Reference Architecture: Reference Architecture - Proteja las aplicaciones y los datos en dispositivos “traiga sus propios”

Información general

Companya proporciona acceso remoto a un pequeño subconjunto de su base de usuarios general. Estos usuarios finales, que forman parte de una fuerza laboral híbrida y distribuida, utilizan dispositivos BYO (BYO) para acceder a los recursos internos y de la nube. Los recursos incluyen aplicaciones cliente-servidor (aplicaciones y escritorios virtuales), aplicaciones web internas y SaaS que deben protegerse cuando se accede a ellas desde dispositivos que no son de confianza.

La política de acceso remoto de Companya ha llevado a una mayor eficiencia para su fuerza laboral híbrida y distribuida. Sin embargo, la política ha creado un modelo de entrega complejo y ha introducido problemas de seguridad. Dado que los dispositivos de los usuarios finales no están administrados, Companya debe mitigar las amenazas de seguridad contra las aplicaciones y los datos en tránsito, en uso y en reposo en los dispositivos.

Companya utiliza actualmente varios productos puntuales no integrados para el acceso remoto. Quiere consolidar y expandirse a una solución de Acceso a la Red de Confianza Cero (ZTNA) para toda la empresa, a la vez que protege sus recursos. Con ese fin, Companya está participando en una iniciativa para actualizar su arquitectura de entrega de aplicaciones. Está implementando la solución Citrix integrada mediante Citrix Secure Private Access, Citrix Gateway, Citrix Secure Internet Access y Citrix Web App and API Protection. En conjunto, esta solución proporciona protección integral de los recursos de la empresa a los que se accede desde dispositivos BYO.

Información general

Esta arquitectura de referencia explica el plan de Companya para proteger el acceso de los usuarios, proteger los datos y los dispositivos y proteger las aplicaciones.

Criterios

Companya desea permitir que todos los usuarios trabajen desde casa y desde ubicaciones remotas. Después de la pandemia, los empleados continúan beneficiándose de una fuerza laboral híbrida y distribuida habilitada para BYOD. Aunque algunos usuarios actualmente tienen acceso VPN a aplicaciones web y SaaS, ComPanya ha identificado varios desafíos de seguridad que impiden una implementación en toda la empresa. Por lo tanto, Companya está implementando un enfoque sin VPN.

Como Companya no administra los dispositivos de los usuarios finales, no tiene forma de entender si los dispositivos transfieren algún contenido malicioso a su infraestructura de aplicaciones. Además, la política de seguridad de Companya no exige que los dispositivos BYO tengan agentes instalados para proporcionar acceso a los recursos de la empresa.

Por lo tanto, Companya ha iniciado una triple iniciativa para proteger los recursos corporativos a los que acceden los dispositivos BYO. Para tener éxito, Companya definió una lista de criterios de éxito para la iniciativa. Estos criterios constituyen la base del diseño general.

Protección del acceso del usuario

Companya debe proteger el acceso de los usuarios de BYOD a su entorno de trabajo. Debe crear un modo seguro de acceso a todas las aplicaciones y datos que sea perfecto para los usuarios finales. El acceso debe ser seguro, simple y flexible para usar cualquier dispositivo y trabajar desde cualquier ubicación.

Companya ha decidido que su estrategia de seguridad es alejarse del enfoque tradicional de “castillo y foso” para el acceso y la seguridad. Está adoptando un enfoque de confianza cero en lugar de utilizar una solución convencional basada en dispositivos, como una VPN, que supone que los usuarios son de confianza.

En el enfoque de Companya en la protección del acceso de los usuarios, ha identificado los siguientes criterios para un diseño exitoso:

Criterios Descripción Solución
Acceso adaptativo para aplicaciones web y SaaS Acceso adaptable para aplicaciones web y SaaS mediante Citrix Secure Private Access para determinar el nivel correcto de acceso Citrix Secure Private Access
Acceso adaptable para aplicaciones cliente-servidor (virtuales) Acceso adaptable para aplicaciones cliente-servidor (virtuales) mediante Citrix Secure Private Access y Citrix Virtual Apps and Desktops para determinar el nivel de acceso correcto Citrix Secure Private Access y Citrix Virtual Apps and Desktops
Monitorización del usuario final Monitoreo continuo y evaluación continua para protegerse contra posibles amenazas. Las aplicaciones se supervisan continuamente para detectar la exfiltración de datos y los tiempos y ubicaciones de acceso anormales. Citrix Analytics
Acceso a aplicaciones SaaS Los usuarios deben acceder a las aplicaciones SaaS sancionadas con una autenticación sólida que no afecte la experiencia Citrix Secure Private Access
Acceso a aplicaciones web Los usuarios deben poder acceder a las aplicaciones web internas sancionadas con una autenticación sólida que no afecte a la experiencia Citrix Secure Private Access: acceso a la red Zero Trust
Privacidad personal Companya debe garantizar la privacidad del usuario y, al mismo tiempo, proteger al usuario y al punto final de posibles amenazas al utilizar sitios web no autorizados Citrix Secure Browser Service con Citrix Secure Internet Access (uso de directivas de “no descifrar” para sitios con información personal)

Protección de datos

Companya debe proteger los datos a los que acceden los dispositivos BYO. Cuenta con una infraestructura altamente compleja de capas de aplicaciones, sistemas y redes en entornos que consisten en centros de datos locales y nubes públicas y privadas. Esta expansión descontrolada ha dado lugar a una pila complicada de diferentes herramientas y tecnologías para proteger los datos.

Companya está diseñando una pila de seguridad consolidada y entregada en la nube para satisfacer las demandas de su lugar de trabajo moderno. Al centralizar la política de seguridad de datos en toda la solución, minimiza las tareas redundantes, elimina las políticas superpuestas y permite que TI proteja los datos y los dispositivos en todas las ubicaciones.

En el enfoque de Companya en la protección de datos, ha identificado los siguientes criterios para un diseño exitoso:

Criterios Descripción Solución
Dispositivos BYO Los usuarios acceden a Workspace con un dispositivo BYO y no deben obtener acceso sin restricciones a los recursos sancionados. Citrix Secure Private Access
SaaS y seguridad de aplicaciones web Debe restringirse la capacidad del usuario para descargar, imprimir o copiar datos de aplicaciones SaaS que contengan información financiera, personal u otra información confidencial. Citrix Secure Private Access — Políticas de seguridad Seguridad mejorada
Protección contra registradores de pulsaciones Companya debe proteger los recursos corporativos internos cuando se accede a ellos desde dispositivos BYO. Los dispositivos pueden verse comprometidos y tener instalado malware de registro de pulsaciones. El registro de claves debe bloquearse mientras se usa Citrix Workspace. Citrix Secure Private Access: políticas de seguridad con protección de aplicaciones
Protección contra raspadores de pantalla Companya debe proteger los recursos corporativos internos cuando se accede a ellos desde dispositivos BYO. Los dispositivos pueden verse comprometidos y tener instalado malware de raspado de pantalla. El raspado de pantalla debe bloquearse mientras se usa Citrix Workspace. Citrix Secure Private Access: políticas de seguridad con protección de aplicaciones
Seguridad de Internet Proteja a los usuarios de posibles amenazas de Internet ocultas en correos electrónicos, aplicaciones y sitios web, independientemente de su ubicación. Citrix Secure Browser Service con Citrix Secure Internet Access: políticas de seguridad con protección contra malware
Proteger dispositivos Proteja los dispositivos y la infraestructura subyacente del malware y las amenazas de día cero Citrix Secure Browser Service con Citrix Secure Internet Access: políticas de seguridad con protección contra malware
Proteja los datos Proteja los datos almacenados en aplicaciones sancionadas y no autorizadas Citrix Secure Browser Service con Citrix Secure Internet Access: políticas de seguridad con filtrado web
Cumplimiento de normativas Cumplimiento y protección de los usuarios de URL maliciosas Citrix Secure Browser Service con Citrix Secure Internet Access: políticas de seguridad con filtrado web

Protección de aplicaciones

Companya debe proteger las aplicaciones a las que acceden los dispositivos BYO. El uso de dispositivos BYO por parte de la empresa ha aumentado el riesgo de que los dispositivos comprometidos accedan a las aplicaciones corporativas. Además, su superficie de ataque ha aumentado debido a que la empresa traslada las aplicaciones a la nube y utiliza aplicaciones SaaS. Sus implementaciones actuales de VPN y puertas de enlace web seguras en las instalaciones con políticas de seguridad rígidas no pueden proteger eficazmente las aplicaciones en la nube.

Companya debe crear una solución híbrida que utilice dispositivos locales y servicios en la nube para la seguridad de las aplicaciones. Los dispositivos locales bloquean los ataques DDoS y en la capa de aplicaciones en las instalaciones, mientras que un servicio de protección basado en la nube evita los ataques volumétricos y los ataques DDoS en la capa de aplicaciones en la nube.

En el enfoque de Companya en la protección de las aplicaciones, ha identificado los siguientes criterios para un diseño exitoso:

Criterios Descripción Solución
Acceso seguro La Compañía debe proteger los recursos corporativos internos cuando se accede a ellos desde ubicaciones que no son de confianza ni seguras. No se permite el acceso directo a los dispositivos a la red interna para evitar la intrusión de malware. Acceso privado seguro: acceso sin VPN
Protección de credenciales SaaS Las credenciales del usuario para las aplicaciones SaaS deben incluir la autenticación multifactor. Citrix Secure Private Access: inicio de sesión único con autenticación solo SAML
DLP de SaaS Companya requiere que sus aplicaciones SaaS usen controles de DLP en línea. Servicio de navegador seguro con Citrix Secure Internet Access
Proteja las aplicaciones web Companya debe detener los ataques DDoS volumétricos en el perímetro antes de que entren en la red. Companya debe proteger tanto las aplicaciones en la nube como las aplicaciones internas. Companya tiene aplicaciones implementadas en múltiples ubicaciones en plataformas alojadas en la nube. Debe proteger estas aplicaciones de amenazas a nivel de API, como ataques DDoS y Bot, secuencias de comandos entre sitios y ataques de inyección SQL. Citrix Web App Firewall
Protección del usuario comprometida La TI debe poder identificar y mitigar rápidamente las amenazas planteadas por una cuenta de usuario comprometida. El departamento de TI debe proteger toda la superficie de amenazas con capacidades de orquestación centralizadas para proporcionar la seguridad completa que el negocio necesita. Análisis de seguridad de Citrix

Arquitectura Conceptual

Esta arquitectura cumple con todos los requisitos anteriores y proporciona a Companya la base para expandirse a más casos de uso en el futuro.

Arquitectura Conceptual

A un alto nivel:

Capa de usuarios: la capa de usuarios describe el entorno del usuario final y los dispositivos de punto final que se utilizan para conectarse a los recursos.

  • Los dispositivos de los usuarios finales son BYOD. Los dispositivos no están administrados y Companya no requiere la instalación de ningún agente en el dispositivo.

  • Los usuarios finales acceden a los recursos desde la web de Citrix Workspace, lo que da como resultado una experiencia que está protegida incluso en dispositivos BYO.

  • Los usuarios finales pueden instalar la aplicación Citrix Workspace para obtener más funciones, pero no están obligados a hacerlo.

Capa de acceso: la capa de acceso describe cómo los usuarios se autentican en su espacio de trabajo y en los recursos secundarios.

  • Citrix Workspace proporciona el agente de autenticación principal para todos los recursos subsiguientes. CompanyA requiere autenticación multifactor para mejorar la seguridad de la autenticación.

  • Muchos de los recursos autorizados del entorno utilizan un conjunto de credenciales diferente al de las credenciales utilizadas para la identidad principal de Workspace. Companya utilizará las capacidades de inicio de sesión único de cada servicio para proteger mejor estas identidades secundarias.

  • Las aplicaciones solo permiten la autenticación basada en SAML para las aplicaciones SaaS. Esto evita que los usuarios accedan directamente a las aplicaciones SaaS y salten las políticas de seguridad.

Capa de recursos: la capa de recursos autoriza recursos cliente-servidor (virtuales), web y SaaS específicos para usuarios y grupos definidos, al tiempo que define las políticas de seguridad asociadas con el recurso.

  • Companya exige políticas que desactiven la capacidad de imprimir, descargar, copiar y pegar contenido del recurso administrado hacia y desde el dispositivo BYO.

  • Debido a la naturaleza desconocida del estado de seguridad de los terminales, Companya requiere acceso sin VPN a los recursos mediante navegadores aislados o sesiones virtualizadas.

  • Las aplicaciones SaaS altamente confidenciales pueden recibir protección adicional proporcionada por la aplicación Citrix Workspace. Si el dispositivo BYO no tiene protección de aplicaciones disponible, las políticas de acceso adaptables impiden que el usuario inicie la aplicación.

  • Dado que Companya permite el acceso a aplicaciones web internas desde dispositivos BYO, Citrix Web App Firewall debe proteger el recurso de los ataques que provienen de puntos finales potencialmente comprometidos.

Capade control: La capa de control define cómo se ajusta la solución subyacente en función de las actividades subyacentes del usuario.

  • Incluso dentro de un recurso de Workspace protegido, los usuarios pueden interactuar con recursos de Internet que no son de confianza. Companya utiliza el acceso seguro a Internet para proteger a los usuarios de amenazas externas cuando utilizan aplicaciones SaaS, aplicaciones web y escritorios y aplicaciones virtuales.

  • Si los usuarios deben acceder a sitios web personales como salud y finanzas en sus dispositivos BYO a través de los recursos de Companya, las políticas adecuadas protegen la privacidad de los usuarios.

  • Companya necesita un servicio de análisis de seguridad para identificar a los usuarios comprometidos y mantener automáticamente un entorno seguro.

Las secciones siguientes proporcionan más detalles sobre las decisiones de diseño específicas para la arquitectura de referencia de protección BYOD de Companya.

Capa de acceso

Autenticación

Companya ha determinado que proporcionar acceso a los recursos con un nombre de usuario y una contraseña no proporciona la seguridad adecuada. La autenticación multifactor es necesaria para todos los usuarios. Companya utiliza el token Active Directory + para su método multifactor y el servicio Citrix Gateway para gestionar todas las solicitudes de autenticación.

Citrix Workspace incorpora una contraseña de un solo uso (TOTP) entregada en la nube que proporciona autenticación multifactor. Los usuarios se registran en el servicio TOTP y crean una clave secreta previamente compartida en la aplicación de autenticación de un dispositivo móvil.

Una vez que el usuario se registra correctamente con el microservicio TOTP, el usuario debe usar el token, junto con sus credenciales de Active Directory, para autenticarse correctamente en Citrix Workspace.

Autenticación

Consulte el resumen técnico de Citrix Workspace Active Directory con TOTP para obtener los conocimientos adecuados sobre Active Directory con los conceptos y la terminología de TOTP.

Acceso a la red Cero Trust

Companya utiliza el servicio Citrix Secure Private Access y el Virtual Apps and Desktops Service para proporcionar acceso a aplicaciones web internas y SaaS, aplicaciones virtuales y escritorios virtuales. Estos servicios son una solución de acceso a la red Zero Trust, que es una alternativa más segura que una VPN tradicional.

El servicio Secure Private Access y el Virtual Apps and Desktops Service utilizan las conexiones de canal de control de salida de los conectores de nube. Esas conexiones permiten al usuario acceder a los recursos internos de forma remota. Sin embargo, esas conexiones son:

  • Limitado en alcance para que solo el recurso definido sea accesible
  • Basado en la identidad principal y segura del usuario
  • Solo para protocolos específicos, que no permiten la travesía de la red

ZTNA

Capa de recursos

Directivas de seguridad de recursos

Companya quiere limitar el riesgo de pérdida y permanencia de datos en los dispositivos BYO. Dentro de los diferentes tipos de aplicación, CompanyA incorpora numerosas restricciones para evitar que los usuarios copien, descarguen o impriman datos.

Companya ha desarrollado modelos de acceso prescriptivo para cumplir con sus requisitos de seguridad:

  • Los dispositivos BYO sin la aplicación Workspace utilizan Secure Private Access para iniciar una aplicación SaaS o web a través de un navegador aislado mediante el servicio Citrix Secure Browser. Secure Private Access proporciona SSO y aplica políticas de acceso adaptables, como restricciones de descarga, impresión, copia y pegado, a las aplicaciones web y SaaS.
  • Los dispositivos BYO con la aplicación Workspace usan Secure Private Access para iniciar una aplicación SaaS o web mediante el Citrix Workspace Browser, un navegador local en contenedores. El navegador crea una conexión a la aplicación SaaS o una conexión de Zero Trust Network Access a la aplicación web interna. Secure Private Access proporciona SSO y aplica políticas de acceso adaptables (restricciones de descarga, impresión, copia y pegado).
  • Las políticas de protección de aplicaciones protegen las aplicaciones web y SaaS mediante restricciones de raspado de pantalla y registrador de claves. Si el dispositivo BYO no tiene protección de aplicaciones disponible, las políticas de acceso adaptables impiden que el usuario inicie la aplicación.
  • Cuando los usuarios acceden a aplicaciones y escritorios virtuales, el Virtual Apps and Desktops Service proporciona SSO y aplica políticas de bloqueo. El servicio restringe la descarga, la impresión y las acciones de copiar y pegar unidireccionales y bidireccionales.

Lockdown

Companya tiene aplicaciones web y SaaS sensibles y regulares y aplicará políticas de acceso adaptativas en función de sus requisitos de seguridad. Como referencia, Companya ha definido las siguientes políticas (con la capacidad de relajar las políticas según sea necesario en función del usuario y la aplicación).

Categoría Aplicaciones SaaS Aplicaciones SaaS sensibles Aplicaciones web Aplicaciones web sensibles Virtual Apps and Desktops
Acceso al portapapeles Se permite Denegada Se permite Denegada Denegada
Impresión Se permite Denegada Se permite Denegada Denegada
Navegación Denegada Denegada Denegada Denegada No aplicable
Descargas Se permite Denegada Se permite Denegada Denegada
Marca de agua Inhabilitado Habilitado Inhabilitado Habilitado Habilitado
Prevención del registro de teclas* Inhabilitado Habilitado Inhabilitado Habilitado Habilitado
Prevención de capturas de pantallas* Inhabilitado Habilitado Inhabilitado Habilitado Habilitado

Capa de control

Protección de API y aplicaciones web

Cuando los usuarios se autentican en Citrix Workspace, acceden a aplicaciones web privadas en dispositivos BYO. Para proteger mejor las aplicaciones web privadas locales, Companya utiliza los componentes Administración de bots de Citrix Application Delivery Controller y Web App Firewall.

El componente de administración de bots de Application Delivery Controller detecta una solicitud de bot e impide que inunde el sistema. El Web App Firewall protege las aplicaciones públicas de los ataques. Estos tipos de ataques suelen ser desbordamiento de búfer, inyección de SQL y secuencias de comandos entre sitios. Web App Firewall detecta y niega que estos ataques afecten a los datos y a la aplicación.

Companya también utiliza el servicio de protección de API y aplicaciones web de Citrix para evitar ataques volumétricos y ataques DDoS en la capa de aplicaciones contra aplicaciones web que no están en las instalaciones.

Protección de API y aplicaciones web de Citrix

Acceso seguro a Internet

A medida que los usuarios interactúan con aplicaciones SaaS, web y virtuales, a menudo acceden a sitios de Internet no autorizados por la Compañía. Para ayudar a proteger a los usuarios y la organización, Companya incorpora el servicio Citrix Secure Browser con Citrix Secure Internet Access and Security Analytics en el diseño.

Citrix Secure Internet Access

Cualquier tráfico de Internet relacionado con la Compañía hacia/desde la biblioteca de aplicaciones, escritorios y dispositivos dentro de la organización se dirige a través del servicio Acceso seguro a Internet. El servicio escanea cualquier URL para comprobar que es segura. Se deniegan o modifican las funcionalidades dentro de sitios públicos específicos. Las descargas se escanean y verifican automáticamente.

  • Cuando los usuarios acceden a aplicaciones y escritorios virtuales, la infraestructura de Virtual Apps and Desktops tiene el agente Citrix Secure Internet Access instalado para redirigir el tráfico.
  • Cuando los usuarios acceden a recursos web y SaaS con el servicio Citrix Secure Browser, se utiliza Citrix Secure Internet Access como Secure Web Gateway.

Como muchos sitios web ahora están cifrados, parte de este proceso de seguridad es descifrar el tráfico e inspeccionarlo. El servicio no descifra categorías específicas de sitios web, como los sitios financieros y relacionados con la salud, para garantizar la privacidad de los empleados.

Al diseñar la política de seguridad de Internet, Companya quería empezar con una política de referencia. A medida que ComPanya continúe evaluando los riesgos dentro de la organización, relajará o fortalecerá las políticas según corresponda.

De forma predeterminada, todas las categorías están descifradas y permitidas. Companya aplica las siguientes políticas en todo el mundo:

Categoría Cambio Motivo
Financiero e Inversión No descifrar Preocupaciones sobre la privacidad
Estado No descifrar Preocupaciones sobre la privacidad
Contenido para adultos Bloquear Política de la empresa
Drogas Bloquear Política de la empresa
Uso compartido de archivos Bloquear Política de la empresa
Juegos de apuestas Bloquear Política de la empresa
Actividad ilegal Bloquear Política de la empresa
Fuentes maliciosas Bloquear Política de la empresa
Contenido de malware Bloquear Política de la empresa
Porno/Desnudez Bloquear Política de la empresa
Virus y malware Bloquear Política de la empresa
Violencia/odio Bloquear Política de la empresa

Consulte el resumen técnico de Citrix Secure Internet Access para obtener información adicional sobre las funciones de filtrado y protección web.

Resumen

Sobre la base de los requisitos anteriores, Companya creó la arquitectura conceptual de alto nivel. El flujo y los requisitos generales son que los usuarios finales requieren:

  • Acceso protegido a aplicaciones SaaS y acceso sin VPN a aplicaciones web internas a través de Citrix Secure Private Access
  • Autenticación adaptable antes de que se le conceda acceso a recursos externos o internos mediante Citrix Secure Private Access
  • Acceso Zero Trust a recursos específicos a través de Citrix Secure Private Access
  • Acceso protegido al tráfico de Internet desde las aplicaciones web o aplicaciones y escritorios virtuales mediante el uso de Citrix Secure Browser Service con Citrix Secure Internet Access
  • Acceso protegido a aplicaciones web a las que se accede desde dispositivos BYO con Citrix Web Application Firewall

Companya utiliza Citrix para crear un entorno de entrega de aplicaciones moderno que imponga el acceso a la red Zero Trust y proporcione una protección integral de sus recursos.

Reference Architecture: Reference Architecture - Proteja las aplicaciones y los datos en dispositivos “traiga sus propios”