Referenzarchitektur: Referenzarchitektur — Schutz von Apps und Daten auf eigenen Geräten

Übersicht

CompanyA bietet Remote-Zugriff auf eine kleine Teilmenge seiner gesamten Benutzerbasis. Diese Endbenutzer, die Teil einer hybriden und verteilten Belegschaft sind, verwenden Bring Your Own (BYO) -Geräte, um auf interne Ressourcen und Cloud-Ressourcen zuzugreifen. Zu den Ressourcen gehören Client-Server-Apps (virtuelle Apps und Desktops), interne Web- und SaaS-Apps, die geschützt werden müssen, wenn von nicht vertrauenswürdigen Geräten aus darauf zugegriffen wird.

Die Remote-Zugriffsrichtlinie von CompanyA hat zu einer höheren Effizienz seiner hybriden und verteilten Belegschaft geführt. Die Richtlinie hat jedoch ein komplexes Bereitstellungsmodell geschaffen und Sicherheitsbedenken eingeführt. Da die Endbenutzergeräte nicht verwaltet werden, muss CompanyA Sicherheitsbedrohungen gegen Apps und die Daten, die an die Geräte übertragen werden, auf diesen Geräten verwendet werden und auf ihnen gespeichert sind, abschwächen.

CompanyA verwendet derzeit mehrere nicht integrierte Einzelprodukte für den Fernzugriff. Das Unternehmen möchte eine unternehmensweite Zero Trust Network Access (ZTNA) -Lösung konsolidieren und erweitern und gleichzeitig seine Ressourcen schützen. Zu diesem Zweck unternimmt CompanyA eine Initiative zur Aktualisierung seiner Anwendungsbereitstellungsarchitektur. Es implementiert die integrierte Citrix-Lösung mit Citrix Secure Private Access, NetScaler Gateway, Citrix Secure Internet Access und Citrix Web App und API Protection. Zusammen bietet diese Lösung einen End-to-End-Schutz für CompanyA-Ressourcen, auf die von BYO-Geräten aus zugegriffen wird.

Overview

Diese Referenzarchitektur erklärt den Plan von CompanyA, den Benutzerzugriff zu schützen, Daten und Geräte zu schützen und Apps zu schützen.

Erfolgskriterien

CompanyA möchte allen Benutzern die Möglichkeit geben, von zu Hause aus und an Remote-Standorten zu arbeiten. Nach der Pandemie profitieren die Mitarbeiter weiterhin von einer BYOD-fähigen hybriden und verteilten Belegschaft. Obwohl einige Benutzer derzeit VPN-Zugriff auf Web- und SaaS-Apps haben, hat CompanyA mehrere Sicherheitsherausforderungen identifiziert, die eine unternehmensweite Bereitstellung verhindern. Daher implementiert CompanyA einen Ansatz ohne VPN.

Da CompanyA die Geräte von Endbenutzern nicht verwaltet, kann nicht nachvollzogen werden, ob die Geräte schädliche Inhalte an ihre Anwendungsinfrastruktur übertragen. Darüber hinaus verlangt die Sicherheitsrichtlinie von CompanyA nicht, dass BYO-Geräte Agents installiert haben, um Zugriff auf Unternehmensressourcen zu ermöglichen.

Aus diesem Grund hat CompanyA eine dreifache Initiative gestartet, um Unternehmensressourcen zu schützen, auf die BYO-Geräte zugreifen. Um erfolgreich zu sein, hat CompanyA eine Liste von Erfolgskriterien für die Initiative definiert. Diese Kriterien bilden die Grundlage für das übergreifende Design.

Schutz des Benutzerzugriffs

CompanyA muss den Zugriff von BYOD-Benutzern auf ihre Arbeitsumgebung schützen. Es muss einen sicheren Modus für den Zugriff auf alle Apps und Daten schaffen, der für Endbenutzer nahtlos ist. Der Zugriff muss sicher, einfach und flexibel sein, damit jedes Gerät verwendet werden kann und von jedem Ort aus funktioniert werden kann.

CompanyA hat beschlossen, dass seine Sicherheitsstrategie darin besteht, sich von einem traditionellen “Schloss und Wassergraben” -Ansatz in Bezug auf Zugang und Sicherheit zu entfernen. Es wird ein Zero-Trust-Ansatz verfolgt, anstatt eine herkömmliche gerätebasierte Lösung wie ein VPN zu verwenden, bei der davon ausgegangen wird, dass Benutzern vertraut wird.

Im Fokus von CompanyA auf den Schutz des Benutzerzugriffs wurden die folgenden Kriterien für ein erfolgreiches Design identifiziert:

Erfolgskriterien Beschreibung Lösung
Adaptiver Zugriff für Web- und SaaS-Apps Adaptiver Zugriff für Web- und SaaS-Apps mit Citrix Secure Private Access zur Bestimmung der richtigen Zugriffsebene Citrix Secure Private Access
Adaptiver Zugriff für (virtuelle) Client-Server-Apps Adaptiver Zugriff für Client-Server-Apps (virtuelle) mit Citrix Secure Private Access und Citrix DaaS zur Bestimmung der richtigen Zugriffsebene Citrix Secure Private Access und Citrix DaaS
Endbenutzer-Monitoring Kontinuierliche Überwachung und kontinuierliche Bewertung zum Schutz vor potenziellen Bedrohungen. Apps werden kontinuierlich auf Datenexfiltration und ungewöhnliche Zugriffszeiten und Standorte überwacht. Citrix Analytics
SaaS App-Zugriff Benutzer müssen auf genehmigte SaaS-Anwendungen mit starker Authentifizierung zugreifen, die das Erlebnis nicht beeinträchtigt Citrix Secure Private Access
Zugriff auf Web-Apps Benutzer müssen in der Lage sein, auf genehmigte interne Webanwendungen mit starker Authentifizierung zuzugreifen, die das Erlebnis nicht beeinträchtigt Citrix Secure Private Access — Zero-Trust-Netzwerkzugriff
Persönlicher Datenschutz CompanyA muss die Privatsphäre der Benutzer gewährleisten und gleichzeitig den Benutzer und den Endpunkt vor potenziellen Bedrohungen schützen, wenn nicht genehmigte Websites verwendet werden Citrix Remote Browser Isolation Service mit Citrix Secure Internet Access (Verwendung von „Nicht entschlüsseln“ -Richtlinien für Websites mit persönlichen Informationen)

Schützen von Daten

CompanyA muss seine Daten schützen, auf die BYO-Geräte zugreifen. Es verfügt über eine hochkomplexe Infrastruktur aus Layer von Anwendungen, Systemen und Netzwerken in Umgebungen, die aus on-premises Rechenzentren, öffentlichen und privaten Clouds bestehen. Diese Ausbreitung hat zu einem komplizierten Stapel verschiedener Tools und Technologien zum Schutz von Daten geführt.

CompanyA entwirft einen konsolidierten, in der Cloud bereitgestellten Sicherheitsstapel, um den Anforderungen seines modernen Arbeitsplatzes gerecht zu werden. Durch die Zentralisierung der Datensicherheitsrichtlinien in der gesamten Lösung werden redundante Aufgaben minimiert, überlappende Richtlinien werden beseitigt und der IT ermöglicht, Daten und Geräte an allen Standorten zu schützen.

Im Fokus von CompanyA auf den Schutz von Daten wurden die folgenden Kriterien für ein erfolgreiches Design identifiziert:

Erfolgskriterien Beschreibung Lösung
BYO Geräte Benutzer greifen mit einem BYO-Gerät auf Workspace zu und dürfen keinen uneingeschränkten Zugriff auf genehmigte Ressourcen erhalten. Citrix Secure Private Access
SaaS und Web App-Sicherheit Die Fähigkeit des Benutzers, Daten aus SaaS-Apps, die finanzielle, persönliche oder andere sensible Informationen enthalten, herunterzuladen, zu drucken oder zu kopieren, muss eingeschränkt sein. Citrix Secure Private Access — Sicherheitsrichtlinien — Verbesserte Sicherheit
Schutz vor Keyloggern CompanyA muss interne Unternehmensressourcen schützen, wenn von BYO-Geräten aus darauf zugegriffen wird. Geräte können kompromittiert werden und Keylogging-Malware ist installiert. Die Schlüsselprotokollierung muss bei der Verwendung von Citrix Workspace blockiert sein. Citrix Secure Private Access — Sicherheitsrichtlinien mit Anwendungsschutz
Schutz vor Bildschirmschabern CompanyA muss interne Unternehmensressourcen schützen, wenn von BYO-Geräten aus darauf zugegriffen wird. Geräte können kompromittiert werden und Screen-Scraping-Malware installiert haben. Screen Scraping muss bei der Verwendung von Citrix Workspace blockiert sein. Citrix Secure Private Access — Sicherheitsrichtlinien mit Anwendungsschutz
Internet-Sicherheit Schützen Sie Benutzer unabhängig vom Standort vor potenziellen Internetbedrohungen, die in E-Mails, Anwendungen und Websites versteckt sind. Citrix Remote Browser Isolation Service mit Citrix Secure Internet Access — Sicherheitsrichtlinien mit Malware-Schutz
Geräte schützen Schützen Sie Geräte und die zugrunde liegende Infrastruktur vor Malware und Zero-Day-Bedrohungen Citrix Remote Browser Isolation Service mit Citrix Secure Internet Access — Sicherheitsrichtlinien mit Malware-Schutz
Daten schützen Schutz von Daten, die in genehmigten und nicht genehmigten Apps gespeichert sind Citrix Remote Browser Isolation Service mit Citrix Secure Internet Access — Sicherheitsrichtlinien mit Webfilterung
Konformität Compliance und Schutz der Benutzer vor bösartigen URLs Citrix Remote Browser Isolation Service mit Citrix Secure Internet Access — Sicherheitsrichtlinien mit Webfilterung

Apps schützen

CompanyA muss seine Apps schützen, auf die BYO-Geräte zugreifen. Die Verwendung von BYO-Geräten durch das Unternehmen hat das Risiko erhöht, dass kompromittierte Geräte auf Unternehmens-Apps zugreifen. Außerdem hat sich die Angriffsfläche erhöht, da das Unternehmen Apps in die Cloud verlagert und SaaS-Apps verwendet. Die aktuellen sicheren Web-Gateway- und VPN-Bereitstellungen vor Ort mit strengen Sicherheitsrichtlinien können Anwendungen in der Cloud nicht effektiv schützen.

CompanyA muss eine Hybridlösung erstellen, die sowohl lokale Geräte als auch Cloud-Dienste für die Anwendungssicherheit verwendet. On-Prem-Geräte blockieren App-Layer- und DDoS-Angriffe on-premises, während ein Cloud-basierter Schutzdienst volumetrische Angriffe und DDoS-Angriffe auf App-Layer in der Cloud verhindert.

Im Fokus von CompanyA auf den Schutz von Apps wurden die folgenden Kriterien für ein erfolgreiches Design identifiziert:

Erfolgskriterien Beschreibung Lösung
Sicherer Zugang CompanyA muss interne Unternehmensressourcen schützen, wenn von nicht vertrauenswürdigen und ungesicherten Standorten aus darauf zugegriffen wird. Geräte dürfen nicht direkt auf das interne Netzwerk zugreifen, um das Eindringen von Malware zu verhindern. Sicherer privater Zugriff — Zugriff ohne VPN
SaaS-Berechtigungsschutz Die Anmeldeinformationen des Benutzers für SaaS-Anwendungen müssen Multifaktor-Authentifizierung beinhalten. Citrix Secure Private Access — Single Sign-On mit Nur-SAML-Authentifizierung
SaaS DLP CompanyA verlangt von seinen SaaS-Apps, dass sie DLP-Steuerelemente inline verwenden. Remote-Browserisolationsdienst mit Citrix Secure Internet Access
Schützen Sie Web-Apps CompanyA muss volumetrische DDoS-Angriffe am Netzwerkrand stoppen, bevor sie in das Netzwerk gelangen. CompanyA muss sowohl Cloud-Apps als auch interne Apps schützen. CompanyA hat Apps, die an mehreren Standorten auf Cloud-gehosteten Plattformen bereitgestellt werden. Es muss diese Apps vor Bedrohungen auf API-Ebene wie DDoS- und Bot-Angriffen, Cross-Site Scripting und SQL Injection-Angriffen schützen. Citrix Web App Firewall
Kompromittierter Benutzerschutz Die IT muss in der Lage sein, Bedrohungen, die von einem kompromittierten Benutzerkonto ausgehen, schnell zu erkennen und zu mindern. Die IT muss die gesamte Bedrohungsfläche mit zentralisierten Orchestrierungsfunktionen schützen, um die vollständige Sicherheit zu bieten, die das Unternehmen benötigt. Citrix Security Analytics

Konzeptarchitektur

Diese Architektur erfüllt alle vorherigen Anforderungen und gibt CompanyA gleichzeitig die Grundlage, um in Zukunft auf weitere Anwendungsfälle zu expandieren.

Konzeptarchitektur

Auf hohem Niveau:

Benutzerlayer: Die Benutzerebene beschreibt die Endbenutzerumgebung und die Endgeräte, die für die Verbindung mit Ressourcen verwendet werden.

  • Endbenutzergeräte sind BYOD. Die Geräte werden nicht verwaltet, und für CompanyA muss kein Agent auf dem Gerät installiert sein.

  • Endbenutzer greifen über das Citrix Workspace-Web auf Ressourcen zu, was zu einer Erfahrung führt, die auch auf BYO-Geräten geschützt ist.

  • Endbenutzer können die Citrix Workspace App für mehr Funktionen installieren, müssen dies aber nicht.

Zugriffsebene: Die Zugriffsebene beschreibt, wie sich Benutzer bei ihrem Workspace und sekundären Ressourcen authentifizieren.

  • Citrix Workspace bietet den primären Authentifizierungsbroker für alle nachfolgenden Ressourcen. CompanyA benötigt eine mehrstufige Authentifizierung, um die Authentifizierungssicherheit zu verbessern

  • Viele der autorisierten Ressourcen in der Umgebung verwenden andere Anmeldeinformationen als die Anmeldeinformationen, die für die primäre Workspace-Identität verwendet werden. CompanyA wird die Single-Sign-On-Funktionen jedes Dienstes nutzen, um diese sekundären Identitäten besser zu schützen.

  • Die Anwendungen ermöglichen nur SAML-basierte Authentifizierung für SaaS-Apps. Dies verhindert, dass Benutzer direkt auf die SaaS-Apps zugreifen und die Sicherheitsrichtlinien umgehen.

Ressourcenebene: Die Ressourcenebene autorisiert bestimmte Client-Server- (virtuelle), Web- und SaaS-Ressourcen für definierte Benutzer und Gruppen und definiert gleichzeitig die mit der Ressource verknüpften Sicherheitsrichtlinien.

  • CompanyA benötigt Richtlinien, die das Drucken, Herunterladen, Kopieren und Einfügen von Inhalten aus der verwalteten Ressource auf das und vom BYO-Gerät deaktivieren.

  • Aufgrund der unbekannten Natur des Endpunktsicherheitsstatus benötigt CompanyA VPN-freien Zugriff auf Ressourcen über isolierte Browser oder virtualisierte Sitzungen.

  • Hochsensible SaaS-Apps können durch die Citrix Workspace-App zusätzlichen Schutz erhalten. Wenn auf dem BYO-Gerät kein App-Schutz verfügbar ist, verhindern Richtlinien für den adaptiven Zugriff, dass der Benutzer die App startet.

  • Da CompanyA den Zugriff auf interne Web-Apps von BYO-Geräten aus ermöglicht, muss die Citrix Web App Firewall die Ressource vor Angriffen von potenziell gefährdeten Endpunkten schützen.

Kontrollebene: Die Kontrollebene definiert, wie sich die zugrunde liegende Lösung an die zugrunde liegenden Aktivitäten des Benutzers anpasst.

  • Selbst innerhalb einer geschützten Workspace-Ressource können Benutzer mit nicht vertrauenswürdigen Internetressourcen interagieren. CompanyA verwendet Secure Internet Access, um Benutzer vor externen Bedrohungen zu schützen, wenn sie SaaS-Apps, Web-Apps und virtuelle Apps und Desktops verwenden.

  • Wenn Benutzer auf ihren BYO-Geräten über die CompanyA-Ressource auf persönliche Websites wie Gesundheit und Finanzen zugreifen müssen, schützen entsprechende Richtlinien die Privatsphäre der Benutzer.

  • CompanyA benötigt einen Security Analytics-Dienst, um gefährdete Benutzer zu identifizieren und automatisch eine sichere Umgebung aufrechtzuerhalten.

In den folgenden Abschnitten werden spezifische Entwurfsentscheidungen für die Referenzarchitektur des BYOD-Schutzes von CompanyA näher erläutert.

Zugriffsebene

Authentifizierung

CompanyA hat festgestellt, dass die Bereitstellung des Zugriffs auf Ressourcen mit einem Benutzernamen und einem Kennwort keine angemessene Sicherheit bietet. Multifaktor-Authentifizierung ist für alle Benutzer erforderlich. CompanyA verwendet Active Directory+Token für seine Multifaktor-Methode und den NetScaler Gateway Service, um alle Authentifizierungsanforderungen zu bearbeiten.

Citrix Workspace beinhaltet ein von der Cloud bereitgestelltes zeitbasiertes Einmalkennwort (TOTP), das Multifaktor-Authentifizierung Benutzer registrieren sich beim TOTP-Dienst und erstellen einen vorinstallierten geheimen Schlüssel in der Authentifikator-App auf einem Mobilgerät.

Sobald sich der Benutzer erfolgreich beim TOTP-Microdienst registriert hat, muss der Benutzer das Token zusammen mit seinen Active Directory-Anmeldeinformationen verwenden, um sich erfolgreich bei Citrix Workspace zu authentifizieren.

Authentication

Informationen zu Active Directory mit TOTP-Konzepten und -Terminologie finden Sie im Citrix Workspace Active Directory mit TOTP-Konzepten und -Terminologie.

Zero Trust Netzwerkzugriff

CompanyA verwendet den Citrix Secure Private Access-Dienst und Citrix DaaS, um Zugriff auf SaaS und interne Webanwendungen, virtuelle Apps und virtuelle Desktops bereitzustellen. Bei diesen Diensten handelt es sich um eine Zero-Trust-Netzwerkzugriffslösung, die eine sicherere Alternative zu einem herkömmlichen VPN darstellt.

Der Secure Private Access-Dienst und Citrix DaaS verwenden die ausgehenden Steuerkanalverbindungen der Cloud-Konnektoren. Diese Verbindungen ermöglichen es dem Benutzer, remote auf interne Ressourcen zuzugreifen. Diese Verbindungen sind jedoch:

  • Eingeschränkt, so dass nur die definierte Ressource zugänglich ist
  • Basierend auf der primären, sicheren Identität des Benutzers
  • Nur für bestimmte Protokolle, die Netzwerk-Traversal verbieten

ZTNA

Ressourcenebene

Richtlinien zur Ressourcensicherheit

CompanyA möchte das Risiko von Datenverlust und Datenremanenz auf BYO-Geräten begrenzen. Innerhalb der verschiedenen Anwendungstypen beinhaltet CompanyA zahlreiche Einschränkungen, um zu verhindern, dass Benutzer Daten kopieren, herunterladen oder drucken.

CompanyA hat präskriptive Zugriffsmodelle entwickelt, um seine Sicherheitsanforderungen zu erfüllen:

  • BYO-Geräte ohne die Workspace-App verwenden Secure Private Access, um eine SaaS- oder Web-App über einen isolierten Browser mit dem Citrix Remote Browser Isolation Service zu starten. Secure Private Access bietet SSO und setzt anpassungsfähige Zugriffsrichtlinien wie Beschränkungen für das Herunterladen, Drucken, Kopieren und Einfügen von Web- und SaaS-Apps durch.
  • BYO-Geräte mit der Workspace-App verwenden Secure Private Access, um eine Saas- oder Web-App mit dem Citrix Enterprise Browser (früher Citrix Workspace Browser) zu starten - einem lokalen, containerisierten Browser. Der Browser stellt eine Verbindung zur SaaS-App oder eine Zero Trust Network Access-Verbindung zur internen Web-App her. Secure Private Access bietet SSO und setzt adaptive Zugriffsrichtlinien durch (Einschränkungen beim Herunterladen, Drucken, Kopieren und Einfügen).
  • Richtlinien für den App-Schutz schützen Web- und SaaS-Apps mithilfe von Screen Scraping und Keylogger-Einschränkungen. Wenn auf dem BYO-Gerät kein App-Schutz verfügbar ist, verhindern Richtlinien für den adaptiven Zugriff, dass der Benutzer die App startet.
  • Wenn Benutzer auf virtuelle Apps und Desktops zugreifen, bietet Citrix DaaS SSO und setzt Sperrrichtlinien durch. Der Dienst schränkt das Herunterladen, Drucken sowie unidirektionale und bidirektionale Kopier- und Einfügeaktionen ein.

Lockdown

CompanyA hat sowohl sensible als auch reguläre SaaS- und Web-Apps und wendet auf der Grundlage ihrer Sicherheitsanforderungen adaptive Zugriffsrichtlinien an. Als Grundlage hat CompanyA die folgenden Richtlinien definiert (mit der Möglichkeit, Richtlinien je nach Benutzer und Anwendung nach Bedarf zu lockern).

Kategorie SaaS Apps Sensible SaaS-Apps Webapps Sensible Web-Apps Virtual Apps and Desktops
Zugriff auf die Zwischenablage Zulässig Abgelehnt Zulässig Abgelehnt Abgelehnt
Drucken Zulässig Abgelehnt Zulässig Abgelehnt Abgelehnt
Navigation Abgelehnt Abgelehnt Abgelehnt Abgelehnt Nicht zutreffend
Downloads Zulässig Abgelehnt Zulässig Abgelehnt Abgelehnt
Wasserzeichen Disabled Aktiviert Disabled Aktiviert Aktiviert
Verhinderung von Keylogging* Disabled Aktiviert Disabled Aktiviert Aktiviert
Screenshot-Prävention* Disabled Aktiviert Disabled Aktiviert Aktiviert

Steuerungsebene

Webapp- und API-Schutz

Wenn sich Benutzer bei Citrix Workspace authentifizieren, greifen sie auf private Web-Apps auf BYO-Geräten zu. Um die privaten Web-Apps vor Ort besser zu schützen, verwendet CompanyA die Komponenten Citrix Application Delivery Controller Bot Management und Web App Firewall.

Die Bot-Management-Komponente des Application Delivery Controller erkennt eine Bot-Anforderung und verhindert, dass sie das System überschwemmt. Die Web App Firewall schützt öffentlich zugängliche Apps vor Angriffen. Diese Arten von Angriffen sind in der Regel Pufferüberlauf, SQL-Injection und Cross-Site Scripting. Die Web App Firewall erkennt und verhindert, dass sich diese Angriffe auf die Daten und die App auswirken.

CompanyA verwendet auch den Citrix Web App- und API-Schutzdienst, um volumetrische Angriffe und DDoS-Angriffe auf App-Layer gegen Web-Apps zu verhindern, die nicht vor Ort sind.

Citrix Web App and API Protection

Sicherer Internetzugriff

Wenn Benutzer mit SaaS-, Web- und virtuellen Apps interagieren, greifen sie häufig auf Websites zu, die nicht von der CompanyA genehmigt wurden. Um die Benutzer und das Unternehmen zu schützen, integriert CompanyA den Citrix Remote Browser Isolation Service mit Citrix Secure Internet Access und Security Analytics in das Design.

Citrix Secure Internet Access

Jeglicher CompanyA-bezogener Internetverkehr zu/von der Bibliothek von Apps, Desktops und Geräten innerhalb der Organisation wird über den Secure Internet Access Service weitergeleitet. Der Dienst scannt jede URL, um zu überprüfen, ob sie sicher ist. Funktionalitäten innerhalb bestimmter öffentlicher Websites werden verweigert oder geändert. Downloads werden automatisch gescannt und verifiziert.

  • Wenn Benutzer auf virtuelle Apps und Desktops zugreifen, ist in der Citrix DaaS-Infrastruktur der Citrix Secure Internet Access-Agent für den Proxydatenverkehr installiert.
  • Wenn Benutzer mit dem Citrix Remote Browser Isolation Service auf Web- und SaaS-Ressourcen zugreifen, wird Citrix Secure Internet Access als Secure Web Gateway verwendet.

Da viele Websites jetzt verschlüsselt sind, besteht ein Teil dieses Sicherheitsprozesses darin, den Datenverkehr zu entschlüsseln und zu überprüfen. Der Dienst entschlüsselt keine bestimmten Kategorien von Websites, z. B. Finanz- und Gesundheitsseiten, um die Privatsphäre der Mitarbeiter zu gewährleisten.

Bei der Gestaltung der Internet-Sicherheitsrichtlinie wollte CompanyA mit einer Basisrichtlinie beginnen. Während CompanyA weiterhin die Risiken innerhalb des Unternehmens bewertet, wird es die Richtlinien gegebenenfalls lockern/stärken.

Standardmäßig werden alle Kategorien entschlüsselt und erlaubt. CompanyA hat die folgenden Richtlinien weltweit angewendet:

Kategorie Änderung Grund
Finanzen und Investitionen nicht entschlüsseln Bedenken hinsichtlich der Privatsphäre
Integrität nicht entschlüsseln Bedenken hinsichtlich der Privatsphäre
Inhalte für Erwachsene Blockieren Unternehmens-Policy
Die Medikamente Blockieren Unternehmens-Policy
Datei-Sharing Blockieren Unternehmens-Policy
Glücksspiel Blockieren Unternehmens-Policy
Illegale Aktivitäten Blockieren Unternehmens-Policy
Bösartige Quellen Blockieren Unternehmens-Policy
Malware-Inhalt Blockieren Unternehmens-Policy
Porno/Nacktheit Blockieren Unternehmens-Policy
Viren & Schadsoftware Blockieren Unternehmens-Policy
Gewalt/Hass Blockieren Unternehmens-Policy

Weitere Informationen zu den Webfilter- und Schutzfunktionen finden Sie im Tech Brief von Citrix Secure Internet Access .

Zusammenfassung

Basierend auf den vorherigen Anforderungen hat CompanyA die konzeptionelle Architektur auf hoher Ebene erstellt. Der allgemeine Ablauf und die Anforderungen sind die, die Endbenutzer benötigen:

  • Geschützter Zugriff auf SaaS-Apps und VPN-loser Zugriff auf interne Web-Apps über Citrix Secure Private Access
  • Adaptive Authentifizierung, bevor Zugriff auf externe oder interne Ressourcen über Citrix Secure Private Access gewährt wird
  • Zero-Trust-Zugriff auf bestimmte Ressourcen über Citrix Secure Private Access
  • Geschützter Zugriff auf Internetverkehr von Web-Apps oder virtuellen Apps und Desktops über den Citrix Remote Browser Isolation Service mit Citrix Secure Internet Access
  • Geschützter Zugriff auf Web-Apps, auf die von BYO-Geräten mit Citrix Web Application Firewall zugegriffen wird

CompanyA nutzt Citrix, um eine moderne Umgebung für die Anwendungsbereitstellung aufzubauen, die Zero Trust Network Access durchsetzt und End-to-End-Schutz seiner Ressourcen bietet.

Referenzarchitektur: Referenzarchitektur — Schutz von Apps und Daten auf eigenen Geräten