Citrix Virtual Apps and Desktops

Protección contextual de aplicaciones para Workspace

La protección contextual de aplicaciones ofrece la posibilidad de aplicar directivas de protección de aplicaciones de forma condicional a un subconjunto de usuarios, en función de sus características, sus dispositivos y la estrategia de red.

Implementar la protección contextual de aplicaciones

Puede implementar la protección contextual de aplicaciones por medio de los filtros de conexión definidos en la regla de directiva de acceso con intermediario. Las directivas de acceso con intermediario definen las reglas que controlan el acceso de un usuario a los grupos de escritorios. La directiva comprende un conjunto de reglas. Cada regla se refiere a un único grupo de escritorios y contiene un conjunto de filtros de conexión y controles de derechos de acceso.

Los usuarios pueden acceder a un grupo de escritorios cuando los detalles de su conexión coinciden con los filtros de conexión de una o más reglas de la directiva de acceso con intermediario. De forma predeterminada, los usuarios no tienen acceso a ningún grupo de escritorios de un sitio. Puede crear más directivas de acceso con intermediario en función de sus requisitos. Se pueden aplicar varias reglas a un mismo grupo de escritorios. Para obtener más información, consulte New-BrokerAssignmentPolicyRule.

Los siguientes parámetros de la regla de directiva de acceso con intermediario ofrecen la flexibilidad necesaria para habilitar la protección de aplicaciones en contexto si la conexión del usuario coincide con los filtros de conexión definidos en la regla de directiva de acceso:

  • AppProtectionKeyLoggingRequired
  • AppProtectionScreenCaptureRequired

Utilice las directivas de Smart Access a las que se hace referencia en las reglas de la directiva de acceso con intermediario para refinar los filtros de conexión. Para comprender cómo usar las directivas de Smart Access para configurar la protección contextual de aplicaciones, consulte los casos que se explican en este artículo.

Requisitos previos

Compruebe que tiene lo siguiente:

  • Citrix Virtual Apps and Desktops 2109 o una versión posterior
  • Delivery Controller 2109 o una versión posterior
  • Servicio de ubicación de red (NLS) para casos basados en la ubicación de red del usuario
  • Requisitos del sistema de licencias:
    • Protección de aplicaciones para DaaS
    • Derecho de uso de la autenticación adaptable para casos con directivas de Smart Access.

Configurar la protección contextual de aplicaciones para Workspace: Algunos casos

Caso 1: Habilitar la protección de aplicaciones para usuarios externos que utilizan la puerta de enlace de acceso (Access Gateway)

  1. Configure la autenticación adaptable.

  2. Configure el acceso adaptable en función de la ubicación de su red.
    1. Inicie sesión en Citrix Cloud y vaya a Ubicaciones de red.

      Ubicaciones de red

    2. Agregue una subred o una dirección IP de red para considerarla interna o directa.
    3. Introduzca location_internal en el campo Etiquetas de ubicación.
    4. Elija el tipo de conectividad de red como Interna.

      Tipo de conectividad de red

      Si inicia sesión en el almacén de Cloud desde un dispositivo cuya dirección IP esté configurada como Interna, la conexión se considerará interna. Todas las demás conexiones de red se considerarán externas o a través de Access Gateway.

  3. Configurar las reglas de la directiva de acceso con intermediario

    Para cada grupo de entrega, se crean dos directivas de acceso con intermediario de forma predeterminada. Una directiva es para las conexiones que llegan a través de Access Gateway, y la otra es para conexiones directas. Puede habilitar la protección de aplicaciones solo para las conexiones que llegan a través de Access Gateway, que son las conexiones externas. Siga estos pasos para configurar las reglas de la directiva de acceso con intermediario:

    1. Instale el SDK de PowerShell para Citrix y conéctese a la API de la nube como se explica en el blog de Citrix Getting started with PowerShell automation for Citrix Cloud.

    2. Ejecute el comando Get-BrokerAccessPolicyRule.

      Se muestra una lista de todas las directivas de acceso con intermediario para todos los grupos de entrega presentes.

    3. Busque el DesktopGroupUid del grupo de entrega que quiere cambiar.

      UID de grupo de escritorios

    4. Utilice el DesktopGroupUid para obtener las directivas aplicables al grupo de entrega. Hay al menos dos directivas, una en la que AllowedConnections tiene ViaAG y otra, NotViaAG.

      Get-BrokerAccessPolicyRule -DesktopGroupUid 7

      Obtener la directiva de acceso con intermediario

      En la captura de pantalla, verá dos directivas:

      • CAP_Desktops_AG: AllowedConnections con ViaAG, que representa la directiva para conexiones externas, o conexiones a través de Access Gateway

      • CAP_Desktops_Direct: AllowedConnections con NotViaAG, que representa la directiva para conexiones internas, o conexiones directas

  4. Habilite las directivas de protección de aplicaciones solo para las conexiones externas e inhabilítelas para las conexiones internas mediante estos comandos:

    • Set-BrokerAccessPolicyRule CAP_Desktops_AG -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

    • Set-BrokerAccessPolicyRule CAP_Desktops_Direct -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

Verificación

Cierre sesión en la aplicación Citrix Workspace e inicie sesión de nuevo. Inicie el recurso protegido desde una conexión externa. Verá que se aplican las directivas de protección de aplicaciones. Inicie el mismo recurso desde una conexión interna, un dispositivo dentro del intervalo de direcciones IP configurado en el primer paso. Verá que las directivas de protección de aplicaciones están inhabilitadas.

Caso 2: Habilitar la protección de aplicaciones para dispositivos que no son de confianza

Hay varias definiciones de dispositivos de confianza y de dispositivos que no son de confianza. Para este caso, consideremos un dispositivo de confianza si el análisis de Endpoint Analysis (EPA) se realiza correctamente. Todos los demás dispositivos se consideran dispositivos que no son de confianza.

  1. Configure la autenticación adaptable.
  2. Cree una directiva de autenticación con el análisis de EPA mediante estos pasos:

    1. Inicie sesión en la interfaz de usuario de administración de Citrix ADC. En la ficha Configuration, vaya a Security > AAA-Application Traffic > Virtual Servers. Haga clic en el servidor virtual que quiera usar; auth_vs en este caso.

      Servidores virtuales

    2. Vaya a Authentication Policies > Add Binding.

      Directivas de autenticación

      Agregar enlace

    3. Haga clic en Add para crear una directiva.

      Vinculación de directivas

    4. Cree una directiva de autenticación basada en el análsis de EPA. Introduzca el nombre de la directiva. En Action Type, seleccione EPA. Haga clic en Add para crear una acción.

      Crear directiva de autenticación

    5. Aparecerá la pantalla Create Authentication EPA Action.

      Crear EPA de autenticación

      En la pantalla Create Authentication EPA Action, introduzca estos detalles y haga clic en Create para crear una acción.

      • Indique el nombre de la acción de EPA en Name. En este caso, EPA_Action_FileExists.
      • Grupo predeterminado. Introduzca el nombre del grupo predeterminado. Si la expresión EPA es True, los usuarios se agregan al grupo predeterminado. Aquí, Default Group es FileExists.
      • Quarantine Group. Introduzca el nombre del grupo de cuarentena. Si la expresión de EPA es False, los usuarios se agregan al grupo de cuarentena.
      • Expression. Agregue la expresión de EPA que quiera analizar. En este ejemplo, consideramos que el análisis de EPA es correcto si hay un archivo en particular: sys.client_expr("file_0_C:\\\\epa\\\\avinstalled.txt")
    6. Regresará a la pantalla Create Authentication Policy. Escriba true en el editor de expresiones y haga clic en Create.

      EPA de autenticación en true

    7. Regresará a la pantalla Policy Binding. Haga lo siguiente:

      • En Goto Expression, seleccione NEXT.
      • En la sección Select Next Factor, seleccione la directiva de LDAP que configuró para la autenticación en el Application Delivery Controller (ADC).
      • Haga clic en Bind.

        Detalles de la vinculación de directivas

  3. Cree una directiva de Smart Access para dispositivos de confianza con estos pasos:
    1. Seleccione Smart Access Policies en la página Authentication Virtual Server del servidor auth_vs.

      Servidores virtuales de autenticación

    2. Haga clic en Add Binding.

      Agregar enlace

    3. En la pantalla Policy Binding, haga clic en Add en la sección Select Policy.

      Seleccione la directiva

    4. Aparece la pantalla Create Authentication Smart Access Policy.

      Smart Access de autenticación

      En la pantalla Create Authentication Smart Access Policy, introduzca el nombre de la directiva de Smart Access en Name y haga clic en Add para crear un perfil de Smart Access.

    5. Aparecerá la pantalla Create Authentication Smart Access Profile. Agregue el nombre de la acción en Name. Introduzca trusted en Tags. Luego se hace referencia a la etiqueta en la regla de la directiva de acceso con intermediario para su configuración. Haga clic en Crear.

      Crear perfil de autenticación

    6. Regresará a la pantalla Create Authentication Smart Access Policy. En la sección Expression, introduzca la expresión para la que quiere insertar la etiqueta. En este caso, dado que la etiqueta se envía a dispositivos de confianza, escriba AAA.USER.IS_MEMBER_OF(“FileExists”). Haga clic en Create.

      Etiqueta para dispositivos de confianza

    7. Regresará a la pantalla Policy Binding. En Goto Expression, seleccione End y haga clic en Bind.

      Seleccione la expresión Goto

  4. Cree una directiva de Smart Access para dispositivos que no sean de confianza.

    1. Siga las instrucciones del paso anterior, excepto las subetapas v y vi.
    2. Para el subpaso v, en la pantalla Create Authentication Smart Access Profile, agregue un nombre para la acción en Name. Introduzca untrusted en Tags. Luego se hace referencia a la etiqueta en la regla de la directiva de acceso con intermediario para su configuración. Haga clic en Crear.
    3. Para el subpaso vi, en la sección Expression de la pantalla Create Authentication Smart Access Policy, introduzca la expresión para la que quiere insertar la etiqueta. En este caso, dado que la etiqueta se envía a dispositivos que no son de confianza, escriba AAA.USER.IS_MEMBER_OF(“FileExists”).NOT.
  5. Configurar las reglas de directivas de acceso con intermediario

    1. Instale el SDK de PowerShell para Citrix y conéctese a la API de la nube como se explica en el blog de Citrix Getting started with PowerShell automation for Citrix Cloud.
    2. Ejecute el comando Get-BrokerAccessPolicyRule.

      Se muestra una lista de todas las directivas de acceso con intermediario para todos los grupos de entrega presentes.

    3. Busque el DesktopGroupUid del grupo de entrega que quiere cambiar.

      UID de grupo de escritorios

    4. Obtenga las directivas que se aplican solo a un grupo de entrega en particular mediante el comando: Get-BrokerAccessPolicyRule -DesktopGroupUid 7
    5. Para filtrar los usuarios mediante dispositivos de confianza, cree otra directiva de acceso con intermediario mediante el comando: New-BrokerAccessPolicyRule -Name CAP_Desktops_AG_Trusted-DesktopGroupUid 7 - AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated - AllowRestart $true -Enabled $true-IncludedSmartAccessFilterEnabled $true
    6. Para inhabilitar la protección de aplicaciones para dispositivos de confianza y habilitar la protección de aplicaciones para dispositivos que no son de confianza, utilice este comando: Set-BrokerAccessPolicyRule CAP_Desktops_AG_trusted -IncludedSmartAccessTags Workspace:trusted -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

      Set-BrokerAccessPolicyRule CAP_Desktops_AG -IncludedSmartAccessTags Workspace:untrusted -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Verificación

Cierre sesión en la aplicación Citrix Workspace e inicie sesión de nuevo. Inicie el recurso protegido desde un dispositivo de confianza, uno que cumpla con la condición del análisis de EPA. Verá que las directivas de protección de aplicaciones no se aplican. Inicie el mismo recurso desde un dispositivo que no sea de confianza. Verá que se aplican las directivas de protección de aplicaciones.

Protección contextual de aplicaciones para Workspace