Kontextabhängiger Zugriff auf Enterprise Web- und SaaS-Anwendungen — Tech Preview

In den sich ständig ändernden Situationen von heute ist die Anwendungssicherheit für jedes Unternehmen von entscheidender Bedeutung. Kontextbezogene Sicherheitsentscheidungen zu treffen und dann den Zugriff auf die Anwendungen zu ermöglichen, reduziert die damit verbundenen Risiken und ermöglicht gleichzeitig den Zugriff für Benutzer.

Die kontextabhängige Zugriffsfunktion des Citrix Secure Workspace Access Service Access-Dienstes bietet einen umfassenden Zero-Trust-Zugriffsansatz, der sicheren Zugriff auf die Anwendungen ermöglicht. Durch den kontextabhängigen Zugriff können Administratoren einen granularen Zugriff auf die Apps gewähren, auf die Benutzer basierend auf dem Kontext zugreifen können. Der Begriff “Kontext“ bezieht sich hier auf Benutzer, Benutzergruppen, die Plattform (mobiles Gerät oder Desktop-Computer) und den Ort (Land), von dem aus der Benutzer auf die Anwendung zugreift.

Die Funktion für den kontextabhängigen Zugriff wendet kontextabhängige Richtlinien auf die Anwendungen an, auf die zugegriffen wird. Diese Richtlinien bestimmen die Risiken basierend auf dem Kontext und treffen dynamische Zugriffsentscheidungen, um den Zugriff auf die Enterprise Web- oder SaaS-Apps zu gewähren oder zu verweigern.

Funktionsweise

Um den Zugriff auf Anwendungen zu gewähren oder zu verweigern, erstellen Administratoren Richtlinien basierend auf den Benutzern, Benutzergruppen, den Geräten, von denen aus die Benutzer auf die Anwendungen zugreifen, sowie dem Standort (Land), von dem aus auf eine Anwendung zugegriffen wird.

Die kontextabhängigen Zugriffsrichtlinien haben Vorrang vor den anwendungsspezifischen Sicherheitsrichtlinien, die beim Hinzufügen des SaaS oder einer Webanwendung im Citrix Gateway Service konfiguriert werden.

Bedenken Sie beispielsweise, dass die Microsoft Word-App für Benutzer Emp1 und Emp2 abonniert ist. Die erweiterten Sicherheitsoptionen wie Drucken einschränken, Downloads einschränken und Wasserzeichen anzeigen werden für die Anwendung aktiviert, während die App im Citrix Gateway Service hinzugefügt wird.

In diesem Fall muss der Administrator eine Richtlinie erstellen, um die Richtlinie auf App-Ebene anzuwenden. Wenn die kontextabhängige Richtlinie basierend auf dem Kontext nicht übereinstimmt, greift sie automatisch auf die Richtlinie auf App-Ebene zurück. Dann kann der Administrator eine weitere Richtlinie ohne kontextabhängige Sicherheitskontrollen für Emp2 erstellen.

In diesem Szenario werden die erweiterten Sicherheitsoptionen angewendet, wenn die Emp1 auf die App zugreift. Für Emp2 überschreibt die kontextabhängige Zugriffsrichtlinie jedoch die Richtlinien auf App-Ebene, und daher werden die erweiterten Sicherheitsoptionen für Emp2 nicht durchgesetzt.

Die kontextabhängigen Zugriffsrichtlinien werden in drei Szenarien bewertet:

  • Während der Web- oder SaaS-App-Enumeration über den Citrix Gateway Service — Wenn diesem Benutzer der Anwendungszugriff verweigert wird, kann der Benutzer diese Anwendung nicht im Workspace sehen.

  • Beim Starten der Anwendung — Nachdem Sie die App aufgezählt haben und die Kontextrichtlinie geändert wurde, um den Zugriff zu verweigern, können Benutzer die App nicht starten, obwohl die App zuvor aufgezählt wurde.

  • Wenn die App in einem eingebetteten Browser oder Secure Browser-Dienst geöffnet wird, erzwingt der eingebettete Browser einige Sicherheitskontrollen. Diese Kontrollen werden vom Kunden durchgesetzt. Wenn der eingebettete Browser gestartet wird, wertet der Server die kontextabhängigen Richtlinien für den Benutzer aus und gibt diese Richtlinien an den Client zurück. Der Client setzt die Richtlinien dann lokal im eingebetteten Browser durch.

Kunden haben Anspruch auf kontextabhängigen Zugriff

Kunden, die Anspruch auf den Citrix Secure Workspace Access Service haben, erhalten die kontextbezogene Zugriffsfunktion ohne zusätzliche Kosten. Darüber hinaus muss die kontextabhängige Zugriffsfunktion für diesen Kunden aktiviert sein.

Erstellen einer kontextabhängigen Zugriffsrichtlinie

  1. Klicken Sie auf der Citrix Gateway Service Gateway-Dienstkachel auf Verwalten.
  2. Klicken Sie auf die Registerkarte Verwalten und dann auf Kontextabhängiger Zugriff.
  3. Klicken Sie auf Richtlinie erstellen.

    Erstellen einer kontextbezogenen Zugriffsrichtlinie

  4. FÜR BENUTZER DIESER ANWENDUNGEN - Dieses Feld listet alle Anwendungen auf, die ein Administrator im Citrix Gateway Service konfiguriert hat. Administratoren können die Anwendungen auswählen, auf die diese Kontextrichtlinie angewendet werden muss.

  5. WENN DIE FOLGENDE BEDINGUNG ERFÜLLT IST - Geben Sie die Benutzer oder Benutzergruppen ein, für die diese kontextabhängige Zugriffsrichtlinie ausgewertet werden muss.

    Bedingungen

    • Zusätzlich zu Benutzern oder Benutzergruppen können Administratoren eine weitere Bedingung hinzufügen, um das Gerät zu definieren, von dem aus der Benutzer auf die Anwendungen zugreift. Das Gerät kann ein mobiles Gerät oder ein Desktop-Computer sein.
    • Außerdem können Administratoren eine andere Bedingung definieren, um das Land zu identifizieren, von dem aus der Benutzer auf die Anwendung zugreift. Die Quell-IP-Adresse des Benutzers wird mit der IP-Adresse in der Datenbank ausgewertet. Wenn die IP-Adresse des Benutzers und die in der Datenbank verfügbare Adresse übereinstimmen, wird die Richtlinie angewendet. Wenn die IP-Adressen nicht übereinstimmen, wird diese Kontextrichtlinie übersprungen und die nächste Kontextrichtlinie wird ausgewertet.
  6. Klicken Sie auf Bedingung hinzufügen und wählen Sie unter Bedingungauswählen das Gerät aus, von dem aus der Benutzer auf die Anwendung zugreift.

    Eine AND-Operation wird unter den Bedingungen ausgeführt, die Sie hinzugefügt haben. Wenn die Bedingungen übereinstimmen, wird die Kontextrichtlinie bewertet. Wenn die Bedingungen nicht übereinstimmen, wird die Richtlinie übersprungen und die nächste Richtlinie wird bewertet.

    Zugriff verweigern oder erlauben

  7. DANN TUN SIE FOLGENDES - Wenn die eingestellte Bedingung übereinstimmt, können Administratoren die Aktion auswählen, die für die Benutzer ausgeführt werden soll, die auf die Anwendung zugreifen.
    • Zugriff verweigern — Wenn diese Option ausgewählt ist, wird der Zugriff auf die Apps verweigert. Alle anderen Optionen sind ausgegraut.
    • App-Zugriff mit den folgenden Sicherheitskontrollen zulassen — Wählen Sie eine der voreingestellten Kombinationen aus Sicherheitsrichtlinien aus. Diese Kombinationen aus Sicherheitsrichtlinien sind im System vordefiniert. Administratoren können keine anderen Kombinationen ändern oder hinzufügen.

    Um eine andere voreingestellte Sicherheitsrichtlinie auf denselben Satz von Anwendungen anzuwenden, den Sie ausgewählt haben, müssen Administratoren eine Richtlinie erstellen und dann die Kombination aus Sicherheitsrichtlinien auswählen. Starten einer Anwendung über den sicheren Browser — Wählen Sie diese Option aus, um unabhängig von anderen erweiterten Sicherheitseinstellungen immer eine Anwendung im Secure Browser Service zu starten.

    Hinweis:

    • Die Optionen Preset 4, Preset 5und Preset 6 sind nur für Enterprise-Webanwendungen aktiviert. Wenn ein Administrator eine SaaS-App zusammen mit Web-Apps in der Liste der Apps ausgewählt hat, sind die Optionen Preset 4, Preset 5 und Preset 6 deaktiviert.

    • Administratoren können eine voreingestellte Sicherheitsrichtlinie auswählen und in derselben Richtlinie die Option zum Starten einer Anwendung über den sicheren Browser auswählen. > Beide Bedingungen sind unabhängig voneinander.

  8. Geben Sie unter POLICYNAME den Namen der Richtlinie ein
  9. Schalten Sie den Kippschalter EIN, um die Richtlinie zu aktivieren.
  10. Klicken Sie auf Richtlinie erstellen.

Anzeigen der Liste der konfigurierten kontextabhängigen Zugriffsrichtlinien

  1. Klicken Sie auf der Citrix Gateway Service Gateway-Dienstkachel auf Verwalten.
  2. Klicken Sie auf die Registerkarte Verwalten und dann auf Kontextabhängiger Zugriff.
  3. Alle Richtlinien, die für den kontextabhängigen Zugriff konfiguriert sind, werden hier angezeigt.
    • Priorität — Die Priorität für die Richtlinie, die niedrigste Zahl hat die höchste Priorität. Sie können die Priorität basierend auf Ihren Anforderungen ändern. Wählen Sie die Richtlinie aus und ziehen Sie die Richtlinien, indem Sie auf das Pfeilsymbol klicken.
    • Name — Name der kontextabhängigen Zugriffsrichtlinie.
    • Status — Status der kontextabhängigen Zugriffsrichtlinie, die bestimmt, ob die Richtlinie aktiviert oder deaktiviert ist. Sie können den Kippschalter verwenden, um die Richtlinie zu aktivieren oder zu deaktivieren.
    • Geändert — Das Datum, an dem die Richtlinie zuletzt geändert wurde.

    Konfigurierte kontextabhängige Zugriffsrichtlinie anzeigen

Kontextabhängiger Zugriff auf Enterprise Web- und SaaS-Anwendungen — Tech Preview