参考架构:参考架构-保护自带设备上的应用程序和数据
概述
CompanyA提供对其整体用户群的一小部分的远程访问。这些最终用户属于混合和分布式工作队伍,他们使用自带 (BYO) 设备访问内部和云资源。资源包括从不受信任的设备访问时必须受到保护的客户端-服务器应用程序(虚拟应用程序和桌面)、内部 Web 和 SaaS 应用程序。
CompanyA的远程访问政策提高了混合和分布式员工的效率。但是,该策略创建了一个复杂的交付模式,并引入了安全问题。由于最终用户设备处于非托管状态,因此 CompanyA 必须缓解针对应用程序和在设备上载输、在设备上使用和静态的数据的安全威胁。
CompanyA目前使用几种未集成的单点产品进行远程访问。它希望在保护其资源的同时,整合和扩展到全公司范围的零信任网络访问(ZTNA)解决方案。为此,CompanyA正在开展一项计划,以更新其应用程序交付架构。它正在使用 Citrix Secure Private Access、NetScaler Gateway、Citrix Secure Internet Access Web App 和 API 保护来实施集成的 Citrix 解决方案。该解决方案共同为从自带设备访问的 CompanyA 资源提供端到端保护。
此参考架构解释了 CompanyA 保护用户访问、保护数据和设备以及保护应用程序的计划。
成功标准
CompanyA希望让所有用户都能在家中和远程位置工作。疫情过后,员工继续受益于支持自带设备的混合和分布式员工队伍。尽管一些用户目前可以通过VPN访问Web和SaaS应用程序,但CompanyA已经发现了阻碍整个公司部署的几个安全挑战。因此,CompanyA 正在实施一种无 VPN 的方法。
由于 CompanyA 不管理最终用户的设备,因此无法了解这些设备是否将任何恶意内容传输到其应用程序基础架构。此外,CompanyA的安全策略不要求自带设备安装代理以提供对公司资源的访问权限。
因此,CompanyA已启动一项三重计划,以保护自带设备访问的企业资源。为了取得成功,CompanyA为该计划制定了一系列成功标准。这些标准构成了总体设计的基础。
保护用户访问权限
CompanyA 必须保护自带设备用户对其工作环境的访问。它必须创建一种对最终用户无缝访问所有应用程序和数据的安全模式。访问必须安全、简单且灵活,才能在任何位置使用任何设备和工作。
CompanyA已决定其安全策略是摆脱传统的“城堡和护城河”的访问和安全方法。它采用零信任方法,而不是使用传统的基于设备的解决方案,例如假定用户受信任的VPN。
在CompanyA专注于保护用户访问权限的过程中,它确定了成功设计的以下标准:
| 成功标准 | 说明 | 解决方案 |
|---|---|---|
| Web和SaaS 应用程序的自适应访问 | 使用 Citrix Secure Private Access 权限对 Web 和 SaaS 应用程序进行自适应访问,以确定正确的访问级别 | Citrix Secure Private Access |
| 客户端-服务器(虚拟)应用程序的自适应访问 | 使用 Citrix Secure Private Access 和 Citrix DaaS 对客户端-服务器(虚拟)应用程序进行自适应访问,以确定正确的访问级别 | Citrix Secure Private Access 和 Citrix DaaS |
| 最终用户监视 | 持续监视和持续评估,以防范潜在威胁。持续监视应用程序是否存在数据泄露以及异常访问时间和位置。 | Citrix Analytics |
| SaaS 应用程序访问 | 用户必须使用不会影响体验的强身份验证访问经批准的 SaaS 应用程序 | Citrix Secure Private Access |
| Web 应用程序访问 | 用户必须能够通过不影响体验的强身份验证访问经批准的内部 Web 应用程序 | Citrix Secure Private Access — 零信任网络访问 |
| 个人隐私 | 在使用未经批准的网站时,CompanyA 必须确保用户隐私,同时仍能保护用户和终端免受潜在威胁 | 带有 Citrix Secure Internet Access 的 Citrix 远程浏览器隔离服务(对包含个人信息的网站使用 “请勿解密” 策略) |
保护数据
CompanyA 必须保护自带设备访问的数据。它在由本地数据中心、公有云和私有云组成的环境中具有由应用程序、系统和网络层组成的高度复杂的基础架构。这种蔓延导致了用于保护数据的各种工具和技术的复杂堆栈。
CompanyA正在设计一个整合的云交付安全堆栈,以满足其现代工作场所的需求。通过在整个解决方案中集中数据安全策略,它可以最大限度地减少冗余任务,消除重叠的策略,并允许 IT 跨所有位置保护数据和设备。
在CompanyA专注于保护数据的过程中,它确定了成功设计的以下标准:
| 成功标准 | 说明 | 解决方案 |
|---|---|---|
| 自带设备 | 用户使用自带设备访问 Workspace,不得不受限制地访问受制裁的资源。 | Citrix Secure Private Access |
| SaaS 和 Web 应用程序安全 | 必须限制用户从包含财务、个人或其他敏感信息的 SaaS 应用程序下载、打印或复制数据的能力。 | Citrix Secure Private Access — 安全策略增强安全性 |
| 保护免受键盘记录器的侵害 | 当从 BYO 设备访问公司内部资源时,CompanyA 必须保护公司内部资源。设备可能会遭到破坏,并安装了键盘记录恶意软件。使用 Citrix Workspace 时必须阻止密钥记录。 | Citrix Secure Private Access — 具有应用程序保护功能的安全策略 |
| 保护免受屏幕刮板的伤害 | 当从 BYO 设备访问公司内部资源时,CompanyA 必须保护公司内部资源。设备可能会遭到破坏,并安装了屏幕抓取恶意软件。使用 Citrix Workspace 时必须阻止屏幕抓取。 | Citrix Secure Private Access — 具有应用程序保护功能的安全策略 |
| 网络安全 | 保护用户免受隐藏在电子邮件、应用程序和网站中的潜在互联网威胁,无论其位置如何。 | 带有 Citrix Secure Internet Access 的 Citrix 远程浏览器隔离服务——具有恶意软件保护功能的安全策略 |
| 保护设备 | 保护设备和底层基础架构免受恶意软件和零日威胁的侵害 | 带有 Citrix Secure Internet Access 的 Citrix 远程浏览器隔离服务——具有恶意软件保护功能的安全策略 |
| 保护数据 | 保护存储在受制裁和未经批准的应用程序中的数据 | 带有 Citrix Secure Internet Access 的 Citrix 远程浏览器隔离服务 — 带网络过滤功能的安全策略 |
| 合规性 | 合规性并保护用户免受恶意 URL 的侵害 | 带有 Citrix Secure Internet Access 的 Citrix 远程浏览器隔离服务 — 带网络过滤功能的安全策略 |
保护应用程序
CompanyA 必须保护自带设备访问的应用程序。该公司使用自带设备增加了受感染设备访问企业应用程序的风险。此外,由于该公司将应用程序迁移到云端并使用SaaS应用程序,其攻击面也有所增加。其当前的本地安全 Web 网关和 VPN 部署具有严格的安全策略,无法有效保护云中的应用程序。
CompanyA必须使用本地设备和云服务创建混合解决方案,以实现应用程序安全。本地设备可阻止本地应用层和 DDoS 攻击,而基于云的保护服务可防止云中的容量攻击和应用层 DDoS 攻击。
在CompanyA专注于保护应用程序的过程中,它确定了成功设计的以下标准:
| 成功标准 | 说明 | 解决方案 |
|---|---|---|
| 安全访问 | 当从不受信任和不安全的位置访问公司内部资源时,CompanyA必须保护内部的公司资源。不允许设备直接访问内部网络以帮助防止恶意软件入侵。 | 安全的私人访问——无VPN访问 |
| SaaS 凭据保护 | 用户对 SaaS 应用程序的凭据必须包括多重身份验证。 | Citrix Secure Private Access — 使用仅 SAML 身份验证的单点登录 |
| SaaS DLP | CompanyA 要求其 SaaS 应用程序使用内联的 DLP 控件。 | 带有 Citrix Secure Internet Access 的远程浏览器隔离服务 |
| 保护网络应用程序 | CompanyA 必须在边缘阻止容量 DDoS 攻击,然后才能进入网络。CompanyA 必须同时保护云应用程序和内部应用程序。CompanyA在云托管平台上的多个位置部署了应用程序。它必须保护这些应用程序免受 API 级别的威胁,例如 DDoS 和 Bot 攻击、跨站点脚本和 SQL 注入攻击。 | Citrix Web App Firewall |
| 受损的用户保护 | IT 部门必须能够快速识别和缓解被盗用户帐户造成的威胁。IT 必须使用集中式编排功能保护整个威胁面,以提供业务所需的完整安全性。 | Citrix Security Analytics |
概念体系结构
此架构满足上述所有要求,同时为 CompanyA 在未来扩展到更多用例奠定了基础。
在较高的层面上:
用户层:用户层描述用于连接到资源的最终用户环境和端点设备。
最终用户设备是 BYOD。设备处于非托管状态,CompanyA 不需要在设备上安装任何代理。
最终用户可以从 Citrix Workspace Web 访问资源,从而获得即使在 BYO 设备上也能得到保护的体验。
最终用户可以安装 Citrix Workspace 应用程序以获得更多功能,但不是必需的。
接入层:访问层描述了用户如何对其 Workspace 和二级资源进行身份验证。
Citrix Workspace 为所有后续资源提供了主身份验证代理。CompanyA 需要多因素身份验证来提高身份验证安全
环境中的许多授权资源使用的凭据集与用于主 Workspace 身份的凭据不同。CompanyA 将使用每项服务的单点登录功能来更好地保护这些次要身份。
这些应用程序仅允许对 SaaS 应用程序进行基于 SAML 的身份验证。这样可以防止用户直接访问 SaaS 应用程序并绕过安全策略。
资源层:资源层为定义的用户和组授权特定的客户端-服务器(虚拟)、Web 和 SaaS 资源,同时定义与资源关联的安全策略。
CompanyA 要求制定政策,禁止在自带设备之间打印、下载、复制和粘贴来自托管资源的内容。
由于端点安全状态的未知性质,CompanyA要求使用隔离的浏览器或虚拟会话对资源进行无VPN访问。
Citrix Workspace 应用程序可以为高度敏感的 SaaS 应用程序提供额外的保护。如果 BYO 设备没有可用的应用程序保护,则自适应访问策略会阻止用户启动应用程序。
由于 CompanyA 允许从自带设备访问内部 Web 应用程序,因此 Citrix Web App Firewall 必须保护资源免受来自潜在受损端点的攻击。
控制层:控制层定义如何根据用户的底层活动调整底层解决方案。
即使在受保护的 Workspace 资源中,用户也可以与不受信任的 Internet 资源进行交互。CompanyA 使用 Secure Internet Access 来保护用户在使用SaaS应用程序、Web应用程序以及虚拟应用程序和桌面时免受外部威胁。
如果用户必须通过 CompanyA 资源在其自带设备上访问健康和金融等个人网站,则适当的政策将保护用户的隐私。
CompanyA 需要 Security Analytics 服务来识别受感染的用户并自动维护安全的环境。
后续章节将更详细地介绍CompanyA的BYOD保护参考架构的具体设计决策。
访问层
身份验证
CompanyA 已确定,使用用户名和密码提供对资源的访问权限并不能提供足够的安全性。所有用户都需要多重身份验证。CompanyA 使用 Active Directory + 令牌作为其多因素方法,使用 NetScaler Gateway 服务来处理所有身份验证请求。
Citrix Workspace 集成了云端提供的基于时间的一次性密码 (TOTP),可提供多重身份验证。用户在 TOTP 服务中注册并在移动设备上的身份验证器应用程序中创建预共享密钥。
用户成功注册到 TOTP 微服务后,用户必须使用令牌及其 Active Directory 凭据才能成功向 Citrix Workspace 进行身份验证。
请参阅带有 TOTP 的 Citrix Workspace Active Directory 技术简介,了解有关 Active Directory 的充分知识
零信任网络访问
CompanyA 使用 Citrix Secure Private Access 服务和 Citrix DaaS 提供对 SaaS 和内部 Web 应用程序、虚拟应用程序和虚拟桌面的访问权限。这些服务是零信任网络访问解决方案,是传统VPN的更安全的替代方案。
Secure Private Access 服务和 Citrix DaaS 使用 Cloud Connector 的出站控制通道连接。这些连接允许用户远程访问内部资源。但是,这些联系是:
- 范围有限,因此只有定义的资源可以访问
- 基于用户的主要安全身份
- 仅适用于禁止网络遍历的特定协议
资源层
资源安全策略
CompanyA希望限制自带设备上的数据丢失和数据剩余风险。在不同的应用程序类型中,CompanyA 包含了许多限制,以防止用户复制、下载或打印数据。
CompanyA 开发了规范性访问模型,以满足其安全要求:
- 没有Workspace 应用程序的 BYO 设备使用 Citrix 远程浏览器隔离服务,使用安全私有访问通过隔离浏览器启动 SaaS 或 Web 应用程序。Secure Private Access 提供 SSO,并对 Web 和 SaaS 应用程序实施自适应访问策略,例如下载、打印、复制和粘贴限制。
- 带有Workspace 应用程序的 BYO 设备使用 Secure Private Access 通过 Citrix Enterprise Browser(以前称为 Citrix Workspace Browser)(一种本地容器化浏览器)启动 Saas 或 Web 应用程序。浏览器会创建与 SaaS 应用程序的连接或与内部 Web 应用程序的零信任网络访问连接。Secure Private Access 提供 SSO 并强制执行自适应访问策略(下载、打印、复制和粘贴限制)。
- 应用程序保护策略使用屏幕抓取和按键记录器限制来保护 Web 和 SaaS 应用程序。如果 BYO 设备没有可用的应用程序保护,则自适应访问策略会阻止用户启动应用程序。
- 当用户访问虚拟应用程序和桌面时,Citrix DaaS 将提供 SSO 并强制执行锁定策略。该服务限制下载、打印以及单向和双向复制和粘贴操作。
CompanyA拥有敏感和常规的SaaS和Web应用程序,并将根据其安全要求应用自适应访问策略。作为基准,CompanyA定义了以下策略(能够根据用户和应用程序的需要放宽政策)。
| 类别 | SaaS 应用 | 敏感的 SaaS 应用程序 | Web 应用程序 | 敏感的 Web 应用程序 | Virtual Apps and Desktops |
|---|---|---|---|---|---|
| 剪贴板访问 | 允许 | 已拒绝 | 允许 | 已拒绝 | 已拒绝 |
| 打印 | 允许 | 已拒绝 | 允许 | 已拒绝 | 已拒绝 |
| 导航 | 已拒绝 | 已拒绝 | 已拒绝 | 已拒绝 | 不适用 |
| 下载 | 允许 | 已拒绝 | 允许 | 已拒绝 | 已拒绝 |
| 水印 | 已禁用 | 已启用 | 已禁用 | 已启用 | 已启用 |
| 防止键盘记录* | 已禁用 | 已启用 | 已禁用 | 已启用 | 已启用 |
| 屏幕截图防护* | 已禁用 | 已启用 | 已禁用 | 已启用 | 已启用 |
控制层
Web 应用程序和 API 保护
当用户向 Citrix Workspace 进行身份验证时,他们将访问自带设备上的私有 Web 应用程序。为了更好地保护本地私有 Web 应用程序,CompanyA 使用 Citrix Application Delivery Controller 计算机人管理和Web App Firewall 组件。
Application Delivery Controller 的计算机人管理组件检测到计算机人请求并防止其淹没系统。Web App Firewall 可保护面向公众的应用程序免受攻击。这些类型的攻击通常是缓冲区溢出、SQL 注入和跨站脚本。Web App Firewall 检测并拒绝这些攻击影响数据和应用程序。
CompanyA 还使用 Citrix Web App 和 API 保护服务来防止针对非本地网络应用程序的容量攻击和应用程序层 DDoS 攻击。
Secure Internet Access
当用户与 SaaS、Web 和虚拟应用程序互动时,他们经常访问非公司认可的互联网站点。为了帮助保护用户和组织,CompanyA在设计中整合了Citrix远程浏览器隔离服务以及Citrix Secure Internet Access 和安全分析。
任何与公司相关的进出组织内应用程序、桌面和设备库的 Internet 流量都通过 Secure Internet Access 服务进行路由。该服务会扫描任何 URL 以验证其是否安全。特定公共站点中的功能被拒绝或修改。下载内容将自动扫描和验证。
- 当用户访问虚拟应用程序和桌面时,Citrix DaaS 基础架构会安装 Citrix Secure Internet Access 代理来代理流量。
- 当用户使用 Citrix 远程浏览器隔离服务访问网络和 SaaS 资源时,Citrix Secure Internet Access 会被用作安全 Web Gateway。
由于许多网站现在都已加密,因此此安全过程的一部分是解密流量和检查。该服务不会解密特定类别的网站,例如金融和健康相关网站,以确保员工的隐私。
在设计互联网安全策略时,CompanyA希望从基线策略开始。随着CompanyA继续评估组织内部的风险,它将酌情放松/加强政策。
默认情况下,所有类别都被解密并允许。CompanyA 在全球范围内应用了以下政策:
| 类别 | 更改 | 原因 |
|---|---|---|
| 金融和投资 | 不要解密 | 员工隐私问题 |
| 运行状况 | 不要解密 | 员工隐私问题 |
| 成人内容 | 阻止 | 公司政策 |
| 药物 | 阻止 | 公司政策 |
| 文件共享 | 阻止 | 公司政策 |
| 赌博 | 阻止 | 公司政策 |
| 非法活动 | 阻止 | 公司政策 |
| 恶意来源 | 阻止 | 公司政策 |
| 恶意软件内容 | 阻止 | 公司政策 |
| 色性/裸体 | 阻止 | 公司政策 |
| 病毒和恶意软件 | 阻止 | 公司政策 |
| 暴力/仇恨 | 阻止 | 公司政策 |
请参阅Citrix Secure Internet Access 技术简报,了解有关 Web 过滤和保护功能的其他信息。
总结
基于上述要求,CompanyA 创建了高级概念架构。一般流程和要求是最终用户需要:
- 通过 Citrix Secure Private Access 对 SaaS 应用程序的受保护访问以及对内部 Web 应用程序的无 VPN 访问
- 通过 Citrix Secure Private Access 权限被授予对外部或内部资源的访问权限之前的自适应身份验证
- 通过 Citrix Secure Private Access 对特定资源的零信任访问
- 使用带有 Citrix Secure Internet Access 的 Citrix 远程浏览器隔离服务,保护从网络应用程序或虚拟应用程序和桌面访问互联网流量
- 通过 Citrix Web 应用程序防火墙保护对从 BYO 设备访问的 Web 应用程序的访问
CompanyA 正在使用 Citrix 构建现代应用程序交付环境,该环境强制实施零信任网络访问并为其资源提供端到端保护。