Tech Brief: Citrix Secure Internet Access

Übersicht

Die große Nachfrage nach Remote-Arbeit und die Verlagerung von Anwendungen in die Cloud haben es für Unternehmen zu einem absoluten Muss gemacht, den Internetzugang der Benutzer zu sichern. Und da Benutzer und Geräte den neuen Netzwerkumfang bilden, muss die Sicherung des Internetzugangs in der Cloud erfolgen. Citrix Secure Internet Access (CSIA) verlagert den Fokus von der Verteidigung von Perimetern auf die Verfolgung von Benutzern, um sicherzustellen, dass der Internetzugang unabhängig vom Standort sicher ist.

Die Nachfrage nach Remote-Arbeit hat Appliance-basierte Netzwerksicherheitsstrategien unhaltbar gemacht. Der prognostizierte Anstieg des Bandbreitenverbrauchs in Kombination mit dem Backhauled Mobile Traffic wird die maximale Kapazität jeder on-premises Appliance-Architektur schnell sättigen.

Die Erosion des Netzwerkumfangs aufgrund der zunehmenden Nutzung von Cloud-Apps und -Diensten beschleunigt dieses Backhauling weiter. Das Ergebnis wird eine schlechte Endbenutzererfahrung und eine geringere Produktivität aufgrund der Latenz sein.

Einheitlicher CSIA-Ansatz

CSIA bietet umfassende Internetsicherheit für alle Benutzer an allen Standorten mit:

  • Vollständige Web- und Content-Filterung
  • Schutz vor Schadsoftware
  • Schutz für veraltete Browser und Betriebssysteme (OS)
  • SSL/TLS-Verkehrsmanagement
  • Cloud Access Security Broker (CASB) für Cloud-Apps und Social-Media-Steuerelemente
  • Erweiterte Berichte in Echtzeit
  • Flexible Datenverkehrsumleitung für jedes Gerät und überall
  • Integration mit Citrix Virtual Apps and Desktops und SD-WAN

CSIA verwendet ein rollenbasiertes Richtlinienmodell “Zero Trust”. Eines der Hauptziele von Zero Trust ist die Zuweisung von Richtlinien und die Verwaltung des Zugriffs auf Ressourcen basierend auf der Rolle und Identität eines Benutzers. Dieses grundlegende Konzept ist in die Policy Engine von CSIA integriert.

Architektur

CSIA ist eine Cloud-native Technologie, die an über 100 Points of Presence auf der ganzen Welt betrieben wird. Die Architektur bietet nicht nur einen Bereitstellungsmechanismus für Verbindungen, sondern kann auch mit anderen Lösungen verbunden werden, um die Leistung und Sicherheit zu verbessern. Zum Beispiel kann CSIA Signaturen von anderen Threat-Intelligence-Technologien annehmen und mit dem Verkehr vergleichen, der durch unsere Cloud fließt.

Durch die Verwendung von Container-Gateways wird die Datenebene für jeden Kunden getrennt. Private Schlüssel zum Entschlüsseln des Datenverkehrs werden kundenspezifisch aufbewahrt und nicht unter anderen geteilt. Jede Arbeitseinheit, die Daten verarbeitet oder speichert, ist vollständig dem Kunden gewidmet, der keine der Komponenten verwalten muss. Arbeitseinheiten können horizontal elastisch skalieren.

CSIA ermöglicht es Administratoren, Cloud-Zonen direkt im Cloud-Admin-Portal explizit zu definieren. Diese Zonen stellen sicher, dass Benutzer innerhalb einer bestimmten Region innerhalb der Region gesichert sind und dass Ereignisse, die in einer bestimmten Region generiert wurden, protokollieren, um in der Region zu bleiben. Diese Funktion ist wichtig für Vorschriften wie die DSGVO, nach denen Daten innerhalb der nationalen Grenzen bleiben müssen. Darüber hinaus können Cloud-Zonen verwendet werden, um zu definieren, wie sich Benutzer je nach Standort mit der Cloud verbinden. Wenn Benutzer beispielsweise von Büro zu Büro wechseln, ermöglichen diese vom Administrator definierten Zonen die dynamische Umgehung lokaler Drucker und Server, die für jedes Büro gelten.

Flow umleiten

Traditionell wird der Datenverkehr von Internetanwendungen von Remote-Benutzern über langsame und überlastete VPNs gesendet, um Netzwerksicherheit für Compliance, Malware-Schutz und Schutz vor Datenverlust zu gewährleisten. Dies führt häufig zu langsamen Verbindungen oder ausgefallenen Netzwerken, die Benutzer daran hindern, sicher und effektiv zu arbeiten. Darüber hinaus wird gegenüber den Mandanten von Zero Trust Architectureder Zugriff in der Regel auf Netzwerke statt auf bestimmte Anwendungen bereitgestellt. Das Ergebnis sind übermäßige Berechtigungen, insbesondere für Benutzer, die nur gezielten Zugriff auf eine Handvoll Ressourcen benötigen.

CSIA macht langsame und überlastete VPN-Verbindungen überflüssig und sendet den Datenverkehr direkt von den Benutzern an die erforderlichen Cloud-Ressourcen oder -Anwendungen. CSIA reduziert auch das Risiko von Datenverlust und segmentiert das Netzwerk weiter, indem Benutzer nur auf bestimmte Ressourcen und Anwendungen zugreifen können.

Eine weitere Herausforderung, die CSIA löst, ist die Anwendung der streambasierten Intrusion Prevention, wenn Endbenutzer außerhalb des internen Perimeters reisen Sie bewegen sich von Ort zu Ort, um in Netzwerken zu arbeiten, die außerhalb der Kontrolle der Organisation liegen. Die containerisierte Architektur von CSIA ermöglicht es, flussbasierte IPs auf Benutzer anzuwenden, wo immer sie sich aufhalten. Zu den Netzwerken gehören solche, die sich im Besitz der Organisation befinden, und Netzwerke, die dies nicht sind. Die Architektur von CSIA ermöglicht es jedem Kunden, dedizierte IP-Adressen zu erhalten, die auf die gleiche Weise verwendet werden können, wie lokale IP-Adressen verwendet werden.

CSIA leitet Netzwerkdaten an die Cloud weiter, um Netzwerksicherheitsfunktionen auszuführen, ohne dass Inline-Appliances erforderlich sind. Dies kann mithilfe von Proxyeinstellungen, Endpunktagenten/Connectors, GRE-Tunneln oder IPsec-Tunneln erreicht werden.

Verkehrsfluss umleiten

CSIA folgt Benutzern beim Ein- und Aussteigen aus dem physischen Netzwerkumfang, was zu dedizierten IP-Adressen für Benutzer unabhängig vom Standort führt. Diese Funktion kann angewendet werden, um zu verlangen, dass Benutzer nur über Verbindungen, die das Gateway sichert, auf Geschäftsanwendungen zugreifen müssen. Auch bei der Arbeit außerhalb des Büros oder auf persönlichen Geräten. Die Quell-IP-Adresse kann verwendet werden, um den Zugriff auf Ressourcen wie Admin-Portale einzuschränken, indem die Quell-IP-Adresse als Voraussetzung für die Anmeldung verwendet wird.

Cloud Connectors sind die beliebteste Bereitstellungsmethode, die am häufigsten bei Unternehmen verwendet wird, die über verwaltete Geräte verfügen. Cloud Connectors sind die Agents, die die CSIA-Konfiguration bei der Registrierung, Authentifizierung und Zertifikatsverwaltung auf Endpunkten unterstützen.

Installationen können remote über verschiedene Methoden übertragen werden, z. B.:

  • Windows über GPO-, MDM- und SCCM-Bereitstellung
  • macOS/iOS via MDM-Bereitstellung
  • Chromebook über Bereitstellung der Google-Admin-Konsole
  • Android über native Integration mit Android VPN-Netzwerk oder Always On VPN
  • Linux mit Red Hat Fedora und Ubuntu Unterstützung
  • Windows-Terminalserver

Cloud Connectors unterstützen Benutzer bei der Verbindung mit CSIA. Die Connectors verfolgen einen mobilen und Cloud-First-Ansatz, um die Geräte der Benutzer mit der Cloud-Sicherheit zu verbinden, unabhängig davon, ob sie sich im Büro oder unterwegs befinden. Es ist nicht erforderlich, den Datenverkehr durch das Rechenzentrum zu sichern, da die Richtlinien überall dort gelten, wo sich der Benutzer befindet. Sie verbinden Ihre Geräte direkt mit CSIA und bieten sicheren Zugriff von jedem Ort aus und:

  • Konfiguration des Netzwerks zur Weiterleitung des Datenverkehrs an den CSIA-Dienst
  • Verwaltung von Zertifikaten im Namen des Benutzers, um SSL-Abfangen zu ermöglichen
  • Dynamische Bereitstellung von Benutzeridentität und Gruppenmitglie
  • Leiten Sie alle Daten auf einem Gerät transparent über alle Ports um

Wenn Ihr Gerät über ein nicht standardmäßiges Betriebssystem verfügt, können Sie die agentenlose Datenumleitung konfigurieren, indem Sie automatisch Proxy-PAC-Dateien generieren.

Proxy-PAC-Dateien werden für die agentenlose Datenumleitung verwendet, die den Datenverkehr basierend auf dem Benutzerstandort (Quell-IP) umleitet. Die PAC-Datei unterstützt die Geolocation, um Benutzer automatisch mit den nächstgelegenen Gateways zu verbinden, und unterstützt die DSGVO-Zonierung. Es wird dynamisch auf Benutzerbasis generiert. Proxy PAC unterstützt Load Balancing, horizontale Skalierung und Authentifizierung über SAML.

IPsec/GRE verwendet Edge-Router und Firewalls, um Tunnel zu erstellen und den gesamten Datenverkehr an jedem Standort an CSIA umzuleiten. Die Tunnel zeigen auf ein einzelnes CSIA-DNS-Ziel, das den Verkehr an Gateways weiterleitet. Die Wahl, GRE oder IPsec zu verwenden, hängt davon ab, was der vorhandene Edge-Router/Firewall unterstützt. Die Authentifizierung erfolgt über Connectors und SAML.

SD-WANs und CSIA können zusammen mit IPsec- und GRE-Tunneling verwendet werden. Citrix SD-WAN lässt sich in CSIA integrieren, indem es Anwendungswissen nutzt, um den Internet-, Cloud- oder SaaS-Verkehr intelligent an CSIA zu steuern.

DNS wird für Situationen verwendet, in denen der Endbenutzer keinen Cloud Connector, Proxy PAC oder SD-WAN verwendet. CSIA wendet die Kategorien und Richtlinien auf DNS-Datensätze an und leitet DNS vom on-premises DNS-Dienst weiter. Das Netzwerk an jeder Filiale leitet den DNS-Verkehr an CSIA weiter und erhält eine eindeutige Sicherheitsrichtlinie. Sowohl Richtlinien als auch Berichtsprotokolle basieren auf Standortbasis.

Authentifizierung

CSIA kann lokale Benutzeridentitäten, Microsoft Active Directory (AD) oder eine andere Art von modernem IdP (wie Azure AD) verwenden. Bei der Verwendung von herkömmlichem AD müssen die Sicherheitsgruppen auf CSIA mit denen in AD übereinstimmen. CSIA prüft regelmäßig auf dem Gerät auf Gruppenmitgliedschaft, wenn die agentenbasierte Cloud Connector-Bereitstellung verwendet wird. Wenn ein Benutzer mehreren Sicherheitsgruppen in AD angehört, kann eine Priorität für die Richtlinien festgelegt werden, die in Kraft treten. Zahlen mit höherer Priorität haben Vorrang vor niedrigeren.

Sie können aktuelle Active Directory-Sicherheitsgruppen CSIA-Sicherheitsgruppen zuordnen, indem Sie für beide dieselben Namen verwenden. CSIA-Sicherheitsgruppen können eine Prioritätsnummer für den Fall zugewiesen werden, dass ein bestimmter Benutzer Teil mehrerer Gruppen ist. CSIA ordnet einen Benutzer in die Gruppe ein, die die Nummer mit der höheren Priorität hat. Gruppenaliasse können zugewiesen werden, um mehrere Active Directory-Gruppen einer einzelnen CSIA-Sicherheitsgruppe zuzuordnen.

CSIA kann vier verschiedene Arten der Authentifizierung mithilfe des Cloud Connector-, Cloud Identity-, SAML- oder Active Directory-Plug-ins verwenden.

Cloud Connector: Cloud Connectors behandeln die Authentifizierung transparent über einen Sitzungsschlüssel, der an CSIA gesendet wird. Cloud Connectors verwenden die Benutzeridentität auf dem Gerät. Eine zusätzliche Authentifizierung ist daher beim Zugriff auf das Internet nicht erforderlich. Wenn ein Benutzer im Internet surft, werden Richtlinien basierend auf der Sicherheitsgruppenzuordnung innerhalb von CSIA angewendet. Sicherheitsgruppen in CSIA können den vorhandenen Gruppen und OUs zugeordnet werden. CSIA weiß, welcher lokalen Gruppe ein Benutzer angehört, wenn der Cloud Connector diese Gruppeninformationen extrahiert und an den CSIA-Service sendet. CSIA verwendet diese Informationen, um einen verschlüsselten Sitzungsschlüssel zu erstellen, der an das Gerät zurückgesendet wird. Jede Webanforderung erhält den Sitzungsschlüssel, der an die Anforderung angehängt wird, und wird für den Richtlinienabgleich verwendet.

Cloud Identity: Cloud Connectors können Benutzergruppen mit Cloud-Identitätsanbietern (IdP) synchronisieren. Derzeit unterstützt CSIA Google, Azure und Okta. Die Konfigurationen unterscheiden sich zwischen den einzelnen Anbietern, bestehen jedoch in der Regel aus der Angabe des Aktualisierungsintervalls, der Client-ID, des Geheimnisses

SAML: Die SAML-Authentifizierung kann browserbasiert sein oder über den Connector verknüpft sein. SAML ermöglicht die Übergabe der Authentifizierung an einen SAML-Identifizierungsanbieter, wobei CSIA als Dienstanbieter fungiert. Die SAML-Authentifizierung muss mit der Proxy-Datenumleitung gekoppelt werden und unterstützt Okta, ADFS und andere SAML-Anbieter.

AD-Plugin: ein serverseitiger Agent, der über die Domänencontroller hinweg installiert werden kann, um Anmeldedienste innerhalb der Domäne bereitzustellen. Organisationseinheiten, Sicherheitsgruppen und Maschinen werden von den DCs gesammelt und zur Richtlinienzuweisung an CSIA zurückgeschickt.

Aliase können zu einer Sicherheitsgruppe hinzugefügt werden, um mehrere Benutzergruppen unter einer größeren CSIA-Gruppe zu erfassen. Wenn Sie Benutzer haben, die mehreren Gruppen angehören, ist Priorität wichtig. Je höher die Priorität in der Gruppe ist, desto Vorrang hat die Durchsetzung von Richtlinien. Es gibt 3 verschiedene Policy-Engines. Wenn ein Paket CSIA durchläuft, erfolgt die Bestimmung, welche Richtlinie auf das Paket angewendet wird, in der folgenden Reihenfolge:

  • Schritt 1 — IP-Subnetz: Das Paket wird mit den lokalen Subnetzen verglichen, die in den Netzwerkeinstellungen basierend auf der Quell-IP-Adresse des Pakets konfiguriert wurden. Wenn eine Übereinstimmung gefunden wird, wird die Richtliniengruppe gespeichert, bevor Sie fortfahren.
  • Schritt 2 — Gerät: Die Quell-IP wird mit der Liste der statischen und dynamischen Computer verglichen. Wenn eine Übereinstimmung gefunden wird, wird die Policy-Gruppe aus Schritt 1 durch die hier gefundene ersetzt.
  • Schritt 3 — Benutzerrichtlinie: Wenn ein Benutzer am Gerät angemeldet ist und sich herausstellt, dass er mit dem Gerät verknüpft ist, überschreibt die mit diesem Benutzer verknüpfte Gruppe die Gruppe aus Schritt 2.

Sicherheits-Funktionen

Die containerisierten Gateways scannen Daten in der Cloud. Sie filtern das Internet, verhindern Malware, erkennen und verhindern Datenverlust, wenn Daten zu und von Benutzern und dem Internet übertragen werden.

CSIA-Fähigkeiten

SSL-/TLS-Entschlüsselung

Viele, wenn nicht die meisten Websites und Dienste im Internet, verschlüsseln ihre Kommunikation mit Benutzern, wobei SSL/TLS das am häufigsten verwendete Protokoll ist. Dies macht die Fähigkeit, SSL/TLS-Verkehr zu überprüfen, für eine effektive Internetsicherheit unerlässlich. Ohne dies zu tun, wird der größte Teil des Datenverkehrs einer Organisation ungesichert. Malware oder interne böswillige Akteure können Unternehmensdaten exfiltrieren, ohne das Gateway zu sehen.

Als kritische, aber prozessintensive Aufgabe kann die SSL-/TLS-Entschlüsselung herkömmliche Sicherheitsanwendungen leicht überlasten, um eine vollständige SSL/TLS-Sichtbarkeit der Inhalte und der Cloud-App-Nutzung zu erreichen. CSIA verfügt über eine skalierbare Cloud-Architektur, die sich nach Bedarf erweitert und zusammenzieht. Die Ressourcen jedes Kunden sind vollständig containerisiert. CSIA hält die Entschlüsselungsschlüssel jeder Organisation von anderen Organisationen isoliert.

Ohne SSL-/TLS-Entschlüsselung werden Reporting und Analysen eingeschränkt. Wenn Sie beispielsweise im Internet suchen, ohne dass die Einstellung aktiviert ist, kann CSIA zwar auf der Suchwebsite berichten, jedoch nicht über die in der Suchabfrage verwendeten Schlüsselwörter. Für das Blockieren, Zulassen oder Überwachen des grundlegenden HTTP-Zugriffs ist keine SSL-/TLS-Entschlüsselung erforderlich. Wenn die SSL/TLS-Entschlüsselung aktiviert ist, kann CSIA den HTTPS-Verkehr überprüfen und so detailliertere Aktionen und Transparenz bieten.

Die SSL/TLS-Entschlüsselung von CSIA funktioniert durch die Implementierung eines “Man in the Middle” -Sicherheitsverfahrens. Die SSL-/TLS-Entschlüsselung kann transparent oder über eine Proxyverbindung durchgeführt werden, wobei die einzige Anforderung darin besteht, dass das SSL-/TLS-Zertifikat auf dem mit der Cloud verbundenen Gerät bereitgestellt wird. Die CSIA fungiert als Stammzertifizierungsstelle. Es fängt SSL/TLS-Anfragen an legitime Websites ab, fordert sie an, signiert die empfangenen Daten mit einem eigenen CA-Zertifikat und sendet die Daten an den Client.

Um Sicherheitswarnungen des Clients zu vermeiden, benötigen verbundene Geräte das Zertifikat von CSIA. Das Zertifikat kann während der Cloud Connector-Installation verteilt werden. Um zu überprüfen, dass beim Navigieren zu einer Site das vertrauenswürdige Zertifikat als von CSIA ausgestellt und nicht von der Site angesehen wird. SSL-/TLS-Zertifikate können über das Installationsprogramm nach unten verschoben, manuell installiert oder mit jeder typischen Methode an der Root-Zertifizierungsstelle übertragen werden.

Alle Ziele entschlüsseln Hinweis: Wenn Sie die SSL-Entschlüsselung zum ersten Mal konfigurieren, wird empfohlen, mit der selektiven SSL-Entschlüsselung zu beginnen, da nicht alle Websites die SSL-Entschlüsselung akzeptieren.

Die SSL-Entschlüsselung kann für alle Ziele aktiviert werden, zu denen ein Benutzer im Internet reist. Auf der anderen Seite kann für Websites, die keine SSL-Entschlüsselung akzeptieren, eine Umgehung so eingestellt werden, dass nur bestimmte Ziele selektiv entschlüsselt werden. Im Folgenden sind die verschiedenen Arten von Bypässen aufgeführt, die eingestellt werden können.

  • Domains einschließlich aller Subdomains, falls dies für die Site nicht wünschenswert ist
  • Hinweis: Bypass für eine Domain umfasst auch alle ihre Subdomains
  • Web-Kategorien, falls für die Kategorie nicht wünschenswert
  • Gruppen, falls für bestimmte Benutzer/Gruppen nicht wünschenswert
  • IP-Adressen und Bereiche, falls nicht wünschenswert

Schutz vor Schadsoftware

CSIA verwendet viele verschiedene Sicherheitsebenen für den Malware-Schutz. Der Malware-Schutz umfasst:

  • Identifizierung und Abwehr von Malware aus den Top-Signaturdatenbanken
  • Eine eigene Malware-Registrierung
  • Bedrohungsinformationen in Echtzeit mit sofortigen Datenbankaktualisierungen

Administratoren können sowohl Reputationsschutz als auch Malware-Schutz aktivieren, der erweiterte Funktionen zur Inhaltsanalyse und Sandboxing nutzt. Streaming Malware Reputation verarbeitet die URLs, auf die Benutzer in einer Signaturdatenbank zugreifen. Advanced Malware Analysis Defense hinterlegt vom Benutzer heruntergeladene Dateien automatisch zur Verhaltensanalyse.

Beim Anwenden von Malware-Regeln auf Inhalte werden die Regeln in der Liste von oben nach unten überprüft. Wenn eine Übereinstimmung gefunden wird, wird die Regel ausgewählt, und es werden keine weiteren Regeln berücksichtigt. Regeln mit höherer Priorität stehen ganz oben auf der Liste. Regeln können leicht nach oben und unten verschoben werden, um sicherzustellen, dass die Priorität in der richtigen Reihenfolge festgelegt wird. Websites erhalten eine Risikobewertung zwischen 1 und 100, indem verschiedene Aspekte einer Anfrage analysiert werden, einschließlich der URL, der HTTP-Header und des Seiteninhalts. Basierend auf dieser Bewertung ist die Seite abhängig von den Schwellenwerten für niedriges Risiko, mittleres Risiko und hohes Risiko entweder gesperrt oder zulässig. Eine Risikoanforderungsaktion von Zulassen oder Blockieren kann für jeden Risikoschwellenwert separat festgelegt werden. Bei den meisten Konfigurationen bieten die Standardeinstellungen das beste Gleichgewicht zwischen Leistung und Sicherheit.

  • Fortschrittliche Malware-Erkennung und -Prävention für polymorphe Bedrohungen
  • Command and Control Callback-Überwachung über alle Ports und Protokolle hinweg
  • Malwareprävention und Erkennung von Verstößen ohne Signatur und Signaturen
  • Zentrum für Vorfallreaktion
  • Erkennung und Verhinderung von Eindringlingen
  • Verhaltens-Malware-Sandboxing
  • Streaming Malware & Reputation Defense — Sperrt bösartige Hosts und IP-Adressen mithilfe von Informationen aus einer Kombination aus CSIA und mehreren branchenführenden Threat-Intelligence-Unternehmen
  • Advanced Malware Analysis Defense - Überprüft Dateien, einschließlich Archive. Malware-Regeln bestimmen die Aktion, die ausgeführt wird, wenn eine Datei von der AV-Engine als schädlich eingestuft wird.

Mit den Intrusion Prevention Systems (IPS) können Sie Ihr Netzwerk vor böswilligen Bedrohungen in Paketströmen schützen, die auch als “Daten in Bewegung” bezeichnet werden. Malware-Schutzeinstellungen für Elemente wie Dateien und Archive behandeln “ruhende Daten”. Die IPS-Richtlinien-Engine läuft in CSIA. Mit IPS können Sie die Arten von Bedrohungen auswählen, die verarbeitet und in den Protokollen aufgezeichnet werden. An diesen Einstellungen vorgenommene Änderungen werden automatisch über einen Knotencluster hinweg synchronisiert. Für die meisten Konfigurationen sind beide Optionen aktiviert:

  • Echtzeit-Intrusions-, Malware- und Virenschutz: Ermöglicht paket- oder streambasierte Bedrohungsüberprüfung und -abwehr
  • Private Subnetze ausschließen: Aktivieren Sie diese Option, wenn Sie den lokalen bis lokalen Datenverkehr ignorieren möchten.

Wenn das IPS eine Bedrohung erkennt, bestimmen die Bedrohungsregeln die Aktion, die es ergreift. Bei den Bedrohungsregeln wird eine von drei Aktionen ausgeführt: Überwachen, Blockieren und Deaktiviert.

Web-Filterung

Web-Kategorien sind eine schnelle und nützliche Methode, um den Webzugriff und den Datenverkehr basierend auf Sicherheitsgruppenzuordnungen zu filtern. Abhängig von der Domain hat sie basierend auf ihrer Domain eine oder mehrere Kategorien, die mit ihr verknüpft sind. Die Einstellungen für Web-Kategorien legen den Basiszugriff für eine bestimmte Gruppe fest. Erlaubnis-/Blockierlisten und Richtlinienebenen können so konfiguriert werden, dass sie detaillierter werden. Sie können für jede einzelne Kategorie aus verschiedenen Aktionsoptionen wählen. Aktionen können auf eine Webkategorie angewendet werden und sind unabhängig voneinander. Webrichtlinien in CSIA werden basierend auf der Sicherheitsgruppenzuordnung des Benutzers durchgesetzt. Die meisten Web-Sicherheitsrichtlinien auf CSIA können selektiv auf Sicherheitsgruppen oder auf mehrere Gruppen angewendet werden.

  • Domains werden basierend auf dem Inhalt ihrer Websites kategorisiert
  • Jede Kategorie hat ihre eigenen Aktionen, die unabhängig von den anderen Kategorien konfiguriert werden.
  • Domänen, denen mehrere Kategorien zugewiesen sind, unterliegen Kategorieprioritäten, die die Aktion bestimmen, auf die der Benutzer stößt.
  • Es gibt vier Hauptaktionen, die Sie einer Webkategorie zuweisen können: Zulassen, Blockieren, Stealth oder Soft Override
  • SSL-Entschlüsselung aktiviert/deaktiviert
  • Wenn eine Domain mehreren Kategorien zugeordnet ist, wird die auf sie angewendete Aktion durch die Prioritätsnummer bestimmt, die den Kategorien zugeordnet ist. Kategorien mit höheren Prioritätswerten haben Vorrang.
  • Weiche Außerkraftsetzungen — Zeigt dem Benutzer eine Sperrseite für die Kategorie an, ermöglicht dem Benutzer jedoch die Auswahl eines Soft-Override-Befehls
    • Ermöglicht dem Benutzer den Zugriff auf die URL bis zum nächsten Tag
    • Jede Blockseite, die mit einer Soft-Override angezeigt wird, wird in Reporting & Analytics als Soft-blockiert angezeigt

Blockieren oder Zulassen einer Website

Das Surfen auf Websites kann mithilfe einer Sperrliste blockiert werden. Blocklisten können verwendet werden, um den Zugriff auf Netzwerkressourcen selektiv einzuschränken. Zulassungslisten ermöglichen den Zugriff auf URLs, die durch eine Webkategorierichtlinie blockiert wurden. Erlaubnislisten können verwendet werden, um Zugriff auf bestimmte Ressourcen zu gewähren.

Es folgen die verschiedenen Möglichkeiten, Blocklisten zu konfigurieren:

  • URL-Abgleich: URLs können mithilfe von Domänen, Subdomänen, IP-Adressen, IP-Bereichen und Ports abgeglichen werden
  • Wildcards: Wildcard-Einträge können in der Sperrliste verwendet werden, indem der abschließende Schrägstrich im Pfad weggelassen wird, z. B. “mywebsite-parent-domain.com”
  • Explizit: Dies sind keine Platzhaltereinträge; sie können durch Anhängen eines Schrägstrichs an den Pfad erstellt werden. “mywebsite-parent-domain.com/”
  • Reguläre Ausdrücke: Reguläre Ausdrücke können verwendet werden, um komplexe Muster abzugleichen

Benutzerdefinierte blockierte Seiten

Eine benutzerdefinierte Blockseite kann für Benutzer erstellt werden, die versuchen, auf blockierte Inhalte zuzugreifen. Darüber hinaus kann die Sperrseite auch für Benutzer gelten, die versuchen, im Schlafmodus auf die Absicht zuzugreifen. Benutzerdefinierte Blockseiten haben die folgenden verknüpften Aktionen:

  • Weiterleitung: Benutzer zu einer bestimmten URL weiterleiten
  • Silent Drop: verhindert den Zugriff ohne zu reagieren
  • Benutzer anmelden lassen: Bypass Sie die Sperrseite, indem Sie sich bei einem Konto anmelden, das auf dem Gateway erstellt wurde

Schlüsselwörter

Die Schlüsselwortfilterung kann verwendet werden, um URLs auf bestimmte Wörter zu überprüfen.

  • Das Web Gateway kann je nach Verhalten des gesuchten Schlüsselworts Maßnahmen ergreifen, um die Aktivität des Benutzers zuzulassen oder zu blockieren.
  • CSIA enthält vordefinierte Keyword-Listen für Erwachsene und Hochrisiko-Keywords, die nach Bedarf angepasst werden können.
  • Administratoren können die vordefinierten Listen gruppenweise aktivieren.

Verhindern von Datenverlust

Das Modul Data Loss Prevention (DLP) ist eine erweiterte Analyse-Engine, die Daten während der Übertragung auf potenziellen Verlust und vertrauliche Informationen untersucht. Es beinhaltet die integrierte Erkennung von persönlich identifizierbaren Informationen (PII), Kreditkarteninformationen einschließlich Streifendaten und anderen Inhalten. Darüber hinaus können benutzerdefinierte Muster definiert werden, um Inhalte wie Daten aus CRM- oder Datenbanksystemen zu erkennen.

Das DLP-Modul bietet Schutz vor unberechtigter Cloud-Nutzung und vertraulichem Datenverlust. Dies beinhaltet den Schutz für die Verwendung von Cloud-Diensten, um sicherzustellen, dass sensible Daten in von der Organisation genehmigten Cloud-Diensten gesichert und verwaltet werden. Umfassende dateibasierte Funktionen zur Verhinderung von Datenverlust zur Erkennung, Warnung und Beendigung der Übertragung sensibler Daten. Erweiterte Erkennungsfunktionen erkennen und schützen vertrauliche Informationen in Inhalten, indem sie zahlreiche Dateitypen analysieren, einschließlich komprimierter verschachtelter Dateien

Sicherheitsbroker für Cloud-Zugriff

Das Websicherheitsmodul verfügt über umfangreiche Steuerelemente für soziale Medien und Cloud-Anwendungen. Mithilfe der Cloud Access Security Broker (CASB) App Controls können Sie den Zugriff auf gängige Online-Anwendungen und soziale Medien verwalten. Cloud App Controls können verwendet werden, um Aktivitäten in beliebten sozialen Medien und Cloud-Diensten einzuschränken. Cloud App Controls können auf bestimmte Sicherheitsgruppen angewendet werden, um Elemente wie das Posten, Liken, Folgen usw. zuzulassen oder zu blockieren.

  • Die Cloud-App-Steuerung kann verwendet werden, um die Nutzung von Social-Media-Diensten wie Pinterest, Facebook, Twitter, LinkedIn, Suchmaschinen, YouTube und Google Apps zu verwalten
  • Die Steuerelemente für jede dieser Optionen können auf Gruppenbasis angepasst werden
  • Für bestimmte Cloud- und SaaS-Dienste und Social Media-Websites muss die SSL-Entschlüsselung aktiviert sein

Mit Search Engine Controls können Sie SafeSearch-Einstellungen für verschiedene Suchmaschinen festlegen. Diese Einstellungen können auch global oder auf bestimmte Gruppen angewendet werden. Die Webbrowser-Suchmaschinen von Google, Yahoo und Bing werden unterstützt.

Sie können verhindern, dass Benutzer Dateien in verschiedene Cloud-Dienste hochladen. Das Hochladen von Dateien kann für Dropbox-, Box-, OneDrive-, Google Drive- und Generika-Datei-Uploads blockiert werden. Der YouTube-Manager kann Inhalte einschränken, Kommentare ausblenden und eine Bibliothek mit aufgelisteten Videos erstellen. Die Einstellungen des YouTube-Managers können global oder auf bestimmte Sicherheitsgruppen angewendet werden.

Der YouTube-Manager kann andere Aktionen ausführen wie:

  • Startseite: Du kannst einen Nutzer zum YouTube-Kanal von Organisationen umleiten.
  • Bandbreitenschonung: Sie können die Wiedergabe von Videos in Standard Definition erzwingen
  • Erlaubte Video-Bibliotheken: Du kannst den Zugriff auf bestimmte Videos zulassen, die durch die eingeschränkten YouTube-Sucheinstellungen blockiert wurden.

Die Microsoft CASB-Integration ermöglicht die Kontrolle der Verkehrsrichtlinien für nicht genehmigte Apps und die Sichtbarkeit von CASB-Berichten innerhalb von CSIA. Die Integration mit der Plattform “Microsoft Cloud App” ermöglicht eine detaillierte Steuerung der Verkehrsrichtlinien und Zuweisungen zum Blockieren nicht genehmigter Apps und CASB-Berichte in einem einzigen Fenster. Die Protokollierung und Statistiken des Datenverkehrs in Echtzeit werden über die API-Integration an die Plattform “Microsoft Cloud App Security” geliefert. Die Integration zwischen CSIA und Microsoft-Konfiguration wird durch einfaches Eingeben von Microsoft-Abonnementinformationen in CSIA erreicht.

Fortschrittliche Web-Sicherheit

DieSchlüsselwortfilterung wird für verwendet, um URLs auf bestimmte Keywords zu überprüfen und Benutzersuchen und Phrasen einzuschränken. Je nach Ergebnis der Inspektion können Inhalte zugelassen oder blockiert werden. Keywords können manuell hinzugefügt oder aus einer vordefinierten Liste innerhalb von CSIA bezogen werden. Eine Platzhalteroption kann für Suchanfragen mit mehreren Wörtern aktiviert werden, bei denen es sich um Teilstrings größerer Wörter handelt, die blockierte Keywords verletzen können. Beispiel für Platzhalterzeichen: Das Schlüsselwort ist “base”. Ein Platzhalter-Match für “base” blockiert sowohl das Suchwort “base” als auch “baseball”.

Portblockierung Die Konnektivität zu Netzwerkressourcen kann durch bestimmte Ports sowohl für UDP- als auch für TCP-basierte Protokolle und Richtungen eingeschränkt werden — eingehend, ausgehend oder beides. Darüber hinaus kann ein Port Block-Zeitplan angewendet werden, um den Zugriff nur zu bestimmten Tageszeiten einzuschränken. Die Steuerung zum Blockieren von Port blockiert den Internetverkehr an bestimmten Ports oder Portbereichen.

  • Jeglicher Verkehr, der die angegebenen Ports verwendet, wird vollständig blockiert.
  • Um die Steuerelemente zum Sperren von Port zu deaktivieren, setzen Sie die aktivierten Schalter für die Portbereiche, die Sie deaktivieren möchten, auf NEIN.
  • Sie können die Portbereiche für die ausgewählte Gruppe immer blockieren oder Ports mithilfe eines erweiterten Zeitplans blockieren.

Browser- und Betriebssystemkonnektivität zu Netzwerkressourcen kann durch Browser und Betriebssystem auf bestimmte Versionen beschränkt werden. Die folgenden Aktionen können auf Browser- und Betriebssystemeinschränkungen angewendet werden:

  • Blockieren Sie Folgendes: Sperrt den Internetzugang für bestimmte Browser und Betriebssystemversionen
  • Nur Folgendes zulassen: Ermöglicht den Internetzugang für bestimmte Browser und Betriebssystemversionen
  • Benutzer verschieben: Einen Benutzer für einen bestimmten Zeitraum in eine andere Sicherheitsgruppe verschieben (wenn er gegen die Einschränkungen verstoßen hat)

Inhalt und MIME-Typ Der MIME (Multipurpose Internet Mail Extensions) -Typ ist eine standardisierte Methode zur Angabe der Art und des Formats eines Dokuments.

  • MIME-Typen helfen Browsern dabei, zu verstehen, wie Dateien verarbeitet werden, die sie von einem Webserver wiederherstellen. Ein Browser ordnet seinen Inhaltstyp dem MIME-Typ zu. Sie können die Art des Inhalts steuern, auf den beim Surfen zugegriffen werden kann.

  • Die allgemeine Struktur eines MIME-Typs besteht aus einem Typ und einem Subtyp im Format [Typ]/[Subtyp]. Beispiele sind Bild/JPEG, Bild/GIF, Bild/MPEG.

Dateierweiterungen können eingeschränkt werden, um zu verhindern, dass Benutzer Dateien mit bestimmten Erweiterungen herunterladen.

  • Die Steuerung der Dateinamenerweiterung verhindert, dass bestimmte Dateinamenerweiterungen in Ihr Netzwerk heruntergeladen werden.
  • Jede Erweiterung darf maximal 15 Zeichen lang sein
  • Um eine Erweiterung aus der Sperrliste zu entfernen, aktivieren Sie das Kästchen neben der Erweiterung.

Beispielsweise kann eine Datei mit der Erweiterung ‘.exe’ Schaden anrichten, wenn sie von einem Benutzer ausgeführt wird, und kann daher für das Herunterladen eingeschränkt werden.

Domainerweiterung Mit der Domainendungssteuerung können Sie den Zugriff auf bestimmte Domainendungen pro Gruppe blockieren oder zulassen. Verwalten Sie die Liste der Domainerweiterungen für jede Gruppe nach:

  • Sperren der Domainendungen in der Liste
  • Nur Erweiterungen in der Liste über Sperren oder Nur Domainerweiterungen zulassen
  • Jede Erweiterung darf maximal 15 Zeichen lang sein

Sie können beispielsweise festlegen, dass nur Domains zugelassen werden, die auf “.com” und “.net” enden. Alle Domains, die nicht mit diesen Erweiterungen enden, werden gesperrt. Einschränkungen können eingeführt werden, um zu verhindern, dass Benutzer zu bestimmten Top-Level-Domains navigieren.

Hinweis: Das Festlegen der Top-Level-Domain-Einschränkung verhindert nicht, dass ein Benutzer Brute-Force-Browsing nach IP-Adresse durchführt

Richtlinienebenen bieten eine erweiterte Kontrolle über Web-Sicherheitsrichtlinien. Sie können Zulassungslisten, Blocklisten, Webkategoriefilter, SSL-Entschlüsselung und andere Einstellungen basierend auf verschiedenen vorkonfigurierten Kriterien anwenden. Dieses Kriterium umfasst, ist aber nicht beschränkt auf:

  • Benutzername
  • Sicherheitsgruppe
  • IP-Bereiche
  • GeoIP

Policy-Layer enthalten das Konzept der dynamischen Verknüpfung, bei dem die Richtlinien nur angewendet werden, wenn alle oder eine der Kriterienbedingungen ausgelöst werden. Darüber hinaus kann die Richtlinienebene nach erweitertem Zeitplan festgelegt werden — ähnlich dem des Internet-Schlafmodus. Proxy-Regeln zum Auslösen von Aktionen als Reaktion auf bestimmte Arten von Netzwerkaktivitäten.

  • Proxy-Regeln werden erstellt, indem sie mit Übereinstimmungsmustern verknüpft werden
  • Übereinstimmungsmuster und Regeln werden unabhängig voneinander definiert
  • Durch diese logische Trennung können sie in vielen verschiedenen Kombinationen miteinander verknüpft werden, wodurch die logischen Möglichkeiten maximiert werden
  • Eine Regel wird ausgelöst, wenn der Status der von der Regel angegebenen Übereinstimmungsmuster als “wahr” bewertet wird
  • Zu den Aktionen gehören die Domänenumleitung, das Umgehen oder Erzwingen der Proxyauthentifizierung und sogar das Ändern von HTTP-

Flow

Mit CSIA können Sie Netzwerkdaten an die Cloud weiterleiten, um Netzwerksicherheitsfunktionen auszuführen, ohne dass Inline-Appliances erforderlich sind. Das folgende Diagramm beschreibt den Prozessablauf von Anfang bis Ende.

CSIA-Prozessablauf

  1. Der Benutzer wählt einen Link aus oder gibt eine URL in den lokalen Webbrowser ein
  2. CSIA-Agent identifiziert die Mitgliedschaft des Benutzers und der Active Directory-Gruppe
  3. CSIA analysiert, ob die Domain oder URL im PAC-Skript oder -Agenten umgangen werden soll. In diesem Fall wird die Anfrage von der Cloud-Sicherheit umgangen.
  4. CSIA analysiert, ob die Anfrage vom IPS blockiert werden soll. Wenn ja, wird die Anfrage blockiert.
  5. CSIA markiert den Benutzernamen und die Richtliniengruppe für die Anfrage.
  6. CSIA analysiert, ob die Anfrage entschlüsselt wird. In diesem Fall wird die Anfrage entschlüsselt und dem Verkehrsfluss wird ein Zertifikat hinzugefügt.
  7. CSIA analysiert, ob die Anfrage mit einer Proxyblockregel übereinstimmt. Falls nein, werden die CASB-Regeln eingehalten. Wenn ja, wird die Anfrage mit den Listen Zulassen und Blockieren abgeglichen. Wenn eine Blocklistenregel mit höherer Gewichtung vorhanden ist, wird die Anforderung blockiert. Wenn nicht, ist die Anfrage zulässig.
  8. CSIA analysiert, ob die Anfrage mit einer CASB-Blockregel übereinstimmt. Wenn ja, wird die Anfrage blockiert.
  9. CSIA analysiert, ob das Ziel mit einem Eintrag in der Zulassungsliste übereinstimmt.
  10. CSIA analysiert, ob das Ziel mit einem Eintrag in der Sperrliste übereinstimmt.
  11. CSIA analysiert, ob das Ziel mit einer Malware-Blockregel übereinstimmt. Wenn ja, wird die Anfrage blockiert.
  12. CSIA analysiert, ob die Anfrage mit einer DLP-Blockregel übereinstimmt. Wenn ja, wird die Anfrage blockiert.
  13. CSIA analysiert, ob das Ziel mit einem Eintrag in der YouTube-Manager-Regel übereinstimmt. Wenn ja, wird die Anfrage blockiert.
  14. CSIA analysiert, ob das Ziel mit einer gesperrten Webkategorie übereinstimmt. Wenn ja, wird die Anfrage blockiert.
  15. CSIA analysiert, ob die IP-Adresse des Ziels durch GEO-IP-Regeln blockiert werden soll. Wenn ja, wird die Anfrage blockiert.
  16. CSIA analysiert, ob die Anfrage mit den verbleibenden Websicherheitsrichtlinien übereinstimmt. Wenn ja, wird die Anfrage blockiert. Wenn nicht, ist die Anfrage zulässig.
  17. CSIA analysiert, ob die Anforderung mit synchronisierten Microsoft MCAS-Zeilensignaturen übereinstimmt. Wenn nein, wird die Anfrage von der Cloud-Sicherheit zugelassen. Falls ja, wird die Anforderung mit den MCAS-Blockrichtlinien abgeglichen und basierend auf dem Ergebnis zugelassen oder blockiert.

Anwendungsfälle für die Integration von Citrix SD-WAN und SIA

Die Citrix SD-WAN- und CSIA-Integration bietet Flexibilität und Auswahlmöglichkeiten für ein gemischtes Profil von Zweigstellenbenutzern in einem Unternehmen. Ein Unternehmen verfügt in der Regel über eine Mischung aus verwalteten und nicht verwalteten Geräten in der Filiale, in der ein Citrix SD-WAN vorhanden ist. Mit der Integration ermöglicht der CSIA Cloud Connector SD-WAN, den Datenverkehr verwalteter Geräte in die CSIA-Cloud mithilfe des Internetdienstes (mit Load Balancing) sicher auszubrechen. Die nicht verwalteten Geräte wie BYOD- und Gastbenutzer werden mithilfe des IPsec-Tunnels zwischen Citrix SD-WAN und CSIA als Tunnelendpunkte gesichert.

CSIA mit SD-WAN

Es gibt verschiedene Möglichkeiten, Benutzer beim Zugriff auf Cloud- und SaaS-Apps zu schützen. Die Methoden decken Anwendungsfälle ab, in denen der Benutzer in der Filiale oder zu Hause hinter einer SD-WAN-Appliance sitzt oder ob der Benutzer vollständig mobil ist.

Für einen Benutzer, der in einer Unternehmenszentrale sitzt, erstellt SD-WAN automatisch eine sichere Verbindung zum nächstgelegenen CSIA-Präsenzpunkt. Der Verkehr wird über einen GRE- oder IPsec-Tunnel getunnelt. Redundanz wird sowohl über die Tunnelebene als auch über mehrere Verbindungen zu primären und sekundären Points of Presence erreicht.

Wenn ein Benutzer den Unternehmensperimeter verlässt, sorgt der auf dem Gerät installierte Cloud Connector für die Umleitung des Datenverkehrs in die CSIA-Cloud. Der Connector dient auch dazu, den Benutzer zu authentifizieren und entsprechende Zertifikate für die SSL-Entschlüsselung zu installieren.

Informationen zur Konfiguration finden Sie im folgenden PoC-Leitfaden: CSIA and SD-WAN PoC Guide

Integration mit Citrix Virtual Apps and Desktops

Citrix Virtual Apps & Desktops-Bereitstellungen können in CSIA integriert werden. Beim Zugriff von Citrix Workspace aus erhalten Benutzer eine einheitliche Erfahrung, die es ihnen ermöglicht, über eine optimierte Oberfläche auf alle geschäftsrelevanten Apps und Desktops zuzugreifen.

Die Cloud Connectors von CSIA können im Mehrbenutzermodus konfiguriert werden. Administratoren können unterschiedliche Richtlinien für verschiedene Benutzer auf Mehrbenutzersystemen wie Citrix Virtual Apps and Desktops und anderen anwenden. Anstatt dass Benutzer als Einzelbenutzer angesehen werden, werden sie als Einzelpersonen gesehen und protokolliert.

Benutzer melden sich mit Single Sign-On bei Citrix Workspace an. Sobald sie drinnen sind, haben Benutzer Zugriff auf alle veröffentlichten Apps und Desktops, einschließlich SaaS-Apps und Browser wie Chrome. Secure Private Access bietet sicheren, identitätsbewussten Zero-Trust-Zugriff auf interne Apps. CSIA bietet sicheren Zugriff auf Internet- und SaaS-Apps innerhalb veröffentlichter Apps und Desktops.

CSIA-Prozessablauf

Nehmen wir nun an, derselbe Benutzer beschließt, sich von Citrix Workspace abzumelden und auf SaaS-Apps zuzugreifen, indem er einfach einen Browser von seinem Laptop aus öffnet. Oder vielleicht entscheidet sich der Benutzer, über einen Browser auf seinem Laptop auf eine Video-Sharing-Website oder eine persönliche Filesharing-Website zuzugreifen. In all diesen und ähnlichen Fällen, in denen der Benutzer auf Internet und SaaS zugreift, ist der Benutzer weiterhin durch CSIA geschützt, auch wenn er sich außerhalb von Citrix Workspace befindet.

CSIA mit Citrix Workspace

Informationen zur Konfiguration finden Sie in der folgenden PoC-Anleitung. CSIA und Citrix Virtual Apps and Desktops PoC-Leitfaden

Tech Brief: Citrix Secure Internet Access