Travail flexible

Généralités

Pendant des années, l’entreprise a soutenu le travail à distance pour un faible pourcentage de l’ensemble de la population d’utilisateurs. Pour embaucher les meilleures personnes de n’importe quelle géographie, l’entreprise étudie l’expansion du travail à distance pour devenir une politique à l’échelle de l’entreprise. Cette politique ouvre non seulement le bassin de candidats potentiels, mais offre également aux employés actuels une plus grande souplesse dans le domaine du travail et de la vie personnelle.

Toutefois, la pandémie mondiale de 2020-2021 a mis cette initiative à l’avant-garde. Bien que l’entreprise ait été en mesure de faire face à la gravité de la pandémie, il y a une prise de conscience accrue pour concevoir et mettre en œuvre une solution en temps opportun.

Cette architecture de référence explique comment CompanYA planifie sa solution Citrix Workspace pour prendre en charge un style de travail flexible sans compromettre la sécurité informatique.

Critères de réussite

Bien que de nombreux utilisateurs disposent d’un environnement de travail principal, la solution doit prendre en charge un style de travail flexible permettant aux utilisateurs de travailler de n’importe où, selon les besoins. Pour réussir, l’entreprise a défini une liste de critères de réussite qui constitue la base de la conception globale.

Expérience utilisateur

L’aspect le plus important d’une solution de travail flexible est de répondre aux besoins de l’utilisateur. L’entrepriseA a identifié les critères suivants liés à l’utilisateur pour une conception réussie.

Critères de réussite Description Solution
Expérience unifiée Les utilisateurs peuvent accéder aux ressources avec de nombreux appareils, y compris des PC, tablettes et smartphones. Une expérience unifiée sur toutes les plates-formes permet d’éviter la confusion des utilisateurs finaux. Citrix Workspace
Appareils mobiles personnels Les utilisateurs peuvent choisir parmi une liste d’appareils mobiles gérés par l’entreprise. Avec les appareils mobiles, Companya permet à l’utilisateur de modifier l’appareil pour un usage personnel tout en maintenant les politiques de sécurité de l’entreprise en place. Citrix Endpoint Management — Propriété de l’entreprise, personnellement activée (COPE)
Appareils PC personnels Les utilisateurs peuvent choisir parmi une liste d’appareils de point de terminaison gérés par l’entreprise qui répondent à leurs besoins d’utilisation. Ces appareils sont entièrement gérés et sécurisés par la société. Citrix Endpoint Management — Choisissez votre propre appareil (CYOD)
Réseau domestique redondant Les utilisateurs travaillant à domicile dans un scénario critique doivent disposer de connexions réseau redondantes et hautement disponibles. Appareil domestique Citrix SD-WAN 110
Confidentialité Lors de l’utilisation de sites Web non autorisés, la confidentialité de l’utilisateur doit être assurée tout en protégeant l’utilisateur et le point de terminaison contre les menaces potentielles. Citrix Secure Internet Access avec des stratégies de ne pas déchiffrer pour les sites contenant des informations personnelles
Accès aux applications SaaS Les utilisateurs doivent pouvoir accéder aux applications SaaS sanctionnées, avec une authentification forte qui n’a pas d’impact sur l’expérience. Citrix Secure Workspace Access
Accès aux applications Web Les utilisateurs doivent pouvoir accéder à des applications Web internes sanctionnées sur n’importe quel appareil approuvé. Citrix Secure Workspace Access — Accès réseau zéro confiance
Accès aux applications et bureaux virtuels Les utilisateurs doivent pouvoir accéder aux applications et postes de travail Windows autorisés sur n’importe quel appareil approuvé. Citrix Virtual Apps and Desktops Service
Routage direct des applications virtuelles et des bureaux Les utilisateurs travaillant à partir de l’environnement local de bureau peuvent utiliser un itinéraire direct vers la ressource sans compromettre les stratégies de sécurité. Citrix Virtual Apps and Desktops Service avec connexion directe à charge de travail
Support pour les réunions virtuelles Comme les utilisateurs ne sont plus contraints de travailler dans le même emplacement, l’utilisation de solutions de réunion virtuelles, comme Microsoft Teams, est une nécessité. Chaque utilisateur est en mesure d’accéder à l’application et d’utiliser des webcams/microphones locaux. Citrix Virtual Apps and Desktops Service avec stratégies de conférence multimédia

Sécurité

Pour réussir, l’entreprise doit être en mesure de protéger et de sécuriser ses ressources tout en fournissant simultanément un environnement de travail flexible qui s’adapte aux besoins de l’utilisateur. L’entrepriseA a identifié les critères de sécurité suivants pour une conception réussie.

Critères de réussite Description Solution
Appareils personnels non sécurisés Les utilisateurs qui tentent d’accéder à Workspace avec un périphérique non sécurisé doivent être incapables d’accéder à une ressource sanctionnée. Citrix Application Delivery Controller (ADC) - Stratégies nFactor et analyse des points de terminaison
Réseau domestique sécurisé Les utilisateurs travaillant à domicile avec des données financières et personnelles sensibles doivent le faire à partir d’un réseau séparé et sécurisé. Appareil domestique Citrix SD-WAN 110
Sécurité Internet Quel que soit leur emplacement, les utilisateurs doivent être protégés contre les menaces Internet potentielles cachées dans les e-mails, les applications et les sites Web. La protection Internet doit s’étendre à tous les modèles de mise à disposition, y compris les applications/postes de travail virtuels, les applications locales, les applications mobiles, les applications Web et les applications SaaS. Citrix Secure Internet Access
Sécurité SaaS et applications Web La capacité de l’utilisateur à télécharger, imprimer ou copier des données provenant d’applications SaaS contenant des informations financières, personnelles ou autres informations sensibles doit être limitée. Citrix Secure Workspace Access — Stratégies de sécurité avec App Protection
Sécurité des applications virtuelles et des bureaux Les utilisateurs qui accèdent à des applications et postes de travail virtuels ne doivent pas être en mesure de copier, télécharger ou imprimer des informations financières, personnelles ou autres informations sensibles. Citrix Virtual Apps and Desktops — Stratégies de sécurité avec protection des applications
Accès sécurisé Les ressources internes de l’entreprise doivent être protégées contre les emplacements non sécurisés et non sécurisés. Pour prévenir les intrusions de logiciels malveillants, les appareils ne sont pas autorisés à accéder directement au réseau interne. Accès sans VPN
Authentification multifacteur La sécurité étant au premier plan, MFA est nécessaire pour assurer une autre couche de protection de l’authentification des ressources de l’entreprise. Citrix ADC - Mot de passe à usage unique basé sur le temps avec Push
Protection des informations d’identification SaaS Les informations d’identification de l’utilisateur pour les applications SaaS doivent inclure une authentification multifactorielle forte. Citrix Secure Workspace Access — Single Sign-On avec authentification SAML uniquement
Protection de l’utilisateur compromise Les services informatiques doivent être en mesure d’identifier et d’atténuer rapidement les menaces posées par un compte utilisateur compromis. Analyses de sécurité Citrix

Architecture conceptuelle

Sur la base des exigences précédentes, Companya a créé l’architecture conceptuelle de haut niveau suivante. Cette architecture répond à toutes les exigences précédentes tout en donnant à la société la base nécessaire pour s’étendre à d’autres cas d’utilisation à l’avenir.

Architecture conceptuelle

Le cadre d’architecture est divisé en plusieurs couches. Le cadre fournit une base pour comprendre l’architecture technique des scénarios de déploiement de travail flexibles. Toutes les couches s’unissent pour créer une solution complète de bout en bout.

À un haut niveau :

Couche utilisateur : La couche utilisateur décrit l’environnement de l’utilisateur final et les périphériques de point de terminaison utilisés pour se connecter aux ressources.

  • Quel que soit l’appareil, les utilisateurs accèdent aux ressources de l’application Workspace, ce qui permet d’obtenir une expérience identique sur tous les facteurs de forme et toutes les plateformes de périphériques.
  • Chaque périphérique de point de terminaison doit être sécurisé. Les utilisateurs qui préfèrent utiliser un appareil mobile personnel doivent tout de même inscrire l’appareil à l’organisation.
  • Selon le rôle, certains utilisateurs peuvent avoir besoin d’un réseau domestique séparé et sécurisé ou de connexions réseau tolérantes aux pannes.
  • Dans un environnement de travail flexible, Companya permet à tout le monde d’accéder à un Microsoft Teams virtualisé, qui inclut des optimisations intégrées de Workspace App.

Couche d’accès : la couche d’accès décrit les détails entourant la façon dont les utilisateurs s’authentifient auprès de leur espace de travail et de leurs ressources secondaires.

  • Avant qu’un utilisateur puisse accéder à la page d’ouverture de session pour Citrix Workspace, le service Endpoint Management a analysé le point de terminaison pour vérifier qu’il s’agit d’un appareil géré par l’entreprise. Pour mieux protéger les ressources, l’entreprise a besoin d’un certain niveau de gestion pour tous les terminaux (gestion au niveau des périphériques ou gestion du niveau Windows et application pour mobile).
  • Citrix Workspace fournit le courtier d’authentification principal pour toutes les ressources suivantes. La société a besoin d’une authentification multifacteur pour améliorer la sécurité de l’authentification.
  • De nombreuses ressources autorisées dans l’environnement utilisent un ensemble d’informations d’identification différent de celles utilisées pour l’identité d’espace de travail principale. L’entreprise utilisera les capacités d’authentification unique de chaque service pour mieux protéger ces identités secondaires. Pour les applications SaaS, les applications autorisent uniquement l’authentification basée sur SAML, ce qui empêche les utilisateurs d’accéder directement aux applications SaaS et de contourner les stratégies de sécurité.

Couchede ressources : la couche de ressources autorise des ressources SaaS, Web et virtuelles spécifiques pour des utilisateurs et des groupes définis tout en définissant les stratégies de sécurité associées à la ressource.

  • Pour mieux protéger les données, la société a besoin de stratégies qui désactivent la possibilité d’imprimer, de télécharger et de copier/coller du contenu de la ressource gérée vers et à partir du point de terminaison.

Couche de contrôle : La couche de contrôle définit la façon dont la solution sous-jacente s’ajuste en fonction des activités sous-jacentes de l’utilisateur.

  • Même au sein d’une ressource Workspace protégée, les utilisateurs ont la possibilité d’interagir avec des ressources Internet non fiables. Companya utilise l’accès Internet sécurisé pour protéger l’utilisateur contre les menaces externes provenant d’applications SaaS, d’applications Web, d’applications virtuelles, d’applications mobiles et d’applications sur les terminaux.
  • Les utilisateurs peuvent avoir besoin d’accéder aux éléments personnels sur les terminaux gérés. Des politiques appropriées sont définies pour protéger la vie privée de l’utilisateur lors de l’accès à des sites personnels liés à la santé et aux finances.
  • Avec toutes les politiques mises en place pour protéger les utilisateurs lorsqu’ils travaillent dans un environnement flexible, il y a encore des risques. Companya utilise le service Security Analytics pour identifier les utilisateurs compromis et prend automatiquement des mesures pour maintenir un environnement sécurisé.

Les sections suivantes fournissent plus de détails sur les décisions de conception spécifiques de l’architecture flexible de référence de travail de l’entreprise.

Couche utilisateur

Connectivité réseau domestique

Pour de nombreux utilisateurs, l’accès à leur espace de travail est simplement une question de connexion à leur réseau domestique, qui sera partagé entre le travail et l’utilisation personnelle. Toutefois, en fonction de certaines exigences de l’utilisateur final, l’entreprise a besoin de connexions redondantes ou d’un réseau domestique sécurisé.

Sur la base de ces exigences, Companya utilise une combinaison des trois options suivantes en fonction des besoins de l’utilisateur.

Connectivité réseau domestique

Du point de vue de la connectivité, l’entreprise a quatre principaux types d’utilisateurs, qui se rapportent aux options de connectivité domestique définies :

Utilisateurs Exigences Solution
Cadres Réseau domestique sécurisé avec connexions redondantes Option 3 : Réseau sécurisé et redondant - Citrix SD-WAN 110 avec LTE
Finance Réseau domestique sécurisé Option 2 : Réseau sécurisé - Citrix SD-WAN 110
Centre d’appels Connexions redondantes Option 3 : Réseau sécurisé et redondant - Citrix SD-WAN 110 avec LTE
Tout le monde Ligne de base Option 1 : Réseau partagé

Certains utilisateurs au sein de l’organisation traitent des informations sensibles, comme les données financières. Pour mieux protéger la communication réseau, ces utilisateurs ont besoin d’un réseau domestique distinct et protégé. Ce groupe d’utilisateurs déploie une appliance SD-WAN 110 sur son réseau domestique. Bien qu’ils partagent toujours la connexion ISP principale, les périphériques de travail utilisent le réseau domestique protégé. Le réseau séparé permet à l’entreprise d’appliquer des stratégies de sécurité au réseau de travail distant sans affecter le reste du réseau domestique.

Certains groupes d’utilisateurs nécessitent des connexions tolérantes aux pannes. Ces utilisateurs déploient une appliance SD-WAN 110 avec une connexion LTE de sauvegarde. Lorsque l’appliance SD-WAN 110 détecte des problèmes de fiabilité avec le fournisseur de services Internet principal, le SD-WAN bascule automatiquement vers la connexion LTE.

Bien que les appliances SD-WAN 110 soient déployées dans le domicile de l’utilisateur, elles sont gérées de manière centralisée. La gestion centralisée des appareils permet à l’entreprise d’instituer une approche de déploiement zéro contact pour les utilisateurs à domicile en suivant les guides suivants :

En savoir plus sur SD-WAN 110 pour les utilisateurs du bureau à domicile.

Sécurité des points de terminaison

Companya a deux stratégies différentes pour les terminaux basés sur le facteur de forme.

  1. Appareils traditionnels : Pour les appareils traditionnels tels que les ordinateurs de bureau, les PC et les ordinateurs portables, CompanYA utilise la gestion des périphériques mobiles (MDM) avec une stratégie de choix de votre propre appareil (CYOD). Avec cette approche, Companya est responsable de l’achat, de la sécurisation et de l’entretien de l’appareil. Pour faciliter la gestion globale tout en permettant la satisfaction de l’utilisateur final, Companya dispose d’une liste d’appareils approuvés allant de Windows à Mac. Les utilisateurs peuvent accéder aux ressources personnelles à partir de l’appareil, mais l’appareil est géré, sécurisé, surveillé et audité par Companya.
  2. Appareils mobiles : Pour les appareils mobiles tels que les iPhones et les téléphones Android, Companya utilise la gestion des applications mobiles (MAM) avec une stratégie COPE (Entreprise Owned, Personally Enabled). Tout comme la stratégie Choose Your Own Device, la stratégie Company Owned, Personally Enabled Activé fournit à l’utilisateur une liste d’appareils mobiles approuvés. L’appareil est acheté et sécurisé par la société, tout en permettant aux utilisateurs d’accéder à des applications personnelles qui ne sont pas protégées ou auditées par l’organisation. Les applications liées au travail sont conteneurisées, ce qui permet de protéger les applications professionnelles et le contenu des applications personnelles installées localement.

En savoir plus sur Modèles de propriété de Endpoint Management

L’inscription des appareils utilise les stratégies d’inscription suivantes

OS Stratégie Value
Windows Gestion des appareils Entièrement géré
  Autoriser la désinscription MDM manuelle Désactivé
iOS Gestion des appareils Inscription d’appareils Apple
  Citrix MAM Activé
Android Direction Android Entreprise
  Mode propriétaire de l’appareil Entièrement géré avec profil de travail
  Profil de travail BYOD Désactivé
  Citrix MAM Activé

Stratégies de sécurité des terminaux

Pour sécuriser les terminaux, Companya commence par les stratégies de périphérique de base suivantes :

Stratégie Value Points de terminaison
Code d’accès : longueur minimale 6 Tous les types d’OS (iOS, macOS, Android, Android Enterprise, Windows)
Inventaire des applications Activé Tous les types d’OS (iOS, macOS, Android, Android Enterprise, Windows)
Cryptage de l’appareil Exiger cryptage de l’appareil Windows — BitLocker
    macOS — FileVault
Secure Mail Stratégie de déploiement d’applications iOS et Android
Secure Web Stratégie de déploiement d’applications iOS et Android
Mise à jour d’OS Installation automatique et notification pour planifier le redémarrage Windows, macOS, iOS, Android

Optimisation Microsoft Teams

Avec une main-d’œuvre distribuée, Companya s’appuie davantage sur les solutions de conférence virtuelle et standardisée sur Microsoft Teams. En optimisant la façon dont les paquets de communication vocale et vidéo Microsoft Teams traversent le fil, Citrix Virtual Apps and Desktops offre une expérience de réunion virtuelle identique à celle d’un PC traditionnel.

Pour en savoir plus sur l’intégration et l’optimisation de Microsoft Teams, consultez les points suivants :

Couche d’accès

Authentification

En raison de problèmes de sécurité, la société a besoin d’une politique d’authentification forte. La société utilise une approche en deux étapes.

L’étape 1 est axée sur la sécurisation de l’identité principale de l’utilisateur dans Citrix Workspace à l’aide d’une approche contextuelle et multifactorielle.

Authentification primaire

La stratégie d’authentification refuse l’accès si le périphérique ne réussit pas une analyse de sécurité des terminaux. L’analyse vérifie que l’appareil est géré et sécurisé avec les stratégies de sécurité de l’entreprise. Une fois l’analyse réussie, l’utilisateur peut utiliser ses informations d’identification Active Directory et un jeton TOTP pour s’authentifier. Le jeton TOTP peut être saisi manuellement ou automatiquement avec des notifications push.

Le schéma d’authentification de phase 2 se concentre sur les ressources secondaires (applications SaaS, applications Web, applications virtuelles et postes de travail). Presque toutes les ressources secondaires nécessitent une authentification. Certains utilisent le même fournisseur d’identité que l’identité principale de l’utilisateur, tandis que d’autres utilisent un fournisseur d’identité indépendant, le plus courant avec les applications SaaS.

  • Apps SaaS : Pour les applications SaaS, Companya utilise l’authentification basée sur SAML avec Citrix Workspace agissant en tant que courtier d’identité pour Active Directory. Une fois configurées, les applications SaaS autorisent uniquement l’authentification basée sur SAML. Toute tentative d’ouverture de session avec un nom d’utilisateur/mot de passe spécifique à l’application SaaS échouera. Cette politique permet à Companya d’améliorer la force de l’authentification tout en facilitant la désactivation de l’accès en raison d’un compte utilisateur compromis.
  • Web Apps : L’inventaire des applications Web dans l’entrepriseA utilise toutes les informations d’identification Active Directory de l’utilisateur. Pour les applications Web, Companya utilise une combinaison de formulaires, Kerberos et authentification basée sur SAML pour fournir une authentification unique. Le choix entre les options est basé sur les aspects uniques de chaque application Web.
  • Apps/bureaux virtuels : pour les applications virtuelles et les postes de travail, Companya utilise l’authentification directe à partir de Citrix Workspace, éliminant ainsi le défi d’authentification secondaire.

Le Fiche technique d’authentification unique Workspace contient des informations supplémentaires concernant l’authentification unique pour SaaS, Web, applications virtuelles, postes de travail virtuels et options de chaînage d’IdP.

Accès aux ressources

Du point de vue de la sécurité, tous les utilisateurs sont considérés comme externes. L’entrepriseA doit tenir compte de la façon dont les utilisateurs externes peuvent accéder aux ressources internes. Les ressources internes de l’entreprise doivent être protégées contre les emplacements non sécurisés et non sécurisés. Pour prévenir les intrusions de logiciels malveillants, les appareils ne sont pas autorisés à accéder directement au réseau interne.

Pour fournir un accès à des ressources internes telles que des applications Web privées, des applications virtuelles et des bureaux virtuels, Companya prévoit d’utiliser le service Secure Workspace Access et le service Applications et bureaux virtuels. Ces deux services utilisent une solution d’accès réseau zéro confiance, qui est une alternative plus sécurisée aux VPN traditionnels.

Accès réseau Zero Trust

Le service d’espace de travail sécurisé et le service Virtual Apps and Desktops utilisent les connexions de canal de contrôle sortant établies par les connecteurs cloud. Ces connexions permettent à l’utilisateur d’accéder à distance aux ressources internes. Cependant, ces connexions sont

  • Portée limitée de sorte que seule la ressource définie soit accessible
  • Basé sur l’identité principale et sécurisée de l’utilisateur
  • Seulement pour les protocoles spécifiques, qui interdisent la traversée réseau

Toutefois, lorsque les utilisateurs travaillent à partir d’un bureau local, dans ce qui est considéré comme un accès local, le routage des applications virtuelles et des postes de travail est optimisé sans compromettre les stratégies de sécurité. Pour ce faire, CompanYA implémente la fonctionnalité de connexion directe à la charge de travail dans le service Citrix Virtual Apps and Desktops.

Connexion àcharge de travail directe

Lorsqu’un utilisateur est distant, Citrix Workspace dispose que le service de passerelle établit une connexion sécurisée entre la ressource virtuelle et l’utilisateur distant. Toutefois, lorsque l’utilisateur se trouve physiquement sur le réseau local, suivre le même flux ajoute de la latence à la connexion de l’utilisateur. Si l’utilisateur est capable d’établir une connexion locale à la ressource virtuelle, la latence diminue et l’expérience utilisateur augmente.

La connexion directe à la charge de travail permet aux organisations de définir un ensemble d’adresses IP publiques associées aux sites locaux. Si l’adresse IP de l’utilisateur provient de l’une des adresses IP définies, Workspace détermine que l’utilisateur est un utilisateur local et utilise une procédure de connexion directe.

Couche de ressources

Stratégies de sécurité des ressources

La société veut limiter le risque de perte de données due au vol d’un terminal ou d’un périphérique de point de terminaison compromis. Dans les différents types d’applications, Companya intègre de nombreuses restrictions pour empêcher les utilisateurs de copier, télécharger ou imprimer des données.

En tant que stratégie de base, la société a défini ce qui suit (avec la possibilité d’assouplir les stratégies selon les besoins en fonction de l’utilisateur et de l’application).

Catégorie Applications SaaS Applications Web Apps/Ordinateurs de bureau virtuels Applications mobiles
Accès au Presse-papiers Refusé Refusé Client à serveur uniquement Activé uniquement entre les applications protégées
Impression Refusé Refusé Refusé Refusé
Navigation Refusé Refusé Sans objet Sans objet
Téléchargements Refusé Refusé Refusé Refusé
Filigrane Activé Activé Activé Sans objet
Prévention de la journalisation Activé Activé Activé Sans objet
Prévention de capture d’écran Activé Activé Activé Sans objet

Le Fiche technique sur les stratégies de protection des applications contient des informations supplémentaires sur les stratégies de journalisation de touches et de prévention des captures d’écran.

Couche de contrôle

La couche de contrôle définit la façon dont la solution sous-jacente s’ajuste en fonction des activités sous-jacentes de l’utilisateur.

  • Même au sein d’une ressource Workspace protégée, les utilisateurs ont la possibilité d’interagir avec des ressources non fiables sur Internet.Companya utilise l’accès Internet sécurisé pour protéger l’utilisateur contre les menaces externes depuis les applications SaaS, les applications Web, les applications virtuelles, les applications mobiles et les applications sur les terminaux.
  • Les utilisateurs peuvent avoir besoin d’accéder aux éléments personnels sur les terminaux gérés. Des politiques appropriées sont définies pour protéger la vie privée de l’utilisateur lors de l’accès à des sites personnels liés à la santé et aux finances.
  • Avec toutes les politiques mises en place pour protéger les utilisateurs lorsqu’ils travaillent dans un environnement flexible, il y a encore des risques. Companya utilise le service Security Analytics pour identifier les utilisateurs compromis et prend automatiquement des mesures pour maintenir un environnement sécurisé.
  • L’entreprise doit être en mesure de gérer les périphériques SD-WAN 110 distants, déployés dans de nombreux foyers. En utilisant SD-WAN Orchestrator, Companya peut gérer de manière centralisée un déploiement distribué.

Accès Internet sécurisé

Lorsque les utilisateurs interagissent avec des applications SaaS, Web, virtuelles, locales et mobiles, ils accèdent souvent à des sites Internet publics. Bien que la Companya dispose d’une classe Internet Security Compliance que tous les utilisateurs doivent suivre chaque année, elle n’a pas complètement empêché les attaques, le plus souvent provoquées par des escroqueries par hameçonnage.

Afin de protéger les utilisateurs et l’organisation, Companya intègre le service d’accès Internet sécurisé et les analyses de sécurité dans la conception flexible du travail.

Sécurité Internet

Tout trafic Internet vers et en provenance de la bibliothèque d’applications, de postes de travail et d’appareils au sein de l’organisation est acheminé via le service Accès Internet sécurisé. Au sein de ce service, toute URL est analysée pour vérifier qu’elle est sûre. Les fonctionnalités de certains sites publics sont refusées ou modifiées. Les téléchargements sont automatiquement analysés et vérifiés.

Comme de nombreux sites Web sont maintenant cryptés, une partie de ce processus de sécurité consiste à déchiffrer le trafic et à inspecter. Companya veut permettre aux utilisateurs avec la flexibilité d’accéder à des sites personnels sur des appareils appartenant à l’entreprise. Pour garantir la confidentialité des employés, certaines catégories de sites Web ne seront pas déchiffrées, comme les sites financiers et les sites liés à la santé. Pour assurer une transparence totale, la société a l’intention de rendre le plan global de politique de sécurité disponible en interne.

Dans la conception de la politique de sécurité Internet, Companya a voulu commencer par une politique de base. À mesure que l’entrepriseA continue d’évaluer les risques au sein de l’organisation, elle assouplira ou renforcera les politiques, le cas échéant.

Par défaut, toutes les catégories sont déchiffrées et autorisées. La société a apporté les modifications suivantes qui sont appliquées globalement :

|Catégorie|Modification|Raison| —|—|—| |Financière et investissement|Ne pas déchiffrer|Confidentialité des employés| |Intégrité|Ne pas déchiffrer|Confidentialité des employés| |Contenu pour adulte|Bloquer| |Drogues|Bloquer| |Partage de fichiers|Bloquer| |Jeux d’argent|Bloquer| |Activités illégales|Bloquer| |Sources malveillante|Bloquer| |Malware|Bloquer| |Porno/nudité|Bloquer| |Virus & Malware|Bloquer| |Violence/Haine|Bloquer|

En plus des contrôles de sécurité mondiaux, la société a également besoin d’implémenter des contrôles Internet supplémentaires pour un sous-ensemble de l’environnement.

Catégorie Groupe Raison
YouTube — Restreindre la vidéo HD Virtual Apps and Desktops hôtes L’autorisation de la vidéo HD dans les postes de travail virtuels entraîne souvent une augmentation de la charge de ressources, ce qui peut avoir un impact sur les performances et l’évolutivité.

Analyses de sécurité

L’entrepriseA doit identifier et arrêter les menaces pour l’environnement avant que l’impact ne soit trop important.

Pour aider à protéger l’environnement, Companya utilise Citrix Security Analytics pour identifier les menaces initiées, les utilisateurs compromis et les terminaux compromis. Dans de nombreux cas, un seul cas de menace ne justifie pas une action drastique, mais une série de menaces peut indiquer une atteinte à la sécurité.

La société a développé les politiques de sécurité initiales suivantes :

Nom Conditions Action Raison
Dispositif jailbreaké Appareil jailbroken/enraciné détecté Verrouiller l\‘appareil Les appareils mobiles sont détenus et gérés par la société. Les appareils Jailbreakés peuvent introduire des logiciels malveillants, capables de voler des données.
Point de terminaison non géré Périphérique non géré détecté Avertir admin La société exige que tous les appareils soient gérés. Si un périphérique non géré est détecté, il est possible que l’environnement ait été violé et que le compte de l’utilisateur doit être désactivé.
Risque sur les terminaux Échec de l’analyse EPA Ajouter à la liste de surveillance Seuls les périphériques gérés sont autorisés à accéder. Si un utilisateur tente d’utiliser un périphérique non géré, il est surveillé pour vérifier qu’il ne constitue pas une menace. En cas de risques supplémentaires, des mesures supplémentaires sont justifiées.
Accès inhabituel Ouvrez une session à partir d’une adresse IP suspecte et accès à partir d’un emplacement inhabituel Verrouiller l’utilisateur Si un utilisateur se connecte à partir d’un emplacement inhabituel et d’une adresse IP suspecte, il y a une forte indication que l’utilisateur a été compromis.
Comportement de l’application Temps inhabituel d’utilisation de l’application et d’accès à partir d’un emplacement inhabituel Démarrer l’enregistrement de session Si un utilisateur accède à une application virtuelle à un moment et à un endroit étranges, il y a le potentiel que l’utilisateur est compromis. L’analyse de sécurité enregistre la session pour que l’administrateur vérifie la légitimité.
Exploits potentiels des informations d’identification Défaillances d’authentification excessives et accès à partir d’un emplacement inhabituel Ajouter à la liste de surveillance Si un utilisateur présente de nombreux échecs d’authentification à partir d’un emplacement inhabituel, cela peut indiquer que quelqu’un tente d’entrer dans le système. Cependant, l’attaquant n’a pas encore réussi. Il suffit d’ajouter l’utilisateur à la liste de surveillance.

Le Indicateurs de risque utilisateur Citrix document contient des informations supplémentaires concernant les différents indicateurs de risque fournis à Citrix Security Analytics.

La Stratégies et actions Citrix page contient des informations sur les étapes de correction que Citrix Security Analytics peut effectuer.

Citrix SD-WAN Orchestrator

Un sous-ensemble de la population d’utilisateurs, en fonction des besoins, déploie l’appliance Citrix SD-WAN 110 au sein de leur réseau domestique. Cette appliance fournit des connexions réseau redondantes ou crée un réseau domestique séparé et sécurisé.

Pour gérer plus facilement la gestion du déploiement SD-WAN distribué, Companya utilise Citrix SD-WAN Orchestrator.

SD-WAN Orchestrator

Avec Orchestrator, l’administrateur établit tous les paramètres de configuration nécessaires au sein du service cloud. Une fois connecté au réseau, les appliances SD-WAN 110 s’enregistrent auprès du service cloud et reçoivent les informations de configuration.

Le service basé sur le cloud facilite la gestion de l’environnement SD-WAN distribué pour l’administrateur.

Sources

Pour vous faciliter la planification d’une solution de travail flexible, nous aimerions vous fournir diagrammes source que vous pouvez adapter.