Secure Browser Service

Der Citrix Secure Browser Service isoliert das Webbrowsing und schützt so das Unternehmensnetzwerk vor browserbasierten Angriffen. Er bietet konsistenten, sicheren Remotezugriff auf im Internet gehostete Webanwendungen, ohne dass eine Benutzergerätekonfiguration erforderlich ist. Mit dem Secure Browser Service können Administratoren sichere Browser schnell bereitstellen und so eine sofortige Amortisation erzielen. Durch die Isolierung des Internetbrowsings können IT-Administratoren Endbenutzern einen sicheren Internetzugang bieten, ohne die Sicherheit des Unternehmens zu gefährden.

Benutzer melden sich über Citrix Workspace (oder Citrix Receiver) an und können Web-Apps im konfigurierten Webbrowser öffnen. Die Website überträgt keine Browserdaten direkt zum oder vom Benutzergerät, sodass die Benutzererfahrung sicher ist.

Der Secure Browser Service kann sichere Browser für folgende Zwecke veröffentlichen:

  • Nicht authentifizierte externe Web-Apps. Die Verwendung nicht authentifizierter externer Web-Apps wird normalerweise nicht empfohlen, jedoch können sie für eine einfache Machbarkeitsstudie verwendet werden.
  • Authentifizierte externe Web-Apps. Die Veröffentlichung authentifizierter externer Web-Apps erfordert einen Ressourcenspeicherort mit mindestens einem Cloud Connector (mindestens zwei werden empfohlen). Weitere Informationen finden Sie unter Citrix Cloud Connector.

Der Service bietet zudem Folgendes:

Neue Features

November 2018:

  • Sie können einen sicheren Browser konfigurieren, um sich automatisch mit der Region zu verbinden, die Ihrem geographischen Standort am nächsten ist. Diese Funktion ist nur für die Starts bei launch.cloud.com verfügbar.

Oktober 2018:

  • Der Secure Browser Service wurde für den Gebrauch in fünf Sprachen angepasst. Informationen zur Globalisierung finden Sie unter CTX119253.
  • Zusätzlich unterstützte Regionen: Der Secure Browser Service unterstützt die Region “Australien, Osten”.

2018. September

  • Sie können jetzt ein benutzerdefiniertes Symbol für Ihren veröffentlichten Browser herunterladen.

August 2018:

  • Der Citrix Secure Browser Service ist jetzt in Citrix Workspace integriert. Weitere Informationen finden Sie unter Integration mit Citrix Workspace.
  • Zusätzlich unterstützte Regionen: Wenn Sie einen sicheren Browser veröffentlichen, stehen die folgenden Regionen zur Auswahl: USA Osten, USA Westen, Westeuropa und Südostasien.

Erste Schritte

Für den Einstieg können Sie eine auf 30 Tage beschränkte Testversion des Citrix Secure Browser Service anfordern.

  1. Melden Sie sich an Citrix Cloud an. Wenn Sie kein Konto haben, finden Sie Informationen unter Registrierung bei Citrix Cloud.
  2. Klicken Sie auf der Kachel Secure Browser Service auf Testversion anfordern.

    Schaltfläche zum Anfordern einer Testversion des Secure Browser Service

  3. Nach kurzer Zeit erhalten Sie eine E-Mail (unter der mit Ihrem Citrix Cloud-Konto verknüpften E-Mail-Adresse). Klicken Sie in der E-Mail auf den Link Anmelden.
  4. Wenn Sie wieder in Citrix Cloud sind, klicken Sie auf der Kachel Secure Browser auf Verwalten.

     Schaltfläche "Verwalten" für Secure Browser

  5. Auf der Seite Willkommen bei Secure Browser klicken Sie auf Fangen wir an. Sie werden durch die Veröffentlichung Ihres ersten sicheren Browsers geleitet.

    Bildschirm "Secure Browser"

Informationen zum Erwerb des Citrix Secure Browser Service erhalten Sie, indem Sie auf der Citrix Cloud-Homepage auf Kaufen klicken.

Integration mit Citrix Workspace

Secure Browser kann in Citrix Workspace integriert werden. Sicherstellen der Integration:

  1. Melden Sie sich an Citrix Cloud an.
  2. Wählen Sie im Menü links oben die Option Workspacekonfiguration.
  3. Wählen Sie die Registerkarte Serviceintegrationen.
  4. Der Eintrag “Secure Browser Service” sollte Aktiviert sein. Wenn dies nicht der Fall ist, klicken Sie auf das Ellipsenmenü und wählen Sie Aktivieren.

Standardmäßig sind alle nicht authentifizierten Apps ohne Benutzerzuweisung für alle Workspace-Benutzer verfügbar. Bei authentifizierten Apps müssen Sie Benutzer explizit mit der Citrix Cloud-Bibliothek hinzufügen.

Sie können sich mit Active Directory oder Azure Active Directory authentifizieren. Wenn Sie Azure Active Directory auswählen, muss die lokale Domäne, die Ihre Active Directory-Domänencontroller enthält, einen (vorzugsweise zwei) Cloud Connector enthalten. Weitere Informationen:

Integrieren eines on-premises StoreFront

Benutzer von Citrix Virtual Apps and Desktops mit einem on-premises StoreFront können den Secure Browser Service problemlos integrieren und haben folgende Vorteile:

  • Aggregieren Sie Ihre veröffentlichten sicheren Browser mit den über Citrix Virtual Apps and Desktops verfügbaren Apps für eine einheitliche Store-Erfahrung.
  • Verwenden Sie den nativen Citrix Receiver für eine bessere Endbenutzererfahrung.
  • Erhöhen Sie die Sicherheit bei Secure Browser-Starts, indem Sie Ihre vorhandene Multifaktorauthentifizierungslösung verwenden, die in StoreFront integriert ist.

Weitere Informationen finden Sie in CTX230272 und in der StoreFront-Konfigurationsdokumentation.

Veröffentlichen eines sicheren Browsers

Wenn Sie noch keinen sicheren Browser veröffentlicht haben, beginnen Sie mit Schritt 3.

  1. Wenn Sie noch nicht in Citrix Cloud sind, melden Sie sich an. Klicken Sie auf der Kachel Secure Browser Service auf Verwalten.
  2. Klicken Sie auf der Registerkarte Verwalten auf Secure Browser veröffentlichen. Seite "Secure Browser veröffentlichen"
  3. Wählen Sie die Art des zu veröffentlichenden sicheren Browsers aus: Extern, nicht authentifiziert (Standard) oder Extern, authentifiziert. Klicken Sie dann auf Weiter.

    Seite zum Auswählen des Browsertyps

  4. Geben Sie den Namen, die Start-URL und die Region ein. Standardmäßig wird das Symbol von Google Chrome beim Veröffentlichen eines sicheren Browsers verwendet. Sie können jetzt Ihr eigenes Symbol für einen veröffentlichten Browser verwenden.
    • Klicken Sie auf Symbol ändern > Symbol auswählen, um das Symbol Ihrer Wahl hochzuladen, oder wählen Sie Standardsymbol verwenden, um das vorhandene Google Chrome zu verwenden.

    Bildschirm für benutzerdefiniertes Symbol

    • Wählen Sie eine der folgenden Regionen: Ost-USA, West-USA, Südostasien, Ostaustralien und Westeuropa.
    • Wenn Sie Automatisch wählen, verbindet Secure Browser Sie mit den Region, die Ihren geographischen Standort am nächsten ist. Diese Funktion ist nur für die Starts bei launch.cloud.com unterstützt.

    Automatisches Regionsrouting

    • Wenn Sie fertig sind, klicken Sie auf Veröffentlichen. Wenn die Veröffentlichung abgeschlossen ist, werden auf der Registerkarte Verwalten die von Ihnen veröffentlichten Browser aufgelistet.
  5. Verwenden Sie die Citrix Cloud-Bibliothek, um Abonnenten (Benutzer) dem von Ihnen erstellten sicheren Browser hinzuzufügen. Klicken Sie auf den nach rechts weisenden Pfeil am Ende der Zeile, um einen Detailbereich mit einem Link zur Bibliothek zu sehen.

    Bibliothekslink

  6. Wenn Sie auf diesen Link klicken, werden Sie zur Bibliothek geleitet, die Ihren sicheren Browser enthält. Klicken Sie auf der Kachel mit dem sicheren Browser auf die Ellipse und klicken Sie auf Abonnenten verwalten. Informationen zum Hinzufügen von Abonnenten finden Sie unter Zuweisen von Benutzern und Gruppen zu Serviceangeboten über die Bibliothek.

Verwalten von veröffentlichten sicheren Browsern

Auf der Registerkarte Verwalten sind die veröffentlichten sicheren Browser aufgelistet. Sie greifen auf Verwaltungsaufgaben zu, indem Sie auf die Ellipse am Ende der Zeile eines Eintrags klicken und dann die Aufgabe auswählen.

Verwaltungsmenü für sichere Browser

Wenn Sie einen Menüeintrag auswählen und dann doch nichts ändern möchten, brechen Sie die Auswahl ab, indem Sie außerhalb des Dialogfelds auf das X klicken.

Schaltfläche "Schließen"

Timeout

Timeoutkonsole

Timeouteinstellungen:

  • Leerlauftimeout: Die Zeit in Minuten, die eine Sitzung inaktiv sein kann, bevor sie wegen Inaktivität beendet wird.
  • Leerlaufwarnungszeit: Die Zeit in Minuten vor dem Timeout einer Sitzung, wenn eine Warnmeldung an den Benutzer gesendet wird.

Wenn Sie z. B. ein Leerlauftimeout von 20 Minuten und eine Leerlaufwarnungszeit von 5 Minuten festlegen, wird eine Nachricht an den Benutzer gesendet, wenn 15 Minuten lang keine Aktivität in der Sitzung stattfindet (20 minus 5). Wenn der Benutzer nicht reagiert, wird die Sitzung fünf Minuten später beendet.

Wenn Sie fertig sind, klicken Sie auf OK.

Richtlinien

Richtlinienkonsole

Die Einstellungen auf der Seite “Richtlinien” steuern Folgendes:

  • Zwischenablage: Durch das Deaktivieren der Zwischenablage werden Kopier- und Einfügevorgänge in die und aus der Remotesitzung verhindert. (Die Schaltfläche für die Zwischenablage wird aus der Symbolleiste der Citrix Workspace-App entfernt.) Standardmäßig ist diese Einstellung deaktiviert.
  • Drucken: Wenn Sie das Drucken aktivieren, kann die Remotewebseite als PDF gespeichert und an das Gerät des Benutzers übertragen werden. Der Benutzer kann dann Strg+P drücken und den Citrix PDF-Drucker auswählen. Diese Einstellung ist standardmäßig deaktiviert.
  • Nicht-Kiosk: Wenn der Nicht-Kioskmodus aktiviert wird, wird die Benutzeroberfläche auf den Remotebrowser zurückgesetzt. Der Benutzer kann dann auf die Adressleiste zugreifen und mehrere Registerkarten und Fenster erstellen. (Durch Deaktivieren des Nicht-Kioskmodus werden die Navigationssteuerelemente und die Adressleiste des Remotebrowsers entfernt.) Standardmäßig ist diese Einstellung aktiviert, d. h. der Nicht-Kioskmodus ist aktiviert.

Wenn Sie fertig sind, klicken Sie auf OK.

Positivlisten

Positivlistenkonsole

Verwenden Sie Positivlisten, um Benutzern in der veröffentlichten Secure Browser-Sitzung nur Zugriff auf URLs zu gewähren, die auf einer Positivliste sind. Diese Funktion ist für externe authentifizierte Web-Apps verfügbar.

Einträge in der Positivliste müssen das Format Hostname:Portnummer haben. Jeder Eintrag muss in einer neuen Zeile erfolgen. Sternchen werden als Platzhalter unterstützt. Browseranforderungen müssen mit mindestens einem Eintrag in der Positivliste übereinstimmen.

Beispiel: Hinzufügen von https://example.com als URL zur Positivliste:

  • example.com:* ermöglicht die Verbindung zu dieser URL von jedem Port aus.
  • example.com:80 ermöglicht die Verbindung zu dieser URL nur von Port 80 aus.
  • *:* ermöglicht den Zugriff auf diese URL von jedem Port aus und über beliebige Links zu anderen URLs und Ports. Das Format mit . ermöglicht den Zugriff auf alle externen Web-Apps aus der veröffentlichten App. Dieses Format ist die Standardeinstellung für die URL-Positivliste für externe Webanwendungen.

Wenn Sie fertig sind, klicken Sie auf OK.

Erweiterte Webfilterfunktionen sind durch die Integration mit dem Zugriffssteuerungsservice verfügbar. Weitere Informationen finden Sie unter Konfigurieren einer Zugriffsrichtlinie für den selektiven Zugriff auf Apps.

Bearbeiten

Mit Bearbeiten können Sie den Namen, die Start-URL oder die Region eines veröffentlichten Browsers ändern. Wenn Sie fertig sind, klicken Sie auf Veröffentlichen.

Löschen

Mit Löschen können Sie einen veröffentlichten sicheren Browser entfernen. Bei Auswahl dieser Option werden Sie aufgefordert, das Löschen zu bestätigen.

Überwachen der Verwendung

Verwendungskonsole

Die RegisterkarteVerwendung enthält Folgendes:

  • Anzahl der initiierten Sitzungen
  • Verwendung in Stunden

Klicken Sie auf Als CSV-Datei exportieren und wählen Sie einen Zeitrahmen, um eine Tabelle mit Verwendungsdetails zu erstellen.

Sicherheit – technischer Überblick

Der Secure Browser Service ist ein SaaS-Produkt, das von Citrix verwaltet und betrieben wird. Er ermöglicht den Zugriff auf Webanwendungen über einen zwischengeschalteten Webbrowser in der Cloud.

Cloudservice

Der Citrix Secure Browser Service besteht aus Webbrowsern, die auf Virtual Delivery Agents (VDAs) zusammen mit der Verwaltungskonsole ausgeführt werden. Die Verwaltungskonsole dient zum Verwalten und Verbinden von Benutzern mit den VDAs. Citrix Cloud verwaltet den Betrieb dieser Komponenten, einschließlich der Sicherheit und des Patchens von Betriebssystemen, Webbrowsern und Citrix-Komponenten.

Bei Verwendung des Secure Browser Services können gehostete Webbrowser den Browserverlauf des Benutzers verfolgen und HTTP-Anforderungen zwischenspeichern. Citrix verwendet obligatorische Profile und stellt sicher, dass diese Daten gelöscht werden, wenn die Browsersitzung beendet wird.

Der Zugriff auf den Secure Browser Service erfolgt mit einem HTML5-kompatiblen Webbrowser. Der Service bietet keine herunterladbaren Clients. Der gesamte Datenverkehr zwischen dem verwendeten Browser und dem Cloudservice wird mit der branchenüblichen TLS-Verschlüsselung verschlüsselt. Der Secure Browser unterstützt TLS 1.0, 1.1 und 1.2.

Webanwendungen

Mit dem Citrix Secure Browser Service werden Webanwendungen von Kunden oder Dritten bereitgestellt. Der Eigentümer der Webanwendung ist für die Sicherheit verantwortlich, einschließlich des Patchens des Webservers und der Anwendung gegen Schwachstellen.

Die Sicherheit des Datenverkehrs zwischen dem Secure Browser und der Webanwendung hängt von den Verschlüsselungseinstellungen des Webservers ab. Um diesen Datenverkehr über das Internet zu schützen, sollten Administratoren HTTPS-URLs veröffentlichen.

Weitere Informationen

Weitere Informationen zur Sicherheit finden Sie in den folgenden Ressourcen:

Weitere Ressourcen

Für Entwickler: Preview API for Secure Browser Service