Reference Architecture: Reference Architecture - Proteja las aplicaciones y los datos en dispositivos “traiga sus propios”

Introducción

CompañíaA proporciona acceso remoto a un pequeño subconjunto de su base de usuarios general. Estos usuarios finales, que forman parte de una fuerza laboral híbrida y distribuida, utilizan dispositivos BYO (BYO) para acceder a los recursos internos y de la nube. Los recursos incluyen aplicaciones cliente-servidor (aplicaciones y escritorios virtuales), aplicaciones web internas y SaaS que deben protegerse cuando se accede a ellas desde dispositivos que no son de confianza.

La directiva de acceso remoto de CompañíaA ha llevado a una mayor eficiencia para su fuerza laboral híbrida y distribuida. Sin embargo, la directiva ha creado un modelo de entrega complejo y ha introducido problemas de seguridad. Dado que los dispositivos de los usuarios finales no están administrados, CompañíaA debe mitigar las amenazas de seguridad contra las aplicaciones y los datos en tránsito, en uso y en reposo en los dispositivos.

CompañíaA utiliza actualmente varios productos puntuales no integrados para el acceso remoto. Quiere consolidar y expandirse a una solución de Acceso a la Red de Confianza Cero (ZTNA) para toda la empresa, a la vez que protege sus recursos. Con ese fin, CompañíaA está participando en una iniciativa para actualizar su arquitectura de entrega de aplicaciones. Está implementando la solución Citrix integrada mediante Citrix Secure Private Access, NetScaler Gateway, Citrix Secure Internet Access y Citrix Web App and API Protection. En conjunto, esta solución proporciona protección integral de los recursos de la empresa a los que se accede desde dispositivos BYO.

Introducción

Esta arquitectura de referencia explica el plan de CompañíaA para proteger el acceso de los usuarios, proteger los datos y los dispositivos y proteger las aplicaciones.

Criterios de éxito

CompañíaA quiere permitir que todos los usuarios trabajen desde casa y desde ubicaciones remotas. Después de la pandemia, los empleados continúan beneficiándose de una fuerza laboral híbrida y distribuida habilitada para BYOD. Aunque algunos usuarios actualmente tienen acceso VPN a aplicaciones web y SaaS, CompañíaA ha identificado varios desafíos de seguridad que impiden una implementación en toda la empresa. Por lo tanto, CompañíaA está implementando un enfoque sin VPN.

Como CompañíaA no administra los dispositivos de los usuarios finales, no tiene forma de entender si los dispositivos transfieren algún contenido malicioso a su infraestructura de aplicaciones. Además, la directiva de seguridad de CompañíaA no exige que los dispositivos BYO tengan agentes instalados para proporcionar acceso a los recursos de la empresa.

Por lo tanto, CompañíaA ha iniciado una triple iniciativa para proteger los recursos corporativos a los que acceden los dispositivos BYO. Para tener éxito, CompañíaA definió una lista de criterios de éxito para la iniciativa. Estos criterios constituyen la base del diseño general.

Protección del acceso del usuario

CompañíaA debe proteger el acceso de los usuarios de BYOD a su entorno de trabajo. Debe crear un modo seguro de acceso a todas las aplicaciones y datos que sea perfecto para los usuarios finales. El acceso debe ser seguro, simple y flexible para usar cualquier dispositivo y trabajar desde cualquier ubicación.

CompañíaA ha decidido que su estrategia de seguridad es alejarse del enfoque tradicional de “castillo y foso” para el acceso y la seguridad. Está adoptando un enfoque de confianza cero en lugar de utilizar una solución convencional basada en dispositivos, como una VPN, que supone que los usuarios son de confianza.

En el enfoque de CompañíaA en la protección del acceso de los usuarios, ha identificado los siguientes criterios para un diseño correcto:

Criterios de éxito Descripción Solución
Acceso adaptable para aplicaciones web y SaaS Acceso adaptable para aplicaciones web y SaaS mediante Citrix Secure Private Access para determinar el nivel correcto de acceso Citrix Secure Private Access
Acceso adaptable para aplicaciones cliente-servidor (virtuales) Acceso adaptable para aplicaciones cliente-servidor (virtuales) mediante Citrix Secure Private Access y Citrix DaaS para determinar el nivel de acceso correcto Citrix Secure Private Access y Citrix DaaS
Monitorización del usuario final Supervisión y evaluación continuas para protegerse contra posibles amenazas. Las aplicaciones se supervisan continuamente para detectar la exfiltración de datos y los tiempos y ubicaciones de acceso anormales. Citrix Analytics
Acceso a aplicaciones SaaS Los usuarios deben acceder a las aplicaciones SaaS sancionadas con una autenticación sólida que no afecte la experiencia Citrix Secure Private Access
Acceso a aplicaciones web Los usuarios deben poder acceder a las aplicaciones web internas sancionadas con una autenticación sólida que no afecte a la experiencia Citrix Secure Private Access: acceso a la red Zero Trust
Privacidad personal CompañíaA debe garantizar la privacidad del usuario y, al mismo tiempo, proteger al usuario y al punto final de posibles amenazas al utilizar sitios web no autorizados Citrix Remote Browser Isolation Service con Citrix Secure Internet Access (mediante directivas de “no descifrar” para sitios con información personal)

Protección de datos

CompañíaA debe proteger los datos a los que acceden los dispositivos BYO. Cuenta con una infraestructura altamente compleja de capas de aplicaciones, sistemas y redes en entornos que consisten en centros de datos locales y nubes públicas y privadas. Esta expansión descontrolada ha dado lugar a una pila complicada de diferentes herramientas y tecnologías para proteger los datos.

CompañíaA está diseñando una pila de seguridad consolidada y entregada en la nube para satisfacer las demandas de su lugar de trabajo moderno. Al centralizar la directiva de seguridad de datos en toda la solución, minimiza las tareas redundantes, elimina las directivas superpuestas y permite que TI proteja los datos y los dispositivos en todas las ubicaciones.

En el enfoque de CompañíaA en la protección de datos, ha identificado los siguientes criterios para un diseño correcto:

Criterios de éxito Descripción Solución
Dispositivos BYO Los usuarios acceden a Workspace con un dispositivo BYO y no deben obtener acceso sin restricciones a los recursos sancionados. Citrix Secure Private Access
SaaS y seguridad de aplicaciones web Debe restringirse la capacidad del usuario para descargar, imprimir o copiar datos de aplicaciones SaaS que contengan información financiera, personal u otra información confidencial. Citrix Secure Private Access — Directivas de seguridad Seguridad mejorada
Protección contra registradores de pulsaciones CompañíaA debe proteger los recursos corporativos internos cuando se accede a ellos desde dispositivos BYO. Los dispositivos pueden verse comprometidos y tener instalado malware de registro de pulsaciones. El registro de claves debe bloquearse mientras se usa Citrix Workspace. Citrix Secure Private Access: directivas de seguridad con protección de aplicaciones
Protección contra raspadores de pantalla CompañíaA debe proteger los recursos corporativos internos cuando se accede a ellos desde dispositivos BYO. Los dispositivos pueden verse comprometidos y tener instalado malware de raspado de pantalla. El raspado de pantalla debe bloquearse mientras se usa Citrix Workspace. Citrix Secure Private Access: directivas de seguridad con protección de aplicaciones
Seguridad de Internet Proteja a los usuarios de posibles amenazas de Internet ocultas en correos electrónicos, aplicaciones y sitios web, independientemente de su ubicación. Citrix Remote Browser Isolation Service con Citrix Secure Internet Access: Directivas de seguridad con protección contra malware
Proteger dispositivos Proteja los dispositivos y la infraestructura subyacente del malware y las amenazas de día cero Citrix Remote Browser Isolation Service con Citrix Secure Internet Access: Directivas de seguridad con protección contra malware
Proteja los datos Proteja los datos almacenados en aplicaciones sancionadas y no autorizadas Citrix Remote Browser Isolation Service con Citrix Secure Internet Access: Directivas de seguridad con filtrado web
Cumplimiento de normativas Cumplimiento y protección de los usuarios de URL maliciosas Citrix Remote Browser Isolation Service con Citrix Secure Internet Access: Directivas de seguridad con filtrado web

Protección de aplicaciones

CompañíaA debe proteger las aplicaciones a las que acceden los dispositivos BYO. El uso de dispositivos BYO por parte de la empresa ha aumentado el riesgo de que los dispositivos comprometidos accedan a las aplicaciones corporativas. Además, su superficie de ataque ha aumentado debido a que la empresa traslada las aplicaciones a la nube y utiliza aplicaciones SaaS. Sus implementaciones actuales de VPN y puertas de enlace web seguras en las instalaciones con directivas de seguridad rígidas no pueden proteger eficazmente las aplicaciones en la nube.

CompañíaA debe crear una solución híbrida que utilice dispositivos locales y servicios en la nube para la seguridad de las aplicaciones. Los dispositivos locales bloquean los ataques DDoS y en la capa de aplicaciones en las instalaciones, mientras que un servicio de protección basado en la nube evita los ataques volumétricos y los ataques DDoS en la capa de aplicaciones en la nube.

En el enfoque de CompañíaA en la protección de las aplicaciones, ha identificado los siguientes criterios para un diseño correcto:

Criterios de éxito Descripción Solución
Acceso seguro La Compañía debe proteger los recursos corporativos internos cuando se accede a ellos desde ubicaciones que no son de confianza ni seguras. No se permite el acceso directo a los dispositivos a la red interna para evitar la intrusión de malware. Secure Private Access: Acceso sin VPN
Protección de credenciales SaaS Las credenciales del usuario para las aplicaciones SaaS deben incluir la autenticación multifactor. Citrix Secure Private Access: inicio de sesión único con autenticación solo SAML
DLP de SaaS CompañíaA requiere que sus aplicaciones SaaS usen controles de DLP en línea. Remote Browser Isolation Service con Citrix Secure Internet Access
Proteja las aplicaciones web CompañíaA debe detener los ataques DDoS volumétricos en el perímetro antes de que entren en la red. CompañíaA debe proteger tanto las aplicaciones en la nube como las aplicaciones internas. CompañíaA tiene aplicaciones implementadas en múltiples ubicaciones en plataformas alojadas en la nube. Debe proteger estas aplicaciones de amenazas a nivel de API, como ataques DDoS y Bot, scripting entre sitios y ataques de inyección SQL. Citrix Web App Firewall
Protección del usuario comprometida La TI debe poder identificar y mitigar rápidamente las amenazas planteadas por una cuenta de usuario comprometida. El departamento de TI debe proteger toda la superficie de amenazas con capacidades de orquestación centralizadas para proporcionar la seguridad completa que el negocio necesita. Análisis de seguridad de Citrix

Arquitectura Conceptual

Esta arquitectura cumple con todos los requisitos anteriores y proporciona a CompañíaA la base para expandirse a más casos de uso en el futuro.

Arquitectura Conceptual

A un alto nivel:

Capa de usuarios: la capa de usuarios describe el entorno del usuario final y los dispositivos de punto final que se utilizan para conectarse a los recursos.

  • Los dispositivos de los usuarios finales son BYOD. Los dispositivos no están administrados y CompañíaA no requiere la instalación de ningún agente en el dispositivo.

  • Los usuarios finales acceden a los recursos desde la web de Citrix Workspace, lo que da como resultado una experiencia que está protegida incluso en dispositivos BYO.

  • Los usuarios finales pueden instalar la aplicación Citrix Workspace para obtener más funciones, pero no están obligados a hacerlo.

Capa de acceso: la capa de acceso describe cómo los usuarios se autentican en su espacio de trabajo y en los recursos secundarios.

  • Citrix Workspace proporciona el agente de autenticación principal para todos los recursos subsiguientes. CompañíaA requiere autenticación multifactor para mejorar la seguridad de la autenticación.

  • Muchos de los recursos autorizados del entorno utilizan un conjunto de credenciales diferente al de las credenciales utilizadas para la identidad principal de Workspace. CompañíaA utilizará las capacidades de inicio de sesión único de cada servicio para proteger mejor estas identidades secundarias.

  • Las aplicaciones solo permiten la autenticación basada en SAML para las aplicaciones SaaS. Esto evita que los usuarios accedan directamente a las aplicaciones SaaS y salten las directivas de seguridad.

Capa de recursos: La capa de recursos autoriza recursos cliente-servidor (virtuales), web y SaaS específicos para usuarios y grupos definidos, al tiempo que define las directivas de seguridad asociadas con el recurso.

  • CompañíaA exige directivas que desactiven la capacidad de imprimir, descargar, copiar y pegar contenido del recurso administrado hacia y desde el dispositivo BYO.

  • Debido a la naturaleza desconocida del estado de seguridad de los terminales, CompañíaA requiere acceso sin VPN a los recursos mediante exploradores web aislados o sesiones virtualizadas.

  • Las aplicaciones SaaS altamente confidenciales pueden recibir protección adicional proporcionada por la aplicación Citrix Workspace. Si el dispositivo BYO no tiene protección de aplicaciones disponible, las directivas de acceso adaptables impiden que el usuario inicie la aplicación.

  • Dado que CompañíaA permite el acceso a aplicaciones web internas desde dispositivos BYO, Citrix Web App Firewall debe proteger el recurso de los ataques que provienen de puntos finales potencialmente comprometidos.

Capa de control: La capa de control define cómo se ajusta la solución subyacente en función de las actividades subyacentes del usuario.

  • Incluso dentro de un recurso de Workspace protegido, los usuarios pueden interactuar con recursos de Internet que no son de confianza. CompañíaA utiliza el acceso seguro a Internet para proteger a los usuarios de amenazas externas cuando utilizan aplicaciones SaaS, aplicaciones web y escritorios y aplicaciones virtuales.

  • Si los usuarios deben acceder a sitios web personales como salud y finanzas en sus dispositivos BYO a través de los recursos de CompañíaA, las directivas adecuadas protegen la privacidad de los usuarios.

  • CompañíaA necesita un servicio de análisis de seguridad para identificar a los usuarios comprometidos y mantener automáticamente un entorno seguro.

Las secciones siguientes proporcionan más detalles sobre las decisiones de diseño específicas para la arquitectura de referencia de protección BYOD de CompañíaA.

Capa de acceso

Autenticación

CompañíaA ha determinado que proporcionar acceso a los recursos con un nombre de usuario y una contraseña no proporciona la seguridad adecuada. La autenticación multifactor es necesaria para todos los usuarios. CompañíaA utiliza el token Active Directory + para su método multifactor y el servicio NetScaler Gateway para gestionar todas las solicitudes de autenticación.

Citrix Workspace incorpora una contraseña de un solo uso (TOTP) entregada en la nube que proporciona autenticación multifactor. Los usuarios se registran en el servicio TOTP y crean una clave secreta previamente compartida en la aplicación de autenticación de un dispositivo móvil.

Una vez que el usuario se registra correctamente con el microservicio TOTP, el usuario debe usar el token, junto con sus credenciales de Active Directory, para autenticarse correctamente en Citrix Workspace.

Autenticación

Consulte el resumen técnico de Citrix Workspace Active Directory con TOTP para obtener los conocimientos adecuados sobre Active Directory con los conceptos y la terminología de TOTP.

Acceso a la red Cero Trust

CompañíaA usa el servicio Citrix Secure Private Access y Citrix DaaS para proporcionar acceso a SaaS y aplicaciones web internas, aplicaciones virtuales y escritorios virtuales. Estos servicios son una solución de acceso a la red Zero Trust, que es una alternativa más segura que una VPN tradicional.

El servicio Secure Private Access y Citrix DaaS utilizan las conexiones de canal de control de salida de los conectores de nube. Esas conexiones permiten al usuario acceder a los recursos internos de forma remota. Sin embargo, esas conexiones son:

  • Limitado en ámbito para que solo el recurso definido sea accesible
  • Basado en la identidad principal y segura del usuario
  • Solo para protocolos específicos, que no permiten la travesía de la red

ZTNA

Capa de recursos

Directivas de seguridad de recursos

CompañíaA quiere limitar el riesgo de pérdida y permanencia de datos en los dispositivos BYO. Dentro de los diferentes tipos de aplicación, CompañíaA incorpora numerosas restricciones para evitar que los usuarios copien, descarguen o impriman datos.

CompañíaA ha desarrollado modelos de acceso prescriptivo para cumplir con sus requisitos de seguridad:

  • Los dispositivos BYO sin la aplicación Workspace utilizan Secure Private Access para iniciar una aplicación web o SaaS a través de un explorador web aislado mediante Citrix Remote Browser Isolation Service. Secure Private Access proporciona SSO y aplica directivas de acceso adaptables, como restricciones de descarga, impresión, copia y pegado, a las aplicaciones web y SaaS.
  • Los dispositivos BYO con la aplicación Workspace utilizan Secure Private Access para iniciar una aplicación web o SaaS mediante Citrix Enterprise Browser (anteriormente conocido como Citrix Workspace Browser), un explorador web local en contenedores. El explorador web crea una conexión a la aplicación SaaS o una conexión de Zero Trust Network Access a la aplicación web interna. Secure Private Access proporciona SSO y aplica directivas de acceso adaptables (restricciones de descarga, impresión, copia y pegado).
  • Las directivas de protección de aplicaciones protegen las aplicaciones web y SaaS mediante restricciones de raspado de pantalla y registrador de claves. Si el dispositivo BYO no tiene protección de aplicaciones disponible, las directivas de acceso adaptables impiden que el usuario inicie la aplicación.
  • Cuando los usuarios acceden a aplicaciones y escritorios virtuales, Citrix DaaS proporciona SSO y aplica las directivas de bloqueo. El servicio restringe la descarga, la impresión y las acciones de copiar y pegar unidireccionales y bidireccionales.

Lockdown

CompañíaA tiene aplicaciones web y SaaS sensibles y regulares y aplicará directivas de acceso adaptables en función de sus requisitos de seguridad. Como referencia, CompañíaA ha definido las siguientes directivas (con la capacidad de relajar las directivas según sea necesario en función del usuario y la aplicación).

Categoría Aplicaciones SaaS Aplicaciones SaaS sensibles Aplicaciones web Aplicaciones web sensibles Virtual Apps and Desktops
Acceso al portapapeles Se permite Denegada Se permite Denegada Denegada
Impresión Se permite Denegada Se permite Denegada Denegada
Navegación Denegada Denegada Denegada Denegada No aplicable
Descargas Se permite Denegada Se permite Denegada Denegada
Marca de agua Inhabilitado Habilitado Inhabilitado Habilitado Habilitado
Prevención del registro de teclas* Inhabilitado Habilitado Inhabilitado Habilitado Habilitado
Prevención de capturas de pantallas* Inhabilitado Habilitado Inhabilitado Habilitado Habilitado

Capa de control

Protección de API y aplicaciones web

Cuando los usuarios se autentican en Citrix Workspace, acceden a aplicaciones web privadas en dispositivos BYO. Para proteger mejor las aplicaciones web privadas locales, CompañíaA utiliza los componentes Administración de bots de Citrix Application Delivery Controller y Web App Firewall.

El componente de administración de bots de Application Delivery Controller detecta una solicitud de bot e impide que inunde el sistema. El Web App Firewall protege las aplicaciones públicas de los ataques. Estos tipos de ataques suelen ser desbordamiento de búfer, inyección de SQL y scripting entre sitios. Web App Firewall detecta y niega que estos ataques afecten a los datos y a la aplicación.

CompañíaA también utiliza el servicio de protección de API y aplicaciones web de Citrix para evitar ataques volumétricos y ataques DDoS en la capa de aplicaciones contra aplicaciones web que no están en las instalaciones.

Protección de aplicaciones web y API de Citrix

Secure Internet Access

A medida que los usuarios interactúan con aplicaciones SaaS, web y virtuales, a menudo acceden a sitios de Internet no autorizados por la Compañía. Para ayudar a proteger a los usuarios y a la organización, la Compañía A incorpora en el diseño Citrix Remote Browser Isolation Service con Citrix Secure Internet Access y Security Analytics.

Citrix Secure Internet Access

Cualquier tráfico de Internet relacionado con la Compañía hacia/desde la biblioteca de aplicaciones, escritorios y dispositivos dentro de la organización se dirige a través del servicio Acceso seguro a Internet. El servicio escanea cualquier URL para comprobar que es segura. Se deniegan o modifican las funcionalidades dentro de sitios públicos específicos. Las descargas se escanean y verifican automáticamente.

  • Cuando los usuarios acceden a aplicaciones y escritorios virtuales, la infraestructura de Citrix DaaS tiene el agente Citrix Secure Internet Access instalado para proxy del tráfico.
  • Cuando los usuarios acceden a los recursos web y SaaS con el servicio Citrix Remote Browser Isolation, Citrix Secure Internet Access se utiliza como Secure Web Gateway.

Como muchos sitios web ahora están cifrados, parte de este proceso de seguridad es descifrar el tráfico e inspeccionarlo. El servicio no descifra categorías específicas de sitios web, como los sitios financieros y relacionados con la salud, para garantizar la privacidad de los empleados.

Al diseñar la directiva de seguridad de Internet, CompañíaA quería empezar con una directiva de referencia. A medida que CompañíaA continúe evaluando los riesgos dentro de la organización, relajará o fortalecerá las directivas según corresponda.

De forma predeterminada, todas las categorías están descifradas y permitidas. CompañíaA aplica las siguientes directivas en todo el mundo:

Categoría Cambio Motivo
Financiero e Inversión No descifrar Preocupaciones sobre la privacidad
Estado No descifrar Preocupaciones sobre la privacidad
Contenido para adultos Bloquear Directiva de la empresa
Drogas Bloquear Directiva de la empresa
Uso compartido de archivos Bloquear Directiva de la empresa
Juegos de apuestas Bloquear Directiva de la empresa
Actividad ilegal Bloquear Directiva de la empresa
Fuentes maliciosas Bloquear Directiva de la empresa
Contenido de malware Bloquear Directiva de la empresa
Porno/Desnudez Bloquear Directiva de la empresa
Virus y malware Bloquear Directiva de la empresa
Violencia/odio Bloquear Directiva de la empresa

Consulte el resumen técnico de Citrix Secure Internet Access para obtener información adicional sobre las funciones de filtrado y protección web.

Resumen

Sobre la base de los requisitos anteriores, CompañíaA creó la arquitectura conceptual de alto nivel. El flujo y los requisitos generales son que los usuarios finales requieren:

  • Acceso protegido a aplicaciones SaaS y acceso sin VPN a aplicaciones web internas a través de Citrix Secure Private Access
  • Autenticación adaptable antes de que se le conceda acceso a recursos externos o internos mediante Citrix Secure Private Access
  • Acceso Zero Trust a recursos específicos a través de Citrix Secure Private Access
  • Acceso protegido al tráfico de Internet desde las aplicaciones web o aplicaciones y escritorios virtuales mediante el servicio Citrix Remote Browser Isolation con Citrix Secure Internet Access
  • Acceso protegido a aplicaciones web a las que se accede desde dispositivos BYO con Citrix Web Application Firewall

CompañíaA utiliza Citrix para crear un entorno de entrega de aplicaciones moderno que imponga el acceso a la red Zero Trust y proporcione una protección integral de sus recursos.

Reference Architecture: Reference Architecture - Proteja las aplicaciones y los datos en dispositivos “traiga sus propios”