリケーション保護付きのセキュリティポリシー |
| スクリーンスクレーパーからの保護 | 会社Aは、BYOデバイスからアクセスされる場合、社内のリソースを保護する必要があります。デバイスが侵害され、画面スクレイピングマルウェアがインストールされている可能性があります。Citrix Workspace の使用中は、画面スクレイピングをブロックする必要があります。 | Citrix Secure Private Access — アプリケーション保護付きのセキュリティポリシー |
| インターネットセキュリティ | 場所を問わず、電子メール、アプリケーション、ウェブサイトに潜む潜在的なインターネットの脅威からユーザーを保護します。 | Citrix Secure Internet AccessによるCitrix リモートブラウザ隔離サービス-マルウェア対策を備えたセキュリティポリシー |
| デバイスを保護する | デバイスと基盤となるインフラストラクチャをマルウェアやゼロデイ脅威から保護 | Citrix Secure Internet AccessによるCitrix リモートブラウザ隔離サービス-マルウェア対策を備えたセキュリティポリシー |
| データを保護する | 認可されたアプリと認可されていないアプリに保存されているデータを保護する | Citrix Secure Internet AccessによるCitrixリモートブラウザ分離サービス — Webフィルタリングによるセキュリティポリシー |
| コンプライアンス | コンプライアンスと悪意のあるURLからのユーザーの保護 | Citrix Secure Internet AccessによるCitrixリモートブラウザ分離サービス — Webフィルタリングによるセキュリティポリシー |
アプリを保護する
会社Aは、BYOデバイスがアクセスするアプリを保護する必要があります。同社がBYOデバイスを使用することで、侵害されたデバイスが企業アプリにアクセスするリスクが高まっています。また、同社がアプリをクラウドに移行し、SaaSアプリを使用しているため、攻撃対象範囲が拡大しています。現在のオンプレミスの安全なWebゲートウェイと厳格なセキュリティポリシーを備えたVPN展開では、クラウド内のアプリケーションを効果的に保護できません。
A社は、アプリケーションセキュリティのためにオンプレミスデバイスとクラウドサービスの両方を使用するハイブリッドソリューションを作成する必要があります。オンプレミスのデバイスはオンプレミスでアプリレイヤー攻撃とDDoS攻撃をブロックし、クラウドベースの保護サービスはクラウドでのボリューム攻撃とアプリレイヤーDDoS攻撃を防ぎます。
A社はアプリの保護に重点を置いており、設計を成功させるための次の基準を特定しました。
| 成功基準 | 説明 | 解決策 |
|---|---|---|
| セキュアなアクセス | CompanyA は、信頼できない場所やセキュリティ保護されていない場所からアクセスされた場合に、社内のリソースを保護する必要があります。マルウェアの侵入を防ぐために、デバイスは内部ネットワークに直接アクセスすることはできません。 | 安全なプライベートアクセス-VPNレスアクセス |
| SaaS クレデンシャル保護 | SaaS アプリケーションに対するユーザーの資格情報には、多要素認証が含まれている必要があります。 | Citrix Secure Private Access — SAMLのみの認証によるシングルサインオン |
| SaaS DLP | 会社Aは、SaaSアプリにDLPコントロールをインラインで使用することを要求しています。 | Citrix セキュア・インターネット・アクセスによるリモート・ブラウザ・アイソレーション・サービス |
| Web アプリを保護する | A社は、ネットワークに侵入する前に、エッジでボリュームDDoS攻撃を阻止する必要があります。A社はクラウドアプリと社内アプリの両方を保護する必要があります。A社は、クラウドホスト型プラットフォーム上の複数の場所にアプリケーションを展開しています。これらのアプリは、DDoS 攻撃、ボット攻撃、クロスサイトスクリプティング、SQL インジェクション攻撃などの API レベルの脅威から保護する必要があります。 | Citrix Web App Firewall |
| 侵害されたユーザー保護 | IT担当者は、侵害されたユーザーアカウントによってもたらされる脅威を迅速に特定し、軽減できる必要があります。IT部門は、ビジネスが必要とする完全なセキュリティを提供するために、一元化されたオーケストレーション機能で脅威領域全体を保護する必要があります。 | Citrix セキュリティ分析 |
概念アーキテクチャ
このアーキテクチャは、前述の要件をすべて満たす一方で、CompanyA に将来さらに多くのユースケースに拡張するための基盤を提供します。
おおまかなレベルでは、
ユーザーレイヤー:ユーザーレイヤーは、リソースへの接続に使用されるエンドユーザー環境とエンドポイントデバイスを記述します。
エンドユーザーデバイスはBYODです。デバイスは管理対象外であり、A社はデバイスにエージェントをインストールする必要はありません。
エンドユーザーはCitrix Workspace Webからリソースにアクセスし、BYOデバイスでも保護されたエクスペリエンスを実現します。
エンドユーザーは、より多くの機能のためにCitrix Workspace アプリをインストールできますが、必須ではありません。
アクセスレイヤー:アクセスレイヤーは、ユーザーがワークスペースとセカンダリリソースに対してどのように認証するかを記述します。
Citrix Workspaceでは、後続のすべてのリソースに対してプライマリ認証ブローカーが提供されます。CompanYA では、認証のセキュリティを向上させるために、多要素認証が必要です。
環境内の承認されたリソースの多くは、プライマリ Workspace ID に使用される認証情報とは異なる認証情報のセットを使用します。A社は、各サービスのシングルサインオン機能を使用して、これらのセカンダリIDをより適切に保護します。
アプリケーションは、SaaS アプリに対して SAML ベースの認証のみを許可します。これにより、ユーザーは SaaS アプリに直接アクセスしてセキュリティポリシーをバイパスできなくなります。
リソースレイヤー:リソースレイヤーは、リソースに関連付けられたセキュリティポリシーを定義しながら、定義されたユーザーおよびグループに対して特定のクライアント/サーバー (仮想)、Web、および SaaS リソースを承認します。
会社Aでは、管理対象リソースからBYOデバイスとの間でコンテンツを印刷、ダウンロード、コピー、貼り付けする機能を無効にするポリシーが必要です。
エンドポイントのセキュリティステータスの性質が不明なため、A社は分離されたブラウザまたは仮想化されたセッションを使用してリソースにVPNレスでアクセスする必要があります。
機密性の高いSaaSアプリには、Citrix Workspace アプリによって提供される追加の保護を与えることができます。BYOデバイスで利用可能なアプリ保護がない場合、適応型アクセスポリシーにより、ユーザーはアプリを起動できません。
A社はBYOデバイスから内部Webアプリへのアクセスを許可しているため、Citrix Web App Firewallは、侵害された可能性のあるエンドポイントからの攻撃からリソースを保護する必要があります。
制御層:制御層は、基盤となるソリューションがユーザーの基礎となるアクティビティに基づいてどのように調整されるかを定義します。
保護された Workspace リソース内であっても、ユーザーは信頼されていないインターネットリソースを操作できます。A社は、SaaSアプリ、Webアプリ、および仮想アプリとデスクトップを使用する際に、外部からの脅威からユーザーを保護するためにセキュアインターネットアクセスを使用しています。
ユーザーがCompanyAのリソースを通じてBYOデバイス上の健康や財務などの個人のWebサイトにアクセスする必要がある場合、適切なポリシーがユーザーのプライバシーを保護します。
A社は、侵害されたユーザーを特定し、安全な環境を自動的に維持するために、セキュリティ分析サービスを必要としています。
以降のセクションでは、A社のBYOD保護リファレンスアーキテクチャに関する具体的な設計上の決定事項について詳しく説明します。
アクセスレイヤー
認証
一个社は,ユーザー名とパスワードを使用してリソースへのアクセスを提供しても,十分なセキュリティが提供されないと判断しました。多要素認証はすべてのユーザーに必要です。A社は、多要素方式にActive Directory +トークンを使用し、NetScaler Gateway サービスを使用してすべての認証要求を処理します。
Citrix Workspace には、多要素認証を提供するクラウド配信の時間ベースのワンタイムパスワード(TOTP)が組み込まれています。ユーザーは TOTP サービスに登録し、モバイルデバイスの認証アプリ内で事前共有秘密鍵を作成します。
ユーザーがTOTPマイクロサービスに正常に登録されると、ユーザーはトークンとActive Directory 資格情報を使用して、Citrix Workspaceへの認証を正常に行う必要があります。
ゼロトラストネットワークアクセス
A社は、Citrix Secure Private AccessサービスとCitrix DaaSを使用して、SaaSと内部Webアプリ、仮想アプリケーション、および仮想デスクトップへのアクセスを提供します。これらのサービスはゼロトラストネットワークアクセスソリューションであり、従来のVPNのより安全な代替手段です。
セキュアプライベートアクセスサービスとCitrix DaaSは、クラウドコネクタの送信制御チャネル接続を使用します。これらの接続により、ユーザーは内部リソースにリモートでアクセスできます。ただし、これらの接続は次のとおりです。
- 定義されたリソースのみがアクセスできるようにスコープが制限されています
- ユーザーのプライマリ、セキュリティで保護された ID に基づく
- ネットワーク通過を許可しない特定のプロトコルのみ
リソースレイヤー
リソースセキュリティポリシー
A社は、BYOデバイスでのデータ損失とデータ残留のリスクを制限したいと考えています。さまざまなアプリケーションタイプ内で、CompanYA には、ユーザーがデータをコピー、ダウンロード、または印刷できないように多数の制限が組み込まれています。
CompanyA は、セキュリティ要件を満たすための規範的なアクセスモデルを開発しました。
- Workspaceアプリを搭載していないBYOデバイスは、セキュア・プライベート・アクセスを使用して、Citrix Remote Browser Isolation Serviceサービスを使用して隔離されたブラウザーからSaaSまたはWebアプリケーションを起動します。Secure Private AccessはSSOを提供し、WebおよびSaaSアプリにダウンロード、印刷、コピー、貼り付けなどの適応型アクセスポリシーを適用します。
- Workspaceアプリを搭載したBYOデバイスは、Secure Private Accessを使用して、ローカルのコンテナ化されたブラウザであるCitrix Enterprise Browser(旧Citrix Workspace Browser)を使用してSaaSまたはWebアプリを起動します。ブラウザーは、SaaS アプリへの接続または内部 Web アプリへのゼロトラストネットワークアクセス接続を作成します。セキュアプライベートアクセスは SSO を提供し、適応型アクセスポリシー (ダウンロード、印刷、コピー、貼り付けの制限) を適用します。
- アプリ保護ポリシーは、画面スクレイピングとキーロガー制限を使用して Web アプリと SaaS アプリを保護します。BYOデバイスで利用可能なアプリ保護がない場合、適応型アクセスポリシーにより、ユーザーはアプリを起動できません。
- ユーザーが仮想アプリケーションとデスクトップにアクセスすると、Citrix DaaSはSSOを提供し、ロックダウンポリシーを適用します。このサービスは、ダウンロード、印刷、単方向および双方向のコピー&ペースト操作を制限します。
会社一个には,機密性の高いSaaSアプリとWebアプリの両方があり,セキュリティ要件に基づいて適応型アクセスポリシーを適用します。ベースラインとして、A社は次のポリシーを定義しました(ユーザーとアプリケーションに基づいて必要に応じてポリシーを緩和する機能を備えています)。
| カテゴリ | SaaS アプリ | 機密性の高いSaaSアプリ | Web アプリ | 機密性の高いウェブアプリ | Virtual Apps and Desktops |
|---|---|---|---|---|---|
| クリップボードへのアクセス | 許可 | 拒否済み | 許可 | 拒否済み | 拒否済み |
| 印刷 | 許可 | 拒否済み | 許可 | 拒否済み | 拒否済み |
| ナビゲーション | 拒否済み | 拒否済み | 拒否済み | 拒否済み | 該当なし |
| ダウンロード | 許可 | 拒否済み | 許可 | 拒否済み | 拒否済み |
| 透かし | 無効 | 有効 | 無効 | 有効 | 有効 |
| キーロギング防止* | 無効 | 有効 | 無効 | 有効 | 有効 |
| スクリーンショット防止* | 無効 | 有効 | 無効 | 有効 | 有効 |
制御レイヤー
Web アプリと API の保護
ユーザーがCitrix Workspace に対して認証されると、BYOデバイス上のプライベートWebアプリにアクセスします。オンプレミスのプライベートWebアプリをより適切に保護するために、A社はCitrix Application DDelivery Controller のボット管理コンポーネントとWeb App Firewallコンポーネントを使用しています。
Application Delivery Controller のボット管理コンポーネントは、ボット要求を検出し、それがシステムに殺到するのを防ぎます。Web App Firewall は、公開されているアプリを攻撃から保護します。これらのタイプの攻撃は、通常、バッファオーバーフロー、SQL インジェクション、クロスサイトスクリプティングです。Web App Firewall は、これらの攻撃がデータやアプリに影響を与えることを検出して拒否します。
A社はまた、Citrix WebアプリとAPI保護サービスを使用して、オンプレミスではないWebアプリに対するボリューム攻撃とアプリレイヤーDDoS攻撃を防ぎます。
セキュア インターネット アクセス
ユーザーがSaaS、Web、および仮想アプリを操作すると、企業以外の認可を受けたインターネットサイトにアクセスすることがよくあります。ユーザーと組織を保護するために、A社はCitrix Secure Internet AccessとSecurity Analyticsを備えたCitrix Remote Browser Isolationサービスを設計に組み込んでいます。
組織内のアプリ、デスクトップ、およびデバイスのライブラリとの間のCompanyA関連のインターネットトラフィックは、Secure Internet Accessサービスを介してルーティングされます。サービスは URL をスキャンして安全であることを確認します。特定の公開サイト内の機能は拒否または変更されます。ダウンロードは自動的にスキャンされ、検証されます。
- ユーザーが仮想アプリケーションとデスクトップにアクセスすると、Citrix DaaSインフラストラクチャには、トラフィックをプロキシするためのCitrix Secure Internet Accessエージェントがインストールされます。
- ユーザーがCitrix Remote Browser Isolationサービスを使用してWebおよびSaaSリソースにアクセスする場合、Citrix Secure Internet AccessがSecure Web Gateway として使用されます。
現在、多くのWebサイトが暗号化されているため、このセキュリティプロセスの一部はトラフィックの復号化と検査です。このサービスは、従業員のプライバシーを確保するために、金融サイトや健康関連サイトなど、特定のカテゴリのWebサイトを復号化しません。
インターネットセキュリティポリシーを設計するにあたり、A社はベースラインポリシーから始めたいと考えました。A社は組織内のリスクを評価し続けるため、必要に応じてポリシーを緩和/強化します。
デフォルトでは、すべてのカテゴリが復号化され、許可されます。会社Aは、次のポリシーをグローバルに適用しています。
| カテゴリ | 変更 | 理由 |
|---|---|---|
| 金融と投資 | 復号化しない | 従業員のプライバシーに関する懸念 |
| 状況 | 復号化しない | 従業員のプライバシーに関する懸念 |
| アダルトコンテンツ | ブロック | 会社方針 |
| 薬物 | ブロック | 会社方針 |
| ファイル共有 | ブロック | 会社方針 |
| ギャンブル | ブロック | 会社方針 |
| 違法行為 | ブロック | 会社方針 |
| 悪質な情報源 | ブロック | 会社方針 |
| マルウェアのコンテンツ | ブロック | 会社方針 |
| ポルノ/ヌード | ブロック | 会社方針 |
| ウイルスとマルウェア | ブロック | 会社方針 |
| 暴力/憎しみ | ブロック | 会社方針 |
Webフィルタリングおよび保護機能に関する追加情報については、Citrix Secure Internet Accessの技術概要を参照してください。
まとめ
前述の要件に基づいて、CompanyA は高レベルの概念アーキテクチャを作成しました。一般的なフローと要件は、エンドユーザーが以下を要求することです。
- Citrix Secure Private Accessを介したSaaSアプリへの保護されたアクセスと内部WebアプリへのVPNレスアクセス
- Citrix Secure Private Accessを介して外部または内部リソースへのアクセスが許可される前の適応型認証
- Citrix Secure Private Accessを介した特定のリソースへのゼロトラストアクセス
- Citrix Secure Internet AccessによるCitrix Remote Browser Isolationサービスを使用して、Webアプリケーション、または仮想アプリケーションおよびデスクトップからのインターネットトラフィックへのアクセスを保護します
- Citrix Web Application Firewallを使用して、BYOデバイスからアクセスするWebアプリケーションへのアクセスを保護する
A社は、Citrix を使用して、ゼロトラストネットワークアクセスを実施し、リソースのエンドツーエンド保護を提供する最新のアプリケーション配信環境を構築しています。