Descripción general de la solución del servicio Secure Private Access

Resumen de la solución

Las soluciones VPN tradicionales requieren que los dispositivos de los usuarios finales se administren, proporcionen acceso a nivel de red y apliquen directivas de control de acceso estáticas. Citrix Secure Private Access ofrece al departamento de TI un conjunto de controles de seguridad para protegerse contra las amenazas de los dispositivos BYO, lo que brinda a los usuarios la opción de acceder a sus aplicaciones autorizadas por TI desde cualquier dispositivo, ya sea administrado o BYO.

Citrix Secure Private Access ofrece autenticación adaptativa, soporte de inicio de sesión único y controles de seguridad mejorados para las aplicaciones. Secure Private Access también brinda la capacidad de escanear el dispositivo del usuario final antes de establecer una sesión mediante el servicio Device Posture. En función de los resultados de la autenticación adaptativa o la postura del dispositivo, los administradores pueden definir los métodos de autenticación de las aplicaciones.

Seguridad adaptativa

La autenticación adaptativa determina el flujo de autenticación correcto para la solicitud actual. La autenticación adaptativa puede identificar la posición del dispositivo, la ubicación geográfica, el segmento de red y la organización del usuario o la pertenencia al departamento. Según la información obtenida, un administrador puede definir cómo quiere autenticar a los usuarios en sus aplicaciones autorizadas por TI. Esto permite a las organizaciones implementar el mismo marco de directivas de autenticación en todos los recursos, incluidas las aplicaciones SaaS públicas, las aplicaciones web privadas, las aplicaciones cliente-servidor privadas y los escritorios como servicio (DaaS). Para obtener más información, consulte Adaptive Security.

Acceso a la aplicación

Secure Private Access puede crear una conexión a las aplicaciones web locales sin depender de una VPN. Esta conexión sin VPN utiliza un Connector Appliance implementado localmente. El Connector Appliance crea un canal de control de salida para la suscripción a Citrix Cloud de la organización. Desde allí, Secure Private Access puede canalizar las conexiones a las aplicaciones web internas sin necesidad de una VPN. Para obtener más información, consulte Acceso a la aplicación.

Single Sign-On

Con la autenticación adaptativa, las organizaciones pueden proporcionar directivas de autenticación sólidas para ayudar a reducir el riesgo de que las cuentas de usuario se vean comprometidas. Las capacidades de inicio de sesión único de Secure Private Access utilizan las mismas directivas de autenticación adaptativa para todas las aplicaciones SaaS, web privada y cliente-servidor. Para obtener más información, consulte Inicio de sesión único.

Seguridad del navegador

Secure Private Access permite a los usuarios finales navegar por Internet de forma segura con un explorador web empresarial seguro y administrado centralmente. Cuando un usuario final lanza una aplicación web privada o SaaS, se toman varias decisiones de forma dinámica para decidir cuál es la mejor manera de ofrecer el mejor servicio a esta aplicación. Para obtener más información, consulte Seguridad del navegador.

Postura del dispositivo

El servicio de postura del dispositivo permite al administrador definir directivas para comprobar la postura de los dispositivos de punto final que intentan acceder a los recursos corporativos de forma remota. Según el estado de cumplimiento de un punto final, el servicio de postura del dispositivo puede denegar el acceso o proporcionar acceso restringido o total a las aplicaciones y escritorios corporativos.

Cuando un usuario final inicia una conexión con Citrix Workspace, el cliente Device Posture recopila información sobre los parámetros del punto final y la comparte con el servicio Device Posture para determinar si la postura del punto final cumple con los requisitos de la directiva.

La integración del servicio Device Posture con Citrix Secure Private Access permite el acceso seguro a aplicaciones SaaS, web, TCP y UDP desde cualquier lugar, con la resiliencia y la escalabilidad de Citrix Cloud. Para obtener más información, consulte Postura del dispositivo.

Soporte para aplicaciones TCP y UDP

En ocasiones, los usuarios remotos necesitan acceder a aplicaciones cliente-servidor privadas que tienen su interfaz en el punto final y su servidor en un centro de datos. Las organizaciones pueden aplicar legítimamente directivas de seguridad estrictas en torno a estas aplicaciones internas y privadas, lo que dificulta que los usuarios remotos accedan a estas aplicaciones sin comprometer los protocolos de seguridad.

El servicio Secure Private Access aborda las vulnerabilidades de seguridad de TCP y UDP al permitir que ZTNA brinde un acceso seguro a estas aplicaciones. Los usuarios ahora pueden acceder a todas las aplicaciones privadas, incluidas las aplicaciones TCP, UDP y HTTPS, mediante un explorador nativo o una aplicación cliente nativa a través del cliente Citrix Secure Access que se ejecuta en sus máquinas.

Los usuarios deben instalar el cliente Citrix Secure Access en sus dispositivos cliente.

• Para Windows, la versión del cliente (22.3.1.5 y versiones posteriores) se puede descargar desde. https://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.html
• Para macOS, la versión del cliente (22.02.3 y posteriores) se puede descargar de la App Store.

Para obtener más información, consulte Compatibilidad con aplicaciones cliente-servidor.

Configurar Citrix Secure Private Access

Habilite el acceso de red de confianza cero a las aplicaciones SaaS, las aplicaciones web internas y las aplicaciones TCP y UDP mediante la consola de administración de Secure Private Access. Esta consola incluye la configuración de la autenticación adaptativa, las aplicaciones que incluyen la suscripción de usuarios y las directivas de acceso adaptativo.

Configurar la identidad y la autenticación

Seleccione el método de autenticación para que los suscriptores inicien sesión en Citrix Workspace. La autenticación adaptable es un servicio de Citrix Cloud que permite la autenticación avanzada para clientes y usuarios que inician sesión en Citrix Workspace.

Para obtener más información, consulte Configurar la identidad y la autenticación.

Enumerar y publicar aplicaciones

Después de seleccionar el método de autenticación, configure las aplicaciones web, SaaS o TCP y UDP mediante la consola de administración. Para obtener más información, consulte Agregar y administrar aplicaciones.

Habilite controles de seguridad mejorados

Para proteger el contenido, las organizaciones incorporan directivas de seguridad mejoradas en las aplicaciones SaaS. Cada directiva impone una restricción en Citrix Enterprise Browser cuando se usa la aplicación Workspace para escritorio o en Secure Browser cuando se usa la aplicación Workspace web o móvil.

• Restringir el acceso al portapapeles: inhabilita las operaciones de cortar/copiar/pegar entre la aplicación y el portapapeles del sistema.
• Restringir la impresión: inhabilita la capacidad de imprimir desde el navegador Citrix Enterprise.
• Restringir descargas: inhabilita la capacidad del usuario de descargar desde la aplicación.
• Restringir las subidas: inhabilita la capacidad del usuario de subir contenido desde la aplicación.
• Mostrar marca de agua: muestra una marca de agua en la pantalla del usuario que muestra el nombre de usuario y la dirección IP de la máquina del usuario.
• Restringir el registro de claves: protege contra los registradores de claves. Cuando un usuario intenta iniciar sesión en la aplicación con el nombre de usuario y la contraseña, todas las claves se cifran en los registradores de claves. Además, todas las actividades que el usuario realiza en la aplicación están protegidas contra el registro de claves. Por ejemplo, si las directivas de protección de aplicaciones están habilitadas para Office 365 y el usuario edita un documento de Word de Office 365, todas las pulsaciones de teclas se cifran en los registradores de teclas.
• Restringir la captura de pantalla: desactiva la capacidad de capturar las pantallas mediante cualquiera de los programas o aplicaciones de captura de pantalla. Si un usuario intenta capturar la pantalla, se captura una pantalla en blanco.

Para obtener más información, consulte Configurar una directiva de acceso.

Habilite Citrix Enterprise Browser para el lanzamiento de aplicaciones

Secure Private Access permite a los usuarios finales lanzar sus aplicaciones mediante Citrix Enterprise Browser (CEB). CEB es un explorador basado en cromo integrado con la aplicación Citrix Workspace que permite una experiencia de acceso segura y sin problemas para acceder a aplicaciones web y SaaS desde Citrix Enterprise Browser.

CEB se puede configurar como navegador preferido o como su navegador de trabajo para todas las aplicaciones web o aplicaciones SaaS alojadas internamente con directivas de seguridad. CEB permite a los usuarios abrir todos los dominios de aplicaciones SaaS/web configurados dentro de un entorno seguro y controlado.

Habilitar Citrix Enterprise Browser

Los administradores pueden usar el servicio de configuración global de aplicaciones (GACS) para configurar Citrix Enterprise Browser como el explorador predeterminado para lanzar aplicaciones web y SaaS desde la aplicación Citrix Workspace.

Configuración mediante API:

Para configurarlo, este es un archivo JSON de ejemplo para habilitar Citrix Enterprise Browser para todas las aplicaciones de forma predeterminada:

"settings": [
                  {
                     "name": "open all apps in ceb",
                     "value": "true"
                  }
                  ]
<!--NeedCopy-->

El valor predeterminado es true.

Configuración mediante GUI:

Seleccione los dispositivos para los que CEB debe convertirse en el navegador predeterminado para el lanzamiento de la aplicación.

Para obtener más información, consulte Administrar Citrix Enterprise Browser a través de GACS.

Configurar etiquetas para el acceso contextual mediante Device Posture

Tras la verificación de la postura del dispositivo, el dispositivo puede iniciar sesión y se clasifica como compatible o no compatible. Esta clasificación está disponible como etiquetas para el servicio Secure Private Access y se utiliza para proporcionar acceso contextual en función de la posición del dispositivo.

1. Inicie sesión en Citrix Cloud.
2. En el mosaico Acceso privado seguro, haga clic en Administrar .
3. Haga clic en Directivas de acceso en el menú de navegación de la izquierda y, a continuación, en Crear directiva.
4. Introduzca el nombre de la directiva y la descripción de la misma.
5. En Aplicaciones, seleccione la aplicación o el conjunto de aplicaciones en las que se debe aplicar esta directiva.
6. Haga clic en Crear regla para crear reglas para la directiva.
7. Introduzca el nombre de la regla y una breve descripción de la regla y, a continuación, haga clic en Siguiente.
8. Selecciona las condiciones de los usuarios. La condición de usuario es una condición obligatoria que debe cumplirse para conceder acceso a las aplicaciones a los usuarios.
9. Haga clic en + para agregar la condición de postura del dispositivo.
10. Seleccione Verificación de postura del dispositivo y la expresión lógica en el menú desplegable.

11. Introduzca uno de los siguientes valores en las etiquetas personalizadas:

    

    • Compatible: para dispositivos compatibles
    • No compatible: para dispositivos que no cumplen con las normas
12. Haga clic en Siguiente.

13. Seleccione las acciones que se deben aplicar en función de la evaluación de la condición y, a continuación, haga clic en Siguiente.

    La página de resumen muestra los detalles de la directiva.

14. Compruebe los detalles y haga clic en Finalizar .

Nota:

Cualquier aplicación de Secure Private Access que no esté etiquetada como compatible o no conforme en la directiva de acceso se trata como la aplicación predeterminada y se puede acceder a ella en todos los terminales, independientemente de la postura del dispositivo.

Experiencia del usuario final

El administrador de Citrix tiene la facultad de ampliar el control de seguridad con la ayuda de Citrix Secure Private Access. La aplicación Citrix Workspace es un punto de entrada para acceder a todos los recursos de forma segura. Los usuarios finales pueden acceder a aplicaciones virtuales, escritorios, aplicaciones SaaS y archivos a través de la aplicación Citrix Workspace. Con Citrix Secure Private Access, los administradores pueden controlar la forma en que el usuario final accede a una aplicación SaaS a través de la interfaz de usuario web de Citrix Workspace Experience o del cliente nativo de la aplicación Citrix Workspace.

Cuando el usuario inicia la aplicación Workspace en el endpoint, ve sus aplicaciones, escritorios, archivos y aplicaciones SaaS. Si un usuario hace clic en la aplicación SaaS cuando la seguridad mejorada está inhabilitada, la aplicación se abre en un navegador estándar que se instala localmente. Si el administrador ha habilitado la seguridad mejorada, las aplicaciones SaaS se abren en el CEB dentro de la aplicación Workspace. La accesibilidad a los hipervínculos dentro de las aplicaciones SaaS y las aplicaciones web se controla en función de las directivas de sitios web no autorizados. Para obtener más información sobre los sitios web no autorizados, consulte Sitios web noautorizados.

Del mismo modo, con el portal web de Workspace, cuando la seguridad mejorada está inhabilitada, las aplicaciones SaaS se abren en un navegador estándar que se instala de forma nativa. Cuando se habilita la seguridad mejorada, las aplicaciones SaaS se abren en el navegador remoto seguro. Los usuarios pueden acceder a los sitios web dentro de las aplicaciones SaaS en función de las directivas de sitios web no autorizados. Para obtener más información sobre los sitios web no autorizados, consulte Sitios web noautorizados.

Panel de análisis

El panel del servicio Secure Private Access muestra los datos de diagnóstico y uso de las aplicaciones SaaS, Web, TCP y UDP. El panel de control proporciona a los administradores una visibilidad completa de sus aplicaciones, usuarios, estado de los conectores y uso del ancho de banda en un solo lugar para su consumo. Estos datos se obtienen de Citrix Analytics. Las métricas se clasifican en líneas generales en las siguientes categorías.

• Registro y solución de problemas
• Usuarios
• Aplicaciones
• Directivas de acceso

Para obtener más información, consulte Panel de mandos.

Solucionar problemas con las aplicaciones

El gráfico de registros de diagnóstico del panel de control de Secure Private Access proporciona visibilidad de los registros relacionados con la autenticación, el inicio de aplicaciones, la enumeración de aplicaciones y los registros de estado de los dispositivos.

• Código de información: algunos eventos de registro, como los errores, tienen un código de información asociado. Al hacer clic en el código de información, los usuarios se redirigen a los pasos de resolución o a más información sobre ese evento.
• ID de transacción: los registros de diagnóstico también muestran un ID de transacción que correlaciona todos los registros de Secure Private Access de una solicitud de acceso. Una solicitud de acceso a una aplicación puede generar varios registros, empezando por la autenticación, luego por la enumeración de aplicaciones dentro de la aplicación del espacio de trabajo y, por último, por el acceso a la aplicación en sí. Todos estos eventos generan sus propios registros. El ID de transacción se utiliza para correlacionar todos estos registros. Puede filtrar los registros de diagnóstico mediante el ID de transacción para encontrar todos los registros relacionados con una solicitud de acceso a una aplicación concreta. Para obtener más información, consulte Solucionar problemas de Secure Private Access.

Ejemplos de casos de uso

• Acceda a las aplicaciones internas (Web/TCP/UDP) mediante un enfoque de confianza cero sin abrir el tráfico entrante en el firewall
• Adopte un enfoque de confianza cero descubriendo las aplicaciones a las que acceden los usuarios
• Restringir el acceso a las aplicaciones SaaS a Citrix Enterprise Browser
• Restrinja el acceso a las aplicaciones SaaS a las direcciones IP públicas de propiedad de la empresa
• Seguridad mejorada para las aplicaciones SaaS administradas por Azure
• Seguridad mejorada para Office 365
• Seguridad mejorada para las aplicaciones de Okta

Artículos de referencia

• Introducción a Secure Private Access
• Resumen técnico
• Arquitectura de referencia
• Citrix Enterprise Browser
• Administre Citrix Enterprise Browser a través de GACS
• Flujo de trabajo guiado por el administrador para una incorporación y una configuración fáciles

Vídeos de referencia

• Acceso de red de confianza cero (ZTNA) a las aplicaciones
• Acceso privado a aplicaciones web con Citrix Secure Private Access
• Acceso público a aplicaciones SaaS con Citrix Secure Private Access
• Acceso privado a aplicaciones cliente-servidor con Citrix Secure Private Access
• Protección del keylogger con Citrix Secure Private Access
• Protección para compartir pantalla con Citrix Secure Private Access
• Experiencia de usuario final con Citrix Secure Private Access
• Experiencia de inicio de sesión de ZTNA frente a VPN con Citrix Secure Private Access
• Análisis de puertos ZTNA frente a VPN con Citrix Secure Private Access

Novedades de los productos relacionados

• Citrix Enterprise Browser: Acerca de esta versión
• Citrix Workspace: novedades
• Citrix DaaS: novedades
• Cliente Citrix Secure Access | Clientes NetScalerGateway