参考体系结构:灵活工作
概述
多年来,CompanyA 支持远程办公,占总用户群的一小部分。为了雇用来自任何地区的最佳人才,CompanyA 正在调查将远程办公扩大为公司范围的政策。该政策不仅开辟了潜在的员工候选人库,而且还为现有员工提供了更好的工作/生活灵活性。
然而,2020-2021 年的全球疫情使这一举措成为最前沿。尽管 CompanyA 能够经受疫情的严重性,但人们对及时设计和实施解决方案的认识有了提高。
此参考体系结构解释了 CompanyA 如何规划其 Citrix Workspace 解决方案,以支持灵活的工作方式而不影响 IT 安
成功标准
尽管许多用户都有主要的工作环境,但该解决方案需要支持灵活的工作方式,允许用户根据需要在任何地方工作。为了取得成功,CompanyA 定义了一系列成功标准,这些标准构成了总体设计的基础。
用户体验
灵活的工作解决方案最重要的方面是满足用户的需求。CompanyA 为成功设计确定了以下与用户相关的标准。
| 成功标准 | 说明 | 解决方案 |
|---|---|---|
| 统一体验 | 用户可能会使用众多设备访问资源,包括 PC、平板电脑和智能手机。在所有平台上获得统一体验有助于避免最终用户的混淆。 | Citrix Workspace |
| 个人移动设备 | 用户可以从公司管理的移动设备列表中进行选择。使用移动设备,CompanyA 允许用户修改设备供个人使用,同时保持企业安全策略。 | Citrix Endpoint Management — 企业拥有、个人启用 (COPE) |
| 个人电脑设备 | 用户可以从符合其使用要求的公司托管终端设备列表中进行选择。这些设备由 CompanyA 完全管理和保护。 | Citrix Endpoint Management — 选择自己的设备 (CYOD) |
| 冗余家庭网络 | 在关键任务场景下在家工作的用户必须具有冗余、高度可用的网络连接。 | Citrix SD-WAN 110 家用设备 |
| 个人隐私 | 使用未经批准的网站时,必须确保用户的隐私,同时保护用户和终端免受潜在威胁。 | Citrix Secure Internet Access 不会解密包含个人信息的网站的策略 |
| SaaS 应用程序访问 | 用户必须能够访问受批准的 SaaS 应用程序,并且不会影响体验的强身份验证。 | Citrix Secure Private Access |
| Web 应用程序访问 | 用户必须能够在任何批准的设备上访问受制裁的内部 Web 应用程序。 | Citrix Secure Private Access — 零信任网络访问 |
| 虚拟应用程序和桌面访问 | 用户必须能够在任何批准的设备上访问授权的 Windows 应用程序和桌面。 | Citrix DaaS |
| 直接虚拟应用和桌面路由 | 在本地办公环境中工作的用户能够在不影响安全策略的情况下利用到资源的直接路由。 | 具有直接工作负载连接的 Citrix DaaS |
| 虚拟会议支持 | 由于用户不再受限于在同一地点工作,因此必须使用虚拟会议解决方案,例如 Microsoft Teams。每个用户都能访问应用程序并使用本地摄像头/麦克风。 | 采用多媒体会议策略的 Citrix DaaS |
安全性
为了取得成功,CompanyA 必须能够保护和保护他们的资源,同时提供符合用户需求的灵活工作环境。CompanyA 为成功设计确定了以下与安全相关的标准。
| 成功标准 | 说明 | 解决方案 |
|---|---|---|
| 不安全的个人设备 | 尝试使用不安全设备访问 Workspace 的用户必须无法访问任何受制裁的资源。 | Citrix Application Delivery Controller (ADC)-nFactor 策略和端点分析 |
| 安全的家庭网络 | 使用敏感财务和个人数据在家工作的用户必须通过单独的安全网络进行操作。 | Citrix SD-WAN 110 家用设备 |
| 网络安全 | 无论位于何处,都必须保护用户免受隐藏在电子邮件、应用程序和网站中的潜在 Internet 威胁。Internet 防护必须扩展到所有交付模式,包括虚拟应用程序/桌面、本地应用程序、移动应用程序、Web 应用程序和 SaaS 应用程序。 | Citrix Secure Internet Access |
| SaaS 和 Web 应用程序安全 | 必须限制用户从 SaaS 应用程序下载、打印或复制包含财务、个人或其他敏感信息的数据的能力。 | Citrix Secure Private Access — 具有应用程序保护功能的安全策略 |
| 虚拟应用程序和桌面安全 | 访问虚拟应用程序和桌面的用户必须无法复制、下载或打印财务、个人或其他敏感信息。 | Citrix DaaS — 具有应用程序保护功能的安全策略 |
| 安全访问 | 必须保护公司内部资源免受不可信和不安全的位置的影响。为了帮助防止恶意软件入侵,不允许设备直接访问内部网络。 | 无 VPN 访问 |
| 多因素身份验证 | 考虑到安全性,需要 MFA 来确保企业资源的另一层身份验证保护。 | Citrix ADC-带推送的基于时间的一次性密码 |
| SaaS 凭据保护 | 用户对 SaaS 应用程序的凭证必须包括强大的多因素身份验证。 | Citrix Secure Private Access — 使用仅 SAML 身份验证的单点登录 |
| 受损的用户保护 | IT 部门必须能够快速识别和缓解被盗用户帐户造成的威胁。 | Citrix Security Analytics |
概念体系结构
根据上述要求,CompanyA 创建了以下高级概念架构。该体系结构满足上述所有要求, 同时为将来扩展到其他使用案例奠定了基础。
体系结构框架分为多个层。该框架为了解灵活工作部署方案的技术体系结构奠定了基础。所有层一起流动,创建完整的端到端解决方案。
在高级别上:
用户层:用户层描述了用于连接资源的最终用户环境和终端设备。
- 无论设备如何,用户都可以从 Workspace 应用程序访问资源,从而在各种外形规格和设备平台上提供一致的体验。
- 必须保护每个终端设备。喜欢使用个人移动设备的用户仍必须向组织注册该设备。
- 根据角色的不同,某些用户可能需要单独的、安全的家庭网络或容错网络连接。
- 在灵活的工作环境中,CompanyA 让每个人都能访问虚拟化的 Microsoft Teams,其中包括 Workspace 应用程序集成优化。
访问层:访问层描述了有关用户如何对其 Workspace 和辅助资源进行身份验证的详细信息。
- 在用户能够访问Citrix工作区的登录页面之前,端点管理ment 服务先扫描终端节点以验证其是企业托管设备。为了更好地保护资源,CompanyA 需要对所有终端设备进行某种级别的管理(移动设备级管理或 Windows 和应用程序级管理)。
- Citrix Workspace 为所有后续资源提供了主身份验证代理。CompanyA 需要多因素身份验证来提高身份验证安全
- 环境中的许多授权资源使用的凭证集与用于主 Workspace 身份的凭证不同。CompanyA 将利用每项服务的单点登录功能来更好地保护这些次要身份。对于 SaaS 应用程序,应用程序只允许基于 SAML 的身份验证,这会阻止用户直接访问 SaaS 应用程序并绕过安全策略。
资源层:资源层为定义的用户和组授权特定 SaaS、Web 和虚拟资源,同时定义与资源关联的安全策略。
- 为了更好地保护数据,CompanyA 要求禁用从托管资源中打印、下载和复制/粘贴内容到终端节点的策略。
控制层:控制层定义底层解决方案如何根据用户的底层活动进行调整。
- 即使在受保护的 Workspace 资源中,用户也能够与不受信任的 Internet 资源进行交互。CompanyA 利用 Secure Internet Access 来保护用户免受来自 SaaS 应用、Web 应用、虚拟应用、移动应用程序和端点设备上的应用程序的外部威胁。
- 用户可能需要访问托管端点设备上的个人项目。制定了适当的政策,以便在访问与健康和财务相关的个人网站时保护用户的隐私。
- 在灵活的环境中工作时,所有策略都能保护用户,因此仍然存在风险。CompanyA 使用 Security Analytics 服务来识别受影响的用户,并自动采取措施来维护安全的环境。
随后各节将更详细地介绍CompanyA灵活的工作参考体系结构的具体设计决策。
用户层
家庭网络连接
对于许多用户来说,访问他们的工作区只是连接到他们的家庭网络的问题,该网络将在工作和个人使用之间共享。但是,根据某些最终用户的要求,CompanyA 需要冗余连接或安全的家庭网络。
根据这些要求,CompanyA 根据用户要求使用以下三个选项的组合。
从连接的角度来看,CompanyA 有四种主要类型的用户,这些用户与定义的家庭连接选项有关:
| 用户 | 要求 | 解决方案 |
|---|---|---|
| 高管 | 通过冗余连接保护家庭网络 | 选项 3:安全的冗余网络-带 LTE 的 Citrix SD-WAN 110 |
| 财务 | 安全的家庭网络 | 选项 2:安全网络-Citrix SD-WAN 110 |
| 呼叫中心 | 冗余连接 | 选项 3:安全的冗余网络-带 LTE 的 Citrix SD-WAN 110 |
| 每个人 | 基线 | 选项 1:共享网络 |
组织内的某些用户处理敏感信息,例如财务数据。为了更好地保护网络通信,这些用户需要一个单独的受保护的家庭网络。此用户组将 SD-WAN 110 设备部署到其家庭网络中。尽管工作设备仍然共享主 ISP 连接,但工作设备使用受保护的家庭网络。单独的网络允许 CompanyA 将安全策略应用于远程办公网络,而不会影响家庭网络的其余部分。
某些用户组需要容错连接。这些用户部署具有备用 LTE 连接的 SD-WAN 110 设备。当 SD-WAN 110 设备检测到主 ISP 的可靠性问题时,SD-WAN 会自动故障切换到 LTE 连接。
尽管 SD-WAN 110 设备部署在用户家中,但它们是集中管理的。集中管理设备使 CompanyA 能够按照以下指南为家庭用户实施零接触部署方法:
了解有关面向家庭办公用户的 SD-WAN 110 的更多信息。
端点安全
CompanyA 基于外形规格,针对终端设备有两种不同的策略。
- 传统设备:对于台式机、PC 和笔记本电脑等传统设备,CompanyA 使用移动设备管理 (MDM) 和“选择自己的设备”(CYOD) 策略。通过这种方法,CompanyA 负责购买、保护和维护设备。为了使整体管理更轻松,同时仍能让最终用户满意度,CompanyA 提供了从 Windows 到 Mac 的批准设备列表。用户可以从设备访问个人资源,但是该设备由 CompanyA 管理、保护、监视和审核。
- 移动设备:对于 iPhone 和 Android 手机等移动设备,CompanyA 使用移动应用程序管理 (MAM) 和公司拥有的个人启用 (COPE) 策略。就像“选择自己的设备”策略一样,“公司拥有、个人启用”策略为用户提供已批准的移动设备列表。该设备由 CompanyA 购买和保护,同时仍允许用户访问未受组织保护或审计的个人应用程序。与工作相关的应用程序被容器化,有助于保护与工作相关的应用和内容免受本地安装的个人应用
设备的注册使用以下注册策略
| 操作系统 | 策略 | 值 |
|---|---|---|
| Windows | 设备管理 | 完全托管 |
| 允许手动取消注册 MDM | 已禁用 | |
| iOS | 设备管理 | 苹果设备注册 |
| Citrix MAM | 已启用 | |
| Android | 管理 | Android Enterprise |
| 设备所有者模式 | 通过工作配置文件完全托管 | |
| BYOD 工作配置文件 | 已禁用 | |
| Citrix MAM | 已启用 |
端点安全策略
为了保护终端节点,CompanyA 从以下基准设备策略开始:
| 策略 | 值 | 终端节点 |
|---|---|---|
| 密码:最小长度 | 6 | 所有操作系统类型(iOS、macOS、Android、Android Enterprise 版、Windows) |
| 应用程序清单 | 已启用 | 所有操作系统类型(iOS、macOS、Android、Android Enterprise 版、Windows) |
| 设备加密 | 要求加密设备 | Windows – BitLocker |
| macOS — FileVault | ||
| Secure Mail | 应用部署策略 | iOS 和 Android |
| Secure Web | 应用部署策略 | iOS 和 Android |
| OS 更新 | 自动安装并通知以安排重启 | Windows、macOS、iOS、Android |
Microsoft Teams 优化
凭借分布式员工队伍,CompanyA 更加依赖虚拟会议解决方案,并在 Microsoft Teams 上进行标准化 通过优化 Microsoft Teams 语音和视频通信数据包的方式,Citrix Virtual Apps and Desktops 可提供与传统 PC 完全相同的虚拟会议体验。
要了解有关 Microsoft Teams 集成和优化的更多信息,请查看以下内容:
访问层
身份验证
出于安全考虑,CompanyA 需要强大的身份验证策略。CompanyA 使用两阶段的方法。
第 1 阶段的重点是使用上下文的多因素方法将用户的主身份保护到 Citrix Workspace 中。
如果设备未通过终端安全扫描,身份验证策略将拒绝访问。扫描会验证设备是否已通过公司安全策略进行管理和保护。扫描成功后,用户可以使用其 Active Directory 凭据和 TOTP 令牌进行身份验证。 TOTP 令牌可以手动输入,也可以通过推送通知自动输入。
第 2 阶段身份验证方案侧重于辅助资源(SaaS 应用程序、Web 应用程序、虚拟应用程序和桌面)。几乎每个辅助资源都需要身份验有些人使用与用户的主要身份相同的身份提供商,而其他人则使用独立身份提供商,最常见于 SaaS 应用程序。
- SaaS 应用程序:对于 SaaS 应用程序,CompanyA 使用基于 SAML 的身份验证,而 Citrix Workspace 充当 Active Directory 的身份代理。配置完成后,SaaS 应用程序只允许基于 SAML 的身份验证。任何使用 SaaS 应用程序特定的用户名/密码登录的尝试都将失败。此策略允许 CompanyA 提高身份验证的强度,同时使因用户帐户受损而禁用访问变得更加容易。
- Web 应用程序:CompanyA 中的 Web 应用程序清单都使用用户的 Active Directory 凭据。对于 Web 应用程序,CompanyA 使用表单、Kerberos 和基于 SAML 的身份验证的组合来提供单点登录。选项之间的选择取决于每个 Web 应用程序的独特方面。
- 虚拟应用程序/桌面:对于虚拟应用程序和桌面,CompanyA 使用 Citrix Workspace 的直通身份验证,从而消除了次要身份验证难题。
Workspace 单点登录技术简介包含有关 SaaS、Web、虚拟应用程序、虚拟桌面和 IdP 链接选项的单点登录的其他信息。
资源访问
从安全角度来看,所有用户都被视为外部用户。CompanyA 需要考虑外部用户如何能够访问内部资源。必须保护公司内部资源免受不可信和不安全的位置的影响。为了帮助防止恶意软件入侵,不允许设备直接访问内部网络。
为了提供对私有 Web 应用程序、虚拟应用程序和虚拟桌面等内部资源的访问权限,CompanyA 计划使用安全专用访问服务和 Citrix DaaS。这两项服务使用零信任网络访问解决方案,这是传统 VPN 更安全的替代方案。
Secure Workspace Service 和 Citrix DaaS 使用 Cloud Connector 建立的出站控制通道连接。这些连接允许用户远程访问内部资源。但是,这些连接具有以下特点
- 范围有限,因此只有定义的资源可以访问
- 基于用户的主要安全身份
- 仅适用于禁止网络遍历的特定协议
但是,当用户在本地办公室工作时,在本地访问中,虚拟应用程序和桌面的路由将在不影响安全策略的情况下进行优化。为此,CompanyA 在 Citrix DaaS 中实施了直接工作负载连接功能。
当用户是远程用户时,Citrix Workspace 会让网关服务在虚拟资源和远程用户之间建立安全连接。但是,当用户实际位于本地网络上时,遵循相同的流程会增加用户连接的延迟。如果用户能够与虚拟资源建立本地连接,则延迟会减少,用户体验也会增加。
直接工作负载连接允许组织定义一组与本地站点关联的公有 IP 地址。如果用户的 IP 地址来自定义的 IP 地址之一,Workspace 将确定用户是本地用户并使用直接连接过程。
资源层
资源安全策略
CompanyA 希望限制因终端设备或受损的终端设备被盗而导致的数据丢失风险。在不同的应用程序类型中,CompanyA 包含了许多限制,以防止用户复制、下载或打印数据。
作为基准策略,CompanyA 定义了以下内容(能够根据用户和应用程序根据需要放松策略)。
| 类别 | SaaS 应用 | Web 应用程序 | 虚拟应用程序/桌面 | 移动应用程序 |
|---|---|---|---|---|
| 剪贴板访问 | 已拒绝 | 已拒绝 | 仅限客户端到服务器 | 仅在受保护的应用之间启 |
| 打印 | 已拒绝 | 已拒绝 | 已拒绝 | 已拒绝 |
| 导航 | 已拒绝 | 已拒绝 | 不适用 | 不适用 |
| 下载 | 已拒绝 | 已拒绝 | 已拒绝 | 已拒绝 |
| 水印 | 已启用 | 已启用 | 已启用 | 不适用 |
| 键盘记录预防 | 已启用 | 已启用 | 已启用 | 不适用 |
| 截图预防 | 已启用 | 已启用 | 已启用 | 不适用 |
应用程序保护政策技术简报包含有关键盘记录和屏幕截图防护策略的其他信息。
控制层
控制层定义底层解决方案如何根据用户的基础活动进行调整。
- 即使在受保护的 Workspace 资源内,用户也能够与 Internet 上的不受信任的资源进行交互。CompanyA 利用 Secure Internet Access 来保护用户免受来自 SaaS 应用、Web 应用、虚拟应用、移动应用程序和终端设备上的应用程序内的外部威胁。
- 用户可能需要访问托管端点设备上的个人项目。制定了适当的政策,以便在访问与健康和财务相关的个人网站时保护用户的隐私。
- 在灵活的环境中工作时,所有策略都能保护用户,因此仍然存在风险。CompanyA 使用 Security Analytics 服务来识别受影响的用户,并自动采取措施来维护安全的环境。
- CompanyA 必须能够管理部署在众多家庭中的远程 SD-WAN 110 设备。通过利用 SD-WAN Orchestrator,CompanyA 可以集中管理分布式部署。
Secure Internet Access
当用户与 SaaS、Web、虚拟、本地和移动应用进行交互时,他们经常访问公共互联网站点。尽管 CompanyA 有互联网安全合规课程,所有用户都必须每年完成一次,但它还没有完全阻止攻击,通常是由网络钓鱼诈骗引发的攻击。
为了帮助保护用户和组织,CompanyA 将 Secure Internet Access 服务和 Security Analytics 融入到灵活的工作设计中。
组织内的应用程序、桌面和设备库的任何 Internet 流量都通过 Secure Internet Access 服务进行路由。在此服务中,将扫描任何 URL 以验证其安全。某些公共网站内的功能被拒绝或修改。下载内容将自动扫描和验证。
由于许多网站现在已加密,因此此安全过程的一部分是解密流量并进行检查。CompanyA 希望允许用户在公司拥有的设备上灵活访问个人网站。为了确保员工隐私,某些类别的网站不会被解密,例如财务和健康相关的网站。为了实现完全透明,CompanyA 计划在内部提供整体安全策略计划。
在设计互联网安全策略时,CompanyA 希望从基线策略开始。随着 CompanyA 继续评估组织内的风险,他们将酌情放松/加强政策。
默认情况下,所有类别都被解密并允许。CompanyA 进行了以下在全球范围内应用的修改:
| 类别 | 更改 | 原因 |
|---|---|---|
| 金融和投资 | 不要解密 | 员工隐私问题 |
| 运行状况 | 不要解密 | 员工隐私问题 |
| 成人内容 | 阻止 | |
| 药物 | 阻止 | |
| 文件共享 | 阻止 | |
| 赌博 | 阻止 | |
| 非法活动 | 阻止 | |
| 恶意来源 | 阻止 | |
| 恶意软件内容 | 阻止 | |
| 色性/裸体 | 阻止 | |
| 病毒和恶意软件 | 阻止 | |
| 暴力/仇恨 | 阻止 |
除了全球安全控制之外,CompanyA 还需要为环境的一部分实施额外的互联网控制。
| 类别 | 组 | 原因 |
|---|---|---|
| YouTube — 限制高清视频 | Virtual Apps and Desktops 主机 | 在虚拟桌面中允许高清视频通常会增加资源负载,从而可能影响性能和可扩展性。 |
Security Analytics
CompanyA 需要在影响太大之前识别并阻止对环境的威胁。
为了帮助保护环境,CompanyA 使用 Citrix Security Analytics 来识别内部威胁、受损的用户和受损的终端节点。在许多情况下,单一威胁实例并不需要采取严厉行动,但是一系列威胁可能表明存在安全漏洞。
CompanyA 制定了以下初始安全策略:
| 名称 | 条件 | 操作 | 原因 |
|---|---|---|---|
| 越狱设备 | 检测到越狱/root 设备 | 锁定设备 | 移动设备由 CompanyA 拥有和管理。越狱设备可能会引入能够窃取数据的恶意软件。 |
| 非托管终端节点 | 检测到未托管设备 | 通知管理员 | CompanyA 要求管理每台设备。如果检测到非托管设备,则可能会破坏环境,必须禁用用户的帐户。 |
| 端点风险 | EPA 扫描失败 | 添加到播放列表 | 只允许受管设备访问。如果用户尝试使用非托管设备,则会对用户进行监视以验证其不是威胁。如果出现额外风险,则需要采取额外的行动。 |
| 异常访问 | 从可疑 IP 登录并从异常位置访问 | 锁定用户 | 如果用户从异常位置和可疑 IP 登录,则会有强烈的迹象表明该用户受到威胁。 |
| 异常的应用行为 | 应用程序使用和从异常位置访问的异常时间 | 开始会话录制 | 如果用户在奇怪的时间和地点访问虚拟应用程序,则用户可能会受到威胁。Security Analytics 记录会话以让管理员验证合法性。 |
| 潜在的凭证漏洞 | 过多的身份验证失败和从异常位置访问 | 添加到播放列表 | 如果用户来自异常位置的许多身份验证失败,则可能表示有人正在尝试进入系统。但是,攻击者尚未成功。只需将用户添加到监视列表中即可。 |
Citrix 用户风险指标文档包含有关提供给 Citrix Security Analytics 的各种风险指标的其他信息。
Citrix 策略和操作页面包含有关 Citrix Security Analytics 可以执行的修复步骤的信息。
Citrix SD-WAN Orchestrator
根据需求,用户群的子集将在其家庭网络中部署 Citrix SD-WAN 110 设备。此设备将提供冗余网络连接或创建一个单独的安全家庭网络。
为了更轻松地管理分布式 SD-WAN 部署,CompanyA 将使用 Citrix SD-WAN Orchestrator。
使用 Orchestrator,管理员可以在云服务中进行所有必要的配置设置。连接到网络后,SD-WAN 110 设备将向云服务注册并接收配置信息。
基于云的服务使管理员能够更轻松地管理分布式 SD-WAN 环境。
来源
为了使您能够更轻松地规划灵活的工作解决方案,我们希望为您提供可以调整的源图表。