Citrix Secure Workspace Access

Zielgruppe

Dieses Dokument richtet sich an technische Experten von Citrix, IT-Entscheidungsträger, Partner und Sicherheitsberater, die den Citrix Clouddienst von Secure Workspace Access erkunden und übernehmen möchten. Der Leser muss grundlegende Kenntnisse über Citrix Produkte, Sicherheit und Citrix Cloud-Frameworks haben. Weitere Informationen zu Citrix Cloud und seinen Diensten finden Sie in der offiziellen Produktdokumentation vonCitrix Cloud.

Ziel dieses Dokuments

Dieses Dokument bietet einen technischen Überblick über Citrix Secure Workspace Access und die Architektur, die bedingten Zugriff auf Cloud-Apps und das Surfen im Internet bietet und die allgemeine Sicherheits- und Compliance-Haltung des Unternehmens verbessert. Citrix Secure Workspace Access kombiniert Elemente mehrerer Citrix Clouddienste, um Endbenutzern und Administratoren ein integriertes Erlebnis zu bieten.

Das Dokument führt Administratoren zu einem Ansatz zur Bereitstellung eines sicheren digitalen Arbeitsplatzes mit einer konsolidierten Lösung unter Verwendung von Citrix Secure Workspace Access, der in mehrere Citrix Clouddienste integriert ist, einschließlich Citrix Gateway Service und Secure Browser. Um das Nutzerverhalten und die Aktivitäten zu überwachen, lässt sich Citrix Secure Workspace Access in Citrix Analytics integrieren.

Sicherheitskontrollen und Minderung

In der heutigen Geschäftswelt sind Benutzerdaten eine der am meisten geschätzten Rohstoffe, und Unternehmen finden weiterhin mehr Wert darin. Die meisten Verstöße in Organisationen sind auf unzureichende Sicherheitskontrollen, übermäßige Privilegien für interne Benutzer und eine übermäßige Abhängigkeit von netzwerkbasierten Sicherheitskontrollen zurückzuführen. Viele Unternehmen haben es leider versäumt, wirklich einen sicheren, gründlichen Ansatz zur Stärkung ihrer Umwelt zu verfolgen.

Viele IT-Abteilungen innerhalb von Unternehmen verfügen über keine Lösung zur Steuerung des Zugriffs auf Benutzer, die auf eine stetig wachsende Anzahl von SaaS-basierten Unternehmensanwendungen zugreifen. Zusätzlich zu den Sicherheitsrisiken, die durch die Interaktion von Unternehmensdaten mit nicht verwalteten SaaS-Apps entstehen, geht die Benutzerproduktivität durch die Anmeldung bei mehreren Apps verloren. Darüber hinaus kann die Erinnerung an mehrere Kennwörter oft zu schlechten Kennwortgewohnheiten führen oder dieselben Kennwörter für mehrere Websites verwendet werden.

Das Surfen im Internet stellt heute ein weiteres Risiko für Unternehmen dar. Die meisten Angriffe nutzen laut Sicherheitsexperten Schwachstellen in Websites, Browsern und Browser-Plugins aus. Als Reaktion darauf verbieten einige Organisationen sogar völlig das Surfen im Internet, was die Produktivität stark beeinträchtigt.

Einige Web- und SaaS-Apps benötigen eine bestimmte Browserversion oder ein Plug-In, um ordnungsgemäß zu funktionieren. Mit den schnellen Änderungen in der Browserlandschaft kann die Benutzerfreundlichkeit der Unternehmens-Web- und SaaS-Apps schnell an eine ressourcenintensive Supportaufgabe angepasst werden.

Viele IT-Abteilungen verfügen über keine vollständig definierte Strategie für die Verwaltung von SaaS-Anwendungen, was zu erheblichen Sicherheits- und Compliance-Risiken führt. Andere haben einen fragmentierten Ansatz, der zu mehreren Punktlösungen führt, wie zum Beispiel:

  • Bereitstellung einer Single Sign-On-Lösung: Diese Lösung trägt zur Rationalisierung der Benutzererfahrung bei und kann eine Multifaktor-Authentifizierung beinhalten, aber diese Lösungen verfügen in der Regel nicht über detaillierte Richtlinienkontrollen für Apps, sobald sich Benutzer anmelden.

  • Bereitstellung von Webfilterung zur Steuerung oder zum Herunterfahren des externen Browsens: Diese Lösung hilft dem Benutzer, sich vor dem Besuch bösartiger Websites zu schützen. Die Sicherheitsrichtlinien für SaaS-Apps bleiben jedoch nicht mehr bestehen, sodass viele Kunden zusätzlich zu einem Web-Gateway mehrere Lösungen bereitstellen können.

  • Veröffentlichen von Browsern für jede SaaS-Anwendung: Das Veröffentlichen eines Webbrowsers mit Citrix Virtual Apps and Desktops ist eine bewährte Methode zur Steuerung des Zugriffs auf nicht genehmigte SaaS-Anwendungen. Es sind jedoch weitere IT-Ressourcen erforderlich, um sie zu verwalten, und ist nicht die gleiche Benutzererfahrung wie die direkte Verbindung mit einer SaaS-App über einen Browser.

  • Verlassen Sie das Management von SaaS-Anwendungen an die Abteilungskontrolle innerhalb des Unternehmens: Erschließt Sicherheits- und Compliance-Lücken und verpasst die Möglichkeit, das Benutzerverhalten und die App-Nutzung zu verstehen, ist jedoch häufig die Standardstrategie für die IT bei begrenzten Ressourcen.

Citrix hat eine bessere Möglichkeit gefunden, den Zugriff auf sanktionierte SaaS und Web-Apps mit einem benutzerorientierten Ansatz zu sichern, im Gegensatz zu herkömmlichen Methoden, die nicht die Sicherheit berücksichtigen. Citrix Workspace bietet kontextbezogenen und sicheren Zugriff auf SaaS, Web und virtuelle Desktops und Anwendungen, reduziert die Exposition gegenüber Insider- und Außenseiter-Bedrohungen, sichert die Zusammenarbeit von Inhalten und bietet Analysen zum Benutzerverhalten und proaktive Sicherheitseinblicke.

AC-Image-1

Das vorhergehende Diagramm veranschaulicht die traditionelle Citrix-Umgebung, Endpunkte verbinden sich über Citrix ADC und greifen auf ihre Ressourcen zu. Auf diese Ressourcen, einschließlich Apps, Desktops und Daten, wird lokal zugegriffen, und auf einige der externen Ressourcen wird über das Internet zugegriffen, das SaaS-basierte Anwendungen umfasst. Benutzer greifen sicher über Secure Gateway und Webfilterdienste auf diese externen Ressourcen zu.

Die Workspace-App ist ein einziger Einstiegspunkt für den Zugriff auf Ressourcen von jedem Gerät aus. Die Workspace-App bietet Endbenutzern eine einzigartige Funktionalität mit erhöhter Sicherheit mit einer eingebetteten Browser-Engine. Die Networking-Engine innerhalb der Workspace-App optimiert den Netzwerkverkehr bietet SSL-VPN sowie Micro-VPN-Funktionen für bestimmte Anwendungen. Endbenutzer sind über Citrix ADC verbunden und bieten Funktionen zur Identitäts- und Zugriffsverwaltung.

Die Sicherheitsüberwachung bietet das Verhalten des Endbenutzers und die Erkennung von Bedrohungen innerhalb des Netzwerks. Datensicherheit umfasst DLP und IRM, wenn Benutzer mit Dateien arbeiten oder die Dateien freigeben, um die Kontrolle über die Daten zu behalten. In Citrix Cloud Webfilterung bieten Analytics- und Citrix Gateway -Services eine konsolidierte Lösung, um Endbenutzern einen sicheren digitalen Workspace bereitzustellen.

Citrix Secure Workspace Access

Citrix Secure Workspace Access kombiniert die Funktionen des sofortigen sicheren Zugriffs auf SaaS und Webanwendungen durch Single Sign-On (SSO), zusammen mit Browser- und Cloud-basierten App-Steuerforschreiberrichtlinien und integrierten Analysen zum Nutzerverhalten. Citrix Secure Workspace Access geht über die traditionellen SSO-Funktionen hinaus, indem es die Cloud-App-Steuerung einführt — eine Reihe erweiterter Sicherheitskontrollen für SaaS und Unternehmens-Web-Apps, die bedingten Zugriff auf Cloud-Apps bieten und Benutzeraktionen basierend auf admin-gesteuerten Zugriffsrichtlinien schützen. Die Lösung verbessert die allgemeine Sicherheits- und Compliance-Haltung des Unternehmens. Die Erfahrung des Benutzers bleibt nahtlos und integriert, da auf die SaaS und Web-Apps neben ihren mobilen, virtuellen Apps und Desktops als integrierter Bestandteil von Citrix Workspace zugegriffen werden kann.

Citrix Secure Workspace Access kombiniert Elemente mehrerer Citrix Clouddienste, um Endbenutzern und Administratoren ein integriertes Erlebnis zu bieten.

Funktionalität Service/Komponente, die die Funktionalität bereitstellt
Konsistente Benutzeroberfläche für den Zugriff auf Apps Workspace-Erlebnis/WS-App
SSO zu SaaS und Web-Apps Citrix Gateway Dienststandard
Webfilterung und Kategorisierung Webfilterdienst
Erweiterte Sicherheitsrichtlinien für SaaS Cloud-App-Steuerung
Sicheres Surfen Secure Browser Service
Einblick in den Zugriff auf die Website und riskantes Verhalten Citrix Analytics

Warum Citrix Secure Workspace Access?

Die Datensicherheit wird durch die Notwendigkeit abgegrenzt, die Datenintegrität, Vertraulichkeit und den Schutz des geistigen Eigentums des Unternehmens zu gewährleisten. Heute stehen Unternehmen vor verschiedenen Herausforderungen wie:

  • Mehrere Point-Produkte, die schwer zu verwalten sind und über unterschiedliche Policy-Infrastrukturen verfügen
  • Sicherer Remotezugriff für Endbenutzer für den Zugriff auf Unternehmensinformationen
  • Schutz von geistigem Eigentum, das in Cloud- und SaaS-Apps gespeichert ist und konform bleibt
  • Einblick in Cloud- und SaaS-Apps nach SSO gewinnen und Risikobewertungen abrufen

Citrix Secure Workspace Access hilft IT- und Sicherheitsadministratoren, den autorisierten Endbenutzerzugriff auf sanktionierte SaaS und in Unternehmen gehostete Web-Apps zu verwalten. Benutzeridentitäten und -attribute werden verwendet, um Zugriffsrechte zu bestimmen, und Secure Workspace Access-Richtlinien bestimmen Berechtigungen, die zur Durchführung von Vorgängen erforderlich sind.

AC-Image-2

Die Integration von Citrix Secure Workspace Access führt zu mehreren Vorteilen:

  • Nahtlose Benutzererfahrung mit Single-Sign-On für SaaS-Apps und gehostete Apps: Diese Funktion kommt durch eine Kombination aus Workspace-App und Gateway-Service

  • Mehr Kontrolle für IT mit organisierter Bereitstellung und Zugriff für SaaS-Anwendungen: Bietet IT die Möglichkeit, SaaS-Anwendungen ganz einfach ihren Mitarbeitern zuzuweisen

  • Verbesserte Sicherheit mit Richtlinienkontrollen für die SaaS-Nutzung: Cloud-App-Steuerung genannt, eine neue Funktion, die der IT die Möglichkeit bietet, Sicherheitsrichtlinien für die SaaS-Anwendungen durchzusetzen, die sie den Mitarbeitern bereitstellen

  • Flexibilität, um einen kontrollierten Zugriff auf öffentliche Internetinhalte oder unbekannte SaaS-Apps zu ermöglichen, ohne dabei die Sicherheit zu beeinträchtigen: Diese Funktion kommt durch eine Kombination aus Secure Browser und Webfilterfunktion, sodass Websites auf eine Positiv- oder Sperrliste gesetzt oder in einem isolierten Browser gerendert werden können.

  • Einblick in SaaS-Nutzung und Benutzerwebaktivität: Diese Funktion bietet eine Teilmenge von Citrix Analytics für SaaS und Webaktivitäten, um mehr Transparenz für Sicherheit und Compliance zu bieten.

Citrix Secure Workspace Access und Citrix Cloud

Citrix Secure Workspace Access ist einer der von Citrix Cloud angebotenen Dienste. Um auf diese Dienste zuzugreifen, muss ein Administrator über ein Citrix Konto (auch bekannt als Citrix.com oder My Citrix Konto) verfügen, um Lizenzen zu verwalten und auf die Umgebung zuzugreifen.

Ein Citrix Konto verwendet eine Organisations-ID (OrgID) als eindeutigen Bezeichner. Der Administrator kann auf sein Citrix Konto zugreifen, indem er sichhttps://www.citrix.com mit dem mit dem Konto verknüpften Benutzernamen oder E-Mail-Adresse anmeldet. Citrix Cloud navigiert zunächst zu einem Kontohttps://citrix.cloud.com und erstellt ein Konto oder meldet sich mit einem vorhandenen Citrix Konto an, um den Trail der Cloud Services zu aktivieren.

Ein Citrix Cloud-Konto ermöglicht Administratoren einen breiten administrativen Zugriff auf die Dienste. Daher erwartet Citrix, dass der erste Administrator, der das Citrix Cloud-Konto erstellt, bei Bedarf explizit anderen Administratoren Zugriff gewähren muss, selbst wenn der andere Administrator bereits Mitglied des vorhandenen MyCitrix Kontos ist.

Citrix Secure Workspace Access ist eine Kachel und eine Lösung, die die Integration zwischen Citrix Gateway Service, Web Filtering Service, Secure Browser Service und Citrix Analytics umfasst.

AC-Image-3

Secure Workspace Access: Der Citrix Secure Workspace Access-Dienst bietet eine einheitliche Erfahrung bei der Integration von Single Sign-On, Remote-Zugriff und Inhaltsüberprüfung in eine einzige Lösung für End-to-End-Secure Workspace Access.

Secure Workspace Access bietet Administratoren die folgenden Funktionen:

  • Konfigurieren der Multifaktor-Authentifizierung für Endbenutzer
  • Konfigurieren Sie einen Workspace, um von jedem Gerät aus sicher Zugriff auf Apps zu ermöglichen, zu verwalten und SaaS-Anwendungen aus der Bibliothek hinzuzufügen
  • Webfilterung so konfigurieren, dass Websites für Endbenutzer zulassen/blockieren und an Citrix Secure Browser Service weiterleiten

Analytics: Citrix Analytics sammelt Daten im gesamten Citrix Portfolio an Produkten und generiert umsetzbare Erkenntnisse. Administratoren können Sicherheitsbedrohungen von Benutzern und Anwendungen proaktiv umgehen, die App-Performance verbessern und kontinuierlichen Betrieb unterstützen. Citrix Analytics sammelt Daten und liefert die folgenden Erkenntnisse:

  • Sicherheitsanalysen
  • Leistungsanalyse
  • Operations Analytics

Gateway: Der Citrix Gateway Service bietet eine sichere Remote-Zugriffslösung und bietet eine einheitliche Benutzererfahrung für die konfigurierten SaaS-Apps, heterogenen virtuellen Apps und Desktops. Die Bereitstellung von SaaS-Apps mithilfe des Citrix Gateway Dienstes bietet eine einfache, sichere, robuste und skalierbare Lösung für die Verwaltung der Apps. SaaS-Apps, die in der Cloud bereitgestellt werden, bieten folgende Vorteile:

  • Einfache Konfiguration - Einfach zu bedienen, zu aktualisieren und zu verwenden
  • Single Sign-On- Problemlose Anmeldung mit SSO
  • Standardvorlage für verschiedene Apps- Template-basierte Konfiguration beliebter Apps

Sicherer Browser: Citrix Secure Browser Service isoliert das Surfen im Internet, um das Unternehmensnetzwerk vor browserbasierten Angriffen zu schützen. Es bietet einen konsistenten, sicheren Remotezugriff auf eine im Internet gehostete Webanwendung, ohne dass eine Benutzergerätekonfiguration erforderlich ist.

Mit dem Secure Browser Service können Administratoren sichere Browser schnell bereitstellen und so eine sofortige Amortisation erzielen. Durch die Isolierung des Internetbrowsings können IT-Administratoren Endbenutzern einen sicheren Internetzugang bieten, ohne die Sicherheit des Unternehmens zu gefährden.

Identitäts- und Zugriffsverwaltung

Die Identitäts- und Zugriffsverwaltung definiert die Identitätsanbieter und Konten, die für Administratoren, Abonnenten und Angebote von Citrix Cloud verwendet werden. Citrix Cloud verwendet den Citrix Identitätsanbieter, um die Identitätsinformationen für Benutzer im Citrix Cloud-Konto zu verwalten. Der Administrator hat die Möglichkeit, Azure Active Directory oder einen on-premises Active Directory-Dienst zu integrieren.

Um Verwaltungsaktivitäten durchzuführen und den Citrix Cloud Connector in Citrix Cloud zu installieren, verwenden Citrix Administratoren ihre Identität, um auf Citrix Cloud zuzugreifen. Dieser Identitätsmechanismus ermöglicht die Authentifizierung für Administratoren, die eine E-Mail-Adresse und ein Kennwort verwenden. Außerdem können sich Administratoren mit My Citrix Anmeldeinformationen bei Citrix Cloud anmelden.

AC-Image-4

Die Identität eines Abonnenten definiert die Dienste, auf die der Abonnent Zugriff auf Citrix Cloud hat. Identität stammt von den Active Directory-Domänenkonten, die von den Domänen innerhalb des Ressourcenstandorts bereitgestellt Abonnenten können autorisieren, über Citrix Cloud auf das Angebot zuzugreifen, indem sie einem Bibliotheksangebot einen Abonnenten zuweisen.

Die lokale Active Directory Kommunikation mit Citrix Cloud erfolgt über hochverfügbare Citrix Cloud Connectors. Organisationen, die sich für die Verwendung des Azure Active Directory Dienstes entscheiden, haben mehr Flexibilität bei der Verwaltung der Benutzerkonten, der Überwachungssteuerung und der Kennwortrichtlinien. Außerdem kann der Administrator die Multifaktor-Authentifizierung für ein höheres Sicherheitsniveau konfigurieren.

Citrix Secure Workspace Access mit erweiterter Sicherheit für SaaS-Apps

Citrix Cloud bietet die Single-Sign-On-Funktion für SaaS-Anwendungen über den Citrix Gateway Service. SSO bietet eine einheitliche Benutzererfahrung für webbasierte SaaS-Anwendungs-SSO und die Veröffentlichung auf der Benutzeroberfläche von Citrix Workspace Experience. Um eine einmalige Anmeldung zu ermöglichen, vertraut eine SaaS-App der SAML-Assertion, die vom Citrix Gateway dienst bereitgestellt wird.

Das Aktivieren von Single Sign-On für SaaS-Anwendungen wird jetzt in nur wenigen Webformularen und durch Klicken auf die Konfigurationsseite vereinfacht. Citrix Gateway Connector stellt einen Proxy für die interne webbasierte SaaS-Anwendung für den Benutzer der Workspace-App bereit.

Referenz: Citrix Gateway Connector

Inhaltssteuerung

Der Schutz von Benutzerdaten (SaaS-App-Benutzer) ist für die meisten Organisationen eine Herausforderung. Die Verwendung von Citrix Secure Workspace Access-Organisationen integrieren erweiterte Sicherheitsrichtlinien in die SaaS-Anwendung. Jede Richtlinie erzwingt eine Einschränkung für den eingebetteten Browser, wenn Sie die Workspace-App für den Desktop oder im abgesicherten Browser verwenden, wenn Sie die Workspace-App Web oder mobil verwenden.

  • Bevorzugter Browser: Deaktiviert die Verwendung des lokalen Browsers und stützt sich auf die eingebettete Browser-Engine (Workspace-App - Desktop) oder den Secure Browser-Dienst (Workspace-App — mobil und Web)
  • Zugriff auf die Zwischenablage einschränken: Deaktiviert Ausschneiden/Kopieren/Einfügen zwischen App- und Endpunkt-Zwischenablage
  • Drucken einschränken: Deaktiviert die Druckfunktion im App-Browser
  • Navigation einschränken: Deaktiviert die Schaltflächen für den nächsten bzw. zurücken Browser
  • Downloads einschränken: Deaktiviert die Möglichkeit des Benutzers, aus der SaaS-App herunterzuladen
  • Wasserzeichen anzeigen: Überlagert ein bildschirmbasiertes Wasserzeichen, das den Benutzernamen und die IP-Adresse des Endpunkts anzeigt. Wenn ein Benutzer versucht zu drucken oder einen Screenshot aufzunehmen, wird das Wasserzeichen wie auf dem Bildschirm angezeigt

Citrix Secure Workspace Access Single Sign-on ohne erweiterte Sicherheit

AC-Image-5

SL NO Workspace-App mit sanktionierter SaaS-App Lokaler Browser mit sanktionierter SaaS-App
1 Der Benutzer startet die Workspace-App auf dem Endpunkt. Der Benutzer startet einen Webbrowser auf dem Endpoint, stellt eine Verbindung mit Workspace her und authentifiziert sich mit lokaler Active Directory oder Azure Active Directory.
2 Workspace-App stellt eine Verbindung mit dem Workspace her und authentifiziert sich mithilfe des lokalen Active Directory/ Azure Active Directory. Der lokale Browser wird mit genehmigten Ressourcen gefüllt.
3 Workspace-App wird mit genehmigten Ressourcen gefüllt. Wenn der Benutzer eine SaaS-App auswählt, sendet der lokale Browser die Anforderung an Workspace, der eine einmalige Verwendungs-URL und einen empfohlenen Browser vom Gatewaydienst anfordert.
4 Die Workspace-App sendet die Anforderung an Workspace, der vom Gatewaydienst und einem bevorzugten Browser eine einmalige URL anfordert. Der lokale Browser initiiert eine Verbindung zum Gatewaydienst.
5 Der lokale Browser initiiert eine Verbindung zum Gatewaydienst. Der Gateway-Dienst fordert eine Behauptung vom Single Sign-On-Micro-Service an.
6 Der Gateway-Dienst fordert eine Behauptung vom Single Sign-On-Micro-Service an. Der lokale Browser wird die Anmeldeseite der SaaS-App umgeleitet, auf der die Behauptung angezeigt wird.
7 Der lokale Browser wird auf die Anmeldeseite der SaaS-App umgeleitet, auf der die Behauptung angezeigt wird. Die SaaS-App kontaktiert den Gatewaydienst, um die Assertion zu validieren und den Benutzer zu authentifizieren.
8 Die SaaS-App kontaktiert den Gatewaydienst, um die Assertion zu validieren und den Benutzer zu authentifizieren. Nach der Authentifizierung erfolgt die Kommunikation direkt zwischen dem Browser und der SaaS-Anwendung.
9 Nach der Authentifizierung erfolgt die Kommunikation direkt zwischen dem Browser und der SaaS-Anwendung.  

Sicherer Workspace-Zugriff - Single Sign-On mit erhöhter Sicherheit

AC-Image-6

SL NO Workspace-App mit sanktionierter SaaS-App Lokaler Browser mit sanktionierter SaaS-App
1 Der Benutzer startet die Workspace-App auf dem Endpunkt. Der Benutzer startet einen Webbrowser auf dem Endpunkt, stellt eine Verbindung zu Workspace her und authentifiziert sich mit lokalem Active Directory oder Azure Active Directory.
2 Workspace-App stellt eine Verbindung mit dem Workspace her und authentifiziert sich mithilfe des lokalen Active Directory/ Azure Active Directory. Lokaler Browser wird mit genehmigten Ressourcen gefüllt.
3 Workspace-App wird mit genehmigten Ressourcen gefüllt. Wenn der Benutzer eine SaaS-App auswählt, sendet der lokale Browser die Anforderung an Workspace, der eine einmalige Verwendungs-URL und einen empfohlenen Browser vom Gatewaydienst anfordert.
4 Workspace-App sendet die Anforderung an Workspace, der eine einmalige Verwendungs-URL vom Gatewaydienst anfordert. Der lokale Browser initiiert eine sichere Browser-Verbindung.
5 Der eingebettete Browser initiiert eine Verbindung zum Gatewaydienst. Der abgesicherte Browser initiiert eine Verbindung zum Gatewaydienst.
6 Der Gateway-Dienst fordert eine Behauptung des Single Sign-On-Micro-Service und erweiterte Sicherheitsrichtlinien vom Secure Workspace Access Service an. Der Gateway-Dienst fordert eine Zusicherung des SSO-Microdienstes und erweiterte Sicherheitsrichtlinien vom Secure Workspace Access-Dienst an.
7 Der eingebettete Browser wird auf die Anmeldeseite der SaaS-App umgeleitet, auf der die Behauptung angezeigt wird. Secure Browser wird auf die Anmeldeseite der SaaS-App umgeleitet, auf der die Behauptung angezeigt wird.
8 Die SaaS-App kontaktiert den Gatewaydienst, um die Assertion zu validieren und den Benutzer zu authentifizieren. Die SaaS-App kontaktiert den Gatewaydienst, um die Assertion zu validieren und den Benutzer zu authentifizieren.
9 Nach der Authentifizierung erfolgt die Kommunikation direkt zwischen dem Browser und der SaaS-Anwendung. Nach der Authentifizierung erfolgt die Kommunikation direkt zwischen dem Browser und der SaaS-Anwendung.

Referenz: Technikübersicht für Citrix Secure Workspace Access

Kontextabhängiger Zugriff

Die meisten SaaS-Apps sind sicher zu verwenden, wenn ein Benutzer in einer SaaS-App auf einen Hyperlink klickt, kann er jedoch ein Sicherheitsrisiko für ein Unternehmen aufweisen. Der Webfilter-Micro-Service lässt die Hyperlink-Anfrage des Benutzers zu, verweigert oder leitet sie um.

AC-Image-7

SL NO Workspace-App mit erhöhter Sicherheit Lokaler Browser mit erhöhter Sicherheit
1 Der Benutzer wählt einen Hyperlink in der SaaS-App aus. Der Benutzer wählt einen Hyperlink in der SaaS-App aus.
2 Der eingebettete Browser in der Workspace-App sendet die URL an den Secure Workspace Access-Dienst Secure Browser sendet die URL an den Secure Workspace Access-Dienst
3 Der Secure Workspace Access-Dienst fordert eine Analyse der URL durch den Webfilter-Microservice an Der Secure Workspace Access-Dienst fordert eine Analyse der URL durch den Webfilter-Micro-Service an.
4 Bei blockierten Links verweigert der Micro-Service Webfilterung den Zugriff auf den Hyperlink. Bei blockierten Links verweigert der Micro-Service Webfilterung den Zugriff auf den Hyperlink.
5 Bei genehmigten Links ermöglicht der Webfilter-Micro-Service dem Benutzer den Zugriff auf den Link mit dem eingebetteten Browser. Bei genehmigten Links ermöglicht der Webfilter-Micro-Service dem Benutzer den Zugriff auf den Link als neue Registerkarte innerhalb seiner aktuellen Secure Browser-Dienstsitzung.
6 Für umgeleitete Links hat der Webfilter-Microdienst eine Workspace-App, die den Link an den Secure Browser Service sendet, der eine neue, virtuelle Browsersitzung für den Endbenutzer startet. Bei umgeleiteten Links ermöglicht der Webfilter-Micro-Service dem Benutzer den Zugriff auf den Link als neue Registerkarte innerhalb seiner aktuellen Secure Browser-Dienstsitzung.

Webfilterung — Übersicht

Die Webfilterung ermöglicht die richtlinienbasierte Steuerung von Websites mithilfe der in URLs enthaltenen Informationen. Diese Funktion hilft Netzwerkadministratoren, den Benutzerzugriff auf bösartige Websites im Netzwerk zu überwachen und zu kontrollieren.

Diese Dienstversion ermöglicht die Webfilterung für Citrix Workspace App, die auf SaaS-Apps und das Internet zugreift, sowie Citrix Secure Browser, der auf SaaS und das Internet zugreift.

AC-Image-8

Der Citrix Secure Workspace Access-Administrator kann eine Liste von URLs blockieren und zulassen. Web-FilterController verwendet eine Kategorisierungsdatenbank und URLs Liste. Wenn die Anforderung an den WebfilterController kommt, überprüft sie zunächst die globale Zulassungsliste, die auch kritische Citrix Cloud-URLs enthält. Dann kommt es zu Listen und Kategorisierung und überprüft mit blockiert und erlaubt und umgeleitet zu Secure Browser URLs. Wenn keine der URLs übereinstimmen, wird standardmäßig auf die Standardliste zurückgesetzt.

Citrix Secure Workspace Access und Citrix Analytics

Der Citrix Analytics Dienst ist ein cloudbasierter Dienst, der pragmatische Einblicke ermöglicht, indem Daten über das gesamte Citrix Produktportfolio erfasst werden. Citrix Secure Workspace Access organisiert und produziert Informationen über Aktivitäten der Benutzer, wie besuchte Websites, und die aufgewendete Bandbreite. Citrix Secure Workspace Access überwacht auch Malware- und Phishing-Sites, indem es den Bandbreitenverbrauch untersucht und dann meldet. Der Administrator kann Korrekturmaßnahmen ergreifen, indem er diese wichtigen Kennzahlen zur Überwachung des Netzwerks einprägt.

Citrix Analytics lässt sich problemlos in Citrix Secure Workspace Access, den Citrix Gateway Service und andere Citrix Portfolioprodukte integrieren. Citrix Analytics bietet umfassende Einblicke in das Benutzerverhalten. Es verwendet maschinelle Lernalgorithmen, um anomales Benutzerverhalten zu erkennen, Benutzersitzungen zu beheben und Betriebsmetriken für Benutzer in einer Organisation anzuzeigen, die Citrix Produkte verwenden.

Citrix Services und Produkte senden Daten an Citrix Analytics, die als Datenquellen bezeichnet werden. Diese Datenquellen, die mit dem Citrix Cloud-Konto verknüpft sind, das vom Citrix Analytics-Dienst erkannt wurde. Citrix Cloud-Protokolle werden sicher an Citrix Analytics übertragen. Die Protokolle werden von Citrix Secure Workspace Access gesammelt und getrennt von den Datenquellen verwaltet.

AC-Image-9

Der Citrix Secure Workspace Access-Dienst bietet Sicherheits- und Betriebsdashboards. Unter Sicherheit bietet es die Risikoprofile des Benutzers, die von den Benutzern ausgeführten Zusammenfassungsaktivitäten für den Benutzerzugriff, z. B. die besuchte URL oder Domäne und die verwendete Bandbreite. Der App-Zugriff fasst die Details der Domains, URLs und Apps zusammen, auf die die Benutzer zugreifen.

Referenz: Citrix Secure Workspace Access und Analytics

AC-Image-10

Citrix Administratoren können Regeln in Citrix Analytics erstellen, um Aktionen für Benutzerkonten auszuführen, wenn ungewöhnliche oder verdächtige Aktivitäten auftreten. Eine Regel ist eine Reihe von Bedingungen, die erfüllt werden müssen, damit eine Aktion ausgeführt werden kann. Eine Regel kann eine einzelne Bedingung und eine oder mehrere Aktionen enthalten. Bedingungen wie “Risikobewertung” und “Risikobewertung” sind globale Bedingungen. Globale Bedingungen können auf einen bestimmten Benutzer für eine bestimmte Datenquelle angewendet werden.

Der Administrator erstellt eine Regel basierend auf den Aktivitäten des Benutzers, indem er Bedingungen anwendet, die wie folgt aufgelistet sind:

  • Versuchen Sie, auf die URL der Sperrliste zuzugreifen. Gibt einen Versuch an, auf eine Sperrliste zuzugreifen.
  • Zugriff auf riskante Website. Zeigt an, dass der Benutzer versucht hat, auf bösartige, verdächtige oder riskante Websites zuzugreifen.
  • Ungewöhnliche Downloadmenge. Gibt an, dass die vom Benutzer aus Anwendungen oder Websites heruntergeladene Datenmenge den von Citrix Analytics implizit definierten Schwellenwert überschritten hat.
  • Ungewöhnliche Uploadmenge. Gibt an, dass das Datenvolumen, das der Benutzer aus Anwendungen oder Websites hochgeladen hat, den von Citrix Analytics implizit definierten Schwellenwert überschritten hat.

Referenz: Secure Workspace Access und Analysen

Citrix Secure Workspace Access Endbenutzererfahrung

Der Citrix Administrator hat die Befugnis, die Sicherheitskontrolle mithilfe von Citrix Secure Workspace Access zu erweitern. Die Citrix Workspace-App ist ein Einstiegspunkt für den sicheren Zugriff auf alle Ressourcen. Endbenutzer können über die Citrix Workspace-App auf virtuelle Apps, Desktops, SaaS-Apps und Dateien zugreifen. Mit Citrix Secure Workspace Access können Administratoren steuern, wie der Endbenutzer über die Web-UI von Citrix Workspace Experience oder den nativen Citrix Workspace-App-Client auf eine SaaS-Anwendung zugreifen kann.

Weitere Informationen finden Sie in der Citrix Workspace-App Referenzarchitektur.

Anwendererfahrung mit Workspace App und Webportal

AC-Image-11

AC-Image-12

Wenn der Benutzer die Workspace-App auf dem Endpoint startet, sehen Benutzer ihre Anwendungen, Desktops, Dateien und SaaS-Apps. Wenn ein Benutzer auf die SaaS-Anwendung klickt, während die erweiterte Sicherheit deaktiviert ist, wird die Anwendung in einem Standardbrowser geöffnet, der lokal installiert ist. Wenn der Administrator die erweiterte Sicherheit aktiviert hat, werden SaaS-Apps im eingebetteten Browser in der Workspace-App geöffnet. Der Zugriff auf Hyperlinks in SaaS-Apps und Web-Apps wird basierend auf Webfilterrichtlinien gesteuert.

In ähnlicher Weise werden bei einem Workspace-Webportal, wenn die Sicherheit erhöht wurde, SaaS-Anwendungen über den Standardbrowser geöffnet, der nativ installiert ist. Wenn die erweiterte Sicherheit aktiviert ist, werden SaaS-Apps über den sicheren Browser geöffnet. Benutzer können basierend auf Webfilterrichtlinien auf die Websites in SaaS-Apps zugreifen.

Implementierung von Citrix Secure Workspace Access

Der Citrix Secure Workspace Access-Dienst ist ein Cloud-basierter Dienst. Um Unternehmen nutzerorientierte Lösungen bereitzustellen und Richtlinien einzuhalten, spielt Citrix Secure Workspace Access eine wichtige Rolle. Zusammen mit Citrix Secure Workspace Access gibt es andere Services, die es ermöglichen, Endbenutzern konsolidierte Lösungen zu bieten. Um mit dem Onboarding und der Einrichtung des Citrix Secure Workspace Access-Dienstes zu beginnen, muss der Administrator die Authentifizierung einrichten, den Zugriff auf SaaS-Apps konfigurieren und die Inhaltszugriffseinstellungen im Citrix Secure Workspace Access-Dienst angeben. Die Endbenutzer können über die Citrix Workspace-App oder die Workspace-URL auf den Dienst zugreifen.

AC-Image-13

Der Citrix Administrator meldet sich mit seinen Anmeldeinformationen bei Citrix Cloud an und fordert den Citrix Secure Workspace Access-Dienst an. Der Citrix Secure Workspace Access ist in andere Citrix Portfolioprodukte wie Citrix Gateway, Secure Browser und Citrix Analytics integriert. Diese Lösung bietet Sicherheit für SaaS-Apps.

AC-Image-14

Schritt 1: Der Citrix Administrator konfiguriert Identity and Access Management in Citrix Cloud. Standardmäßig verwendet Citrix Cloud den Citrix Identitätsanbieter, um die Identitätsinformationen für alle Benutzer im Citrix Cloud-Konto zu verwalten. Der Administrator hat die Flexibilität, Azure Active Directory oder einen on-premises Active Directory-Dienst zu ändern und zu verwenden.

Schritt 2: Der Citrix Administrator meldet sich beim Citrix Gateway -Dienst an, um das einmalige Anmelden bei SaaS und Webanwendungen zu konfigurieren. Der Citrix Gateway-Dienst bietet eine sichere Anmeldung an der Unternehmensumgebung, die Anmeldung des Endbenutzers bei Anwendungen, die SAML Single Sign-On verwenden.

Fügen Sie der Bibliothek eine Web- oder SaaS-App aus der Vorlage hinzu. Um mehr über eine Liste der von Citrix Secure Workspace Access unterstützten SaaS-Anwendungen zu erfahren, folgen Sie dem Link

Referenz: SaaS-Anwendungen, die vom Citrix Secure Workspace Access-Dienst unterstützt werden

Schritt 3: Der Administrator gibt die App-Details wie einen Namen der Anwendung, eine URL und eine Domain-Details ein. Erweiterte Sicherheitsrichtlinien sind aktiviert, um Datenlecks zu verhindern. Diese Richtlinien innerhalb der SaaS-Anwendungen setzen eine Einschränkung des eingebetteten Browsers durch, wenn eine Workspace-App für Desktop oder auf Secure Browser verwendet wird, wenn Sie Workspace-App Web oder Mobile verwenden.

AC-Image-15

Schritt 4: Aktivieren Sie Single Sign-On bei Web-/Saas-Apps für die Veröffentlichung: Citrix Gateway Service (nur Clouddienste) bietet Single Sign-On für SaaS-Anwendung. Das Aktivieren von Single Sign-On bei der SaaS-Anwendung wird jetzt in nur wenigen Webformularen vereinfacht, und das Klicken auf die Konfigurationsseite vereinfacht den Bereitstellungsprozess erheblich. Administratoren können den Gateway Connector anwenden, um den internen webbasierten SaaS-Anwendungszugriff auf den externen Workspace-App-Benutzer zu proxieren.

Im Bereich Library von Citrix Cloud werden SaaS und Web-Apps veröffentlicht. Der Administrator muss die Benutzer von der Auswahl der Domäne hinzufügen, nur abonnierte Benutzer können über die Workspace-App oder das Workspace-Web auf die Anwendung zugreifen.

Schritt 5: Webseitenlisten filtern: Um das Unternehmensnetzwerk vor browserbasierten Angriffen zu schützen, enthält Citrix Secure Workspace Access einen Webfilterdienst. Basierend auf den Richtlinien, die der Webfilterdienst die Hyperlink-Anfrage des Benutzers zulässt, ablehnt oder umleitet, wie unten dargestellt:

Zulässig: Anforderungslink gilt als sicher und der Zugriff ist innerhalb des eingebetteten Browsers innerhalb der Workspace-App zulässig.

Blockiert: Der Hyperlink gilt als gefährlich und der Zugriff wird verweigert.

Umgeleitet: Der Administrator trifft eine Vorsichtsmaßnahme auf Websites, die Sicherheitsbedrohungen besitzen, indem er über den Secure Browser Service umgeleitet wird.

Schritt 6: Websitekategorien filtern Die Kategorisierungsdatenbank hilft, den Webverkehr zu filtern, der den Endbenutzer Zugriff auf bestimmte Websites wie soziale Netzwerke, Glücksspiele, Inhalte für Erwachsene, neue Medien und Shopping kontrolliert. Kategorien schränken den Benutzerzugriff auf bestimmte Websites und Websitekategorien ein.

Kategorisierungsvorgabe bietet bequeme, sofort einsatzbereite Vorlagen  
Streng Minimiert das Risiko des Zugriffs auf ungesicherte oder bösartige Websites. Endbenutzer können weiterhin auf Websites mit geringem Risiko zugreifen. Beinhaltet die meisten Geschäftsreisen und Social-Media-Websites. (133/192 Kategorien)
Moderat Minimiert das Risiko und ermöglicht gleichzeitig andere Kategorien mit einer geringen Wahrscheinlichkeit, dass sie von ungesicherten oder bösartigen Websites ausgesetzt werden. Beinhaltet die meisten Websites für Geschäftsreisen, Freizeit und Social Media. (65/192 Kategorien)
Nachsichtig Maximiert den Zugriff bei gleichzeitiger Kontrolle des Risikos durch illegale und bösartige Websites. (36/192 Kategorien)
Ohne Erlaubt alle Kategorien.
Benutzerdefiniert Konfigurieren Sie die benutzerdefinierte Filterung von Kategorien.

Referenz: Liste der Kategorien von Citrix Secure Workspace Access

Die Citrix Workspace App bietet Benutzern eine großartige Erfahrung (sicherer, kontextbezogener, einheitlicher Workspace) auf jedem Gerät. Benutzer erhalten nahtlosen und sicheren Zugriff durch Single Sign-On auf alle Apps, die sie benötigen, um produktiv zu sein.

Um die Konfiguration zu überprüfen, können Endbenutzer die SaaS-App über die Citrix Workspace App (oder Citrix Workspace Web) starten. Außerdem können Benutzer erlaubte/blockierte Websites, die in den Website-Filterlisten hinzugefügt wurden, überprüfen, indem sie die URLs besuchen. Der eingebettete Browser der Citrix Workspace App ermöglicht Administratoren den systemeigenen Zugriff auf SaaS-Anwendungen mit erweiterter Sicherheitssteuerung.

Weitere Informationen zur Citrix Workspace App finden Sie imCitrix Workspace App-Referenzarchitektur.

Schritte7: Der Citrix Secure Workspace Access-Dienst lässt sich in Citrix Analytics integrieren, um Informationen über die Aktivitäten von Benutzern wie besuchte Websites und die verbrauchte Bandbreite abzurufen. Citrix Analytics meldet Erkennung von Bedrohungen wie Malware und Phishing-Sites.

Der Administrator kann sich beim Citrix Analytics Clouddienst anmelden und Regeln für Citrix Secure Workspace Access erstellen, und er wendet den Aktionsplan an, wenn die Bedingungen erfüllt sind. Um das Benutzerverhalten zu überwachen und zu analysieren, aktivieren Sie “Datenverarbeitung einschalten” für Citrix Secure Workspace Access for Analytics on Citrix Cloud (Datenquellen sind Citrix Dienste und Produkte, die Daten an Citrix Analytics senden).

AC-Image-16

Der Citrix Analytics Service überwacht Benutzeraktivitäten und -verhalten mithilfe von maschinellem Lernen und künstlicher Intelligenz. Datenquellen für Citrix Analytics werden von Workspace-App, Citrix Gateway, Citrix Secure Workspace Access und Secure Browser Service zusammengetragen.

Anwendungsfälle für Citrix Secure Workspace Access

Unternehmen wenden sich heute an Software as a Service (SaaS) -Lösungen, um geschäftliche Anforderungen zu erfüllen, wenn auch oft ohne die notwendigen Sicherheitsmaßnahmen zu ergreifen oder die Anwendungen zu warten. Die meisten Sicherheitsfehler von SaaS-Anwendungen werden von Benutzern und nicht von Cloud-Anbietern hervorgebracht. Die Organisation muss ihre Strategien regeln, um diese Mängel zu beheben.

Citrix Secure Workspace Access erzwingt erweiterte Sicherheitsrichtlinien für SaaS-Apps (Wasserzeichen, Einschränkung beim Kopieren und Einfügen, Verhindern des Herunterladens/Hochladens vertraulicher Daten). Es definiert auch Zugriffsrichtlinien für Websitekategorien und Websites, die in Form von Webfilterung gesperrt/zugelassen werden sollen.

Vorhandene Brownfield-Bereitstellungen Wie passt Citrix Secure Workspace Access
Unternehmen, die Citrix Clouddienste einsetzen möchten. 1) Citrix Secure Workspace Access bietet die richtige Lösung für ihre Umgebung und bietet Endbenutzern Sicherheit für SaaS, SSO und Webfilterfunktionen. 2) Organisation, die sich mit dem on-premises Modell befassen Citrix Gateway, hilft bei der Bereitstellung von SSO und erhöhter Sicherheit für Endbenutzer.
Organisationen, die den Citrix Gateway Dienst bereits übernommen haben. 1) Citrix Cloud bietet verschiedene Cloud-basierte Dienste an, darunter Citrix Secure Workspace Access, Analytics und Secure Browser, die die Sicherheitskontrolle für SaaS und das Internet bieten.
Organisationen, die bereits SSO von Drittanbietern übernommen haben 1) Citrix Secure Workspace Access bietet eine granulare Sicherheitskontrolle für SaaS-Apps, minimiert webbasierte Bedrohungen und automatische Richtliniendurchsetzung durch Analysen, basierend auf dem Benutzerverhalten. 2) ICA-Proxy für on-premises und Citrix Virtual Apps and Desktops Service.

Citrix Secure Workspace Access-Lösung für Unternehmens-Web-Apps

Die meisten on-premises Kunden verwenden weiterhin Web-Apps, darunter SharePoint, Confluence, Microsoft Office, Helpdesk-Anwendung und so weiter. Unternehmensanwendungen werden remote mit dem Citrix Gateway-Dienst bereitgestellt und bieten die erforderliche Sicherheit mithilfe der Citrix Secure Workspace Access-Lösung.

Endbenutzer greifen mit Citrix Gateway Service mit Citrix Workspace auf Web-Apps zu. Der Citrix Gateway-Dienst, der sicher mit Citrix Workspace gekoppelt ist, bietet eine einheitliche Benutzererfahrung für die konfigurierten Web-Apps. Single Sign-On und Remote-Zugriff auf interne Web-Apps sind über verschiedene Servicepakete verfügbar.

AC-Image-20

Das vorangehende Diagramm zeigt die Citrix Secure Workspace Access-Lösung, die auf on-premises Kunden angewendet wird, die den Citrix Gateway Connector verwenden. Der Citrix Gateway-Connector fungiert als Brücke zwischen Unternehmens-Web-Apps und dem Citrix Workspace Service.

Web-Apps einmaligen Anmelden mit erhöhter Sicherheit

Der Benutzer startet die Citrix Workspace-App und stellt mithilfe eines on-premises Active Directory-Dienstes eine Verbindung mit Citrix Workspace her. Die Citrix Workspace-App wird verwendet, um eine Webanwendung zu starten. Der Citrix Gateway-Dienst bietet den empfohlenen Browser und den Link. Der eingebettete Browser der Citrix Workspace-App stellt eine Anwendungsverbindung mit dem Citrix Gateway-Dienst her. Außerdem wurden erweiterte Sicherheitsrichtlinien über den Citrix Secure Workspace Access-Dienst aktiviert. Ein weiterer Citrix Gateway-Dienst hat eine ausgehende Verbindung mit Gateway Connector vom Ressourcenstandort hergestellt. Überprüft die Anmeldedaten, und die Citrix Workspace-App sichert eine End-to-End-Verbindung mit der internen Web-App.

Wenn der Benutzer einen lokalen Browser verwendet, erfolgt die Authentifizierung über den Active Directory-Dienst, und der lokale Browser stellt eine sichere Verbindung mit dem Secure Browser Service her. Verbesserte Sicherheitsrichtlinien durch den Secure Workspace Access-Dienst. Ein sicherer ausgehender Kanal zwischen Gateway Connector und Citrix Gateway-Dienst. Benutzeranmeldeinformationen werden ausgehandelt und Single Sign-im Namen des Benutzers eingerichtet. Jetzt End-to-End-Verbindung über den Secure-Browser für Benutzer gefunden.

Referenz: Unterstützung für unternehmenseigene Web-Apps

Citrix Secure Workspace Access Einmaliges Anmelden für Web-Apps

Citrix Gateway Connector und der Citrix Gateway-Dienst in der Cloud sichern die Kommunikation mit einer on-premises Anwendung. Auf die Webanwendung wird über einen Workspace über eine Verbindung ohne VPN zugegriffen und bereitgestellt. Der Administrator muss während der Einrichtung der Web-App die Single Sign-On-Methode wählen.

Diese vier Typen von SSO, die über Citrix Gateway Service konfiguriert wurden:

  • Formularbasiert
  • Grundlegende SSO
  • Kerberos
  • SAML (TP)

AC-Image-21

Formularbasierte Authentifizierung

1) Citrix Gateway Service hat einen sicheren Kanal zwischen Citrix Gateway Connector eingerichtet und sendet eine Web-App-Anfrage mit Anmeldeinformationen

2) Citrix Gateway Connector übermittelt Anmeldedaten an entsprechende Webanwendungen

3) Die sichere Verbindung von Ende zu Ende wird zwischen einer Webanwendung und der Citrix Workspace-App über Citrix Gateway Service durch Single Sign-On an die Web-App hergestellt

Grundlegende SSO-Authentifizierung

1) Citrix Gateway Service erstellt einen sicheren Kanal zwischen Citrix Gateway Connector und sendet eine Web-App-Anfrage mit Benutzername und Kennwort

2) Citrix Gateway Connector übermittelt Anmeldedaten an die Anmeldeseite für Webanwendungen

3) Web-App-Anfrage für Authentifizierungsanfrage mit NTLM-Protokollen

4) Citrix Gateway Connector antwortet auf NTLM-Anfrage mit Benutzername und Kennwort

5) Die sichere Verbindung von Ende zu Ende wird zwischen einer Webanwendung und der Citrix Workspace-App über Citrix Gateway Service durch Single Sign-On an eine Web-App hergestellt

Kerberos-Authentifizierung

1) Citrix Gateway Service hat einen sicheren Kanal zwischen Citrix Gateway Connector erstellt und eine Web-App-Anfrage mit Benutzername und Kennwort gesendet

2) Citrix Gateway Connector übermittelt Anmeldedaten an die Anmeldeseite für Webanwendungen

3) Webapp-Anfrage für Authentifizierungsanfrage mit Kerberos-Protokollen

4) Citrix Gateway Connector wenden Sie sich an den Domänencontroller, um die Anmelde

5) Domänencontroller validiert die Anmeldeinformationen des Benutzers und bestätigt

6) Citrix Gateway Connector leitet die Anwendung zurück an die Web-App

7) Sichere Verbindung von Ende zu Ende, die zwischen der Citrix Web-App und der Citrix Workspace-App über Citrix Gateway Service durch Single Sign-On bei einer Web-App hergestellt wird

Um die Kerberos-Single-Sign-On-Funktionalität zu aktivieren, konfigurieren der Administrator Gateway Connector mit Anmeldeinformationen für ein Dienstkonto, dem vertraut wird, dass es Kerberos Constrained Delegation

Benutzer versuchen, auf bösartige Websites zuzugreifen, die schwere Schäden verursachen. Außerdem verstoßen sie gegen Unternehmensvorschriften und -richtlinien. Um dieses Problem zu lösen, wird Citrix Secure Workspace Access übernommen, das riskante Websites filtert, die ein Risiko für ein Unternehmen darstellen. Erstellt zusammen mit einen Wasserzeicheninhalt während der gesamten Sitzung, der den Namen und die IP-Adresse des Benutzers enthält.

Referenz: Unterstützung für unternehmenseigene Web-Apps

Citrix Secure Workspace Access App Protection-Richtlinien

Es ist heute üblich, dass die Anmeldeinformationen des Benutzers gestohlen werden und der Benutzer sich dieser Aktion möglicherweise nicht bewusst ist. Cyberkriminelle nutzen verschiedene Anstrengungen, um die Endbenutzerdaten zu erfassen, und eines der häufigsten Szenarien ist Keylogger-Malware zur Erfassung von Benutzerdaten. Diese Malware-Produkte gelangen einfach in den Benutzercomputer und erhalten die Benutzerinformationen. Das Ereignis kann zu erheblichen Schäden an einer Organisation oder einer Einzelperson führen. Um dieses Problem zu lösen, muss das Unternehmen stark in den Schutz von Benutzerdaten investieren und einen Abwehrschutz gegen den Einsatz von Anti-Keyloggern schaffen.

In ähnlicher Weise ist eine weitere Verbesserung des Keyloggers die Screenshot-Protokollierungsfunktion. Dieses bösartige Programm erstellt Screenshots des Benutzerdesktops, um die auf dem Bildschirm angezeigten Informationen zu erfassen. Mehrere installierte Software und Richtlinien werden dem Endpunkt des Benutzers auferlegt, um Bildschirmfotos des Benutzerdesktops zu verhindern. Dies kann zu einer langsameren Leistung von Benutzerdesktops und -umgebungen führen.

Citrix Secure Workspace Access verfügt über erweiterte Richtlinien zum Schutz von Unternehmensdaten. Die Endpunktsicherheit ist eine wichtige Sicherheitsüberlegung für jedes Unternehmen, da der maximale Verstoß an Endpunkten auftritt. App-Schutzrichtlinien sind Regeln und werden angewendet, während die erhöhte Sicherheit für eine SaaS-App ermöglicht wird. Im Folgenden finden Sie zwei erweiterte Sicherheitsrichtlinien, die von Kunden verwendet werden können:

  • Anti-Key-Protok

  • Anti-Screen-Aufnahme

AC-Image-22

Citrix App-Schutzrichtlinien, die über die Citrix Secure Workspace Access-Lösung aktiviert wurden. Die Vorteile sind wie folgt:

  • Schützt vor Key-Logging und Bildschirmaufnahme
  • Zentralisierte Verwaltung für Citrix Administratoren
  • Agnostiker der Gerätesicherheitshaltung

App-Schutzrichtlinien werden in der Citrix Workspace-App 1912 für Windows eingebrannt, und der Administrator muss diese Funktion aktivieren.

Referenz: Richtlinien zum App-Schutz

Schützen Sie Benutzer mit Citrix Secure Browser vor riskanten Internetsurfen

Webbrowser sind integraler Bestandteil einer aktiven Produktionsumgebung. Webbrowser sind leistungsstarke, datenreiche Tools, die dem Internet anders als jeder anderen Anwendung in der Arbeitsumgebung zur Verfügung stehen. In den letzten Jahren haben Cyberkriminelle Webbrowser genutzt, die große Mengen an Benutzerinformationen abrufen, darunter Kreditkartendaten, E-Mail-IDs, gespeicherte Passwörter und so weiter.

Die Prävalenz von browserbasierten Angriffen wird zu einem Trend, nicht wegen strategisch erwünschter Hacking-Ziele, sondern weil browserbasierte Angriffe schwer zu unterscheiden sind. Herkömmliche Sicherheitskontrollen erkennen solche Angriffe nicht, da diese Anwendungen nur Download-Dateien und Anhänge prüfen. Die Prävalenz Daher bleibt ein browserbasierter Angriff wahrscheinlich unbemerkt.

Der Citrix Secure Browser Service isoliert das Surfen im Internet, um die Kundenproduktionsumgebung vor browserbasierten Angriffen zu schützen. Die Citrix Workspace-App oder lokale Browser sind ein Einstiegspunkt in die Citrix Produktionsumgebung. Citrix Secure Browser isoliert das Surfen im Internet, dass die Website keine Browserdaten direkt an das oder vom Benutzergerät überträgt. Sicherheitsadministratoren bieten sicheren Internetzugang und Benutzererfahrung ohne Änderung der Unternehmenssicherheit.

Citrix Secure Browser Service ist ein SaaS-Produkt, das von Citrix verwaltet und betrieben wird. Er ermöglicht den Zugriff auf Webanwendungen über einen zwischengeschalteten Webbrowser in der Cloud. Während der Nutzung von Citrix Secure Service verfolgen gehostete Webbrowser den Browserverlauf des Benutzers und führen das Zwischenspeichern von HTTP-Anfragen durch. Citrix verwendet verbindliche Profile und stellt sicher, dass nach dem Ende der Browsersitzung Daten gelöscht werden.

Secure Browser Service, auf den mit einem HTML5-kompatiblen Webbrowser zugegriffen wird. Es ist kein herunterladbarer Client für Benutzer verfügbar. Der gesamte Datenverkehr zwischen dem Endbenutzerbrowser und dem Citrix Clouddienst wird mit TLS-Verschlüsselung nach Industriestandard verschlüsselt und unterstützt nur TLS 1.2.

AC-Image-23

Das vorangehende Diagramm zeigt die Integration der Citrix Secure Workspace Access-Lösung, einschließlich Citrix Secure Browser Service für Cloud- und on-premises Citrix-Umgebungen. Kunden von Citrix Virtual Apps and Desktops mit einer on-premises StoreFront können problemlos in den Secure Browser Service integriert werden.

Um mehr über die Konfiguration von Citrix StoreFront mit dem Secure Browser Service zu erfahren, folgen Sie der Link.

Citrix Secure Workspace Access und Content Collaboration

Die meisten Unternehmen haben eine Art Ransomware oder mehrere Phishing-Versuche erlebt, die ihr Netzwerk gefährdet haben. Die Hauptursachen für solche Bedrohungen sind oft auf unzureichenden Schutz vor webbasierten Bedrohungen zurückzuführen. Mangelnde Einsicht darüber, welche Websites Benutzer täglich zugreifen.

Der Citrix Secure Workspace Access-Dienst ermöglicht es einem Unternehmen, seine Umgebung vor browserbasierten Angriffen und Datenlecks zu schützen. Wenn Mitarbeiter von einem beliebigen Gerät aus auf ihre Apps zugreifen, unabhängig davon, ob sie sich im Büro, zu Hause oder auf Reisen befinden, bietet der Citrix Secure Workspace Access-Dienst eine zusammenhängende Erfahrung bei der Integration von SSO, Zwei-Faktor-Authentifizierung, Remote-Zugriff und Web-Filterung in eine einzige Lösung für End-to-End-Secure Workspace Access.

AC-Image-17

Citrix Content Collaboration ermöglicht Benutzern den einfachen und sicheren Austausch von Dokumenten. Es gibt viele Möglichkeiten, mit Citrix Content Collaboration zu arbeiten, einschließlich einer webbasierten Oberfläche, mobilen Clients, Desktop-Apps und Integration mit Microsoft Outlook und Gmail.

Citrix Files ist ein Dateimanager, der Datenfreigabe und -speicherung, anpassbare Nutzung und Einstellungen sowie Tools bietet, mit denen Benutzer einfacher zusammenarbeiten und die Arbeit von jedem Gerät aus erledigen können, jederzeit und überall.

Das vorangehende Diagramm zeigt die Bereitstellung der Citrix Files SaaS-App an Endbenutzer in einem hybriden Cloud-Modellszenario. Der Citrix Cloud Connector stellt einen Link zum Citrix Cloud-Konto und zum Ressourcenstandort bereit. Der Ressourcenstandort enthält das Active Directory für Endbenutzer, sodass Benutzer sich nahtlos bei ihrer Webanwendung anmelden können.

Der Citrix Gateway Service bietet Authentifizierung, einmaliges Anmelden und ermöglicht eine schnelle und sichere Bereitstellung von Citrix Virtual Apps und SaaS-Anwendungen. Der Endbenutzer meldet sich mit seinen Anmeldeinformationen bei der Umgebung des Unternehmens an, und der Benutzer kann sich mit SAML Single Sign-On bei einer Webanwendung anmelden. Auf dem Citrix Gateway Service wählen Administratoren die Vorlage der Web/SaaS-App oder definieren ihre eigenen Anwendungsparameter. Beispiel:

Benennen Sie die Anwendung: “Citrix Files”

Enter the URL: <https://xxxxx.sharefile.com/>

In ähnlicher Weise kann auf der SSO-Seite sichergestellt werden, dass SAML ausgewählt ist, vorausgesetzt, die SAML/SSO-Einstellung für Citrix Files ist für das Back-End bereits abgeschlossen.

Die Assertion-URL lautet:https://xxxxx.sharefile.com/saml/xxxx``

Zielgruppe: <https://xxxxx.sharefile.com>

Name ID-Format: E-Mail-Adresse

Name ID: E-Mail

Sobald die SaaS-App zur Citrix Cloud-Bibliothek hinzugefügt wurde, muss der Administrator Abonnenten verwalten und den Benutzern die Workspace-URL zur Verfügung stellen, auf die zugegriffen werden kann. Mit Active Directory kann es als Identitätsanbieter dienen, um SAML Single Sign-On für verschiedene Web- und SaaS-Anwendungen zu ermöglichen.

Content-Kontrolle und kontextbezogener Zugriff

Auf der Seite “Erweiterte Sicherheit” beschränkt und erzwingt der Administrator Richtlinien, um die Organisation vor vertraulichen Datenlecks zu schützen. Es stellt die folgenden Optionen zur Verfügung:

  • Eingeschränkter Zugriff auf die Zwischenablage
  • Druckbeschränkung
  • eingeschränkte Navigation
  • eingeschränkte Downloads
  • Anzeige von Wasserzeichen

Um unerwünschte Websites mit Sicherheitsrisiken für Organisationen zu blockieren, muss der Citrix Administrator URLs blockieren und zulassen, indem URLs hinzugefügt oder Kategorielisten ausgewählt werden. Der Administrator kann auch darauf achten, URLs über einen sicheren Browser umzuleiten.

Benutzerverhalten und Aktivitäten

Um das Benutzerverhalten und die Aktivitäten durch den Administrator zu überwachen, kann der Citrix Secure Workspace Access-Dienst einfach in den Citrix Analytics-Dienst integriert werden. Der Administrator erlegt vordefinierte Bedingungen und einen Aktionsplan zur Minderung der Risiken auf.

Citrix Secure Workspace Access und Google G Suite

G Suite ist eine SaaS-Anwendung, diese Apps sind per Fernzugriff über das Internet zugänglich. G Suite ist früher als Google Apps bekannt, die von Google entwickelt wurden. G Suite umfasst Gmail, Hangouts, Kalender und Google+ für die Kommunikation, Drive for storage, Docs, Tabellen, Präsentationen, Formulare und Websites für die Zusammenarbeit. Es umfasst auch eine App-Entwicklungsplattform, App Maker. G Suite bietet enorme Produktivitätsvorteile, aber die meisten Netzwerke sind nicht so konzipiert, dass sie die Leistung und Sicherheit bieten, die für Mobilität und Cloud erforderlich sind.

Google Cloud und Citrix ermöglichen es Endbenutzern, zukunftsweisende Lösungen zu beschleunigen, die verbesserte Sicherheit mit hervorragender Benutzererfahrung und die Flexibilität der Wahl in einer App-zentrierten, Mobile-First- und Hybrid-Cloud-Welt bieten.

G Suite, eine marktführende SaaS-Produktivitäts-App, die in Citrix Secure Workspace Access integriert ist und es dem Unternehmen ermöglicht, mehr Transparenz und Kontrolle für SaaS-Anwendungen zu erhalten, was wiederum Datenlecks und unbefugte Offenlegung sensibler Informationen verhindert.

Endbenutzer greifen auf die G Suite-Anwendung zu, indem sie einfach URL- und Anmeldeinformationen über die Citrix Workspace-App eingeben. Benutzer haben den gesamten Workspace, einschließlich Apps, Desktops und Dateien, und unter Berücksichtigung der Benutzer müssen niemals einen anderen Benutzernamen und ein anderes Kennwort eingeben. Der gesamte Workspace wird über einen einzigen Zugangspunkt bereitgestellt, der die Produktivität verbessert und gemeinsame Workflows für den Endbenutzer rationalisiert.

AC-Image-18

Citrix Secure Workspace Access bietet nicht nur eine Single-Sign-On-Funktion, sondern bietet auch eine Sicherheitsebene, die nirgendwo verfügbar ist.

Bereitstellung

Citrix Cloud Connectors werden verwendet, um die gesamte Kommunikation zwischen Ressourcenstandort und Citrix Cloud zu verarbeiten. Für hohe Verfügbarkeit werden an jedem Ressourcenstandort mindestens zwei Connectors bereitgestellt. Der Ressourcenstandort dient als Active Directory für Endbenutzer, sodass sich Benutzer nahtlos bei ihren G Suite-Anwendungen anmelden können.

Der Citrix Gateway-Dienst mit Active Directory kann als Identitätsanbieter dienen, um SAML Single Sign-On für G Suite-SaaS-Anwendung zu ermöglichen. Citrix Secure Workspace Access ermöglicht es Endbenutzern, G Suite SaaS-Anwendung in Secure Browser-Sitzungen zu starten und dem Administrator die Anwendung von fünf verschiedenen Kontrollrichtlinien zu ermöglichen.

Szenario 1: Erweiterte Sicherheit ist deaktiviert. Wenn ein Benutzer Google Mail in der G Suite startet, öffnet er es in einem Standardbrowser und verwendet in ähnlicher Weise auf der URL in seinem Google Mail-Konto einen Standardbrowser ohne zusätzliche Sicherheitsrichtlinien oder -steuerelemente. Ein Benutzer hat die Freiheit, von der Seite aus zu navigieren, die Seite auszuschneiden, zu kopieren und zu drucken.

Szenario 2: Erweiterte Sicherheit ist aktiviert. Wenn ein Benutzer Gmail in der G Suite startet, wird er in einem sicheren Browser geöffnet. Jetzt wird eine Layer der Steuerungsfunktionen über Citrix Secure Workspace Access angewendet, und der Endbenutzer erhält keine Navigationsleiste, um von der Site wegzunavigieren, und Beschränkungen für das Ausschneiden, Kopieren und Einfügen werden auferlegt. Abgesehen davon bietet Citrix Secure Workspace Access URL-Filterfunktionen, die den Besuch bösartiger Websites verhindern. Außerdem können Benutzer basierend auf den Richtlinien zu einem sicheren Browser umgeleitet werden.

Vorteile der Verwendung von Citrix Secure Workspace Access mit G Suite SaaS-Apps:

  • Single Sign-On
  • Multifaktor-Authentifizierung
  • Verbesserte Sicherheitsrichtlinien für G Suite
  • Web-Filterrichtlinien für G Suite
  • End-to-End-Transparenz und Analysen

Erweiterte Konzepte

Citrix Gateway SaaS und O365 Cloud - Validiertes Referenzdesign

Citrix Gateway Service SSO mit Secure Workspace Access Validiertes Referenzdesign

Zusammenfassung

Citrix Secure Workspace Access ist eine konsolidierte Lösung zur Bereitstellung eines sicheren digitalen Workspace. Die meisten Unternehmen verwenden SaaS und Web-Apps, da sich der digitale Workspace verändert. Die Implementierung einer kollaborativen Lösung würde die Sicherheit erheblich verbessern und Vorteile für Unternehmen, kleine Unternehmen und SaaS-Anbieter bieten, wenn sie wissen, dass ihre Daten geschützt sind.

Die Idee, ein Netzwerk ausschließlich zu schützen, reicht nicht mehr aus. Das Unternehmen muss Benutzer und Apps schützen, damit Citrix Secure Workspace Access Folgendes bietet:

  • Konsolidierter Zugriff auf SaaS, Web und virtuelle Apps
  • Konsistente Endbenutzererfahrung und Flexibilität bei der Verwendung beliebiger Endpunktgeräte
  • Sichtbarkeit des Anwendungsdatenverkehrs und Erkennung von Bedrohungen mithilfe von Analysediensten, die die In-App-Steuerung für SaaS-Apps über das einmalige Anmelden hinausgehen

Quellen

Ziel dieser Referenzarchitektur ist es, Sie bei der Planung Ihrer eigenen Implementierung zu unterstützen. Um diese Arbeit zu erleichtern, möchten wir Ihnen Quelldiagramme zur Verfügung stellen, die Sie in Ihren eigenen detaillierten Entwürfen und Implementierungshandbüchern anpassen können: Quelldiagramme.

Referenzen

Sicherer Zugriff auf Workspace

Technischer Brief

Technische Erkenntnisse

Sicherer, kontextbezogener Benutzerzugriff auf jedem Gerät überall ohne Einbußen bei der IT-Steuerung

Citrix Secure Workspace Access