Citrix Secure Private Access

Controles de acceso y seguridad adaptables para aplicaciones web, TCP y SaaS empresariales

En las situaciones actuales en constante cambio, la seguridad de las aplicaciones es vital para cualquier empresa. Tomar decisiones de seguridad basadas en el contexto y, a continuación, permitir el acceso a las aplicaciones reduce los riesgos asociados a la vez que permite el acceso a los usuarios.

La función de acceso adaptable al servicio Citrix Secure Private Access ofrece un enfoque integral de acceso de confianza cero que ofrece acceso seguro a las aplicaciones. El acceso adaptable permite a los administradores proporcionar un acceso de nivel granular a las aplicaciones a las que los usuarios pueden acceder en función del contexto. El término “contexto” aquí se refiere a:

  • Usuarios y grupos (usuarios y grupos de usuarios)
  • Dispositivos (dispositivos de escritorio o móviles)
  • Ubicación (ubicación geográfica o ubicación de red)
  • Postura del dispositivo (comprobación de postura del dispositivo)
  • Riesgo (puntuación de riesgo del usuario)

La función de acceso adaptable aplica directivas adaptables a las aplicaciones a las que se accede. Estas directivas determinan los riesgos en función del contexto y toman decisiones de acceso dinámicas para conceder o denegar el acceso a las aplicaciones web empresarial, SaaS, TCP y UDP.

Funcionamiento

Para conceder o denegar el acceso a las aplicaciones, los administradores crean directivas basadas en los usuarios, los grupos de usuarios, los dispositivos desde los que los usuarios acceden a las aplicaciones, la ubicación (país o ubicación de la red) desde la que el usuario accede a la aplicación y la puntuación de riesgo del usuario.

Las directivas de acceso adaptable tienen prioridad sobre las directivas de seguridad específicas de la aplicación que se configuran al agregar el SaaS o una aplicación web en el servicio Secure Private Access. Los controles de seguridad por aplicación se sobrescriben con las directivas de acceso adaptable.

Las directivas de acceso adaptable se evalúan en tres casos:

  • Durante una enumeración de aplicaciones web, TCP o SaaS desde el servicio Secure Private Access: si se deniega el acceso a la aplicación a este usuario, el usuario no puede ver esta aplicación en el espacio de trabajo.

  • Al iniciar la aplicación: después de enumerar la aplicación y cambiar la directiva de adaptación para denegar el acceso, los usuarios no pueden iniciar la aplicación aunque la aplicación se haya enumerado anteriormente.

  • Cuando la aplicación se abre en un Citrix Enterprise Browser o en un servicio de aislamiento remoto de navegadores, Citrix Enterprise Browser aplica algunos controles de seguridad. El cliente aplica estos controles. Cuando se inicia Citrix Enterprise Browser, el servidor evalúa las directivas adaptables del usuario y las devuelve al cliente. A continuación, el cliente aplica las directivas de forma local en Citrix Enterprise Browser.

Cree una directiva de acceso adaptable con varias reglas

Puede crear varias reglas de acceso y configurar diferentes condiciones de acceso para diferentes usuarios o grupos de usuarios dentro de una única directiva. Estas reglas se pueden aplicar por separado para las aplicaciones HTTP/HTTPS y TCP/UDP, todo ello dentro de una única directiva.

Las directivas de acceso de Secure Private Access permiten habilitar o inhabilitar el acceso a las aplicaciones en función del contexto del usuario o del dispositivo del usuario. Además, puede habilitar el acceso restringido a las aplicaciones al agregar las siguientes restricciones de seguridad:

  • Restringir acceso al portapapeles
  • Restringir impresión
  • Restringir descargas
  • Restringir las subidas
  • Mostrar marca de agua
  • Limitar el registro de claves
  • Restringir la captura

Para obtener más información sobre estas restricciones, consulte Opciones de restricciones de acceso disponibles.

Asegúrese de haber completado las siguientes tareas antes de configurar una directiva de acceso.

  1. En el panel de navegación, haga clic en Directivas de acceso y, a continuación, en Crear directiva.

    Agregar una directiva

    Para los usuarios primerizos, la página de inicio de Directivas de acceso no muestra ninguna directiva. Una vez que haya creado una directiva, podrá verla listada aquí.

  2. Introduzca el nombre de la directiva y la descripción de la misma.
  3. En Aplicaciones, seleccione la aplicación o el conjunto de aplicaciones en las que se debe aplicar esta directiva.
  4. Haga clic en Crear regla para crear reglas para la directiva.

    Crear regla

  5. Introduzca el nombre de la regla y una breve descripción de la regla y, a continuación, haga clic en Siguiente.

    Detalles de la regla

  6. Selecciona las condiciones de los usuarios. La condición de usuario es una condición obligatoria que debe cumplirse para conceder acceso a las aplicaciones a los usuarios. Seleccione una de estas opciones:

    • Coincide con alguno de: Solo se permite el acceso a los usuarios o grupos que coincidan con alguno de los nombres que figuran en el campo y que pertenezcan al dominio seleccionado.
    • No coincide con ninguno: Se permite el acceso a todos los usuarios o grupos, excepto los que figuran en el campo y que pertenecen al dominio seleccionado.

    Crear condiciones de regla

  7. (Opcional) Haga clic en + para agregar varias condiciones en función del contexto.

    Al agregar condiciones en función de un contexto, se aplica una operación AND a las condiciones en las que la directiva se evalúa solo si se cumplen las condiciones de Users* y las condiciones opcionales basadas en el contexto. Puede aplicar las siguientes condiciones según el contexto.

    • Dispositivo de escritorio o móvil: Seleccione el dispositivo para el que quiere habilitar el acceso a las aplicaciones.
    • Ubicación geográfica: Seleccione la condición y la ubicación geográfica desde donde los usuarios acceden a las aplicaciones.
    • Ubicación de red: Seleccione la condición y la red mediante la cual los usuarios acceden a las aplicaciones.
    • Verificación de la postura del dispositivo: Seleccione las condiciones que debe cumplir el dispositivo del usuario para acceder a la aplicación.
    • Puntuación de riesgo del usuario: Seleccione las categorías de puntuación de riesgo en función de las cuales los usuarios deben tener acceso a la aplicación.
  8. Haga clic en Siguiente.
  9. Seleccione las acciones que se deben aplicar en función de la evaluación de la condición.

    • Para las aplicaciones HTTP/HTTPS, puede seleccionar lo siguiente:
      • Permitir el acceso
      • Permitir el acceso con restricciones
      • Denegar el acceso

      Nota:

      Si seleccionas Permitir el acceso con restricciones, debes seleccionar las restricciones que quieres aplicar a las aplicaciones. Para obtener más información sobre las restricciones, consulte Opciones de restricciones de acceso disponibles. También puede especificar si quiere que la aplicación se abra en un explorador web remoto o en Citrix Secure Browser.

    • Para el acceso a TCP/UDP, puede seleccionar lo siguiente:
      • Permitir el acceso
      • Denegar el acceso

    Crear una acción de regla

  10. Haga clic en Siguiente. La página de resumen muestra los detalles de la directiva.
  11. Puede comprobar los detalles y hacer clic en Finalizar.

    Resumen de varias reglas

Puntos a tener en cuenta después de crear una directiva

  • La directiva que ha creado aparece en la sección Reglas de directiva y está habilitada de forma predeterminada. Puede inhabilitar las reglas si es necesario. Sin embargo, asegúrese de que haya al menos una regla habilitada para que la directiva esté activa.

  • Se asigna un orden de prioridad a la directiva de forma predeterminada. La prioridad con un valor inferior tiene la preferencia más alta. La regla con el número de prioridad más bajo se evalúa primero. Si la regla (n) no coincide con las condiciones definidas, se evalúa la siguiente regla (n+1) y así sucesivamente.

    Orden de prioridad de múltiples reglas

Ejemplo de evaluación de reglas con orden de prioridad:

Suponga que ha creado dos reglas, la Regla 1 y la Regla 2. La regla 1 se asigna al usuario A y la regla 2 al usuario B y, a continuación, se evalúan ambas reglas. Supongamos que tanto la regla 1 como la regla 2 están asignadas al usuario A. En este caso, la regla 1 tiene la prioridad más alta. Si se cumple la condición de la Regla 1, se aplica la Regla 1 y se omite la Regla 2. De lo contrario, si no se cumple la condición de la Regla 1, la Regla 2 se aplica al usuario A.

Nota:

Si no se evalúa ninguna de las reglas, los usuarios no enumeran la aplicación.

Opciones de restricciones de acceso disponibles

Al seleccionar la acción Permitir el acceso con restricciones, debe seleccionar al menos una de las restricciones de seguridad. Estas restricciones de seguridad están predefinidas en el sistema. Los administradores no pueden modificar ni agregar otras combinaciones. Se pueden habilitar las siguientes restricciones de seguridad para la aplicación.

Restricciones de acceso

  • Restringir el acceso al portapapeles:deshabilita las operaciones de cortar/copiar/pegar entre la aplicación y el portapapeles del sistema.
  • Restringir la impresión:deshabilita la capacidad de imprimir desde el navegador Citrix Enterprise.
  • Restringir las descargas:deshabilita la capacidad del usuario para descargar desde la aplicación.
  • Restringir las subidas:deshabilita la capacidad del usuario de subir contenido dentro de la aplicación.
  • Mostrar marca de agua:muestra una marca de agua en la pantalla del usuario que muestra el nombre de usuario y la dirección IP de la máquina del usuario.
  • Restringir el registro de claves:protege contra los registradores de claves. Cuando un usuario intenta iniciar sesión en la aplicación con el nombre de usuario y la contraseña, todas las claves se cifran en los registradores de claves. Además, todas las actividades que el usuario realiza en la aplicación están protegidas contra el registro de claves. Por ejemplo, si las directivas de protección de aplicaciones están habilitadas para Office 365 y el usuario edita un documento de Word de Office 365, todas las pulsaciones de teclas se cifran en los registradores de teclas.
  • Restringir la captura de pantalla:desactiva la capacidad de capturar las pantallas con cualquiera de los programas o aplicaciones de captura de pantalla. Si un usuario intenta capturar la pantalla, se captura una pantalla en blanco.

Acceso adaptable basado en dispositivos

Para configurar una directiva de acceso adaptable en función de la plataforma (dispositivo móvil o equipo de escritorio) desde la que el usuario accede a la aplicación, utilice el procedimiento Crear una directiva de acceso adaptable con múltiples reglas con los siguientes cambios.

  • En la página Paso 2: Condiciones, haga clic en Agregar condición.
  • Selecciona Dispositivo de escritorio o móvil.
  • Complete la configuración de la directiva.

Directiva de acceso adaptable basada en el dispositivo

Acceso adaptable según la ubicación

Un administrador puede configurar la directiva de acceso adaptable en función de la ubicación desde la que el usuario accede a la aplicación. La ubicación puede ser el país desde el que el usuario accede a la aplicación o la ubicación de red del usuario. La ubicación de la red se define mediante un rango de direcciones IP o direcciones de subred.

Para configurar una directiva de acceso adaptable en función de la ubicación, utilice el procedimiento [Crear una directiva de acceso adaptable con múltiples reglas ] con los siguientes cambios.

  • En la página Paso 2: Condiciones, haga clic en Agregar condición.
  • Selecciona Geolocalización o Ubicación de red.
  • Si ha configurado varias ubicaciones geográficas o ubicaciones de red, seleccione una de las siguientes según sus necesidades.
    • Coincide con cualquiera de: Las ubicaciones geográficas o ubicaciones de red coinciden con cualquiera de las ubicaciones geográficas o ubicaciones de red configuradas en la base de datos.
    • No coincide con ninguna: Las ubicaciones geográficas o las ubicaciones de red no coinciden con las ubicaciones geográficas o las ubicaciones de red configuradas en la base de datos.

    Nota:

    • Si selecciona Geolocalización, la dirección IP de origen del usuario se evalúa con la dirección IP de la base de datos del país. Si la dirección IP del usuario se asigna al país de la directiva, se aplica la directiva. Si el país no coincide, se omite esta directiva adaptable y se evalúa la siguiente directiva adaptable.

    • Para Ubicación de red, puede seleccionar una ubicación de red existente o crear una ubicación de red. Para crear una nueva ubicación de red, haga clic en Crear ubicación de red.

    • Asegúrese de haber habilitado Adaptive Access desde Citrix Cloud > Citrix Workspace > Access > Adaptive Access. De lo contrario, no podrá agregar las etiquetas de ubicación. Para obtener más información, consulte Habilitar el acceso adaptable.

    • También puede crear una ubicación de red desde la consola de Citrix Cloud. Para obtener más información, consulte Configuración de ubicación de red de Citrix Cloud.

    Ubicación de red de acceso adaptable

  • Complete la configuración de la directiva.

Acceso adaptable en función de la postura del dispositivo

Puede configurar el servicio Secure Private Access para aplicar el control de acceso mediante etiquetas de postura del dispositivo. Una vez que se permite que un dispositivo inicie sesión después de la verificación de la postura del dispositivo, el dispositivo se puede clasificar como compatible o no compatible. Esta información está disponible como etiquetas para los servicios Citrix DaaS y Citrix Secure Private Access y se utiliza para proporcionar un acceso contextual en función de la postura del dispositivo.

Para obtener información completa sobre el servicio Device Posture, consulte Device Posture.

Para configurar una directiva de acceso adaptable en función de la postura del dispositivo, utilice el procedimiento Crear una directiva de acceso adaptable con múltiples reglas con los siguientes cambios.

  • En la página Paso 2: Condiciones, haga clic en Agregar condición.
  • Seleccione Verificación de postura del dispositivo y la expresión lógica en el menú desplegable.
  • Introduzca uno de los siguientes valores en las etiquetas personalizadas:
    • Compatible: para dispositivos compatibles
    • No compatible: para dispositivos que no cumplen con las normas

    Nota:

    La sintaxis de las etiquetas de clasificación de dispositivos debe introducirse de la misma manera que se capturó anteriormente, es decir, en mayúsculas iniciales (compatible y no compatible). De lo contrario, las directivas de postura del dispositivo no funcionan según lo previsto.

Directiva de acceso adaptable basada en el dispositivo

Acceso adaptable basado en la puntuación de riesgo del usuario

Importante:

Esta función solo está disponible para los clientes si tienen derecho a Security Analytics.

La puntuación de riesgo del usuario es un sistema de puntuación para determinar los riesgos asociados con las actividades de los usuarios en su empresa. Los indicadores de riesgo se asignan a las actividades de los usuarios que parecen sospechosas o que pueden representar una amenaza a la seguridad de su organización. Los indicadores de riesgo se activan cuando el comportamiento del usuario se desvía de lo normal. Cada indicador de riesgo puede tener uno o más factores de riesgo asociados. Estos factores de riesgo ayudan a determinar el tipo de anomalías en los eventos de usuario. Los indicadores de riesgo y sus factores de riesgo asociados determinan la puntuación de riesgo de un usuario. La puntuación de riesgo se calcula periódicamente y hay un retraso entre la acción y la actualización de la puntuación de riesgo. Para obtener más información, consulte Indicadores de riesgo de usuarios de Citrix.

Para configurar una directiva de acceso adaptable con puntuación de riesgo, utilice el procedimiento Crear una directiva de acceso adaptable con múltiples reglas con los siguientes cambios.

  • En la página Paso 2: Condiciones, haga clic en Agregar condición.
  • Seleccione Puntuación de riesgo del usuario y, a continuación, seleccione la condición de riesgo.

    • Etiquetas preestablecidas obtenidas del servicio CAS

      • BAJO 1—69
      • MEDIANO 70—89
      • ALTO 90-100

      Nota:

      Una puntuación de riesgo de 0 no se considera que tenga un nivel de riesgo “Bajo. “

    • Tipos de umbrales
      • Mayor o igual que
      • Menor o igual que
    • Un rango numérico
      • Rango

Condición de puntuación de riesgo

Controles de acceso y seguridad adaptables para aplicaciones web, TCP y SaaS empresariales