Citrix Secure Private Access

Contrôles d’accès et de sécurité adaptatifs pour les applications Web, TCP et SaaS d’entreprise

Dans les situations actuelles en constante évolution, la sécurité des applications est essentielle pour toutes les entreprises. La prise de décisions de sécurité contextuelles, puis l’activation de l’accès aux applications, réduisent les risques associés tout en autorisant l’accès aux utilisateurs.

La fonction d’accès adaptatif du service Citrix Secure Private Access offre une approche d’accès zero-trust complète qui fournit un accès sécurisé aux applications. L’accès adaptatif permet aux administrateurs de fournir un accès de niveau granulaire aux applications auxquelles les utilisateurs peuvent accéder en fonction du contexte. Le terme « contexte » désigne ici :

  • Utilisateurs et groupes (utilisateurs et groupes d’utilisateurs)
  • Appareils (ordinateurs de bureau ou appareils mobiles)
  • Localisation (géolocalisation ou emplacement réseau)
  • État de sécurité de l’appareil (vérification de l’état de sécurité de l’appareil)
  • Risque (score de risque utilisateur)

La fonction d’accès adaptatif applique des stratégies adaptatives aux applications auxquelles vous accédez. Ces stratégies déterminent les risques en fonction du contexte et prennent des décisions d’accès dynamiques pour accorder ou refuser l’accès aux applications Web d’entreprise, TCP ou SaaS.

Fonctionnement

Pour accorder ou refuser l’accès aux applications, les administrateurs créent des stratégies basées sur les utilisateurs, les groupes d’utilisateurs, les appareils à partir desquels les utilisateurs accèdent aux applications, l’emplacement (pays ou emplacement réseau) depuis lequel l’utilisateur accède à l’application et le score de risque de l’utilisateur.

Les stratégies d’accès adaptatives ont priorité sur les stratégies de sécurité spécifiques à l’application qui sont configurées lors de l’ajout du SaaS ou d’une application Web dans le service Secure Private Access. Les contrôles de sécurité au niveau de l’application sont écrasés par les stratégies d’accès adaptatives.

Les stratégies d’accès adaptatives sont évaluées selon trois scénarios :

  • Au cours d’une énumération d’applications Web, TCP ou SaaS à partir du service Secure Private Access : si l’accès à l’application est refusé à cet utilisateur, celui-ci ne peut pas voir cette application dans l’espace de travail.

  • Lors du lancement de l’application : après avoir énuméré l’application et si la stratégie adaptative est modifiée pour refuser l’accès, les utilisateurs ne peuvent pas lancer l’application même si l’application a été énumérée précédemment.

  • Lorsque l’application est ouverte dans un navigateur intégré ou un Secure Browser Service : le navigateur intégré applique certains contrôles de sécurité. Ces contrôles sont appliqués par le client. Lorsque le navigateur intégré est lancé, le serveur évalue les stratégies adaptatives pour l’utilisateur et renvoie ces stratégies au client. Le client applique ensuite les stratégies localement dans le navigateur intégré.

Création d’une stratégie d’accès adaptative

  1. Sur la vignette du service Secure Private Access, cliquez sur Gérer.
  2. Sur la page d’accueil de Secure Private Access, cliquez sur Stratégies d’accès dans la page de navigation.
  3. Cliquez sur Créer une stratégie.

    Remarque :

    Pour les nouveaux utilisateurs, la page d’accueil Stratégies d’accès n’affiche aucune stratégie. Cliquez sur Créer une stratégie pour créer une stratégie. Une fois que vous avez créé une stratégie, vous pouvez la voir répertoriée ici.

Ajouter une stratégie

  1. Pour ces applications  : ce champ répertorie toutes les applications qu’un administrateur a configurées dans le service Secure Private Access. Les administrateurs peuvent sélectionner les applications auxquelles cette stratégie adaptative doit être appliquée.

  2. Si la condition suivante est remplie  : sélectionnez le contexte pour lequel cette stratégie d’accès adaptative doit être évaluée.

    Important :

    la condition Utilisateurs ou groupes est une condition obligatoire à remplir pour permettre l’accès aux applications. L’abonnement aux applications à lui seul ne permet pas à vos clients d’accéder aux applications.

    Stratégie

  3. Cliquez sur Ajouter une condition pour ajouter des conditions supplémentaires, en fonction de vos besoins. Une opération ET est effectuée sur les conditions, puis la stratégie d’accès adaptative est évaluée.

    Refuser ou autoriser l'accès

  4. Procédez ensuite comme suit : si la condition définie correspond, les administrateurs peuvent sélectionner l’action à effectuer pour les utilisateurs accédant à l’application.
    • Autoriser l’accès  : autorise l’accès sans aucune condition prédéfinie. Remarque : cette option s’applique uniquement aux applications basées sur navigateur.
    • Refuser l’accès : lorsque cette option est sélectionnée, l’accès aux applications est refusé. Toutes les autres options sont grisées.
    • Autoriser l’accès avec restrictions  : sélectionnez l’une des combinaisons de stratégies de sécurité prédéfinies. Ces combinaisons de stratégies de sécurité sont prédéfinies dans le système. Les administrateurs ne peuvent pas modifier ou ajouter d’autres combinaisons. Lorsque vous choisissez Autoriser l’accès avec restrictions, vous pouvez sélectionner les contrôles de sécurité selon vos besoins. Les restrictions de sécurité suivantes peuvent être activées pour l’application.

      • Restreindre l’accès au presse-papiers : désactive les opérations de couper/copier/coller entre l’application et le presse-papiers système
      • Restreindre l’impression : désactive la possibilité d’imprimer depuis le navigateur de l’application Citrix Workspace
      • Restreindre la navigation : désactive les boutons du navigateur de l’application suivante/arrière
      • Restreindre les téléchargements : désactive la possibilité de téléchargement de l’utilisateur à partir de l’application
      • Limiter les téléchargements : désactive la capacité de l’utilisateur à télécharger dans l’application
      • Afficher le filigrane : affiche un filigrane sur l’écran de l’utilisateur affichant le nom d’utilisateur et l’adresse IP de la machine de l’utilisateur
      • Restreindre l’enregistrement des clés : protège contre les enregistreurs de frappe. Lorsqu’un utilisateur tente de se connecter à l’application à l’aide du nom d’utilisateur et du mot de passe, toutes les clés sont chiffrées sur les enregistreurs de frappe. De plus, toutes les activités que l’utilisateur effectue sur l’application sont protégées contre l’enregistrement des clés. Par exemple, si les stratégies de protection des applications sont activées pour Office365 et que l’utilisateur modifie un document Word Office365, toutes les frappes sont chiffrées sur les enregistreurs de frappe.
      • Restreindre la capture d’écran : désactive la possibilité de capturer les écrans à l’aide de l’un des programmes ou applications de capture d’écran. Si un utilisateur tente de capturer l’écran, un écran vide est capturé.

    Remarque :

    Pour les applications TCP, les options Autoriser l’accès et Refuser l’accès sont disponibles.

    Autoriser ou refuser l'accès

  5. Dans Nom de la stratégie, entrez le nom de la stratégie.
  6. Activez l’interrupteur à bascule pour activer la stratégie.
  7. Cliquez sur Créer une stratégie.

Accès adaptatif en fonction des utilisateurs ou des groupes

Pour configurer une stratégie d’accès adaptative basée sur des utilisateurs ou des groupes, utilisez la procédure Créer une stratégie d’accès adaptative avec les modifications suivantes.

  • Dans Si la condition suivante est remplie, sélectionnez Utilisateurs ou groupes.

  • Si vous avez configuré plusieurs utilisateurs ou groupes, sélectionnez l’une des options suivantes selon vos besoins.
    • Correspond à l’un des  : les utilisateurs ou les groupes correspondent à l’un des utilisateurs ou groupes configurés dans la base de données.
    • Ne correspond à aucun — Les utilisateurs ou les groupes ne correspondent pas aux utilisateurs ou aux groupes configurés dans la base de données.
  • Terminez la configuration de la stratégie.

Stratégie d'accès adaptative basée sur le groupe d'utilisateurs

Accès adaptatif basé sur les appareils

Pour configurer une stratégie d’accès adaptative en fonction de la plate-forme (appareil mobile ou ordinateur de bureau) à partir de laquelle l’utilisateur accède à l’application, utilisez la procédure Créer une stratégie d’accès adaptatif avec les modifications suivantes.

  • Dans Si la condition suivante est remplie, sélectionnez Ordinateur de bureau ou Appareil mobile.
  • Terminez la configuration de la stratégie.

Stratégie d'accès adaptative basée sur l'appareil

Accès adaptatif en fonction de l’emplacement

Un administrateur peut configurer la stratégie d’accès adaptative en fonction de l’emplacement depuis lequel l’utilisateur accède à l’application. L’emplacement peut être le pays depuis lequel l’utilisateur accède à l’application ou l’emplacement réseau de l’utilisateur. L’emplacement réseau est défini à l’aide d’une plage d’adresses IP ou d’adresses de sous-réseau.

Pour configurer une stratégie d’accès adaptative en fonction de l’emplacement, utilisez la procédure Créer une stratégie d’accès adaptative avec les modifications suivantes.

  • Dans Si la condition suivante est remplie, sélectionnez Géolocalisation ou Emplacement réseau.
  • Si vous avez configuré plusieurs géolocalisations ou emplacements réseau, sélectionnez l’une des options suivantes selon vos besoins.
    • Correspond à l’un des — Les emplacements géographiques ou les emplacements réseau correspondent à l’un des emplacements géographiques ou des emplacements réseau configurés dans la base de données.
    • Ne correspond à aucun — Les emplacements géographiques ou les emplacements réseau ne correspondent pas aux emplacements géographiques ou aux emplacements réseau configurés dans la base de données.

    Remarque :

    • Si vous sélectionnez Géolocalisation, l’adresse IP source de l’utilisateur est évaluée avec l’adresse IP de la base de données du pays. Si l’adresse IP de l’utilisateur correspond au pays indiqué dans la stratégie, la stratégie est appliquée. Si le pays ne correspond pas, cette stratégie adaptative est ignorée et la stratégie adaptative suivante est évaluée.

    • Pour Emplacement réseau, vous pouvez sélectionner un emplacement réseau existant ou créer un emplacement réseau. Pour créer un nouvel emplacement réseau, cliquez sur Créer un emplacement réseau.

    Nouvel emplacement réseau d'accès adaptatif

  • Terminez la configuration de la stratégie.

Stratégie d'accès adaptative en fonction de l'emplacement

Accès adaptatif en fonction de l’état de sécurité de l’appareil

Le service Citrix Secure Private Access fournit un accès adaptatif basé sur l’état de l’appareil à l’aide d’une passerelle Citrix Gateway sur site ou d’une passerelle Citrix hébergée par Citrix (authentification adaptative) en tant que fournisseur d’identité auprès de Citrix Workspace. Les applications Web d’entreprise, TCP ou SaaS peuvent être énumérées ou masquées à l’utilisateur final en fonction des résultats de la vérification EPA et de la stratégie d’accès intelligente configurée.

Remarque : L’authentification adaptative est un service Citrix Cloud qui permet l’authentification avancée pour les utilisateurs qui se connectent à Citrix Workspace. L’authentification adaptative fournit une instance de passerelle exécutée dans le cloud et vous pouvez configurer le mécanisme d’authentification pour cette instance, le cas échéant.

Conditions préalables

Comprendre le flux des événements

  • L’utilisateur entre l’URL de l’espace de travail dans un navigateur ou se connecte à un magasin d’espace de travail à l’aide d’une application Citrix Workspace native.
  • L’utilisateur est redirigé vers Citrix Gateway configuré en tant que fournisseur d’identité.
  • L’utilisateur est invité à autoriser la réalisation d’un contrôle EPA sur l’appareil.
  • Citrix Gateway effectue une vérification EPA après que l’utilisateur a consenti à analyser l’appareil et écrit les balises d’accès intelligentes dans le CAS par rapport à l’ID de l’appareil.
  • L’utilisateur se connecte à Citrix Workspace à l’aide du fournisseur d’identité Citrix Gateway et du mécanisme d’authentification configuré.
  • Citrix Gateway fournit des informations de stratégie d’accès intelligent à Citrix Workspace et Secure Private Access.
  • L’utilisateur est redirigé vers la page d’accueil de Citrix Workspace.
  • Citrix Workspace traite les balises d’accès intelligentes fournies par Citrix Gateway configuré en tant que fournisseur d’identité, puis détermine les applications qui doivent être énumérées et affichées à l’utilisateur final.

Scénario de configuration : énumération d’applications Web, TCP ou SaaS d’entreprise basée sur des analyses de l’état de l’appareil

Étape 1 : Configuration des stratégies d’accès intelligent à l’aide de l’interface graphique Citrix Gateway

  1. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Smart Access > Profils.
  2. Dans l’onglet Profils, cliquez sur Ajouter pour créer un profil.

Créer un profil pour la vérification de l'état de sécurité de l'appareil

  1. Dans la zone Balises, saisissez le nom de la balise Smart Access. Il s’agit de la balise que vous devez entrer manuellement lors de la création de la stratégie d’accès adaptative.
  2. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Smart Access > Stratégies.
  3. Cliquez sur Ajouter pour créer une stratégie.

Créer une stratégie pour la vérification de l'état de sécurité de l'appareil

  1. Dans Action, sélectionnez le profil créé précédemment et cliquez sur Ajouter.
  2. Dans Expression, créez l’expression de stratégie et cliquez sur OK.

Étape 2 : créer une stratégie d’accès adaptative

Suivez les étapes détaillées dans la section Procédure de création d’une stratégie d’accès adaptative avec les modifications suivantes.

Conditions de correspondance d'accès adaptatives

  • Dans Si la condition suivante est remplie, sélectionnez Vérification de l’état de sécurité de l’appareil.
  • Si vous avez configuré plusieurs balises d’accès intelligentes, sélectionnez l’une des options suivantes selon vos besoins.
    • Correspond à tous : l’ID de l’appareil correspond à toutes les balises Smart Access écrites par rapport à l’ID de l’appareil lorsque vous vous connectez à Citrix Workspace.
    • Correspond à l’un des éléments : l’ID de l’appareil correspond à l’une des balises écrites par rapport à l’ID de l’appareil lorsque vous vous connectez à Citrix Workspace.
    • Ne correspond à aucun  : l’ID de l’appareil ne correspond pas à l’ID de l’appareil lorsque vous vous connectez à Citrix Workspace.
  • Dans la zone Entrer des balises personnalisées, tapez manuellement la balise Smart Access. Ces balises doivent être similaires aux balises configurées dans Citrix Gateway (Créer un profil d’accès intelligent d’authentification > Balises).

Points à noter

  • L’évaluation de l’état de sécurité se produit uniquement lorsque vous vous connectez à Citrix Workspace (uniquement lors de l’authentification).
  • Dans la version actuelle, l’évaluation continue de l’état de sécurité de l’appareil n’est pas effectuée. Si le contexte de l’appareil change après que l’utilisateur se connecte à Citrix Workspace, les conditions de stratégie n’ont aucun impact sur l’évaluation de l’état de sécurité de l’appareil.
  • Device ID est un GUID généré pour chaque machine de l’utilisateur final. L’ID de l’appareil peut changer si le navigateur utilisé pour accéder à Citrix Workspace est modifié, si les cookies sont supprimés ou si le mode incognito/privé est utilisé. Toutefois, ce changement n’a aucune incidence sur l’évaluation de la stratégie.

Accès adaptatif basé sur le score de risque utilisateur

Important :

Cette fonctionnalité n’est disponible pour les clients que s’ils disposent des droits Security Analytics.

Le score de risque utilisateur est un système de notation permettant de déterminer les risques associés aux activités des utilisateurs dans votre entreprise. Les indicateurs de risque sont attribués aux activités des utilisateurs qui semblent suspectes ou qui peuvent constituer une menace pour la sécurité de votre organisation. Les indicateurs de risque sont déclenchés lorsque le comportement de l’utilisateur s’écarte de la normale. Chaque indicateur de risque peut être associé à un ou plusieurs facteurs de risque. Ces facteurs de risque vous aident à déterminer le type d’anomalies dans les événements utilisateur. Les indicateurs de risque et les facteurs de risque associés déterminent le score de risque d’un utilisateur. Le score de risque est calculé périodiquement et il y a un délai entre l’action et la mise à jour du score de risque. Pour plus de détails, consultez la section Indicateurs de risque utilisateur Citrix

Pour configurer une stratégie d’accès adaptative avec score de risque, utilisez la procédure Créer une stratégie d’accès adaptative avec les modifications suivantes.

  • Dans Si la condition suivante est remplie, sélectionnez Score de risque utilisateur.

  • Configurez la stratégie d’accès adaptative en fonction des trois types de conditions de risque utilisateur suivants.

    • Tags prédéfinis récupérés depuis le service CAS

      • FAIBLE 1—69
      • MOYEN 70—89
      • HAUT 90—100

      Remarque :

      Un score de risque de 0 n’est pas considéré comme ayant un niveau de risque « Faible ».

    • Types de seuil
      • Supérieur ou égal à
      • Inférieur ou égal à
    • Une plage de numéros
      • Gamme

État du score de risque

Cote de risque

Contrôles d’accès et de sécurité adaptatifs pour les applications Web, TCP et SaaS d’entreprise