Resumen técnico: Citrix Secure Internet Access

Información general

La creciente demanda de trabajo remoto y el cambio de aplicaciones a la nube han hecho que sea una necesidad absoluta para las empresas asegurar el acceso a Internet de los usuarios. Y dado que los usuarios y los dispositivos son el nuevo perímetro de la red, la protección del acceso a Internet debe realizarse en la nube. Citrix Secure Internet Access (CSIA) cambia el enfoque de la defensa de los perímetros al seguimiento de los usuarios para garantizar que el acceso a Internet sea seguro independientemente de la ubicación.

La demanda de trabajo remoto ha hecho que las estrategias de seguridad de red basadas en dispositivos sean insostenibles. Los aumentos proyectados en el consumo de ancho de banda combinados con el tráfico móvil backhauled saturarán rápidamente la capacidad máxima de cualquier arquitectura de dispositivo en las instalaciones.

La erosión del perímetro de la red debido al aumento del uso de aplicaciones y servicios en la nube acelera aún más este backhauling. El resultado será una mala experiencia del usuario final y una menor productividad debido a la latencia.

Enfoque unificado CSIA

CSIA ofrece seguridad de Internet integral a todos los usuarios en todas las ubicaciones con:

  • Filtrado completo de contenido y web
  • Protección contra malware
  • Protección para navegadores y sistemas operativos (SO) desactualizados
  • Gestión del tráfico SSL/TLS
  • Agente de seguridad de acceso a la nube (CASB) para aplicaciones en la nube y controles de redes sociales
  • Informes avanzados en tiempo real
  • Redirección flexible del tráfico de datos para cualquier dispositivo y en cualquier lugar
  • Integración con Citrix Virtual Apps and Desktops y SD-WAN

La CSIA utiliza un modelo de políticas basado en roles de “Confianza Cero”. Uno de los objetivos principales de Zero Trust es asignar políticas y administrar el acceso a los recursos en función del rol y la identidad del usuario. Este concepto fundamental está integrado en el motor de políticas de la CSIA.

Arquitectura

CSIA es una tecnología nativa de la nube que opera en más de 100 puntos de presencia en todo el mundo. La arquitectura no solo proporciona un mecanismo de entrega para las conexiones, sino que también puede adjuntarse a otras soluciones para mejorar el rendimiento y la seguridad. Por ejemplo, la CSIA puede tomar firmas de otras tecnologías de inteligencia de amenazas y compararlas con el tráfico que pasa por nuestra nube.

Mediante el uso de puertas de enlace en contenedores, el plano de datos se separa para cada cliente. Las claves privadas para descifrar el tráfico se mantienen específicas del cliente y no se comparten entre otros. Cada unidad de trabajo que procesa o almacena datos está totalmente dedicada al cliente, que no necesita administrar ninguno de los componentes. Las unidades de trabajo pueden escalar horizontalmente de forma elástica.

CSIA permite a los administradores definir explícitamente las zonas de nube directamente en el portal de administración de la nube. Estas zonas garantizan que los usuarios de una región determinada estén protegidos dentro de la región y que registren los eventos generados dentro de una región determinada para permanecer dentro de la región. Esta función es importante para regulaciones como el GDPR, que requieren que los datos se mantengan dentro de las fronteras nacionales. Además, las zonas de nube se pueden utilizar para definir cómo se conectan los usuarios a la nube, según la ubicación. Por ejemplo, cuando los usuarios se trasladan de una oficina a otra, estas zonas definidas por el administrador permiten la omisión dinámica de impresoras y servidores locales que se aplican a cada oficina.

Redirigir el flujo

Tradicionalmente, el tráfico de aplicaciones de Internet de usuarios remotos se envía a través de VPN lentas y sobrecargadas para proporcionar seguridad de red para el cumplimiento, la defensa contra el malware y la protección contra la pérdida de datos. A menudo, esto da como resultado conexiones lentas o redes caídas que impiden que los usuarios trabajen de manera segura y eficaz. Además, en contra de los arrendatarios de la arquitectura Zero Trust, el acceso generalmente se proporciona a las redes en lugar de a aplicaciones específicas. El resultado son privilegios excesivos, especialmente para los usuarios que solo requieren acceso específico a unos pocos recursos.

CSIA elimina la necesidad de conexiones VPN lentas y sobrecargadas y envía el tráfico directamente de los usuarios a los recursos o aplicaciones en la nube necesarios. La CSIA también reduce el riesgo de pérdida de datos y segmenta aún más la red al permitir que los usuarios accedan solo a recursos y aplicaciones específicos.

Otro desafío que resuelve la CSIA es aplicar la prevención de intrusiones basada en flujos cuando los usuarios finales viajan fuera del perímetro interno. Se mueven de un lugar a otro para trabajar desde redes fuera del control de la organización. La arquitectura contenerizada de CSIA permite que las IP basadas en flujos se apliquen a los usuarios dondequiera que se encuentren. Las redes incluyen aquellas que son propiedad de la organización y redes que no lo son. La arquitectura de CSIA permite que cada cliente reciba direcciones IP dedicadas que se pueden utilizar de la misma manera que se utilizan las direcciones IP locales.

CSIA enruta los datos de red a la nube para realizar funciones de seguridad de red sin necesidad de dispositivos en línea. Esto se puede lograr mediante la configuración de proxy, agentes/conectores de punto final, túneles GRE o túneles IPSec.

Redirigir el flujo de tráfico

CSIA sigue a los usuarios a medida que entran y salen del perímetro de la red física, lo que genera direcciones IP dedicadas para los usuarios, independientemente de su ubicación. Esta capacidad se puede aplicar para requerir que los usuarios accedan a las aplicaciones empresariales solo a través de conexiones que asegura la puerta de enlace. Incluso cuando se trabaja fuera de la oficina o con dispositivos personales. La dirección IP de origen se puede utilizar para restringir el acceso a recursos como los portales de administración mediante el uso de la dirección IP de origen como requisito para iniciar sesión.

LosCloud Connectors son el método de implementación más popular y se utilizan con más frecuencia en organizaciones que tienen dispositivos administrados. Los Cloud Connectors son los agentes que ayudan a la configuración de CSIA con el registro, la autenticación y la administración de certificados en los endpoints.

Las instalaciones se pueden realizar de forma remota a través de varios métodos, tales como:

  • Windows mediante implementación de GPO, MDM y SCCM
  • macOS/iOS mediante implementación de MDM
  • Chromebook mediante implementación de la consola de administración de Google
  • Android mediante integración nativa con la red VPN de Android o Always On VPN
  • Linux con soporte de Red Hat, Fedora y Ubuntu
  • Terminal Server de Windows

Los Cloud Connectors ayudan a los usuarios a conectarse a CSIA. Los conectores adoptan un enfoque que prioriza los dispositivos móviles y la nube para conectar los dispositivos de los usuarios a la seguridad en la nube, independientemente de si están en la oficina o de viaje. No hay necesidad de hacer backhaul del tráfico a través del centro de datos, ya que las políticas se siguen donde esté el usuario. Vinculan sus dispositivos directamente a CSIA, lo que proporciona un acceso seguro desde cualquier ubicación y:

  • Configurar redes para dirigir el tráfico al servicio CSIA
  • Administrar los certificados en nombre del usuario para permitir la intercepción de SSL
  • Proporcionar la identidad del usuario y la pertenencia a grupos
  • Redirigir de forma transparente todos los datos de un dispositivo a través de todos los puertos

Si su dispositivo tiene un sistema operativo no estándar, puede configurar la redirección de datos sin agente mediante la generación automática de archivos PAC proxy.

Los archivosPAC proxy se utilizan para la redirección de datos sin agente que redirige el tráfico en función de la ubicación del usuario (IP de origen). El archivo PAC admite la geolocalización para conectar a los usuarios con las puertas de enlace más cercanas automáticamente y admite la zonificación del RGPD. Se genera dinámicamente usuario por usuario. Proxy PAC admite el equilibrio de carga, el escalado horizontal y la autenticación mediante SAML.

IPSec/GRE utiliza cortafuegos y enrutadores perimetrales para crear túneles y redirigir todo el tráfico de cada ubicación a CSIA. Los túneles apuntan a un único destino DNS de CSIA que enruta el tráfico a las puertas de enlace. La elección de usar GRE o IPSec depende de lo que admita el router perimetral/firewall existente. La autenticación se logra mediante conectores y SAML.

LasSD-WAN y CSIA se pueden usar junto con la tunelización de IPSec y GRE. Citrix SD-WAN se integra con CSIA mediante el uso del conocimiento de las aplicaciones para dirigir de forma inteligente el tráfico de Internet, la nube o SaaS a CSIA.

ElDNS se usa para situaciones en las que el usuario final no usa un Cloud Connector, un PAC proxy o una SD-WAN. La CSIA aplica las categorías y políticas a los registros DNS y reenvía DNS desde el servicio DNS local. La red de cada sucursal redirige el tráfico DNS a CSIA y recibe una política de seguridad única. Tanto las políticas como los registros de informes se basan en cada ubicación.

Autenticación

CSIA puede usar identidades de usuarios locales, Microsoft Active Directory (AD) u otro tipo de IdP moderno (como Azure AD). Cuando se usa AD tradicional, los grupos de seguridad de CSIA deben coincidir con los de AD. CSIA comprueba periódicamente la pertenencia al grupo, en el dispositivo, cuando se usa la implementación de Cloud Connector basada en agentes. Cuando un usuario pertenece a varios grupos de seguridad en AD, se puede establecer una prioridad para las políticas que se implementan. Los números de mayor prioridad tienen prioridad sobre los números más bajos.

Puede asociar los grupos de seguridad de Active Directory actuales a los grupos de seguridad de CSIA mediante el uso de los mismos nombres para ambos. A los grupos de seguridad de CSIA se les puede asignar un número de prioridad para el caso en el que un usuario en particular forme parte de varios grupos. La CSIA coloca a un usuario en el grupo que tiene el número de prioridad más alto. Se pueden asignar alias de grupo para asociar varios grupos de Active Directory a un único grupo de seguridad de CSIA.

CSIA puede usar cuatro tipos diferentes de autenticación mediante el complemento Cloud Connector, Cloud Identity, SAML o Active Directory.

Cloud Connector: los Cloud Connectors gestionan la autenticación de forma transparente mediante una clave de sesión que se envía a CSIA. Los Cloud Connectors utilizan la identidad del usuario en el dispositivo. Por lo tanto, no se requiere una autenticación adicional para acceder a Internet. Cuando un usuario navega por Internet, las políticas se aplican en función de la asignación de grupos de seguridad dentro de CSIA. Los grupos de seguridad en CSIA se pueden hacer coincidir con los grupos y unidades organizativas existentes. CSIA sabe de qué grupo local forma parte un usuario cuando Cloud Connector extrae y envía la información de ese grupo al servicio de CSIA. La CSIA utiliza esa información para crear una clave de sesión cifrada, que se envía de vuelta al dispositivo. Cada solicitud web recibe la clave de sesión adjunta a la solicitud y se utiliza para la coincidencia de políticas.

Cloud Identity: Cloud Connectors puede sincronizar grupos de usuarios con proveedores de identidades (IdP) en la nube. Actualmente, CSIA admite Google, Azure y Okta. Las configuraciones difieren entre cada proveedor, pero normalmente consisten en especificar el intervalo de actualización, el ID de cliente, el secreto y el dominio.

SAML: la autenticación SAML puede basarse en el navegador o asociarse a través del conector. SAML permite que la autenticación se transfiera a un proveedor de identificación de SAML, por lo que CSIA actúa como proveedor de servicios. La autenticación SAML debe combinarse con la redirección de datos proxy y es compatible con Okta, ADFS y otros proveedores de SAML.

Complemento de AD: un agente del lado del servidor que se puede instalar en los controladores de dominio para proporcionar servicios de inicio de sesión dentro del dominio. Las unidades organizativas, los grupos de seguridad y las máquinas se recopilan de los DC y se envían de vuelta a la CSIA para la asignación de políticas.

Se pueden agregar alias a un grupo de seguridad para capturar varios grupos de usuarios en un grupo CSIA más grande. Cuando tiene usuarios que pertenecen a varios grupos, la prioridad es importante. Cuanto mayor sea la prioridad del grupo, es lo que tiene prioridad para la aplicación de políticas. Hay 3 motores de políticas diferentes. Cuando un paquete atraviesa CSIA, la determinación de la política que se aplicará al paquete se realiza en el siguiente orden:

  • Paso 1: Subred IP: el paquete se compara con las subredes locales configuradas en la configuración de red según la dirección IP de origen del paquete. Si se encuentra una coincidencia, el grupo de políticas se guarda antes de continuar.
  • Paso 2: Dispositivo: La IP de origen se compara con la lista de ordenadores estáticos y dinámicos. Si se encuentra una coincidencia, el grupo de políticas del paso 1 se reemplaza por el que se encuentra aquí.
  • Paso 3: Política de usuario: Si un usuario ha iniciado sesión en el dispositivo y se encuentra asociado con el dispositivo, el grupo asociado a ese usuario anula el grupo del paso 2.

Funciones de seguridad

Las pasarelas contenerizadas escanean los datos en la nube, realizan el filtrado web, previenen el malware, detectan y evitan la pérdida de datos a medida que los datos se mueven hacia y desde los usuarios e Internet.

Capacidades de CSIA

Descifrado SSL/TLS

Muchos, si no la mayoría de los sitios y servicios de Internet, cifran sus comunicaciones con los usuarios, siendo SSL/TLS el protocolo más común utilizado para hacerlo. Esto hace que la capacidad de inspeccionar el tráfico SSL/TLS sea esencial para una seguridad de Internet eficaz. Sin hacerlo, la mayor parte del tráfico de una organización no está protegido. El malware o los malos actores internos pueden exfiltrar los datos corporativos sin ser vistos en la puerta de enlace.

Al tratarse de una tarea crítica pero que requiere muchos procesos, el descifrado de SSL/TLS puede sobrecargar fácilmente los dispositivos de seguridad tradicionales que intentan lograr una visibilidad completa de SSL/TLS del contenido y el uso de las aplicaciones en la nube. CSIA tiene una arquitectura de nube escalable que se expande y se contrae según sea necesario. Los recursos de cada cliente están completamente en contenedores. La CSIA mantiene las claves de descifrado de cada organización aisladas de las demás organizaciones.

Sin el descifrado SSL/TLS, los informes y los análisis se vuelven limitados. Por ejemplo, al buscar en Internet sin la configuración habilitada, CSIA puede informar en el sitio de búsqueda, pero no en las palabras clave utilizadas en la consulta de búsqueda. El descifrado SSL/TLS no es necesario para bloquear, permitir o supervisar el acceso HTTP básico. Con el descifrado SSL/TLS habilitado, CSIA puede inspeccionar el tráfico HTTPS, ofreciendo así acciones y visibilidad más granulares.

El descifrado SSL/TLS de CSIA funciona mediante la implementación de un procedimiento de seguridad “Man in the Middle”. El descifrado SSL/TLS se puede realizar de forma transparente o mediante una conexión proxy, con el único requisito de que el certificado SSL/TLS se implemente en el dispositivo conectado a la nube. La CSIA actúa como una autoridad de certificación raíz. Intercepta las solicitudes SSL/TLS a sitios legítimos, las solicita, firma los datos recibidos con su propio certificado de CA y envía los datos al cliente.

Para evitar las advertencias de seguridad del cliente, los dispositivos conectados necesitarán el certificado de CSIA. El certificado se puede distribuir durante la instalación de Cloud Connector. Para verificar, al navegar a un sitio, el certificado de confianza se considerará emitido por la CSIA y no por el sitio. Los certificados SSL/TLS pueden transferirse a través del instalador, instalarse manualmente o insertarse en la CA raíz mediante cualquier método típico.

Descifrar todos los destinos Nota: Al configurar el descifrado SSL por primera vez, se recomienda comenzar con el descifrado SSL selectivo, ya que no todos los sitios web aceptan el descifrado SSL.

El descifrado SSL se puede habilitar para todos los destinos a los que viaja un usuario en Internet. Por otro lado, para los sitios web que no aceptan el descifrado SSL, se puede configurar una omisión para descifrar solo de forma selectiva ciertos destinos. A continuación se muestran los distintos tipos de derivaciones que se pueden configurar.

  • Dominios que incluyen todos los subdominios si no son deseables para el sitio
  • Nota: La omisión de un dominio también incluye todos sus subdominios
  • Categorías web si no son deseables para la categoría
  • Grupos si no son deseables para usuarios/grupos específicos
  • Direcciones IP e intervalos si no se desean

Protección contra malware

La CSIA utiliza muchas capas de seguridad diferentes para la protección contra malware. La protección contra malware incluye:

  • Identificación y mitigación de malware desde las principales bases de datos de firmas
  • Un registro de malware propietario
  • Información sobre amenazas en tiempo real con actualizaciones instantáneas de bases

Los administradores pueden habilitar tanto defensas basadas en la reputación como protección contra malware, que utilizan capacidades avanzadas de análisis de contenido y sandboxing. Streaming Malware Reputation procesa las URL a las que acceden los usuarios en una base de datos de firmas Advanced Malware Analysis Defense depositará automáticamente los archivos descargados por el usuario para el análisis de

Al aplicar reglas de malware al contenido, las reglas se comprueban de arriba a abajo de la lista. Cuando se encuentra una coincidencia, se elige la regla y no se tienen en cuenta otras reglas. Las reglas de mayor prioridad estarán en la parte superior de la lista. Las reglas se pueden mover fácilmente hacia arriba y hacia abajo para garantizar que la prioridad se establezca en el orden apropiado. Los sitios web reciben una puntuación de riesgo de 1 a 100 analizando varios aspectos de una solicitud, como la URL, los encabezados HTTP y el contenido del sitio. Según esa puntuación, la página está bloqueada o permitida según los umbrales de Riesgo bajo, Riesgo medio y Riesgo alto. Se puede establecer una acción de solicitud de riesgo de permitir o bloquear por separado para cada umbral de riesgo. Para la mayoría de las configuraciones, la configuración predeterminada proporciona el mejor equilibrio entre rendimiento y seguridad.

  • Detección y prevención avanzadas de malware para amenazas polimórficas
  • Monitoreo de devolución de llamada de comando y control en todos los puertos y protocolos
  • Prevención de malware y detección de brechas sin firmas y firmas
  • Centro de respuesta ante incidentes
  • Detección y prevención de intrusiones
  • Sandboxing de malware conductual
  • Transmisión de malware y defensa de la reputación: bloquea hosts y direcciones IP maliciosos con información de una combinación de CSIA y varias firmas de inteligencia de amenazas líderes del sector
  • Defensa avanzada de análisis de malware: inspecciona los archivos, incluidos los archivos. Las reglas de malware determinan la acción que se lleva a cabo si el motor AV determina que un archivo es malicioso.

Los sistemas de prevención de intrusiones (IPS) le permiten proteger su red de amenazas maliciosas en los flujos de paquetes, también conocidos como “datos en movimiento”. La configuración de defensa contra malware para elementos como archivos y archivos gestiona los “datos en reposo”. El motor de políticas de IPS se ejecuta en CSIA. IPS le permite elegir los tipos de amenazas que se procesan y registran en los registros. Los cambios realizados en estos ajustes se sincronizan automáticamente en un clúster de nodos. Para la mayoría de las configuraciones, están habilitadas las dos opciones siguientes:

  • Habilite la protección contra intrusiones, malware y virus en tiempo real: permite la inspección y prevención de amenazas basadas en paquetes o transmisiones
  • Excluir subredes privadas: habilite esta opción si desea ignorar el tráfico local a local.

Cuando el IPS detecta una amenaza, las reglas de amenazas determinan la acción que lleva a cabo. Las reglas de amenazas tienen una de tres acciones: Supervisar, Bloquear y Desactivar.

Filtrado Web

Las categorías web son una forma rápida y útil de filtrar el acceso web y el tráfico en función de las asignaciones de grupos de seguridad. Según el dominio, tiene una o varias categorías asociadas en función de su dominio. La configuración de Categorías web establece el acceso de referencia para un grupo en particular. Las listas de permitir/bloquear y las capas de políticas se pueden configurar para que sean más granulares. Puede elegir entre varias opciones de acción para cada categoría individual. Las acciones se pueden aplicar a una categoría web y son independientes entre sí. Las políticas web en CSIA se aplican en función de la asociación del grupo de seguridad del usuario. La mayoría de las políticas de seguridad web en CSIA se pueden aplicar a grupos de seguridad de forma selectiva o a varios grupos.

  • Los dominios se clasifican según el contenido de sus sitios
  • Cada categoría tiene su propio conjunto de acciones que se configuran independientemente de las demás categorías.
  • Los dominios con varias categorías asignadas están sujetos a prioridades de categoría que determinan la acción a la que se enfrenta el usuario.
  • Hay cuatro acciones principales que puede asignar a una categoría web: Permitir, Bloquear, Invisibilidad o Anulación suave
  • Descifrado SSL activado/desactivado
  • Si un dominio está asociado a varias categorías, la acción que se le aplica viene determinada por el número de prioridad asociado a las categorías. Las categorías con valores de prioridad más altos tienen prioridad.
  • Anulaciones suaves: presenta al usuario una página de bloqueo para la categoría, pero le permitirá elegir un comando de anulación suave
    • Permite al usuario acceder a la URL hasta el día siguiente
    • Cualquier página de bloqueo que se presente con una anulación suave se muestra en Reporting & Analytics como bloqueo suave

Bloquear o permitir un sitio web

La navegación por el sitio web se puede bloquear mediante una lista de bloqueo. Las listas de bloqueo se pueden utilizar para restringir el acceso a los recursos de red de forma selectiva Las listas de permitidos permiten el acceso a las URL bloqueadas por una directiva de categoría web. Las listas de permitidos se pueden usar para conceder acceso a recursos específicos.

Las siguientes son las distintas formas de configurar las listas de bloqueo:

  • Coincidencia de URL: las URL se pueden hacer coincidir mediante dominios, subdominios, direcciones IP, intervalos de IP y puertos
  • Comodín: las entradas de comodín se pueden usar en la lista de bloqueados omitiendo la barra diagonal final de la ruta, es decir, “miwebsite-parent-domain.com”
  • Explícitas: son entradas que no son comodines; se pueden crear agregando una barra diagonal final a la ruta, es decir, “miwebsite-parent-domain.com/”
  • Expresiones regulares: las expresiones regulares se pueden usar para hacer coincidir patrones complejos

Bloquear páginas personalizadas

Se puede crear una página de bloqueo personalizada para los usuarios que intenten acceder a contenido bloqueado. Además, la página de bloqueo también se puede aplicar a aquellos usuarios que intenten acceder a la intent mientras están en modo de suspensión. Las páginas de bloqueo personalizadas tienen las siguientes acciones asociadas:

  • Redirigir: envía a los usuarios a una URL específica
  • Silent Drop: evita el acceso sin responder
  • Permitir que el usuario inicie sesión: omita la página de bloqueo iniciando sesión en una cuenta que se haya creado en la puerta de enlace

Palabras clave

El filtrado de palabras clave se puede usar para inspeccionar las URL y encontrar palabras específicas.

  • La puerta de enlace web puede tomar medidas para permitir o bloquear la actividad del usuario en función del comportamiento asociado de la palabra clave buscada.
  • La CSIA incluye listas predefinidas de palabras clave para adultos y de alto riesgo, que se pueden personalizar según sea necesario.
  • Los administradores pueden elegir habilitar las listas predefinidas por grupo.

Prevención de pérdida de datos

El módulo de prevención de pérdida de datos (DLP) es un motor de análisis avanzado que inspecciona los datos en tránsito para detectar posibles pérdidas e información confidencial. Incluye detección integrada de información de identificación personal (PII), información de tarjetas de crédito, incluidos datos de bandas, y otro contenido. Además, se pueden definir patrones personalizados para detectar contenido como datos de CRM o sistemas de bases de datos.

El módulo DLP proporciona protección contra el uso no autorizado de la nube y la pérdida de datos confidenciales. Esto incluye la protección para el uso de servicios en la nube para garantizar que los datos confidenciales estén protegidos y mantenidos dentro de los servicios en la nube aprobados por la organización. Capacidades profundas de prevención de pérdida de datos basadas en archivos para detectar, alertar y detener la transferencia de datos confidenciales. Las capacidades de detección avanzadas detectan y protegen la información confidencial del contenido mediante el análisis de numerosos tipos de archivos, incluidos los archivos anidados comprimidos.

Agente de seguridad de acceso a la

El módulo de seguridad web tiene amplios controles de redes sociales y aplicaciones en la nube. El uso de los controles de aplicaciones Cloud Access Security Broker (CASB) le permite administrar el acceso a aplicaciones en línea y redes sociales comunes. Los controles de aplicaciones en la nube se pueden usar para restringir la actividad en redes sociales y servicios en la nube populares. Cloud App Controls se puede aplicar a grupos de seguridad específicos para permitir o bloquear elementos como publicar, dar me gusta, seguir, etc.

  • El control de aplicaciones en la nube se puede utilizar para administrar el uso de servicios de redes sociales como Pinterest, Facebook, Twitter, LinkedIn, motores de búsqueda, YouTube y Google Apps
  • Los controles para cada uno de estos se pueden ajustar por grupo
  • Los servicios de nube y SaaS específicos y los sitios de redes sociales requieren que se habilite el descifrado SSL

Los controles de motores de búsqueda le permiten establecer la configuración de SafeSearch en varios motores de búsqueda. Estos ajustes también se pueden aplicar de forma global o a grupos específicos. Se admiten los motores de búsqueda de los navegadores web Google, Yahoo y Bing.

Puede evitar que los usuarios carguen archivos en varios servicios en la nube. La carga de archivos se puede bloquear para las cargas de archivos genéricos, Dropbox, OneDrive, Google Drive y Dropbox. El administrador de YouTube puede restringir el contenido, ocultar comentarios y crear una biblioteca de vídeos listados permitidos. La configuración del administrador de YouTube se puede aplicar de forma global o a grupos de seguridad específicos.

El administrador de YouTube puede realizar otras acciones, como:

  • Página de inicio: puede redirigir a un usuario al canal de YouTube de la organización.
  • Preservación del ancho de banda: puede forzar la reproducción de vídeos en definición estándar
  • Bibliotecas de vídeos permitidas: puede permitir el acceso a vídeos específicos que estén bloqueados por la configuración de búsqueda restringida de YouTube.

La integración de Microsoft CASB permite el control de políticas de tráfico para aplicaciones no autorizadas y la visibilidad de los informes de CASB, todo dentro de CSIA. La integración con la plataforma “Microsoft Cloud App” proporciona un control granular de las políticas de tráfico y asignaciones para bloquear aplicaciones no autorizadas y los informes de CASB en un solo panel. El registro de tráfico y las estadísticas en tiempo real se envían mediante la integración de API a la plataforma “Microsoft Cloud App Security”. La integración entre la configuración de CSIA y Microsoft se logra simplemente ingresando la información de suscripción de Microsoft en CSIA.

Seguridad web avanzada

Elfiltrado de palabras clave se utiliza para inspeccionar las URL de determinadas palabras clave y restringir las búsquedas y frases de los usuarios. Según el resultado de la inspección, se puede permitir o bloquear el contenido. Las palabras clave se pueden agregar manualmente o se pueden obtener de una lista predefinida dentro de CSIA. Se puede habilitar una opción de comodín para búsquedas de varias palabras o palabras clave que son subcadenas de palabras más grandes que pueden infringir las palabras clave bloqueadas. Ejemplo de comodín: la palabra clave es “base”. Una coincidencia de comodín para “base” bloqueará tanto la palabra de búsqueda “base” como “béisbol”.

Bloqueo de puertos La conectividad a los recursos de red puede estar restringida por ciertos puertos para los protocolos y la dirección basados en UDP y TCP: entrantes, salientes o ambos. Además, se puede aplicar un programa de bloqueo de puertos para restringir el acceso solo durante determinados momentos del día. El control de bloqueo de puertos bloquea el tráfico de Internet en puertos o intervalos de puertos especificados.

  • Todo el tráfico que utilice los puertos especificados se bloquea por completo.
  • Para borrar los controles de bloqueo de puertos, cambie las opciones habilitadas para los intervalos de puertos que desea inhabilitar a NO.
  • Puede elegir bloquear siempre los intervalos de puertos para el grupo seleccionado o bloquear puertos mediante una programación avanzada.

Elnavegador y el sistema operativo pueden restringir la conectividad a los recursos de red a versiones específicas mediante el navegador y el sistema operativo. Se pueden aplicar las siguientes acciones a las restricciones del navegador y del sistema operativo:

  • Bloquear lo siguiente: Bloquea el acceso a Internet para navegadores y versiones de SO específicos
  • Permitir solo lo siguiente: Permite el acceso a Internet para navegadores y versiones de SO específicos
  • Mover usuario: mover un usuario a otro grupo de seguridad (si ha infringido las restricciones) durante un período determinado

Tipo decontenido y MIME El tipo de extensiones multipropósito de correo de Internet (MIME) es una forma estandarizada de indicar la naturaleza y el formato de un documento.

  • Los tipos MIME ayudan a los navegadores a comprender cómo procesar los archivos que recuperan de un servidor web. Un navegador hace coincidir su tipo de contenido con el tipo MIME. Puede controlar el tipo de contenido al que se puede acceder al navegar.

  • La estructura general de un tipo MIME consiste en un tipo y un subtipo con el formato [tipo]/[subtipo]. Los ejemplos incluyen Image/JPEG, Image/GIF, Image/MPEG.

Las extensiones de archivo se pueden restringir para evitar que los usuarios descarguen archivos que tengan extensiones específicas.

  • El control de extensión de nombre de archivo impide que se descarguen extensiones de nombre de archivo específicas en la red.
  • Cada extensión puede tener una longitud máxima de 15 caracteres
  • Para eliminar una extensión de la lista de bloqueados, marca la casilla situada junto a la extensión.

Por ejemplo, un archivo con la extensión “.exe” puede causar daños si lo ejecuta un usuario y, por lo tanto, se puede restringir la descarga.

Extensión de dominio El control de extensión de dominio le permite bloquear o permitir el acceso a extensiones de dominio específicas por grupo. Administrar la lista de extensiones de dominio de cada grupo de la siguiente manera:

  • Bloquear las extensiones de dominio de la lista
  • Permitir solo las extensiones de la lista mediante Bloquear o Permitir solo extensiones de dominio
  • Cada extensión puede tener una longitud máxima de 15 caracteres

Por ejemplo, puede optar por permitir solo los dominios que terminen en “.com” y “.net”. Se bloquearán todos los dominios que no terminen en esas extensiones. Se pueden establecer restricciones para evitar que los usuarios naveguen a dominios de nivel superior específicos.

Nota: Establecer la restricción de dominio de nivel superior no impide que un usuario navegue por fuerza bruta por dirección IP

Las capas de políticas ofrecen un control más avanzado sobre las políticas de seguridad web. Puede aplicar listas de permitidos, listas de bloqueo , filtros de categorías web, descifrado de SSL y otras configuraciones en función de varios criterios preconfigurados. Este criterio incluye, pero no se limita a:

  • Nombre de usuario
  • Grupo de seguridad
  • Intervalos IP
  • GeoIP

Las capas de políticas contienen el concepto de enlace dinámico, por el que las políticas solo se aplican si se activan todas o alguna de las condiciones de los criterios. Además, la capa de políticas se puede configurar según una programación avanzada, similar a la del modo de suspensión de Internet. Reglas de proxy para activar acciones en respuesta a ciertos tipos de actividad de la red.

  • Las reglas de proxy se crean asociándolas con patrones de coincidencia.
  • Los patrones de coincidencia y las reglas se definen de forma independiente entre sí.
  • Esta separación lógica los libera para asociarse entre sí en muchas combinaciones diferentes, maximizando las posibilidades lógicas
  • Una regla se activa cuando el estado de los patrones de coincidencia especificados por la regla se evalúa como “verdadero”.
  • Las acciones incluyen la redirección de dominios, la omisión o aplicación de la autenticación de proxy e incluso la modificación de los encabezados de solicitud HTTP

Flujo

CSIA le permite enrutar los datos de red a la nube para realizar funciones de seguridad de red sin necesidad de dispositivos en línea. El siguiente diagrama detalla el flujo del proceso de principio a fin.

Flujo de procesos de CSIA

  1. El usuario selecciona un enlace o introduce una URL en el navegador web local
  2. El agente de CSIA identifica la pertenencia del usuario y del grupo de Active Directory
  3. CSIA analiza si el dominio o la URL deben omitirse en el script o el agente de PAC. Si es así, la solicitud se omite de la seguridad en la nube.
  4. La CSIA analiza si el IPS va a bloquear la solicitud. Si es así, la solicitud se bloquea.
  5. CSIA etiqueta el nombre de usuario y el grupo de políticas en la solicitud.
  6. La CSIA analiza si la solicitud se descifrará. Si es así, la solicitud se descifra y se agrega un certificado al flujo de tráfico.
  7. La CSIA analiza si la solicitud coincide con una regla de bloqueo de proxy. En caso negativo, se procede a las reglas de la CASB. En caso afirmativo, la solicitud se compara con las listas Permitir y Bloquear. Si existe una regla de lista de bloqueo de mayor peso, la solicitud se bloquea. Si no, se permite la solicitud.
  8. La CSIA analiza si la solicitud coincide con una regla de bloqueo de CASB. Si es así, la solicitud se bloquea.
  9. La CSIA analiza si el destino coincide con una entrada de la Lista de permitidos.
  10. La CSIA analiza si el destino coincide con una entrada de la Lista de bloqueo.
  11. La CSIA analiza si el destino coincide con una regla de bloqueo de malware. Si es así, la solicitud se bloquea.
  12. La CSIA analiza si la solicitud coincide con una regla de bloqueo de DLP. Si es así, la solicitud se bloquea.
  13. El CSIA analiza si el destino coincide con una entrada de la regla de YouTube Manager. Si es así, la solicitud se bloquea.
  14. La CSIA analiza si el destino coincide con una categoría web bloqueada. Si es así, la solicitud se bloquea.
  15. La CSIA analiza si la dirección IP del destino debe ser bloqueada por las reglas GEO IP. Si es así, la solicitud se bloquea.
  16. La CSIA analiza si la solicitud coincide con las políticas de seguridad web restantes. Si es así, la solicitud se bloquea. Si no, se permite la solicitud.
  17. CSIA analiza si la solicitud coincide con las firmas de línea MCAS de Microsoft sincronizadas. Si no, la seguridad en la nube permite la solicitud. En caso afirmativo, la solicitud se compara con las políticas de bloqueo de MCAS y se permite o bloquea en función del resultado.

Casos de uso de la integración de Citrix SD-WAN + SIA

La integración de Citrix SD-WAN y CSIA ofrece flexibilidad y opciones para un perfil mixto de usuarios de sucursales en una empresa. Por lo general, una empresa tiene una combinación de dispositivos administrados y no administrados en la sucursal donde existe una Citrix SD-WAN. Con la integración, CSIA Cloud Connector permite que SD-WAN distribuya de forma segura el tráfico de dispositivos administrados a la nube de CSIA mediante el servicio de Internet (con equilibrio de carga). Los dispositivos no administrados, como BYOD y los usuarios invitados, se protegen mediante el túnel IPSec entre Citrix SD-WAN y CSIA como puntos finales del túnel.

CSIA con SD-WAN

Hay varias formas de proteger a los usuarios a medida que acceden a las aplicaciones en la nube y SaaS. Los métodos cubren casos de uso en los que el usuario se sienta detrás de un dispositivo SD-WAN en la sucursal o en el hogar, o si el usuario es completamente móvil.

Para un usuario sentado en una oficina corporativa, la SD-WAN crea automáticamente conectividad segura con el punto de presencia de CSIA más cercano. El tráfico se canaliza a través de un túnel GRE o IPSec. La redundancia se logra tanto a través del nivel del túnel como a través de múltiples enlaces a los puntos de presencia principales y secundarios.

Si un usuario abandona el perímetro corporativo, el Cloud Connector instalado en el dispositivo se encarga de redirigir el tráfico a la nube de CSIA. El conector también sirve para autenticar al usuario e instalar los certificados adecuados para el descifrado SSL.

Para obtener información sobre la configuración, lea la siguiente guía de PoC: Guía de PoC de CSIA y SD-WAN

Integración con Citrix Virtual Apps and Desktops

Las implementaciones de Citrix Virtual Apps & Desktops se pueden integrar con CSIA. Al acceder desde Citrix Workspace, los usuarios reciben una experiencia unificada que les permite acceder a todas las aplicaciones y escritorios relevantes para la empresa a través de una interfaz optimizada.

Los Cloud Connectors de CSIA se pueden configurar en modo multiusuario. Los administradores pueden aplicar diferentes directivas a diferentes usuarios en sistemas multiusuario, como Citrix Virtual Apps and Desktops y otros. En lugar de que los usuarios sean vistos como un solo usuario, se los ve y se registra como individuos.

Los usuarios inician sesión en Citrix Workspace con inicio de sesión único. Una vez dentro, los usuarios tienen acceso a todas las aplicaciones y escritorios publicados, incluidas las aplicaciones SaaS y los navegadores como Chrome. El acceso privado seguro proporciona acceso seguro, consciente de la identidad y de confianza cero a las aplicaciones internas. CSIA proporciona acceso seguro a Internet y aplicaciones SaaS desde aplicaciones y escritorios publicados.

Flujo de procesos de CSIA

Ahora, supongamos que el mismo usuario decide cerrar sesión en Citrix Workspace y acceder a las aplicaciones SaaS con solo abrir un navegador desde su dispositivo portátil. O quizás el usuario decide acceder a un sitio web para compartir vídeos o a un sitio web personal para compartir archivos a través de un navegador en su dispositivo portátil. En todos esos casos y similares en los que el usuario accede a Internet y SaaS, el usuario sigue estando protegido por CSIA incluso cuando se encuentra fuera de Citrix Workspace.

CSIA con Citrix Workspace

Para obtener información sobre la configuración, lea la siguiente guía de PoC. Guía de PoC de CSIA y Citrix Virtual Apps and Desktops

Resumen técnico: Citrix Secure Internet Access