Access Control
Beitrag von
Autor: Daniel Feller
Da Benutzer mehr SaaS-basierte Anwendungen nutzen, müssen Organisationen in der Lage sein, alle sanktionierten Apps zu vereinheitlichen, Anmeldevorgänge zu vereinfachen, gleichzeitig Authentifizierungsstandards durchzusetzen und das Benutzerverhalten zu erfassen. Ist auch entscheidend für die Überwachung von Anbieter-SLAs und Anwendungsnutzungsanalysen.
Einheitliches Erlebnis
Citrix Workspace
Citrix Workspace fasst alle Ressourcen in einer einzigen, personalisierten Benutzeroberfläche zusammen. Benutzer können sich entweder für eine lokal installierte Workspace-App (Desktop und Mobile) entscheiden oder mit ihren lokalen Browsern auf einen webbasierten Workspace zugreifen. Unabhängig vom gewählten Ansatz und dem gewählten Gerät bleibt das Erlebnis vertraut und konsistent.
Bringen Sie Ihre eigene Identität
Jede Organisation wählt ihren eigenen eindeutigen Identitätsanbieter für die ersten Anmeldungen der Benutzer am Workspace aus.
- Azure Active Directory: Der Workspace-Anmeldeprozess wird zu Azure Active Directory umgeleitet, das benutzerdefinierte Branding, Multi-Faktor-Authentifizierung, Kennwortrichtlinien, Überwachung usw. umfassen kann.
- Windows Active Directory: Nutzt die lokale Active Directory Umgebung einer Organisation für die erste Anmeldung beim Workspace des Benutzers. Um das lokale Active Directory mit Citrix Cloud zu verbinden, stellt der Administrator redundante Cloudconnectors am gleichen Ressourcenstandort wie Active Directory bereit. Jeder Cloud-Connector stellt eine ausgehende Verknüpfung mit dem Citrix Cloud-Abonnement der Organisation her.
Single Sign-On
Sobald der Benutzer mit einer primären Identität bei Citrix Workspace authentifiziert wurde, werden nachfolgende Authentifizierungsherausforderungen für SaaS und Web-Apps automatisch vom Single Sign-On µ-Service in Citrix Cloud unter Verwendung von SAML-Assertionen erfüllt.
Standardmäßig verwendet die SAML-Assertion die E-Mail-Adresse, die dem Active Directory Konto des Benutzers (Identitätsanbieter) zugeordnet ist, mit der E-Mail-Adresse, die mit dem SaaS- oder Web-App-Konto (Dienstanbieter) des Benutzers verknüpft ist.
Inhaltssteuerung
Zum Schutz von Inhalten übernehmen Organisationen erweiterte Sicherheitsrichtlinien in die SaaS-Anwendungen. Jede Richtlinie erzwingt eine Einschränkung für den eingebetteten Browser, wenn Sie die Workspace-App für den Desktop oder im sicheren Browser verwenden, wenn Sie die Workspace-App Web oder mobil verwenden.
- Bevorzugter Browser: Deaktiviert die Verwendung des lokalen Browsers und stützt sich auf die eingebettete Browser-Engine (Workspace-App - Desktop) oder den Secure Browser-Dienst (Workspace-App — mobil und Web).
- Zugriff auf die Zwischenablage einschränken: Deaktiviert Ausschneiden/Kopieren/Einfügen zwischen der App und Endpunkt-Zwischenablage.
- Drucken einschränken: Deaktiviert die Druckfunktion im App-Browser.
- Navigation einschränken: Deaktiviert die Browserschaltflächen für Weiter/Zurück.
- Downloads einschränken: Deaktiviert die Möglichkeit des Benutzers, aus der SaaS-App herunterzuladen.
- isplay-Wasserzeichen: Überlagert ein bildschirmbasiertes Wasserzeichen, das den Benutzernamen und die IP-Adresse des Endpunkts anzeigt. Wenn ein Benutzer versucht, einen Screenshot zu drucken oder zu erstellen, wird das Wasserzeichen wie auf dem Bildschirm angezeigt.
Kontextbezogener Zugriff
Obwohl eine autorisierte SaaS-App als sicher gilt, können Inhalte in der SaaS-App tatsächlich gefährlich sein — ein Sicherheitsrisiko darstellen. Wenn ein Benutzer innerhalb einer SaaS-App auf einen Hyperlink klickt, wird der Datenverkehr über den Webfilter-µ-Service geleitet, der eine Risikobewertung für den Hyperlink bietet. Basierend auf der Risikobewertung des Hyperlinks und der angepassten Liste der URL-Kategorien erlaubt, verweigert oder leitet der Webfilterung µ-Service die Hyperlink-Anfrage vom Benutzer wie folgt um:
- Genehmigt: Der Hyperlink gilt als sicher und wird vom eingebetteten Browser in der Workspace App auf ihn zugegriffen.
- Verweigert: Der Hyperlink gilt als gefährlich und der Zugriff wird verweigert
- Umgeleitet: Die Hyperlinkanforderung wird an den Dienst Secure Browser weitergeleitet, wo die Internetbrowsingaktivitäten des Benutzers vom Endpunktgerät, dem Unternehmensnetzwerk und der SaaS-App isoliert werden.
Die meisten SaaS-Anwendungen verbrauchen Inhalte von mehreren Websites. Bei der Verwendung von Webfiltern muss die SaaS-Anwendung gründlich getestet werden, um zu überprüfen, ob sekundäre Inhaltsquellen nicht blockiert oder umgeleitet werden. Die Zeit, die der Benutzer benötigt, um eine URL auszuwählen und den Browser zum Laden der Seite zu laden, kann bei erhöhter Sicherheit etwas länger dauern, da jede URL, auf die in der SaaS-Anwendung zugegriffen wird, durch den Webfilter-µ-Service analysiert wird, der in Citrix Cloud ausgeführt wird.
Sicherheits- und Performance-Analysen
Sicherheitsanalysen identifizieren riskantes Verhalten und bieten für jeden Benutzer eine Gesamtrisikobewertung.
Mithilfe von maschinellem Lernen und künstlicher Intelligenz überwacht der Citrix Analytics Dienst Benutzeraktivitäten und identifiziert Abweichungen vom historischen Verhalten, die die Risikobewertung des Benutzers erhöhen oder verringern können.
Benutzer greifen unweigerlich auf SaaS-Apps zu, die über eine verbesserte Sicherheit verfügen. Die Workspace-App, der Gateway-Dienst und der Secure Browser-Dienst stellen dem Security Analytics-Dienst Informationen zu den folgenden Benutzer- und Anwendungsverhalten bereit, da sie sich auf die Gesamtrisikobewertung des Benutzers auswirken:
- App-Startzeit
- App-Endzeit
- Druckaktion
- Zugriff auf die Zwischenablage
- URL-Zugriff
- Datenupload
- Datendownload
Der Webfilterung µ-Service bewertet das Risiko eines jeden in der SaaS-Anwendung ausgewählten Hyperlinks. Der Zugriff auf diese Websites und die Überwachung von Änderungen des Benutzerverhaltens erhöht die Gesamtrisikobewertung des Benutzers, da er signalisiert, dass das Endpunktgerät gefährdet ist und Daten infiziert oder verschlüsselt wird oder der Benutzer und das Gerät geistiges Eigentum stehlen.