Configuración

Use el portal de directivas de configuración de Citrix Secure Internet Access (CSIA) para configurar los conectores en la nube y las directivas de seguridad, y para supervisar informes y registros.

Para acceder al portal de directivas de configuración:

  1. Iniciar sesión en Citrix Cloud

  2. En el mosaico Secure Internet Access, seleccione Administrar

  3. En el panel de navegación, seleccione Configuración

    La página Configuración también enumera los detalles sobre los nodos de la nube que se han configurado para usted. Todas las configuraciones que realiza están conectadas a estos nodos.

  4. Seleccione Abrir configuración de Citrix SIA para ver el portal de directivas de configuración y comenzar a configurar las funciones y las directivas de seguridad.

Página de configuración

Cómo obtener ayuda sobre la configuración

Para obtener instrucciones sobre la configuración o ayuda con cualquier página de configuración, puede realizar una de las siguientes acciones:

  • Acceda a la documentación de ayuda. En la esquina superior derecha del portal de directivas de configuración, haga clic en el menú (donde aparece su nombre) y seleccione HelpDocs. Puede ver la documentación de ayuda completa.

    Nota

    La documentación de ayuda incluye referencias a la terminología de iboss, los elementos de la interfaz de usuario de iboss, las funciones de iboss que Citrix no admite e información de compatibilidad de iboss.

    Revise el siguiente artículo antes de utilizar la documentación de ayuda: Integración de Citrix Secure Internet Access e iboss. Solo puede acceder a este artículo después de iniciar sesión en Citrix Secure Internet Access.

  • Accede a la ayuda contextual. En la esquina superior derecha de cada página de configuración, seleccione el icono de ayuda (?) para ver la documentación de ayuda correspondiente a esa página.

  • Póngase en contacto con Citrix Support. Inicie sesión con su cuenta de Citrix y abra un caso de asistencia, inicie un chat en directo o explore otras opciones disponibles para recibir ayuda.

Configurar agentes de Citrix Secure Internet Access Cloud Connector

Los agentes de CSIA Cloud Connector son agentes de software que redirigen el tráfico de Internet a través de Citrix Secure Internet Access.

Una vez finalizado el proceso de incorporación, haga lo siguiente:

  • Instalar el agente CSIA Cloud Connector en Virtual Delivery Agent (VDA): Para acceder de forma segura a aplicaciones web y SaaS no autorizadas desde escritorios virtuales en Citrix Workspace, configure los agentes de CSIA Cloud Connector para que redirijan el tráfico a través de Citrix Secure Internet Access.

    Para obtener pasos de configuración detallados, consulte Citrix Secure Internet Access with Citrix Virtual Apps and Desktops.

  • Instale el agente de CSIA Cloud Connector en su dispositivo host: Para acceder de forma segura al tráfico directo de Internet desde sus sistemas host, como equipos portátiles y dispositivos móviles, instale agentes de Cloud Connector en cada dispositivo.

Configurar túneles para sucursales

Si tiene una implementación de Citrix SD-WAN en su sucursal, debe configurar túneles IPSEC o GRE. Esto redirige el tráfico de sucursales a aplicaciones web y SaaS no autorizadas a través de Citrix Secure Internet Access. Use Citrix SD-WAN Orchestrator para configurar túneles.

En Citrix SD-WAN Orchestrator, el servicio Citrix Secure Internet Access está disponible en Configuración > Servicios de entrega > Servicio y ancho de banda.

Nota

El enlace de servicio solo está visible si es cliente de SD-WAN Orchestrator y tiene derecho a Citrix Secure Internet Access.

CSIA en SD-WAN Orchestrator

La configuración incluye los siguientes pasos de alto nivel:

  1. Cree un servicio Citrix Secure Internet Access especificando el porcentaje de ancho de banda y el porcentaje de aprovisionamiento para Internet Links.

  2. Agregue y asigne sitios SD-WAN al servicio Citrix Secure Internet Access y seleccione el túnel adecuado (IPSEC o GRE). A continuación, active la configuración para habilitar el establecimiento de túneles entre Citrix SD-WAN y Citrix Secure Internet Access PoP.

  3. Cree rutas de aplicación para dirigir el tráfico a través de los túneles.

Para obtener instrucciones detalladas, consulte Servicios de entrega: servicio Citrix Secure Internet Access.

Reasignación de usuarios

Puede minimizar la latencia para los usuarios en ubicaciones específicas mediante la redistribución de los nodos de la nube dentro de una región geográfica.

Puede realizar una solicitud para redistribuir los nodos de informes que recopilan datos de uso y los nodos de puerta de enlace que realizan funciones de seguridad. Citrix pretende entregar los nodos más cercanos a los usuarios en función de la disponibilidad de los nodos.

Importante

La reasignación de nodos provoca una breve interrupción en el servicio. La operación normalmente se lleva a cabo inmediatamente después de la activación de la cuenta, antes de que se configuren y distribuyan los conectores Citrix recomienda solicitar la reasignación de nodos al principio de la implementación para realinear los nodos más cercanos a los usuarios y para reasignar los nodos con poca frecuencia.

También puede mover usuarios entre nodos o agregarlos a un nodo si aún no están asignados a un nodo.

Solicitar la reasignación de los usuarios

Para ver, redistribuir y mantener nodos, vaya a la ficha Configuración en el menú lateral izquierdo y seleccione Solicitar reasignación de usuarios sobre la tabla.

Nota

Solo puede redistribuir nodos dentro de la misma región geográfica.

Configuración de la nube

Para configurar los ajustes del servidor Network Time Protocol (NTP), el mantenimiento de la plataforma y las versiones de actualización, vaya a la ficha Configuración y seleccione Configuración de la nube.

Parámetros de cuenta

La función Configuración de la cuenta ayuda a cambiar/anular el nombre de la cuenta de usuario que aparece para su cuenta en el portal del servicio Citrix Secure Internet Access.

Para anular el nombre de la cuenta, vaya a Configuración > Configuración de la nube > Configuración de la cuenta.

Puede ver el número de cuenta de Citrix Secure Internet Access.

Parámetros de cuenta

Nota:

El nombre de cuenta configurado inicialmente sigue presente en el portal de CSIA si no ha creado ningún nombre o si el nombre de la cuenta de anulación está deshabilitado.

  1. Habilite el nombre de la cuenta de anulación y proporcione un nombre. De forma predeterminada, Anular nombre de cuenta está deshabilitado.

    Reemplazar nombre de cuenta

    Espere un momento para ver el nombre de cuenta actualizado en el portal. Puede que tenga que volver a iniciar sesión una vez que haya cambiado el nombre de la cuenta.

  2. Haga clic en Guardar.

Servidor NTP

Para sincronizar la fecha y la hora, vaya a Servidor NTP en Configuración de la nube. Introduzca la zona horaria, el formato de fecha, la dirección del servidor NTP y la información sobre el horario de verano.

Zona horaria define la hora estándar regional utilizada para las marcas de tiempo. Después de cambiar la zona horaria, las marcas de tiempo de los eventos en los informes cambiarán para alinearse con la nueva zona horaria y mantener la continuidad. Las marcas de tiempo son relativas a la nueva zona horaria.

Formato de fecha define la estructura de la fecha en forma numérica. Este parámetro se puede establecer en mm/dd/aaaa o dd/mm/aaaa.

Elservidor NTP define la dirección del servidor NTP.

Elhorario de verano define si la zona horaria se adhiere al horario de verano. Este parámetro se puede establecer en Estados Unidos o Reino Unido, según la región de la zona horaria.

Mantenimiento de plataformas

Esta funcionalidad le permite programar los días y las horas en que se produce el mantenimiento para ayudar a garantizar que su red esté disponible durante las horas pico.

Para programar el mantenimiento automático realizado en su nombre, vaya a Mantenimiento de la plataforma en Configuración de la nubey active Ventana de mantenimiento preferida. A continuación, seleccione las fechas y horas que prefiera para el mantenimiento automático.

Configuración de lanzamiento de actualización

Para elegir los tipos de actualizaciones que se instalan en su nombre, vaya a Configuración de la versión de actualización en Configuración de la nubey seleccione uno de los siguientes niveles de versión:

  • Obligatorio, para actualizaciones críticas de plataforma y correcciones de seguridad, incluidas nuevas funciones, actualizaciones de funciones, correcciones de errores y mejoras de rendimiento.
  • Opcional, para versiones que se recomiendan pero que no incluyen correcciones críticas.
  • Acceso anticipado, para obtener acceso anticipado a nuevas funciones, actualizaciones, correcciones de errores y mejoras de rendimiento.

Parámetros de correo electrónico

Puede configurar los ajustes del servidor de correo electrónico para transmitir correos electrónicos que contengan alertas, informes programados y otras notificaciones. Para permitir que las puertas de enlace web y los nodos de informes envíen notificaciones por correo electrónico, complete el formulario en Configuración de correo electrónico en Configuración de la nube. Este proceso implica configurar la dirección del servidor SMTP para que pueda recibir notificaciones por correo electrónico.

Puede verificar la configuración del correo electrónico con la opción Probar configuración de correo electrónico. También puede rellenar la configuración de correo electrónico predeterminada mediante el botón Establecer configuración predeterminada.

Configure las direcciones de correo electrónico para recibir alertas de usuario y solicitudes de excepción de URL.

  • Correo electrónico de alerta: la dirección de destino de las alertas que se activan por palabras clave de alto riesgo.
  • Correo de excepción de URL: la dirección de destino para las solicitudes de excepción de URL enviadas desde páginas bloqueadas.

Nota

Hay alertas por correo electrónico adicionales disponibles en la página Alertas en tiempo real.

Configuración de correo electrónico SIA

Nota:

Por lo general, los servidores SMTP se configuran con listas permitidas basadas en IP para evitar el spam. Por lo tanto, debe agregar las direcciones IP de todos los nodos a la lista de permitidos del servidor SMTP.

Además, para reducir el spam, los servidores SMTP a veces utilizan otros mecanismos, como DKIM. Puede que sea necesario eximir a las puertas de enlace web y a los nodos de informes de estas restricciones en el servidor SMTP.

Si no tiene su propio servidor SMTP interno, puede usar uno de los servicios SMTP de Google. Para ello, debes tener una cuenta de Gmail válida.

Los servidores SMTP de Google usan los puertos 25, 465, 587 o una combinación de ellos. El más popular es smtp.gmail.com, que utiliza los puertos 465 (con SSL) o 587 (con TLS).

Nota:

Los servidores SMTP suelen escuchar en los puertos TCP 25, 465 o 587, pero pueden escuchar cualquier puerto en el que estén configurados para funcionar. SMTP sobre SSL usa el puerto 465 y SMTP sobre TLS usa el puerto 587. Ambos puertos 465 y 587 requieren servicios de autenticación. El puerto 25 no está cifrado y no requiere autenticación.

Cuando trabaje con puertas de enlace web locales o nodos de informes, asegúrese de que los puertos requeridos no estén restringidos.

Las configuraciones de cada uno de los tres servidores SMTP de Google son las siguientes:

Nombre de dominio totalmente cualificado Requisitos de configuración Requisitos de autenticación
smtp-relay.gmail.com Puerto 25, 465 o 587, con protocolos Secure Socket Layer (SSL) o Transport Layer Security (TLS) y una o más direcciones IP estáticas. Dirección IP.
smtp.gmail.com Puerto 465 con SSL o puerto 587 con TLS. Se permiten IP dinámicas. Su dirección de correo electrónico completa de Gmail o G Suite.
aspmx.l.google.com El correo solo se puede enviar a los usuarios de Gmail o G Suite. Se permiten IP dinámicas. Ninguno.

smtp-relay.gmail.com se usa para enviar correo desde su organización mediante la autenticación con las direcciones IP asociadas. Puede enviar mensajes a cualquier persona dentro o fuera de su dominio mediante los puertos 25, 465 o 587.

smtp.gmail.com se usa para enviar correo a cualquier persona dentro o fuera de su dominio. Requiere que se autentique con su cuenta y contraseña de Gmail o G Suite. Puede usar SMTP sobre SSL (puerto 465) o TLS (puerto 587).

aspmx.l.google.com solo se utiliza para enviar mensajes a usuarios de Gmail o G Suite. Esta opción no requiere autenticación. No puede usar SSL o TLS con este servidor SMTP, por lo que el tráfico se realiza en texto sin formato, lo que no se recomienda.

Registro anónimo

Para el cumplimiento normativo y la confidencialidad, el registro anónimo en Configuración de la nube cifra la información personal del usuario que los administradores delegados utilizan para supervisar el uso de la red.

Debe crear una clave de cifrado antes de habilitar el registro anónimo seleccionando el botón Agregar clave en el botón Habilitar registro anónimo. Introduzca un valor de 64 caracteres para la clave de cifrado en el campo Clave de cifrado. Puede introducir su propia clave de cifrado o utilizar la opción Generar clave automáticamente.

Importante:

Citrix recomienda encarecidamente que registre la clave de cifrado en una ubicación diferente antes de continuar. Necesita la clave de cifrado para descifrar los datos asociados a ella mientras estén activos en la plataforma.

Puede configurar una clave para cifrar los datos identificables de una categoría en particular habilitando las siguientes opciones en Cifrar categorías:

  • Información personal. Habilita y deshabilita el cifrado de toda la información de identificación personal, incluidos el nombre de usuario, el nombre completo y el nombre del equipo de la actividad del usuario informada.
  • Fuente de datos. Habilita y deshabilita el cifrado de toda la información relacionada con la fuente de datos de la actividad del usuario informada.
  • Nombres de grupos. Habilita y deshabilita el cifrado de los nombres de grupos que están asociados a la actividad de los usuarios informados.

También puede configurar claves de cifrado para que se apliquen solo a un conjunto concreto de grupos en la ficha Asociación de grupos. Cuando la opción Seleccionar todo está habilitada, la clave de cifrado configurada actualmente se aplica a todos los grupos de seguridad. Cuando la opción Seleccionar todo está deshabilitada, puede seleccionar los grupos de seguridad que se van a cifrar con la clave de cifrado.

Después de configurar una clave de cifrado, habilite el registro anónimo para supervisar el uso de la red en función de los registros anónimos de la actividad en línea de los usuarios.

Para eliminar una clave de cifrado definida anteriormente, seleccione los puntos suspensivos junto a la clave de cifrado correspondiente en la tabla y seleccione Eliminar.

Copia de seguridad en la nube

La configuración de Copia de seguridad en la nube sin conexión proporciona la capacidad de almacenar/guardar la configuración de copia de seguridad y los registros de los nodos de informes según la región, la ubicación y la hora que seleccione. Con la opción Backup en la nube sin conexión, puede guardar las copias de seguridad en la nube a través de la interfaz CSIA

Para habilitar la configuración de seguridad en la nube, vaya a Configuración > expanda Configuración de la nube > seleccione Copia de seguridad en la nube.

  1. Active el botón de alternancia Habilitar copia de seguridad en la nube y seleccione la región y la ubicación en la lista desplegable.

    Habilitar copia de seguridad en la nube

  2. También puede habilitar el botón de alternancia Realizar copia de seguridad en la nube automáticamente y establecer el intervalo de tiempo para ejecutar y crear la copia de seguridad diaria. Haga clic en Guardar.

    Realizar copias de seguridad en la nube

Aislamiento remoto del explorador

El aislamiento remoto del explorador es una función de protección web avanzada que proporciona seguridad contra cualquier malware o amenazas maliciosas. Con el aislamiento remoto del explorador, la funcionalidad de filtrado web de Citrix Secure Internet Access se puede utilizar junto con el servicio Secure Browser Service (SBS) para proteger la red corporativa de los ataques basados en el explorador. Para obtener más información, consulte Servicio Secure Browser.

Con la función de aislamiento remoto del explorador, puede establecer reglas para que algunos sitios web de destino en los que no se confía se aíslen e inicien solo a través del servicio de explorador seguro remoto basado en la nube. Puede crear y aplicar la regla a una combinación de grupos de usuarios y el tipo de tráfico que desee aislar.

Puede ver la lista de reglas creadas para invocar el aislamiento remoto del explorador.

Aislamiento remoto del explorador

Para establecer las reglas de redirección para el tráfico que se debe invocar, vaya a Configuración > Aislamiento remoto del explorador > haga clic en Agregar regla de redirección a SBS.

Agregar regla de RBI

  • Nombre de la regla: proporcione un nombre de regla.
  • Descripción de la regla: proporcione una descripción de la regla.
  • Tipo de coincidencia: seleccione un tipo de coincidencia, como expresiones regulares de dominio, lista de dominios, dirección IP, URL o categorías en la lista desplegable.
  • Valor: introduzca el tipo de valor de coincidencia.
  • Seleccionar grupo: seleccione un grupo en la lista desplegable.

Con la opción Agregar regla de redireccionamiento a SBS, puede crear las reglas de filtrado web en el portal de acceso seguro a Internet para redirigir el tráfico al servicio de explorador. Para cada regla de aislamiento de exploradores remotos, hay una URL de explorador segura asociada. Esto significa que, cuando las URL se inician a través del servicio de acceso seguro a Internet, si la URL coincide con una de las reglas de coincidencia de aislamiento del explorador remoto definidas, la solicitud se redirige al servicio de explorador seguro asociado.

Configuración