Arquitectura de referencia: acceso privado seguro

Destinatarios

Este documento es para profesionales técnicos de Citrix, responsables de la toma de decisiones de TI, socios y consultores de seguridad que deseen explorar y adoptar el servicio Citrix Cloud de Secure Private Access. El lector debe tener una comprensión básica de los productos Citrix, la seguridad y los entornos Citrix Cloud. Para obtener más información sobre Citrix Cloud y sus servicios, consulte la documentación oficial del producto de Citrix Cloud.

Objetivo del presente documento

Este documento proporciona una descripción técnica y una arquitectura de Citrix Secure Private Access que proporciona acceso condicional a las aplicaciones en la nube y la navegación por Internet, lo que mejora la postura general de seguridad y cumplimiento de la organización. Citrix Secure Private Access combina elementos de varios servicios de Citrix Cloud para ofrecer una experiencia integrada para los usuarios finales y los administradores.

El documento guía a los administradores a ofrecer un espacio de trabajo digital seguro con una solución consolidada mediante el uso de Citrix Secure Private Access integrado con varios servicios de Citrix Cloud, incluidos el servicio Citrix Gateway y el Secure Browser Service. Para supervisar el comportamiento y la actividad de los usuarios, Citrix Secure Private Access se integra con el servicio Citrix Analytics.

Controles de seguridad y mitigación

En el mundo empresarial actual, los datos de los usuarios son uno de los productos más preciados, y las organizaciones siguen encontrando más valor en ellos. La mayoría de las violaciones que ocurren en las organizaciones se deben a controles de seguridad inadecuados, privilegios excesivos otorgados a los usuarios internos y una dependencia excesiva de los controles de seguridad basados en la red. Lamentablemente, muchas empresas no han adoptado realmente un enfoque seguro en profundidad para fortalecer su entorno.

Muchos departamentos de TI de las organizaciones no tienen una solución para controlar el acceso a los usuarios que acceden a un número cada vez mayor de aplicaciones SaaS empresariales. Además de los riesgos de seguridad que plantea la posibilidad de que los datos corporativos interactúen con aplicaciones SaaS no administradas, la productividad del usuario se pierde debido al inicio de sesión en varias aplicaciones. Además, tener que recordar varias contraseñas a menudo puede provocar malos hábitos de contraseña, como el uso de la misma contraseña para varios sitios.

Navegar por Internet supone otro riesgo para las empresas de hoy. Según los expertos en seguridad, la mayoría de los ataques aprovechan las vulnerabilidades de sitios web, navegadores y complementos de navegador. En respuesta, algunas organizaciones incluso prohíben por completo la navegación por Internet, lo que puede afectar gravemente la productividad.

Algunas aplicaciones web y SaaS requieren una determinada versión del explorador o complemento para funcionar correctamente. En el cambiante panorama de los navegadores, garantizar la usabilidad de las aplicaciones web y SaaS corporativas supone rápidamente una tarea de soporte que requiere muchos recursos.

Muchos departamentos de TI no tienen una estrategia completamente definida para administrar las aplicaciones SaaS, lo que genera importantes riesgos de seguridad y cumplimiento. Otros tienen un enfoque fragmentado que puede dar lugar a soluciones puntuales múltiples, como:

  • Implementación de una solución de inicio de sesión único: esta solución ayuda a optimizar la experiencia del usuario y puede incluir autenticación multifactor, pero estas soluciones normalmente no tienen controles de directivas granulares en las aplicaciones una vez que los usuarios inician sesión.

  • Implementación de filtros web para controlar o cerrar la navegación externa: esta solución ayuda a los usuarios a protegerse de las visitas a sitios web maliciosos. Sin embargo, muchas funciones no llegan a las políticas de seguridad para las aplicaciones SaaS, lo que lleva a muchos clientes a implementar varias soluciones además de una puerta de enlace web.

  • Publicar navegadores para cada aplicación SaaS: la publicación de un navegador web con Citrix Virtual Apps and Desktops es un método probado en el tiempo para controlar el acceso a aplicaciones SaaS no autorizadas. Sin embargo, sí que requiere otro recurso de TI para administrarlo y no es la misma experiencia de usuario que conectarse directamente a una aplicación SaaS a través de un navegador.

  • Ceder la administración de las aplicaciones SaaS al control departamental dentro de la empresa: este enfoque abre brechas de seguridad y cumplimiento, y pierde oportunidades de comprender el comportamiento de los usuarios y el uso de las aplicaciones; sin embargo, a menudo es la estrategia predeterminada de TI cuando se enfrentan a recursos limitados.

Citrix ha ideado una forma mejor de proteger el acceso a aplicaciones web y SaaS sancionadas con un enfoque centrado en el usuario, en lugar de las formas tradicionales que no tienen en cuenta la seguridad. Citrix Workspace proporciona acceso contextual y seguro a aplicaciones y escritorios SaaS, web y virtuales, reduce la exposición a amenazas internas y externas, asegura la colaboración de contenido y proporciona análisis del comportamiento de los usuarios e información proactiva sobre seguridad.

AC-Image-1

El diagrama anterior ilustra el entorno tradicional de Citrix en el que los puntos finales se conectan a través de Citrix ADC para acceder a sus recursos. Se accede a estos recursos, incluidos aplicaciones, escritorios y datos, desde las instalaciones y se accede a algunos de los recursos externos a través de Internet, incluidas las aplicaciones basadas en SaaS. Los usuarios acceden a estos recursos externos de forma segura mediante Secure Gateway y los servicios de filtrado web.

La aplicación Workspace es un único punto de entrada para acceder a los recursos desde cualquier dispositivo. Proporciona una funcionalidad única a los usuarios finales con seguridad mejorada mediante el uso de un motor de navegador integrado. Un motor de red dentro de la aplicación Workspace optimiza el tráfico de red y proporciona una VPN con SSL además de las capacidades de Micro VPN para ciertas aplicaciones. Los usuarios finales se conectan a través de Citrix ADC, que proporciona funciones de administración de acceso e identidad.

El monitoreo de seguridad proporciona monitoreo del comportamiento del usuario final y detección de amenazas dentro de la red. La seguridad de los datos incluye DLP e IRM para mantener el control de los datos cuando los usuarios trabajan con archivos o los comparten. Los servicios de filtrado web de Citrix Cloud, Citrix Analytics y Citrix Gateway ofrecen una solución consolidada para ofrecer un espacio de trabajo digital seguro a los usuarios finales.

Citrix Secure Private Access

Citrix Secure Private Access combina las capacidades del acceso seguro e instantáneo a aplicaciones web y SaaS mediante el inicio de sesión único (SSO), junto con controles de aplicaciones basadas en navegador y en la nube, políticas de filtrado web y análisis integrados del comportamiento de los usuarios. Citrix Secure Private Access va más allá de las capacidades tradicionales de SSO al introducir el control de aplicaciones en la nube, un conjunto de controles de seguridad mejorados para aplicaciones web empresariales y SaaS que proporcionan acceso condicional a las aplicaciones en la nube y protegen las acciones de los usuarios en función de políticas de acceso gobernadas por el administrador. Esta solución mejora la postura general de seguridad y cumplimiento de la organización. La experiencia del usuario sigue siendo perfecta e integrada porque se puede acceder a las aplicaciones web y SaaS junto con sus aplicaciones móviles, aplicaciones virtuales y escritorios como parte integrada de Citrix Workspace.

Citrix Secure Private Access combina elementos de varios servicios de Citrix Cloud para ofrecer una experiencia integrada para los usuarios finales y los administradores.

Funcionalidad Servicio/componente que proporciona la funcionalidad
Interfaz de usuario coherente para acceder a aplicaciones Experiencia en el espacio de trabajo/Aplicación WS
SSO a aplicaciones SaaS y web Estándar de servicio Citrix Gateway
Filtrado y categorización web Servicio de filtrado web
Directivas de seguridad mejoradas para SaaS Control de aplicaciones en la nube
Navegación segura Secure Browser Service
Visibilidad del acceso al sitio web y comportamientos de riesgo Citrix Analytics

¿Por qué usar Citrix Secure Private Access?

La seguridad de los datos se caracteriza por la necesidad de garantizar la integridad de los datos, la confidencialidad y proteger la propiedad intelectual de la empresa. Hoy en día, las organizaciones enfrentan varios desafíos, tales como

  • Múltiples productos puntuales que son difíciles de administrar y que tienen diferentes infraestructuras de directivas
  • Proporcionar acceso remoto seguro a los usuarios finales para acceder a la información de la empresa
  • Proteger la propiedad intelectual almacenada en la nube y las aplicaciones SaaS sin dejar de cumplir
  • Obtención de visibilidad en la nube y las aplicaciones SaaS después de SSO y obtención de evaluaciones de riesgos

Citrix Secure Private Access ayuda a los administradores de TI y seguridad a controlar el acceso autorizado de los usuarios finales a las aplicaciones web alojadas en empresas y SaaS sancionadas. Las identidades y los atributos de los usuarios se utilizan para determinar los privilegios de acceso y las políticas de acceso privado seguro determinan los privilegios necesarios para realizar operaciones.

AC-Image-2

La integración de Citrix Secure Private Access ofrece varios beneficios:

  • Experiencia de usuario perfecta con inicio de sesión único en aplicaciones alojadas y SaaS: esta capacidad viene a través de una combinación de la aplicación Workspace y el servicio Gateway

  • Mayor control de TI con entrega y acceso organizados para aplicaciones SaaS: proporciona a TI una forma de asignar fácilmente aplicaciones SaaS a los miembros de su fuerza laboral

  • Seguridad mejorada con controles de directivas para el uso de SaaS: Se denomina control de aplicaciones en la nube, una nueva capacidad que proporciona a TI una forma de aplicar directivas de seguridad en las aplicaciones SaaS que proporcionan a los empleados

  • Flexibilidad para permitir el acceso controlado a contenido público de Internet o aplicaciones SaaS desconocidas sin sacrificar la seguridad: esta capacidad viene a través de una combinación del Secure Browser Service y la funcionalidad de filtrado web para que los sitios web puedan incluirse en listas blancas o negras o mostrarse de forma aislada navegador

  • Visibilidad del uso de SaaS y la actividad web de los usuarios: esta capacidad proporciona un subconjunto de Citrix Analytics para la actividad de SaaS y web para proporcionar más visibilidad para la seguridad y el cumplimiento

Citrix Secure Private Access y Citrix Cloud

Citrix Secure Private Access es uno de los servicios que ofrece Citrix Cloud. Para acceder a estos servicios, un administrador debe tener una cuenta de Citrix (también conocida como cuenta de Citrix.com o Mi Citrix) para administrar las licencias y acceder al entorno.

Una cuenta de Citrix usa un ID de organización (OrgID) como identificador único. El administrador puede acceder a su cuenta de Citrix iniciando sesión en citrix.com con el nombre de usuario o la dirección de correo electrónico vinculados a la cuenta. Inicialmente, Citrix Cloud redirige a https://citrix.cloud.com para crear una cuenta o iniciar sesión con una cuenta de Citrix existente para activar una prueba de servicios en la nube.

Una cuenta de Citrix Cloud permite a los administradores tener un amplio acceso administrativo a los servicios, por lo que Citrix exige que el primer administrador que cree la cuenta de Citrix Cloud dé acceso explícito a otros administradores según sea necesario, incluso si el otro administrador ya es miembro de la cuenta MyCitrix existente.

Citrix Secure Private Access es una solución que se muestra como un mosaico en la consola de Citrix Cloud e incluye la integración en el servicio Citrix Gateway, el servicio de filtrado web, el Secure Browser Service y el servicio Citrix Analytics.

AC-Image-3

Acceso privado seguro: el servicio Citrix Secure Private Access proporciona una experiencia unificada que integra el inicio de sesión único, el acceso remoto y la inspección de contenido en una única solución para el acceso privado seguro de extremo a extremo.

Citrix Secure Private Access proporciona las siguientes funciones a los administradores:

  • Configurar la autenticación multifactor para los usuarios finales
  • Configurar un espacio de trabajo para proporcionar acceso seguro a las aplicaciones desde cualquier dispositivo, administrar y agregar aplicaciones SaaS desde la biblioteca
  • Configurar el filtrado web para permitir o bloquear sitios web para los usuarios finales y redirigirlos al servicio Citrix Secure Browser

Analytics: Citrix Analytics recopila datos en toda la cartera de productos de Citrix y genera información útil, lo que permite a los administradores gestionar de forma proactiva las amenazas de seguridad de usuarios y aplicaciones, mejorar el rendimiento de las aplicaciones y admitir operaciones continuas. Citrix Analytics recopila datos y proporciona las siguientes perspectivas:

  • Security Analytics
  • Performance Analytics
  • Operations Analytics

Gateway: el servicio Citrix Gateway proporciona una solución de acceso remoto seguro, una experiencia de usuario unificada para aplicaciones SaaS configuradas, aplicaciones virtuales heterogéneas y escritorios. La entrega de aplicaciones SaaS mediante el servicio Citrix Gateway proporciona una solución fácil, segura, sólida y escalable para administrar las aplicaciones. Las aplicaciones SaaS suministradas en la nube tienen las siguientes ventajas:

  • Configuración simple: fácil de operar, actualizar y consumir
  • Inicio de sesión único: inicio de sesión sin complicaciones con SSO
  • Plantilla estándar para diferentes aplicaciones: configuración basada en plantillas de aplicaciones populares

Secure Browser: el servicio Citrix Secure Browser aísla la navegación web para proteger la red corporativa de los ataques basados en el navegador. Ofrece acceso remoto seguro y uniforme a una aplicación web alojada en Internet sin necesidad de configurar el dispositivo del usuario.

Los administradores pueden abrir rápidamente exploradores seguros, lo que ofrece una eficiencia instantánea. Al aislar la navegación por Internet, los administradores de TI pueden ofrecer a los usuarios finales un acceso seguro a Internet sin comprometer la seguridad empresarial.

Gestión de identidades y accesos

En la sección Administración de acceso e identidad, se definen las cuentas y los proveedores de identidades utilizados para los administradores y los suscriptores de Citrix Cloud y sus ofertas. Citrix Cloud utiliza el proveedor de identidad de Citrix para administrar la información de identidad de los usuarios de la cuenta de Citrix Cloud. El administrador tiene la opción de integrar Azure Active Directory o un servicio de Active Directory local.

Para realizar actividades de administración e instalar Citrix Cloud Connector en Citrix Cloud, los administradores de Citrix utilizan su identidad para acceder a Citrix Cloud. Este mecanismo de identidad proporciona autenticación a los administradores mediante una dirección de correo electrónico y una contraseña. Además, los administradores pueden usar las credenciales de My Citrix para iniciar sesión en Citrix Cloud.

AC-Image-4

La identidad de un suscriptor define los servicios a los que ese suscriptor tiene acceso en Citrix Cloud. La identidad proviene de las cuentas de dominio de Active Directory proporcionadas desde los dominios dentro de la ubicación del recurso. Los suscriptores pueden autorizar el acceso a la oferta desde Citrix Cloud asignando un suscriptor a una oferta de biblioteca.

La comunicación local de Active Directory con Citrix Cloud se lleva a cabo a través de Citrix Cloud Connectors de alta disponibilidad. Las organizaciones que opten por utilizar el servicio Azure Active Directory tienen más flexibilidad en términos de administración de cuentas de usuario, control de auditoría y directivas de contraseñas. Además, el administrador puede configurar la autenticación multifactor para un mayor nivel de seguridad.

Citrix Secure Private Access con seguridad mejorada para aplicaciones SaaS

Citrix Cloud ofrece la capacidad de inicio de sesión único (SSO) a las aplicaciones SaaS a través del servicio Citrix Gateway. El SSO ofrece una experiencia de usuario unificada para el SSO de aplicaciones SaaS basadas en web y la publicación en la interfaz de usuario de la experiencia de Citrix Workspace. Para permitir una experiencia de usuario de inicio de sesión único, una aplicación SaaS confía en la aserción SAML proporcionada por el servicio Citrix Gateway.

El proceso de habilitar el inicio de sesión único en las aplicaciones SaaS ahora se simplifica a unos pocos formularios web y al hacer clic en la página de configuración. Citrix Gateway Connector proporciona un proxy para el acceso interno a la aplicación SaaS basada en web para el usuario de la aplicación Workspace.

Referencia: Citrix Gateway Connector

Control de contenido

Proteger los datos del usuario (usuarios de aplicaciones SaaS) es una tarea difícil para la mayoría de las organizaciones. Al usar Citrix Secure Private Access, las organizaciones pueden incorporar políticas de seguridad mejoradas en las aplicaciones SaaS. Cada política impone una restricción en el navegador integrado cuando se usa la aplicación Workspace para escritorio, o en Secure Browser cuando se usa la aplicación Workspace para web o móvil.

  • Explorador preferido: Inhabilita el uso del explorador local y se basa en el motor del explorador integrado (aplicación Workspace: escritorio) o el servicio Explorador seguro (aplicación Workspace: móvil y web)
  • Restringir el acceso al portapapeles: Inhabilita las operaciones de cortar/copiar/pegar entre la aplicación y el portapapeles del dispositivo de punto final
  • Restringir la impresión: Inhabilita la capacidad de imprimir desde el explorador de la aplicación
  • Restringir navegación: Inhabilita los botones del explorador siguiente/atrás
  • Restringir descargas: inhabilita la capacidad del usuario para descargar desde la aplicación SaaS
  • Mostrar marca de agua: superpone una marca de agua basada en pantalla que muestra el nombre de usuario y la dirección IP del punto final. Si un usuario intenta imprimir o tomar una captura de pantalla, la marca de agua aparece como se muestra en la pantalla

Inicio de sesión único de Citrix Secure Private Access sin seguridad mejorada

AC-Image-5

SL NO Aplicación Workspace con aplicación SaaS sancionada Navegador local con aplicación SaaS sancionada
1 El usuario inicia la aplicación Workspace en el endpoint. El usuario inicia un explorador web en el extremo, se conecta a Workspace y se autentica mediante Active Directory local o Azure Active Directory.
2 La aplicación Workspace se conecta al espacio de trabajo y se autentica mediante Active Directory o Azure Active Directory local. El explorador local se rellena con recursos aprobados.
3 La aplicación Workspace se rellena con recursos aprobados. Cuando el usuario selecciona una aplicación SaaS, el navegador local envía la solicitud a Workspace, que solicita una URL de un solo uso y reenvía el navegador al servicio Gateway.
4 La aplicación Workspace envía la solicitud a Workspace, que solicita una URL de uso único del servicio Gateway y un navegador preferido. El navegador local inicia una conexión con el servicio Gateway.
5 El navegador local inicia una conexión con el servicio Gateway. El servicio Gateway solicita una afirmación del microservicio de inicio de sesión único.
6 El servicio Gateway solicita una afirmación del microservicio de inicio de sesión único. El explorador local se redirige a la página de inicio de sesión de la aplicación SaaS donde se presenta la aserción.
7 El explorador local se redirige a la página de inicio de sesión de la aplicación SaaS donde se presenta la aserción. La aplicación SaaS se pone en contacto con el servicio Gateway para validar la aserción y autenticar al usuario.
8 La aplicación SaaS se pone en contacto con el servicio Gateway para validar la aserción y autenticar al usuario. Una vez autenticado, la comunicación se produce directamente entre el navegador y la aplicación SaaS.
9 Una vez autenticado, la comunicación se produce directamente entre el navegador y la aplicación SaaS.  

Acceso privado seguro: inicio de sesión único con seguridad mejorada

AC-Image-6

SL NO Aplicación Workspace con aplicación SaaS sancionada Navegador local con aplicación SaaS sancionada
1 El usuario inicia la aplicación Workspace en el endpoint. El usuario inicia un navegador web en el punto final, se conecta a Workspace y se autentica mediante Active Directory local o Azure Active Directory.
2 La aplicación Workspace se conecta al espacio de trabajo y se autentica mediante Active Directory o Azure Active Directory local. El explorador local se rellena con recursos aprobados.
3 La aplicación Workspace se rellena con recursos aprobados. Cuando el usuario selecciona una aplicación SaaS, el navegador local envía la solicitud a Workspace, que solicita una URL de un solo uso y redirige el navegador al Secure Browser Service.
4 La aplicación Workspace envía la solicitud a Workspace, que solicita una URL de un solo uso del servicio Gateway. El explorador local inicia una conexión de Secure Browser.
5 El navegador integrado inicia una conexión con el servicio Gateway. Secure Browser inicia una conexión con el servicio Gateway.
6 El servicio Gateway solicita una afirmación del microservicio de inicio de sesión único y políticas de seguridad mejoradas del servicio Secure Private Access. El servicio Gateway solicita una afirmación del microservicio SSO y políticas de seguridad mejoradas del servicio Secure Private Access.
7 El explorador incrustado se redirige a la página de inicio de sesión de la aplicación SaaS donde se presenta la aserción. Secure Browser se redirige a la página de inicio de sesión de la aplicación SaaS donde se presenta la aserción.
8 La aplicación SaaS se pone en contacto con el servicio Gateway para validar la aserción y autenticar al usuario. La aplicación SaaS se pone en contacto con el servicio Gateway para validar la aserción y autenticar al usuario.
9 Una vez autenticada, la comunicación se produce directamente entre el explorador y la aplicación SaaS. Una vez autenticada, la comunicación se produce directamente entre el explorador y la aplicación SaaS.

Referencia: informe técnico de Citrix Secure Private Access

Acceso contextual

La mayoría de las aplicaciones SaaS son seguras de usar, aunque a veces, cuando un usuario hace clic en un hipervínculo dentro de una aplicación SaaS, puede suponer un riesgo de seguridad para una organización. El microservicio de filtrado web permite, deniega o redirige la solicitud de hipervínculo del usuario.

AC-Image-7

SL NO Aplicación Workspace con seguridad mejorada Explorador local con seguridad mejorada
1 El usuario selecciona un hipervínculo desde la aplicación SaaS. El usuario selecciona un hipervínculo desde la aplicación SaaS.
2 El navegador integrado en la aplicación Workspace envía la URL al servicio Secure Private Access. Secure Browser envía la URL al servicio Secure Private Access.
3 El servicio Secure Private Access solicita un análisis de la URL por parte del microservicio de filtrado web. El servicio Secure Private Access solicita un análisis de la URL por parte del microservicio de filtrado web.
4 Para los enlaces bloqueados, el microservicio de filtrado web deniega el acceso al hipervínculo. Para los enlaces bloqueados, el microservicio de filtrado web deniega el acceso al hipervínculo.
5 Para los enlaces aprobados, el microservicio de filtrado web permite al usuario acceder al enlace con el navegador integrado. Para los enlaces aprobados, el microservicio de filtrado web permite al usuario acceder al enlace como una pestaña nueva dentro de su sesión actual del Secure Browser Service.
6 Para los enlaces redirigidos, el microservicio de filtrado web tiene una aplicación Workspace que envía el enlace al Secure Browser Service, que inicia una nueva sesión de navegador virtual para el usuario final. Para los enlaces redirigidos, el microservicio de filtrado web permite al usuario acceder al enlace como una pestaña nueva dentro de su sesión actual del Secure Browser Service.

Descripción general del filtrado web

El filtrado web proporciona un control basado en directivas de sitios web mediante el uso de la información contenida en las direcciones URL. Esta función ayuda a los administradores de red a supervisar y controlar el acceso de los usuarios a sitios web maliciosos de la red.

Esta versión de servicio permite el filtrado web para que la aplicación Citrix Workspace acceda a las aplicaciones SaaS e Internet, y que Citrix Secure Browser acceda a las aplicaciones SaaS e Internet.

AC-Image-8

El administrador de Citrix Secure Private Access puede bloquear y permitir una lista de URL. El controlador de filtrado web utiliza una base de datos de categorización y una lista de URL. Cuando la solicitud llega al Controller de filtrado web, primero comprueba la lista global de permitidos, que también contiene las URL críticas de Citrix Cloud. Luego viene a Listas y Categorización y comprueba si hay URL bloqueadas, permitidas y redirigidas a Secure Browser. Si ninguna de las URL coincide, por defecto vuelve a la lista predeterminada.

Citrix Secure Private Access y Citrix Analytics

El servicio Citrix Analytics es un servicio basado en la nube que facilita información pragmática mediante la recopilación de datos en toda la gama de productos de Citrix. Citrix Secure Private Access organiza y produce información sobre las actividades de los usuarios, como los sitios web visitados y el ancho de banda gastado. Citrix Secure Private Access también supervisa los sitios de malware y phishing analizando el consumo de ancho de banda e informando al respecto. El administrador puede tomar medidas correctivas al aprovechar estas métricas clave para monitorear la red.

Citrix Analytics se integra fácilmente con Citrix Secure Private Access, el servicio Citrix Gateway y otros productos de la cartera de Citrix. Citrix Analytics proporciona información completa sobre el comportamiento de los usuarios. Utiliza algoritmos de aprendizaje automático para detectar comportamientos anómalos de los usuarios, solucionar problemas en las sesiones de los usuarios y ver las métricas operativas de los usuarios de una organización que usa productos Citrix.

Los servicios y productos de Citrix envían datos a Citrix Analytics, que se denominan fuentes de datos. El servicio Citrix Analytics detecta las fuentes de datos asociadas a la cuenta de Citrix Cloud. Los registros de Citrix Cloud se transmiten de forma segura a Citrix Analytics. Los registros se recopilan de Citrix Secure Private Access y se mantienen por separado de las fuentes de datos.

AC-Image-9

El servicio Citrix Secure Private Access ofrece paneles de seguridad y operaciones. El panel de seguridad proporciona perfiles de riesgo de los usuarios y un resumen de la actividad de acceso de los usuarios, como la URL o el dominio visitado y el ancho de banda utilizado. El acceso a aplicaciones resume los detalles de dominios, direcciones URL y aplicaciones a las que acceden los usuarios.

Referencia: Análisis y Citrix Secure Private Access

AC-Image-10

Los administradores de Citrix pueden crear reglas en Citrix Analytics para realizar acciones en cuentas de usuario cuando se producen actividades inusuales o sospechosas. Una regla es un conjunto de condiciones que deben cumplirse para que se ejecute una acción. Una regla puede contener una sola condición y una o más acciones. Condiciones como “puntuación de riesgo” y “cambio de puntuación de riesgo” son condiciones globales. Las condiciones globales se pueden aplicar a un usuario específico para un origen de datos específico.

El administrador crea una regla basada en la actividad del usuario mediante la aplicación de condiciones que se enumeran a continuación:

  • Intento de acceder a una URL incluida en la lista negra Indica un intento de acceso a una URL incluida en la lista
  • Acceso riesgoso al sitio web Indica que el usuario intentó acceder a sitios web maliciosos, sospechosos o riesgosos.
  • Volumen de descargas inusual Indica que el volumen de datos descargados por el usuario desde aplicaciones o sitios web ha superado el umbral definido implícitamente por Citrix Analytics.
  • Volumen de carga inusual Indica que el volumen de datos cargado por el usuario desde aplicaciones o sitios web ha superado el umbral definido implícitamente por Citrix Analytics.

Referencia: Análisis y acceso privado seguro

Experiencia de usuario final de Citrix Secure Private Access

El administrador de Citrix tiene la facultad de ampliar el control de seguridad con la ayuda de Citrix Secure Private Access. La aplicación Citrix Workspace es un punto de entrada para acceder a todos los recursos de forma segura, los usuarios finales pueden acceder a aplicaciones virtuales, escritorios, aplicaciones SaaS y archivos a través de la aplicación Citrix Workspace. Con Citrix Secure Private Access, los administradores pueden controlar cómo el usuario final puede acceder a una aplicación SaaS a través de la interfaz de usuario web de Citrix Workspace Experience o el cliente nativo de la aplicación Citrix Workspace.

Para obtener más información, consulte la arquitectura de referenciade la aplicación Citrix Workspace.

Experiencia del usuario final con la aplicación Workspace y el portal web

AC-Image-11

AC-Image-12

Cuando el usuario inicia la aplicación Workspace en el endpoint, ve sus aplicaciones, escritorios, archivos y aplicaciones SaaS. Si un usuario hace clic en la aplicación SaaS cuando la seguridad mejorada está desactivada, la aplicación se abre en un navegador estándar que está instalado localmente. Si el administrador ha activado la seguridad mejorada, las aplicaciones SaaS se abren en el navegador integrado dentro de la aplicación Workspace. La accesibilidad a los hipervínculos dentro de las aplicaciones SaaS y las aplicaciones web se controla en función de las políticas de filtrado web.

Del mismo modo, con el portal web de Workspace, cuando se mejora la seguridad, se desactivan las aplicaciones SaaS se abren a través de un navegador estándar que se instala de forma nativa. Cuando se activa la seguridad mejorada, las aplicaciones SaaS se abren a través del explorador seguro. Los usuarios pueden acceder a los sitios web dentro de las aplicaciones SaaS basadas en directivas de filtrado web.

Implementación de Citrix Secure Private Access

El servicio Citrix Secure Private Access es un servicio basado en la nube. Para ofrecer soluciones centradas en el usuario a las organizaciones y cumplir con las políticas, Citrix Secure Private Access desempeña un papel vital. Junto con Citrix Secure Private Access, hay otros servicios que están habilitados para ofrecer soluciones consolidadas a los usuarios finales. Para empezar a incorporar y configurar el servicio Citrix Secure Private Access, el administrador debe configurar la autenticación, configurar el acceso a las aplicaciones SaaS y especificar la configuración de acceso al contenido en el servicio Citrix Secure Private Access. Los usuarios finales pueden acceder al servicio desde la aplicación Citrix Workspace o la URL de Workspace.

AC-Image-13

El administrador de Citrix inicia sesión en Citrix Cloud con sus credenciales y solicita el servicio Citrix Secure Private Access. Citrix Secure Private Access se integra con otros productos de la cartera de Citrix, incluidos Citrix Gateway, Secure Browser y Citrix Analytics. Esta solución ofrece seguridad para aplicaciones SaaS.

AC-Image-14

Paso 1: El administrador de Citrix configura la administración de acceso e identidad en Citrix Cloud. De forma predeterminada, Citrix Cloud usa el proveedor de identidades de Citrix para administrar la información de identidad de todos los usuarios de la cuenta de Citrix Cloud. El administrador tiene flexibilidad para cambiar y usar Azure Active Directory o un servicio de Active Directory local.

Paso 2: El administrador de Citrix inicia sesión en el servicio Citrix Gateway para configurar el inicio de sesión único para aplicaciones web y SaaS. El servicio Citrix Gateway ofrece un inicio de sesión seguro en el entorno de la empresa, en el que los usuarios finales inician sesión en las aplicaciones mediante el inicio de sesión único de SAML.

Agregue una aplicación web o SaaS a la biblioteca desde la plantilla. Para obtener más información sobre una lista de aplicaciones SaaS compatibles con Citrix Secure Private Access, consulte Aplicaciones SaaS compatibles con el servicio Citrix Secure Private Access

Paso 3: El administrador introduce los detalles de la aplicación, como el nombre de la aplicación, la URL y los detalles del dominio. Se pueden habilitar políticas de seguridad mejoradas para evitar fugas de datos. Estas políticas dentro de las aplicaciones SaaS imponen restricciones en el navegador integrado cuando se usa una aplicación Workspace para escritorio o en Secure Browser cuando se usa la aplicación Workspace web o móvil.

AC-Image-15

Paso 4: Habilitar el inicio de sesión único para aplicaciones web/SaaS: el servicio Citrix Gateway (solo servicios en la nube) proporciona inicio de sesión único para las aplicaciones SaaS. La habilitación del inicio de sesión único para aplicaciones SaaS ahora se simplifica a unos pocos formularios web y al hacer clic en la página de configuración, lo que simplifica enormemente el proceso de implementación. Los administradores pueden aplicar el Conector de puerta de enlace para proxear el acceso interno de la aplicación SaaS basada en web al usuario externo de la aplicación Workspace.

En la sección Biblioteca de Citrix Cloud, se publican SaaS y aplicaciones web. El administrador debe agregar usuarios después de elegir el dominio y solo los usuarios suscritos pueden acceder a la aplicación a través de la aplicación Workspace o la web de Workspace.

Paso 5: Filtrar listas de sitios web: para proteger la red corporativa de los ataques basados en navegador, Citrix Secure Private Access incluye un servicio de filtrado web. Según las políticas, el servicio de filtrado web permite, deniega o redirige la solicitud de hipervínculo del usuario según lo definido:

Permitido: el enlace de solicitud se considera seguro y se permite el acceso desde el navegador integrado de la aplicación Workspace.

Bloqueado: El hipervínculo se considera peligroso y se deniega el acceso.

Redirigido: el administrador toma precauciones en los sitios web que presentan amenazas de seguridad redirigiéndolos a través del Secure Browser Service.

Paso 6: Filtrar categorías de sitios web. La base de datos de categorización ayuda a filtrar el tráfico web controlando el acceso de los usuarios finales a sitios web específicos, como las redes sociales, los juegos de azar, el contenido para adultos, los nuevos medios y las compras. Las categorías restringen el acceso de los usuarios a sitios Web específicos y a categorías de sitio web.

Los ajustes preestablecidos de categorización proporcionan prácticas plantillas listas para usar  
Estricto Minimiza el riesgo de acceder a sitios web no seguros o maliciosos. Los usuarios finales no pierden el acceso a sitios web que presenten un riesgo bajo. Incluye la mayoría de los sitios web de viajes de negocios y redes sociales. (133/192 categorías)
Moderado Minimiza el riesgo al tiempo que permite otras categorías con una baja probabilidad de exposición de sitios no seguros o maliciosos. Incluye la mayoría de los sitios web de viajes de negocios, ocio y redes sociales. (65/192 categorías)
Flexible Maximiza el acceso al mismo tiempo que controla el riesgo de sitios web ilegales y maliciosos. (36/192 categorías)
Ninguna Permite todas las categorías.
Personalizado Configure el filtrado personalizado de categorías.

Referencia: lista de categorías de Citrix Secure Private Access

La aplicación Citrix Workspace ofrece a los usuarios una gran experiencia (Workspace unificado, contextual y seguro) en cualquier dispositivo. Los usuarios obtienen un acceso seguro y sin problemas mediante el inicio de sesión único a todas las aplicaciones que necesitan para ser productivos.

Para validar la configuración, los usuarios finales pueden iniciar la aplicación SaaS desde la aplicación Citrix Workspace (o Citrix Workspace Web). Además, los usuarios pueden verificar los sitios web permitidos o bloqueados agregados en las listas de filtrado de sitios web visitando las URL. El navegador integrado de la aplicación Citrix Workspace permite a los administradores proporcionar acceso nativo a las aplicaciones SaaS con controles de seguridad mejorados.

Para obtener más información sobre la aplicación Citrix Workspace, consulte la arquitectura de referencia de la aplicación Citrix Workspace.

Paso 7: El servicio Citrix Secure Private Access se integra con Citrix Analytics para obtener información sobre las actividades de los usuarios, como los sitios web visitados y el ancho de banda consumido. Citrix Analytics informa sobre amenazas detectadas, como sitios de phishing y malware.

El administrador puede iniciar sesión en el servicio en la nube de Citrix Analytics y crear reglas para Citrix Secure Private Access y, a continuación, aplicar el plan de acción cuando se cumplan las condiciones. Para supervisar y analizar las actividades de comportamiento de los usuarios, habilite “Activar el procesamiento de datos” para Citrix Secure Private Access para realizar análisis en Citrix Cloud (las fuentes de datos son servicios y productos de Citrix que envían datos a Citrix Analytics).

AC-Image-16

El servicio Citrix Analytics supervisa las actividades y el comportamiento de los usuarios mediante el aprendizaje automático y la inteligencia artificial. Las fuentes de datos para Citrix Analytics se recopilan de la aplicación Workspace, Citrix Gateway, Citrix Secure Private Access y el Secure Browser Service.

Casos de uso de Citrix Secure Private Access

En la actualidad, las organizaciones están recurriendo a las soluciones de software como servicio (SaaS) para abordar los requisitos empresariales, pero a menudo sin tomar las medidas de seguridad necesarias ni realizar el mantenimiento adecuado de las aplicaciones. La mayoría de los fallos de seguridad de las aplicaciones SaaS son causados por usuarios, no por proveedores en la nube. La organización debe regular sus estrategias para hacer frente a estos defectos.

Citrix Secure Private Access aplica políticas de seguridad mejoradas para las aplicaciones SaaS (marca de agua, restricción de copiar y pegar, evitar la descarga/carga de datos confidenciales, etc.). También define las políticas de acceso para las categorías de sitios web y los sitios web que se bloquearán o permitirán en forma de filtrado web.

Implementaciones existentes en zonas industriales abandonadas Cómo encaja Citrix Secure Private Access
Organizaciones que buscan adoptar los servicios Citrix Cloud. 1) Citrix Secure Private Access proporciona el ajuste adecuado a su entorno, proporcionando seguridad para las funciones de SaaS, SSO y filtrado web a los usuarios finales. 2) Para las organizaciones que desean un modelo local, Citrix Gateway ayuda a proporcionar SSO y seguridad mejorada a los usuarios finales.
Organizaciones que ya han adoptado el servicio Citrix Gateway. 1) Citrix Cloud ofrece varios servicios basados en la nube, incluidos Citrix Secure Private Access, Analytics y Secure Browser Service, que proporcionan control de seguridad para aplicaciones SaaS y basadas en Internet.
Organizaciones que ya han adoptado SSO de terceros 1) Citrix Secure Private Access proporciona controles de seguridad de nivel granular para las aplicaciones SaaS, minimiza las amenazas basadas en la web y la aplicación automática de políticas mediante análisis basados en el comportamiento del usuario. 2) El proxy ICA es compatible con el servicio local y Citrix Virtual Apps and Desktops.

Solución Citrix Secure Private Access para aplicaciones web empresariales

La mayoría de los clientes locales siguen utilizando aplicaciones web, como SharePoint, Confluence, Microsoft Office, aplicaciones de mesa de ayuda, etc. Las aplicaciones empresariales se entregan de forma remota mediante el servicio Citrix Gateway y se agrega la seguridad necesaria mediante Citrix Secure Private Access.

Los usuarios finales acceden a las aplicaciones web mediante Citrix Workspace, que aprovecha el servicio Citrix Gateway. El servicio Citrix Gateway, junto con Citrix Workspace de forma segura, ofrece una experiencia de usuario unificada para las aplicaciones web configuradas. El inicio de sesión único y la accesibilidad remota a aplicaciones web internas están disponibles a través de diferentes paquetes de servicios.

AC-Image-20

El diagrama anterior muestra la solución Citrix Secure Private Access aplicada a los clientes locales que utilizan Citrix Gateway Connector. El conector de Citrix Gateway actúa como puente entre las aplicaciones web empresariales y el servicio Citrix Workspace.

Inicio de sesión único en la aplicación web con seguridad mejorada

El usuario inicia la aplicación Citrix Workspace y se conecta con Citrix Workspace mediante un servicio de Active Directory local. La aplicación Citrix Workspace se usa para iniciar una aplicación web. El servicio Citrix Gateway proporciona el navegador recomendado y el enlace. El navegador integrado de la aplicación Citrix Workspace establece una conexión de aplicación con el servicio Citrix Gateway. Además, las directivas de seguridad mejoradas se habilitan a través del servicio Citrix Secure Private Access. Además, el servicio Citrix Gateway establece una conexión saliente con Gateway Connector desde la ubicación de recursos. Verifica las credenciales de inicio de sesión y la aplicación Citrix Workspace asegura una conexión de extremo a extremo con la aplicación web interna.

Si el usuario utiliza un navegador local, la autenticación se realiza a través del servicio Active Directory y el navegador local establece una conexión segura con el Secure Browser Service. Las políticas de seguridad mejoradas se habilitan a través del servicio Secure Private Access. A continuación, se establece un canal de salida seguro entre Gateway Connector y el servicio Citrix Gateway. A continuación, se negocian las credenciales de usuario y se establece el inicio de sesión único en nombre del usuario. Por último, se encuentra una conexión de extremo a extremo a través del navegador seguro para el usuario.

Referencia: Soporte para aplicaciones web empresariales

Inicio de sesión único de Citrix Secure Private Access para aplicaciones web

Citrix Gateway Connector y el servicio Citrix Gateway en la nube protegen la comunicación con las aplicaciones locales. Se accede a las aplicaciones web y se entregan a través de Workspace mediante una conexión sin VPN. El administrador debe elegir el método de inicio de sesión único durante la configuración de la aplicación web.

Estos cuatro tipos de SSO se pueden configurar a través del servicio Citrix Gateway:

  • Basado en formularios
  • SSO básico
  • Kerberos
  • SAML (TP)

AC-Image-21

Autenticación basada

1) El servicio Citrix Gateway establece un canal seguro entre Citrix Gateway Connector y envía la solicitud de la aplicación web con las credenciales de inicio de sesión

2) Citrix Gateway Connector envía las credenciales de inicio de sesión a la aplicación web correspondiente

3) Se establece una conexión segura de extremo a extremo entre la aplicación web y la aplicación Citrix Workspace a través del servicio Citrix Gateway mediante el inicio de sesión único en la aplicación web

Autenticación básica de SSO

1) El servicio Citrix Gateway crea un canal seguro entre Citrix Gateway Connector y envía la solicitud de la aplicación web con el nombre de usuario y la contraseña

2) El conector de Citrix Gateway envía las credenciales de inicio de sesión a la página de inicio de sesión

3) La aplicación web solicita autenticación mediante el protocolo NTLM

4) Citrix Gateway Connector responde a la solicitud NTLM con el nombre de usuario y la contraseña

5) Se establece una conexión segura de extremo a extremo entre la aplicación web y la aplicación Citrix Workspace a través del servicio Citrix Gateway mediante el inicio de sesión único en la aplicación web

Autenticación Kerberos

1) El servicio Citrix Gateway crea un canal seguro entre Citrix Gateway Connector y envía una solicitud de aplicación web con el nombre de usuario y la contraseña

2) Citrix Gateway Connector envía credenciales de inicio de sesión a la página de inicio de sesión de la aplicación web

3) La aplicación web solicita autenticación mediante el protocolo Kerberos

4) El conector de Citrix Gateway se pone en contacto con el controlador de dominio para verificar las credenciales

5) el controlador de dominio valida las credenciales de usuario y reconoce

6) Citrix Gateway Connector reenviar la aplicación a la aplicación web

7) Se establece una conexión segura de extremo a extremo entre la aplicación web Citrix y la aplicación Citrix Workspace a través del servicio Citrix Gateway mediante el inicio de sesión único en la aplicación web

Para habilitar la funcionalidad de inicio de sesión único de Kerberos, los administradores configuran Gateway Connector con las credenciales de una cuenta de servicio de confianza para realizar la delegación restringida de Kerberos.

Los usuarios pueden intentar acceder a sitios web maliciosos que causan graves daños a la empresa. Además, pueden infringir las normas y políticas de la empresa. Para superar estos problemas, los administradores pueden adoptar Citrix Secure Private Access para filtrar los sitios web de riesgo que representan un riesgo para su organización. También se puede agregar una marca de agua a lo largo de la sesión que incluya el nombre y la dirección IP del usuario.

Referencia: Soporte para aplicaciones web empresariales

Directivas de protección de aplicaciones Citrix Secure Private Access

Es común que se roben las credenciales de inicio de sesión de un usuario y, sin embargo, es posible que el usuario no lo sepa. Los ciberdelincuentes utilizan varias técnicas para capturar los datos de los usuarios finales, y una técnica común es el uso de malware keylogger para capturar los datos de los usuarios. Estos productos de malware se pueden instalar fácilmente en el equipo de un usuario e inmediatamente comienzan a intentar obtener información del usuario. La filtración de información del usuario puede provocar daños importantes a la organización y al usuario. Para superar este problema, la organización debe invertir mucho en la protección de los datos de los usuarios y crear un escudo defensivo contra los registradores de pulsaciones de teclado.

Similar a los keyloggers son las aplicaciones que capturan capturas de pantalla. Estos programas maliciosos funcionan realizando capturas de pantalla del escritorio del usuario para capturar la información que se muestra en la pantalla.

Se pueden instalar varios tipos de software en el punto final del usuario para evitar la captura de imágenes del escritorio del usuario. Sin embargo, esto puede llevar a un rendimiento más lento del escritorio y el entorno del usuario.

Citrix Secure Private Access tiene directivas avanzadas para proteger los datos empresariales. La seguridad de los puntos finales es una consideración de seguridad importante para cualquier organización porque la mayoría de las infracciones se producen en el punto final del usuario. Las políticas de protección de aplicaciones son reglas que se aplican cuando se habilita una seguridad mejorada para una aplicación SaaS. Los clientes pueden usar dos políticas de seguridad avanzadas:

  • Antiregistro de teclas

  • Anticapturas de pantalla

AC-Image-22

Las directivas de protección de aplicaciones de Citrix se habilitan mediante la solución Citrix Secure Private Access. Los beneficios son los siguientes:

  • Protección contra el registro de teclas y la captura de pantalla
  • Administración centralizada para administradores de Citrix
  • Independiente de la postura de seguridad del dispositivo

Las directivas de protección de aplicaciones están integradas en la aplicación Citrix Workspace a partir de la versión 1912 para Windows, pero el administrador debe habilitar esta función.

Referencia: políticas de protección de aplicaciones

Proteja a los usuarios de la peligrosa navegación por Internet con Citrix Secure Browser

Los exploradores web son esenciales para un entorno de producción activo. Son herramientas poderosas y ricas en datos expuestas a Internet más que cualquier otra aplicación en el entorno laboral. Durante los últimos años, los ciberdelincuentes se han aprovechado de los navegadores web para obtener grandes cantidades de información de los usuarios, incluidos datos de tarjetas de crédito, identificaciones de correo electrónico y contraseñas almacenadas.

Los ataques basados en navegador se han vuelto frecuentes no porque sean objetivos de hackeo estratégicamente deseables, sino porque los ataques basados en navegador son difíciles de detectar. Los controles de seguridad convencionales no detectan estos ataques porque estas aplicaciones solo examinan los archivos descargados y los archivos adjuntos. Por lo tanto, los ataques basados en navegador tienden a pasar desapercibidos.

El servicio Citrix Secure Browser aísla la navegación web para proteger el entorno de producción del cliente de los ataques basados en el navegador. La aplicación Citrix Workspace o los navegadores locales son un punto de entrada al entorno de producción de Citrix. Citrix Secure Browser aísla la navegación por Internet para que el sitio web no transfiera directamente ningún dato de navegación hacia o desde el dispositivo del usuario. Al usar esto, los administradores de seguridad pueden ofrecer un acceso seguro a Internet sin reducir la seguridad empresarial.

El servicio Citrix Secure Browser es un producto SaaS administrado y operado por Citrix. Permite el acceso a aplicaciones web a través de un explorador web intermedio cuyo host está en la nube. Al usar el servicio Citrix Secure, los navegadores web alojados rastrean el historial de navegación de un usuario y almacenan en caché las solicitudes HTTP/HTTPS. Citrix usa perfiles obligatorios y se asegura de que, una vez finalizada la sesión de navegación, se borren los datos de esa sesión.

Se puede acceder al Secure Browser Service con un navegador web compatible con HTML5. No hay ningún cliente que los usuarios deban descargar. Todo el tráfico entre el navegador del usuario final y el servicio Citrix Cloud se cifra mediante el cifrado TLS estándar del sector y solo se admite TLS 1.2.

AC-Image-23

El diagrama anterior muestra la integración de la solución Citrix Secure Private Access, incluido el servicio Citrix Secure Browser para entornos Citrix en la nube y locales. Los clientes de Citrix Virtual Apps and Desktops con un StoreFront local pueden integrarse fácilmente con el Secure Browser Service.

Para obtener más información sobre la configuración de Citrix StoreFront con el Secure Browser Service, siga este enlace.

Colaboración de contenido y Citrix Secure Private Access

La mayoría de las organizaciones han experimentado algún tipo de ransomware o intentos de phishing que han puesto en peligro su red. La causa principal de estas amenazas suele ser una protección inadecuada contra las amenazas basadas en la web. Hay una falta de visibilidad de los sitios web a los que acceden los usuarios en el día a día.

El servicio Citrix Secure Private Access permite a una organización proteger su entorno de los ataques basados en el navegador y las filtraciones de datos. Cuando los empleados acceden a sus aplicaciones desde cualquier dispositivo, ya sea en la oficina, en casa o de viaje, el servicio Citrix Secure Private Access proporciona una experiencia cohesiva que integra el SSO, la autenticación de dos factores, el acceso remoto y el filtrado web en una única solución para el acceso privado seguro de extremo a extremo.

AC-Image-17

Citrix Content Collaboration permite a los usuarios intercambiar documentos de forma fácil y segura. Hay muchas formas de trabajar con Citrix Content Collaboration, como una interfaz basada en web, clientes móviles, aplicaciones de escritorio e integración con Microsoft Outlook y Gmail.

Citrix Files es un administrador de archivos que ofrece almacenamiento y uso compartido de datos, configuración y uso personalizables, y herramientas que permiten a los usuarios colaborar más fácilmente y trabajar desde cualquier dispositivo, en cualquier momento y en cualquier lugar.

El diagrama anterior muestra la entrega de la aplicación SaaS de Citrix Files a un usuario final en un escenario de modelo de nube híbrida. Citrix Cloud Connector proporciona un enlace a la cuenta de Citrix Cloud y la ubicación de recursos. La ubicación de recursos contiene Active Directory para los usuarios finales, lo que les permite iniciar sesión sin problemas en su aplicación web.

El servicio Citrix Gateway ofrece autenticación, inicio de sesión único y permite la entrega rápida y segura de aplicaciones Citrix Virtual y aplicaciones SaaS. Los usuarios finales inician sesión en el entorno de la empresa con sus credenciales de inicio de sesión y pueden iniciar sesión en aplicaciones web mediante el inicio de sesión único de SAML. En el servicio Citrix Gateway, los administradores pueden elegir la plantilla de la aplicación Web/SaaS o definir sus propios parámetros de aplicación. Por ejemplo:

Nombre de la aplicación: “Citrix Files”

Introduzca la URL: https://xxxxx.sharefile.com/

Del mismo modo, en la página SSO, los administradores pueden asegurarse de que SAML esté seleccionado, suponiendo que la configuración de SAML o SSO para Citrix Files ya se haya completado para el back-end.

La URL de aserción es: https://xxxxx.sharefile.com/saml/xxxx

Audiencia: https://xxxxx.sharefile.com

Formato del ID del nombre: Dirección de correo electrónico

ID del nombre: Correo electrónico

Una vez que se haya agregado la aplicación SaaS a la biblioteca de Citrix Cloud, el administrador debe administrar los suscriptores y proporcionar la URL de Workspace a los usuarios para que accedan. Con Active Directory, puede servir como proveedor de identidades para permitir el inicio de sesión único SAML en varias aplicaciones web y SaaS.

Control de contenido y acceso contextual

En la página Seguridad mejorada, el administrador puede establecer políticas para proteger a la organización de las filtraciones de datos confidenciales. Ofrece las siguientes opciones:

  • acceso restringido al portapapeles
  • impresión restringida
  • navegación restringida
  • descargas restringidas
  • visualización de marcas de agua

Para bloquear sitios web no deseados que presentan riesgos de seguridad para las organizaciones, el administrador de Citrix debe bloquear y permitir las URL agregando listas de URL o eligiendo listas de categorías. El administrador también puede adoptar un enfoque prudente al redirigir las URL a través de un navegador seguro.

Comportamiento y actividades del usuario

Para supervisar el comportamiento y las actividades de los usuarios por parte de un administrador, el servicio Citrix Secure Private Access se integra fácilmente con el servicio Citrix Analytics. El administrador impone condiciones predefinidas y un plan de acción para mitigar los riesgos.

Citrix Secure Private Access y G Suite

G Suite (también conocido como Google Workspace) es un conjunto de aplicaciones SaaS a las que se puede acceder de forma remota a través de Internet. G Suite se conocía anteriormente como Google Apps, desarrollado por Google. G Suite se compone de Gmail, Hangouts y Calendar para la comunicación; Google Drive para el almacenamiento; Documentos, Hojas de cálculo, Presentaciones, Formularios y Sitios de Google para la colaboración. G Suite ofrece enormes ventajas de productividad, pero la mayoría de las redes no están diseñadas correctamente para ofrecer el rendimiento y la seguridad necesarios para los casos de uso de la nube y la movilidad.

Google Cloud y Citrix permiten a los usuarios finales acelerar las soluciones pioneras que ofrecen una seguridad mejorada con una excelente experiencia de usuario y la flexibilidad tan deseada en un mundo centrado en las aplicaciones, en el que los dispositivos móviles son lo primero y la nube híbrida.

G Suite, un conjunto de aplicaciones SaaS de productividad líderes del mercado, se puede integrar con Citrix Secure Private Access para permitir que la organización obtenga una mayor visibilidad y control de las aplicaciones SaaS, lo que a su vez evita las fugas de datos y la divulgación no autorizada de información confidencial.

Los usuarios finales pueden acceder a las aplicaciones de G Suite con solo introducir la URL y las credenciales de inicio de sesión mediante la aplicación Citrix Workspace. Los usuarios tendrán todo un espacio de trabajo que incluye aplicaciones, escritorios y archivos, teniendo en cuenta que los usuarios nunca tendrán que introducir otro nombre de usuario y contraseña. Todo el espacio de trabajo se entrega a través de un único punto de acceso que mejora la productividad y optimiza los flujos de trabajo comunes para el usuario final.

AC-Image-18

Citrix Secure Private Access no solo proporciona una función de inicio de sesión único, sino que también proporciona una capa de controles de seguridad que no están disponibles en otras soluciones.

Implementación

Los Citrix Cloud Connectors se utilizan para gestionar todas las comunicaciones entre las ubicaciones de recursos y Citrix Cloud. Para una alta disponibilidad, se implementan un mínimo de dos conectores en cada ubicación de recursos. Las ubicaciones de recursos se integran con Active Directory, lo que permite a los usuarios finales iniciar sesión sin problemas en sus aplicaciones de G Suite.

El servicio Citrix Gateway con Active Directory puede funcionar como proveedor de identidad para permitir el inicio de sesión único de SAML en las aplicaciones SaaS de G Suite. Citrix Secure Private Access permite a los usuarios finales iniciar aplicaciones SaaS de G Suite en sesiones de Secure Browser y también permite al administrador aplicar cinco directivas de control diferentes.

Caso 1: la seguridad mejorada está desactivada. Cuando un usuario inicia Gmail en G Suite, se abre en un navegador estándar. Del mismo modo, las URL que se abren en su cuenta de Gmail utilizan un navegador estándar sin políticas ni controles de seguridad adicionales. Un usuario tiene libertad para navegar desde la página, cortar, copiar e imprimir la página.

Caso 2: la seguridad mejorada está activada. Cuando un usuario inicia Gmail en G Suite, se abre en un explorador seguro. Ahora se aplica una capacidad de nivel de control a través de Citrix Secure Private Access y el usuario final no tiene una barra de navegación para salir del sitio. Además, se imponen restricciones de cortar, copiar y pegar. Además de esto, Citrix Secure Private Access proporciona funciones de filtrado de URL que evitan que los usuarios visiten sitios web maliciosos. Como alternativa, se puede redirigir a los usuarios a Secure Browser en función de las políticas.

Beneficios de usar Citrix Secure Private Access con aplicaciones SaaS de G Suite:

  • Single Sign-On
  • Autenticación multifactor
  • Directivas de seguridad mejoradas para G Suite
  • Directivas de filtrado web para G Suite
  • Visibilidad y análisis integrales

Conceptos avanzados

Diseño de referencia validado de SaaS y O365 Cloud de Citrix Gateway

Diseño de referencia validado de SSO del servicio Citrix Gateway con Secure Private Access

Resumen

Citrix Secure Private Access es una solución consolidada para un espacio de trabajo digital seguro. La mayoría de las organizaciones están adoptando aplicaciones SaaS y web a medida que el espacio de trabajo digital está cambiando. La implementación de una solución de colaboración mejoraría significativamente la seguridad y proporcionaría beneficios para las empresas, las pequeñas empresas y los proveedores de SaaS, al brindar la confianza de que sus datos están protegidos.

La idea de proteger únicamente una red ya no es suficiente. La organización debe proteger a los usuarios y las aplicaciones. Por eso Citrix Secure Private Access ofrece:

  • Acceso consolidado a SaaS, web y aplicaciones virtuales
  • Experiencia de usuario final consistente y flexibilidad para usar cualquier dispositivo de punto final
  • Visibilidad del tráfico de aplicaciones y detección de amenazas mediante servicios analíticos que ayudan a controlar en la aplicación las aplicaciones SaaS más allá de Single Sign-On

Fuentes

El objetivo de esta arquitectura de referencia es ayudarle a planificar su propia implementación. Para facilitar su trabajo, nos gustaría proporcionarle diagramas fuente que puede aplicar en sus propios diseños detallados y guías de implementación: diagramas fuente.

Referencias

Acceso privado seguro

Informe técnico

Conocimientos técnicos

Proporcione acceso de usuario contextual y seguro en cualquier dispositivo en cualquier lugar, sin sacrificar el control de TI

Arquitectura de referencia: acceso privado seguro