Adaptive Zugriffs- und Sicherheitskontrollen für Enterprise Web-, TCP- und SaaS-Anwendungen

In den sich ständig ändernden Situationen von heute ist die Anwendungssicherheit für jedes Unternehmen von entscheidender Bedeutung. Kontextbezogene Sicherheitsentscheidungen zu treffen und dann den Zugriff auf die Anwendungen zu ermöglichen, reduziert die damit verbundenen Risiken und ermöglicht gleichzeitig den Zugriff für Benutzer.

Die Funktion für den adaptiven Zugriff des Citrix Secure Private Access-Dienstes bietet einen umfassenden Zero-Trust-Zugriffsansatz, der sicheren Zugriff auf die Anwendungen ermöglicht. Durch den adaptiven Zugriff können Administratoren granularen Zugriff auf die Apps gewähren, auf die Benutzer basierend auf dem Kontext zugreifen können. Der Begriff “Kontext” bezieht sich hier auf:

  • Benutzer und Gruppen (Benutzer und Benutzergruppen)
  • Geräte (Desktop- oder Mobilgeräte)
  • Standort (Geolocation oder Netzwerkstandort)
  • Gerätestatus (Gerätestatusprüfung)
  • Risiko (Benutzerrisikobewertung)

Die Funktion für adaptiven Zugriff wendet adaptive Richtlinien auf die Anwendungen an, auf die zugegriffen wird. Diese Richtlinien bestimmen die Risiken basierend auf dem Kontext und treffen dynamische Zugriffsentscheidungen, um den Zugriff auf Enterprise Web-, TCP- oder SaaS-Apps zu gewähren oder zu verweigern.

Funktionsweise

Um den Zugriff auf Anwendungen zu gewähren oder zu verweigern, erstellen Administratoren Richtlinien basierend auf den Benutzern, Benutzergruppen, den Geräten, von denen aus die Benutzer auf die Anwendungen zugreifen, dem Standort (Land oder Netzwerkstandort), von dem aus der Benutzer auf die Anwendung zugreift, und dem Benutzerrisikowert.

Die Richtlinien für den adaptiven Zugriff haben Vorrang vor den anwendungsspezifischen Sicherheitsrichtlinien, die beim Hinzufügen von SaaS oder einer Web-App im Secure Private Access-Dienst konfiguriert werden. Die erweiterten Sicherheitskontrollen auf App-Ebene werden durch die Richtlinien für den adaptiven Zugriff überschrieben.

Die adaptiven Zugriffsrichtlinien werden in drei Szenarien bewertet:

  • Während einer Web-, TCP- oder SaaS-App-Aufzählung vom Secure Private Access-Dienst — Wenn diesem Benutzer der Anwendungszugriff verweigert wird, kann der Benutzer diese Anwendung nicht im Workspace sehen.

  • Beim Starten der Anwendung — Nachdem Sie die App aufgelistet haben und die adaptive Richtlinie geändert wurde, um den Zugriff zu verweigern, können Benutzer die App nicht starten, obwohl die App zuvor aufgelistet wurde.

  • Wenn die App in einem eingebetteten Browser oder einem Secure Browser Service geöffnet wird, erzwingt der eingebettete Browser einige Sicherheitskontrollen. Diese Kontrollen werden vom Kunden durchgesetzt. Wenn der eingebettete Browser gestartet wird, wertet der Server die adaptiven Richtlinien für den Benutzer aus und gibt diese Richtlinien an den Client zurück. Der Client setzt die Richtlinien dann lokal im eingebetteten Browser durch.

Erstellen einer Richtlinie für den adaptiven Zugriff

  1. Klicken Sie auf der Dienstkachel Secure Private Access auf Verwalten.
  2. Klicken Sie auf der Secure Private Access-Startseite auf der Navigationsseite auf Zugriffsrichtlinien.
  3. Klicken Sie auf Richtlinie erstellen.

    Hinweis:

    Für Erstbenutzer werden auf der Zielseite Zugriffsrichtlinien keine Richtlinien angezeigt. Klicken Sie auf Richtlinie erstellen, um eine Richtlinie zu erstellen. Sobald Sie eine Richtlinie erstellt haben, können Sie sie hier sehen.

Fügen Sie eine Richtlinie hinzu

  1. Für diese Anwendungen : In diesem Feld werden alle Anwendungen aufgeführt, die ein Administrator im Secure Private Access-Dienst konfiguriert hat. Administratoren können die Anwendungen auswählen, auf die diese adaptive Richtlinie angewendet werden muss.

  2. Wenn die folgende Bedingung erfüllt ist : Wählen Sie den Kontext aus, für den diese Richtlinie für den adaptiven Zugriff bewertet werden muss.

    Richtlinie

  3. Klicken Sie auf Bedingung hinzufügen, um zusätzliche Bedingungen hinzuzufügen, die Ihren Anforderungen entsprechen. Ein UND-Vorgang wird für die Bedingungen ausgeführt, und dann wird die Richtlinie für den adaptiven Zugriff bewertet.

    Zugriff verweigern oder erlauben

  4. Gehen Sie dann wie folgt vor: Wenn die eingestellte Bedingung übereinstimmt, können Administratoren die Aktion auswählen, die für die Benutzer ausgeführt werden soll, die auf die Anwendung zugreifen.
    • Zugriff verweigern — Wenn diese Option ausgewählt ist, wird der Zugriff auf die Apps verweigert. Alle anderen Optionen sind ausgegraut.
    • App-Zugriff mit den folgenden Sicherheitskontrollen zulassen — Wählen Sie eine der voreingestellten Kombinationen von Sicherheitsrichtlinien aus. Diese Kombinationen aus Sicherheitsrichtlinien sind im System vordefiniert. Administratoren können keine anderen Kombinationen ändern oder hinzufügen.

      Um eine andere voreingestellte Sicherheitsrichtlinie auf dieselbe Gruppe von Anwendungen anzuwenden, die Sie ausgewählt haben, müssen die Administratoren eine Richtlinie erstellen und dann die Sicherheitsrichtlinienkombination auswählen.

    • App-Zugriff nur von Citrix Workspace-Desktopclients — Wählen Sie diese Option, um Benutzern den Zugriff auf Apps nur von den Citrix Workspace-Desktopclients aus zu ermöglichen.
    • Starten einer Anwendung über den sicheren Browser — Wählen Sie diese Option aus, um unabhängig von anderen erweiterten Sicherheitseinstellungen immer eine Anwendung im Secure Browser Service zu starten.

    Hinweis:

    • Die Optionen Preset 4, Preset 5und Preset 6 sind nur für Enterprise-Webanwendungen aktiviert. Wenn ein Administrator eine SaaS-App zusammen mit Web-Apps in der Liste der Apps ausgewählt hat, sind die Optionen Preset 4, Preset 5 und Preset 6 deaktiviert.

    • Administratoren können eine voreingestellte Sicherheitsrichtlinie auswählen und in derselben Richtlinie auch die Option zum Starten einer Anwendung über den sicheren Browser auswählen. Beide Bedingungen sind unabhängig voneinander.

  5. Geben Sie im Feld Richtliniennameden Namen der Richtlinie ein.
  6. Schalten Sie den Kippschalter EIN, um die Richtlinie zu aktivieren.
  7. Klicken Sie auf Richtlinie erstellen.

Adaptiver Zugriff basierend auf Benutzern oder Gruppen

Verwenden Sie das Verfahren Erstellen einer Richtlinie für adaptiven Zugriff mit den folgenden Änderungen, um eine Richtlinie für adaptiven Zugriff basierend auf Benutzern oder Gruppen zu konfigurieren.

  • Wählen Sie unter Falls die folgende Bedingung erfüllt istdie Option Benutzer oder Gruppenaus.

  • Wenn Sie mehrere Benutzer oder Gruppen konfiguriert haben, wählen Sie je nach Anforderung eine der folgenden Optionen aus.
    • Entspricht einem von — Die Benutzer oder Gruppen stimmen mit einem der in der Datenbank konfigurierten Benutzer oder Gruppen überein.
    • Stimmt mit keinem überein — Die Benutzer oder Gruppen stimmen nicht mit den in der Datenbank konfigurierten Benutzern oder Gruppen überein.
  • Schließen Sie die Konfiguration der Richtlinie ab.

Adaptive Zugriffsrichtlinie basierend auf Benutzergruppe

Adaptiver Zugriff basierend auf Geräten

Um eine Richtlinie für adaptiven Zugriff basierend auf der Plattform (Mobilgerät oder Desktop-Computer) zu konfigurieren, von der aus der Benutzer auf die Anwendung zugreift, verwenden Sie das Verfahren Erstellen einer Richtlinie für adaptiven Zugriff mit den folgenden Änderungen.

  • Wählen Sie unter Falls die folgende Bedingung erfüllt istdie Option Desktop oder Mobilgerätaus.
  • Schließen Sie die Konfiguration der Richtlinie ab.

Adaptive Zugriffsrichtlinie basierend auf dem Gerät

Adaptiver Zugriff basierend auf dem Standort

Ein Administrator kann die Richtlinie für den adaptiven Zugriff basierend auf dem Standort konfigurieren, von dem aus der Benutzer auf die Anwendung zugreift. Der Standort kann das Land sein, von dem aus der Benutzer auf die Anwendung zugreift, oder der Netzwerkstandort des Benutzers. Der Netzwerkstandort wird mithilfe eines IP-Adressbereichs oder Subnetzadressen definiert.

Verwenden Sie das Verfahren Erstellen einer Richtlinie für adaptiven Zugriff mit den folgenden Änderungen, um eine Richtlinie für adaptiven Zugriff basierend auf dem Speicherort zu konfigurieren.

  • Wählen Sie unter Falls die folgende Bedingung erfüllt istdie Option Geo-Standort oder Netzwerkstandortaus.
  • Wenn Sie mehrere Geo-Locations oder Netzwerkstandorte konfiguriert haben, wählen Sie je nach Anforderung eine der folgenden Optionen aus.
    • Entspricht einem von — Die geografischen Standorte oder Netzwerkstandorte stimmen mit einem der in der Datenbank konfigurierten geografischen Standorte oder Netzwerkstandorte überein.
    • Stimmt mit keinem überein — Die geografischen Standorte oder Netzwerkstandorte stimmen nicht mit den in der Datenbank konfigurierten geografischen oder Netzwerkstandorten überein.

    Hinweis:

    • Wenn Sie Geo-Locationauswählen, wird die Quell-IP-Adresse des Benutzers mit der IP-Adresse der Länderdatenbank ausgewertet. Wenn die IP-Adresse des Benutzers dem Land in der Richtlinie zugeordnet ist, wird die Richtlinie angewendet. Wenn das Land nicht übereinstimmt, wird diese adaptive Richtlinie übersprungen und die nächste adaptive Richtlinie wird bewertet.

    • Für Netzwerkstandortkönnen Sie einen vorhandenen Netzwerkstandort auswählen oder einen Netzwerkstandort erstellen. Um einen neuen Netzwerkstandort zu erstellen, klicken Sie auf Netzwerkstandort erstellen.

    Adaptiver Zugriff auf neuen Netzwerkstandort

  • Schließen Sie die Konfiguration der Richtlinie ab.

Adaptive Zugriffsrichtlinie basierend auf dem Standort

Adaptiver Zugriff basierend auf der Gerätehaltung

Der Citrix Secure Private Access Service bietet adaptiven Zugriff basierend auf einer Gerätehaltung, indem ein lokales Citrix Gateway oder ein von Citrix gehostetes Citrix Gateway (adaptive Authentifizierung) als IdP für Citrix Workspace verwendet wird. Die Enterprise Web-, TCP- oder SaaS-Apps können basierend auf den Ergebnissen der EPA-Prüfung und der konfigurierten Smart Access-Richtlinie entweder aufgelistet oder für den Endbenutzer ausgeblendet werden.

Hinweis: Die adaptive Authentifizierung ist ein Citrix Cloud-Dienst, der erweiterte Authentifizierung für Benutzer ermöglicht, die sich bei Citrix Workspace anmelden. Bei der adaptiven Authentifizierung wird eine Gateway-Instanz bereitgestellt, die in der Cloud ausgeführt wird, und Sie können den Authentifizierungsmechanismus für diese Instanz nach Bedarf konfigurieren.

Voraussetzungen

Den Ablauf von Ereignissen verstehen

  • Der Benutzer gibt die Workspace-URL in einen Browser ein oder stellt mithilfe einer nativen Citrix Workspace-App eine Verbindung zu einem Workspace Store her.
  • Der Benutzer wird zum Citrix Gateway umgeleitet, das als IdP konfiguriert ist.
  • Der Benutzer wird aufgefordert, eine EPA-Prüfung am Gerät zuzulassen.
  • Citrix Gateway führt eine EPA-Prüfung durch, nachdem der Benutzer dem Scannen des Geräts zugestimmt hat und die Smart Access-Tags anhand der Geräte-ID an CAS schreibt.
  • Der Benutzer meldet sich mit Citrix Gateway IdP und dem konfigurierten Authentifizierungsmechanismus bei Citrix Workspace an.
  • Citrix Gateway stellt Informationen zu Smart Access-Richtlinien für Citrix Workspace und Secure Private Access bereit.
  • Der Benutzer wird auf die Citrix Workspace-Homepage umgeleitet.
  • Citrix Workspace verarbeitet die Smart Access-Tags, die vom Citrix Gateway bereitgestellt werden, das als IdP konfiguriert ist, und bestimmt dann die Apps, die aufgezählt und dem Endbenutzer angezeigt werden müssen.

Konfigurationsszenario — Enumerierung von Enterprise Web-, TCP- oder SaaS-Apps basierend auf Gerätestandscans

Schritt 1: Konfigurieren von Smart Access-Richtlinien mithilfe der Citrix Gateway GUI

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien> Intelligenter Zugriff > Profile.
  2. Klicken Sie auf der Registerkarte Profile auf Hinzufügen, um ein Profil zu erstellen.

Erstellen Sie ein Profil für die Überprüfung der Gerätehaltung

  1. Geben Sie unter Tagsden Namen des Smart Access-Tags ein. Dies ist das Tag, das Sie beim Erstellen der Richtlinie für den adaptiven Zugriff manuell eingeben müssen.
  2. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien> Intelligenter Zugriff > Richtlinien.
  3. Klicken Sie auf Hinzufügen, um eine Richtlinie zu erstellen.

Erstellen einer Richtlinie für die Überprüfung der Gerätehaltung

  1. Wählen Sie unter Aktiondas zuvor erstellte Profil aus und klicken Sie auf Hinzufügen.
  2. Erstellen Sie in Expressionden Richtlinienausdruck und klicken Sie auf OK.

Schritt 2: Erstellen einer Richtlinie für den adaptiven Zugriff

Führen Sie die unter Erstellen einer Richtlinie für adaptiven Zugriff beschriebenen Schritte mit den folgenden Änderungen aus.

Anpassungsbedingungen für adaptiven Zugriff

  • Wählen Sie unter Falls die folgende Bedingung erfüllt istdie Option Haltungsprüfung des Gerätsaus.
  • Wenn Sie mehrere Smart Access-Tags konfiguriert haben, wählen Sie je nach Anforderung eine der folgenden Optionen aus.
    • Stimmt mit allen überein — Die Geräte-ID stimmt mit allen Smart Access-Tags überein, die mit der Geräte-ID geschrieben wurden, wenn Sie sich bei Citrix Workspace anmelden.
    • Entspricht einem von — Die Geräte-ID stimmt mit einem der Tags überein, die gegen die Geräte-ID geschrieben werden, wenn Sie sich bei Citrix Workspace anmelden.
    • Stimmt mit keiner überein — Die Geräte-ID stimmt nicht mit der Geräte-ID überein, wenn Sie sich bei Citrix Workspace anmelden.
  • Geben Sie unter Benutzerdefinierte Tags eingeben das Smart Access-Tag manuell ein. Diese Tags müssen den in Citrix Gateway konfigurierten Tags ähneln (Smart Access-Profil für Authentifizierung erstellen > Tags).

Wichtige Hinweise

  • Die Auswertung der Körperhaltung erfolgt nur, wenn Sie sich bei Citrix Workspace anmelden (nur während der Authentifizierung).
  • In der aktuellen Version wird keine kontinuierliche Bewertung der Gerätehaltung durchgeführt. Wenn sich der Gerätekontext ändert, nachdem sich der Benutzer bei Citrix Workspace angemeldet hat, haben die Richtlinienbedingungen keine Auswirkungen auf die Bewertung der Gerätehaltung.
  • Die Geräte-ID ist eine GUID, die für jedes Endbenutzergerät generiert wird. Die Geräte-ID kann sich ändern, wenn der für den Zugriff auf Citrix Workspace verwendete Browser geändert wird, Cookies gelöscht werden oder der Inkognito-/Privatmodus verwendet wird. Diese Änderung hat jedoch keine Auswirkungen auf die Bewertung der Richtlinie.

Adaptiver Zugriff basierend auf der Risikobewertung des Benutzers

Wichtig:

Diese Funktion steht den Kunden nur zur Verfügung, wenn sie über die Berechtigung Security Analytics verfügen.

Die Benutzerrisikobewertung ist ein Bewertungssystem zur Bestimmung der Risiken, die mit den Benutzeraktivitäten in Ihrem Unternehmen verbunden sind. Risikoindikatoren werden Benutzeraktivitäten zugewiesen, die verdächtig aussehen oder eine Sicherheitsbedrohung für Ihr Unternehmen darstellen können. Die Risikoindikatoren werden ausgelöst, wenn das Verhalten des Benutzers vom Normalwert abweicht. Jeder Risikoindikator kann einen oder mehrere Risikofaktoren aufweisen. Diese Risikofaktoren helfen Ihnen, die Art der Anomalien in den Benutzerereignissen zu bestimmen. Die Risikoindikatoren und die damit verbundenen Risikofaktoren bestimmen den Risiko-Score eines Nutzers. Die Risikobewertung wird regelmäßig berechnet und es gibt eine Verzögerung zwischen der Aktion und der Aktualisierung der Risikobewertung. Einzelheiten finden Sie unter Risikoindikatoren für Benutzer von Citrix.

Verwenden Sie das Verfahren Erstellen einer Richtlinie für adaptiven Zugriff mit den folgenden Änderungen, um eine Richtlinie für adaptiven Zugriff mit Risikobewertung zu konfigurieren.

  • Wählen Sie unter Falls die folgende Bedingung erfüllt istdie Option Benutzerrisikobewertung aus.

  • Konfigurieren Sie die Richtlinie für den adaptiven Zugriff basierend auf den folgenden drei Arten von Benutzerrisikobedingungen.

    • Voreingestellte Tags, die vom CAS-Service abgerufen wurden

      • NIEDRIG 1—69
      • MITTEL 70—89
      • HOCH 90—100

      Hinweis:

      Ein Risiko-Score von 0 wird nicht als Risikoniveau “Niedrig” angesehen.

    • Schwellenwert-Typen
      • Größer oder gleich
      • Kleiner oder gleich
    • Ein Nummernkreis
      • Reichweite

Risiko-Score-Bedingung

Risiko-Score

Adaptive Zugriffs- und Sicherheitskontrollen für Enterprise Web-, TCP- und SaaS-Anwendungen