Access Control
Colaboradores
Autor: Daniel Feller
A medida que los usuarios consumen más aplicaciones SaaS, las organizaciones deben poder unificar todas las aplicaciones sancionadas, simplificar las operaciones de inicio de sesión y seguir aplicando los estándares de autenticación y capturar el comportamiento del usuario. También es crucial para supervisar los SLA de proveedores y los análisis de utilización de aplicaciones.
Experiencia unificada
Citrix Workspace
Citrix Workspace agrega todos los recursos en una única interfaz de usuario personalizada. Los usuarios pueden optar por una aplicación de Workspace instalada localmente (de escritorio y móvil) o utilizar sus exploradores locales para acceder a un espacio de trabajo basado en web. Independientemente del enfoque seleccionado y del dispositivo elegido, la experiencia sigue siendo familiar y consistente.
Trae tu propia identidad
Cada organización selecciona su propio proveedor de identidad único para los inicios de sesión iniciales de los usuarios en el Workspace.
- Azure Active Directory: El proceso de inicio de sesión de Workspace se redirige a Azure Active Directory, que puede incorporar marcas personalizadas, autenticación multifactor, directivas de contraseñas, auditorías, etc.
- Windows Active Directory: utiliza el entorno de Active Directory local de una organización para iniciar sesión inicial en la experiencia del Workspace del usuario. Para federar Active Directory local con Citrix Cloud, el administrador implementa Cloud Connectors redundantes en la misma ubicación de recursos que Active Directory. Cada conector de nube establece un vínculo de salida a la suscripción de Citrix Cloud de la organización.
Single Sign-On
Una vez que el usuario se haya autenticado en Citrix Workspace con una identidad principal, los desafíos de autenticación posteriores a aplicaciones SaaS y web se gestionan automáticamente mediante el µ-servicio Single Sign-On en Citrix Cloud mediante aserciones SAML.
De forma predeterminada, la aserción SAML utiliza la dirección de correo electrónico asociada a la cuenta de Active Directory del usuario (proveedor de identidad) con la dirección de correo electrónico asociada a la cuenta de SaaS o aplicación web del usuario (proveedor de servicios).
Control de contenido
Para proteger el contenido, las organizaciones incorporan directivas de seguridad mejoradas dentro de las aplicaciones SaaS. Cada directiva impone una restricción en el explorador incrustado cuando se utiliza la aplicación Workspace para escritorio o en Secure Browser cuando se utiliza la aplicación Workspace Web o móvil.
- Explorador preferido: Inhabilita el uso del explorador local y se basa en el motor del explorador integrado (aplicación Workspace: escritorio) o el servicio Explorador seguro (aplicación Workspace: móvil y web).
- Restringir el acceso al portapapeles: Inhabilita las operaciones de cortar/copiar/pegar entre la aplicación y el portapapeles del dispositivo de punto final.
- Restringir la impresión: Inhabilita la capacidad de imprimir desde el explorador de la aplicación.
- Restringir navegación: Inhabilita los botones del explorador Siguiente/Volver.
- Restringir descargas: Inhabilita la capacidad del usuario para descargar desde la aplicación SaaS.
- Mostrar marca de agua: Superpone una marca de agua basada en pantalla que muestra el nombre de usuario y la dirección IP del dispositivo de punto final. Si un usuario intenta imprimir o tomar una captura de pantalla, la marca de agua aparecerá como se muestra en la pantalla.
Acceso contextual
Aunque una aplicación SaaS autorizada se considera segura, el contenido de la aplicación SaaS en realidad puede ser peligroso, lo que constituye un riesgo para la seguridad. Cuando un usuario hace clic en un hipervínculo dentro de una aplicación SaaS, el tráfico se redirige a través del µ-servicio de filtrado web, que proporciona una evaluación de riesgos para el hipervínculo. Sobre la base de la evaluación de riesgos del hipervínculo y de la lista personalizada de categorías de URL, el µ-servicio de filtrado web permite, niega o redirige la solicitud de hipervínculo del usuario de la siguiente manera:
- Aprobado: El hipervínculo se considera seguro, y el explorador incrustado en la aplicación Workspace accede a él
- Denegado: El hipervínculo se considera peligroso y se deniega el acceso
- Redirigido: la solicitud de hipervínculo se redirige al servicio Secure Browser, donde las actividades de navegación por Internet del usuario se aíslan del dispositivo endpoint, la red corporativa y la aplicación SaaS.
La mayoría de las aplicaciones SaaS consumen contenido de varios sitios web. Al utilizar el filtrado web, la aplicación SaaS debe probarse exhaustivamente para validar que las fuentes secundarias de contenido no están siendo bloqueadas o redirigidas. El tiempo que tarda el usuario en seleccionar una dirección URL y el explorador en cargar la página puede tardar un poco más con seguridad mejorada, ya que cada URL a la que se accede dentro de la aplicación SaaS se analiza mediante el µ-servicio de filtrado web, que se ejecuta en Citrix Cloud.
Security Analytics y Performance Analytics
El análisis de seguridad identifica el comportamiento de riesgo y proporciona una puntuación general de riesgo para cada usuario.
Mediante el aprendizaje automático y la inteligencia artificial, el servicio Citrix Analytics supervisa las actividades de los usuarios e identifica desviaciones del comportamiento histórico que pueden aumentar o disminuir la puntuación de riesgo del usuario.
Los usuarios acceden invariablemente a las aplicaciones SaaS que tienen una seguridad mejorada inherente a ellas. La aplicación Workspace, Gateway Service y Secure Browser Service proporcionan al servicio de análisis de seguridad información sobre los siguientes comportamientos de usuario y aplicación, ya que afectan a la puntuación general de riesgo del usuario:
- Hora de inicio de la aplicación
- Hora de finalización de la aplicación
- Acción de impresión
- Acceso al portapapeles
- Acceso a URL
- Carga de datos
- Descarga de datos
El µ-servicio de filtrado web evalúa el riesgo de cada hipervínculo seleccionado dentro de la aplicación SaaS. El acceso a estos sitios y la supervisión de los cambios en el comportamiento del usuario aumenta la puntuación general de riesgo del usuario, ya que indica que el dispositivo de punto final está comprometido y ha comenzado a infectar o cifrar datos o que el usuario y el dispositivo están robando propiedad intelectual.