Resumen técnico: Acceso privado seguro

Información general

Citrix Secure Private Access es una solución de acceso a la red de confianza cero (ZTNA) que ofrece acceso adaptable a las aplicaciones autorizadas por TI, ya sea que se implementen en las instalaciones o en la nube. Las soluciones VPN tradicionales proporcionan acceso a nivel de red y son:

  1. Propenso a ataques a nivel de
  2. Requiere backhauling de todo el tráfico
  3. A menudo requiere la administración de dispositivos para capturar el estado del dispositivo del usuario final

Citrix Secure Private Access ayuda a evitar estos errores. El acceso privado seguro proporciona acceso solo en la capa de aplicación, lo que evita los ataques a nivel de red, no requiere backhauling, lo que proporciona una experiencia mucho mejor para el usuario final y proporciona a TI un conjunto de controles de seguridad que ofrecen a los empleados la opción de acceder a TI sancionado aplicaciones en cualquier dispositivo, independientemente de si está gestionado o BYO.

Consulte este vídeo para obtener más información:

 

Arquitectura Conceptual

A un nivel superior, Citrix Secure Private Access permite a los usuarios conectarse de forma segura a aplicaciones SaaS públicas, aplicaciones web privadas y aplicaciones cliente/servidor.

Arquitectura conceptual de acceso privado seguro

Conceptualmente, al acceder a un recurso sancionado, Secure Private Access

  1. Determina si el punto final no tiene agente o está basado en agentes. Esto determina si el usuario puede acceder a un recurso y qué capacidades dentro de la aplicación tiene el usuario.
  2. Utiliza la autenticación adaptativa para validar correctamente la identidad del usuario en varios proveedores de identidad (IdP).
  3. Proporciona acceso adaptativo a los recursos autorizados. Utilizando criterios como la postura del dispositivo, el riesgo del usuario y la ubicación del usuario, Secure Private Access puede permitir el acceso total, denegar todo acceso o proporcionar acceso restringido.
  4. Establece una conexión de acceso de red de confianza cero (ZTNA) a aplicaciones web privadas y de cliente/servidor. Al utilizar una conexión solo saliente y retransmitir todo el tráfico a través del servicio Secure Private Access, el dispositivo de punto final de un usuario nunca está en contacto directo con la red segura.
  5. Aplica restricciones de sesión que limitan las capacidades del usuario. Las políticas de seguridad de sesión pueden incluir protecciones de captura de pantalla y registrador de pulsaciones, marcas de agua, navegación aislada y restricciones de impresión/descarga/portapapeles.
  6. Supervisa el comportamiento de los usuarios con el servicio Analytics for Security. El servicio Analytics crea un perfil de comportamiento del usuario e identifica las amenazas potenciales que se pueden mitigar automática o manualmente.

Las capacidades de Secure Private Access se pueden dividir en las siguientes categorías:

  • Seguridad adaptativa
  • Acceso a la aplicación
  • Seguridad del navegador
  • Análisis de comportamiento de usuarios y experiencias

Seguridad adaptativa

Secure Private Access incorpora seguridad adaptable a los recursos locales y alojados en la nube. A menudo, el nivel de acceso de un usuario se concede en el inicio de sesión inicial. Con la seguridad adaptable, el perfil de riesgo de seguridad de un usuario se supervisa continuamente, lo que afecta a la configuración de seguridad. La seguridad adaptativa influye en la forma en que los usuarios se autentican (autenticación adaptativa) y en las capacidades que tienen los usuarios dentro de las aplicaciones ( Y al integrar el inicio de sesión único, las políticas de seguridad adaptables se pueden aplicar sin problemas y, al mismo tiempo, simplificar la experiencia de autenticación del usuario.

Autentificación adaptable

La autenticación adaptativa determina el flujo de autenticación correcto para la solicitud actual. La autenticación adaptativa puede identificar la postura del dispositivo, la ubicación geográfica, el segmento de red y la pertenencia a la organización o departamento del Según la información obtenida, un administrador puede definir cómo quiere autenticar a los usuarios en sus aplicaciones autorizadas por TI. Esto permite a las organizaciones implementar el mismo marco de políticas de autenticación en todos los recursos, incluidas las aplicaciones SaaS públicas, las aplicaciones web privadas, las aplicaciones cliente/servidor privadas y los escritorios como servicio (DaaS).

Consulte este vídeo para obtener más información:

 

Las políticas de autenticación adaptativa pueden incorporar fácilmente la lógica empresarial para crear una solución de autenticación más sólida. Esto podría incluir escenarios como:

  • Interno frente a externo: los usuarios que se conectan desde ubicaciones internas desde dispositivos gestionados pueden autenticarse con un nombre de usuario y una contraseña. Los usuarios externos en dispositivos BYO necesitarían una autenticación multifactor que incorpore un token de contraseña de un solo uso basada en tiempo (TOTP).
  • Empleado frente a contratista frente a socio: las organizaciones a menudo requieren diferentes flujos de autenticación en función de la identidad del usuario. Si es un empleado, debe autenticarse en Active Directory. Si el usuario es contratista, utilice una cuenta de GMail personal. Si el usuario es un socio, utilice una cuenta de Azure Active Directory administrada.
  • Fusiones y adquisiciones: la autenticación adaptativa puede ayudar a las organizaciones a superar los desafíos de autenticación asociados con una fusión o adquisición. La autenticación adaptativa permite a los usuarios autenticarse con su proveedor de identidad anterior a la fusión. La identidad previa a la fusión se puede utilizar para proporcionar a ZTNA acceso a los recursos autorizados de cualquiera de las organizaciones.

Acceso adaptativo

Con el acceso adaptable, las organizaciones pueden ofrecer a los usuarios acceso total, sin acceso o acceso restringido a aplicaciones SaaS, web privada y cliente/servidor privadas.

Cuando un usuario intenta acceder a un recurso autorizado, el acceso adaptativo determina cómo se alinea la solicitud actual con las condiciones definidas. Las afecciones pueden incluir una combinación de:

  • Pertenencia de usuarios o grupos
  • Tipo de dispositivo: móvil o de escritorio
  • Ubicación GEO
  • Ubicación de red
  • Postura del dispositivo basada en análisis automatizados de puntos finales

Según los resultados de las condiciones, el acceso al recurso está permitido, denegado o restringido. El acceso restringido aplica políticas de seguridad a la sesión, que pueden incluir:

Consulte este vídeo para obtener más información:

 

  • Navegador preferido: inhabilita el uso del navegador local. Usa automáticamente Workspace Browser o Secure Browser Service. Para obtener más información sobre las diferentes opciones del navegador, consulte la sección Seguridad del navegador.
  • Protección de keylogger: un riesgo que debe mitigarse cuando los usuarios finales utilizan sus dispositivos personales para trabajar es el malware. El malware Keylogger intenta filtrar y recolectar información confidencial, como credenciales de usuario o información de identificación personal. La Protección del Registrador de Teclas evita que el malware en el dispositivo de punto final capture las pulsaciones Las pulsaciones de teclas se cifran antes de que puedan ser capturadas por el malware, lo que ayuda a proteger contra el robo de contraseñas, identidades de usuarios o información de tarjetas de crédito.
  • Protección de captura de pantalla: la línea entre el uso personal y laboral en los dispositivos se ha difuminado, por lo que es común que los usuarios finales pasen de trabajar en una aplicación empresarial a un encuentro virtual con amigos o familiares en ese dispositivo. En estos escenarios, el uso compartido accidental de pantalla de datos confidenciales en la aplicación empresarial puede dar lugar a problemas significativos, especialmente para los usuarios finales de industrias altamente reguladas. La protección de captura de pantalla evita que el contenido de la pantalla de la aplicación protegida se comparta con herramientas de conferencia web, software de captura de pantalla y malware.
  • Restringir el acceso al portapapeles: Inhabilita las operaciones de cortar/copiar/pegar entre la aplicación y el portapapeles del dispositivo de punto final.
  • Restringir la impresión: Inhabilita la capacidad de imprimir desde el explorador de la aplicación.
  • Restringir navegación: Inhabilita los botones del explorador Siguiente/Volver.
  • Restringir descargas: Inhabilita la capacidad del usuario para descargar desde la aplicación SaaS.
  • Mostrar marca de agua: superpone una marca de agua basada en pantalla que muestra el nombre de usuario y la dirección IP del extremo. Si un usuario intenta imprimir o tomar una captura de pantalla, la marca de agua aparece como se muestra en la pantalla.

A continuación se ofrecen demostraciones de estas capacidades.

  Vínculos
Video de función Ver demostración: Restricciones del navegador - Próximamente vídeo
Video de función Ver demo: Protección de keylogger
Video de función Ver demostración: Protección contra la eliminación de pantalla

Single Sign-On

Con la autenticación adaptable, las organizaciones pueden proporcionar políticas de autenticación sólidas para ayudar a reducir el riesgo de que las cuentas de usuario se vean comprometidas Las capacidades de inicio de sesión único de Secure Private Access utilizan las mismas políticas de autenticación adaptativas para todas las aplicaciones SaaS, web privada y cliente/servidor.

Un único conjunto de credenciales ayuda a las organizaciones a resolver algunos desafíos relacionados con la experiencia de los usuarios y los administradores:

  • Los usuarios no tienen que recordar un nombre de usuario y una contraseña para cada aplicación
  • Los usuarios no tienen que crear contraseñas complejas para cada aplicación
  • Los usuarios no tienen que configurar/configurar claves/tokens de MFA para cada aplicación
  • Los usuarios no tienen que iniciar una conexión VPN para acceder a una aplicación web interna
  • Los administradores pueden inhabilitar el acceso a todas las aplicaciones inhabilitando la identidad principal del usuario

Una vez que el usuario se autentica con una identidad principal, la función de inicio de sesión único de Citrix Cloud utiliza aserciones SAML para cumplir automáticamente los desafíos de autenticación subsiguientes para SaaS y aplicaciones web. Hay más de 300 plantillas de SSO SAML disponibles para una configuración rápida para aplicaciones web y SaaS.

Single Sign-On

Es posible que algunas organizaciones ya se hayan estandarizado en un proveedor de SSO. Secure Private Access puede utilizar proveedores de SSO de terceros y, al mismo tiempo, aplicar políticas de acceso adaptativas en las sesiones de los usuarios.

Arquitectura conceptual de acceso privado seguro

Para obtener información adicional sobre el inicio de sesión único, consulte los siguientes documentos:

  Vínculos
Informe técnico Más información: SSO para aplicaciones SaaS
Informe técnico Más información: SSO para aplicaciones web privadas
Informe técnico Más información: Encadenamiento de IdP

Acceso a la aplicación

Secure Private Access puede crear una conexión con aplicaciones web locales sin depender de una VPN. Esta conexión sin VPN utiliza un conector implementado en las instalaciones. El conector crea un canal de control saliente para la suscripción a Citrix Cloud de la organización. Desde allí, Secure Private Access puede canalizar las conexiones a las aplicaciones web internas sin necesidad de una VPN.

Arquitectura conceptual de acceso privado seguro

Al acceder a aplicaciones SaaS y aplicaciones web privadas, Secure Private Access proporciona la conexión sin necesidad de un agente en el punto final. Sin embargo, al acceder a una aplicación cliente/servidor privada, el usuario debe tener un agente desplegado en el punto final.

Para ver la experiencia del usuario al acceder a estos diferentes tipos de recursos desde Secure Private Access, consulte las siguientes demostraciones.

  Vínculos
Video de función Ver demostración: Acceso privado a aplicaciones cliente/servidor
Video de función Ver demostración: Acceso privado a aplicaciones web
Video de función Ver demostración: Acceso público a aplicaciones SaaS

Seguridad del navegador

El acceso privado seguro permite a los usuarios finales navegar por Internet de forma segura con un navegador empresarial seguro y administrado centralmente. Cuando un usuario final lanza una aplicación web privada o SaaS, se toman varias decisiones de forma dinámica para decidir cuál es la mejor manera de ofrecer el mejor servicio a esta aplicación.

Arquitectura conceptual de acceso privado seguro

Secure Private Access ofrece las tres formas siguientes:

  • Navegador local: inicie la aplicación en el navegador local tradicional no administrado del usuario.
  • Navegador empresarial: inicie la aplicación con el Citrix Workspace Browser en el dispositivo local. Workspace Browser es un navegador preparado para empresas con restricciones de seguridad fáciles de aplicar y gestionadas de forma centralizada.
  • Navegador empresarial aislado: inicie la aplicación en una instancia de navegador virtual remota y con espacios abiertos con Citrix Secure Browser Service. El servicio utiliza el Citrix Workspace Browser y aplica las mismas restricciones de seguridad administradas de forma centralizada.
  • Navegador empresarial móvil: utiliza el visor web móvil para ofrecer un navegador empresarial seguro en los dispositivos móviles. El visor web móvil utiliza el Citrix Workspace Browser y aplica las mismas restricciones de seguridad administradas de forma centralizada.

El navegador local es la forma en que la mayoría de los usuarios y las organizaciones ofrecen aplicaciones web privadas y SaaS a los usuarios. Este enfoque confía en que el usuario y el dispositivo no accedan a datos sensibles o confidenciales. Cuando se sigue una estrategia de confianza cero, el navegador local no es una solución adecuada.

El Citrix Workspace Browser es un navegador empresarial, basado en Chrome, que se ejecuta en el dispositivo de punto final. Workspace Browser crea un entorno limitado de seguridad para la sesión web. La ejecución local proporciona a los usuarios finales el mejor rendimiento para renderizar páginas web de aplicaciones web SaaS y privadas, ya que el navegador se ve y actúa como el navegador tradicional de un usuario.

El entorno limitado seguro protege al usuario final y a la empresa contra el malware, la degradación del rendimiento, la pérdida de datos y el comportamiento no deseado del usuario final. Con Workspace Browser, las organizaciones pueden aplicar de forma centralizada políticas de acceso adaptables que limitan los registradores de pulsaciones de teclado, las capturas de pantalla, las operaciones del port

Consulte este vídeo para obtener más información:

 

El Citrix Workspace Browser incorpora las siguientes funciones de seguridad de acceso adaptable:

  • Protección keylogger
  • Protección para compartir pantalla
  • Marca de agua
  • Restricciones de
  • restricciones de impresión
  • Restricciones de
  • Restricciones del port

Citrix Secure Browser Service es un navegador empresarial aislado, alojado en la nube. El Secure Browser Service aprovecha el Citrix Workspace Browser, excepto que se ejecuta en una sesión en la nube aislada, virtualizada y temporal. El servicio de navegador alojado proporciona una forma segura de acceder a Internet y a las aplicaciones corporativas basadas en navegadores. Crea un espacio de aire entre el explorador y los usuarios, dispositivos y redes, protegiéndolos de malware peligroso.

Consulte este vídeo para obtener más información:

 

Si se aplican directivas de acceso adaptativas con restricciones de directiva establecidas, el servicio Secure Browser Service se usa automáticamente si el punto final del usuario no tiene una versión local del Citrix Workspace Browser. Secure Browser se usa a menudo en situaciones en las que la aplicación Workspace no está instalada, como quioscos o dispositivos personales.

Citrix Secure Browser Service incorpora las siguientes capacidades de seguridad de acceso adaptable:

  • Con espacio de aire\ aislado
  • Marca de agua
  • Restricciones de
  • restricciones de impresión
  • Restricciones de
  • Restricciones del port

En un dispositivo móvil, los beneficios de seguridad del Citrix Workspace Browser se siguen aplicando con el visor web móvil. La misma configuración de directiva de acceso adaptable se aplica con el Citrix Workspace Browser, pero el visor web móvil proporciona una interfaz táctil con la que los usuarios están familiarizados.

Consulte este vídeo para obtener más información:

 

El visor web móvil para la aplicación Workspace incorpora las siguientes funciones de seguridad de acceso adaptable:

  • Marca de agua
  • Restricciones de
  • restricciones de impresión
  • Restricciones de
  • Restricciones del port

Análisis de comportamiento de usuarios y experiencias (UEBA)

Los administradores necesitan visibilidad de su entorno. La necesidad de conocer las posibles amenazas, el uso y el rendimiento. Secure Private Access envía información sobre el comportamiento de los usuarios al servicio de Analytics para ayudar a las organizaciones a proteger sus aplicaciones SaaS, aplicaciones web privadas y aplicaciones cliente-servidor.

Seguridad

Citrix Analytics for Security evalúa continuamente el comportamiento de los usuarios de Secure Private Access para detectar y resolver de forma proactiva las amenazas a la seguridad. Genera puntuaciones de riesgo de los usuarios individualizadas basadas en el comportamiento de los usuarios para descubrir a los posibles usuarios de alto riesgo

Analytics for Security detecta la actividad maliciosa de los usuarios y evita daños a la empresa con acciones de corrección prescriptivas y automatizadas. La puntuación de riesgo generada se puede utilizar en Secure Private Access para automatizar los controles de seguridad, como la marca de agua, inhabilitar el acceso al portapapeles y evitar descargas con políticas de Adaptive Access.

Los administradores pueden crear indicadores de riesgo personalizados con criterios como los siguientes:

  • Hora de inicio de la aplicación
  • Hora de finalización de la aplicación
  • Acción de impresión
  • Acceso al portapapeles
  • Acceso a URL
  • Carga de datos
  • Descarga de datos

A continuación se ofrecen demostraciones de estas capacidades.

  Vínculos
Información técnica general Más información: Análisis para la seguridad
Vídeo Más información: Identidad y comportamiento riesgoso del usuario

Uso

Usage Analytics proporciona información sobre los datos de uso básicos de Secure Private Access. Los administradores obtienen la visibilidad de cómo interactúan los usuarios con el SaaS y las aplicaciones web que se están utilizando en su organización.

Los datos de uso les ayudan a comprender la adopción y participación del usuario de un producto. Las siguientes métricas pueden ayudar a los administradores a determinar si las aplicaciones son útiles o si deberían estar programadas para su retirada.

  • Número de usuarios únicos que utilizan SaaS y aplicaciones web
  • Principales usuarios de aplicaciones web y SaaS
  • Número de aplicaciones web y SaaS lanzadas
  • Principales aplicaciones web y SaaS
  • Principales dominios a los que acceden los usuarios
  • Cantidad total de datos cargados y descargados entre usuarios, aplicaciones y dominios

Casos de uso

Acceso sin VPN

Citrix Secure Private Access complementa o reemplaza las soluciones VPN existentes por una solución Zero Trust que permite el acceso de los usuarios remotos sin una VPN. Esta solución resuelve muchos desafíos al proporcionar acceso a recursos internos para usuarios externos. Con Secure Private Access hay:

  • No hay dispositivo de red que administrar, mantener y proteger, lo que reduce la expansión de los dispositivos
  • No se requiere una dirección IP pública, ya que los servicios en la nube pueden ponerse en contacto con los recursos internos a través de los conectores en la nube
  • No se requieren reglas de firewall, ya que el conector de la nube establece conexiones salientes a los servicios basados en la nube (no se requiere comunicación entrante)
  • En una implementación global, las organizaciones se enrutan/redireccionan automáticamente al servicio de acceso privado seguro óptimo, lo que simplifica en gran medida cualquier configuración requerida por la organización.
  • Sin cambios en la infraestructura del centro de datos subyacente.

Secure Private Access puede crear una conexión con aplicaciones web locales sin depender de una VPN. Esta conexión sin VPN utiliza un conector implementado en las instalaciones. El conector crea un canal de control saliente para la suscripción a Citrix Cloud de la organización. Desde allí, Secure Private Access puede canalizar las conexiones a las aplicaciones web internas y, al mismo tiempo, proporcionar SSO. El acceso sin VPN no solo mejora la seguridad y la privacidad, sino que también mejora la experiencia del usuario final.

Acceso sin VPN

  Vínculos
Video de función Ver demostración: ZTNA vs VPN - Experiencia de inicio de sesión
Video de función Ver demostración: ZTNA vs VPN - Escaneo de puertos

SSO y acceso adaptable para aplicaciones basadas en navegador

Secure Private Access ofrece políticas de acceso adaptables y de inicio de sesión único para aplicaciones web y SaaS. Con la autenticación adaptativa, las organizaciones pueden adaptar su flujo de autenticación para alinearlo con el negocio. La autenticación adaptativa protege la inversión existente en el ecosistema de identidades de una organización y facilita su migración a la nube sin necesidad de una actualización masiva de “quitar y reemplazar”.

Aunque una aplicación SaaS autorizada se considera segura, el contenido de la aplicación SaaS en realidad puede ser peligroso, lo que constituye un riesgo para la seguridad. Las políticas de acceso adaptativas proporcionan a TI una forma de hacer cumplir las políticas de seguridad en las aplicaciones web y SaaS que proporcionan a los empleados. Estas directivas protegen los datos almacenados en estas aplicaciones aplicando los siguientes controles:

  • Marca de agua
  • Restringir la navegación
  • Restringir descargas
  • Restringir el registro de teclas
  • Restringir la captura
  • Restringir impresión

Más trabajadores remotos significan más reuniones remotas y conferencias web a través de varias aplicaciones. Estas reuniones suelen requerir que los empleados compartan su pantalla, lo que abre la posibilidad de exponer datos confidenciales por error. Las restricciones de captura de pantalla y keylogger ayudan a proteger contra el malware de endpoints y los errores del usuario. Si los usuarios comparten accidentalmente datos financieros en una conferencia web, los asistentes solo verán una pantalla en blanco. Esta protección también se aplica a las herramientas de recorte más comunes, herramientas de impresión de pantalla, captura de pantalla y herramientas de grabación.

El aislamiento del explorador para el tráfico de Internet protege a los usuarios finales y las empresas de las amenazas basadas en la web. Con Workspace Browser y el Secure Browser Service, los administradores tienen la opción de acceder a los sitios en un navegador Chrome local, una instancia de Workspace Browser aislada y alojada en la nube. Con el servicio, los posibles ataques están contenidos en la nube. La ejecución de Secure Browser destruye la instancia de Workspace Browser virtualizada tras su uso Cuando se inicia una nueva sesión, el usuario recibe una nueva instancia de Workspace Browser. Las directivas controlan funciones como “Copiar y pegar” para que ningún archivo o datos pueda llegar a la red corporativa.

SSO y controles de seguridad para aplicaciones SaaS

Protección de datos corporativos y de usuarios en BYO y dispositivos de punto final no administrados

Mediante el uso de políticas de acceso y autenticación adaptables, Secure Private Access brinda a los administradores la capacidad de proteger a sus organizaciones contra la pérdida de datos y el robo de credenciales. Las políticas de acceso y autenticación adaptables son aún más críticas cuando los empleados utilizan dispositivos personales para acceder a los recursos corporativos.

Las políticas de acceso adaptables pueden habilitar las funciones de protección de captura de pantalla y keylogger La función protege a los empleados de malware inactivo que captura la pantalla o los keyloggers que pueden capturar contraseñas o información personal.

Las protecciones de captura de pantalla y keylogger funcionan controlando el acceso a llamadas API específicas del sistema operativo subyacente necesarias para capturar pantallas o pulsaciones de teclado. Estas directivas pueden proteger incluso contra las herramientas de hackers más personalizadas y diseñadas específicamente. Ayuda a proteger cualquier aplicación virtual o web que los empleados usen en los cuadros de diálogo de autenticación y Citrix Secure Private Access (lo que evita la filtración de contraseñas).

La función de protección de keylogger y captura de pantalla hace que el texto introducido por el usuario sea indescifrable al cifrarlo antes de que una herramienta de registro de teclas pueda acceder a él. Un keylogger instalado en el extremo del cliente leyendo los datos capturaría caracteres ininteligibles en lugar de las pulsaciones de teclas que el usuario está escribiendo.

Protección de datos corporativos y de usuarios en BYO y dispositivos no administrados