Flexible Arbeit

Übersicht

Seit Jahren unterstützte CompanyA Remote-Arbeit für einen kleinen Prozentsatz der gesamten Nutzerpopulation. Um die besten Mitarbeiter aus jeder Region einzustellen, untersucht CompanyA die Ausweitung der Remote-Arbeit zu einer unternehmensweiten Richtlinie. Diese Richtlinie öffnet nicht nur den Pool potenzieller Mitarbeiterkandidaten, sondern bietet aktuellen Mitarbeitern auch eine bessere Flexibilität in Arbeit und Privatleben.

Die globale Pandemie von 2020-2021 brachte diese Initiative jedoch in den Vordergrund. Obwohl CompanyA in der Lage war, die Schwere der Pandemie zu überstehen, gibt es ein gesteigertes Bewusstsein, rechtzeitig eine Lösung zu entwickeln und umzusetzen.

Diese Referenzarchitektur erklärt, wie CompanyA seine Citrix Workspace-Lösung plant, um einen flexiblen Arbeitsstil zu unterstützen, ohne die IT-Sicherheit zu beeinträchtigen.

Erfolgskriterien

Obwohl viele Benutzer über eine primäre Arbeitsumgebung verfügen, muss die Lösung einen flexiblen Arbeitsstil unterstützen, der es Benutzern ermöglicht, bei Bedarf von überall aus zu arbeiten. Um erfolgreich zu sein, hat CompanyA eine Liste von Erfolgskriterien definiert, die die Grundlage für das übergeordnete Design bilden.

Benutzererfahrung

Der wichtigste Aspekt einer flexiblen Arbeitslösung ist es, die Bedürfnisse des Benutzers zu erfüllen. CompanyA identifizierte die folgenden benutzerbezogenen Kriterien für ein erfolgreiches Design.

Erfolgskriterien Beschreibung Lösung
Einheitliche Erfahrung Benutzer können mit zahlreichen Geräten, einschließlich PCs, Tablets und Smartphones, auf die Ressourcen zugreifen. Eine einheitliche Erfahrung auf allen Plattformen hilft, Verwirrung durch Endbenutzer zu vermeiden. Citrix Workspace
Persönliche Mobilgeräte Benutzer können aus einer Liste der von Unternehmen verwalteten Mobilgeräte auswählen. Bei Mobilgeräten ermöglicht CompanyA dem Benutzer, das Gerät für den persönlichen Gebrauch zu modifizieren und gleichzeitig die Sicherheitsrichtlinien des Unternehmens einzuhalten. Citrix Endpoint Management — Unternehmensbesessen, persönlich aktiviert (COPE)
Persönliche PC-Geräte Benutzer können aus einer Liste von geschäftlich verwalteten Endpunktgeräten auswählen, die ihren Nutzungsanforderungen entsprechen. Diese Geräte werden vollständig von CompanyA verwaltet und gesichert. Citrix Endpoint Management — Wählen Sie Ihr eigenes Gerät (CYOD)
Redundantes Heimnetzwerk Benutzer, die in einem geschäftskritischen Szenario von zu Hause aus arbeiten, müssen über redundante, hochverfügbare Netzwerkverbindungen verfügen. Citrix SD-WAN 110 Hausgerät
Persönlicher Datenschutz Bei der Nutzung nicht sanktionierter Websites muss die Privatsphäre des Benutzers gewährleistet sein und gleichzeitig den Benutzer und den Endpunkt vor potenziellen Bedrohungen schützen. Citrix Secure Internet Access mit nicht entschlüsseln Richtlinien für Websites mit persönlichen Informationen
SaaS App-Zugriff Benutzer müssen in der Lage sein, auf sanktionierte SaaS-Anwendungen zuzugreifen, mit einer starken Authentifizierung, die sich nicht auf das Erlebnis auswirkt. Citrix Secure Workspace Access
Zugriff auf Web-Apps Benutzer müssen auf jedem genehmigten Gerät auf sanktionierte, interne Webanwendungen zugreifen können. Citrix Secure Workspace Access — Zero Trust Netzwerkzugriff
Zugriff auf virtuelle Apps und Desktops Benutzer müssen auf jedem genehmigten Gerät auf autorisierte Windows-Apps und Desktops zugreifen können. Citrix Virtual Apps and Desktops Service
Direktes virtuelles App- und Desktop-Routing Benutzer, die von der lokalen Office-Umgebung aus arbeiten, können einen direkten Weg zur Ressource nutzen, ohne die Sicherheitsrichtlinien zu beeinträchtigen. Citrix Virtual Apps and Desktops Service mit direkte Workloadverbindung
Unterstützung virtueller Meetings Da Benutzer nicht mehr daran gezwungen sind, am selben Ort zu arbeiten, ist die Verwendung von virtuellen Meetinglösungen wie Microsoft Teams eine Notwendigkeit. Jeder Benutzer kann auf die Anwendung zugreifen und lokale Webcams/Mikrofone verwenden. Citrix Virtual Apps and Desktops Service mit Richtlinien für Multimediakonferenzen

Sicherheit

Um erfolgreich zu sein, muss CompanyA in der Lage sein, seine Ressourcen zu schützen und zu sichern und gleichzeitig eine flexible Arbeitsumgebung bereitzustellen, die den Anforderungen der Benutzer entspricht. CompanyA identifizierte die folgenden sicherheitsrelevanten Kriterien für ein erfolgreiches Design.

Erfolgskriterien Beschreibung Lösung
Ungesicherte persönliche Geräte Benutzer, die versuchen, mit einem ungesicherten Gerät auf Workspace zuzugreifen, müssen keinen Zugriff auf sanktionierte Ressourcen erhalten. Citrix Application Delivery Controller (ADC) - nFactor-Richtlinien und Endpunktanalyse
Sicheres Heimnetzwerk Benutzer, die von zu Hause aus mit sensiblen finanziellen und persönlichen Daten arbeiten, müssen dies von einem separaten, gesicherten Netzwerk aus tun. Citrix SD-WAN 110 Hausgerät
Internet-Sicherheit Unabhängig vom Standort müssen Benutzer vor potenziellen Internetbedrohungen geschützt werden, die in E-Mails, Anwendungen und Websites verborgen sind. Der Internetschutz muss sich auf alle Bereitstellungsmodelle erstrecken, einschließlich virtueller Apps/Desktops, lokale Apps, mobile Apps, Web-Apps und SaaS-Apps. Citrix Secure Internet Access
SaaS und Web App-Sicherheit Die Fähigkeit des Benutzers, Daten aus SaaS-Apps mit finanziellen, persönlichen oder anderen sensiblen Informationen herunterzuladen, auszudrucken oder zu kopieren, muss eingeschränkt sein. Citrix Secure Workspace Access — Sicherheitsrichtlinien mit App-Schutz
Sicherheit für virtuelle Apps und Desktops Benutzer, die auf virtuelle Apps und Desktops zugreifen, dürfen keine finanziellen, persönlichen oder anderen sensiblen Informationen kopieren, herunterladen oder ausdrucken können. Citrix Virtual Apps and Desktops — Sicherheitsrichtlinien mit App-Schutz
Sicherer Zugang Interne Unternehmensressourcen müssen vor nicht vertrauenswürdigen und ungesicherten Standorten geschützt werden. Um das Eindringen von Malware zu verhindern, wird Geräten kein direkter Zugriff auf das interne Netzwerk gewährt. VPN-loser Zugang
Multifaktor-Authentifizierung Da die Sicherheit im Vordergrund steht, ist MFA verpflichtet, eine weitere Layer des Authentifizierungsschutzes von Unternehmensressourcen zu gewährleisten. Citrix ADC - Zeitbasiertes Einmalkennwort mit Push
SaaS-Berechtigungsschutz Die Anmeldeinformationen des Benutzers für SaaS-Anwendungen müssen eine starke Multifaktor-Authentifizierung enthalten. Citrix Secure Workspace Access — Single Sign-On mit nur SAML-Authentifizierung
Kompromittierter Benutzerschutz Die IT muss in der Lage sein, Bedrohungen, die von einem kompromittierten Benutzerkonto ausgehen, schnell zu erkennen und zu mindern. Citrix Sicherheitsanalytik

Konzeptarchitektur

Basierend auf den vorangegangenen Anforderungen schuf CompanyA die folgende hochrangige, konzeptionelle Architektur. Diese Architektur erfüllt alle vorhergehenden Anforderungen und gibt CompanyA die Grundlage , um in Zukunft auf zusätzliche Anwendungsfälle zu erweitern.

Konzeptuelle Architektur

Das Architektur-Framework ist in mehrere Layer unterteilt. Das Framework bietet eine Grundlage für das Verständnis der technischen Architektur der flexiblen Arbeitseinsatzszenarien. Alle Ebenen fließen zusammen, um eine vollständige End-to-End-Lösung zu schaffen.

Im Überblick:

Benutzerebene: Die Benutzerebene beschreibt die Endbenutzerumgebung und Endgeräte, die zur Verbindung mit Ressourcen verwendet werden.

  • Unabhängig vom Gerät greifen Benutzer auf Ressourcen von der Workspace-App zu, was zu einer Erfahrung führt, die für jeden Formfaktor und jede Geräteplattform identisch ist.
  • Jedes Endpunktgerät muss gesichert sein. Benutzer, die es vorziehen, ein persönliches Mobilgerät zu verwenden, müssen das Gerät weiterhin bei der Organisation registrieren.
  • Je nach Rolle benötigen bestimmte Benutzer möglicherweise ein separates, sicheres Heimnetzwerk oder fehlertolerante Netzwerkverbindungen.
  • In einer flexiblen Arbeitsumgebung bietet CompanyA jedem Zugriff auf ein virtualisiertes Microsoft Teams, das integrierte Optimierungen der Workspace App enthält.

Zugriffsebene: Die Zugriffsebene beschreibt Details darüber, wie sich Benutzer bei ihrem Workspace und ihren sekundären Ressourcen authentifizieren.

  • Bevor ein Benutzer auf die Anmeldeseite für Citrix Workspace zugreifen kann, hat der Endpoint Management-Dienst den Endpoint überprüft, um zu überprüfen, ob es sich um ein vom Unternehmen verwaltetes Gerät handelt. Um Ressourcen besser schützen zu können, benötigt CompanyA ein gewisses Maß an Management für alle Endpunktgeräte (Geräteebenenmanagement oder Windows- und Verwaltung auf Anwendungsebene für Mobilgeräte).
  • Citrix Workspace bietet den primären Authentifizierungsbroker für alle nachfolgenden Ressourcen. CompanyA benötigt eine mehrstufige Authentifizierung, um die Authentifizierungssicherheit zu verbessern
  • Viele der autorisierten Ressourcen in der Umgebung verwenden einen anderen Satz von Anmeldeinformationen als die, die für die primäre Workspace-Identität verwendet werden. CompanyA wird die Single Sign-On-Funktionen jedes Dienstes nutzen, um diese sekundären Identitäten besser zu schützen. Für SaaS-Apps erlauben die Anwendungen nur SAML-basierte Authentifizierung, die Benutzer daran hindert, direkt auf die SaaS-Apps zuzugreifen und die Sicherheitsrichtlinien zu umgehen.

Ressourcenebene: Die Ressourcenebene autorisiert bestimmte SaaS, Web- und virtuelle Ressourcen für definierte Benutzer und Gruppen und definiert gleichzeitig die mit der Ressource verbundenen Sicherheitsrichtlinien.

  • Um Daten besser schützen zu können, benötigt CompanyA Richtlinien, die das Drucken, Herunterladen und Kopieren/Einfügen von Inhalten von der verwalteten Ressource zum und vom Endpunkt deaktivieren.

Steuerungsebene: Die Steuerungsebene definiert, wie sich die zugrunde liegende Lösung basierend auf den zugrunde liegenden Aktivitäten des Benutzers anpasst.

  • Selbst innerhalb einer geschützten Workspace-Ressource können Benutzer mit nicht vertrauenswürdigen Internetressourcen interagieren. CompanyA nutzt Secure Internet Access, um den Benutzer vor externen Bedrohungen durch SaaS-Apps, Web-Apps, virtuelle Apps, mobile Apps und Apps auf Endpunktgeräten zu schützen.
  • Benutzer müssen möglicherweise auf persönliche Elemente auf den verwalteten Endpunktgeräten zugreifen. Geeignete Richtlinien werden definiert, um die Privatsphäre des Benutzers beim Zugriff auf persönliche Websites im Zusammenhang mit Gesundheit und Finanzen zu schützen.
  • Da alle Richtlinien zum Schutz der Benutzer bei der Arbeit in einer flexiblen Umgebung gelten, bestehen weiterhin Risiken. CompanyA verwendet den Security Analytics-Dienst, um gefährdete Benutzer zu identifizieren und automatisch Maßnahmen zur Aufrechterhaltung einer sicheren Umgebung zu ergreifen.

Die folgenden Abschnitte enthalten detailliertere Details zu spezifischen Designentscheidungen für die flexible Arbeitsreferenzarchitektur von CompanyA.

Benutzerebene

Konnektivität zu Hause

Für viele Benutzer ist der Zugriff auf ihren Workspace lediglich eine Frage der Verbindung zu ihrem Heimnetzwerk, das zwischen geschäftlicher und persönlicher Nutzung geteilt wird. Aufgrund bestimmter Anforderungen für Endbenutzer benötigt CompanyA jedoch entweder redundante Verbindungen oder ein gesichertes Heimnetzwerk.

Basierend auf diesen Anforderungen verwendet CompanyA eine Kombination der folgenden drei Optionen basierend auf den Benutzeranforderungen.

![(Heimnetzwerk-Konnektivität)]/en-us/tech-zone/design/media/reference-architectures_flexible-work_home-network-connectivity.png

Aus Sicht der Konnektivität hat CompanyA vier Haupttypen von Benutzern, die sich auf die definierten Optionen für die Konnektivität zu Hause beziehen:

Benutzer Anforderungen Lösung
Führungskräfte Sicheres Heimnetzwerk mit redundanten Verbindungen Option 3: Gesichertes, redundantes Netzwerk - Citrix SD-WAN 110 mit LTE
Finanzwesen Sicheres Heimnetzwerk Option 2: Gesichertes Netzwerk - Citrix SD-WAN 110
Call-Center Redundante Verbindungen Option 3: Gesichertes, redundantes Netzwerk - Citrix SD-WAN 110 mit LTE
Jeder Schriftlinie Option 1: Gemeinsames Netzwerk

Bestimmte Benutzer innerhalb der Organisation beschäftigen sich mit vertraulichen Informationen wie Finanzdaten. Um die Netzwerkkommunikation besser zu schützen, benötigen diese Benutzer ein separates, geschütztes Heimnetzwerk. Diese Benutzergruppe stellt eine SD-WAN 110 Appliance in ihrem Heimnetzwerk bereit. Obwohl sie sich immer noch die primäre ISP-Verbindung teilen, verwenden die Arbeitsgeräte das geschützte Heimnetzwerk. Das separate Netzwerk ermöglicht es CompanyA, Sicherheitsrichtlinien auf das Remote-Arbeitsnetzwerk anzuwenden, ohne den Rest des Heimnetzwerks zu beeinträchtigen.

Bestimmte Benutzergruppen benötigen fehlertolerante Verbindungen. Diese Benutzer stellen eine SD-WAN 110 Appliance mit einer Backup-LTE-Verbindung bereit. Wenn die SD-WAN 110 Appliance Zuverlässigkeitsprobleme mit dem primären ISP erkennt, schlägt SD-WAN automatisch zur LTE-Verbindung fehl.

Obwohl die SD-WAN 110 Appliances im Haus des Benutzers bereitgestellt werden, werden sie zentral verwaltet. Die zentrale Verwaltung der Geräte ermöglicht es CompanyA, einen Zero-Touch-Bereitstellungsansatz für Heimanwender zu finden, der diesen Anleitungen

Erfahren Sie mehr über SD-WAN 110 für Heimbüro-Benutzer.

Endpunkt-Sicherheit

CompanyA hat zwei verschiedene Strategien für Endpunktgeräte basierend auf dem Formfaktor.

  1. Traditionelle Geräte: Für herkömmliche Geräte wie Desktops, PCs und Laptops verwendet CompanyA Mobile Device Management (MDM) mit einer Choose Your Own Device (CYOD) -Strategie. Mit diesem Ansatz ist CompanyA für den Kauf, die Sicherung und die Wartung des Geräts verantwortlich. Um das Gesamtmanagement zu vereinfachen und gleichzeitig die Zufriedenheit der Endbenutzer zu ermöglichen, verfügt CompanyA über eine Liste zugelassener Geräte von Windows bis Mac. Benutzer können vom Gerät aus auf persönliche Ressourcen zugreifen, aber das Gerät wird von CompanyA verwaltet, gesichert, überwacht und geprüft.
  2. Mobile Geräte: Für mobile Geräte wie iPhones und Android-Telefone verwendet CompanyA Mobile App Management (MAM) mit einer persönlich aktivierten (COPE-) Strategie des Unternehmens. Genau wie die Strategie Choose Your Own Device bietet die Strategie Company Owned, Personally Enabled dem Benutzer eine Liste der genehmigten Mobilgeräte. Das Gerät wird von CompanyA gekauft und gesichert, während Benutzer weiterhin auf persönliche Apps zugreifen können, die nicht von der Organisation geschützt oder geprüft werden. Arbeitsbezogene Anwendungen werden containerisiert und tragen dazu bei, arbeitsbezogene Apps und Inhalte vor lokal installierten persönlichen Apps zu schützen.

Erfahre mehr über Eigenverantwortungsmodelle für Endpoint Management

Die Registrierung der Geräte verwendet die folgenden Registrierungsrichtlinien

Betriebssystem Richtlinie Wert
Windows Geräteverwaltung Vollständig verwaltet
  Manuelles Aufheben der MDM-Registrierung zulassen Deaktiviert
iOS Geräteverwaltung Apple-Geräteregistrierung
  Citrix MAM Aktiviert
Android Verwaltung Android Enterprise
  Gerätebesitzermodus Vollständig verwaltet mit Arbeitsprofil
  BYOD-Arbeitsprofil Deaktiviert
  Citrix MAM Aktiviert

Sicherheitsrichtlinien für Endpunkte

Um die Endpunkte zu sichern, beginnt CompanyA mit den folgenden Baseline-Geräterichtlinien:

Richtlinie Wert Endpunkte
Passcode: Mindestlänge 6 Alle Betriebssystemtypen (iOS, macOS, Android, Android Enterprise, Windows)
App-Bestand Aktiviert Alle Betriebssystemtypen (iOS, macOS, Android, Android Enterprise, Windows)
Geräteverschlüsselung Gerät muss verschlüsselt werden Windows — BitLocker
    macOS — FileVault
Secure Mail Richtlinie zur App-Bereitstellung iOS und Android
Secure Web Richtlinie zur App-Bereitstellung iOS und Android
OS-Update Automatisch installieren und benachrichtigen, um einen Neustart zu planen Windows, macOS, iOS, Android

Optimierung für Microsoft Teams

Bei einer verteilten Belegschaft verlässt sich CompanyA stärker auf virtuelle Konferenzlösungen und ist auf Microsoft Teams standardisiert. Durch die Optimierung der Art und Weise, wie Sprach- und Videokommunikationspakete von Microsoft Teams die Leitung übergehen, bieten Citrix Virtual Apps and Desktops ein virtuelles Meeting-Erlebnis, das mit dem eines herkömmlichen PCs identisch ist.

Um mehr über die Integration und Optimierung von Microsoft Teams zu erfahren, gehen Sie folgendermaßen vor:

Zugriffsebene

Authentifizierung

Aufgrund von Sicherheitsbedenken benötigt CompanyA eine starke Authentifizierungsrichtlinie. CompanyA verwendet einen zweistufig angehenden Ansatz.

Stufe 1 konzentriert sich darauf, die primäre Identität des Benutzers in Citrix Workspace mit einem kontextbezogenen Multi-Faktor-Ansatz zu sichern.

Primäre Authentifizierung

Die Authentifizierungsrichtlinie verweigert den Zugriff, wenn das Gerät keinen Endpunkt-Sicherheits-Scan besteht. Der Scan überprüft, ob das Gerät mit Unternehmenssicherheitsrichtlinien verwaltet und gesichert wird. Sobald der Scan erfolgreich ist, kann der Benutzer seine Active Directory-Anmeldeinformationen und ein TOTP-Token zur Authentifizierung verwenden. Das TOTP-Token kann entweder manuell oder automatisch mit Push-Benachrichtigungen eingegeben werden.

Das Authentifizierungsschema der Stufe 2 konzentriert sich auf die sekundären Ressourcen (SaaS-Apps, Web-Apps, virtuelle Apps und Desktops). Fast jede sekundäre Ressource erfordert eine Authentifizierung. Einige verwenden denselben Identitätsanbieter wie die primäre Identität des Benutzers, während andere einen unabhängigen Identitätsanbieter verwenden, der am häufigsten mit SaaS-Apps üblich ist.

  • SaaS Apps: Für SaaS-Anwendungen verwendet CompanyA SAML-basierte Authentifizierung mit Citrix Workspace, die als Identitätsbroker für Active Directory fungiert. Nach der Konfiguration erlauben die SaaS-Anwendungen nur SAML-basierte Authentifizierung. Jeder Versuch, sich mit einem für die SaaS-App spezifischen Benutzernamen/Kennwort anzumelden, schlägt fehl. Diese Richtlinie ermöglicht es CompanyA, die Stärke der Authentifizierung zu verbessern und gleichzeitig die Deaktivierung des Zugriffs aufgrund eines kompromittierten Benutzerkontos zu erleichtern.
  • Web-Apps: Der Bestand an Webanwendungen in CompanyA verwendet alle die Active Directory-Anmeldeinformationen des Benutzers. Für Webanwendungen verwendet CompanyA eine Kombination aus Formularen, Kerberos und SAML-basierter Authentifizierung, um Single Sign-On bereitzustellen. Die Auswahl zwischen den Optionen basiert auf den einzigartigen Aspekten jeder Webanwendung.
  • Virtual Apps/Desktops: Für die virtuellen Apps und Desktops verwendet CompanyA Passthrough-Authentifizierung von Citrix Workspace, wodurch die sekundäre Authentifizierungsherausforderung eliminiert wird.

Die Technikunterweisung für Single Sign-Ons enthält zusätzliche Informationen zu Single Sign-On für SaaS, Web, virtuelle Apps, virtuelle Desktops und IdP-Chaining-Optionen.

Zugriff auf Ressourcen

Aus Sicherheitsgründen werden alle Benutzer als extern betrachtet. CompanyA muss überlegen, wie externe Benutzer auf interne Ressourcen zugreifen können. Interne Unternehmensressourcen müssen vor nicht vertrauenswürdigen und ungesicherten Standorten geschützt werden. Um das Eindringen von Malware zu verhindern, wird Geräten kein direkter Zugriff auf das interne Netzwerk gewährt.

Um Zugriff auf interne Ressourcen wie private Web-Apps, virtuelle Apps und virtuelle Desktops zu ermöglichen, plant CompanyA, den Secure Workspace Access-Dienst und den Virtual Apps and Desktops-Dienst zu verwenden. Diese beiden Dienste verwenden eine Null-Vertrauens-Netzwerkzugriffslösung, die eine sicherere Alternative zu herkömmlichen VPNs darstellt.

Zero Trust Netzwerkzugriff

Der Secure Workspace Service und der Virtual Apps and Desktops Service verwenden die von den Cloud-Connectors bereitgestellten ausgehenden Kontrollkanalverbindungen. Diese Verbindungen ermöglichen es dem Benutzer, remote auf interne Ressourcen zuzugreifen. Diese Verbindungen sind jedoch

  • Eingeschränkt, so dass nur die definierte Ressource zugänglich ist
  • Basierend auf der primären, gesicherten Identität des Benutzers
  • Nur für bestimmte Protokolle, die Netzwerk-Traversal verbieten

Wenn Benutzer jedoch von einem lokalen Büro aus arbeiten, was als lokaler Zugriff gilt, wird das Routing für virtuelle Apps und Desktops optimiert, ohne die Sicherheitsrichtlinien zu beeinträchtigen. Zu diesem Zweck implementiert CompanyA die Fähigkeit zur direkten Workload-Verbindung innerhalb des Dienstes Citrix Virtual Apps and Desktops.

Direkte Workload-Verbindung

Wenn ein Benutzer remote ist, lässt Citrix Workspace den Gateway Service eine sichere Verbindung zwischen der virtuellen Ressource und dem Remotebenutzer herstellen. Wenn sich der Benutzer jedoch physisch im lokalen Netzwerk befindet, erhöht das Folgen desselben Flusses die Latenz der Verbindung des Benutzers. Wenn der Benutzer in der Lage ist, eine lokale Verbindung mit der virtuellen Ressource herzustellen, sinkt die Latenz und die Benutzererfahrung steigt.

Direct Workload Connection ermöglicht es Unternehmen, eine Reihe von öffentlichen IP-Adressen zu definieren, die mit den lokalen Sites verknüpft sind. Wenn die IP-Adresse des Benutzers von einer der definierten IP-Adressen stammt, stellt Workspace fest, dass der Benutzer ein lokaler Benutzer ist, und verwendet ein direktes Verbindungsverfahren.

Ressourcenebene

Richtlinien zur Ressourcensicherheit

CompanyA möchte das Risiko eines Datenverlusts durch Diebstahl eines Endpunktgeräts oder eines kompromittierten Endpunktgeräts begrenzen. Innerhalb der verschiedenen Anwendungstypen beinhaltet CompanyA zahlreiche Einschränkungen, um zu verhindern, dass Benutzer Daten kopieren, herunterladen oder drucken.

Als Basisrichtlinie definierte CompanyA Folgendes (mit der Möglichkeit, Richtlinien je nach Benutzer und Anwendung nach Bedarf zu lockern).

Kategorie SaaS Apps Webapps Virtuelle Apps/Desktops Mobile Apps
Zugriff auf die Zwischenablage Abgelehnt Abgelehnt Nur Client zu Server Nur zwischen geschützten Apps aktiviert
Drucken Abgelehnt Abgelehnt Abgelehnt Abgelehnt
Navigation Abgelehnt Abgelehnt Nicht zutreffend Nicht zutreffend
Downloads Abgelehnt Abgelehnt Abgelehnt Abgelehnt
Wasserzeichen Aktiviert Aktiviert Aktiviert Nicht zutreffend
Keylogging Prävention Aktiviert Aktiviert Aktiviert Nicht zutreffend
Screenshot-Prävention Aktiviert Aktiviert Aktiviert Nicht zutreffend

Die App-Schutz-Richtlinien Tech Brief enthält zusätzliche Informationen zu den Richtlinien zur Keylogging- und Screenshot-Prävention.

Steuerungsebene

Die Steuerungsebene definiert, wie sich die zugrunde liegende Lösung basierend auf den zugrunde liegenden Aktivitäten des Benutzers anpasst.

  • Selbst innerhalb einer geschützten Workspace-Ressource haben Benutzer die Möglichkeit, mit nicht vertrauenswürdigen Ressourcen im Internet zu interagieren.CompanyA verwendet Secure Internet Access, um den Benutzer vor externen Bedrohungen aus SaaS-Apps, Web-Apps, virtuellen Apps, mobilen Apps und Apps auf Endpunktgeräten zu schützen.
  • Benutzer müssen möglicherweise auf persönliche Elemente auf den verwalteten Endpunktgeräten zugreifen. Geeignete Richtlinien werden definiert, um die Privatsphäre des Benutzers beim Zugriff auf persönliche Websites im Zusammenhang mit Gesundheit und Finanzen zu schützen.
  • Da alle Richtlinien zum Schutz der Benutzer bei der Arbeit in einer flexiblen Umgebung gelten, bestehen weiterhin Risiken. CompanyA verwendet den Security Analytics-Dienst, um gefährdete Benutzer zu identifizieren und automatisch Maßnahmen zur Aufrechterhaltung einer sicheren Umgebung zu ergreifen.
  • CompanyA muss in der Lage sein, die Remote-SD-WAN 110-Geräte zu verwalten, die in zahlreichen Haushalten eingesetzt werden. Durch den Einsatz von SD-WAN Orchestrator kann CompanyA eine verteilte Bereitstellung zentral verwalten.

Sicherer Internetzugriff

Wenn Benutzer mit SaaS-, Web-, virtuellen, lokalen und mobilen Apps interagieren, greifen sie häufig auf öffentliche Internetseiten zu. Obwohl CompanyA über eine Internet-Sicherheits-Compliance-Klasse verfügt, die alle Benutzer jährlich abschließen müssen, hat es Angriffe nicht vollständig verhindert, die meistens durch Phishing-Betrug entstanden sind.

Um die Benutzer und die Organisation zu schützen, integriert CompanyA den Secure Internet Access Service und Security Analytics in das flexible Arbeitsdesign.

Internetsicherheit

Jeglicher Internetverkehr zur/von der Bibliothek von Apps, Desktops und Geräten innerhalb der Organisation wird über den Secure Internet Access-Dienst weitergeleitet. Innerhalb dieses Dienstes wird jede URL gescannt, um zu überprüfen, ob sie sicher ist. Funktionalitäten innerhalb bestimmter öffentlicher Websites werden verweigert oder geändert. Downloads werden automatisch gescannt und verifiziert.

Da viele Websites jetzt verschlüsselt sind, besteht ein Teil dieses Sicherheitsprozesses darin, den Datenverkehr zu entschlüsseln und zu überprüfen. CompanyA möchte Benutzern mit der Flexibilität den Zugriff auf persönliche Websites auf unternehmenseigenen Geräten ermöglichen. Um die Privatsphäre der Mitarbeiter zu gewährleisten, werden bestimmte Kategorien von Websites nicht entschlüsselt, wie z. B. finanzielle und gesundheitsbezogene Websites. Um vollständige Transparenz zu gewährleisten, plant CompanyA, den gesamten Sicherheitsrichtlinienplan intern zur Verfügung zu stellen.

Bei der Gestaltung der Internetsicherheitsrichtlinie wollte CompanyA mit einer Grundlagenrichtlinie beginnen. Da CompanyA weiterhin Risiken innerhalb der Organisation bewertet, werden sie die Richtlinien gegebenenfalls lockeren/verstärken.

Standardmäßig werden alle Kategorien entschlüsselt und erlaubt. CompanyA hat die folgenden Änderungen vorgenommen, die global angewendet werden:

|Kategorie|Änderung|Grund| —|—|—| |Finanzen und Investitionen|nicht entschlüsseln|Bedenken hinsichtlich der Privatsphäre| |Integrität|nicht entschlüsseln|Bedenken hinsichtlich der Privatsphäre| |Inhalt|Block| | | Drogen|Block| | Datei-Sharing|Block| | | Block| | Illegale Aktivität|Block| | Böswillige Quellen|Block| |Malware-Inhalt|Block| |Pornoten/Nupdatei|Block| | | Virus & Malware|Sperr| |Gewalt/ Hass|Block|

Neben globalen Sicherheitskontrollen muss CompanyA auch zusätzliche Internetkontrollen für eine Teilmenge der Umgebung implementieren.

Kategorie Gruppe Grund
YouTube — HD-Video einschränken Hosts für Virtual Apps and Desktops Das Zulassen von HD-Video auf virtuellen Desktops führt häufig zu einer erhöhten Ressourcenauslastung, die sich möglicherweise auf die Leistung und Skalierbarkeit auswirkt.

Sicherheitsanalysen

CompanyA muss Bedrohungen für die Umwelt identifizieren und stoppen, bevor die Auswirkungen zu groß sind.

Um die Umwelt zu schützen, verwendet CompanyA Citrix Security Analytics, um Insiderbedrohungen, kompromittierte Benutzer und kompromittierte Endpunkte zu identifizieren. In vielen Fällen rechtfertigt ein einzelner Fall einer Bedrohung keine drastischen Maßnahmen, aber eine Reihe von Bedrohungen kann auf eine Sicherheitsverletzung hinweisen.

CompanyA entwickelte die folgenden anfänglichen Sicherheitsrichtlinien:

Name Bedingungen Aktion Grund
Gerät mit Jailbreak Jailbroken/verwurzeltes Gerät erkannt Gerät sperren Mobile Geräte sind Eigentum von CompanyA und werden von ihr verwaltet. Geräte mit Jailbreak können Malware einführen, die Daten stehlen kann.
Nicht verwalteter Endpunkt Nicht verwaltetes Gerät erkannt Admin benachrichtigen CompanyA setzt voraus, dass jedes Gerät verwaltet wird Wenn ein nicht verwaltetes Gerät erkannt wird, besteht die Möglichkeit, dass die Umgebung verletzt wurde und das Konto des Benutzers deaktiviert werden muss.
Risiko von Endpunkten EPA-Scanfehler Zur Watchlist hinzufügen Nur verwaltete Geräte dürfen darauf zugreifen. Wenn ein Benutzer versucht, ein nicht verwaltetes Gerät zu verwenden, wird der Benutzer überwacht, um sicherzustellen, dass er keine Bedrohung darstellt. Wenn zusätzliche Risiken auftreten, sind zusätzliche Maßnahmen gerechtfertigt.
Ungewöhnlicher Zugang Melden Sie sich von verdächtiger IP an und greifen Sie von einem ungewöhnlichen Ort aus Benutzer sperren Wenn sich ein Benutzer von einem ungewöhnlichen Ort und einer verdächtigen IP aus anmeldet, gibt es einen starken Hinweis darauf, dass der Benutzer kompromittiert wurde.
Ungewöhnliches App- Ungewöhnliche Zeit der App-Nutzung und des Zugriffs von ungewöhnlichem Starten Sie die Aufzeichnung Wenn ein Benutzer zu einer seltsamen Zeit und an einem seltsamen Ort auf eine virtuelle App zugreift, besteht das Potenzial, dass der Benutzer kompromittiert wird. Sicherheitsanalysen zeichnen die Sitzung auf, damit der Administrator die Legitimität überprüft.
Potenzielle Exploits für Anmeldedaten Übermäßige Authentifizierungsfehler und Zugriff von einem ungewöhnlichen Ort Zur Watchlist hinzufügen Wenn ein Benutzer viele Authentifizierungsfehler von einem ungewöhnlichen Ort aus hat, kann dies darauf hinweisen, dass jemand versucht, in das System einzudringen. Der Angreifer hat jedoch noch keinen Erfolg. Sie müssen den Benutzer nur zur Watchlist hinzufügen.

Das Citrix Indikatoren für Benutzerrisiken Dokument enthält zusätzliche Informationen zu den verschiedenen Risikoindikatoren, die Citrix Security Analytics zur Verfügung gestellt werden.

Die Citrix Richtlinien und Aktionen Seite enthält Informationen zu den Behebungsschritten, die Citrix Security Analytics durchführen kann.

Citrix SD-WAN Orchestrator

Eine Teilmenge der Benutzerpopulation, basierend auf den Anforderungen, wird die Citrix SD-WAN 110 Appliance in ihrem Heimnetzwerk bereitstellen. Diese Appliance stellt entweder redundante Netzwerkverbindungen bereit oder erstellt ein separates, sicheres Heimnetzwerk.

Um das Management für die verteilte SD-WAN-Bereitstellung einfacher zu verwalten, wird CompanyA den Citrix SD-WAN Orchestrator verwenden.

SD-WAN Orchestrator

Mit Orchestrator nimmt der Administrator alle notwendigen Konfigurationseinstellungen innerhalb des Clouddienstes vor. Sobald sie mit dem Netzwerk verbunden sind, registriert sich die SD-WAN 110 Appliances beim Clouddienst und erhält die Konfigurationsinformationen.

Der Cloud-basierte Service erleichtert dem Administrator die Verwaltung der verteilten SD-WAN-Umgebung.

Quellen

Um Ihnen die Planung einer flexiblen Arbeitslösung zu erleichtern, möchten wir Ihnen Quelldiagramme die Möglichkeit geben, sich anzupassen.