Referenzarchitektur: Zero-Trust-Netzwerkzugang für Auftragnehmer und Zeitarbeiter

Übersicht

CompanyA ergänzt sein Vollzeitpersonal durch Auftragnehmer und Zeitarbeiter. Mit Citrix hat das Unternehmen mehrere Produktivitätsvorteile realisiert, da Auftragnehmer und Zeitarbeiter schnell an Bord gehen und mit minimaler Einrichtungszeit mit der Arbeit an Geschäftsprojekten beginnen können. Da die Auftragnehmer und Zeitarbeiter des Unternehmens in der Regel mobil sind, verwenden sie Citrix, um von überall, zu jeder Zeit und von jedem Gerät aus auf Ressourcen zuzugreifen.

Die Richtlinien von CompanyA für Auftragnehmer und Zeitarbeiter haben zu einer höheren Effizienz der Belegschaft geführt. Die Richtlinie hat jedoch ein komplexes Bereitstellungsmodell geschaffen und Sicherheitsbedenken eingeführt. Da die Grenze zwischen dem Büro und der Außenwelt weiter verschwimmt, muss CompanyA bestimmte Maßnahmen ergreifen, um vertrauliche Unternehmensinformationen zu schützen.

CompanyA verwendet derzeit mehrere nicht integrierte Einzelprodukte für den Fernzugriff. Das Unternehmen möchte eine unternehmensweite Zero Trust Network Access (ZTNA) -Lösung konsolidieren und erweitern und gleichzeitig seine Ressourcen schützen. CompanyA musste einen intelligenten, kontextbezogenen und anpassungsfähigen Ansatz für die Sicherheit am Workspace verfolgen, der seine Auftragnehmer, Zeitarbeiter und Daten nach dem Zero-Trust-Modell schützt. Zu diesem Zweck unternimmt CompanyA eine Initiative zur Aktualisierung seiner Anwendungsbereitstellungsarchitektur.

Übersicht

Companya entschied sich für Citrix aufgrund seiner Expertise in grundlegenden Technologien wie adaptivem Zugriff, Netzwerk, geringste Privilegien und Datenschutz. Das Unternehmen implementiert die integrierte Citrix-Lösung mit Citrix Secure Private Access, Citrix Gateway, Citrix Secure Internet Access und Citrix Web App and API Protection. Zusammen bietet diese Lösung einen End-to-End-Schutz für CompanyA-Ressourcen, auf die von Endgeräten für Auftragnehmer und Zeitarbeiter zugegriffen wird.

Diese Referenzarchitektur erklärt den Plan von CompanyA, den Zugriff von Auftragnehmern und Zeitarbeitern auf seine Daten und Apps zu schützen.

Erfolgskriterien

CompanyA möchte allen Auftragnehmern und Zeitarbeitern die Möglichkeit geben, von zu Hause aus und an entfernten Standorten zu arbeiten. Obwohl einige Auftragnehmer und Zeitarbeiter derzeit VPN-Zugriff auf Web- und SaaS-Apps haben, hat CompanyA mehrere Sicherheitsherausforderungen identifiziert, die eine unternehmensweite Bereitstellung verhindern. Daher implementiert CompanyA einen Ansatz ohne VPN.

CompanyA muss Sicherheitsbedrohungen gegen Apps und die Daten, die an den Endpunkt übertragen, auf dem Endpunkt verwendet werden und sich im Ruhezustand befinden, mindern. Nach sorgfältiger Abwägung der Sicherheits- und IT-Anforderungen hat Companya beschlossen, ein Modell für die Bereitstellung verwalteter Endpunkte sowohl für Vertrags- als auch für Zeitarbeiter zu implementieren. Da Auftragnehmer und Zeitarbeiter auf sensible Apps und Daten zugreifen, wird ihnen ein verwalteter Unternehmensendpunkt bereitgestellt, der zusätzliche Sicherheitsmaßnahmen erfordert. Die Sicherheitsrichtlinie von CompanyA verlangt, dass auf verwalteten Endpunkten Sicherheitssoftware-Agenten installiert sind, um Zugriff auf Unternehmensressourcen zu erhalten.

CompanyA hat eine dreifache Initiative gestartet, um Unternehmensressourcen zu schützen, auf die Endpunkte von Auftragnehmern und Zeitarbeitern zugreifen. Um erfolgreich zu sein, hat CompanyA eine Liste von Erfolgskriterien für die Initiative definiert. Diese Kriterien bilden die Grundlage für das übergreifende Design.

Schutz des Zugangs

CompanyA muss den Zugang von Auftragnehmern und Zeitarbeitern zu ihrer Arbeitsumgebung schützen. Das Unternehmen muss einen sicheren Modus für den nahtlosen Zugriff auf alle Apps und Daten schaffen. Der Zugriff muss sicher, einfach und flexibel sein, um von jedem Ort aus arbeiten zu können.

CompanyA hat seine Sicherheitsstrategie beschlossen, sich von einem traditionellen “Schloss und Wassergraben” -Ansatz in Bezug auf Zugang und Sicherheit zu entfernen. Es verfolgt einen Zero-Trust-Ansatz anstelle einer herkömmlichen Appliance-basierten Lösung wie einem VPN, bei dem davon ausgegangen wird, dass Auftragnehmern und Zeitarbeitskräften vertraut wird.

Im Fokus von CompanyA auf den Schutz des Zugangs von Auftragnehmern und Zeitarbeitern wurden die folgenden Kriterien für ein erfolgreiches Design identifiziert:

Erfolgskriterien Beschreibung Lösung
Nicht verwaltete Geräte blockieren Auftragnehmer und Zeitarbeiter, die versuchen, mit einem nicht verwalteten Gerät auf Citrix Workspace zuzugreifen, dürfen keinen Zugriff auf genehmigte Ressourcen erhalten Citrix Application Delivery Controller (ADC) - nFactor-Richtlinien und Endpunktanalyse
Adaptiver Zugriff auf Web- und SaaS-Apps Adaptiver Zugriff auf Web- und SaaS-Apps mit Citrix Secure Private Access zur Bestimmung der richtigen Zugriffsebene Citrix Secure Private Access
Adaptiver Zugriff auf (virtuelle) Client-Server-Apps Adaptiver Zugriff auf Client-Server-Apps (virtuelle) mit Citrix Secure Private Access und Citrix DaaS zur Bestimmung der richtigen Zugriffsebene Citrix Secure Private Access und Citrix DaaS
Endbenutzer-Monitoring Kontinuierliche Überwachung und kontinuierliche Bewertung zum Schutz vor potenziellen Bedrohungen. Apps werden kontinuierlich auf Datenexfiltration und ungewöhnliche Zugriffszeiten und Standorte überwacht. Citrix Analytics
SaaS App-Zugriff Auftragnehmer und Zeitarbeiter müssen auf genehmigte SaaS-Anwendungen mit starker Authentifizierung zugreifen, die die Benutzererfahrung nicht beeinträchtigt Citrix Secure Private Access
Zugriff auf Web-Apps Auftragnehmer und Zeitarbeiter müssen auf genehmigte interne Webanwendungen mit starker Authentifizierung zugreifen, die die Benutzererfahrung nicht beeinträchtigt. Citrix Secure Private Access — Zero-Trust-Netzwerkzugriff
Persönlicher Datenschutz CompanyA muss die Privatsphäre von Auftragnehmern und Zeitarbeitern gewährleisten und gleichzeitig die Endpunkte vor potenziellen Bedrohungen schützen, wenn nicht genehmigte Websites verwendet werden. Citrix Secure Browser Service mit Citrix Secure Internet Access (“Nicht entschlüsseln” -Richtlinien für Websites mit persönlichen Daten verwenden)

Schützen von Daten

CompanyA muss seine Daten schützen, auf die Geräte zugreifen, die von Auftragnehmern und Zeitarbeitern verwendet werden. Das Unternehmen verfügt über eine hochkomplexe Infrastruktur aus Layer von Anwendungen, Systemen und Netzwerken in Umgebungen, die aus on-premises Rechenzentren, öffentlichen und privaten Clouds bestehen. Diese Ausbreitung hat zu einem komplizierten Stapel verschiedener Tools und Technologien zum Schutz von Daten geführt.

CompanyA entwirft einen konsolidierten, in der Cloud bereitgestellten Sicherheitsstapel, um den Anforderungen seines modernen Arbeitsplatzes gerecht zu werden. Durch die Zentralisierung von Datensicherheitsrichtlinien in der gesamten Lösung werden redundante Aufgaben minimiert, überlappende Richtlinien werden beseitigt und es der IT ermöglicht, Daten und Geräte standortübergreifend zu schützen.

Im Fokus von CompanyA auf den Schutz von Daten wurden die folgenden Kriterien für ein erfolgreiches Design identifiziert:

Erfolgskriterien Beschreibung Lösung
SaaS und Web App-Sicherheit Die Fähigkeit des Auftragnehmers und des Zeitarbeiters, Daten aus SaaS-Apps, die finanzielle, persönliche oder andere sensible Informationen enthalten, herunterzuladen, zu drucken oder zu kopieren, muss eingeschränkt sein Citrix Secure Private Access — Sicherheitsrichtlinien — Verbesserte Sicherheit
Schutz vor Keyloggern CompanyA muss interne Unternehmensressourcen schützen, wenn sowohl von Auftragnehmern als auch von Zeitarbeiter-Endpunkten aus darauf zugegriffen wird Endpunkte können kompromittiert werden und Keylogging-Malware ist installiert. Keylogging muss bei Verwendung von Citrix Workspace blockiert werden Citrix Secure Private Access — Sicherheitsrichtlinien mit Anwendungsschutz
Schutz vor Bildschirmschabern CompanyA muss interne Unternehmensressourcen schützen, wenn von Auftragnehmer- und Zeitarbeiter-Endpunkten aus darauf zugegriffen wird. Endpunkte können kompromittiert werden und Screen-Scraping-Malware ist installiert. Screen Scraping muss bei der Verwendung von Citrix Workspace blockiert sein Citrix Secure Private Access — Sicherheitsrichtlinien mit Anwendungsschutz
Remotebrowserisolierung Die Social Media-Website wird in einer Remote-Browsersitzung gestartet Citrix Secure Browser Service
Internet-Sicherheit Schützen Sie Auftragnehmer und Zeitarbeiter unabhängig vom Standort vor potenziellen Internetbedrohungen, die in E-Mails, Anwendungen und Websites versteckt sind. Citrix Secure Internet Access — Sicherheitsrichtlinien mit Malware-Schutz
Geräte schützen Schützen Sie Endpunkte und die zugrunde liegende Infrastruktur vor Malware und Zero-Day-Bedrohungen Citrix Secure Internet Access — Sicherheitsrichtlinien mit Malware-Schutz
Daten schützen Schutz von Daten, die in genehmigten und nicht genehmigten Apps gespeichert sind Citrix Secure Internet Access — Sicherheitsrichtlinien mit Webfilterung
Konformität Compliance und Schutz von Auftragnehmern vor bösartigen URLs Citrix Secure Internet Access — Sicherheitsrichtlinien mit Webfilterung

Apps schützen

CompanyA muss seine Apps schützen, auf die Auftragnehmer- und Zeitarbeiter-Endpunkte zugreifen. Die Angriffsfläche hat zugenommen, weil das Unternehmen Apps in die Cloud verlagert und SaaS-Apps verwendet hat. Die aktuellen sicheren lokalen Webgateway- und VPN-Bereitstellungen von CompanyA mit strengen Sicherheitsrichtlinien können Anwendungen in der Cloud nicht effektiv schützen.

CompanyA muss eine Hybridlösung erstellen, die sowohl lokale Geräte als auch Cloud-Dienste für die Anwendungssicherheit verwendet. Vor-Ort-Geräte blockieren App-Layer- und DDoS-Angriffe on-premises, während ein cloudbasierter Schutzdienst volumetrische Angriffe und DDoS-Angriffe auf App-Ebene in der Cloud verhindert.

Im Fokus von CompanyA auf den Schutz von Apps wurden die folgenden Kriterien für ein erfolgreiches Design identifiziert:

Erfolgskriterien Beschreibung Lösung
Sicherer Zugang CompanyA muss interne Unternehmensressourcen schützen, wenn auf Geräte von Auftragnehmern und Zeitarbeitern zugegriffen wird. Geräte dürfen nicht direkt auf das interne Netzwerk zugreifen, um das Eindringen von Malware zu verhindern. Sicherer privater Zugriff — Zugriff ohne VPN
SaaS-Berechtigungsschutz Die Anmeldeinformationen des Auftragnehmers oder des temporären Mitarbeiters für SaaS-Anwendungen müssen eine Multifaktor-Authentifizierung beinhalten. Citrix Secure Private Access — Single Sign-On mit Nur-SAML-Authentifizierung
SaaS DLP CompanyA verlangt von seinen SaaS-Apps, dass sie DLP-Steuerelemente inline verwenden. Sicherer Browserdienst mit Citrix Secure Internet Access
Remotebrowserisolierung Social Media-Seiten werden in einer Remote-Browsersitzung gestartet Citrix Secure Browser Service
Schützen Sie Web-Apps CompanyA muss volumetrische DDoS-Angriffe am Netzwerkrand stoppen, bevor sie in das Netzwerk gelangen. CompanyA muss sowohl Cloud-Apps als auch interne Apps schützen. CompanyA hat Apps, die an mehreren Standorten auf Cloud-gehosteten Plattformen bereitgestellt werden. Es muss diese Apps vor Bedrohungen auf API-Ebene wie DDoS- und Bot-Angriffen, Cross-Site Scripting und SQL Injection-Angriffen schützen. Citrix Web App Firewall
Beeinträchtigter Schutz von Auftragnehmern Die IT muss in der Lage sein, Bedrohungen, die von einem kompromittierten Auftragnehmer- oder Zeitarbeiterkonto ausgehen, schnell zu erkennen und zu min Die IT muss die gesamte Bedrohungsfläche mit zentralisierten Orchestrierungsfunktionen schützen, um die vollständige Sicherheit zu bieten, die das Unternehmen benötigt. Citrix Security Analytics

Konzeptarchitektur

Diese Architektur erfüllt alle vorherigen Anforderungen und gibt CompanyA gleichzeitig die Grundlage, um in Zukunft auf weitere Anwendungsfälle zu expandieren.

Konzeptarchitektur

Auf hohem Niveau:

Benutzerlayer: Die Benutzerebene beschreibt die Auftragnehmer- und Zeitarbeitsumgebung sowie die Endpunktgeräte, die für die Verbindung mit Ressourcen verwendet werden.

  • Endpunktgeräte für Auftragnehmer und Zeitarbeiter werden von CompanyA mithilfe von Citrix Endpoint Management verwaltet.
  • Für Endgeräte für Auftragnehmer und Zeitarbeiter muss die Citrix Workspace-App installiert sein.
  • Auf Endgeräten von Auftragnehmern und Zeitarbeitern muss App Protection in der Workspace-App aktiviert sein.
  • Der Citrix Secure Internet Access Agent ist auf der Citrix DaaS-Infrastruktur installiert.

Zugriffsebene: Die Zugriffsebene beschreibt, wie sich Auftragnehmer bei ihrem Workspace und ihren sekundären Ressourcen authentifizieren.

  • Citrix Gateway überprüft, ob der Auftragnehmer oder das temporäre Arbeitsgerät über ein Gerätezertifikat verfügt, bevor die Anmeldeseite angezeigt wird.
  • Citrix Workspace bietet den primären Authentifizierungsbroker für alle nachfolgenden Ressourcen.
  • CompanyA benötigt eine mehrstufige Authentifizierung, um die Authentifizierungssicherheit zu verbessern
  • Viele der autorisierten Ressourcen in der Umgebung verwenden andere Anmeldeinformationen als die Anmeldeinformationen, die für die primäre Workspace-Identität verwendet werden. CompanyA wird die Single-Sign-On-Funktionen jedes Dienstes nutzen, um diese sekundären Identitäten besser zu schützen.
  • Die Anwendungen ermöglichen nur SAML-basierte Authentifizierung für SaaS-Apps. Dies verhindert, dass Auftragnehmer und Zeitarbeiter direkt auf die SaaS-Apps zugreifen und die Sicherheitsrichtlinien umgehen.

Ressourcenebene: Die Ressourcenebene autorisiert bestimmte Client-Server- (virtuelle), Web- und SaaS-Ressourcen für definierte Benutzer und Gruppen und definiert gleichzeitig die mit der Ressource verknüpften Sicherheitsrichtlinien.

  • CompanyA benötigt Richtlinien, die das Drucken, Herunterladen, Kopieren und Einfügen von Inhalten von der verwalteten Ressource zum und vom Auftragnehmer- und Zeitarbeiter-Endpunktgerät verhindern.
  • CompanyA benötigt VPN-freien Zugriff auf Ressourcen für Auftragnehmer und Zeitarbeiter.
  • Sensible SaaS-Apps erhalten zusätzlichen Schutz, der von der Citrix Workspace-App bereitgestellt wird. Wenn für das Endgerät des Auftragnehmers oder des temporären Arbeiters kein App-Schutz verfügbar ist, verhindern Richtlinien für den adaptiven Zugriff, dass die App gestartet wird.
  • Da CompanyA den Zugriff auf interne Web-Apps von Endgeräten von Auftragnehmern und temporären Mitarbeitern ermöglicht, muss die Citrix Web App Firewall die Ressource vor Angriffen von potenziell gefährdeten Endpunkten schützen.

Steuerungsebene: Die Steuerungsebene definiert, wie sich die zugrunde liegende Lösung basierend auf den zugrunde liegenden Aktivitäten von Auftragnehmern und Zeitarbeitern anpasst.

  • Selbst innerhalb einer geschützten Workspace-Ressource können Auftragnehmer und Zeitarbeiter mit nicht vertrauenswürdigen Internetressourcen interagieren. Companya verwendet Secure Internet Access, um Auftragnehmer und Zeitarbeiter bei der Verwendung von SaaS-Apps, Web-Apps, virtuellen Apps und Desktops vor externen Bedrohungen zu schützen.
  • Social Media-Sites werden in einer Remote-Browsersitzung mithilfe des Citrix Secure Browser-Dienstes gestartet.
  • Wenn Auftragnehmer oder Zeitarbeiter über die CompanyA-Ressource auf ihren Geräten auf persönliche Websites wie Gesundheit und Finanzen zugreifen müssen, schützen geeignete Richtlinien ihre Privatsphäre.
  • CompanyA benötigt einen Security Analytics-Service, um gefährdete Auftragnehmer und Zeitarbeiter zu identifizieren und automatisch eine sichere Umgebung aufrechtzuerhalten.

In den folgenden Abschnitten werden spezifische Entwurfsentscheidungen für die Referenzarchitektur von CompanyA für den Auftragnehmer- und Arbeitnehmerschutz näher erläutert.

Zugriffsebene

Authentifizierung

Die Authentifizierungsrichtlinie von CompanyA verweigert den Zugriff, wenn der Auftragnehmer oder das temporäre Arbeitsgerät einen Endpunktsicherheitsscan nicht besteht. Der Scan überprüft, ob das Gerät verwaltet wird, indem nach einem Gerätezertifikat gesucht wird. Wenn das Gerät den Scan besteht, können sich Auftragnehmer und Zeitarbeiter am Citrix Gateway anmelden. CompanyA hat festgestellt, dass der Zugriff auf Ressourcen mit einem Benutzernamen und einem Kennwort keine ausreichende Sicherheit bietet und eine Multifaktor-Authentifizierung erfordert. Auftragnehmer und Zeitarbeiter verwenden ihre Active Directory-Anmeldeinformationen und ein TOTP-Token zur Authentifizierung.

Citrix Workspace beinhaltet ein von der Cloud bereitgestelltes zeitbasiertes Einmalkennwort (TOTP), das Multifaktor-Authentifizierung Auftragnehmer und Zeitarbeiter registrieren sich beim TOTP-Dienst und erstellen einen vorinstallierten geheimen Schlüssel in der Authentifizierungs-App auf einem mobilen Gerät. Sobald sich der Auftragnehmer oder Zeitarbeiter erfolgreich beim TOTP-Mikrodienst registriert hat, muss er das Token zusammen mit seinen Active Directory-Anmeldeinformationen verwenden, um sich erfolgreich bei Citrix Workspace zu authentifizieren.

Authentifizierung

Informationen zu Active Directory mit TOTP-Konzepten und -Terminologie finden Sie im Citrix Workspace Active Directory mit TOTP-Konzepten und -Terminologie.

Zero Trust Netzwerkzugriff

CompanyA verwendet den Citrix Secure Private Access-Dienst und Citrix DaaS, um Zugriff auf SaaS und interne Webanwendungen, virtuelle Apps und virtuelle Desktops bereitzustellen. Bei diesen Diensten handelt es sich um eine Zero-Trust-Netzwerkzugriffslösung, die eine sicherere Alternative zu einem herkömmlichen VPN darstellt.

Der Secure Private Access-Dienst und Citrix DaaS verwenden die ausgehenden Steuerkanalverbindungen der Cloud-Konnektoren. Diese Verbindungen ermöglichen es dem Auftragnehmer, remote auf interne Ressourcen zuzugreifen. Diese Verbindungen sind jedoch:

  • Eingeschränkt, so dass nur die definierte Ressource zugänglich ist
  • Basierend auf der primären, gesicherten Identität des Auftragnehmers
  • Nur für bestimmte Protokolle, die Netzwerk-Traversal verbieten

ZTNA

Ressourcenebene

Richtlinien zur Ressourcensicherheit

CompanyA möchte das Risiko von Datenverlust und Datenremanenz auf Endgeräten von Auftragnehmern und Zeitarbeitern begrenzen. Da CompanyA sowohl über sensible als auch über reguläre virtuelle, SaaS- und Web-Apps verfügt, wird es auf der Grundlage seiner Sicherheitsanforderungen adaptive Zugriffsrichtlinien anwenden. Innerhalb der verschiedenen Anwendungstypen enthält CompanyA zahlreiche Einschränkungen, um das Kopieren, Herunterladen oder Drucken von Daten zu verhindern.

Lockdown

  • Für Endgeräte von Auftragnehmern und Zeitarbeitern muss die Citrix Workspace-App für den Zugriff auf Unternehmensressourcen installiert sein.
  • Auftragnehmer- und Zeitarbeiter-Endpunktgeräte mit Citrix Workspace-App verwenden Secure Private Access, um SaaS oder Web-Apps mit dem Citrix Workspace Browser zu starten - einem containerisierten Browser, der lokal auf dem Endpunkt ist.
    • Der Citrix Workspace Browser stellt eine Verbindung zur SaaS-App oder eine Zero Trust Network Access-Verbindung zur internen Web-App her.
    • Secure Private Access bietet SSO und setzt adaptive Zugriffsrichtlinien durch (Einschränkungen beim Herunterladen, Drucken, Kopieren und Einfügen).
  • Als Fallback verwenden Endgeräte von Auftragnehmern und Zeitarbeitskräften ohne Citrix Workspace-App Secure Private Access, um eine virtuelle, SaaS- oder Web-App über einen isolierten Browser mithilfe des Citrix Secure Browser-Dienstes zu starten.
    • Secure Private Access bietet SSO und setzt anpassungsfähige Zugriffsrichtlinien wie Beschränkungen für das Herunterladen, Drucken, Kopieren und Einfügen von Web- und SaaS-Apps durch.
  • Richtlinien für den App-Schutz schützen Web- und SaaS-Apps mithilfe von Screen Scraping und Keylogger-Einschränkungen.
    • CompanyA benötigt App-Schutz-Richtlinien für sensible SaaS- und Web-Apps.
    • Wenn für das Endgerät des Auftragnehmers oder des Zeitarbeiters kein App-Schutz verfügbar ist, verhindern adaptive Zugriffsrichtlinien, dass der Auftragnehmer die App startet.
  • Um potenziell schädliche Webinhalte weiter zu isolieren und den Ressourcenverbrauch in der DaaS-Umgebung zu reduzieren, werden Social Media-Sites in einer Remote-Browsersitzung mit dem Citrix Secure Browser-Dienst gestartet.
  • Wenn Auftragnehmer und Zeitarbeiter auf virtuelle Apps und Desktops zugreifen, bietet Citrix DaaS SSO und setzt Sperrrichtlinien durch. Der Dienst schränkt das Herunterladen, Drucken sowie unidirektionale und bidirektionale Kopier- und Einfügeaktionen ein.

CompanyA hat die folgenden vorgeschriebenen Zugriffsmodelle entwickelt, um die Sicherheitsanforderungen seiner Auftragnehmer und Zeitarbeiter zu erfüllen:

Kategorie SaaS Apps Sensible SaaS-Apps Webapps Sensible Web-Apps Virtual Apps and Desktops
Zugriff auf die Zwischenablage Zugelassen Abgelehnt Zugelassen Abgelehnt Abgelehnt
Drucken Zugelassen Abgelehnt Zugelassen Abgelehnt Abgelehnt
Navigation Abgelehnt Abgelehnt Abgelehnt Abgelehnt Nicht zutreffend
Downloads Zugelassen Abgelehnt Zugelassen Abgelehnt Abgelehnt
Wasserzeichen Deaktiviert Aktiviert Deaktiviert Aktiviert Aktiviert
Keylogging Prävention Deaktiviert Aktiviert Deaktiviert Aktiviert Aktiviert
Screenshot-Prävention Deaktiviert Aktiviert Deaktiviert Aktiviert Aktiviert

Steuerungsebene

Webapp- und API-Schutz

Wenn sich Auftragnehmer und Zeitarbeiter bei Citrix Workspace authentifizieren, greifen sie auf private interne Web-Apps zu. Um die lokalen Web-Apps besser zu schützen, verwendet CompanyA die Komponenten Citrix Application Delivery Controller Bot Management und Web App Firewall.

Die Bot-Management-Komponente des Application Delivery Controller erkennt eine Bot-Anforderung und verhindert, dass sie das System überschwemmt. Die Web App Firewall schützt öffentlich zugängliche Apps vor Angriffen. Diese Arten von Angriffen sind in der Regel Pufferüberlauf, SQL-Injection und Cross-Site Scripting. Die Web App Firewall erkennt und verhindert, dass sich diese Angriffe auf die Daten und die App auswirken.

Companya verwendet auch den Citrix Web App- und API-Schutzdienst, um volumetrische Angriffe und DDoS-Angriffe auf App-Ebene gegen Web-Apps zu verhindern, die nicht vor Ort sind.

Citrix Web App and API Protection

Sicherer Internetzugriff

Wenn Auftragnehmer und Zeitarbeiter mit SaaS, Web, virtuellen Apps und Desktops interagieren, greifen sie häufig auf Internetseiten zu, die nicht vom Unternehmen genehmigt wurden. Um Auftragnehmer und Organisationen zu schützen, integriert CompanyA Citrix Secure Internet Access und Security Analytics in das Design.

Citrix Secure Internet Access

Jeglicher CompanyA-bezogener Internetverkehr zu/von der Bibliothek von Apps, Desktops und Geräten innerhalb der Organisation wird über den Secure Internet Access Service weitergeleitet. Der Dienst scannt jede URL, um zu überprüfen, ob sie sicher ist. Funktionalitäten innerhalb bestimmter öffentlicher Websites werden verweigert oder geändert. Downloads werden automatisch gescannt und verifiziert.

  • Endgeräte von Auftragnehmern und Zeitarbeitern werden vom Unternehmen verwaltet und verwenden Citrix Secure Internet Access als Proxy für den Internetverkehr, wenn gilt:
    • Auftragnehmer und Zeitarbeiter greifen auf virtuelle Apps und Desktops zu. In der DaaS-Infrastruktur ist der Citrix Secure Internet Access Agent zum Proxy und Filtern des Internetverkehrs installiert.
    • CompanyA hat entschieden, dass Social Media-Sites an den Citrix Secure Browser-Dienst umgeleitet werden, um diesen Internetverkehr zu isolieren und von der DaaS-Infrastruktur auszulagern. Citrix Secure Internet Access wird als Secure Web Gateway verwendet.

Da viele Websites jetzt verschlüsselt sind, besteht ein Teil dieses Sicherheitsprozesses darin, den Datenverkehr zu entschlüsseln und zu überprüfen. Der Dienst entschlüsselt keine bestimmten Kategorien von Websites, z. B. Finanz- und Gesundheitsseiten, um die Privatsphäre der Mitarbeiter zu gewährleisten.

Bei der Gestaltung der Internet-Sicherheitsrichtlinie wollte CompanyA mit einer Basisrichtlinie beginnen. Während CompanyA weiterhin die Risiken innerhalb des Unternehmens bewertet, wird es die Richtlinien gegebenenfalls lockern/stärken.

Standardmäßig werden alle Kategorien entschlüsselt und erlaubt. CompanyA hat die folgenden Richtlinien weltweit angewendet:

Kategorie Änderung Grund
Finanzen und Investitionen nicht entschlüsseln Bedenken hinsichtlich der Privatsphäre
Integrität nicht entschlüsseln Bedenken hinsichtlich der Privatsphäre
Inhalte für Erwachsene Blockieren Unternehmens-Policy
Die Medikamente Blockieren Unternehmens-Policy
Datei-Sharing Blockieren Unternehmens-Policy
Glücksspiel Blockieren Unternehmens-Policy
Illegale Aktivitäten Blockieren Unternehmens-Policy
Bösartige Quellen Blockieren Unternehmens-Policy
Malware-Inhalt Blockieren Unternehmens-Policy
Porno/Nacktheit Blockieren Unternehmens-Policy
Viren & Schadsoftware Blockieren Unternehmens-Policy
Gewalt/Hass Blockieren Unternehmens-Policy

Weitere Informationen zu den Webfilter- und Schutzfunktionen finden Sie im Tech Brief von Citrix Secure Internet Access .

Zusammenfassung

Basierend auf den vorherigen Anforderungen hat CompanyA die konzeptionelle Architektur auf hoher Ebene erstellt. Der allgemeine Ablauf und die Anforderungen lauten, dass Auftragnehmer Folgendes benötigen:

  • Geschützter Zugriff auf SaaS-Apps und VPN-loser Zugriff auf interne Web-Apps über Citrix Secure Private Access
  • Adaptive Authentifizierung, bevor Zugriff auf externe oder interne Ressourcen über Citrix Secure Private Access gewährt wird
  • Zero-Trust-Zugriff auf bestimmte Ressourcen über Citrix Secure Private Access
  • Geschützter Zugriff auf Internetverkehr über Web-Apps oder virtuelle Apps und Desktops über Citrix Secure Internet Access und Citrix Secure Browser Service.
  • Geschützter Zugriff auf Web-Apps, auf die von Auftragnehmer- und temporären Worker-Endgeräten mit Citrix Web Application Firewall

CompanyA nutzt Citrix, um eine moderne Umgebung für die Anwendungsbereitstellung aufzubauen, die Zero Trust Network Access durchsetzt und End-to-End-Schutz seiner Ressourcen bietet.

Referenzarchitektur: Zero-Trust-Netzwerkzugang für Auftragnehmer und Zeitarbeiter