Architecture de référence : Architecture de référence - Protégez les applications et les données sur vos appareils personnels

Vue d’ensemble

L’entreprise A fournit un accès à distance à un petit sous-ensemble de sa base d’utilisateurs globale. Ces utilisateurs finaux, qui font partie d’une main-d’œuvre hybride et distribuée, utilisent des appareils BYO (Bring-Your-Own) pour accéder aux ressources internes et cloud. Les ressources comprennent les applications client-serveur (applications et postes virtuels), le Web interne et les applications SaaS qui doivent être protégées en cas d’accès à partir d’appareils non approuvés.

La stratégie d’accès à distance de l’entreprise A a permis d’accroître l’efficacité de son personnel hybride et distribué. Cependant, la stratégie a créé un modèle de prestation complexe et introduit des problèmes de sécurité. Étant donné que les appareils des utilisateurs finaux ne sont pas gérés, l’entreprise A doit atténuer les menaces de sécurité contre les applications et les données en transit, en cours d’utilisation et au repos sur les appareils.

L’entreprise A utilise actuellement plusieurs produits ponctuels non intégrés pour l’accès à distance. Elle souhaite consolider et développer une solution d’accès réseau Zero Trust (ZTNA) à l’échelle de l’entreprise tout en protégeant ses ressources. À cette fin, l’entreprise A s’engage dans une initiative visant à mettre à jour son architecture de diffusion d’applications. Il met en œuvre la solution Citrix intégrée à l’aide de Citrix Secure Private Access, Citrix Gateway, Citrix Secure Internet Access et Citrix Web App and API Protection. Ensemble, cette solution fournit une protection de bout en bout des ressources de l’entreprise accessibles depuis les appareils BYO.

Overview

Cette architecture de référence explique le plan de l’entreprise A pour protéger l’accès des utilisateurs, protéger les données et les appareils et protéger les applications.

Critères de réussite

L’entreprise A souhaite permettre à tous ses utilisateurs de travailler depuis leur domicile et depuis des sites distants. Après la pandémie, les employés continuent de bénéficier d’une main-d’œuvre hybride et distribuée compatible BYOD. Bien que certains utilisateurs disposent actuellement d’un accès VPN aux applications Web et SaaS, l’entreprise A a identifié plusieurs problèmes de sécurité qui empêchent un déploiement à l’échelle de l’entreprise. C’est pourquoi l’entreprise A met en œuvre une approche sans VPN.

Étant donné que l’entreprise A ne gère pas les appareils des utilisateurs finaux, elle n’a aucun moyen de savoir si les appareils transfèrent du contenu malveillant vers leur infrastructure applicative. De plus, la stratégie de sécurité de l’entreprise A n’exige pas que des agents soient installés sur les appareils BYO pour fournir un accès aux ressources de l’entreprise.

C’est pourquoi l’entreprise A a lancé une triple initiative visant à protéger les ressources de l’entreprise auxquelles accèdent les appareils BYO. Pour réussir, l’entreprise A a défini une liste de critères de réussite pour l’initiative. Ces critères constituent la base de la conception globale.

Protection de l’accès utilisateur

L’entreprise A doit protéger l’accès des utilisateurs BYOD à leur environnement de travail. Il doit créer un mode d’accès sécurisé à toutes les applications et données qui soit transparent pour les utilisateurs finaux. L’accès doit être sécurisé, simple et flexible pour pouvoir utiliser n’importe quel appareil et travailler depuis n’importe quel endroit.

L’entreprise A a décidé que sa stratégie de sécurité consiste à s’éloigner de l’approche traditionnelle « château et douves » en matière d’accès et de sécurité. Il adopte une approche Zero Trust au lieu d’utiliser une solution conventionnelle basée sur des appliances, comme un VPN, qui suppose que les utilisateurs sont fiables.

Dans le cadre de l’accent mis par l’entreprise A sur la protection de l’accès des utilisateurs, elle a identifié les critères suivants pour une conception réussie :

Critères de réussite Description Solution
Accès adaptatif pour les applications Web et SaaS Accès adaptatif pour les applications Web et SaaS à l’aide de Citrix Secure Private Access pour déterminer le niveau d’accès approprié Citrix Secure Private Access
Accès adaptatif pour les applications client-serveur (virtuelles) Accès adaptatif pour les applications client-serveur (virtuelles) à l’aide de Citrix Secure Private Access et de Citrix DaaS afin de déterminer le niveau d’accès correct Citrix Secure Private Access et Citrix DaaS
Surveillance de l’utilisateur final Surveillance et évaluation continues afin de se protéger contre les menaces potentielles. Les applications sont surveillées en permanence pour détecter l’exfiltration de données et les heures d’accès et les emplacements anormaux. Citrix Analytics
Accès aux applications SaaS Les utilisateurs doivent accéder aux applications SaaS approuvées avec une authentification forte qui n’a aucun impact sur l’expérience Citrix Secure Private Access
Accès aux applications Web Les utilisateurs doivent être en mesure d’accéder aux applications Web internes approuvées avec une authentification forte qui n’a aucun impact sur l’expérience Citrix Secure Private Access — Accès réseau Zero Trust
Confidentialité L’entreprise A doit garantir la confidentialité des utilisateurs tout en protégeant les utilisateurs et les terminaux contre les menaces potentielles lors de l’utilisation de sites Web non autorisés Citrix Secure Browser Service avec Citrix Secure Internet Access (utilisation de stratégies « Ne pas déchiffrer » pour les sites contenant des informations personnelles)

Protection des données

L’entreprise A doit protéger ses données auxquelles accèdent les appareils BYO. Il dispose d’une infrastructure très complexe composée de couches d’applications, de systèmes et de réseaux dans des environnements composés de centres de données sur site, de clouds publics et privés. Cette prolifération a donné naissance à un ensemble complexe d’outils et de technologies différents pour protéger les données.

L’entreprise A est en train de concevoir une pile de sécurité consolidée et fournie dans le cloud pour répondre aux exigences de son environnement de travail moderne. En centralisant la stratégie de sécurité des données dans l’ensemble de la solution, elle minimise les tâches redondantes, supprime les règles qui se chevauchent et permet au service informatique de protéger les données et les appareils sur tous les sites.

Dans le cadre de l’accent mis par l’entreprise A sur la protection des données, elle a identifié les critères suivants pour une conception réussie :

Critères de réussite Description Solution
Appareils BYO Les utilisateurs accèdent à Workspace avec un appareil BYO et ne doivent pas obtenir un accès illimité aux ressources autorisées. Citrix Secure Private Access
Sécurité SaaS et applications Web La capacité de l’utilisateur à télécharger, imprimer ou copier des données à partir d’applications SaaS contenant des informations financières, personnelles ou d’autres informations sensibles doit être limitée. Citrix Secure Private Access — Stratégies de sécurité Sécurité renforcée
Protection contre les enregistreurs de frappe L’entreprise A doit protéger les ressources internes de l’entreprise en cas d’accès à partir d’appareils personnels Les appareils peuvent être compromis et des logiciels malveillants d’enregistrement de frappe peuvent être installés. L’enregistrement des clés doit être bloqué lors de l’utilisation de Citrix Workspace. Citrix Secure Private Access — Stratégies de sécurité avec protection des applications
Protection contre les grattoirs L’entreprise A doit protéger les ressources internes de l’entreprise en cas d’accès à partir d’appareils personnels Les appareils peuvent être compromis et des logiciels malveillants de grattage d’écran peuvent être installés. La capture d’écran doit être bloquée lors de l’utilisation de Citrix Workspace. Citrix Secure Private Access — Stratégies de sécurité avec protection des applications
Sécurité Internet Protégez les utilisateurs contre les menaces Internet potentielles cachées dans les e-mails, les applications et les sites Web, quel que soit leur emplacement. Citrix Secure Browser Service avec Citrix Secure Internet Access - Stratégies de sécurité avec protection contre les logiciels malveillants
Protection des appareils Protégez les appareils et l’infrastructure sous-jacente contre les malwares et les menaces Zero-Day Citrix Secure Browser Service avec Citrix Secure Internet Access - Stratégies de sécurité avec protection contre les logiciels malveillants
Protéger les données Protégez les données stockées dans des applications autorisées et non autorisées Citrix Secure Browser Service avec Citrix Secure Internet Access — Stratégies de sécurité avec filtrage Web
Compliance Conformité et protection des utilisateurs contre les URL malveillantes Citrix Secure Browser Service avec Citrix Secure Internet Access — Stratégies de sécurité avec filtrage Web

Protection des applications

L’entreprise A doit protéger ses applications auxquelles accèdent les appareils BYO. L’utilisation d’appareils BYO par l’entreprise a augmenté le risque que des appareils compromis accèdent aux applications de l’entreprise. De plus, sa surface d’attaque a augmenté en raison de la migration des applications vers le cloud et de l’utilisation d’applications SaaS. Sa passerelle Web sécurisée sur site et ses déploiements VPN actuels avec des stratégies de sécurité strictes ne peuvent pas protéger efficacement les applications dans le cloud.

L’entreprise A doit créer une solution hybride utilisant à la fois des appareils sur site et des services cloud pour la sécurité des applications. Les appareils sur site bloquent les attaques DDoS et au niveau des applications sur site, tandis qu’un service de protection basé sur le cloud empêche les attaques volumétriques et les attaques DDoS au niveau de la couche application dans le cloud.

Dans le cadre de l’accent mis par l’entreprise A sur la protection des applications, elle a identifié les critères suivants pour une conception réussie :

Critères de réussite Description Solution
Accès sécurisé L’entreprise A doit protéger les ressources internes de l’entreprise lorsqu’elles sont accessibles depuis des emplacements non fiables et non sécurisés. Les appareils ne sont pas autorisés à accéder directement au réseau interne pour empêcher l’intrusion de logiciels malveillants. Accès privé sécurisé - Accès sans VPN
Protection des informations d’identification SaaS Les informations d’identification de l’utilisateur pour les applications SaaS doivent inclure une authentification multifacteur. Citrix Secure Private Access — Authentification unique avec authentification SAML uniquement
DLP SaaS L’entreprise A a besoin de ses applications SaaS pour utiliser les contrôles DLP en ligne. Service de navigateur sécurisé avec Citrix Secure Internet Access
Protégez les applications Web L’entreprise A doit arrêter les attaques DDoS volumétriques à la périphérie avant qu’elles n’entrent sur le réseau. L’entreprise A doit protéger à la fois les applications cloud et les applications internes. L’entreprise A propose des applications déployées sur plusieurs sites sur des plateformes hébergées dans le cloud. Il doit protéger ces applications contre les menaces au niveau des API, telles que les attaques DDoS et les attaques par bot, les scripts intersites et les attaques par injection SQL. Citrix Web App Firewall
Protection de l’utilisateur compromise Les services informatiques doivent être en mesure d’identifier et d’atténuer rapidement les menaces posées par un compte utilisateur compromis. Le service informatique doit protéger l’ensemble de la surface des menaces grâce à des fonctionnalités d’orchestration centralisées afin de fournir la sécurité complète dont l’entreprise a besoin. Analyses de sécurité Citrix

Architecture conceptuelle

Cette architecture répond à toutes les exigences précédentes tout en donnant à l’entreprise A les bases nécessaires pour étendre davantage de cas d’utilisation à l’avenir.

Architecture conceptuelle

À un niveau élevé :

Couche utilisateur : la couche utilisateur décrit l’environnement de l’utilisateur final et les terminaux utilisés pour se connecter aux ressources.

  • Les appareils des utilisateurs finaux sont des appareils personnels. Les appareils ne sont pas gérés et l’entreprise A ne nécessite pas l’installation d’un agent sur l’appareil.

  • Les utilisateurs finaux accèdent aux ressources à partir du site Web Citrix Workspace, ce qui permet de bénéficier d’une expérience protégée même sur les appareils personnels.

  • Les utilisateurs finaux peuvent installer l’application Citrix Workspace pour bénéficier de fonctionnalités supplémentaires mais ne sont pas obligés de le faire.

Couche d’accès : La couche d’accès décrit comment les utilisateurs s’authentifient auprès de leur espace de travail et des ressources secondaires.

  • Citrix Workspace fournit le broker d’authentification principal pour toutes les ressources suivantes. L’entreprise A a besoin d’une authentification multifacteur pour améliorer la sécurité de l’authentification.

  • De nombreuses ressources autorisées au sein de l’environnement utilisent un ensemble d’informations d’identification différent de ceux utilisés pour l’identité principale de l’espace de travail. L’entreprise A utilisera les fonctionnalités d’authentification unique de chaque service pour mieux protéger ces identités secondaires.

  • Les applications autorisent uniquement l’authentification basée sur SAML pour les applications SaaS. Cela empêche les utilisateurs d’accéder directement aux applications SaaS et de contourner les stratégies de sécurité.

Couchede ressources : La couche de ressources autorise des ressources client-serveur (virtuelles), Web et SaaS spécifiques pour des utilisateurs et des groupes définis tout en définissant les stratégies de sécurité associées à la ressource.

  • L’entreprise A a besoin de stratégies qui désactivent la capacité d’imprimer, de télécharger, de copier et de coller du contenu depuis la ressource gérée vers et depuis l’appareil BYO.

  • En raison de la nature inconnue de l’état de sécurité des terminaux, l’entreprise A nécessite un accès sans VPN aux ressources à l’aide de navigateurs isolés ou de sessions virtualisées.

  • Les applications SaaS hautement sensibles peuvent bénéficier d’une protection supplémentaire fournie par l’application Citrix Workspace. Si la protection de l’application n’est pas disponible sur l’appareil BYO, les stratégies d’accès adaptatives empêchent l’utilisateur de lancer l’application.

  • Étant donné que l’entreprise A autorise l’accès aux applications Web internes à partir d’appareils personnels, Citrix Web App Firewall doit protéger la ressource contre les attaques provenant de points de terminaison potentiellement compromis.

Couche de contrôle : la couche de contrôle définit la manière dont la solution sous-jacente s’adapte en fonction des activités sous-jacentes de l’utilisateur.

  • Même au sein d’une ressource Workspace protégée, les utilisateurs peuvent interagir avec des ressources Internet non fiables. L’entreprise A utilise Secure Internet Access pour protéger les utilisateurs contre les menaces externes lors de l’utilisation d’applications SaaS, d’applications Web et d’applications et de postes virtuels.

  • Si les utilisateurs doivent accéder à des sites Web personnels tels que Santé et Finances sur leurs appareils personnels via la ressource l’entreprise A, des stratégies appropriées protègent la confidentialité des utilisateurs.

  • L’entreprise A a besoin d’un service d’analyse de sécurité pour identifier les utilisateurs compromis et maintenir automatiquement un environnement sécurisé.

Les sections suivantes fournissent plus de détails sur les décisions de conception spécifiques pour l’architecture de référence de protection BYOD de l’entreprise A.

Couche d’accès

Authentification

L’entreprise A a déterminé que le fait de fournir un accès aux ressources avec un nom d’utilisateur et un mot de passe ne fournit pas une sécurité adéquate. L’authentification multifacteur est requise pour tous les utilisateurs. L’entreprise A utilise Active Directory + Token pour sa méthode multifacteur et le service Citrix Gateway pour gérer toutes les demandes d’authentification.

Citrix Workspace intègre un mot de passe à usage unique basé sur l’heure (TOTP) fourni dans le cloud qui fournit une authentification multifacteur. Les utilisateurs s’inscrivent auprès du service TOTP et créent une clé secrète pré-partagée dans l’application d’authentification sur un appareil mobile.

Une fois que l’utilisateur s’est inscrit avec succès auprès du micro-service TOTP, l’utilisateur doit utiliser le jeton, avec ses informations d’identification Active Directory, pour s’authentifier avec succès auprès de Citrix Workspace.

Authentication

Reportez-vous à la fiche technique de Citrix Workspace Active Directory avec TOTP pour acquérir des connaissances adéquates sur Active Directory avec les concepts et la terminologie TOTP.

Accès réseau zéro confiance

CompanyA utilise le service Citrix Secure Private Access et Citrix DaaS pour fournir un accès aux applications Web SaaS et internes, aux applications virtuelles et aux bureaux virtuels. Ces services constituent une solution d’accès réseau Zero Trust, qui constitue une alternative plus sûre qu’un VPN traditionnel.

Le service Secure Private Access et Citrix DaaS utilisent les connexions du canal de contrôle sortant des connecteurs cloud. Ces connexions permettent à l’utilisateur d’accéder à distance aux ressources internes. Toutefois, ces connexions sont les suivantes :

  • Portée limitée de sorte que seule la ressource définie soit accessible
  • Sur la base de l’identité principale et sécurisée de l’utilisateur
  • Seulement pour les protocoles spécifiques, qui interdisent la traversée réseau

ZTNA

Couche de ressources

Stratégies de sécurité des ressources

L’entreprise A souhaite limiter le risque de perte de données et de rémanence des données sur les appareils BYO. Dans les différents types d’applications, l’entreprise A intègre de nombreuses restrictions pour empêcher les utilisateurs de copier, télécharger ou imprimer des données.

L’entreprise A a développé des modèles d’accès prescriptifs pour répondre à ses exigences de sécurité :

  • Les appareils personnels sans application Workspace utilisent Secure Private Access pour lancer une application SaaS ou Web via un navigateur isolé à l’aide du service Citrix Secure Browser. Secure Private Access fournit l’authentification unique et applique des stratégies d’accès adaptatives telles que les restrictions de téléchargement, d’impression, de copie et de collage aux applications Web et SaaS.
  • Les appareils BYO dotés de l’application Workspace utilisent Secure Private Access pour lancer une application Saas ou Web à l’aide du Citrix Workspace Browser, un navigateur local conteneurisé. Le navigateur crée une connexion à l’application SaaS ou une connexion Zero Trust Network Access à l’application Web interne. Secure Private Access fournit l’authentification unique et applique des stratégies d’accès adaptatives (restrictions de téléchargement, d’impression, de copie et de collage).
  • Les stratégies de protection des applications protègent les applications Web et SaaS à l’aide de restrictions de capture d’écran et d’enregistreurs de frappe. Si la protection de l’application n’est pas disponible sur l’appareil BYO, les stratégies d’accès adaptatives empêchent l’utilisateur de lancer l’application.
  • Lorsque les utilisateurs accèdent à des applications et des bureaux virtuels, Citrix DaaS fournit l’authentification unique et applique les stratégies de verrouillage. Le service restreint le téléchargement, l’impression et les actions de copier-coller unidirectionnelles et bidirectionnelles.

Lockdown

L’entreprise A dispose d’applications Web et SaaS sensibles et régulières et appliquera des stratégies d’accès adaptatives en fonction de leurs exigences de sécurité. À titre de référence, l’entreprise A a défini les stratégies suivantes (avec la possibilité d’assouplir les stratégies selon les besoins en fonction de l’utilisateur et de l’application).

Catégorie Applications SaaS Applications SaaS sensibles Applications Web Applications Web sensibles Virtual Apps and Desktops
Accès au Presse-papiers Autorisé Refusé Autorisé Refusé Refusé
Impression Autorisé Refusé Autorisé Refusé Refusé
Navigation Refusé Refusé Refusé Refusé Sans objet
Téléchargements Autorisé Refusé Autorisé Refusé Refusé
Filigrane Désactivé Activé Désactivé Activé Activé
Prévention de l’enregistrement au clave* Désactivé Activé Désactivé Activé Activé
Prévention des captures d’écrans* Désactivé Activé Désactivé Activé Activé

Couche de contrôle

Protection des applications Web et des API

Lorsque les utilisateurs s’authentifient auprès de Citrix Workspace, ils accèdent à des applications Web privées sur des appareils personnels. Pour mieux protéger les applications Web privées sur site, l’entreprise A utilise les composants Citrix Application Delivery Controller Bot Management et Web App Firewall.

Le composant de gestion des bots de l’Application Delivery Controller détecte une demande de bot et l’empêche d’inonder le système. Le Web App Firewall protège les applications destinées au public contre les attaques. Ces types d’attaques sont généralement le dépassement de tampon, l’injection SQL et le script intersite. Le Web App Firewall détecte et empêche ces attaques d’affecter les données et l’application.

L’entreprise A utilise également le service de protection des applications Web et des API Citrix pour empêcher les attaques volumétriques et les attaques DDoS de la couche application contre les applications Web qui ne sont pas sur site.

Protection des applications Web et des API Citrix

Accès Internet sécurisé

Au fur et à mesure que les utilisateurs interagissent avec des applications SaaS, Web et virtuelles, ils accèdent souvent à des sites Internet non autorisés par la Société. Pour aider à protéger les utilisateurs et l’organisation, l’entreprise A intègre le service Citrix Secure Browser avec Citrix Secure Internet Access et Security Analytics dans la conception.

Citrix Secure Internet Access

Tout trafic Internet lié à l’entreprise A vers/depuis la bibliothèque d’applications, de postes de travail et d’appareils au sein de l’organisation est acheminé via le service Secure Internet Access. Le service analyse n’importe quelle URL pour vérifier qu’elle est sûre. Les fonctionnalités de certains sites publics sont refusées ou modifiées. Les téléchargements sont automatiquement analysés et vérifiés.

  • Lorsque les utilisateurs accèdent à des applications et des bureaux virtuels, l’agent Citrix Secure Internet Access est installé sur l’infrastructure Citrix DaaS pour le trafic proxy.
  • Lorsque les utilisateurs accèdent à des ressources Web et SaaS avec le service Citrix Secure Browser, Citrix Secure Internet Access est utilisé comme Secure Web Gateway.

Comme de nombreux sites Web sont désormais cryptés, une partie de ce processus de sécurité consiste à déchiffrer le trafic et à inspecter. Le service ne déchiffre pas certaines catégories de sites Web, tels que les sites financiers et de santé, afin de garantir la confidentialité des employés.

Lors de la conception de la stratégie de sécurité Internet, l’entreprise A a voulu commencer par une stratégie de base. Au fur et à mesure que l’entreprise A continue d’évaluer les risques au sein de l’organisation, elle assouplira et renforcera les stratégies, le cas

Par défaut, toutes les catégories sont déchiffrées et autorisées. L’entreprise A applique les stratégies suivantes à l’échelle mondiale :

Catégorie Modification Reason
Financière et investissement Ne pas déchiffrer Confidentialité des employés
Intégrité Ne pas déchiffrer Confidentialité des employés
Contenu pour adultes Bloquer Stratégie de l’entreprise
Médicaments Bloquer Stratégie de l’entreprise
Partage de fichiers Bloquer Stratégie de l’entreprise
Jeux d’argent Bloquer Stratégie de l’entreprise
Activité illégale Bloquer Stratégie de l’entreprise
Sources malveillantes Bloquer Stratégie de l’entreprise
Contenu malveillant Bloquer Stratégie de l’entreprise
Pornographie/Nudité Bloquer Stratégie de l’entreprise
Virus et logiciels malveillants Bloquer Stratégie de l’entreprise
Violence/haine Bloquer Stratégie de l’entreprise

Reportez-vous à la fiche technique Citrix Secure Internet Access pour obtenir des informations supplémentaires sur les fonctionnalités de filtrage et de protection Web.

Résumé

Sur la base des exigences précédentes, l’entreprise A a créé l’architecture conceptuelle de haut niveau. Le flux général et les exigences sont que les utilisateurs finaux ont besoin des éléments suivants :

  • Accès protégé aux applications SaaS et accès sans VPN aux applications Web internes via Citrix Secure Private Access
  • Authentification adaptative avant d’obtenir l’accès aux ressources externes ou internes via Citrix Secure Private Access
  • Accès Zero Trust à des ressources spécifiques via Citrix Secure Private Access
  • Accès protégé au trafic Internet depuis les applications Web ou les applications et bureaux virtuels via Citrix Secure Browser Service avec Citrix Secure Internet Access
  • Accès protégé aux applications Web accessibles depuis les appareils BYO avec Citrix Web Application Firewall

L’entreprise A utilise Citrix pour créer un environnement de mise à disposition d’applications moderne qui applique l’accès réseau Zero Trust et fournit une protection de bout en bout de ses ressources.

Architecture de référence : Architecture de référence - Protégez les applications et les données sur vos appareils personnels