Architecture de référence : accès privé sécurisé

Public

Ce document s’adresse aux professionnels techniques, aux décideurs informatiques, aux partenaires et aux consultants en sécurité de Citrix qui souhaitent explorer et adopter le service Citrix Cloud Secure Private Access. Le lecteur doit avoir une compréhension de base des produits Citrix, de la sécurité et des frameworks Citrix Cloud. Pour plus d’informations sur Citrix Cloud et ses services, consultez la documentation produit officielle de Citrix Cloud.

Objectif du présent document

Ce document fournit une présentation technique et une architecture de Citrix Secure Private Access qui fournit un accès conditionnel aux applications cloud et à la navigation Internet, améliorant ainsi la sécurité globale et la conformité de l’entreprise. Citrix Secure Private Access combine des éléments de plusieurs services Citrix Cloud pour offrir une expérience intégrée aux utilisateurs finaux et aux administrateurs.

Le document guide les administrateurs dans la mise à disposition d’un espace de travail numérique sécurisé avec une solution consolidée utilisant Citrix Secure Private Access intégré à plusieurs services Citrix Cloud, y compris le service Citrix Gateway et le Secure Browser Service. Pour surveiller le comportement et l’activité des utilisateurs, Citrix Secure Private Access s’intègre au service Citrix Analytics.

Contrôles de sécurité et atténuation

Dans le monde des affaires d’aujourd’hui, les données utilisateur sont l’un des biens les plus précieux, et les entreprises y trouvent toujours plus de valeur. La plupart des violations qui se produisent dans les entreprises sont dues à des contrôles de sécurité inadéquats, à des privilèges excessifs accordés aux utilisateurs internes et à une dépendance excessive aux contrôles de sécurité basés sur le réseau. De nombreuses entreprises n’ont malheureusement pas vraiment adopté une approche approfondie et sécurisée pour renforcer leur environnement.

De nombreux services informatiques au sein des entreprises ne disposent pas d’une solution permettant de contrôler l’accès des utilisateurs qui accèdent à un nombre toujours croissant d’applications SaaS d’entreprise. Outre les risques de sécurité liés à la possibilité que les données d’entreprise interagissent avec des applications SaaS non gérées, la productivité des utilisateurs est perdue en raison de la connexion à plusieurs applications. De plus, le fait de devoir se souvenir de plusieurs mots de passe peut souvent entraîner de mauvaises habitudes de mot de passe, comme l’utilisation d’un même mot de passe pour plusieurs sites.

Naviguer sur Internet représente un autre risque pour les entreprises aujourd’hui. Selon les experts en sécurité, la plupart des attaques exploitent les vulnérabilités des sites Web, des navigateurs et des plug-ins de navigateur. En réponse, certaines organisations interdisent même complètement la navigation sur Internet, ce qui peut nuire gravement à la productivité.

Certaines applications Web et SaaS nécessitent une certaine version de navigateur ou un plug-in pour fonctionner correctement. Dans le paysage des navigateurs en constante évolution, garantir la convivialité des applications Web et SaaS d’entreprise revient rapidement à une tâche d’assistance gourmande en ressources.

De nombreux services informatiques ne disposent pas d’une stratégie entièrement définie pour la gestion des applications SaaS, ce qui entraîne des risques importants en matière de sécurité et de conformité. D’autres ont une approche fragmentée qui peut aboutir à des solutions ponctuelles multiples, telles que :

  • Déploiement d’une solution d’authentification unique : cette solution permet de rationaliser l’expérience utilisateur et peut inclure une authentification multifacteur, mais ces solutions ne disposent généralement pas de contrôles de stratégie granulaires sur les applications une fois que les utilisateurs se connectent.

  • Déploiement du filtrage Web pour contrôler ou arrêter la navigation externe : cette solution aide les utilisateurs à se protéger contre les visites de sites Web malveillants. Cependant, de nombreuses fonctionnalités ne respectent pas les stratégies de sécurité pour les applications SaaS, ce qui amène de nombreux clients à déployer plusieurs solutions en plus d’une passerelle Web.

  • Publication de navigateurs pour chaque application SaaS : La publication d’un navigateur Web avec Citrix Virtual Apps and Desktops est une méthode éprouvée pour contrôler l’accès aux applications SaaS non autorisées. Cependant, elle nécessite une autre ressource informatique pour être gérée et il ne s’agit pas de la même expérience utilisateur que la connexion directe à une application SaaS via un navigateur.

  • Concéder la gestion des applications SaaS au contrôle départemental au sein de l’entreprise : cette approche ouvre des failles en matière de sécurité et de conformité, et laisse passer à côté des occasions de comprendre le comportement des utilisateurs et l’utilisation des applications. Pourtant, elle constitue souvent la stratégie par défaut du service informatique face à des ressources limitées.

Citrix a mis au point un meilleur moyen de sécuriser l’accès aux applications SaaS et Web approuvées avec une approche centrée sur l’utilisateur, par opposition aux méthodes traditionnelles qui ne tiennent pas compte de la sécurité. Citrix Workspace fournit un accès contextuel et sécurisé au SaaS, au Web et aux postes de travail et applications virtuels, réduit l’exposition aux menaces internes et externes, sécurise la collaboration sur le contenu et fournit des analyses du comportement des utilisateurs et des informations proactives sur la sécurité.

AC-Image-1

Le diagramme précédent illustre l’environnement Citrix traditionnel dans lequel les points de terminaison se connectent via Citrix ADC pour accéder à leurs ressources. Ces ressources, notamment les applications, les postes de travail et les données, sont accessibles sur site, et certaines ressources externes sont accessibles via Internet, y compris les applications SaaS. Les utilisateurs accèdent à ces ressources externes en toute sécurité via Secure Gateway et les services de filtrage Web.

L’application Workspace est un point d’entrée unique pour accéder aux ressources depuis n’importe quel appareil. Il fournit des fonctionnalités uniques aux utilisateurs finaux avec une sécurité renforcée grâce à l’utilisation d’un moteur de navigateur intégré. Un moteur réseau intégré à l’application Workspace optimise le trafic réseau et fournit un VPN SSL en plus des fonctionnalités Micro VPN pour certaines applications. Les utilisateurs finaux sont connectés via Citrix ADC qui fournit des fonctionnalités de gestion des identités et des accès.

La surveillance de sécurité permet de surveiller le comportement des utilisateurs finaux et de détecter les menaces au sein du réseau. La sécurité des données inclut la DLP et l’IRM pour garder le contrôle des données lorsque les utilisateurs travaillent avec des fichiers ou les partagent. Le filtrage Web Citrix Cloud, Citrix Analytics et les services Citrix Gateway offrent une solution consolidée pour fournir un espace de travail numérique sécurisé aux utilisateurs finaux.

Citrix Secure Private Access

Citrix Secure Private Access combine les fonctionnalités d’un accès sécurisé instantané aux applications SaaS et Web via l’authentification unique (SSO), ainsi que des contrôles d’applications basées sur le navigateur et le cloud, des stratégies de filtrage Web et des analyses intégrées du comportement des utilisateurs. Citrix Secure Private Access va au-delà des fonctionnalités SSO traditionnelles en introduisant le contrôle des applications cloud, un ensemble de contrôles de sécurité améliorés pour les applications Web SaaS et d’entreprise fournissant un accès conditionnel aux applications cloud et protégeant les actions des utilisateurs sur la base de stratégies d’accès gérées par l’administrateur. Cette solution améliore la position globale de l’organisation en matière de sécurité et de conformité. L’expérience utilisateur reste transparente et intégrée, car les applications SaaS et Web sont accessibles en même temps que leurs applications mobiles, leurs applications virtuelles et leurs postes de travail en tant que partie intégrante de Citrix Workspace.

Citrix Secure Private Access combine des éléments de plusieurs services Citrix Cloud pour offrir une expérience intégrée aux utilisateurs finaux et aux administrateurs.

Fonctionnalité Service/Composant fournissant la fonctionnalité
Interface utilisateur cohérente pour accéder aux applications Workspace Experience/WS App
SSO vers SaaS et applications Web Norme de service Citrix Gateway
Filtrage Web et catégorisation Service de filtrage Web
Politiques de sécurité améliorées pour le SaaS Contrôle des applications cloud
Navigation sécurisée Secure Browser Service
Visibilité sur l’accès au site Web et les comportements Citrix Analytics

Pourquoi choisir Citrix Secure Private Access ?

La sécurité des données est définie par la nécessité de garantir l’intégrité et la confidentialité des données et de protéger la propriété intellectuelle de l’entreprise. Aujourd’hui, les organisations sont confrontées à divers défis tels que :

  • Plusieurs produits ponctuels difficiles à gérer et dotés d’infrastructures stratégiques différentes
  • Fournir un accès distant sécurisé aux utilisateurs finaux pour accéder aux informations de l’entreprise
  • Protéger la propriété intellectuelle stockée dans le cloud et les applications SaaS tout en restant conforme
  • Gagner de la visibilité dans les applications cloud et SaaS après SSO et obtenir des évaluations des risques

Citrix Secure Private Access aide les administrateurs informatiques et de sécurité à gérer l’accès autorisé des utilisateurs finaux aux applications Web SaaS et hébergées par l’entreprise. Les identités et les attributs utilisateur sont utilisés pour déterminer les privilèges d’accès et les stratégies d’accès privé sécurisé déterminent les privilèges requis pour effectuer des opérations.

AC-Image-2

L’intégration de Citrix Secure Private Access présente plusieurs avantages :

  • Expérience utilisateur fluide grâce à l’authentification unique aux applications SaaS et hébergées : cette fonctionnalité est fournie par une combinaison de l’application Workspace et du service Gateway

  • Unmeilleur contrôle pour l’informatique grâce à une mise à disposition et un accès organisés pour les applications SaaS : fournit au service informatique un moyen d’attribuer facilement des applications SaaS aux membres de son personnel

  • Sécurité renforcée grâce à des contrôles de stratégie pour l’utilisation SaaS : appelé contrôle des applications cloud, une nouvelle fonctionnalité qui permet aux services informatiques d’appliquer des stratégies de sécurité sur les applications SaaS qu’ils fournissent aux employés

  • Flexibilité pour permettre un accès contrôlé au contenu Internet public ou aux applications SaaS inconnues sans sacrifier la sécurité : cette fonctionnalité est fournie par une combinaison du Secure Browser Service et de la fonctionnalité de filtrage Web, de sorte que les sites Web peuvent être mis sur liste blanche/liste noire ou affichés de manière isolée navigateur

  • Visibilité de l’utilisation SaaS et de l’activité Web des utilisateurs : cette fonctionnalité fournit un sous-ensemble de Citrix Analytics pour SaaS et de l’activité Web afin de fournir une meilleure visibilité en matière de sécurité et de conformité

Citrix Secure Private Access et Citrix Cloud

Citrix Secure Private Access est l’un des services proposés par Citrix Cloud. Pour accéder à ces services, un administrateur doit disposer d’un compte Citrix (également appelé compte Citrix.com ou My Citrix) pour gérer les licences et accéder à l’environnement.

Un compte Citrix utilise un ID d’organisation (OrgID) comme identifiant unique. L’administrateur peut accéder à son compte Citrix en se connectant sur citrix.com avec le nom d’utilisateur ou l’adresse e-mail associé au compte. Dans un premier temps, Citrix Cloud redirige vers https://citrix.cloud.com pour créer un compte ou se connecter avec un compte Citrix existant afin d’activer une version d’évaluation des services Cloud.

Un compte Citrix Cloud permet aux administrateurs d’avoir un large accès administratif aux services. Par conséquent, Citrix exige que le premier administrateur qui crée le compte Citrix Cloud donne explicitement l’accès aux autres administrateurs selon les besoins, même si l’autre administrateur est déjà membre du compte MyCitrix existant.

Citrix Secure Private Access est une solution affichée sous forme de vignette sur la console Citrix Cloud et inclut l’intégration au service Citrix Gateway, au service de filtrage Web, au Secure Browser Service et au service Citrix Analytics.

AC-Image-3

Accès privé sécurisé : le service Citrix Secure Private Access fournit une expérience unifiée intégrant l’authentification unique, l’accès à distance et l’inspection du contenu dans une solution unique pour un accès privé sécurisé de bout en bout.

Citrix Secure Private Access fournit les fonctionnalités suivantes aux administrateurs :

  • Configurer l’authentification multifacteur pour les utilisateurs finaux
  • Configurer un espace de travail pour fournir un accès sécurisé aux applications depuis n’importe quel appareil, gérer et ajouter des applications SaaS à partir de la bibliothèque
  • Configurez le filtrage Web pour autoriser/bloquer les sites Web destinés aux utilisateurs finaux et les rediriger vers le service Citrix Secure Browser

Analytics : Citrix Analytics collecte des données dans l’ensemble de la gamme de produits Citrix et génère des informations exploitables, permettant aux administrateurs de gérer de manière proactive les menaces de sécurité des utilisateurs et des applications, d’améliorer les performances des applications et de prendre en charge les opérations continues. Citrix Analytics collecte des données et fournit les informations suivantes :

  • Analyses de sécurité
  • Analyse des performances
  • Analyse des opérations

Passerelle : le service Citrix Gateway fournit une solution d’accès distant sécurisé, une expérience utilisateur unifiée pour les applications SaaS configurées, les applications virtuelles hétérogènes et les postes de travail. La mise à disposition d’applications SaaS à l’aide du service Citrix Gateway fournit une solution simple, sécurisée, robuste et évolutive pour gérer les applications. Les applications SaaS fournies sur le cloud présentent les avantages suivants :

  • Configuration simple : facile à utiliser, à mettre à jour et à utiliser
  • Authentification unique : connexion sans tracas avec SSO
  • Modèle standard pour différentes applications : configuration basée sur des modèles d’applications populaires

Navigateur sécurisé : le service Citrix Secure Browser isole la navigation Web afin de protéger le réseau de l’entreprise contre les attaques basées sur les navigateurs. Il fournit un accès distant cohérent et sécurisé à une application Web hébergée sur Internet, sans qu’il soit nécessaire de configurer la machine utilisateur.

Les administrateurs peuvent déployer des navigateurs sécurisés rapidement, ce qui offre un retour sur investissement instantané. En isolant la navigation sur Internet, les administrateurs informatiques peuvent offrir aux utilisateurs finaux un accès Internet sécurisé sans compromettre la sécurité de l’entreprise.

Gestion des identités et des accès

La fonction Gestion des identités et des accès définit les fournisseurs d’identité et les comptes utilisés pour les administrateurs et les abonnés à Citrix Cloud et ses offres. Citrix Cloud utilise le fournisseur Citrix Identity pour gérer les informations d’identité des utilisateurs dans le compte Citrix Cloud. L’administrateur a la possibilité d’intégrer Azure Active Directory ou un service Active Directory local.

Pour effectuer des activités de gestion et installer Citrix Cloud Connector sur Citrix Cloud, les administrateurs Citrix utilisent leur identité pour accéder à Citrix Cloud. Ce mécanisme d’identité permet d’authentifier les administrateurs à l’aide d’une adresse de messagerie et d’un mot de passe. Les administrateurs peuvent également utiliser les informations d’identification My Citrix pour se connecter à Citrix Cloud.

AC-Image-4

L’identité d’un abonné définit les services auxquels cet abonné a accès sur Citrix Cloud. L’identité provient des comptes de domaine Active Directory fournis à partir des domaines dans l’emplacement de ressource. Les abonnés peuvent autoriser l’accès à l’offre à partir de Citrix Cloud en affectant un abonné à une offre de bibliothèque.

La communication Active Directory sur site avec Citrix Cloud s’effectue via des connecteurs Citrix Cloud haute disponibilité. Les organisations qui choisissent d’utiliser le service Azure Active Directory disposent d’une plus grande flexibilité en termes de gestion des comptes d’utilisateurs, de contrôle d’audit et de stratégies de mot de passe. En outre, l’administrateur peut configurer l’authentification multifacteur pour un niveau de sécurité plus élevé.

Citrix Secure Private Access avec sécurité renforcée pour les applications SaaS

Citrix Cloud offre la capacité d’authentification unique (SSO) aux applications SaaS via le service Citrix Gateway. L’authentification unique offre une expérience utilisateur unifiée pour l’authentification unique des applications SaaS basées sur le Web et la publication sur l’interface utilisateur de l’expérience Citrix Workspace. Pour permettre une expérience utilisateur d’authentification unique, une application SaaS approuve l’assertion SAML fournie par le service Citrix Gateway.

Le processus d’activation de l’authentification unique pour les applications SaaS est désormais simplifié en quelques formulaires Web et en cliquant sur la page de configuration. Citrix Gateway Connector fournit un proxy pour l’accès aux applications SaaS Web internes pour l’utilisateur de l’application Workspace.

Référence : Citrix Gateway Connector

Contrôle du contenu

La protection des données utilisateur (utilisateurs d’applications SaaS) est une tâche difficile pour la plupart des entreprises. En utilisant Citrix Secure Private Access, les entreprises peuvent intégrer des stratégies de sécurité améliorées dans les applications SaaS. Chaque stratégie applique une restriction au navigateur intégré lors de l’utilisation de l’application Workspace pour ordinateur, ou à Secure Browser lors de l’utilisation de l’application Workspace pour le Web ou pour mobile.

  • Navigateur préféré : désactive l’utilisation du navigateur local et repose sur le moteur de navigateur intégré (application Workspace - bureau) ou le service Secure Browser (application Workspace — mobile et Web)
  • Restreindre l’accès au presse-papiers : désactive les opérations de couper/copier/coller entre l’application et le presse-papiers
  • Restreindre l’impression : désactive la possibilité d’imprimer depuis le navigateur de l’application
  • Restreindre la navigation : désactive les boutons du navigateur suivant/précédent
  • Restreindre les téléchargements : désactive la capacité de l’utilisateur à télécharger depuis l’application SaaS
  • Filigrane d’affichage : superpose un filigrane basé sur l’écran indiquant le nom d’utilisateur et l’adresse IP du point final. Si un utilisateur tente d’imprimer ou de prendre une capture d’écran, le filigrane apparaît comme affiché à l’écran

Authentification unique Citrix Secure Private Access sans sécurité renforcée

AC-Image-5

SL NO Application Workspace avec application SaaS approuvée Navigateur local avec application SaaS approuvée
1 L’utilisateur lance l’application Workspace sur le point de terminaison. L’utilisateur lance un navigateur Web sur le point de terminaison, se connecte à Workspace et s’authentifie à l’aide d’Active Directory local ou Azure Active Directory.
2 L’application Workspace se connecte à l’espace de travail et s’authentifie à l’aide d’Active Directory/Azure Active Directory sur site. Le navigateur local remplit les ressources approuvées.
3 L’application Workspace est pré-remplie avec des ressources approuvées. Lorsque l’utilisateur sélectionne une application SaaS, le navigateur local envoie la demande à Workspace, qui demande une URL à usage unique et transmet le navigateur au service Gateway.
4 L’application Workspace envoie la demande à Workspace, qui demande une URL à usage unique au service Gateway et à un navigateur préféré. Le navigateur local établit une connexion au service de passerelle.
5 Le navigateur local établit une connexion au service de passerelle. Le service de passerelle demande une assertion au microservice d’authentification unique.
6 Le service de passerelle demande une assertion au microservice d’authentification unique. Le navigateur local est redirigé vers la page de connexion de l’application SaaS où l’assertion est présentée.
7 Le navigateur local est redirigé vers la page de connexion de l’application SaaS où l’assertion est présentée. L’application SaaS contacte le service Gateway pour valider l’assertion et authentifier l’utilisateur.
8 L’application SaaS contacte le service Gateway pour valider l’assertion et authentifier l’utilisateur. Une fois authentifié, la communication s’effectue directement entre le navigateur et l’application SaaS.
9 Une fois authentifié, la communication s’effectue directement entre le navigateur et l’application SaaS.  

Accès privé sécurisé : authentification unique avec sécurité renforcée

AC-Image-6

SL NO Application Workspace avec application SaaS approuvée Navigateur local avec application SaaS approuvée
1 L’utilisateur lance l’application Workspace sur le point de terminaison. L’utilisateur lance un navigateur Web sur le terminal, se connecte à Workspace et s’authentifie à l’aide d’Active Directory ou d’Azure Active Directory sur site.
2 L’application Workspace se connecte à l’espace de travail et s’authentifie à l’aide d’Active Directory/Azure Active Directory sur site. Le navigateur local est pré-rempli avec des ressources approuvées.
3 L’application Workspace est pré-remplie avec des ressources approuvées. Lorsque l’utilisateur sélectionne une application SaaS, le navigateur local envoie la demande à Workspace, qui demande une URL à usage unique et redirige le navigateur vers le Secure Browser Service.
4 L’application Workspace envoie la demande à Workspace, qui demande une URL à usage unique au service Gateway. Le navigateur local initie une connexion Secure Browser.
5 Le navigateur intégré initie une connexion au service de passerelle. Le navigateur sécurisé initie une connexion au service de passerelle.
6 Le service de passerelle demande une assertion au microservice d’authentification unique et des stratégies de sécurité améliorées au service d’accès privé sécurisé. Le service Gateway demande une assertion au microservice SSO et des stratégies de sécurité améliorées au service Secure Private Access.
7 Le navigateur intégré est redirigé vers la page de connexion de l’application SaaS où l’assertion est présentée. Secure Browser est redirigé vers la page de connexion de l’application SaaS où l’assertion est présentée.
8 L’application SaaS contacte le service Gateway pour valider l’assertion et authentifier l’utilisateur. L’application SaaS contacte le service Gateway pour valider l’assertion et authentifier l’utilisateur.
9 Une fois authentifié, la communication se produit directement entre le navigateur et l’application SaaS. Une fois authentifié, la communication se produit directement entre le navigateur et l’application SaaS.

Référence : fiche technique Citrix Secure Private Access

Accès contextuel

La plupart des applications SaaS sont sûres à utiliser, même si parfois, lorsqu’un utilisateur clique sur un lien hypertexte dans une application SaaS, cela peut présenter un risque de sécurité pour une entreprise. Le microservice de filtrage Web autorise, refuse ou redirige la demande de lien hypertexte de l’utilisateur.

AC-Image-7

SL NO Application Workspace avec sécurité renforcée Navigateur local avec sécurité renforcée
1 L’utilisateur sélectionne un lien hypertexte dans l’application SaaS. L’utilisateur sélectionne un lien hypertexte dans l’application SaaS.
2 Le navigateur intégré dans l’application Workspace envoie l’URL au service Secure Private Access. Secure Browser envoie l’URL au service Secure Private Access.
3 Le service Secure Private Access demande une analyse de l’URL par le microservice de filtrage Web. Le service Secure Private Access demande une analyse de l’URL par le microservice de filtrage Web.
4 Pour les liens bloqués, le microservice de filtrage Web refuse l’accès au lien hypertexte. Pour les liens bloqués, le microservice de filtrage Web refuse l’accès au lien hypertexte.
5 Pour les liens approuvés, le microservice de filtrage Web permet à l’utilisateur d’accéder au lien avec le navigateur intégré. Pour les liens approuvés, le microservice de filtrage Web permet à l’utilisateur d’accéder au lien sous la forme d’un nouvel onglet dans sa session de Secure Browser Service en cours.
6 Pour les liens redirigés, le microservice de filtrage Web dispose d’une application Workspace qui envoie le lien au Secure Browser Service, qui démarre une nouvelle session de navigateur virtuel pour l’utilisateur final. Pour les liens redirigés, le microservice de filtrage Web permet à l’utilisateur d’accéder au lien sous la forme d’un nouvel onglet dans sa session de Secure Browser Service en cours.

Présentation du filtrage Web

Le filtrage Web fournit un contrôle basé sur des stratégies des sites Web en utilisant les informations contenues dans les URL. Cette fonctionnalité permet aux administrateurs réseau de surveiller et de contrôler l’accès des utilisateurs aux sites Web malveillants sur le réseau.

Cette version révisée active le filtrage Web pour l’application Citrix Workspace accédant aux applications SaaS et à Internet, et Citrix Secure Browser pour accéder aux applications SaaS et à Internet.

AC-Image-8

L’administrateur Citrix Secure Private Access peut bloquer et autoriser une liste d’URL. Le contrôleur de filtrage Web utilise une base de données de catégorisation et une liste d’URL. Lorsque la demande vient au contrôleur de filtrage Web, il vérifie d’abord la liste d’autorisation globale qui contient également les URL critiques de Citrix Cloud. Ensuite, il s’agit de Listes et de catégorisation et vérifie les URL bloquées, autorisées et redirigées vers les URL du navigateur sécurisé. Si aucune des URL ne correspond, elle revient par défaut à la liste par défaut.

Citrix Secure Private Access et Citrix Analytics

Le service Citrix Analytics est un service basé sur le cloud qui facilite les analyses pragmatiques en collectant des données dans l’ensemble de la gamme de produits Citrix. Citrix Secure Private Access organise et produit des informations sur les activités des utilisateurs, telles que les sites Web visités et la bande passante utilisée. Citrix Secure Private Access surveille également les logiciels malveillants et les sites de phishing en examinant la consommation de bande passante et en établissant des rapports à ce sujet. L’administrateur peut prendre des mesures correctives en exploitant ces mesures clés pour surveiller le réseau.

Citrix Analytics s’intègre facilement à Citrix Secure Private Access, au service Citrix Gateway et aux autres produits du portefeuille Citrix. Citrix Analytics fournit des informations complètes sur le comportement des utilisateurs. Il utilise des algorithmes d’apprentissage automatique pour détecter les comportements anormaux des utilisateurs, résoudre les problèmes liés aux sessions utilisateur et afficher les mesures opérationnelles pour les utilisateurs d’une organisation qui utilise des produits Citrix.

Les services et produits Citrix envoient des données à Citrix Analytics, appelées sources de données. Les sources de données associées au compte Citrix Cloud sont découvertes par le service Citrix Analytics. Les journaux Citrix Cloud sont transmis en toute sécurité à Citrix Analytics. Les journaux sont collectés auprès de Citrix Secure Private Access et conservés séparément des sources de données.

AC-Image-9

Le service Citrix Secure Private Access fournit des tableaux de bord de sécurité et d’opérations. Le tableau de bord de sécurité fournit des profils de risque utilisateur et un résumé de l’activité d’accès des utilisateurs, tels que l’URL ou le domaine visité et la bande passante utilisée. L’accès aux applications résume les détails des domaines, des URL et des applications accessibles par les utilisateurs.

Référence : Accès privé sécurisé et analytique Citrix

AC-Image-10

Les administrateurs Citrix peuvent créer des règles sur Citrix Analytics pour effectuer des actions sur les comptes d’utilisateurs en cas d’activités inhabituelles ou suspectes. Une règle est un ensemble de conditions qui doivent être remplies pour qu’une action soit exécutée. Une règle peut contenir une seule condition et une ou plusieurs actions. Des conditions telles que le « score de risque » et le « changement de score de risque » sont des conditions globales. Des conditions globales peuvent être appliquées à un utilisateur spécifique pour une source de données spécifique.

L’administrateur crée une règle basée sur l’activité de l’utilisateur en appliquant des conditions répertoriées comme suit :

  • Tentative d’accès à l’URL de la liste noire Indique une tentative d’accès à une URL sur liste noire.
  • Accès à un site Web à risque Indique que l’utilisateur a tenté d’accéder à un site Web malveillant, suspect ou risqué.
  • Volume de téléchargement inhabituel Indique que le volume de données téléchargées par l’utilisateur à partir d’applications ou de sites Web a dépassé le seuil défini implicitement par Citrix Analytics.
  • Volume de téléchargement inhabituel Indique que le volume de données chargées par l’utilisateur à partir d’applications ou de sites Web a dépassé le seuil défini implicitement par Citrix Analytics.

Référence : Accès privé sécurisé et analyse

Expérience utilisateur final Citrix Secure Private Access

L’administrateur Citrix est habilité à étendre le contrôle de sécurité à l’aide de Citrix Secure Private Access. L’application Citrix Workspace est un point d’entrée pour accéder à toutes les ressources en toute sécurité. Les utilisateurs finaux peuvent accéder aux applications virtuelles, aux bureaux, aux applications SaaS et aux fichiers via l’application Citrix Workspace. Avec Citrix Secure Private Access, les administrateurs peuvent contrôler la façon dont l’utilisateur final peut accéder à une application SaaS via l’interface utilisateur Web Citrix Workspace Experience ou le client d’application Citrix Workspace natif.

Pour plus d’informations, consultez Architecture de référencede l’application Citrix Workspace.

Expérience utilisateur final avec l’application Workspace et le portail Web

AC-Image-11

AC-Image-12

Lorsque l’utilisateur lance l’application Workspace sur le terminal, il voit ses applications, ses bureaux, ses fichiers et ses applications SaaS. Si un utilisateur clique sur l’application SaaS lorsque la sécurité renforcée est désactivée, l’application s’ouvre dans un navigateur standard installé localement. Si l’administrateur a activé la sécurité renforcée, les applications SaaS s’ouvrent dans le navigateur intégré dans l’application Workspace. L’accessibilité aux hyperliens au sein des applications SaaS et des applications Web est contrôlée en fonction des stratégies de filtrage Web.

De même, avec le portail Web Workspace, lorsque la sécurité renforcée est désactivée, les applications SaaS sont ouvertes via un navigateur standard installé en mode natif. Lorsque la sécurité renforcée est activée, les applications SaaS sont ouvertes via Secure Browser. Les utilisateurs peuvent accéder aux sites Web au sein des applications SaaS en fonction de stratégies de filtrage Web.

Mise en œuvre de Citrix Secure Private Access

Le service Citrix Secure Private Access est un service basé sur le cloud. Pour fournir des solutions centrées sur l’utilisateur aux entreprises et respecter les stratégies, Citrix Secure Private Access joue un rôle essentiel. Outre Citrix Secure Private Access, d’autres services sont activés pour fournir des solutions consolidées aux utilisateurs finaux. Pour commencer à intégrer et à configurer le service Citrix Secure Private Access, l’administrateur doit configurer l’authentification, configurer l’accès aux applications SaaS et spécifier les paramètres d’accès au contenu dans le service Citrix Secure Private Access. Les utilisateurs finaux peuvent accéder au service à partir de l’application Citrix Workspace ou de l’URL Workspace.

AC-Image-13

L’administrateur Citrix se connecte à Citrix Cloud à l’aide de ses informations d’identification et demande le service Citrix Secure Private Access. Citrix Secure Private Access est intégré à d’autres produits du portefeuille Citrix, notamment Citrix Gateway, Secure Browser et Citrix Analytics. Cette solution offre une sécurité pour les applications SaaS.

AC-Image-14

Étape 1 : L’administrateur Citrix configure Identity and Access Management sur Citrix Cloud. Par défaut, Citrix Cloud utilise le fournisseur d’identité Citrix pour gérer les informations d’identité de tous les utilisateurs du compte Citrix Cloud. L’administrateur peut modifier et utiliser Azure Active Directory ou un service Active Directory local.

Étape 2 : L’administrateur Citrix se connecte au service Citrix Gateway pour configurer l’authentification unique pour les applications SaaS et Web. Le service Citrix Gateway offre une connexion sécurisée à l’environnement de l’entreprise où les utilisateurs finaux se connectent aux applications à l’aide de l’authentification unique SAML.

Ajoutez une application Web ou SaaS à la bibliothèque à partir du modèle. Pour en savoir plus sur la liste des applications SaaS prises en charge par Citrix Secure Private Access, consultez la section Applications SaaS prises en charge par le service Citrix Secure Private Access

Étape 3 : L’administrateur saisit les détails de l’application, tels que le nom de l’application, l’URL et les détails du domaine. Des stratégies de sécurité améliorées peuvent être activées pour empêcher les fuites de données. Ces stratégies au sein des applications SaaS appliquent des restrictions au navigateur intégré lors de l’utilisation d’une application Workspace pour ordinateur ou sur Secure Browser lors de l’utilisation de l’application Workspace Web ou mobile.

AC-Image-15

Étape 4 : Activer l’authentification unique pour les applications Web/SaaS : le service Citrix Gateway (services cloud uniquement) fournit une authentification unique pour les applications SaaS. L’activation de l’authentification unique pour les applications SaaS est désormais simplifiée en quelques formulaires Web et en cliquant sur la page de configuration, ce qui simplifie considérablement le processus de déploiement. Il est possible pour les administrateurs d’appliquer le connecteur de passerelle pour proxy l’accès de l’application SaaS Web interne à l’utilisateur externe de l’application Workspace.

Dans la section Bibliothèque de Citrix Cloud, les applications SaaS et Web sont publiées. L’administrateur doit ajouter des utilisateurs après avoir choisi le domaine, et seuls les utilisateurs abonnés peuvent accéder à l’application via l’application Workspace ou Workspace Web.

Étape 5 : Filtrer les listes de sites Web : Pour protéger le réseau de l’entreprise contre les attaques basées sur le navigateur, Citrix Secure Private Access inclut un service de filtrage Web. Sur la base des stratégies, le service de filtrage Web autorise, refuse ou redirige la demande de lien hypertexte de l’utilisateur comme défini :

Autorisé : le lien de demande est considéré comme sûr et l’accès est autorisé dans le navigateur intégré de l’application Workspace.

Bloqué : Le lien hypertexte est considéré comme dangereux et l’accès est refusé.

Redirigé : L’administrateur prend des précautions sur les sites Web présentant des menaces de sécurité en les redirigeant via le Secure Browser Service.

Étape 6 : Filtrer les catégories du site Web. La base de données de catégorisation permet de filtrer le trafic Web en contrôlant l’accès des utilisateurs finaux à des sites Web spécifiques, tels que les réseaux sociaux, les jeux de hasard, le contenu pour adultes, les nouveaux médias et les achats. Les catégories restreignent l’accès des utilisateurs à des sites Web et à des catégories de sites Web spécifiques.

Les préréglages de catégorisation fournissent des modèles prêts à l’emploi pratiques  
Strict Réduit le risque d’accès à des sites Web non sécurisés ou malveillants. Les utilisateurs peuvent toujours accéder aux sites Web qui présentent de faibles risques. Comprend la plupart des sites Web de voyages d’affaires et de médias sociaux. (133/192 catégories)
Modéré Minimise les risques tout en autorisant d’autres catégories présentant une faible probabilité d’exposition à partir de sites non sécurisés ou malveillants. Comprend la plupart des sites Web sur les voyages d’affaires, les loisirs et les médias sociaux. (65/192 catégories)
Tolérant Maximise l’accès tout en contrôlant les risques liés aux sites Web illégaux et malveillants. (36/192 catégories)
Aucun Autorise toutes les catégories.
Personnalisée Configurer le filtrage personnalisé des catégories.

Référence : liste des catégories Citrix Secure Private Access

L’application Citrix Workspace offre aux utilisateurs une grande expérience (Workspace sécurisé, contextuel, unifié) sur n’importe quel appareil. Les utilisateurs bénéficient d’un accès transparent et sécurisé à toutes les applications dont ils ont besoin pour être productifs grâce à l’authentification unique.

Pour valider la configuration, les utilisateurs finaux peuvent lancer l’application SaaS à partir de l’application Citrix Workspace (ou Citrix Workspace Web). En outre, les utilisateurs peuvent vérifier les sites Web autorisés/bloqués ajoutés dans les listes de filtrage des sites Web en visitant les URL. Le navigateur intégré de l’application Citrix Workspace permet aux administrateurs de fournir un accès natif aux applications SaaS avec des contrôles de sécurité améliorés.

Pour en savoir plus sur l’application Citrix Workspace, consultez Architecture de référence de l’application Citrix Workspace.

Étape 7 : Le service Citrix Secure Private Access s’intègre à Citrix Analytics pour récupérer des informations sur les activités des utilisateurs, telles que les sites Web visités et la bande passante consommée. Citrix Analytics signale les menaces détectées, telles que les logiciels malveillants et les sites de phishing.

L’administrateur peut se connecter au service cloud Citrix Analytics et créer des règles pour Citrix Secure Private Access, puis appliquer le plan d’action lorsque les conditions sont remplies. Pour surveiller et analyser les activités du comportement des utilisateurs, activez « Activer le traitement des données » pour Citrix Secure Private Access pour les analyses sur Citrix Cloud (les sources de données sont des services et produits Citrix qui envoient des données à Citrix Analytics).

AC-Image-16

Le service Citrix Analytics surveille les activités et le comportement des utilisateurs à l’aide de l’apprentissage automatique et de l’intelligence artificielle. Les sources de données pour Citrix Analytics sont collectées à partir de l’application Workspace, de Citrix Gateway, de Citrix Secure Private Access et Secure Browser Service.

Cas d’utilisation de Citrix Secure Private Access

Aujourd’hui, les entreprises se tournent vers les solutions SaaS (Software as a Service) pour répondre aux besoins de l’entreprise, mais souvent sans prendre les mesures de sécurité nécessaires ni maintenir correctement les applications. La plupart des défaillances de sécurité des applications SaaS sont causées par des utilisateurs et non par des fournisseurs de cloud. L’organisation doit réglementer ses stratégies pour remédier à ces lacunes.

Citrix Secure Private Access applique des stratégies de sécurité améliorées pour les applications SaaS (filigrane, restriction du copier-coller, empêcher le téléchargement/le téléchargement de données sensibles, etc.). Il définit également les stratégies d’accès pour les catégories de sites Web et les sites Web à bloquer/autoriser sous la forme d’un filtrage Web.

Déploiements de friches industrielles Comment Citrix Secure Private Access s’intègre
Les organisations souhaitant adopter les services Citrix Cloud. 1) Citrix Secure Private Access s’adapte parfaitement à leur environnement, fournissant aux utilisateurs finaux une sécurité pour les fonctionnalités SaaS, SSO et de filtrage Web. 2) Aux entreprises qui souhaitent un modèle sur site, Citrix Gateway contribue à fournir une authentification unique et une sécurité renforcée aux utilisateurs finaux.
Les organisations qui ont déjà adopté le service Citrix Gateway. 1) Citrix Cloud propose plusieurs services basés sur le cloud, notamment Citrix Secure Private Access, Analytics et le Secure Browser Service qui fournissent un contrôle de sécurité pour les applications SaaS et Internet.
Organisations qui ont déjà adopté un SSO tiers 1) Citrix Secure Private Access fournit des contrôles de sécurité de niveau granulaire pour les applications SaaS, minimise les menaces basées sur le Web et applique automatiquement les stratégies grâce à des analyses basées sur le comportement de l’utilisateur. 2) Le proxy ICA est pris en charge à la fois pour le service sur site et Citrix Virtual Apps and Desktops.

Solution Citrix Secure Private Access pour les applications Web d’entreprise

La plupart des clients sur site utilisent toujours des applications Web, notamment SharePoint, Confluence, Microsoft Office, des applications de centre d’assistance, etc. Les applications d’entreprise sont fournies à distance à l’aide du service Citrix Gateway et la sécurité nécessaire est ajoutée à l’aide de Citrix Secure Private Access.

Les utilisateurs finaux accèdent aux applications Web à l’aide de Citrix Workspace qui exploite le service Citrix Gateway. Le service Citrix Gateway, associé de manière sécurisée à Citrix Workspace, offre une expérience utilisateur unifiée pour les applications Web configurées. L’authentification unique et l’accessibilité à distance aux applications Web internes sont disponibles via différents packages de services.

AC-Image-20

Le diagramme précédent montre la solution Citrix Secure Private Access appliquée aux clients locaux à l’aide de Citrix Gateway Connector. Le connecteur Citrix Gateway agit comme un pont entre les applications Web d’entreprise et le service Citrix Workspace.

Authentification unique avec application Web avec sécurité renforcée

L’utilisateur lance l’application Citrix Workspace et se connecte avec Citrix Workspace à l’aide d’un service Active Directory local. L’application Citrix Workspace est utilisée pour démarrer une application Web. Le service Citrix Gateway fournit le navigateur recommandé et le lien. Le navigateur intégré de l’application Citrix Workspace établit une connexion d’application avec le service Citrix Gateway. En outre, les stratégies de sécurité améliorées sont activées via le service Citrix Secure Private Access. En outre, le service Citrix Gateway établit une connexion sortante avec Gateway Connector à partir de l’emplacement des ressources. Elle vérifie les informations de connexion et l’application Citrix Workspace sécurise une connexion de bout en bout avec l’application Web interne.

Si l’utilisateur utilise un navigateur local, l’authentification s’effectue via le service Active Directory, et le navigateur local établit une connexion sécurisée avec le Secure Browser Service. Les stratégies de sécurité améliorées sont activées via le service Secure Private Access. Un canal sortant sécurisé est ensuite établi entre Gateway Connector et le service Citrix Gateway. Ensuite, les informations d’identification de l’utilisateur sont négociées et l’authentification unique est établie pour le compte de l’utilisateur. Enfin, une connexion de bout en bout est trouvée via le navigateur sécurisé pour l’utilisateur.

Référence : Prise en charge des applications Web d’entreprise

Authentification unique Citrix Secure Private Access pour les applications Web

Citrix Gateway Connector et le service Citrix Gateway dans le cloud sécurisent la communication avec les applications locales. Les applications Web sont accessibles et mises à disposition via Workspace à l’aide d’une connexion sans VPN. L’administrateur doit choisir la méthode d’authentification unique lors de la configuration de l’application Web.

Ces quatre types d’authentification unique peuvent être configurés via le service Citrix Gateway :

  • Formulaire basé
  • SSO de base
  • Kerberos
  • SAML (TP)

AC-Image-21

Authentification par formulaire

1) Le service Citrix Gateway établit un canal sécurisé entre Citrix Gateway Connector et envoie la demande d’application Web avec les informations d’identification de connexion

2) Citrix Gateway Connector soumet les informations d’identification de connexion à l’application Web correspondante

3) Une connexion sécurisée de bout en bout est établie entre l’application Web et l’application Citrix Workspace via le service Citrix Gateway à l’aide de l’authentification unique à l’application Web

Authentification SSO de base

1) Le service Citrix Gateway crée un canal sécurisé entre Citrix Gateway Connector et envoie la demande d’application Web avec le nom d’utilisateur et le mot de passe

2) Citrix Gateway Connector soumet les informations de connexion à la page de connexion de l’application Web

3) L’application Web demande une authentification à l’aide du protocole NTLM

4) Citrix Gateway Connector répond à la demande NTLM avec un nom d’utilisateur et un mot de passe

5) Une connexion sécurisée de bout en bout est établie entre l’application Web et l’application Citrix Workspace via le service Citrix Gateway à l’aide de l’authentification unique à l’application Web

Authentification Kerberos

1) Le service Citrix Gateway crée un canal sécurisé entre Citrix Gateway Connector et envoie une demande d’application Web avec nom d’utilisateur et mot de passe

2) Citrix Gateway Connector soumet les informations de connexion à la page de connexion de l’application Web

3) L’application Web demande une authentification à l’aide du protocole Kerberos

4) Citrix Gateway Connector contacte le contrôleur de domaine pour vérifier les informations d’identification de connexion

5) le contrôleur de domaine valide les informations d’identification de l’utilisateur et accuse réception

6) Citrix Gateway Connector transmet l’application vers l’application Web

7) Une connexion sécurisée de bout en bout est établie entre l’application Web Citrix et l’application Citrix Workspace via le service Citrix Gateway à l’aide de l’authentification unique à l’application Web

Pour activer la fonctionnalité d’authentification unique Kerberos, les administrateurs configurent Gateway Connector avec les informations d’identification d’un compte de service approuvé pour effectuer la délégation contrainte Kerberos.

Les utilisateurs peuvent essayer d’accéder à des sites Web malveillants qui causent de graves dommages à l’entreprise. Ils peuvent également enfreindre les réglementations et les stratégies de l’entreprise. Pour résoudre ces problèmes, les administrateurs peuvent adopter Citrix Secure Private Access pour filtrer les sites Web à risque qui présentent un risque pour leur organisation. Un filigrane peut également être ajouté tout au long de la session avec le nom et l’adresse IP de l’utilisateur.

Référence : Prise en charge des applications Web d’entreprise

Stratégies de protection des applications Citrix Secure Private Access

Il est fréquent que les identifiants de connexion d’un utilisateur soient volés, mais il se peut que l’utilisateur ne le sache pas. Les cybercriminels utilisent diverses techniques pour appréhender les données des utilisateurs finaux, et une technique courante consiste à utiliser un logiciel malveillant enregistreur de frappe pour capturer les données des utilisateurs. Ces produits malveillants peuvent être facilement installés sur la machine d’un utilisateur et commencer immédiatement à essayer d’obtenir des informations sur l’utilisateur. La fuite d’informations utilisateur peut entraîner des dommages importants pour l’entreprise et l’utilisateur. Pour surmonter ce problème, l’entreprise doit investir massivement dans la protection des données des utilisateurs et créer un bouclier défensif contre les enregistreurs de frappe.

Les applications qui capturent des captures d’écran sont similaires aux enregistreurs de frappe. Ces programmes malveillants fonctionnent en faisant des captures d’écran du bureau de l’utilisateur afin de capturer les informations affichées à l’écran.

Différents types de logiciels peuvent être installés sur le point final de l’utilisateur pour éviter la capture d’image sur le bureau de l’utilisateur. Mais cela peut entraîner un ralentissement des performances du bureau et de l’environnement de l’utilisateur.

Citrix Secure Private Access dispose de stratégies avancées pour protéger les données d’entreprise. La sécurité des terminaux est une considération de sécurité importante pour toute entreprise, car la majorité des violations se produisent au niveau du point de terminaison de l’utilisateur. Les stratégies de protection des applications sont des règles qui sont appliquées lors de l’activation de la sécurité renforcée pour une application SaaS. Les clients peuvent utiliser deux stratégies de sécurité avancées :

  • Anti-journalisation des touches

  • Prévention de capture d’écran

AC-Image-22

Les stratégies de protection des applications Citrix sont activées via la solution Citrix Secure Private Access. Les avantages sont les suivants :

  • Protection contre l’enregistrement au clavier et la capture d’écran
  • Gestion centralisée pour les administrateurs Citrix
  • Indépendant de la posture de sécurité de l’appareil

Les stratégies de protection des applications sont intégrées dans l’application Citrix Workspace à partir de la version 1912 pour Windows, mais l’administrateur doit activer cette fonctionnalité.

Référence : Stratégies de protection des applications

Protégez les utilisateurs contre la navigation Internet risquée à l’aide de Citrix Secure Browser

Les navigateurs Web font partie intégrante d’un environnement de production actif. Ce sont des outils puissants et riches en données exposés à Internet plus que n’importe quelle autre application de l’environnement de travail. Au cours des dernières années, les cybercriminels ont utilisé les navigateurs Web pour récupérer de grandes quantités d’informations sur les utilisateurs, notamment des données de carte de crédit, des identifiants de messagerie et des mots de passe stockés.

Les attaques basées sur les navigateurs sont devenues courantes non pas parce qu’elles constituent des cibles de piratage stratégiques souhaitables, mais parce que les attaques basées sur des navigateurs sont difficiles à détecter. Les contrôles de sécurité classiques ne parviennent pas à détecter de telles attaques, car ces applications examinent uniquement les fichiers téléchargés et les pièces jointes. Par conséquent, les attaques basées sur un navigateur ont tendance à passer inaperçues.

Le service Citrix Secure Browser isole la navigation Web afin de protéger l’environnement de production du client contre les attaques basées sur le navigateur. L’application Citrix Workspace ou les navigateurs locaux constituent un point d’entrée dans l’environnement de production Citrix. Citrix Secure Browser isole la navigation sur Internet afin que le site Web ne transfère aucune donnée de navigation directement vers ou depuis la machine utilisateur. Grâce à cela, les administrateurs de sécurité peuvent offrir un accès Internet sécurisé sans réduire la sécurité de l’entreprise.

Le service Citrix Secure Browser est un produit SaaS géré et exploité par Citrix. Il permet d’accéder aux applications Web via un navigateur Web intermédiaire hébergé dans le cloud. Lorsque vous utilisez le service Citrix Secure, les navigateurs Web hébergés suivent l’historique de navigation d’un utilisateur et mettent en cache les requêtes HTTP/HTTPS. Citrix utilise des profils obligatoires et s’assure qu’une fois la session de navigation terminée, les données de cette session sont effacées.

Secure Browser Service est accessible à l’aide d’un navigateur Web compatible HTML5. Les utilisateurs ne doivent télécharger aucun client. Tout le trafic entre le navigateur de l’utilisateur final et le service Citrix Cloud est chiffré à l’aide du cryptage TLS standard et seul TLS 1.2 est pris en charge.

AC-Image-23

Le schéma précédent illustre l’intégration de la solution Citrix Secure Private Access, y compris le service Citrix Secure Browser pour les environnements Citrix sur site et dans le cloud. Les clients Citrix Virtual Apps and Desktops disposant d’un StoreFront sur site peuvent facilement intégrer le Secure Browser Service.

Pour en savoir plus sur la configuration de Citrix StoreFront avec le Secure Browser Service, suivez ce lien.

Citrix Secure Private Access et collaboration de contenu

La plupart des entreprises ont été confrontées à des ransomwares ou à des tentatives d’hameçonnage qui ont compromis leur réseau. La cause première de ces menaces est souvent une protection insuffisante contre les menaces Web. Il y a un manque de visibilité sur les sites Web auxquels les utilisateurs accèdent au jour le jour.

Le service Citrix Secure Private Access permet à une entreprise de protéger son environnement contre les attaques par navigateur et les fuites de données. Lorsque les employés accèdent à leurs applications depuis n’importe quel appareil, qu’ils soient au bureau, à la maison ou en déplacement, le service Citrix Secure Private Access offre une expérience cohérente intégrant l’authentification unique, l’authentification à deux facteurs, l’accès à distance et le filtrage Web dans une solution unique pour un accès privé sécurisé de bout en bout.

AC-Image-17

Citrix Content Collaboration permet aux utilisateurs d’échanger facilement et en toute sécurité des documents. Il existe de nombreuses façons de travailler avec Citrix Content Collaboration, notamment une interface Web, des clients mobiles, des applications de bureau et l’intégration avec Microsoft Outlook et Gmail.

Citrix Files est un gestionnaire de fichiers qui offre le partage et le stockage des données, une utilisation et des paramètres personnalisables, ainsi que des outils qui permettent aux utilisateurs de collaborer plus facilement et de travailler depuis n’importe quel appareil, à tout moment et en tout lieu.

Le schéma précédent illustre la mise à disposition de l’application Citrix Files SaaS à un utilisateur final dans un scénario de modèle de cloud hybride. Citrix Cloud Connector fournit un lien vers le compte Citrix Cloud et l’emplacement des ressources. L’emplacement des ressources contient Active Directory pour les utilisateurs finaux, ce qui leur permet de se connecter de manière transparente à leur application Web.

Le service Citrix Gateway propose l’authentification, l’authentification unique et permet la mise à disposition rapide et sécurisée des applications virtuelles Citrix et des applications SaaS. Les utilisateurs finaux se connectent à l’environnement de l’entreprise à l’aide de leurs identifiants de connexion et peuvent se connecter aux applications Web à l’aide de l’authentification unique SAML. Sur le service Citrix Gateway, les administrateurs peuvent choisir le modèle d’application Web/SaaS ou définir leurs propres paramètres d’application. Par exemple :

Nommez l’application : « Citrix Files »

Entrez l’URL :https://xxxxx.sharefile.com/

De même, sur la page SSO, les administrateurs peuvent s’assurer que SAML est sélectionné, en supposant que le paramètre SAML ou SSO pour Citrix Files est déjà défini pour le back-end.

L’URL d’assertion est :https://xxxxx.sharefile.com/saml/xxxx

Public : https://xxxxx.sharefile.com

Format de l’ID de nom : adresse e-mail

Nom ID : Email

Une fois l’application SaaS ajoutée à la bibliothèque Citrix Cloud, l’administrateur doit gérer les abonnés et fournir l’URL Workspace aux utilisateurs pour y accéder. Avec Active Directory, il peut servir de fournisseur d’identité pour permettre l’authentification unique SAML à diverses applications Web et SaaS.

Contrôle du contenu et accès contextuel

Sur la page Sécurité renforcée, l’administrateur peut définir des stratégies pour protéger l’entreprise contre les fuites de données sensibles. Il propose les options suivantes :

  • accès restreint au presse-papiers
  • impression restreinte
  • navigation restreinte
  • téléchargements restreints
  • affichage des filigranes

Pour bloquer les sites Web indésirables qui présentent des risques de sécurité pour les entreprises, l’administrateur Citrix doit bloquer et autoriser les URL en ajoutant des listes d’URL ou en choisissant des listes de catégories. L’administrateur peut également adopter une approche prudente en redirigeant les URL via un navigateur sécurisé.

Comportement et activités de l’utilisateur

Pour surveiller le comportement et les activités des utilisateurs par un administrateur, le service Citrix Secure Private Access s’intègre facilement au service Citrix Analytics. L’administrateur impose des conditions prédéfinies et un plan d’action pour atténuer les risques.

Citrix Secure Private Access et G Suite

G Suite (également connu sous le nom de Google Workspace) est un ensemble d’applications SaaS accessibles à distance via Internet. G Suite était auparavant connu sous le nom de Google Apps développé par Google. G Suite comprend Gmail, Hangouts et Calendar pour la communication ; Google Drive pour le stockage ; Google Docs, Sheets, Slides, Forms et Sites pour la collaboration. G Suite offre d’énormes avantages en termes de productivité, mais la plupart des réseaux ne sont pas conçus correctement pour fournir les performances et la sécurité nécessaires aux cas d’utilisation de la mobilité et du cloud.

Google Cloud et Citrix permettent aux utilisateurs finaux d’accélérer la mise en place de solutions novatrices offrant une sécurité renforcée, une expérience utilisateur exceptionnelle et une flexibilité tant recherchée dans un monde de cloud hybride, centré sur les applications, axé sur la mobilité et axé sur les applications.

G Suite, un ensemble d’applications SaaS de productivité leaders sur le marché, peut être intégré à Citrix Secure Private Access pour permettre à l’entreprise d’obtenir une visibilité et un contrôle accrus des applications SaaS, ce qui empêche les fuites de données et la divulgation non autorisée d’informations sensibles.

Les utilisateurs finaux peuvent accéder aux applications G Suite en saisissant simplement l’URL et les informations de connexion via l’application Citrix Workspace. Les utilisateurs disposeront d’un espace de travail complet comprenant des applications, des postes de travail et des fichiers, en gardant à l’esprit qu’ils n’auront jamais à saisir un autre nom d’utilisateur et mot de passe. L’ensemble de l’espace de travail est fourni via un point d’accès unique qui améliore la productivité et rationalise les flux de travail courants pour l’utilisateur final.

AC-Image-18

Citrix Secure Private Access fournit non seulement une fonctionnalité d’authentification unique, mais fournit également une couche de contrôles de sécurité qui ne sont pas disponibles dans d’autres solutions.

Déploiement

Les Citrix Cloud Connector sont utilisés pour gérer toutes les communications entre les emplacements de ressources et Citrix Cloud. Pour une haute disponibilité, un minimum de deux connecteurs sont déployés à chaque emplacement de ressource. Les emplacements de ressources s’intègrent à Active Directory, ce qui permet aux utilisateurs finaux de se connecter de manière transparente à leurs applications G Suite.

Le service Citrix Gateway avec Active Directory peut servir de fournisseur d’identité pour permettre l’authentification unique SAML aux applications SaaS G Suite. Citrix Secure Private Access permet aux utilisateurs finaux de lancer des applications SaaS G Suite dans des sessions Secure Browser et permet également à l’administrateur d’appliquer cinq stratégies de contrôle différentes.

Scénario 1 : la sécurité renforcée est désactivée. Lorsqu’un utilisateur lance Gmail dans G Suite, il s’ouvre dans un navigateur standard. De même, les URL ouvertes dans leur compte Gmail utilisent un navigateur standard sans aucune stratégie ou contrôle de sécurité supplémentaire. Un utilisateur a la liberté de naviguer à partir de la page, de couper, de copier et d’imprimer la page.

Scénario 2 : la sécurité améliorée est activée. Lorsqu’un utilisateur lance Gmail dans la suite G, il s’ouvre dans un navigateur sécurisé. Désormais, une couche de capacité de contrôle est appliquée via Citrix Secure Private Access et l’utilisateur final n’a pas de barre de navigation pour quitter le site. De plus, des restrictions de copier-coller sont imposées. En outre, Citrix Secure Private Access fournit des fonctionnalités de filtrage d’URL qui empêchent les utilisateurs de visiter des sites Web malveillants. Les utilisateurs peuvent également être redirigés vers un navigateur sécurisé en fonction des stratégies.

Avantages de l’utilisation de Citrix Secure Private Access avec les applications SaaS G Suite :

  • Single Sign-On
  • Authentification multifacteur
  • Politiques de sécurité améliorées pour G Suite
  • Stratégies de filtrage Web pour G Suite
  • Visibilité et analyse de bout en bout

Concepts avancés

Modèle de conception validé Citrix Gateway SaaS et O365 Cloud

Conception de référence validée de l’authentification unique du service Citrix Gateway avec accès privé sécurisé

Résumé

Citrix Secure Private Access est une solution consolidée pour un espace de travail numérique sécurisé. La plupart des entreprises adoptent des applications SaaS et Web à mesure que l’espace de travail numérique évolue. La mise en œuvre d’une solution collaborative améliorerait considérablement la sécurité et apporterait des avantages aux entreprises, aux petites entreprises et aux fournisseurs de SaaS, tout en garantissant la protection de leurs données.

L’idée de protéger uniquement un réseau ne suffit plus. L’entreprise doit protéger les utilisateurs et les applications. C’est pourquoi Citrix Secure Private Access fournit :

  • Accès consolidé aux applications SaaS, Web et virtuelles
  • Expérience constante de l’utilisateur final et flexibilité d’utilisation de n’importe quel périphérique de terminal
  • Visibilité du trafic des applications et détection des menaces à l’aide de services d’analyse qui permettent un contrôle intégré des applications SaaS au-delà de l’authentification unique

Sources

L’objectif de cette architecture de référence est de vous aider à planifier votre propre implémentation. Pour vous faciliter la tâche, nous aimerions vous fournir des diagrammes sources que vous pouvez appliquer à vos propres conceptions détaillées et guides de mise en œuvre : diagrammes source.

Références

Accès privé sécurisé

Mémoire Technique

Perspectives techniques

Offrez aux utilisateurs un accès sécurisé et contextuel sur n’importe quel appareil, où que ce soit, sans sacrifier le contrôle informatique

Architecture de référence : accès privé sécurisé

Dans cet article