Citrix Secure Private Access

Controles de acceso y seguridad adaptables para aplicaciones web, TCP y SaaS empresariales

En las situaciones cambiantes actuales, la seguridad de las aplicaciones es vital para cualquier empresa. Tomar decisiones de seguridad basadas en el contexto y, a continuación, permitir el acceso a las aplicaciones reduce los riesgos asociados a la vez que permite el acceso a los usuarios.

La función de acceso adaptable al servicio Citrix Secure Private Access ofrece un enfoque integral de acceso de confianza cero que ofrece acceso seguro a las aplicaciones. El acceso adaptable permite a los administradores proporcionar un acceso de nivel granular a las aplicaciones a las que los usuarios pueden acceder en función del contexto. El término “contexto” aquí se refiere a:

  • Usuarios y grupos (usuarios y grupos de usuarios)
  • Dispositivos (dispositivos de escritorio o móviles)
  • Ubicación (ubicación geográfica o ubicación de red)
  • Posición del dispositivo (comprobación de la posición del dispositivo)
  • Riesgo (puntuación de riesgo del usuario)

La función de acceso adaptable aplica directivas adaptables a las aplicaciones a las que se accede. Estas directivas determinan los riesgos en función del contexto y toman decisiones de acceso dinámico para conceder o denegar el acceso a las aplicaciones web empresarial, TCP o SaaS.

Funcionamiento

Para conceder o denegar el acceso a las aplicaciones, los administradores crean directivas basadas en los usuarios, los grupos de usuarios, los dispositivos desde los que los usuarios acceden a las aplicaciones, la ubicación (país o ubicación de la red) desde la que el usuario accede a la aplicación y la puntuación de riesgo del usuario.

Las directivas de acceso adaptable tienen prioridad sobre las directivas de seguridad específicas de la aplicación que se configuran al agregar el SaaS o una aplicación web en el servicio Secure Private Access. Las directivas de acceso adaptables sobrescriben los controles de seguridad mejorados por aplicación.

Las directivas de acceso adaptable se evalúan en tres casos:

  • Durante una enumeración de aplicaciones web, TCP o SaaS desde el servicio Secure Private Access: si se deniega el acceso a la aplicación a este usuario, el usuario no puede ver esta aplicación en el espacio de trabajo.

  • Al iniciar la aplicación: después de enumerar la aplicación y cambiar la directiva de adaptación para denegar el acceso, los usuarios no pueden iniciar la aplicación aunque la aplicación se haya enumerado anteriormente.

  • Cuando la aplicación se abre en un explorador integrado o en un Secure Browser Service, el explorador integrado aplica algunos controles de seguridad. El cliente aplica estos controles. Cuando se inicia el explorador integrado, el servidor evalúa las directivas de adaptación para el usuario y devuelve esas directivas al cliente. A continuación, el cliente aplica las directivas localmente en el explorador integrado.

Crear una directiva de acceso adaptable

  1. En el mosaico del servicio Secure Private Access, haga clic en Administrar.
  2. En la página de inicio de Secure Private Access, haga clic en Directivas de acceso en la página de navegación.
  3. Haga clic en Crear directiva.

    Nota:

    Para los usuarios primerizos, la página de inicio de Directivas de acceso no muestra ninguna directiva. Haga clic en Crear directiva para crear una directiva. Una vez que haya creado una directiva, podrá verla listada aquí.

Agregar una directiva

  1. Para estas aplicaciones : este campo enumera todas las aplicaciones que un administrador ha configurado en el servicio Secure Private Access. Los administradores pueden seleccionar las aplicaciones a las que se debe aplicar esta directiva adaptable.

  2. Si se cumple la siguiente condición, seleccione el contexto para el que se debe evaluar esta directiva de acceso adaptable.

    Directiva

  3. Haga clic en Agregar condición para agregar condiciones adicionales, según sus requisitos. Se realiza una operación AND en las condiciones y, a continuación, se evalúa la directiva de acceso adaptable.

    Denegar o permitir el acceso

  4. A continuación, haga lo siguiente: Si la condición establecida coincide, los administradores pueden seleccionar la acción que se realizará para los usuarios que accedan a la aplicación.
    • Denegar acceso: Si se selecciona esta opción, se deniega el acceso a las aplicaciones. Todas las demás opciones aparecen atenuadas.
    • Permitir el acceso a las aplicaciones con los siguientes controles de seguridad: Seleccione una de las combinaciones de directivas de seguridad preestablecidas. Estas combinaciones de directivas de seguridad están predefinidas en el sistema. Los administradores no pueden modificar ni agregar otras combinaciones.

      Para aplicar una directiva de seguridad preestablecida diferente al mismo conjunto de aplicaciones que ha seleccionado, los administradores deben crear una directiva y, a continuación, seleccionar la combinación de directivas de seguridad.

    • Acceso a aplicaciones solo desde clientes de escritorio de Citrix Workspace: Seleccione esta opción para permitir que los usuarios accedan a las aplicaciones solo desde los clientes de escritorio de Citrix Workspace.
    • Iniciar una aplicación a través del explorador seguro: Seleccione esta opción para iniciar siempre una aplicación en el Secure Browser Service, independientemente de otras configuraciones de seguridad mejoradas.

    Nota:

    • Las opciones Preset 4, Preset 5y Preset 6 solo están habilitadas para aplicaciones web empresariales. Si un administrador ha seleccionado una aplicación SaaS junto con aplicaciones web en la lista de aplicaciones, las opciones Preset 4, Preset 5 y Preset 6 están desactivadas.

    • Los administradores pueden seleccionar una directiva de seguridad preestablecida y también seleccionar la opción de iniciar una aplicación a través del explorador seguro en la misma directiva. Ambas condiciones son independientes entre sí.

  5. En Nombre de la directiva, introduzca el nombre de la directiva.
  6. Active el conmutador para habilitar la directiva.
  7. Haga clic en Crear directiva.

Acceso adaptable basado en usuarios o grupos

Para configurar una directiva de acceso adaptable basada en usuarios o grupos, utilice el procedimiento Crear una directiva de acceso adaptable con los siguientes cambios.

  • En Si se cumple la siguiente condición, seleccione Usuarios o grupos.

  • Si ha configurado varios usuarios o grupos, seleccione uno de los siguientes según sus necesidades.
    • Coincide con cualquiera de: Los usuarios o grupos coinciden con cualquiera de los usuarios o grupos configurados en la base de datos.
    • No coincide con ninguno: Los usuarios o grupos no coinciden con los usuarios o grupos configurados en la base de datos.
  • Complete la configuración de la directiva.

Directiva de acceso adaptable basada en el grupo de usuarios

Acceso adaptable basado en dispositivos

Para configurar una directiva de acceso adaptable basada en la plataforma (dispositivo móvil o equipo de escritorio) desde la que el usuario accede a la aplicación, utilice el procedimiento Crear una directiva de acceso adaptable con los siguientes cambios.

  • En Si se cumple la siguiente condición, seleccione Escritorio o Dispositivo móvil.
  • Complete la configuración de la directiva.

Directiva de acceso adaptable basada en el dispositivo

Acceso adaptable según la ubicación

Un administrador puede configurar la directiva de acceso adaptable en función de la ubicación desde la que el usuario accede a la aplicación. La ubicación puede ser el país desde el que el usuario accede a la aplicación o la ubicación de red del usuario. La ubicación de la red se define mediante un rango de direcciones IP o direcciones de subred.

Para configurar una directiva de acceso adaptable basada en la ubicación, utilice el procedimiento Crear una directiva de acceso adaptable con los siguientes cambios.

  • En Si se cumple la siguiente condición, seleccione Ubicación geográfica o Ubicaciónde red.
  • Si ha configurado varias ubicaciones geográficas o ubicaciones de red, seleccione una de las siguientes según sus necesidades.
    • Coincide con cualquiera de: Las ubicaciones geográficas o ubicaciones de red coinciden con cualquiera de las ubicaciones geográficas o ubicaciones de red configuradas en la base de datos.
    • No coincide con ninguna: Las ubicaciones geográficas o las ubicaciones de red no coinciden con las ubicaciones geográficas o las ubicaciones de red configuradas en la base de datos.

    Nota:

    • Si selecciona Geolocalización, la dirección IP de origen del usuario se evalúa con la dirección IP de la base de datos del país. Si la dirección IP del usuario se asigna al país de la directiva, se aplica la directiva. Si el país no coincide, se omite esta directiva adaptable y se evalúa la siguiente directiva adaptable.

    • Para Ubicación de red, puede seleccionar una ubicación de red existente o crear una ubicación de red. Para crear una nueva ubicación de red, haga clic en Crear ubicación de red.

    Acceso adaptable a la nueva ubicación de red

  • Complete la configuración de la directiva.

Directiva de acceso adaptable basada en la ubicación

Acceso adaptable en función de la postura del dispositivo

El servicio Citrix Secure Private Access proporciona acceso adaptable en función de la postura del dispositivo mediante el uso de un Citrix Gateway local o un Citrix Gateway alojado en Citrix (autenticación adaptable) como proveedor de identidad de Citrix Workspace. Las aplicaciones web empresarial, TCP o SaaS se pueden enumerar u ocultar al usuario final según los resultados de las comprobaciones de la EPA y la directiva de acceso inteligente configurada.

Nota: La autenticación adaptable es un servicio de Citrix Cloud que permite la autenticación avanzada para los usuarios que inician sesión en Citrix Workspace. La autenticación adaptable proporciona una instancia de puerta de enlace que se ejecuta en la nube y puede configurar el mecanismo de autenticación para esta instancia, según sea necesario.

Requisitos previos

Comprender el flujo de los eventos

  • El usuario introduce la URL del espacio de trabajo en un explorador o se conecta a un almacén de Workspace mediante una aplicación Citrix Workspace nativa.
  • Se redirige al usuario a Citrix Gateway configurado como proveedor de identidades.
  • Se solicita al usuario que permita que se realice una verificación de la EPA en el dispositivo.
  • Citrix Gateway realiza una comprobación de la EPA después de que el usuario da su consentimiento para analizar el dispositivo y escribe las etiquetas de acceso inteligentes en CAS con el ID del dispositivo.
  • El usuario inicia sesión en Citrix Workspace mediante el IdP de Citrix Gateway y el mecanismo de autenticación configurado.
  • Citrix Gateway proporciona información de directivas de acceso inteligente a Citrix Workspace y Secure Private Access.
  • Se redirige al usuario a la página principal de Citrix Workspace.
  • Citrix Workspace procesa las etiquetas de acceso inteligente proporcionadas por Citrix Gateway configurado como proveedor de identidades y, a continuación, determina las aplicaciones que deben enumerarse y mostrarse al usuario final.

Caso de configuración: Enumeración de aplicaciones web, TCP o SaaS empresariales según los análisis de postura del dispositivo

Paso 1: Configurar directivas de acceso inteligente mediante la GUI de Citrix Gateway

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acceso inteligente > Perfiles.
  2. En la ficha Perfiles, haga clic en Agregar para crear un perfil.

Crear un perfil para la comprobación de la postura del dispositivo

  1. En Etiquetas, introduzca el nombre de la etiqueta de acceso inteligente. Esta es la etiqueta que debe introducir manualmente al crear la directiva de acceso adaptable.
  2. Vaya a Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acceso inteligente > Directivas.
  3. Haga clic en Agregar para crear una directiva.

Crear una directiva para la comprobación de la postura del dispositivo

  1. En Acción, seleccione el perfil creado anteriormente y haga clic en Agregar.
  2. En Expression, cree la expresión de directiva y haga clic en Aceptar.

Paso 2: crear una directiva de acceso adaptable

Realice los pasos que se detallan en Crear un procedimiento de directiva de acceso adaptable con los siguientes cambios.

Condiciones de coincidencia de acceso adaptables

  • En Si se cumple la siguiente condición, seleccione Comprobación de postura del dispositivo.
  • Si ha configurado varias etiquetas de acceso inteligentes, seleccione una de las siguientes según sus necesidades.
    • Coincide con todos: El ID del dispositivo coincide con todas las etiquetas de acceso inteligente escritas con el ID del dispositivo cuando inicia sesión en Citrix Workspace.
    • Coincide con cualquiera de: El ID del dispositivo coincide con cualquiera de las etiquetas escritas en el ID del dispositivo cuando inicia sesión en Citrix Workspace.
    • No coincide con ninguno: El ID del dispositivo no coincide con el ID del dispositivo cuando inicia sesión en Citrix Workspace.
  • En Introducir etiquetas personalizadas, escriba manualmente la etiqueta de acceso inteligente. Estas etiquetas deben ser similares a las etiquetas configuradas en Citrix Gateway (Crear perfil de acceso inteligente de autenticación > Etiquetas).

Puntos que tener en cuenta

  • La evaluación de postura solo se produce cuando inicia sesión en Citrix Workspace (solo durante la autenticación).
  • En la versión actual, no se realiza una evaluación continua de la postura del dispositivo. Si el contexto del dispositivo cambia después de que el usuario inicia sesión en Citrix Workspace, las condiciones de la directiva no tienen ningún impacto en la evaluación de la postura del dispositivo.
  • El ID de dispositivo es un GUID generado para cada dispositivo de usuario final. El ID del dispositivo puede cambiar si se cambia el explorador utilizado para acceder a Citrix Workspace, se eliminan las cookies o se utiliza el modo incógnito/privado. Sin embargo, este cambio no afecta a la evaluación de la directiva.

Acceso adaptable basado en la puntuación de riesgo del usuario

Importante:

Esta función solo está disponible para los clientes si tienen derecho a Security Analytics.

La puntuación de riesgo del usuario es un sistema de puntuación para determinar los riesgos asociados con las actividades de los usuarios en su empresa. Los indicadores de riesgo se asignan a las actividades de los usuarios que parecen sospechosas o que pueden representar una amenaza a la seguridad de su organización. Los indicadores de riesgo se activan cuando el comportamiento del usuario se desvía de lo normal. Cada indicador de riesgo puede tener uno o más factores de riesgo asociados. Estos factores de riesgo ayudan a determinar el tipo de anomalías en los eventos de usuario. Los indicadores de riesgo y sus factores de riesgo asociados determinan la puntuación de riesgo de un usuario. La puntuación de riesgo se calcula periódicamente y hay un retraso entre la acción y la actualización de la puntuación de riesgo. Para obtener más información, consulte Indicadores de riesgo de usuarios de Citrix.

Para configurar una directiva de acceso adaptable con puntuación de riesgo, utilice el procedimiento Crear una directiva de acceso adaptable con los siguientes cambios.

  • En Si se cumple la siguiente condición, seleccione Puntuación de riesgo del usuario.

  • Configure la directiva de acceso adaptable en función de los tres tipos siguientes de condiciones de riesgo para el usuario.

    • Etiquetas preestablecidas obtenidas del servicio CAS

      • BAJO 1—69
      • MEDIANO 70—89
      • ALTO 90-100

      Nota:

      Una puntuación de riesgo de 0 no se considera que tenga un nivel de riesgo “Bajo. “

    • Tipos de umbrales
      • Mayor o igual que
      • Menor o igual que
    • Un rango numérico
      • Rango

Condición de puntuación de riesgo

Puntuación de riesgo

Controles de acceso y seguridad adaptables para aplicaciones web, TCP y SaaS empresariales