Controles de acceso y seguridad adaptables para aplicaciones web y SaaS empresariales: vista previa

En las situaciones cambiantes actuales, la seguridad de las aplicaciones es vital para cualquier empresa. Tomar decisiones de seguridad basadas en el contexto y, a continuación, permitir el acceso a las aplicaciones reduce los riesgos asociados a la vez que permite el acceso a los usuarios.

La función de acceso adaptable al servicio Citrix Secure Private Access ofrece un enfoque integral de acceso de confianza cero que ofrece acceso seguro a las aplicaciones. El acceso adaptable permite a los administradores proporcionar un acceso de nivel granular a las aplicaciones a las que los usuarios pueden acceder en función del contexto. El término “contexto” aquí se refiere a los usuarios, los grupos de usuarios, la postura del dispositivo y la plataforma (dispositivo móvil o equipo de escritorio) desde la que el usuario accede a la aplicación.

La función de acceso adaptativo aplica directivas contextuales a las aplicaciones a las que se accede. Estas directivas determinan los riesgos en función del contexto y toman decisiones de acceso dinámicas para conceder o denegar el acceso a las aplicaciones web empresariales o SaaS.

Funcionamiento

Para conceder o denegar el acceso a las aplicaciones, los administradores crean directivas basadas en los usuarios, los grupos de usuarios, los dispositivos desde los que los usuarios acceden a las aplicaciones, la ubicación (país o ubicación de la red) desde la que el usuario accede a la aplicación y la puntuación de riesgo del usuario.

Las directivas de acceso adaptativo tienen prioridad sobre las directivas de seguridad específicas de la aplicación que se configuran al agregar el SaaS o una aplicación web en el servicio Secure Private Access.

Por ejemplo, supongamos que la aplicación Microsoft Word está suscrita a usuarios, Emp1 y Emp2. Las opciones de seguridad mejoradas, como restringir la impresión, restringir las descargas y mostrar la marca de agua, están habilitadas para la aplicación mientras se agrega la aplicación al servicio Secure Private Access.

El administrador debe crear una directiva para aplicar la directiva a nivel de aplicación. Si la directiva contextual no coincide según el contexto, vuelve automáticamente a la directiva a nivel de aplicación. A continuación, el administrador puede crear otra directiva sin controles de seguridad contextuales para Emp2.

En este caso, las opciones de seguridad mejoradas se aplican cuando Emp1 accede a la aplicación. Sin embargo, para Emp2, la directiva de acceso adaptable sobrescribe las directivas de nivel de aplicación y, por lo tanto, las opciones de seguridad mejoradas no se aplican para Emp2.

Las directivas de acceso adaptable se evalúan en tres casos:

Clientes con derecho a acceso adaptativo

Los clientes con derecho al servicio Citrix Secure Private Access obtienen la función de acceso adaptable sin coste adicional. Además, la función de acceso adaptable debe estar habilitada para ese cliente.

Crear una directiva de acceso adaptable

1. En el mosaico del servicio Secure Private Access, haga clic en Administrar.
2. Haga clic en la ficha Administrar y, a continuación, en Acceso adaptable.

3. Haga clic en Crear directiva.

   

4. PARA USUARIOS DE ESTAS APLICACIONES: Este campo enumera todas las aplicaciones que un administrador ha configurado en el servicio Secure Private Access. Los administradores pueden seleccionar las aplicaciones a las que se debe aplicar esta directiva contextual.

5. SI SE CUMPLE LA SIGUIENTE CONDICIÓN: Seleccione el contexto para el que se debe evaluar esta directiva de acceso adaptativo.

   

6. Haga clic en Agregar condición para agregar condiciones adicionales, según sus requisitos. Se realiza una operación AND en las condiciones y, a continuación, se evalúa la directiva de acceso adaptable.

   

7. A CONTINUACIÓN, HAGA LO SIGUIENTE: Si la condición establecida coincide, los administradores pueden seleccionar la acción que se realizará para los usuarios que accedan a la aplicación.
   • Denegar acceso: Si se selecciona esta opción, se deniega el acceso a las aplicaciones. Todas las demás opciones aparecen atenuadas.

   • Permitir el acceso a las aplicaciones con los siguientes controles de seguridad: Seleccione una de las combinaciones de directivas de seguridad preestablecidas. Estas combinaciones de directivas de seguridad están predefinidas en el sistema. Los administradores no pueden modificar ni agregar otras combinaciones.

     Para aplicar una directiva de seguridad predefinida diferente al mismo conjunto de aplicaciones que ha seleccionado, los administradores deben crear una directiva y, a continuación, seleccionar la combinación de directivas de seguridad.

   • Acceso a aplicaciones solo desde clientes de escritorio de Citrix Workspace: Seleccione esta opción para permitir que los usuarios accedan a las aplicaciones solo desde los clientes de escritorio de Citrix Workspace.
   • Iniciar una aplicación a través del navegador seguro : seleccione esta opción para iniciar siempre una aplicación en el servicio de aislamiento remoto del navegador, independientemente de otras configuraciones de seguridad mejoradas.

   Nota:

   • Las opciones Preset 4, Preset 5y Preset 6 solo están habilitadas para aplicaciones web empresariales. Si un administrador ha seleccionado una aplicación SaaS junto con aplicaciones web en la lista de aplicaciones, las opciones Preset 4, Preset 5 y Preset 6 están desactivadas.

   • Los administradores pueden seleccionar una directiva de seguridad preestablecida y también seleccionar la opción de iniciar una aplicación a través del explorador seguro en la misma directiva. Ambas condiciones son independientes entre sí.

8. En NOMBRE DE LA DIRECTIVA, introduzca el nombre de la directiva.
9. Active el conmutador para habilitar la directiva.
10. Haga clic en Crear directiva.

Acceso adaptable basado en usuarios o grupos

Para configurar una directiva de acceso adaptable basada en usuarios o grupos, utilice el procedimiento Crear una directiva de acceso adaptable con los siguientes cambios.

• En SI SE CUMPLE LA SIGUIENTE CONDICIÓN, seleccione Usuarios o grupos.

• Si ha configurado varios usuarios o grupos, seleccione uno de los siguientes según sus necesidades.
  • Coincidir con todos: los usuarios o grupos deben coincidir con todos los usuarios o grupos configurados en la base de datos.
  • No coincide con ninguno: Los usuarios o grupos no coinciden con los usuarios o grupos configurados en la base de datos.
• Complete la configuración de la directiva.

Acceso adaptable basado en dispositivos

Para configurar una directiva de acceso adaptable basada en la plataforma (dispositivo móvil o equipo de escritorio) desde la que el usuario accede a la aplicación, utilice el procedimiento Crear una directiva de acceso adaptable con los siguientes cambios.

• En SI SE CUMPLE LA SIGUIENTE CONDICIÓN, seleccione Escritorio o Dispositivo móvil.
• Complete la configuración de la directiva.

Acceso adaptable según la ubicación

Un administrador puede configurar la directiva de acceso adaptable en función de la ubicación desde la que el usuario accede a la aplicación. La ubicación puede ser el país desde el que el usuario accede a la aplicación o la ubicación de red del usuario. La ubicación de la red se define mediante un rango de direcciones IP o direcciones de subred.

Para configurar una directiva de acceso adaptable basada en la ubicación, utilice el procedimiento Crear una directiva de acceso adaptable con los siguientes cambios.

• En SI SE CUMPLE LA SIGUIENTE CONDICIÓN, seleccione Ubicación geográfica o Ubicaciónde red.
• Si ha configurado varias ubicaciones geográficas o ubicaciones de red, seleccione una de las siguientes según sus necesidades.
  • Coincidir con todos: las ubicaciones geográficas o las ubicaciones de red deben coincidir con todas las ubicaciones geográficas o ubicaciones de red configuradas en la base de datos.
  • No coincide con ninguna: Las ubicaciones geográficas o las ubicaciones de red no coinciden con las ubicaciones geográficas o las ubicaciones de red configuradas en la base de datos.

  Nota:

  • Si selecciona Geolocalización, la dirección IP de origen del usuario se evalúa con la base de datos de direcciones IP. Si las direcciones IP del usuario y la dirección disponible en la base de datos coinciden, se aplica la directiva. Si las direcciones IP no coinciden, se omite esta directiva contextual y se evalúa la siguiente directiva contextual.

  • Para Ubicación de red, puede seleccionar una ubicación de red existente o crear una ubicación de red. Para crear una nueva ubicación de red, haga clic en Crear ubicación de red.

    Importante:

    Al crear una ubicación de red, es posible que la nueva ubicación de red no esté visible en la lista desplegable al instante. La nueva ubicación de red puede tardar unos 5 minutos en aparecer en la lista desplegable.

  

  • También puede crear una ubicación de red desde la consola de Citrix Cloud. Para obtener más información, consulte Configuración de ubicación de red de Citrix Cloud.
• Complete la configuración de la directiva.

Acceso adaptable en función de la postura del dispositivo

El servicio Citrix Secure Private Access proporciona acceso adaptativo basado en la postura del dispositivo mediante el uso de un Citrix Gateway local o un Citrix Gateway alojado en el cliente (autenticación adaptable) como proveedor de identidad de Citrix Workspace. Las aplicaciones web empresariales o SaaS se pueden enumerar u ocultar al usuario final en función de los resultados de la comprobación de EPA y de la directiva de acceso inteligente configurada.

Nota: La autenticación adaptable es un servicio de Citrix Cloud que permite la autenticación avanzada para los usuarios que inician sesión en Citrix Workspace. La autenticación adaptable proporciona una instancia de puerta de enlace que se ejecuta en la nube y puede configurar el mecanismo de autenticación para esta instancia, según sea necesario.

Requisitos previos

• Citrix Gateway como proveedor de identidades debe configurarse para Citrix Workspace. Para obtener más información, consulte Usar un Citrix Gateway local como proveedor de identidades de Citrix Cloud.
• Versión de Citrix ADC 13.0, compilación 82.109, o posterior.
• Las etiquetas de acceso inteligente se configuran en el dispositivo Citrix Gateway.

Comprender el flujo de los eventos

• El usuario introduce la URL del espacio de trabajo en un explorador o se conecta a un almacén de Workspace mediante una aplicación Citrix Workspace nativa.
• Se redirige al usuario a Citrix Gateway configurado como proveedor de identidades.
• Se solicita al usuario que permita que se realice una verificación de EPA en el dispositivo.
• Citrix Gateway realiza una comprobación de EPA después de que el usuario da su consentimiento para analizar el dispositivo y escribe las etiquetas de acceso inteligentes en CAS con el ID del dispositivo.
• El usuario inicia sesión en Citrix Workspace mediante el IdP de Citrix Gateway y el mecanismo de autenticación configurado.
• Citrix Gateway proporciona información de directivas de acceso inteligente a Citrix Workspace y Secure Private Access.
• Se redirige al usuario a la página principal de Citrix Workspace.
• Citrix Workspace procesa las etiquetas de acceso inteligente proporcionadas por Citrix Gateway configurado como proveedor de identidades y, a continuación, determina las aplicaciones que deben enumerarse y mostrarse al usuario final.

Caso de configuración: enumeración de aplicaciones SaaS o web empresariales basada en exploraciones de postura del dispositivo

Paso 1: Configurar directivas de acceso inteligente mediante la GUI de Citrix Gateway

1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acceso inteligente > Perfiles.
2. En la ficha Perfiles, haga clic en Agregar para crear un perfil.

1. En Etiquetas, introduzca el nombre de la etiqueta de acceso inteligente. Esta es la etiqueta que debe introducir manualmente al crear la directiva de acceso adaptable.
2. Vaya a Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acceso inteligente > Directivas.
3. Haga clic en Add para crear una directiva.

1. En Acción, seleccione el perfil creado anteriormente y haga clic en Agregar.
2. En Expression, cree la expresión de directiva y haga clic en Aceptar.

Paso 2: crear una directiva de acceso adaptable

Realice los pasos detallados en Crear una directiva de acceso adaptable.

• En SI SE CUMPLE LA SIGUIENTE CONDICIÓN, seleccione Comprobación de postura del dispositivo.
• Si ha configurado varias etiquetas de acceso inteligentes, seleccione una de las siguientes según sus necesidades.
  • Coincidir con todos: El ID del dispositivo debe coincidir con todas las etiquetas de acceso inteligente escritas con el ID del dispositivo al iniciar sesión en Citrix Workspace.
  • Coincidir con cualquiera de: El ID del dispositivo debe coincidir con una de las etiquetas escritas con el ID del dispositivo al iniciar sesión en Citrix Workspace.
  • No coincide con ninguno: El ID del dispositivo no coincide con el ID del dispositivo cuando inicia sesión en Citrix Workspace.
• En Introducir etiquetas personalizadas, escriba manualmente la etiqueta de acceso inteligente. Estas etiquetas deben ser similares a las etiquetas configuradas en Citrix Gateway (Crear perfil de acceso inteligente de autenticación > Etiquetas).

Puntos que tener en cuenta

• La evaluación de postura solo se produce cuando inicia sesión en Citrix Workspace (solo durante la autenticación).
• En la versión actual, no se realiza una evaluación continua de la postura del dispositivo. Si el contexto del dispositivo cambia después de que el usuario inicia sesión en Citrix Workspace, las condiciones de la directiva no tienen ningún impacto en la evaluación de la postura del dispositivo.
• El ID de dispositivo es un GUID generado para cada dispositivo de usuario final. El ID del dispositivo puede cambiar si se cambia el explorador utilizado para acceder a Citrix Workspace, se eliminan las cookies o se utiliza el modo incógnito/privado. Sin embargo, este cambio no afecta a la evaluación de la directiva.

Acceso adaptable basado en la puntuación de riesgo del usuario

La puntuación de riesgo del usuario es un sistema de puntuación para determinar los riesgos asociados con las actividades de los usuarios en su empresa. Los indicadores de riesgo se asignan a las actividades de los usuarios que parecen sospechosas o que pueden representar una amenaza a la seguridad de su organización. Los indicadores de riesgo se activan cuando el comportamiento del usuario se desvía de lo normal. Cada indicador de riesgo puede tener uno o más factores de riesgo asociados. Estos factores de riesgo ayudan a determinar el tipo de anomalías en los eventos de usuario. Los indicadores de riesgo y sus factores de riesgo asociados determinan la puntuación de riesgo de un usuario. La puntuación de riesgo se calcula periódicamente y hay un retraso entre la acción y la actualización de la puntuación de riesgo. Para obtener más información, consulte Indicadores de riesgo de usuarios de Citrix.

Para configurar una directiva de acceso adaptable con puntuación de riesgo, utilice el procedimiento Crear una directiva de acceso adaptable con los siguientes cambios.

• En SI SE CUMPLE LA SIGUIENTE CONDICIÓN, seleccione Puntuación de riesgo del usuario.

• Configure la directiva de acceso adaptable en función de los tres tipos siguientes de condiciones de riesgo para el usuario.

  • Etiquetas preestablecidas obtenidas del servicio CAS

    BAJO

    • MEDIANO
    • ALTO
  • Tipos de umbrales
    • Mayor o igual que
    • Menor o igual que
  • Un rango numérico
    • Rango