Configuration de Citrix Secure Private Access
-
Vous devez disposer d’un compte Citrix Cloud. Pour des instructions détaillées sur la manière de procéder, voir Inscription à Citrix Cloud.
-
Vous devez disposer du droit d’accès au service Citrix Secure Private Access. Sur l’écran Citrix Cloud, dans la section Services disponibles, cliquez sur Demander version d’évaluation.
Une fois que vous avez reçu le droit au service, la vignette est disponible dans Mes services. Cliquez sur Gérer pour accéder à l’interface utilisateur du service.
-
Pour que vos utilisateurs puissent utiliser l’espace de travail et accéder aux applications, ils doivent télécharger et utiliser l’application Citrix Workspace ou utiliser l’URL de l’espace de travail. Vous devez avoir publié quelques applications SaaS dans votre espace de travail pour tester la solution Citrix Secure Private Access. L’application Workspace peut être téléchargée depuis https://www.citrix.com/downloads. Dans la liste Find Downloads (Recherche de téléchargements), sélectionnez Application Citrix Workspace.
-
Si un pare-feu sortant est configuré, assurez-vous que l’accès aux domaines suivants est autorisé.
- *.cloud.com
- *.nssvc.net
- *.netscalergateway.net
Vous trouverez plus de détails dans Configuration du pare-feu et du proxy d’un Cloud Connector et Exigences en terme de connexion Internet.
Limitation : vous ne pouvez ajouter qu’un seul compte Workspace.
Paramètres de l’administrateur
Le diagramme suivant montre les étapes de haut niveau pour démarrer avec le service Citrix Secure Private Access.
-
Configurez l’authentification de l’utilisateur. Vous devez d’abord configurer l’espace de travail de l’utilisateur avec le fournisseur d’identité préféré de l’organisation, qui peut être Citrix identity (une identité unique avec Citrix Cloud), Active Directory, Active Directory et token ou Azure Active Directory. Pour plus d’informations sur les différentes méthodes d’authentification et leur sélection, voir Configuration de l’espace de travail et Gestion des identités et des accès.
-
Configurez l’accès de l’utilisateur aux applications SaaS et virtuelles. Pour connaître la procédure détaillée de configuration et de publication des applications SaaS, voir Prise en charge des applications SaaS.
-
Configurez le filtrage Web pour l’accès Internet à partir des applications SaaS. Si vous avez ajouté une application SaaS à partir du service Citrix Gateway, pour revenir au service Citrix Secure Private Access, cliquez sur l’icône en forme de hamburger en haut à gauche du volet de navigation. Dans la liste Mes services, sélectionnez Contrôle d’accès. Cliquez sur Configurer paramètres d’accès au contenu.
Configurer le filtrage Web pour l’accès Internet à partir des applications SaaS
Vous êtes maintenant prêt à configurer les paramètres d’accès au contenu pour les utilisateurs qui accèdent aux applications SaaS. Par exemple, un lien au sein d’une application SaaS peut pointer vers un site Web malveillant. Avec les paramètres d’accès au contenu, un administrateur peut autoriser, bloquer ou rediriger la demande d’accès à une URL de site Web ou une catégorie de site Web spécifique vers une instance de navigateur hébergée et sécurisée, empêchant ainsi les attaques par navigateur. Pour plus d’informations sur le service Remote Browser Isolation, consultez la documentation Secure Browser Standard Service sur Secure Browser Standard Service.
Remarque :
Par défaut, les clients de Secured Browser Standard Service (organisation) reçoivent par défaut 5,000 heures d’utilisation par an. Pour ajouter des heures supplémentaires, ils doivent acheter des modules Secure Browser complémentaires. Vous pouvez suivre l’utilisation du service Remote Browser Isolation. Pour plus d’informations, consultez la section Surveiller l’utilisation.
L’illustration suivante explique le flux de trafic de l’utilisateur.
Lorsqu’une demande arrive, les vérifications suivantes sont effectuées et les actions correspondantes sont exécutées :
-
La demande correspond-elle à la liste d’autorisation globale ?
-
Si elle correspond, l’utilisateur peut accéder au site Web demandé.
-
Si elle ne correspond pas, les listes de sites Web sont vérifiées.
-
-
La demande correspond-elle à la liste de sites Web configurée ?
-
Si elle correspond, la séquence suivante détermine l’action.
-
Bloquer
-
Rediriger
-
Allow
-
-
Si elle ne correspond pas, les catégories de sites Web sont vérifiées.
-
-
La demande correspond-elle à la catégorie de site Web configurée ?
-
Si elle correspond, la séquence suivante détermine l’action.
-
Bloquer
-
Rediriger
-
Allow
-
-
Si elle ne correspond pas, l’action par défaut (AUTORISER) est appliquée. L’action par défaut ne peut pas être modifiée.
-
Procédez comme suit pour configurer les paramètres de sécurité améliorés.
-
Cliquez sur Configurer l’accès au contenu.
-
Configurez le filtrage des catégories de sites Web ou des listes de sites Web
Configurer le filtrage des catégories de sites Web
La classification des sites Web restreint l’accès des utilisateurs à des catégories de sites Web spécifiques. Les administrateurs peuvent sélectionner une catégorie dans une liste prédéfinie ou personnaliser les catégories en fonction du déploiement. La liste prédéfinie permet aux organisations de filtrer le trafic Web en utilisant une base de données de classification commerciale. Cette base de données à mise à jour automatique classifie des milliards de sites Web au sein de différentes catégories, telles que réseaux sociaux, jeux d’argent, contenu pour adultes, nouveaux médias et achats. Outre la classification, chaque site Web dispose d’un score de réputation actualisé en fonction du profil de risque historique du site. Les paramètres prédéfinis sont classés comme stricts, modérés, indulgents, inexistants et personnalisés. Les administrateurs peuvent modifier les paramètres prédéfinis pour ajouter ou supprimer des catégories de sites Web.
- Des paramètres prédéfinis strictes minimisent le risque d’accéder à des sites Web non sécurisés ou malveillants. Les utilisateurs peuvent toujours accéder aux sites Web qui présentent de faibles risques. Comprend la plupart des sites Web de voyages d’affaires et de réseaux sociaux.
- Un préréglage modéré minimise le risque tout en autorisant un plus grand nombre de catégories présentant une faible probabilité d’exposition à des sites non sécurisés ou malveillants. Comprend la plupart des sites Web de voyages d’affaires, de loisirs et de réseaux sociaux.
- Le paramètre prédéfini Indulgent maximise l’accès tout en contrôlant les risques liés aux sites Web illégaux et malveillants.
- Le paramètre prédéfini Inexistant autorise toutes les catégories.
- Personnalisé permet de configurer un filtrage personnalisé des catégories.
Procédez comme suit pour configurer le filtrage des catégories de sites Web.
-
Activez Filter website categories.
-
Cliquez sur Add dans la section correspondante pour bloquer des catégories de sites Web, autoriser des catégories de sites Web ou rediriger l’utilisateur vers un navigateur sécurisé. Par exemple, pour bloquer des catégories, dans la section des catégories bloquées, cliquez sur Add.
-
Sélectionnez les catégories à bloquer dans la liste et cliquez sur Add.
-
Pour autoriser des catégories, dans la section des catégories autorisées, cliquez sur Add. Sélectionnez les catégories à autoriser dans la liste et cliquez sur Add.
-
Pour rediriger des utilisateurs vers un navigateur sécurisé, dans la section des catégories redirigées vers un navigateur sécurisé, cliquez sur Add. Sélectionnez les catégories dans la liste et cliquez sur Add.
-
Cliquez sur Enregistrer.
Configurer le filtrage des listes de sites Web
La fonctionnalité de liste de sites Web vous permet de contrôler l’accès à des sites Web spécifiques. Vous pouvez utiliser des caractères génériques, tels que *.exemple.com/*, pour contrôler l’accès à tous les domaines de ce site Web et à toutes les pages dans ce domaine. Procédez comme suit pour configurer le filtrage des listes de sites Web.
-
Activez Filter website list. Cliquez sur Add dans la section correspondante pour bloquer, autoriser ou rediriger des sites Web vers un navigateur sécurisé. Par exemple, pour bloquer des sites Web, dans la section des catégories bloquées, cliquez sur Add.
-
Entrez un site Web auquel les utilisateurs ne peuvent pas accéder et cliquez sur Add.
-
Pour autoriser des sites Web, dans la section des sites Web autorisés, cliquez sur Add. Entrez le site Web auquel les utilisateurs peuvent accéder et cliquez sur Add.
-
Pour rediriger des utilisateurs vers un navigateur sécurisé, dans la section des sites Web redirigés vers un navigateur sécurisé, cliquez sur Add. Entrez un site Web auquel les utilisateurs peuvent uniquement accéder à partir d’un navigateur hébergé par Citrix et cliquez sur Add.
-
Cliquez sur Save pour que les modifications prennent effet.