Trabajo flexible

Información general

Durante años, la empresaSoportó el trabajo remoto para un pequeño porcentaje de la población general de usuarios. Para contratar a las mejores personas de cualquier geografía, CompanyA está investigando la expansión del trabajo remoto para ser una directiva de toda la empresa. Esta directiva no solo abre el grupo de posibles candidatos a empleados, sino que también proporciona a los empleados actuales una mejor flexibilidad laboral y de vida.

Sin embargo, la pandemia mundial de 2020-2021 puso esta iniciativa a un primer plano. Aunque CompanyA fue capaz de controlar la gravedad de la pandemia, hay una mayor conciencia de idear e implementar una solución de manera oportuna.

Esta arquitectura de referencia explica cómo CompanyA está planeando su solución Citrix Workspace para admitir un estilo de trabajo flexible sin comprometer la seguridad de TI.

Criterios

Aunque muchos usuarios tienen un entorno de trabajo principal, la solución necesita admitir un estilo de trabajo flexible que permita a los usuarios trabajar desde cualquier lugar, según sea necesario. Para tener éxito, empresaSe definió una lista de criterios de éxito que constituye la base para el diseño global.

Experiencia de usuario

El aspecto más importante de una solución de trabajo flexible es satisfacer las necesidades del usuario. CompañíaIdentificó los siguientes criterios relacionados con el usuario para un diseño correcto.

Criterios Descripción Solución
Experiencia unificada Los usuarios pueden acceder a los recursos con numerosos dispositivos, incluidos PC, tabletas y smartphones. Tener una experiencia unificada en todas las plataformas ayuda a evitar la confusión del usuario final. Citrix Workspace
Dispositivos móviles personales Los usuarios pueden seleccionar de una lista de dispositivos móviles administrados por la empresa. Con los dispositivos móviles, CompanyA permite al usuario modificar el dispositivo para uso personal, manteniendo las directivas de seguridad corporativas en su lugar. Citrix Endpoint Management: propiedad corporativa, habilitada personalmente (COPE)
Dispositivos de PC personales Los usuarios pueden seleccionar de una lista de dispositivos de punto final administrados corporativos que se ajusten a sus requisitos de uso. Estos dispositivos están totalmente gestionados y protegidos por CompanyA. Citrix Endpoint Management: elija su propio dispositivo (CDOD)
Red doméstica redundante Los usuarios que trabajan desde casa en un caso crítico deben tener conexiones de red redundantes y de alta disponibilidad. Dispositivo doméstico Citrix SD-WAN 110
Privacidad personal Al utilizar sitios web no autorizados, debe garantizarse la privacidad del usuario y, al mismo tiempo, proteger al usuario y al punto final de posibles amenazas. Citrix Secure Internet Access con directivas de no descifrar para sitios con información personal
Acceso a aplicaciones SaaS Los usuarios deben poder acceder a aplicaciones SaaS sancionadas, con una autenticación sólida que no afecte a la experiencia. Citrix Secure Workspace Access
Acceso a aplicaciones web Los usuarios deben poder acceder a aplicaciones web internas sancionadas en cualquier dispositivo aprobado. Citrix Secure Workspace Access — Acceso a la red de confianza cero
Acceso a escritorios y aplicaciones virtuales Los usuarios deben poder acceder a aplicaciones y escritorios autorizados de Windows en cualquier dispositivo aprobado. Citrix Virtual Apps and Desktops Service
Enrutamiento directo de aplicaciones virtuales y escritorios Los usuarios que trabajan desde el entorno local de oficina pueden utilizar una ruta directa al recurso sin comprometer las directivas de seguridad. Servicio Citrix Virtual Apps and Desktops con conexión directa de carga de trabajo
Soporte para reuniones virtuales Dado que los usuarios ya no están limitados a trabajar en la misma ubicación, el uso de soluciones de reuniones virtuales, como Microsoft Teams, es una necesidad. Cada usuario puede acceder a la aplicación y utilizar webcamas/micrófonos locales. Citrix Virtual Apps and Desktops Service con directivas de conferencias multimedia

Seguridad

Para tener éxito, la empresaDebe ser capaz de proteger y proteger sus recursos al mismo tiempo proporcionar un entorno de trabajo flexible que se alinea con los requerimientos del usuario. CompañíaIdentificó los siguientes criterios relacionados con la seguridad para un diseño correcto.

Criterios Descripción Solución
Dispositivos personales no seguros Los usuarios que intentan acceder a Workspace con un dispositivo no seguro deben no poder obtener acceso a ningún recurso sancionado. Citrix Application Delivery Controller (ADC) - Directivas de nFactor y análisis de endpoints
Red doméstica segura Los usuarios que trabajan desde casa con datos financieros y personales confidenciales deben hacerlo desde una red separada y segura. Dispositivo doméstico Citrix SD-WAN 110
Seguridad de Internet Independientemente de la ubicación, los usuarios deben estar protegidos de posibles amenazas de Internet ocultas en correos electrónicos, aplicaciones y sitios web. La protección de Internet debe extenderse a todos los modelos de entrega, incluidas las aplicaciones y escritorios virtuales, las aplicaciones locales, las aplicaciones móviles, las aplicaciones web y las aplicaciones SaaS. Citrix Secure Internet Access
SaaS y seguridad de aplicaciones web La capacidad del usuario para descargar, imprimir o copiar datos de aplicaciones SaaS que contienen información financiera, personal u otra información confidencial debe estar restringida. Citrix Secure Workspace Access: Directivas de seguridad con protección de aplicaciones
Seguridad de aplicaciones virtuales y escritorio Los usuarios que acceden a aplicaciones y escritorios virtuales no deben poder copiar, descargar o imprimir información financiera, personal u otra información confidencial. Citrix Virtual Apps and Desktops: Directivas de seguridad con protección de aplicaciones
Acceso seguro Los recursos corporativos internos deben estar protegidos de ubicaciones no seguras y no confiables. Para ayudar a prevenir la intrusión de malware, no se permite el acceso directo a los dispositivos a la red interna. Acceso sin VPN
Autenticación multifactor Teniendo en cuenta que la seguridad es lo más importante, MFA debe garantizar otra capa de protección de autenticación de los recursos corporativos. Citrix ADC - Contraseña de un solo uso basada en tiempo con Push
Protección de credenciales SaaS Las credenciales del usuario para las aplicaciones SaaS deben incluir autenticación multifactor segura. Citrix Secure Workspace Access: inicio de sesión único con autenticación solo SAML
Protección del usuario comprometida La TI debe poder identificar y mitigar rápidamente las amenazas planteadas por una cuenta de usuario comprometida. Análisis de seguridad de Citrix

Arquitectura Conceptual

Basándose en los requisitos anteriores, CompanyA creó la siguiente arquitectura conceptual de alto nivel. Esta arquitectura cumple con todos los requisitos anteriores al tiempo que da a la empresaLa base para expandirse a casos de uso adicionales en el futuro.

Arquitectura conceptual

El marco de arquitectura se divide en varias capas. El marco proporciona una base para comprender la arquitectura técnica de los escenarios flexibles de implementación de trabajo. Todas las capas fluyen juntas para crear una solución completa de extremo a extremo.

A un nivel de alto nivel:

Capade usuario: La capa de usuario describe el entorno del usuario final y los dispositivos de punto final que se utilizan para conectarse a los recursos.

  • Independientemente del dispositivo, los usuarios acceden a recursos desde la aplicación Workspace, lo que da como resultado una experiencia idéntica en todos los factores de forma y plataforma de dispositivos.
  • Todos los dispositivos de punto final deben estar protegidos. Los usuarios que prefieran utilizar un dispositivo móvil personal deben inscribir el dispositivo en la organización.
  • Dependiendo del rol, algunos usuarios pueden necesitar una red doméstica independiente y segura o conexiones de red tolerantes a fallos.
  • En un entorno de trabajo flexible, CompanyA proporciona a todos acceso a un Microsoft Teams virtualizado, que incluye optimizaciones integradas de Workspace App.

Capa de acceso: la capa de acceso describe detalles sobre cómo los usuarios se autentican en su espacio de trabajo y recursos secundarios.

  • Antes de que un usuario pueda acceder a la página de inicio de sesión de Citrix Workspace, el servicio Endpoint Management analizó el endpoint para comprobar que es un dispositivo administrado corporativo. Para proteger mejor los recursos, la empresaA requiere cierto nivel de administración para todos los dispositivos de endpoints (administración a nivel de dispositivo o Windows y administración de nivel de aplicación para dispositivos móviles).
  • Citrix Workspace proporciona el agente de autenticación principal para todos los recursos subsiguientes. CompanyA requiere autenticación multifactor para mejorar la seguridad de la autenticación.
  • Muchos de los recursos autorizados dentro del entorno utilizan un conjunto de credenciales diferente al utilizado para la identidad principal de Workspace. CompanyA utilizará las capacidades de inicio de sesión único de cada servicio para proteger mejor estas identidades secundarias. En el caso de las aplicaciones SaaS, las aplicaciones solo permiten la autenticación basada en SAML, lo que impide que los usuarios accedan directamente a las aplicaciones SaaS y omitan las directivas de seguridad.

Capade recursos: La capa de recursos autoriza recursos SaaS, web y virtuales específicos para usuarios y grupos definidos mientras define las directivas de seguridad asociadas al recurso.

  • Para proteger mejor los datos, CompanyA requiere directivas que inhabiliten la capacidad de imprimir, descargar y copiar y pegar contenido desde el recurso administrado hacia y desde el extremo.

Capade control: La capa de control define cómo se ajusta la solución subyacente en función de las actividades subyacentes del usuario.

  • Incluso dentro de un recurso de Workspace protegido, los usuarios tienen la capacidad de interactuar con recursos de Internet que no son de confianza. CompañíaA utiliza el acceso seguro a Internet para proteger al usuario de las amenazas externas de aplicaciones SaaS, aplicaciones web, aplicaciones virtuales, aplicaciones móviles y aplicaciones en dispositivos terminales.
  • Es posible que los usuarios necesiten acceder a elementos personales en los dispositivos de endpoint administrados. Se definen directivas apropiadas para proteger la privacidad del usuario al acceder a sitios personales relacionados con la salud y las finanzas.
  • Con todas las directivas implementadas para proteger a los usuarios cuando se trabaja en un entorno flexible, todavía existen riesgos. CompañíaA utiliza el servicio Security Analytics para identificar usuarios comprometidos y tomar medidas automáticamente para mantener un entorno seguro.

Las secciones siguientes proporcionan mayor detalle en las decisiones de diseño específicas para la arquitectura flexible de referencia de trabajo de CompanyA.

Capa de usuarios

Conectividad de red doméstica

Para muchos usuarios, el acceso a su espacio de trabajo es simplemente una cuestión de conectarse a su red doméstica, que se compartirá entre el trabajo y el uso personal. Sin embargo, en función de ciertos requisitos de usuario final, CompanyA requiere conexiones redundantes o una red doméstica segura.

En función de estos requisitos, CompanyA utiliza una combinación de las tres opciones siguientes basadas en los requisitos del usuario.

Conectividad de red doméstica

Desde una perspectiva de conectividad, CompanyA tiene cuatro tipos principales de usuarios, que se relacionan con las opciones definidas de conectividad doméstica:

Usuarios Requisitos Solución
Ejecutivos Red doméstica segura con conexiones redundantes Opción 3: Red redundante y segura - Citrix SD-WAN 110 con LTE
Finanzas Red doméstica segura Opción 2: Red protegida - Citrix SD-WAN 110
Centro de Llamada Conexiones redundantes Opción 3: Red redundante y segura - Citrix SD-WAN 110 con LTE
Todos Línea base Opción 1: Red compartida

Algunos usuarios dentro de la organización tratan con información confidencial, como datos financieros. Para proteger mejor la comunicación de red, esos usuarios necesitan una red doméstica separada y protegida. Este grupo de usuarios implementa un dispositivo SD-WAN 110 en su red doméstica. Aunque aún comparten la conexión del ISP principal, los dispositivos de trabajo utilizan la red doméstica protegida. La red separada permite a CompanyA aplicar directivas de seguridad a la red de trabajo remoto sin afectar al resto de la red doméstica.

Algunos grupos de usuarios requieren conexiones tolerantes a fallos. Estos usuarios implementan un dispositivo SD-WAN 110 con una conexión LTE de respaldo. Cuando el dispositivo SD-WAN 110 detecta problemas de fiabilidad con el ISP principal, SD-WAN conmuta automáticamente por error a la conexión LTE.

Aunque los dispositivos SD-WAN 110 se implementan en el hogar del usuario, se administran de forma centralizada. La administración centralizada de los dispositivos permite a CompanyA instituir un enfoque de implementación de cero toque para los usuarios domésticos siguiendo estas guías:

Más información sobre SD-WAN 110 para usuarios de oficina doméstica.

Seguridad de endpoints

CompañíaA tiene dos estrategias diferentes para dispositivos de punto final basadas en el factor de forma.

  1. Dispositivos tradicionales: Para dispositivos tradicionales como computadoras de escritorio, PC y laptops, CompañíaA utiliza la Administración de dispositivos móviles (MDM) con una estrategia Elija su propio dispositivo (BYOD). Con este enfoque, CompanyA es responsable de comprar, asegurar y mantener el dispositivo. Para facilitar la administración general y al mismo tiempo permitir la satisfacción del usuario final, CompanyA tiene una lista de dispositivos aprobados que van desde Windows hasta Mac. Los usuarios pueden acceder a recursos personales desde el dispositivo, pero el dispositivo es administrado, protegido, supervisado y auditado por CompanyA.
  2. Dispositivos móviles: Para dispositivos móviles como iPhones y teléfonos Android, CompanyA utiliza Gestión de aplicaciones móviles (MAM) con una estrategia de propiedad de la empresa, habilitada personalmente (COPE). Al igual que la estrategia Elegir su propio dispositivo, la estrategia de propiedad de la empresa, habilitado personalmente proporciona al usuario una lista de dispositivos móviles aprobados. CompanyA adquiere y protege el dispositivo, al tiempo que permite a los usuarios acceder a aplicaciones personales que no están protegidas o auditadas por la organización. Las aplicaciones relacionadas con el trabajo se almacenan en contenedores, lo que ayuda a proteger las aplicaciones y el contenido relacionados con el trabajo de las aplicaciones personales instaladas localmente.

Obtén más información sobre Modelos de propiedad de Endpoint Management

La inscripción de los dispositivos utiliza las siguientes directivas de inscripción

Sistema operativo Directiva Valor
Windows Administración de dispositivos Totalmente administr
  Permitir desinscripción manual de MDM Inhabilitado
iOS Administración de dispositivos Inscripción de dispositivos Apple
  Citrix MAM Habilitado
Android Administración Android Enterprise
  Modo propietario del dispositivo Totalmente administrado con perfil de trabajo
  Perfil de trabajo BYOD Inhabilitado
  Citrix MAM Habilitado

Directivas de seguridad de endpoints

Para proteger los endpoints, CompanyA comienza con las siguientes directivas de dispositivo de línea base:

Directiva Valor Dispositivos de punto final
Código de acceso: longitud mínima 6 Todos los tipos de SO (iOS, macOS, Android, Android Enterprise, Windows)
Inventario de aplicaciones Habilitado Todos los tipos de SO (iOS, macOS, Android, Android Enterprise, Windows)
Cifrado de dispositivos Requerir cifrado del dispositivo Windows — BitLocker
    macOS — FileVault
Secure Mail Directiva de implementación de aplicaciones iOS y Android
Secure Web Directiva de implementación de aplicaciones iOS y Android
Actualización de SO Instalar y notificar automáticamente para programar el reinicio Windows, macOS, iOS, Android

Optimización de Microsoft Teams

Con una plantilla distribuida, CompanyA confía más en soluciones de conferencias virtuales y estandarizada en Microsoft Teams. Al optimizar la forma en que los paquetes de comunicación de voz y vídeo de Microsoft Teams cruzan el cable, Citrix Virtual Apps and Desktops ofrece una experiencia de reunión virtual idéntica a la de un PC tradicional.

Para obtener más información acerca de la integración y optimización de Microsoft Teams, consulte lo siguiente:

Capa de acceso

Autenticación

Debido a problemas de seguridad, CompanyA requiere una directiva de autenticación sólida. CompanyA utiliza un enfoque de 2 etapas.

La etapa 1 se centra en proteger la identidad principal del usuario en Citrix Workspace con un enfoque contextual multifactor.

Autenticación primaria

La directiva de autenticación deniega el acceso si el dispositivo no pasa un análisis de seguridad de endpoint. El análisis verifica que el dispositivo está administrado y protegido con directivas de seguridad corporativas. Una vez que el análisis se realiza correctamente, el usuario puede utilizar sus credenciales de Active Directory y un token TOTP para autenticarse. El token TOTP se puede introducir manualmente o automáticamente con notificaciones push.

El esquema de autenticación de la etapa 2 se centra en los recursos secundarios (aplicaciones SaaS, aplicaciones web, aplicaciones virtuales y escritorios). Casi todos los recursos secundarios requieren autenticación. Algunos usan el mismo proveedor de identidades que la identidad principal del usuario, mientras que otros usan un proveedor de identidades independiente, más común con las aplicaciones SaaS.

  • Aplicaciones SaaS: para aplicaciones SaaS, CompanyA utiliza la autenticación basada en SAML y Citrix Workspace actúa como agente de identidades para Active Directory. Una vez configuradas, las aplicaciones SaaS solo permiten la autenticación basada en SAML. Cualquier intento de iniciar sesión con un nombre de usuario/contraseña específico de la aplicación SaaS fallará. Esta directiva permite a CompanyA mejorar la solidez de la autenticación al tiempo que facilita la inhabilitación del acceso debido a una cuenta de usuario comprometida.
  • Aplicaciones web: inventario de aplicaciones web en la empresaTodos usan las credenciales de Active Directory del usuario. Para aplicaciones web, CompanyA utiliza una combinación de formularios, Kerberos y autenticación basada en SAML para proporcionar inicio de sesión único. La elección entre las opciones se basa en los aspectos únicos de cada aplicación web.
  • Aplicaciones y escritorios virtuales: para las aplicaciones y escritorios virtuales, CompanyA utiliza la autenticación de paso a través de Citrix Workspace, eliminando el desafío de autenticación secundario.

El Resumen técnico de inicio de sesión único en el espacio de trabajo contiene información adicional sobre el inicio de sesión único para SaaS, aplicaciones web, aplicaciones virtuales, escritorios virtuales y opciones de encadenamiento de IdP.

Acceso a recursos

Desde una perspectiva de seguridad, todos los usuarios se consideran externos. CompañíaDebe considerar cómo los usuarios externos pueden acceder a los recursos internos. Los recursos corporativos internos deben estar protegidos de ubicaciones no seguras y no confiables. Para ayudar a prevenir la intrusión de malware, no se permite el acceso directo a los dispositivos a la red interna.

Para proporcionar acceso a recursos internos como aplicaciones web privadas, aplicaciones virtuales y escritorios virtuales, CompanyA planea utilizar el servicio Secure Workspace Access y el servicio Virtual Apps and Desktops. Estos dos servicios utilizan una solución de acceso a la red cero confianza, que es una alternativa más segura a las VPN tradicionales.

Acceso a la red Zero Trust

Secure Workspace Service y Virtual Apps and Desktops Service utilizan las conexiones de canal de control salientes establecidas por los conectores en la nube. Estas conexiones permiten al usuario acceder de forma remota a los recursos internos. Sin embargo, esas conexiones son

  • Limitado en alcance para que solo el recurso definido sea accesible
  • Basado en la identidad principal y segura del usuario
  • Solo para protocolos específicos, que no permiten la travesía de la red

Sin embargo, cuando los usuarios trabajan desde una oficina local, en lo que se considera acceso local, el enrutamiento para aplicaciones y escritorios virtuales se optimiza sin comprometer las directivas de seguridad. Para ello, CompanyA implementa la capacidad de conexión directa de carga de trabajo dentro del servicio Citrix Virtual Apps and Desktops.

Conexión directa de carga de trabajo

Cuando un usuario es remoto, Citrix Workspace hace que el servicio Gateway establezca una conexión segura entre el recurso virtual y el usuario remoto. Sin embargo, cuando el usuario se encuentra físicamente en la red local, siguiendo el mismo flujo agrega latencia a la conexión del usuario. Si el usuario puede establecer una conexión local con el recurso virtual, la latencia disminuye y la experiencia del usuario aumenta.

Conexión directa de carga de trabajo permite a las organizaciones definir un conjunto de direcciones IP públicas asociadas a los sitios locales. Si la dirección IP del usuario se origina en una de las direcciones IP definidas, Workspace determina que el usuario es un usuario local y utiliza un procedimiento de conexión directa.

Capa de recursos

Directivas de seguridad de recursos

CompañíaA quiere limitar el riesgo de pérdida de datos debido al robo de un dispositivo de punto final o de un dispositivo de punto final comprometido. Dentro de los diferentes tipos de aplicación, CompanyA incorpora numerosas restricciones para evitar que los usuarios copien, descarguen o impriman datos.

Como directiva de línea base, empresaDefinía lo siguiente (con la capacidad de relajar las directivas según sea necesario en función del usuario y la aplicación).

Categoría Aplicaciones SaaS Aplicaciones web Aplicaciones Virtuales/Escritorios Aplicaciones móviles
Acceso al portapapeles Denegada Denegada Solo de cliente a servidor Solo habilitado entre aplicaciones protegidas
Impresión Denegada Denegada Denegada Denegada
Navegación Denegada Denegada No corresponde No corresponde
Descargas Denegada Denegada Denegada Denegada
Marca de agua Habilitado Habilitado Habilitado No corresponde
Prevención de registro de teclas Habilitado Habilitado Habilitado No corresponde
Prevención de capturas de pantalla Habilitado Habilitado Habilitado No corresponde

El Resumen técnico de directivas de protección de aplicaciones contiene información adicional acerca del registro de teclas y las directivas de prevención de capturas de pantalla.

Capa de control

La capa de control define cómo se ajusta la solución subyacente en función de las actividades subyacentes del usuario.

  • Incluso dentro de un recurso de Workspace protegido, los usuarios tienen la capacidad de interactuar con recursos que no son de confianza en Internet.Compañía utiliza el acceso seguro a Internet para proteger al usuario de amenazas externas desde aplicaciones SaaS, aplicaciones web, aplicaciones virtuales, aplicaciones móviles y aplicaciones en dispositivos de endpoint.
  • Es posible que los usuarios necesiten acceder a elementos personales en los dispositivos de endpoint administrados. Se definen directivas apropiadas para proteger la privacidad del usuario al acceder a sitios personales relacionados con la salud y las finanzas.
  • Con todas las directivas implementadas para proteger a los usuarios cuando se trabaja en un entorno flexible, todavía existen riesgos. CompañíaA utiliza el servicio Security Analytics para identificar usuarios comprometidos y tomar medidas automáticamente para mantener un entorno seguro.
  • CompañíaDebe ser capaz de administrar los dispositivos remotos SD-WAN 110, implementados en numerosos hogares. Al utilizar SD-WAN Orchestrator, CompanyA puede administrar de forma centralizada una implementación distribuida.

Acceso seguro a Internet

A medida que los usuarios interactúan con aplicaciones SaaS, web, virtuales, locales y móviles, a menudo acceden a sitios públicos de Internet. Aunque CompanyA tiene una clase de cumplimiento de seguridad de Internet, todos los usuarios deben completar anualmente, no ha evitado por completo los ataques, la mayoría de las veces se originan a través de estafas de phishing.

Para ayudar a proteger a los usuarios y a la organización, CompanyA incorpora el servicio Secure Internet Access y Security Analytics en el diseño flexible del trabajo.

Seguridad de Internet

Cualquier tráfico de Internet hacia o desde la biblioteca de aplicaciones, escritorios y dispositivos dentro de la organización se enruta a través del servicio Acceso seguro a Internet. Dentro de este servicio, se escanea cualquier URL para verificar que es segura. Las funcionalidades dentro de ciertos sitios públicos son denegadas o modificadas. Las descargas se escanean y verifican automáticamente.

Como muchos sitios web están ahora cifrados, parte de este proceso de seguridad es descifrar el tráfico e inspeccionar. CompanyA quiere permitir que los usuarios tengan la flexibilidad de acceder a sitios personales mientras están en dispositivos propiedad de la empresa. Para garantizar la privacidad de los empleados, ciertas categorías de sitios web no se descifrarán, como sitios financieros y relacionados con la salud. Para tener una transparencia completa, la empresaPlanea hacer que el plan general de directiva de seguridad esté disponible internamente.

Al diseñar la directiva de seguridad de Internet, CompanyA quería comenzar con una directiva de línea base. A medida que la Compañía continúa evaluando los riesgos dentro de la organización, relajará o fortalecerá las directivas según corresponda.

De forma predeterminada, todas las categorías están descifradas y permitidas. CompañíaSe realizaron las siguientes modificaciones que se aplican globalmente:

|Categoría|Cambio|Motivo| —|—|—| |Financiero e Inversión|No descifrar|Preocupaciones sobre la privacidad| |Estado|No descifrar|Preocupaciones sobre la privacidad| |Contenido para adulto|Bloquear| |Drogas|Bloquear| |Compartir archivos|Bloquear| |Jugar|Bloquear| |Actividad ilegal|Bloque| |Fuentes malicios|Bloque| |Contenido de malware|Bloquear| |Porn/Bloquear| |Virus y Malware|Bloquear| |Violencia/ Odiar|Bloque|

Además de los controles de seguridad globales, CompanyA también tiene la necesidad de implementar controles adicionales de Internet para un subconjunto del entorno.

Categoría Grupo Motivo
YouTube — Restringir vídeo Hosts de Virtual Apps and Desktops Al permitir vídeo HD dentro de escritorios virtuales, a menudo se traduce en una mayor carga de recursos, lo que podría afectar el rendimiento y la escalabilidad.

Security Analytics

CompañíaDebe identificar y detener las amenazas al medio entorno antes de que el impacto sea demasiado grande.

Para ayudar a proteger el entorno, CompanyA utiliza Citrix Security Analytics para identificar amenazas internas, usuarios comprometidos y puntos terminales comprometidos. En muchos casos, una sola instancia de amenaza no justifica una acción drástica, pero una serie de amenazas puede indicar una violación de la seguridad.

CompañíaDesarrolló las siguientes directivas de seguridad iniciales:

Nombre Condiciones Acción Motivo
Dispositivo Jailbreak Dispositivo con jailroken/rooted detectado Bloquear dispositivo Los dispositivos móviles son propiedad y administrados por CompanyA. Los dispositivos Jailbreak pueden introducir malware, capaz de robar datos.
Endpoint no administrado Dispositivo no administrado detectado Notificar administrador CompañíaA requiere que cada dispositivo sea administrado. Si se detecta un dispositivo no administrado, existe la posibilidad de que se haya violado el entorno y se debe inhabilitar la cuenta del usuario.
Riesgo de endpoint Error en la exploración de la EPA Agregar a la lista de seguimiento Solo se permite el acceso a los dispositivos administrados. Si un usuario intenta utilizar un dispositivo no administrado, se supervisa el usuario para comprobar que no es una amenaza. Si surgen riesgos adicionales, se justifican medidas adicionales.
Acceso inusual Inicie sesión desde una IP sospechosa y acceda desde una ubicación inusual Bloquear usuario Si un usuario inicia sesión desde una ubicación inusual y una IP sospechosa, hay una clara indicación de que el usuario se vio comprometido.
Comportamiento inusual de aplicaciones Tiempo inusual de uso de la aplicación y acceso desde una ubicación inusual Iniciar grabación de sesiones Si un usuario accede a una aplicación virtual en un momento y ubicación extraños, existe el potencial de que el usuario se vea comprometido. El análisis de seguridad registra la sesión para que el administrador verifique su legitimidad.
Posibles vulnerabilidades de credenciales Fallos de autenticación excesivos y acceso desde una ubicación inusual Agregar a la lista de seguimiento Si un usuario tiene muchos errores de autenticación desde una ubicación inusual, puede indicar que alguien está tratando de entrar en el sistema. Sin embargo, el atacante aún no tiene éxito. Solo es necesario agregar el usuario a la lista de seguimiento.

El Indicadores de riesgo del usuario de Citrix documento contiene información adicional sobre los diversos indicadores de riesgo proporcionados a Citrix Security Analytics.

La Directivas y acciones de Citrix página contiene información sobre los pasos de corrección que puede realizar Citrix Security Analytics.

Citrix SD-WAN Orchestrator

Un subconjunto de la población de usuarios, según los requisitos, implementará el dispositivo Citrix SD-WAN 110 dentro de su red doméstica. Este dispositivo proporcionará conexiones de red redundantes o creará una red doméstica independiente y segura.

Para administrar más fácilmente la implementación de SD-WAN distribuida, CompanyA utilizará Citrix SD-WAN Orchestrator.

SD-WAN Orchestrator

Con Orchestrator, el administrador realiza todos los ajustes de configuración necesarios dentro del servicio en la nube. Una vez conectados a la red, los dispositivos SD-WAN 110 se registran en el servicio en la nube y reciben la información de configuración.

El servicio basado en la nube facilita la administración del entorno SD-WAN distribuido para el administrador.

Fuentes

Para que sea más fácil para usted planificar una solución de trabajo flexible, nos gustaría proporcionarle lo diagramas de origen que pueda adaptar.