Referenzarchitektur: Sicherer privater Zugriff

Zielgruppe

Dieses Dokument richtet sich an technische Experten, IT-Entscheidungsträger, Partner und Sicherheitsberater von Citrix, die den Citrix Cloud-Dienst Secure Private Access erkunden und einsetzen möchten. Der Leser muss grundlegende Kenntnisse über Citrix Produkte, Sicherheit und Citrix Cloud-Frameworks haben. Weitere Informationen zu Citrix Cloud und seinen Diensten finden Sie in der offiziellen Produktdokumentation für Citrix Cloud.

Ziel dieses Dokuments

Dieses Dokument bietet einen technischen Überblick und die Architektur von Citrix Secure Private Access, die bedingten Zugriff auf Cloud-Apps und Internet-Browsing ermöglicht und so die allgemeine Sicherheits- und Compliance-Situation des Unternehmens verbessert. Citrix Secure Private Access kombiniert Elemente verschiedener Citrix Cloud-Dienste, um Endbenutzern und Administratoren ein integriertes Erlebnis zu bieten.

Das Dokument unterstützt Administratoren bei der Bereitstellung eines sicheren digitalen Workspace mit einer konsolidierten Lösung mithilfe von Citrix Secure Private Access, die in mehrere Citrix Cloud-Dienste integriert ist, einschließlich des Citrix Gateway Services und des Secure Browser Service. Zur Überwachung des Benutzerverhaltens und der Benutzeraktivität ist Citrix Secure Private Access in den Citrix Analytics Service integriert

Sicherheitskontrollen und Risikominderung

In der heutigen Geschäftswelt sind Benutzerdaten eines der wertvollsten Rohstoffe, und Unternehmen finden weiterhin mehr Wert darin. Die meisten Verstöße in Unternehmen sind auf unzureichende Sicherheitskontrollen, übermäßige Berechtigungen, die internen Benutzern gewährt wurden, und auf die übermäßige Abhängigkeit von netzwerkbasierten Sicherheitskontrollen zurückzuführen. Viele Unternehmen haben es leider versäumt, wirklich einen sicheren, gründlichen Ansatz zur Stärkung ihrer Umwelt zu verfolgen.

Viele IT-Abteilungen innerhalb von Organisationen verfügen nicht über eine Lösung, um den Zugriff auf Benutzer zu kontrollieren, die auf eine ständig wachsende Anzahl von SaaS-basierten Unternehmensanwendungen zugreifen. Zusätzlich zu den Sicherheitsrisiken, die durch die Interaktion von Unternehmensdaten mit nicht verwalteten SaaS-Apps entstehen, geht die Benutzerproduktivität durch die Anmeldung bei mehreren Apps verloren. Darüber hinaus kann die Erinnerung an mehrere Passwörter häufig zu schlechten Kennwortgewohnheiten führen, z. B. dass dasselbe Kennwort für mehrere Websites verwendet wird.

Das Surfen im Internet stellt heute ein weiteres Risiko für Unternehmen dar. Laut Sicherheitsexperten nutzen die meisten Angriffe Sicherheitslücken in Websites, Browsern und Browser-Plug-ins aus. Als Reaktion darauf verbieten einige Unternehmen das Surfen im Internet sogar vollständig, was die Produktivität erheblich beeinträchtigen kann.

Einige Web- und SaaS-Apps benötigen eine bestimmte Browserversion oder ein Plug-In, um ordnungsgemäß zu funktionieren. In der sich schnell verändernden Browserlandschaft stellt die Sicherstellung der Benutzerfreundlichkeit von Unternehmensweb- und SaaS-Apps schnell eine ressourcenintensive Supportaufgabe dar.

Viele IT-Abteilungen haben keine vollständig definierte Strategie für die Verwaltung von SaaS-Anwendungen, was zu erheblichen Sicherheits- und Compliance-Risiken führt. Andere verfolgen einen fragmentierten Ansatz, der zu mehreren Punktlösungen führen kann, wie zum Beispiel:

  • Bereitstellung einer Single Sign-On-Lösung: Diese Lösung trägt zur Rationalisierung der Benutzererfahrung bei und kann eine Multifaktor-Authentifizierung beinhalten, aber diese Lösungen verfügen in der Regel nicht über detaillierte Richtlinienkontrollen für Apps, sobald sich Benutzer anmelden.

  • Bereitstellung von Webfiltern zur Steuerung oder zum Herunterfahren des externen Surfens: Diese Lösung schützt Benutzer vor dem Besuch bösartiger Websites. Viele Funktionen fehlen jedoch nicht den Sicherheitsrichtlinien für SaaS-Apps, was viele Kunden dazu veranlasst, zusätzlich zu einem Web-Gateway mehrere Lösungen bereitzustellen.

  • Veröffentlichen von Browsern für jede SaaS-Anwendung: Das Veröffentlichen eines Webbrowsers mit Citrix Virtual Apps and Desktops ist eine bewährte Methode zur Steuerung des Zugriffs auf nicht genehmigte SaaS-Anwendungen. Es erfordert jedoch eine andere IT-Ressource für die Verwaltung und ist nicht die gleiche Benutzererfahrung wie die direkte Verbindung mit einer SaaS-App über einen Browser.

  • Übergeben Sie das Management von SaaS-Anwendungen an die Abteilungskontrolle innerhalb des Unternehmens: Dieser Ansatz öffnet Sicherheits- und Compliance-Lücken und verpasst die Möglichkeit, das Benutzerverhalten und die App-Nutzung zu verstehen, ist jedoch häufig die Standardstrategie für die IT, wenn sie mit begrenzten Ressourcen konfrontiert wird.

Citrix hat eine bessere Methode entwickelt, um den Zugriff auf genehmigte SaaS- und Webanwendungen mit einem benutzerzentrierten Ansatz zu sichern, im Gegensatz zu herkömmlichen Methoden, die die Sicherheit nicht berücksichtigen. Citrix Workspace bietet kontextbezogenen und sicheren Zugriff auf SaaS-, Web- und virtuelle Desktops und Anwendungen, reduziert die Exposition gegenüber Insider- und Outsider-Bedrohungen, sichert die Zusammenarbeit an Inhalten und bietet Analysen zum Benutzerverhalten und proaktive Sicherheitseinblicke.

AC-Image-1

Das vorherige Diagramm zeigt die traditionelle Citrix-Umgebung, in der Endpunkte über Citrix ADC eine Verbindung herstellen, um auf ihre Ressourcen zuzugreifen. Auf diese Ressourcen - einschließlich Apps, Desktops und Daten - wird on-premises zugegriffen, und auf einige der externen Ressourcen wird über das Internet zugegriffen, einschließlich SaaS-basierter Anwendungen. Benutzer greifen über Secure Gateway und Webfilterdienste sicher auf diese externen Ressourcen zu.

Die Workspace-App ist ein einziger Einstiegspunkt für den Zugriff auf Ressourcen von jedem Gerät aus. Es bietet Endbenutzern einzigartige Funktionen mit erhöhter Sicherheit durch den Einsatz einer eingebetteten Browser-Engine. Eine Netzwerk-Engine innerhalb der Workspace-App optimiert den Netzwerkverkehr und bietet zusätzlich zu den Micro-VPN-Funktionen für bestimmte Anwendungen ein SSL-VPN. Endbenutzer sind über Citrix ADC verbunden, das Identitäts- und Zugriffsmanagementfunktionen bietet.

Die Sicherheitsüberwachung ermöglicht die Überwachung des Endbenutzerverhaltens und die Erkennung von Bedrohungen innerhalb des Netzwerks. Datensicherheit umfasst DLP und IRM, um die Kontrolle über Daten zu behalten, wenn Benutzer mit Dateien arbeiten oder diese gemeinsam nutzen. Citrix Cloud-Webfilterung, Citrix Analytics und Citrix Gateway Service bieten eine konsolidierte Lösung, um Endbenutzern einen sicheren digitalen Workspace zu bieten.

Citrix Secure Private Access

Citrix Secure Private Access kombiniert die Funktionen des sofortigen sicheren Zugriffs auf SaaS- und Webanwendungen über Single Sign-On (SSO) zusammen mit browser- und cloudbasierten App-Steuerelementen, Webfilterungsrichtlinien und integrierten Benutzerverhaltensanalysen. Citrix Secure Private Access geht über herkömmliche SSO-Funktionen hinaus und führt Cloud-App-Steuerung ein — eine Reihe erweiterter Sicherheitskontrollen für SaaS- und Unternehmens-Webanwendungen, die bedingten Zugriff auf Cloud-Apps bieten und Benutzeraktionen auf der Grundlage von vom Administrator gesteuerten Zugriffsrichtlinien schützen. Diese Lösung verbessert die allgemeine Sicherheits- und Compliance-Haltung des Unternehmens. Die Benutzererfahrung bleibt nahtlos und integriert, da auf die SaaS- und Web-Apps zusammen mit ihren mobilen Apps, virtuellen Apps und Desktops als integrierter Bestandteil von Citrix Workspace zugegriffen werden kann.

Citrix Secure Private Access kombiniert Elemente verschiedener Citrix Cloud-Dienste, um Endbenutzern und Administratoren ein integriertes Erlebnis zu bieten.

Funktionalität Service/Komponente, die die Funktionalität bereitstellt
Konsistente Benutzeroberfläche zum Zugriff auf Apps Arbeitserlebnis/WS App
SSO zu SaaS und Web-Apps Citrix Gateway Servicestandard
Webfilterung und Kategorisierung Webfilter-Dienst
Verbesserte Sicherheitsrichtlinien für SaaS Cloud-App-Steuerung
Sicheres Surfen Secure Browser Service
Sichtbarkeit des Website-Zugriffs und riskantes Verhalten Citrix Analytics

Warum Citrix Secure Private Access?

Die Datensicherheit wird durch die Notwendigkeit gekennzeichnet, die Datenintegrität und Vertraulichkeit zu gewährleisten und das geistige Eigentum des Unternehmens zu schützen. Unternehmen stehen heute vor verschiedenen Herausforderungen wie:

  • Mehrere Point-Produkte, die schwer zu verwalten sind und über unterschiedliche Policy-Infrastrukturen verfügen
  • Bereitstellung eines sicheren Remote-Zugriffs für Endbenutzer für den Zugriff auf Unternehmensinformationen
  • Schutz des in Cloud- und SaaS-Apps gespeicherten geistigen Eigentums bei gleichzeitiger Einhaltung gesetzlicher Vorschriften
  • Einblick in Cloud- und SaaS-Apps nach SSO gewinnen und Risikobewertungen abrufen

Citrix Secure Private Access unterstützt IT- und Sicherheitsadministratoren dabei, den autorisierten Endbenutzerzugriff auf genehmigte SaaS- und von Unternehmen gehostete Web-Apps zu steuern. Benutzeridentitäten und -attribute werden verwendet, um Zugriffsrechte zu bestimmen, und Secure Private Access-Richtlinien legen fest, welche Berechtigungen für die Ausführung von Vorgängen erforderlich sind

AC-Image-2

Die Integration von Citrix Secure Private Access bietet mehrere Vorteile:

  • Nahtlose Benutzererfahrung mit Single-Sign-On für SaaS und gehostete Anwendungen: Diese Funktion wird durch eine Kombination aus Workspace-App und Gateway-Service bereitgestellt

  • Größere Kontrolle für die IT mit organisierter Bereitstellung und Zugriff für SaaS-Anwendungen: Bietet der IT eine Möglichkeit, SaaS-Anwendungen den Mitarbeitern ihrer Belegschaft einfach zuzuweisen

  • Verbesserte Sicherheit mit Richtlinienkontrollen für die SaaS-Nutzung: Cloud-App-Steuerung genannt, eine neue Funktion, die der IT die Möglichkeit bietet, Sicherheitsrichtlinien für die SaaS-Anwendungen durchzusetzen, die sie den Mitarbeitern bereitstellen

  • Flexibilität, um kontrollierten Zugriff auf öffentliche Internetinhalte oder unbekannte SaaS-Apps zu ermöglichen, ohne die Sicherheit zu beeinträchtigen: Diese Funktion wird durch eine Kombination aus Secure Browser Service und Webfilterfunktion bereitgestellt, sodass Websites auf die Positiv-/Sperrliste gesetzt oder in einem isolierten Browser gerendert werden können

  • Einblick in die SaaS-Nutzung und Benutzer-Webaktivität: Diese Funktion bietet eine Teilmenge von Citrix Analytics für SaaS- und Webaktivitäten, um mehr Transparenz für Sicherheit und Compliance zu bieten

Citrix Secure Private Access und Citrix Cloud

Citrix Secure Private Access ist einer der Dienste, die von Citrix Cloud angeboten werden. Um auf diese Dienste zugreifen zu können, muss ein Administrator über ein Citrix-Konto (auch bekannt als Citrix.com- oder My Citrix-Konto) verfügen, um Lizenzen zu verwalten und auf die Umgebung zuzugreifen.

Ein Citrix-Konto verwendet eine Organisations-ID (OrgID) als eindeutige Kennung. Der Administrator kann auf sein Citrix-Konto zugreifen, indem er sich mit dem mit dem Konto verknüpften Benutzernamen oder der E-Mail-Adresse bei citrix.com anmeldet. Zunächst leitet Citrix Cloud zu https://citrix.cloud.com um, um ein Konto zu erstellen, oder melden Sie sich mit einem vorhandenen Citrix-Konto an, um eine Testversion für Cloud-Dienste zu aktivieren.

Ein Citrix Cloud-Konto ermöglicht Administratoren einen breiten administrativen Zugriff auf die Dienste. Daher verlangt Citrix, dass der erste Administrator, der das Citrix Cloud-Konto erstellt, anderen Administratoren bei Bedarf explizit Zugriff gewährt, auch wenn der andere Administrator bereits Mitglied des vorhandenen MyCitrix-Kontos ist.

Citrix Secure Private Access ist eine Lösung, die als Kachel in der Citrix Cloud-Konsole angezeigt wird und die Integration über den Citrix Gateway Service, den Webfilterdienst, den Secure Browser Service und den Citrix Analytics Service hinweg umfasst

AC-Image-3

Sicherer privater Zugriff: Der Citrix Secure Private Access Service bietet ein einheitliches Erlebnis bei der Integration von Single Sign-On, Remote-Zugriff und Inhaltsüberprüfung in einer einzigen Lösung für End-to-End Secure Private Access.

Citrix Secure Private Access bietet Administratoren die folgenden Funktionen:

  • Konfigurieren der Multifaktor-Authentifizierung für Endbenutzer
  • Konfigurieren Sie einen Workspace, um von jedem Gerät aus sicher Zugriff auf Apps zu ermöglichen, zu verwalten und SaaS-Anwendungen aus der Bibliothek hinzuzufügen
  • Konfigurieren Sie die Webfilterung, um Websites für Endbenutzer zuzulassen oder zu blockieren, und leiten Sie sie an den Citrix Secure Browser Service

Analytics: Citrix Analytics sammelt Daten im gesamten Citrix Portfolio an Produkten und generiert umsetzbare Erkenntnisse. Administratoren können Sicherheitsbedrohungen von Benutzern und Anwendungen proaktiv umgehen, die App-Performance verbessern und kontinuierlichen Betrieb unterstützen. Citrix Analytics sammelt Daten und bietet die folgenden Erkenntnisse:

  • Sicherheitsanalysen
  • Leistungsanalyse
  • Operations Analytics

Gateway: Der Citrix Gateway Service bietet eine sichere RAS-Lösung, eine einheitliche Benutzererfahrung für konfigurierte SaaS-Apps, heterogene virtuelle Apps und Desktops. Die Bereitstellung von SaaS-Apps mithilfe des Citrix Gateway Services bietet eine einfache, sichere, robuste und skalierbare Lösung zur Verwaltung der Apps. SaaS-Apps, die in der Cloud bereitgestellt werden, bieten folgende Vorteile:

  • Einfache Konfiguration: Einfach zu bedienen, zu aktualisieren und zu verwenden
  • Single Sign-On: Problemlose Anmeldung mit SSO
  • Standardvorlage für verschiedene Apps: Vorlagenbasierte Konfiguration beliebter Apps

Sicherer Browser: Der Dienst Citrix Secure Browser isoliert das Surfen im Internet, um das Unternehmensnetzwerk vor browserbasierten Angriffen zu schützen. Es bietet konsistenten, sicheren Remote-Zugriff auf eine im Internet gehostete Webanwendung, ohne dass eine Konfiguration des Benutzergeräts erforderlich ist.

Mit dem Secure Browser Service können Administratoren sichere Browser schnell bereitstellen und so eine sofortige Amortisation erzielen. Durch die Isolierung des Surfens im Internet können IT-Administratoren Endbenutzern sicheren Internetzugang bieten, ohne die Unternehmenssicherheit zu gefährden.

Identitäts- und Zugriffsmanagement

Die Identitäts- und Zugriffsverwaltung definiert die Identitätsanbieter und Konten, die für Administratoren, Abonnenten und Angebote von Citrix Cloud verwendet werden. Citrix Cloud verwendet den Citrix Identitätsanbieter, um die Identitätsinformationen für Benutzer im Citrix Cloud-Konto zu verwalten. Der Administrator hat die Möglichkeit, Azure Active Directory oder einen on-premises Active Directory-Dienst zu integrieren.

Um Verwaltungsaktivitäten durchzuführen und den Citrix Cloud Connector in der Citrix Cloud zu installieren, verwenden Citrix Administratoren ihre Identität, um auf die Citrix Cloud zuzugreifen. Dieser Identitätsmechanismus ermöglicht die Authentifizierung für Administratoren, die eine E-Mail-Adresse und ein Kennwort verwenden. Administratoren können sich auch mit My Citrix-Anmeldeinformationen bei Citrix Cloud anmelden.

AC-Image-4

Die Identität eines Abonnenten definiert die Dienste, auf die dieser Abonnent in der Citrix Cloud Zugriff hat. Identität stammt von den Active Directory-Domänenkonten, die von den Domänen innerhalb des Ressourcenstandorts bereitgestellt Abonnenten können den Zugriff auf das Angebot von Citrix Cloud aus autorisieren, indem sie einem Bibliotheksangebot einen Abonnenten zuweisen.

Die lokale Active Directory-Kommunikation mit Citrix Cloud erfolgt über hochverfügbare Citrix Cloud Connectors. Unternehmen, die sich für den Azure Active Directory-Dienst entscheiden, haben mehr Flexibilität bei der Verwaltung der Benutzerkonten, der Auditkontrolle und der Kennwortrichtlinien. Außerdem kann der Administrator die Multifaktor-Authentifizierung für ein höheres Sicherheitsniveau konfigurieren.

Citrix Secure Private Access mit verbesserter Sicherheit für SaaS-Apps

Citrix Cloud bietet die Single Sign-On (SSO) -Funktion für SaaS-Anwendungen über den Citrix Gateway Service. SSO bietet eine einheitliche Benutzererfahrung für webbasierte SaaS-Anwendungs-SSO und die Veröffentlichung auf der Benutzeroberfläche von Citrix Workspace Experience. Um eine Single Sign-On Benutzererfahrung zu ermöglichen, vertraut eine SaaS-App der SAML-Assertion, die vom Citrix Gateway Service bereitgestellt wird.

Das Aktivieren von Single Sign-On für SaaS-Anwendungen ist jetzt auf nur wenige Webformulare und das Klicken auf die Konfigurationsseite vereinfacht. Citrix Gateway Connector bietet einen Proxy für den internen webbasierten SaaS-Anwendungszugriff für den Workspace-App-Benutzer.

Referenz: Citrix Gateway Connector

Kontrolle über den Inhalt

Der Schutz von Benutzerdaten (SaaS-App-Benutzer) ist für die meisten Unternehmen eine herausfordernde Aufgabe. Durch die Verwendung von Citrix Secure Private Access können Unternehmen erweiterte Sicherheitsrichtlinien in SaaS-Anwendungen integrieren. Jede Richtlinie erzwingt eine Einschränkung für den eingebetteten Browser bei Verwendung der Workspace-App für Desktop oder für Secure Browser, wenn die Workspace-App für Web oder Mobilgeräte verwendet wird.

  • Bevorzugter Browser: Deaktiviert die Verwendung des lokalen Browsers und stützt sich auf die eingebettete Browser-Engine (Workspace-App - Desktop) oder den Secure Browser-Dienst (Workspace-App — mobil und Web)
  • Zugriff auf Zwischenablage einschränken: Deaktiviert Ausschneiden/Kopieren/Einfügen zwischen der App und der Zwischenablage des Endpunkts
  • Drucken einschränken: Deaktiviert die Möglichkeit, aus dem App-Browser zu drucken
  • Navigation einschränken: Deaktiviert die Browser-Schaltflächen “Weiter/Zurück”
  • Downloads einschränken: Deaktiviert die Fähigkeit des Benutzers, aus der SaaS-App herunterzuladen
  • Wasserzeichen anzeigen: Überlagert ein bildschirmbasiertes Wasserzeichen, das den Benutzernamen und die IP-Adresse des Endpunkts anzeigt. Wenn ein Benutzer versucht zu drucken oder einen Screenshot aufzunehmen, wird das Wasserzeichen wie auf dem Bildschirm angezeigt

Single Sign-On mit Citrix Secure Private Access ohne erweiterte Sicherheit

AC-Image-5

SL NO Workspace-App mit sanktionierter SaaS-App Lokaler Browser mit sanktionierter SaaS-App
1 Der Benutzer startet die Workspace-App auf dem Endpunkt. Der Benutzer startet einen Webbrowser auf dem Endpoint, stellt eine Verbindung mit Workspace her und authentifiziert sich mit lokaler Active Directory oder Azure Active Directory.
2 Die Workspace-App stellt eine Verbindung zum Workspace her und authentifiziert sich über das on-premises Active Directory/Azure Active Directory. Der lokale Browser wird mit genehmigten Ressourcen gefüllt.
3 Workspace-App wird mit genehmigten Ressourcen gefüllt. Wenn der Benutzer eine SaaS-App auswählt, sendet der lokale Browser die Anfrage an Workspace, der eine URL zur einmaligen Verwendung anfordert und den Browser an den Gateway-Dienst weiterleitet.
4 Die Workspace-App sendet die Anfrage an Workspace, der eine einmalige URL vom Gateway-Dienst und einem bevorzugten Browser anfordert. Der lokale Browser initiiert eine Verbindung zum Gateway-Dienst.
5 Der lokale Browser initiiert eine Verbindung zum Gateway-Dienst. Der Gateway-Dienst fordert eine Assertion vom Single Sign-On-Microservice an.
6 Der Gateway-Dienst fordert eine Assertion vom Single Sign-On-Microservice an. Der lokale Browser wird die Anmeldeseite der SaaS-App umgeleitet, auf der die Behauptung angezeigt wird.
7 Der lokale Browser wird auf die Anmeldeseite der SaaS-App umgeleitet, auf der die Behauptung angezeigt wird. Die SaaS-App kontaktiert den Gateway-Dienst, um die Assertion zu überprüfen, und authentifiziert den Benutzer.
8 Die SaaS-App kontaktiert den Gateway-Dienst, um die Assertion zu überprüfen, und authentifiziert den Benutzer. Nach der Authentifizierung erfolgt die Kommunikation direkt zwischen dem Browser und der SaaS-Anwendung.
9 Nach der Authentifizierung erfolgt die Kommunikation direkt zwischen dem Browser und der SaaS-Anwendung.  

Secure Private Access-Single Sign-On mit verbesserter Sicherheit

AC-Image-6

SL NO Workspace-App mit sanktionierter SaaS-App Lokaler Browser mit sanktionierter SaaS-App
1 Der Benutzer startet die Workspace-App auf dem Endpunkt. Der Benutzer startet einen Webbrowser auf dem Endpunkt, stellt eine Verbindung zu Workspace her und authentifiziert sich mithilfe des on-premises Active Directory oder Azure Active Directory.
2 Die Workspace-App stellt eine Verbindung zum Workspace her und authentifiziert sich über das on-premises Active Directory/Azure Active Directory. Lokaler Browser wird mit genehmigten Ressourcen gefüllt.
3 Workspace-App wird mit genehmigten Ressourcen gefüllt. Wenn der Benutzer eine SaaS-App auswählt, sendet der lokale Browser die Anfrage an Workspace, der eine URL zur einmaligen Verwendung anfordert und den Browser an den Secure Browser Service umleitet.
4 Die Workspace-App sendet die Anfrage an Workspace, der eine Einmal-URL vom Gateway-Dienst anfordert. Der lokale Browser initiiert eine sichere Browser-Verbindung.
5 Der eingebettete Browser initiiert eine Verbindung zum Gateway-Dienst. Der Secure Browser initiiert eine Verbindung zum Gateway-Dienst.
6 Der Gateway-Dienst fordert Assertion vom Single Sign-On-Microservice und erweiterte Sicherheitsrichtlinien vom Secure Private Access-Dienst an. Der Gateway-Dienst fordert eine Bestätigung des SSO-Mikrodienstes und erweiterte Sicherheitsrichtlinien vom Secure Private Access-Dienst an.
7 Der eingebettete Browser wird zur Anmeldeseite der SaaS-App umgeleitet, auf der die Assertion angezeigt wird. Secure Browser wird zur Anmeldeseite der SaaS-App umgeleitet, auf der die Assertion angezeigt wird.
8 Die SaaS-App kontaktiert den Gateway-Dienst, um die Assertion zu überprüfen, und authentifiziert den Benutzer. Die SaaS-App kontaktiert den Gateway-Dienst, um die Assertion zu überprüfen, und authentifiziert den Benutzer.
9 Nach der Authentifizierung erfolgt die Kommunikation direkt zwischen dem Browser und der SaaS-Anwendung. Nach der Authentifizierung erfolgt die Kommunikation direkt zwischen dem Browser und der SaaS-Anwendung.

Referenz: Technischer Überblick über Citrix Secure Private Access

Kontextueller Zugriff

Die meisten SaaS-Apps sind sicher zu verwenden, obwohl ein Benutzer manchmal, wenn er auf einen Hyperlink in einer SaaS-App klickt, ein Sicherheitsrisiko für ein Unternehmen darstellen kann. Der Webfilter-Microservice ermöglicht, verweigert oder leitet die Hyperlink-Anfrage des Benutzers um.

AC-Image-7

SL NO Workspace-App mit verbesserter Sicherheit Lokaler Browser mit verbesserter Sicherheit
1 Der Benutzer wählt in der SaaS-App einen Hyperlink aus. Der Benutzer wählt in der SaaS-App einen Hyperlink aus.
2 Der in die Workspace-App eingebettete Browser sendet die URL an den Secure Private Access-Dienst. Secure Browser sendet die URL an den Secure Private Access-Dienst.
3 Der Secure Private Access-Dienst fordert eine Analyse der URL durch den Web Filtering-Mikroservice an. Der Secure Private Access-Dienst fordert eine Analyse der URL durch den Web Filtering-Mikroservice an.
4 Bei blockierten Links verweigert der Webfilter-Microservice den Zugriff auf den Hyperlink. Bei blockierten Links verweigert der Webfilter-Microservice den Zugriff auf den Hyperlink.
5 Bei genehmigten Links ermöglicht der Web Filtering-Microservice dem Benutzer den Zugriff auf den Link mit dem eingebetteten Browser. Bei genehmigten Links ermöglicht der Webfilter-Mikroservice dem Benutzer den Zugriff auf den Link als neue Registerkarte innerhalb seiner aktuellen Secure Browser Service Browser-Dienstsitzung.
6 Für umgeleitete Links verfügt der Webfilter-Mikroservice über eine Workspace-App, die den Link an den Secure Browser Service sendet, der eine neue, virtuelle Browsersitzung für den Endbenutzer startet. Bei umgeleiteten Links ermöglicht der Webfilter-Mikroservice dem Benutzer den Zugriff auf den Link als neue Registerkarte innerhalb seiner aktuellen Secure Browser Service Browser-Dienstsitzung.

Übersicht über Webfilterung

Die Webfilterung ermöglicht die richtlinienbasierte Steuerung von Websites mithilfe der in URLs enthaltenen Informationen. Mit dieser Funktion können Netzwerkadministratoren den Benutzerzugriff auf bösartige Websites im Netzwerk überwachen und kontrollieren.

Dieses Service Release ermöglicht die Webfilterung für die Citrix Workspace-App, die auf SaaS-Apps und das Internet zugreift, sowie für den Citrix Secure Browser, der auf SaaS-Apps und

AC-Image-8

Der Citrix Secure Private Access-Administrator kann eine Liste von URLs blockieren und zulassen. Der Webfilter-Controller verwendet eine Kategorisierungsdatenbank und eine URL-Liste. Wenn die Anforderung an den Webfiltercontroller kommt, überprüft sie zunächst die globale Zulassungsliste, die auch kritische Citrix Cloud-URLs enthält. Dann geht es um Listen und Kategorisierung und prüft auf blockierte, zulässige und Weiterleitungen zu sicheren Browser-URLs. Wenn keine der URLs übereinstimmen, wird standardmäßig auf die Standardliste zurückgesetzt.

Citrix Secure Private Access und Citrix Analytics

Der Citrix Analytics Dienst ist ein cloudbasierter Dienst, der pragmatische Einblicke ermöglicht, indem Daten über das gesamte Citrix Produktportfolio erfasst werden. Citrix Secure Private Access organisiert und produziert Informationen zu Benutzeraktivitäten wie besuchte Websites und die aufgewendete Bandbreite. Citrix Secure Private Access überwacht auch Malware- und Phishing-Sites, indem es den Bandbreitenverbrauch untersucht und Berichte dazu erstellt. Der Administrator kann Korrekturmaßnahmen ergreifen, indem er diese wichtigen Kennzahlen zur Überwachung des Netzwerks nutzt.

Citrix Analytics lässt sich problemlos in Citrix Secure Private Access, den Citrix Gateway-Service und andere Citrix-Portfolioprodukte integrieren. Citrix Analytics bietet umfassende Einblicke in das Benutzerverhalten. Es verwendet Algorithmen für maschinelles Lernen, um ungewöhnliches Benutzerverhalten zu erkennen, Benutzersitzungen zu beheben und Betriebsmetriken für Benutzer in einer Organisation anzuzeigen, die Citrix-Produkte verwendet.

Die Dienste und Produkte von Citrix senden Daten an Citrix Analytics, die als Datenquellen bezeichnet werden. Die mit dem Citrix Cloud-Konto verknüpften Datenquellen werden vom Citrix Analytics Service erkannt. Citrix Cloud-Protokolle werden sicher an Citrix Analytics übertragen. Die Protokolle werden von Citrix Secure Private Access gesammelt und getrennt von den Datenquellen verwaltet.

AC-Image-9

Der Dienst Citrix Secure Private Access bietet Sicherheits- und Betriebs-Dashboards. Das Sicherheits-Dashboard bietet Benutzerrisikoprofile und eine Zusammenfassung der Zugriffsaktivitäten der Benutzer, wie z. B. die besuchte URL oder Domäne und die verwendete Bandbreite. Der App-Zugriff fasst die Details der Domains, URLs und Apps zusammen, auf die die Benutzer zugreifen.

Referenz: Citrix Secure Private Access und Analytics

AC-Image-10

Citrix Administratoren können Regeln in Citrix Analytics erstellen, um Aktionen für Benutzerkonten auszuführen, wenn ungewöhnliche oder verdächtige Aktivitäten auftreten. Eine Regel besteht aus einer Reihe von Bedingungen, die erfüllt sein müssen, damit eine Aktion ausgeführt werden kann. Eine Regel kann eine einzelne Bedingung und eine oder mehrere Aktionen enthalten. Bedingungen wie “Risikobewertung” und “Änderung der Risikobewertung” sind globale Bedingungen. Globale Bedingungen können auf einen bestimmten Benutzer für eine bestimmte Datenquelle angewendet werden.

Der Administrator erstellt eine Regel basierend auf der Aktivität des Benutzers, indem er Bedingungen anwendet, die wie folgt aufgeführt sind:

  • Versuch, auf eine URL auf der Sperrliste zuzugreifen Zeigt den Versuch an, auf eine URL auf der Sperrliste zuzugreifen.
  • Riskanter Website-Zugriff Zeigt an, dass der Benutzer versucht hat, auf eine bösartige, verdächtige oder riskante Website zuzugreifen.
  • Ungewöhnliches Download-Volumen Zeigt an, dass das vom Benutzer von Anwendungen oder Websites heruntergeladene Datenvolumen den implizit von Citrix Analytics definierten Schwellenwert überschritten hat.
  • Ungewöhnliches Upload-Volumen Zeigt an, dass das vom Benutzer von Anwendungen oder Websites hochgeladene Datenvolumen den implizit von Citrix Analytics definierten Schwellenwert überschritten hat.

Referenz: Secure Private Access und Analytics

Endbenutzererfahrung mit Citrix Secure Private Access

Der Citrix Administrator kann mit Citrix Secure Private Access die Steuerung der Sicherheit erweitern. Die Citrix Workspace-App ist ein Einstiegspunkt für den sicheren Zugriff auf alle Ressourcen. Endbenutzer können über die Citrix Workspace-App auf virtuelle Apps, Desktops, SaaS-Apps und Dateien zugreifen. Mit Citrix Secure Private Access können Administratoren steuern, wie der Endbenutzer über die Citrix Workspace Experience-Webbenutzeroberfläche oder den nativen Citrix Workspace-App-Client auf eine SaaS-Anwendung zugreifen kann.

Weitere Informationen finden Sie in der Referenzarchitektur der Citrix Workspace-App.

Endbenutzererfahrung mit Workspace App und Webportal

AC-Image-11

AC-Image-12

Wenn der Benutzer die Workspace-App auf dem Endpunkt startet, sieht er seine Anwendungen, Desktops, Dateien und SaaS-Apps. Wenn ein Benutzer auf die SaaS-Anwendung klickt, wenn die erweiterte Sicherheit deaktiviert ist, wird die Anwendung in einem Standardbrowser geöffnet, der lokal installiert ist. Wenn der Administrator die erweiterte Sicherheit aktiviert hat, werden SaaS-Apps im eingebetteten Browser in der Workspace-App geöffnet. Der Zugriff auf Hyperlinks in SaaS-Apps und Web-Apps wird auf der Grundlage von Webfilterungsrichtlinien gesteuert.

In ähnlicher Weise werden beim Workspace-Webportal SaaS-Anwendungen bei ausgeschalteter Sicherheit über einen Standardbrowser geöffnet, der nativ installiert ist. Wenn die erweiterte Sicherheit aktiviert ist, werden SaaS-Apps über den sicheren Browser geöffnet. Benutzer können basierend auf Webfilterrichtlinien auf die Websites in SaaS-Apps zugreifen.

Implementieren von Citrix Secure Private Access

Der Dienst Citrix Secure Private Access ist ein Cloud-basierter Dienst. Um Unternehmen nutzerzentrierte Lösungen bereitzustellen und Richtlinien einzuhalten, spielt Citrix Secure Private Access eine wichtige Rolle. Zusammen mit Citrix Secure Private Access gibt es weitere Dienste, die konsolidierte Lösungen für Endbenutzer bereitstellen können. Um mit dem Onboarding und der Einrichtung des Citrix Secure Private Access Services zu beginnen, muss der Administrator die Authentifizierung einrichten, den Zugriff auf SaaS-Apps konfigurieren und die Inhaltszugriffseinstellungen im Citrix Secure Private Access Service angeben. Die Endbenutzer können über die Citrix Workspace-App oder die Workspace-URL auf den Dienst zugreifen.

AC-Image-13

Der Citrix Administrator meldet sich mit seinen Anmeldeinformationen bei Citrix Cloud an und fordert den Dienst Citrix Secure Private Access an. Citrix Secure Private Access ist in andere Citrix-Portfolioprodukte wie Citrix Gateway, Secure Browser und Citrix Analytics integriert. Diese Lösung bietet Sicherheit für SaaS-Apps.

AC-Image-14

Schritt 1: Der Citrix Administrator konfiguriert Identitäts- und Zugriffsmanagement in der Citrix Cloud. Standardmäßig verwendet Citrix Cloud den Citrix Identity Provider, um Identitätsinformationen für alle Benutzer im Citrix Cloud-Konto zu verwalten. Der Administrator hat die Flexibilität, Azure Active Directory oder einen on-premises Active Directory-Dienst zu ändern und zu verwenden.

Schritt 2: Der Citrix Administrator meldet sich beim Citrix Gateway Service an, um Single Sign-On für SaaS- und Webanwendungen zu konfigurieren. Der Citrix Gateway Service bietet eine sichere Anmeldung in der Unternehmensumgebung, in der sich Endbenutzer mit SAML Single Sign-On bei Anwendungen anmelden.

Fügen Sie der Bibliothek eine Web- oder SaaS-App aus der Vorlage hinzu. Weitere Informationen über eine Liste der SaaS-Anwendungen, die von Citrix Secure Private Access unterstützt werden, finden Sie unter SaaS-Anwendungen, die vom Citrix Secure Private Access Service unterstützt werden.

Schritt 3: Der Administrator gibt die App-Details wie den Namen der Anwendung, die URL und die Domaindetails ein. Verbesserte Sicherheitsrichtlinien können aktiviert werden, um Datenlecks zu verhindern. Diese Richtlinien innerhalb der SaaS-Anwendungen erzwingen Einschränkungen für den eingebetteten Browser, wenn Sie eine Workspace-App für den Desktop verwenden, oder in Secure Browser, wenn Sie die Workspace-App Web oder Mobile verwenden.

AC-Image-15

Schritt 4: Single Sign-On für Web-/SaaS-Apps aktivieren: Der Citrix Gateway Service (nur Cloud-Dienste) bietet Single Sign-On für SaaS-Anwendungen. Die Aktivierung von Single Sign-On für SaaS-Anwendungen ist jetzt auf nur wenige Webformulare und das Klicken auf die Konfigurationsseite vereinfacht, was den Bereitstellungsprozess erheblich vereinfacht. Administratoren können den Gateway Connector anwenden, um den internen webbasierten SaaS-Anwendungszugriff auf den externen Workspace-App-Benutzer zu übertragen.

Im Bereich Library von Citrix Cloud werden SaaS und Web-Apps veröffentlicht. Der Administrator muss Benutzer hinzufügen, nachdem er die Domain ausgewählt hat, und nur abonnierte Benutzer können über die Workspace-App oder Workspace Web auf die Anwendung zugreifen.

Schritt 5: Filtern von Website-Listen: Um das Unternehmensnetzwerk vor browserbasierten Angriffen zu schützen, enthält Citrix Secure Private Access einen Webfilterdienst. Basierend auf den Richtlinien erlaubt, verweigert oder leitet der Webfilterdienst die Hyperlinkanforderung des Benutzers wie definiert um:

Zugelassen: Der Anforderungslink wird als sicher angesehen und der Zugriff ist innerhalb des eingebetteten Browsers der Workspace-App zulässig.

Blockiert: Der Hyperlink gilt als gefährlich und der Zugriff wird verweigert.

Umgeleitet: Der Administrator trifft Vorsichtsmaßnahmen auf Websites, die Sicherheitsbedrohungen enthalten, indem er sie über den Secure Browser Service umleitet.

Schritt 6: Filtern Sie die Kategorien der Website. Die Kategorisierungsdatenbank hilft dabei, den Web-Traffic zu filtern, der den Zugriff der Endbenutzer auf bestimmte Websites wie soziale Netzwerke, Glücksspiele, Inhalte für Erwachsene, neue Medien und Einkäufe steuert. Kategorien schränken den Benutzerzugriff auf bestimmte Websites und Websitekategorien ein.

Voreinstellungen für die Kategorisierung ermöglichen praktische, sofort einsatzbereite Vorlagen  
Strikte Minimiert das Risiko des Zugriffs auf ungesicherte oder bösartige Websites. Endbenutzer können weiterhin auf Websites mit geringem Risiko zugreifen. Umfasst die meisten Websites für Geschäftsreisen und soziale Medien. (133/192 Kategorien)
Moderat Minimiert das Risiko und ermöglicht gleichzeitig andere Kategorien mit einer geringen Wahrscheinlichkeit, dass sie von ungesicherten oder bösartigen Websites ausgesetzt werden. Umfasst die meisten Websites für Geschäftsreisen, Freizeit und soziale Medien. (65/192 Kategorien)
Nachsichtig Maximiert den Zugriff bei gleichzeitiger Kontrolle des Risikos durch illegale und böswillige Websites. (36/192 Kategorien)
Ohne Erlaubt alle Kategorien.
Brauch Konfigurieren Sie die benutzerdefinierte Filterung von Kategorien.

Referenz: Kategorienliste für Citrix Secure Private Access

Die Citrix Workspace App bietet Benutzern eine großartige Erfahrung (sicherer, kontextbezogener, einheitlicher Workspace) auf jedem Gerät. Benutzer erhalten durch Single Sign-On einen nahtlosen und sicheren Zugriff auf alle Apps, die sie für ihre Produktivität benötigen.

Um die Konfiguration zu überprüfen, können Endbenutzer die SaaS-App über die Citrix Workspace App (oder Citrix Workspace Web) starten. Außerdem können Benutzer erlaubte/blockierte Websites, die in den Website-Filterlisten hinzugefügt wurden, überprüfen, indem sie die URLs besuchen. Der eingebettete Browser der Citrix Workspace-App ermöglicht Administratoren den nativen Zugriff auf SaaS-Anwendungen mit erweiterten Sicherheitskontrollen.

Weitere Informationen zur Citrix Workspace-App finden Sie in der Referenzarchitektur der Citrix Workspace-App.

Schritt 7: Der Citrix Secure Private Access Service wird in Citrix Analytics integriert, um Informationen über die Aktivitäten der Benutzer abzurufen, z. B. besuchte Websites und genutzte Bandbreite. Citrix Analytics meldet erkannte Bedrohungen wie Malware und Phishing-Sites.

Der Administrator kann sich beim Citrix Analytics-Clouddienst anmelden und Regeln für Citrix Secure Private Access erstellen und dann den Aktionsplan anwenden, wenn die Bedingungen erfüllt sind. Um Benutzerverhaltensaktivitäten zu überwachen und zu analysieren, aktivieren Sie “Datenverarbeitung einschalten” für Citrix Secure Private Access für Analysen in der Citrix Cloud (Datenquellen sind Citrix Dienste und Produkte, die Daten an Citrix Analytics senden).

AC-Image-16

Der Citrix Analytics Service überwacht Benutzeraktivitäten und -verhalten mithilfe von maschinellem Lernen und künstlicher Intelligenz. Datenquellen für Citrix Analytics werden aus der Workspace-App, Citrix Gateway, Citrix Secure Private Access und Secure Browser Service gesammelt.

Anwendungsfälle für Citrix Secure Private Access

Heute wenden sich Unternehmen Software as a Service (SaaS) -Lösungen zu, um geschäftliche Anforderungen zu erfüllen, jedoch häufig ohne die erforderlichen Sicherheitsmaßnahmen zu ergreifen oder die Anwendungen ordnungsgemäß zu warten. Die meisten SaaS-Anwendungssicherheitsfehler werden von Benutzern verursacht, nicht von Cloudanbietern. Die Organisation muss ihre Strategien regeln, um diese Mängel zu beheben.

Citrix Secure Private Access setzt erweiterte Sicherheitsrichtlinien für SaaS-Apps durch (Wasserzeichen, Copy-Paste-Einschränkung, Verhinderung des Herunterladens/Hochladens sensibler Daten usw.). Es definiert auch Zugriffsrichtlinien für Webseitenkategorien und Websites, die in Form von Webfilterung blockiert/zugelassen werden sollen.

Bestehende Brownfield-Bereitstellungen So passt Citrix Secure Private Access
Unternehmen, die Citrix Clouddienste einsetzen möchten. 1) Citrix Secure Private Access passt in ihre Umgebung und bietet Endbenutzern Sicherheit für SaaS-, SSO- und Webfilterfunktionen. 2) Für Unternehmen, die ein lokales Modell wünschen, hilft Citrix Gateway bei der Bereitstellung von SSO und verbesserter Sicherheit für Endbenutzer.
Organisationen, die den Citrix Gateway Dienst bereits übernommen haben. 1) Citrix Cloud bietet mehrere Cloud-basierte Dienste, darunter Citrix Secure Private Access, Analytics und Secure Browser Service, die Sicherheitskontrolle für SaaS- und internetbasierte Apps bieten.
Organisationen, die bereits SSO von Drittanbietern übernommen haben 1) Citrix Secure Private Access bietet granulare Sicherheitskontrollen für SaaS-Apps, minimiert webbasierte Bedrohungen und automatische Durchsetzung von Richtlinien durch Analysen basierend auf dem Benutzerverhalten. 2) Der ICA-Proxy wird sowohl für on-premises als auch für den Citrix Virtual Apps and Desktops Service unterstützt.

Citrix Secure Private Access-Lösung für Unternehmens-Web-Apps

Die meisten on-premises Kunden verwenden immer noch Web-Apps, einschließlich SharePoint, Confluence, Microsoft Office, Helpdesk-Anwendungen usw. Unternehmensanwendungen werden remote über den Citrix Gateway Service bereitgestellt und die erforderliche Sicherheit wird mit Citrix Secure Private Access hinzugefügt.

Endbenutzer greifen über Citrix Workspace, der den Citrix Gateway Service nutzt, auf Web-Apps zu. Der Citrix Gateway Service, sicher mit Citrix Workspace gekoppelt, bietet eine einheitliche Benutzererfahrung für konfigurierte Web-Apps. Single Sign-On und Remote-Zugriff auf interne Web-Apps sind über verschiedene Servicepakete verfügbar.

AC-Image-20

Das vorherige Diagramm zeigt die Citrix Secure Private Access-Lösung, die auf on-premises Kunden angewendet wurde, die den Citrix Gateway Connector verwenden. Der Citrix Gateway-Connector fungiert als Brücke zwischen Unternehmens-Web-Apps und dem Citrix Workspace Service.

Single Sign-On der Web-App mit verbesserter Sicherheit

Der Benutzer startet die Citrix Workspace-App und stellt mithilfe eines on-premises Active Directory-Dienstes eine Verbindung mit Citrix Workspace her. Die Citrix Workspace-App wird zum Starten einer Web-App verwendet. Der Citrix Gateway Service stellt den empfohlenen Browser und den Link bereit. Der eingebettete Browser aus der Citrix Workspace-App stellt eine Anwendungsverbindung mit dem Citrix Gateway Service her. Außerdem werden erweiterte Sicherheitsrichtlinien über den Citrix Secure Private Access Service aktiviert. Darüber hinaus stellt der Citrix Gateway Service vom Ressourcenstandort eine ausgehende Verbindung mit Gateway Connector her. Es überprüft die Anmeldeinformationen und die Citrix Workspace-App sichert eine End-to-End-Verbindung mit der internen Web-App.

Wenn der Benutzer einen lokalen Browser verwendet, erfolgt die Authentifizierung über den Active Directory-Dienst, und der lokale Browser stellt eine sichere Verbindung mit dem Secure Browser Service her. Verbesserte Sicherheitsrichtlinien werden durch den Secure Private Access-Dienst aktiviert. Anschließend wird ein sicherer ausgehender Kanal zwischen Gateway Connector und dem Citrix Gateway Service eingerichtet. Als Nächstes werden Benutzeranmeldeinformationen ausgehandelt und Single Sign-On im Namen des Benutzers eingerichtet. Schließlich wird über den sicheren Browser eine Ende-zu-Ende-Verbindung für den Benutzer gefunden.

Referenz: Unterstützung für Unternehmens-Web-Apps

Citrix Secure Private Access Single Sign-On für Web-Apps

Citrix Gateway Connector und der Citrix Gateway Service in der Cloud sichern die Kommunikation mit on-premises Anwendungen. Auf Webanwendungen wird über Workspace über eine VPN-Verbindung zugegriffen und bereitgestellt. Der Administrator muss bei der Konfiguration der Web-App die Methode für einmaliges Anmelden auswählen.

Diese vier Arten von SSO können über den Citrix Gateway Service konfiguriert werden:

  • Formularbasiert
  • Grundlegende SSO
  • Kerberos
  • SAML (TP)

AC-Image-21

Formularbasierte Authentifizierung

1) Der Citrix Gateway-Dienst stellt einen sicheren Kanal zwischen Citrix Gateway Connector her und sendet die Web-App-Anforderung mit Anmeldeinformationen

2) Citrix Gateway Connector übermittelt Anmeldeinformationen an die jeweilige Webanwendung

3) Über den Citrix Gateway-Dienst wird eine sichere End-to-End-Verbindung zwischen der Web-App und der Citrix Workspace-App mithilfe von Single Sign-On an der Web-App hergestellt

Grundlegende SSO-Authentifizierung

1) Der Citrix Gateway-Dienst erstellt einen sicheren Kanal zwischen Citrix Gateway Connector und sendet die Web-App-Anforderung mit Benutzername und Kennwort.

2) Citrix Gateway Connector übermittelt Anmeldeinformationen an die Anmeldeseite der Webanwendung

3) Die Web-App fordert eine Authentifizierung mithilfe des NTLM-Protokolls an

4) Citrix Gateway Connector reagiert auf die NTLM-Anfrage mit Benutzername und Kennwort

5) Über den Citrix Gateway-Dienst wird eine sichere End-to-End-Verbindung zwischen der Web-App und der Citrix Workspace-App mithilfe von Single Sign-On an der Web-App hergestellt

Kerberos-Authentifizierung

1) Der Citrix Gateway-Dienst erstellt einen sicheren Kanal zwischen Citrix Gateway Connector und sendet eine Web-App-Anforderung mit Benutzername und Kennwort

2) Citrix Gateway Connector übermittelt Anmeldeinformationen an die Anmeldeseite der Webanwendung

3) Die Web-App fordert eine Authentifizierung mit dem Kerberos-Protokoll an

4) Citrix Gateway Connector kontaktiert den Domänencontroller, um die Anmeldeinformationen zu überprüfen

5) der Domänencontroller validiert die Benutzeranmeldeinformationen und bestätigt

6) Citrix Gateway Connector leitet die Anwendung zurück an die Web-App

7) Über den Citrix Gateway-Dienst wird eine sichere End-to-End-Verbindung zwischen der Citrix Web-App und der Citrix Workspace-App mithilfe von Single Sign-On an der Web-App hergestellt

Um die Kerberos Single Sign-On-Funktionalität zu aktivieren, konfigurieren Administratoren Gateway Connector mit Anmeldeinformationen für ein Dienstkonto, dem man vertraut, dass es Kerberos Constrained Delegation durchführt.

Benutzer versuchen möglicherweise, auf schädliche Websites zuzugreifen, die dem Unternehmen schweren Schaden zufügen. Sie können auch gegen Unternehmensvorschriften und -richtlinien verstoßen. Um diese Probleme zu lösen, können Administratoren Citrix Secure Private Access einsetzen, um riskante Websites zu filtern, die ein Risiko für ihr Unternehmen darstellen. Während der Sitzung kann auch ein Wasserzeichen hinzugefügt werden, das den Namen und die IP-Adresse des Benutzers enthält.

Referenz: Unterstützung für Unternehmens-Web-Apps

Richtlinien zum Schutz der Citrix Secure Private Access-App

Es ist üblich, dass die Anmeldeinformationen eines Benutzers gestohlen werden, und dennoch ist sich der Benutzer dessen möglicherweise nicht bewusst. Cyberkriminelle verwenden verschiedene Techniken, um Endbenutzerdaten zu erfassen, und eine gängige Technik ist die Verwendung von Keylogger-Malware zur Erfassung von Benutzerdaten. Diese Malware-Produkte können einfach auf einem Benutzercomputer installiert werden und versuchen sofort, Benutzerinformationen abzurufen. Das Auslaufen von Benutzerinformationen kann zu erheblichen Schäden für das Unternehmen und den Benutzer führen. Um dieses Problem zu lösen, muss das Unternehmen stark in den Schutz von Benutzerdaten investieren und einen Schutzschild gegen Keylogger schaffen.

Ähnlich wie bei Keyloggern sind Anwendungen, die Screenshots aufnehmen. Diese Schadprogramme erstellen Screenshots des Desktops des Benutzers, um die auf dem Bildschirm angezeigten Informationen zu erfassen.

Verschiedene Arten von Software können auf dem Benutzerendpunkt installiert werden, um das Imagegrabbing des Benutzerdesktops zu vermeiden. Dies kann jedoch zu einer langsameren Leistung des Desktops und der Umgebung des Benutzers führen.

Citrix Secure Private Access verfügt über erweiterte Richtlinien zum Schutz von Unternehmensdaten. Die Endpunktsicherheit ist ein wichtiger Sicherheitsaspekt für jedes Unternehmen, da die meisten Verstöße am Benutzerendpunkt auftreten. App-Schutzrichtlinien sind Regeln, die angewendet werden, wenn die erweiterte Sicherheit für eine SaaS-App aktiviert wird. Kunden können zwei erweiterte Sicherheitsrichtlinien verwenden:

  • Anti-Keylogging

  • Anti-Screenshotfunktion

AC-Image-22

Die Richtlinien für den Schutz der Citrix App werden über die Citrix Secure Private Access-Lösung aktiviert. Die Vorteile sind wie folgt:

  • Schutz vor Keylogging und Bildschirmaufnahme
  • Zentralisierte Verwaltung für Citrix Administratoren
  • Agnostisch gegenüber der Sicherheitslage des Geräts

Richtlinien für den App-Schutz sind in der Citrix Workspace-App ab Version 1912 für Windows integriert, der Administrator muss diese Funktion jedoch aktivieren.

Referenz: Richtlinien für den App-Schutz

Schützen Sie Benutzer mit Citrix Secure Browser vor riskantem Surfen im Internet

Webbrowser sind integraler Bestandteil einer aktiven Produktionsumgebung. Sie sind leistungsstarke, datenreiche Tools, die dem Internet mehr ausgesetzt sind als jede andere Anwendung in der Arbeitsumgebung. In den letzten Jahren haben Cyberkriminelle Webbrowser genutzt, um riesige Mengen an Benutzerinformationen abzurufen, darunter Kreditkartendaten, E-Mail-IDs und gespeicherte Passwörter.

Browserbasierte Angriffe sind weit verbreitet, nicht weil sie strategisch wünschenswerte Hacking-Ziele sind, sondern weil browserbasierte Angriffe schwer zu erkennen sind. Herkömmliche Sicherheitskontrollen können solche Angriffe nicht erkennen, da diese Anwendungen nur heruntergeladene Dateien und Anlagen überprüfen. Daher bleiben browserbasierte Angriffe in der Regel unbemerkt.

Der Dienst Citrix Secure Browser isoliert das Surfen im Internet, um die Produktionsumgebung des Kunden vor browserbasierten Angriffen zu schützen. Die Citrix Workspace-App oder lokale Browser sind ein Einstiegspunkt in die Citrix-Produktionsumgebung. Der Citrix Secure Browser isoliert das Surfen im Internet, sodass die Website keine Browserdaten direkt zum oder vom Benutzergerät überträgt. Auf diese Weise können Sicherheitsadministratoren einen sicheren Internetzugang anbieten, ohne die Unternehmenssicherheit zu beeinträchtigen.

Der Citrix Secure Browser Service ist ein SaaS-Produkt, das von Citrix verwaltet und betrieben wird. Er ermöglicht den Zugriff auf Webanwendungen über einen zwischengeschalteten Webbrowser in der Cloud. Bei Verwendung des Citrix Secure-Dienstes verfolgen gehostete Webbrowser den Browserverlauf eines Benutzers und führen das Zwischenspeichern von HTTP/HTTPS-Anforderungen durch. Citrix verwendet verbindliche Profile und stellt sicher, dass nach dem Ende der Browsersitzung die Daten dieser Sitzung gelöscht werden.

Auf den Secure Browser Service kann mit einem HTML5-kompatiblen Webbrowser zugegriffen werden. Es gibt keinen Client, den Benutzer herunterladen müssen. Der gesamte Datenverkehr zwischen dem Endbenutzerbrowser und dem Citrix Cloud-Dienst wird mit der branchenüblichen TLS-Verschlüsselung verschlüsselt und nur TLS 1.2 wird unterstützt.

AC-Image-23

Das obige Diagramm zeigt die Integration der Citrix Secure Private Access-Lösung, einschließlich des Citrix Secure Browser-Dienstes für Cloud- und on-premises Citrix-Umgebungen. Kunden von Citrix Virtual Apps and Desktops mit einem on-premises StoreFront können problemlos in den Secure Browser Service integriert werden.

Um mehr über die Konfiguration von Citrix StoreFront mit dem Secure Browser Service zu erfahren, folgen Sie diesem Link.

Citrix Secure Private Access und Zusammenarbeit von Inhalten

Die meisten Unternehmen haben Ransomware- oder Phishing-Versuche erlebt, die ihr Netzwerk gefährdet haben. Die Hauptursache für solche Bedrohungen ist häufig ein unzureichender Schutz vor webbasierten Bedrohungen. Es mangelt an Transparenz darüber, auf welche Websites Benutzer täglich zugreifen.

Mit dem Citrix Secure Private Access Service kann ein Unternehmen seine Umgebung vor browserbasierten Angriffen und Datenlecks schützen. Wenn Mitarbeiter von einem beliebigen Gerät aus auf ihre Apps zugreifen, sei es im Büro, zu Hause oder auf Reisen, bietet der Citrix Secure Private Access Service ein einheitliches Erlebnis, bei dem SSO, Zwei-Faktor-Authentifizierung, Remote-Zugriff und Webfilterung in einer einzigen Lösung für End-to-End Secure Private Access integriert werden.

AC-Image-17

Citrix Content Collaboration ermöglicht Benutzern den einfachen und sicheren Austausch von Dokumenten. Es gibt viele Möglichkeiten, mit Citrix Content Collaboration zu arbeiten, darunter eine webbasierte Oberfläche, mobile Clients, Desktop-Apps und die Integration mit Microsoft Outlook und Gmail.

Citrix Files ist ein Dateimanager, der Datenfreigabe und -speicherung, anpassbare Nutzung und Einstellungen sowie Tools bietet, mit denen Benutzer einfacher zusammenarbeiten und die Arbeit von jedem Gerät aus erledigen können, jederzeit und überall.

Das obige Diagramm zeigt die Bereitstellung der Citrix Files SaaS-App für einen Endbenutzer in einem Hybrid-Cloud-Modellszenario. Der Citrix Cloud Connector stellt einen Link zum Citrix Cloud-Konto und zum Ressourcenstandort bereit. Der Ressourcenstandort enthält das Active Directory für Endbenutzer, sodass sie sich nahtlos bei ihrer Webanwendung anmelden können.

Der Citrix Gateway Service bietet Authentifizierung, Single Sign-On und ermöglicht die schnelle und sichere Bereitstellung von Citrix Virtual-Anwendungen und SaaS-Anwendungen. Endbenutzer melden sich mit ihren Anmeldeinformationen bei der Unternehmensumgebung an und können sich mit SAML Single Sign-On bei Webanwendungen anmelden. Im Citrix Gateway Service können Administratoren die Vorlage der Web/SaaS-App auswählen oder ihre eigenen Anwendungsparameter definieren. Beispiel:

Nennen Sie die Anwendung: “Citrix Files”

Enter the URL: https://xxxxx.sharefile.com/

Ebenso können Administratoren auf der SSO-Seite sicherstellen, dass SAML ausgewählt ist, vorausgesetzt, die SAML- oder SSO-Einstellung für Citrix Files wurde bereits für das Backend abgeschlossen.

Die Assertion-URL lautet:https://xxxxx.sharefile.com/saml/xxxx``

Publikum: https://xxxxx.sharefile.com

Namens-ID-Format: E-Mail-Adresse

Namens-ID: E-Mail

Sobald die SaaS-App zur Citrix Cloud-Bibliothek hinzugefügt wurde, muss der Administrator Abonnenten verwalten und den Benutzern die Workspace-URL für den Zugriff bereitstellen. Mit Active Directory kann es als Identitätsanbieter dienen, um SAML Single Sign-On für verschiedene Web- und SaaS-Anwendungen zu ermöglichen.

Inhaltssteuerung und kontextbezogener Zugriff

Auf der Seite Enhanced Security kann der Administrator Richtlinien festlegen, um das Unternehmen vor vertraulichen Datenlecks zu schützen. Es bietet die folgenden Optionen:

  • Eingeschränkter Zugriff auf die Zwischenablage
  • eingeschränktes Drucken
  • eingeschränkte Navigation
  • eingeschränkte Downloads
  • Anzeige von Wasserzeichen

Um unerwünschte Websites zu blockieren, die Sicherheitsrisiken für Unternehmen bergen, muss der Citrix Administrator URLs blockieren und zulassen, indem er URL-Listen hinzufügt oder Kategorielisten auswählt. Der Administrator kann auch vorsichtig vorgehen, indem er URLs über einen sicheren Browser umleitet.

Benutzerverhalten und Aktivitäten

Um das Benutzerverhalten und die Aktivitäten eines Administrators zu überwachen, lässt sich der Citrix Secure Private Access Service einfach in den Citrix Analytics Service integrieren. Der Administrator legt vordefinierte Bedingungen und einen Aktionsplan fest, um die Risiken zu mindern.

Citrix Secure Private Access und G Suite

G Suite (auch bekannt als Google Workspace) ist eine Reihe von SaaS-Anwendungen, auf die remote über das Internet zugegriffen werden kann. G Suite war früher als Google Apps bekannt, die von Google entwickelt wurden. G Suite besteht aus Gmail, Hangouts und Calendar für die Kommunikation, Google Drive für die Speicherung, Google Docs, Sheets, Slides, Forms und Sites für die Zusammenarbeit. Die G Suite bietet enorme Produktivitätsvorteile, aber die meisten Netzwerke sind nicht richtig darauf ausgelegt, die Leistung und Sicherheit zu bieten, die für Mobilitäts- und Cloud-Anwendungsfälle erforderlich sind.

Google Cloud und Citrix ermöglichen es Endnutzern, wegweisende Lösungen zu beschleunigen, die erweiterte Sicherheit mit hervorragender Benutzererfahrung und gewünschter Flexibilität in einer app-zentrierten, Mobile-First- und Hybrid-Cloud-Welt bieten.

G Suite, eine Reihe marktführender Produktivitäts-SaaS-Anwendungen, kann in Citrix Secure Private Access integriert werden, um dem Unternehmen eine bessere Sichtbarkeit und Kontrolle über SaaS-Anwendungen zu ermöglichen, was wiederum Datenlecks und die unbefugte Offenlegung sensibler Informationen verhindert.

Endbenutzer können auf G Suite-Anwendungen zugreifen, indem sie einfach die URL und die Anmeldeinformationen über die Citrix Workspace-App eingeben. Benutzer haben einen ganzen Workspace mit Apps, Desktops und Dateien, wobei zu beachten ist, dass Benutzer niemals einen anderen Benutzernamen und ein anderes Kennwort eingeben müssen. Der gesamte Workspace wird über einen einzigen Access Point bereitgestellt, der die Produktivität verbessert und gängige Arbeitsabläufe für den Endbenutzer optimiert.

AC-Image-18

Citrix Secure Private Access bietet nicht nur eine Single-Sign-On-Funktion, sondern auch eine Layer von Sicherheitskontrollen, die in anderen Lösungen nicht verfügbar sind.

Bereitstellung

Citrix Cloud Connectors werden für die gesamte Kommunikation zwischen Ressourcenstandorten und Citrix Cloud verwendet. Für hohe Verfügbarkeit werden an jedem Ressourcenstandort mindestens zwei Connectors bereitgestellt. Die Ressourcenstandorte lassen sich in Active Directory integrieren, sodass sich Endbenutzer nahtlos bei ihren G Suite-Anwendungen anmelden können.

Der Citrix Gateway Service mit Active Directory kann als Identitätsanbieter dienen, um SAML Single Sign-On für G Suite-SaaS-Anwendungen zu ermöglichen. Citrix Secure Private Access ermöglicht Endbenutzern das Starten von G Suite-SaaS-Anwendungen in Secure Browser-Sitzungen und ermöglicht es dem Administrator, fünf verschiedene Kontrollrichtlinien anzuwenden.

Szenario 1: Erweiterte Sicherheit ist deaktiviert. Wenn ein Benutzer Gmail in G Suite startet, wird es in einem Standardbrowser geöffnet. Ebenso verwenden URLs, die in ihrem Gmail-Konto geöffnet wurden, einen Standardbrowser ohne zusätzliche Sicherheitsrichtlinien oder -kontrollen. Ein Benutzer hat die Freiheit, von der Seite aus zu navigieren, die Seite auszuschneiden, zu kopieren und zu drucken.

Szenario 2: Die erweiterte Sicherheit ist aktiviert. Wenn ein Benutzer Gmail in der G Suite startet, wird er in einem sicheren Browser geöffnet. Jetzt wird eine Kontrollschicht über Citrix Secure Private Access angewendet, und der Endbenutzer erhält keine Navigationsleiste, um von der Site weg zu navigieren. Darüber hinaus gelten Einschränkungen beim Ausschneiden, Kopieren und Einfügen. Darüber hinaus bietet Citrix Secure Private Access URL-Filterfunktionen, die verhindern, dass Benutzer schädliche Websites besuchen. Alternativ können Benutzer basierend auf den Richtlinien zu einem sicheren Browser umgeleitet werden.

Vorteile der Verwendung von Citrix Secure Private Access mit G Suite SaaS-Apps:

  • Single Sign-On
  • Multifaktor-Authentifizierung
  • Verbesserte Sicherheitsrichtlinien für G Suite
  • Richtlinien zur Webfilterung für G Suite
  • End-to-End-Transparenz und Analysen

Erweiterte Konzepte

Citrix Gateway SaaS und O365 Cloud - Validiertes Referenzdesign

Citrix Gateway Service SSO mit validiertem Secure Private Access Referenzdesign

Zusammenfassung

Citrix Secure Private Access ist eine konsolidierte Lösung für einen sicheren digitalen Workspace. Die meisten Unternehmen verwenden SaaS und Web-Apps, da sich der digitale Workspace verändert. Die Implementierung einer kollaborativen Lösung würde die Sicherheit erheblich verbessern und Unternehmen, kleinen Unternehmen und SaaS-Anbietern Vorteile bieten und die Sicherheit bieten, dass ihre Daten geschützt sind.

Die Idee, nur ein Netzwerk zu schützen, reicht nicht mehr aus. Die Organisation muss Benutzer und Apps schützen. Aus diesem Grund bietet Citrix Secure Private Access:

  • Konsolidierter Zugriff auf SaaS, Web und virtuelle Apps
  • Konsistente Endbenutzererfahrung und Flexibilität bei der Verwendung jedes Endgeräts
  • Transparenz des Anwendungsdatenverkehrs und Erkennung von Bedrohungen mithilfe von Analysediensten, die die In-App-Steuerung für SaaS-Anwendungen über Single Sign-On hinaus unterstützen

Quellen

Ziel dieser Referenzarchitektur ist es, Sie bei der Planung Ihrer eigenen Implementierung zu unterstützen. Um Ihnen die Arbeit zu erleichtern, möchten wir Ihnen Quelldiagramme zur Verfügung stellen, die Sie in Ihren eigenen detaillierten Designs und Implementierungsleitfäden anwenden können: Quelldiagramme.

Referenzen

Sicherer privater Zugang

Technischer Brief

Technische Insights

Stellen Sie sicheren, kontextbezogenen Benutzerzugriff auf jedem Gerät und überall bereit, ohne die IT-Steuerung zu beeinträchtigen

Referenzarchitektur: Sicherer privater Zugriff