Présentation de la solution de service Secure Private Access

Aperçu de la solution

Les solutions VPN traditionnelles nécessitent que les appareils des utilisateurs finaux soient gérés, fournissent un accès au niveau du réseau et appliquent des stratégies de contrôle d’accès statiques. Citrix Secure Private Access fournit au service informatique un ensemble de contrôles de sécurité pour se protéger contre les menaces provenant des appareils BYO, donnant ainsi aux utilisateurs le choix d’accéder à leurs applications approuvées par le service informatique depuis n’importe quel appareil, qu’il soit géré ou BYO.

Citrix Secure Private Access propose une authentification adaptative, une prise en charge de l’authentification unique et des contrôles de sécurité renforcés pour les applications. Secure Private Access permet également de scanner l’appareil de l’utilisateur final avant d’établir une session à l’aide du service Posture de l’appareil. Sur la base des résultats de l’authentification adaptative ou de la posture de l’appareil, les administrateurs peuvent définir les méthodes d’authentification pour les applications.

Sécurité adaptative

L’authentification adaptative détermine le flux d’authentification adapté à la demande en cours. L’authentification adaptative permet d’identifier la position de l’appareil, l’emplacement géographique, le segment du réseau, l’appartenance à l’organisation/au département de l’utilisateur. Sur la base des informations obtenues, un administrateur peut définir la manière dont il souhaite authentifier les utilisateurs auprès de leurs applications approuvées par le service informatique. Cela permet aux entreprises de mettre en œuvre le même cadre de stratégie d’authentification sur toutes les ressources, y compris les applications SaaS publiques, les applications Web privées, les applications client-serveur privées et les ordinateurs de bureau en tant que service (DaaS). Pour plus de détails, consultez la section Sécurité adaptative.

Accès aux applications

Secure Private Access peut créer une connexion aux applications Web locales sans recourir à un VPN. Cette connexion sans VPN utilise une Appliance Connector déployée sur site. Le Connector Appliance crée un canal de contrôle sortant vers l’abonnement Citrix Cloud de l’organisation. De là, Secure Private Access peut tunneliser les connexions aux applications Web internes sans avoir besoin d’un VPN. Pour plus de détails, consultez la section Accès aux applications.

Single Sign-On

Grâce à l’authentification adaptative, les entreprises peuvent mettre en place des stratégies d’authentification strictes afin de réduire le risque de compromission des comptes utilisateurs. Les fonctionnalités d’authentification unique de Secure Private Access utilisent les mêmes stratégies d’authentification adaptative pour toutes les applications SaaS, Web privé et client-serveur. Pour plus de détails, voir Authentification unique.

Sécurité du navigateur

Secure Private Access permet aux utilisateurs finaux de naviguer en toute sécurité sur Internet à l’aide d’un navigateur d’entreprise géré et sécurisé de manière centralisée. Lorsqu’un utilisateur final lance une application Web SaaS ou privée, plusieurs décisions sont prises de manière dynamique pour décider de la meilleure façon de servir cette application. Pour plus de détails, consultez la section Sécurité du navigateur.

Posture de l’appareil

Le service Posture de l’appareil permet à un administrateur de définir des stratégies pour vérifier l’état des terminaux qui tentent d’accéder aux ressources de l’entreprise à distance. En fonction de l’état de conformité d’un terminal, le service Posture de l’appareil peut refuser l’accès ou fournir un accès restreint/complet aux applications et aux postes de travail de l’entreprise.

Lorsqu’un utilisateur final établit une connexion avec Citrix Workspace, le client Posture de l’appareil collecte des informations sur les paramètres du terminal et partage ces informations avec le service Posture de l’appareil afin de déterminer si la position du terminal répond aux exigences de la stratégie.

L’intégration du service Posture de l’appareil à Citrix Secure Private Access permet un accès sécurisé aux applications SaaS, Web, TCP et UDP où que vous soyez, grâce à la résilience et à l’évolutivité de Citrix Cloud. Pour plus de détails, consultez la section Posture de l’appareil.

Prise en charge des applications TCP et UDP

Parfois, les utilisateurs distants ont besoin d’accéder à des applications client-serveur privées dont le front-end est situé sur le terminal et le back-end dans un centre de données. Les entreprises peuvent à juste titre appliquer des stratégies de sécurité strictes concernant ces applications internes et privées, ce qui complique l’accès des utilisateurs distants à ces applications sans compromettre les protocoles de sécurité.

Le service Secure Private Access corrige les failles de sécurité TCP et UDP en permettant à ZTNA de fournir un accès sécurisé à ces applications. Les utilisateurs peuvent désormais accéder à toutes les applications privées, y compris les applications TCP, UDP et HTTPS, à l’aide d’un navigateur natif ou d’une application cliente native via le client Citrix Secure Access exécuté sur leurs machines.

Les utilisateurs doivent installer le client Citrix Secure Access sur leurs appareils clients.

• Pour Windows, la version client (22.3.1.5 et versions ultérieures) peut être téléchargée à l’adresse https://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.html.
• Pour macOS, la version client (22.02.3 et versions ultérieures) peut être téléchargée depuis l’App Store.

Pour plus de détails, consultez la section Prise en charge des applications client-serveur.

Configuration de Citrix Secure Private Access

Activez l’accès réseau Zero Trust aux applications SaaS, aux applications Web internes et aux applications TCP et UDP à l’aide de la console d’administration Secure Private Access. Cette console inclut la configuration de l’authentification adaptative, des applications telles que l’abonnement utilisateur et des stratégies d’accès adaptatives.

Configuration de l’identité et de l’authentification

Sélectionnez la méthode d’authentification permettant aux abonnés de se connecter à Citrix Workspace. Authentification adaptative est un service Citrix Cloud qui permet une authentification avancée pour les clients et les utilisateurs qui se connectent à Citrix Workspace.

Pour plus de détails, voir Configuration de l’identité et de l’authentification.

Énumérer et publier des applications

Après avoir sélectionné la méthode d’authentification, configurez les applications Web, SaaS ou TCP et UDP à l’aide de la console d’administration. Pour en savoir plus, consultez la section Ajouter et gérer des applications.

Activez des contrôles de sécurité renforcés

Pour protéger le contenu, les entreprises intègrent des stratégies de sécurité renforcées dans les applications SaaS. Chaque stratégie impose une restriction sur le navigateur Citrix Enterprise lorsque vous utilisez l’application Workspace pour ordinateur ou sur Secure Browser lorsque vous utilisez l’application Workspace Web ou mobile.

• Restreindre l’accès au presse-papiers : désactive les opérations couper/copier/coller entre l’application et le presse-papiers du système.
• Restreindre l’impression : désactive la possibilité d’imprimer depuis le navigateur Citrix Enterprise.
• Restreindre les téléchargements : désactive la possibilité pour l’utilisateur de télécharger depuis l’application.
• Restreindre les téléchargements : désactive la capacité de l’utilisateur à télécharger dans l’application.
• Afficher le filigrane : affiche un filigrane sur l’écran de l’utilisateur indiquant le nom d’utilisateur et l’adresse IP de la machine de l’utilisateur.
• Restreindre l’enregistrement des clés : protège contre les enregistreurs de clés. Lorsqu’un utilisateur tente de se connecter à l’application à l’aide du nom d’utilisateur et du mot de passe, toutes les clés sont chiffrées sur les enregistreurs de frappe. De plus, toutes les activités que l’utilisateur effectue sur l’application sont protégées contre l’enregistrement des clés. Par exemple, si les stratégies de protection des applications sont activées pour Office 365 et que l’utilisateur modifie un document Word Office 365, toutes les touches sont chiffrées dans les enregistreurs de touches.
• Restreindre la capture d’écran : désactive la possibilité de capturer les écrans à l’aide de l’un des programmes ou applications de capture d’écran. Si un utilisateur tente de capturer l’écran, un écran vide est capturé.

Pour plus de détails, voir Configuration d’une stratégie d’accès.

Activer le navigateur Citrix Enterprise pour les lancements d’applications

Secure Private Access permet aux utilisateurs finaux de lancer leurs applications à l’aide du Citrix Enterprise Browser (CEB). CEB est un navigateur basé sur Chromium intégré à l’application Citrix Workspace qui permet une expérience d’accès fluide et sécurisée pour accéder aux applications Web et SaaS dans Citrix Enterprise Browser.

CEB peut être configuré comme navigateur préféré ou comme navigateur professionnel pour toutes les applications Web hébergées en interne ou les applications SaaS avec des stratégies de sécurité. CEB permet aux utilisateurs d’ouvrir tous les domaines d’applications SaaS/Web configurés dans un environnement sécurisé et contrôlé.

Activer le navigateur Citrix Enterprise

Les administrateurs peuvent utiliser le service GACS (Global App Configuration Service) pour configurer Citrix Enterprise Browser comme navigateur par défaut afin de lancer des applications Web et SaaS depuis l’application Citrix Workspace.

Configuration via l’API :

Pour configurer, voici un exemple de fichier JSON permettant d’activer Citrix Enterprise Browser pour toutes les applications, par défaut :

"settings": [
                  {
                     "name": "open all apps in ceb",
                     "value": "true"
                  }
                  ]
<!--NeedCopy-->

La valeur par défaut est true.

Configuration via l’interface graphique :

Sélectionnez les appareils pour lesquels CEB doit être défini comme navigateur par défaut pour le lancement de l’application.

Pour plus de détails, consultez Gérer le navigateur Citrix Enterprise via GACS.

Configurer les balises pour un accès contextuel à l’aide de Posture de l’appareil

Après la vérification de la posture de l’appareil, celui-ci est autorisé à se connecter et il est classé comme conforme ou non conforme. Cette classification est mise à disposition sous forme de balises pour le service Secure Private Access et est utilisée pour fournir un accès contextuel en fonction de la position de l’appareil.

1. Connectez-vous à Citrix Cloud.
2. Dans la vignette Accès privé sécurisé, cliquez sur Gérer .
3. Cliquez sur Stratégies d’accès dans le volet de navigation de gauche, puis cliquez sur Créer une stratégie.
4. Entrez le nom et la description de la stratégie.
5. Dans Applications, sélectionnez l’application ou l’ensemble d’applications auxquelles cette stratégie doit être appliquée.
6. Cliquez sur Créer une règle pour créer des règles pour la stratégie.
7. Entrez le nom de la règle et une brève description de la règle, puis cliquez sur Suivant.
8. Sélectionnez les conditions des utilisateurs. La condition Utilisateurs est une condition obligatoire à remplir pour permettre aux utilisateurs d’accéder aux applications.
9. Cliquez sur + pour ajouter la condition de posture de l’appareil.
10. Sélectionnez Contrôle de la posture de l’appareil et l’expression logique dans le menu déroulant.

11. Entrez l’une des valeurs suivantes dans les balises personnalisées :

    

    • Conforme  : pour les appareils conformes
    • Non conforme - Pour les appareils non conformes
12. Cliquez sur Suivant.

13. Sélectionnez les actions qui doivent être appliquées en fonction de l’évaluation de la condition, puis cliquez sur Suivant.

    La page Résumé affiche les détails de la stratégie.

14. Vérifiez les détails et cliquez sur Terminer .

Remarque :

Toute application Secure Private Access qui n’est pas marquée comme conforme ou non conforme dans la stratégie d’accès est traitée comme l’application par défaut et est accessible sur tous les terminaux, quelle que soit la position de l’appareil.

Expérience pour l’utilisateur final

L’administrateur Citrix a le pouvoir d’étendre le contrôle de sécurité à l’aide de Citrix Secure Private Access. L’application Citrix Workspace est un point d’entrée permettant d’accéder à toutes les ressources en toute sécurité. Les utilisateurs finaux peuvent accéder à des applications virtuelles, à des bureaux, à des applications SaaS et à des fichiers via l’application Citrix Workspace. Avec Citrix Secure Private Access, les administrateurs peuvent contrôler la manière dont l’utilisateur final accède à une application SaaS via l’interface utilisateur Web de Citrix Workspace Experience ou le client de l’application Citrix Workspace native.

Lorsque l’utilisateur lance l’application Workspace sur le terminal, il voit ses applications, ses bureaux, ses fichiers et ses applications SaaS. Si un utilisateur clique sur l’application SaaS alors que la sécurité renforcée est désactivée, l’application s’ouvre dans un navigateur standard installé localement. Si l’administrateur a activé la sécurité renforcée, les applications SaaS s’ouvrent sur le CEB au sein de l’application Workspace. L’accessibilité aux hyperliens dans les applications SaaS et les applications Web est contrôlée sur la base des stratégies des sites Web non autorisés. Pour plus de détails sur les sites Web non autorisés, voir Sites Web nonautorisés.

De même, avec le portail Web Workspace, lorsque la sécurité renforcée est désactivée, les applications SaaS sont ouvertes dans un navigateur standard installé en mode natif. Lorsque la sécurité renforcée est activée, les applications SaaS sont ouvertes dans le navigateur distant sécurisé. Les utilisateurs peuvent accéder aux sites Web dans les applications SaaS conformément aux stratégies des sites Web non autorisés. Pour plus de détails sur les sites Web non autorisés, voir Sites Web nonautorisés.

Tableau d’analyse

Le tableau de bord du service Secure Private Access affiche les diagnostics et les données d’utilisation des applications SaaS, Web, TCP et UDP. Le tableau de bord fournit aux administrateurs une visibilité complète sur leurs applications, leurs utilisateurs, l’état de santé de leurs connecteurs et l’utilisation de la bande passante en un seul endroit pour la consommation. Ces données sont récupérées auprès de Citrix Analytics. Les indicateurs sont généralement classés dans les catégories suivantes.

• Journalisation et résolution des problèmes
• Utilisateurs
• Applications
• Stratégies d’accès

Pour plus de détails, voir Tableau de bord.

Résoudre les problèmes liés aux applications

Le graphique des journaux de diagnostic du tableau de bord Secure Private Access fournit une visibilité sur les journaux liés à l’authentification, au lancement des applications, à l’énumération des applications et aux journaux de position des appareils.

• Code d’information : un code d’information est associé à certains événements du journal, tels que les échecs. En cliquant sur le code d’information, les utilisateurs sont redirigés vers les étapes de résolution ou vers des informations supplémentaires sur cet événement.
• ID de transaction : les journaux de diagnostic affichent également un identifiant de transaction qui met en corrélation tous les journaux Secure Private Access pour une demande d’accès. Plusieurs journaux peuvent être générés pour une demande d’accès à une application, en commençant par l’authentification, puis l’énumération des applications dans l’application Workspace, puis l’accès à l’application elle-même. Tous ces événements génèrent leurs propres journaux. L’ID de transaction est utilisé pour corréler tous ces journaux. Vous pouvez filtrer les journaux de diagnostic à l’aide de l’ID de transaction pour rechercher tous les journaux liés à une demande d’accès à une application particulière. Pour plus de détails, voir Résoudre les problèmes liés à Secure Private Access.

Exemples de cas d’utilisation

• Accédez aux applications internes (Web/TCP/UDP) en utilisant une approche Zero-Trust sans ouvrir le trafic entrant sur le pare-feu
• Passez à une approche Zero-Trust en découvrant les applications auxquelles les utilisateurs accèdent
• Restreindre l’accès aux applications SaaS au Citrix Enterprise Browser
• Restreindre l’accès aux applications SaaS aux adresses IP publiques appartenant à l’entreprise
• Sécurité renforcée pour les applications SaaS gérées par Azure
• Sécurité renforcée pour Office 365
• Sécurité renforcée pour les applications Okta

Articles de référence

• Présentation de Secure Private Access
• Dossier technique
• Architecture de référence
• Citrix Enterprise Browser
• Gérer Citrix Enterprise Browser via GACS
• Workflow guidé par l’administrateur pour faciliter l’intégration et la configuration

Vidéos de référence

• Accès réseau Zero Trust (ZTNA) aux applications
• Accès privé aux applications Web avec Citrix Secure Private Access
• Accès public aux applications SaaS avec Citrix Secure Private Access
• Accès privé aux applications client-serveur avec Citrix Secure Private Access
• Protection des enregistreurs de frappe avec Citrix Secure Private Access
• Protection contre le partage d’écran avec Citrix Secure Private Access
• Expérience utilisateur final avec Citrix Secure Private Access
• Expérience de connexion ZTNA ou VPN avec Citrix Secure Private Access
• Scans des ports ZTNA par rapport aux ports VPN avec Citrix Secure Private Access

Nouveautés en matière de produits connexes

• Citrix Enterprise Browser : à propos de cette version
• Citrix Workspace : nouveautés
• Citrix DaaS : nouveautés
• Client Citrix Secure Access Clients NetScalerGateway