Fiche technique : Citrix Secure Internet Access

Vue d’ensemble

La demande croissante pour le travail à distance et la migration des applications vers le cloud ont fait en sorte que les entreprises doivent absolument sécuriser l’accès Internet des utilisateurs. Et comme les utilisateurs et les appareils constituent le nouveau périmètre du réseau, la sécurisation de l’accès à Internet doit se faire dans le cloud. Citrix Secure Internet Access (CSIA) met davantage l’accent sur la défense des périmètres que sur le suivi des utilisateurs afin de garantir la sécurité de l’accès à Internet quel que soit l’emplacement.

La demande de travail à distance a rendu les stratégies de sécurité réseau basées sur des appareils non viables. Les augmentations prévues de la consommation de bande passante combinées au trafic mobile backhauled satureront rapidement la capacité maximale de toute architecture d’appliance sur site.

L’érosion du périmètre du réseau due à l’utilisation accrue des applications et services cloud accélère encore ce retour. Il en résultera une mauvaise expérience utilisateur et une baisse de productivité en raison de la latence.

Approche unifiée du CSIA

CSIA fournit une sécurité Internet complète à tous les utilisateurs de tous les sites avec :

  • Filtrage complet du Web et du contenu
  • Protection contre les malware
  • Protection des navigateurs et des systèmes d’exploitation (OS) obsolètes
  • Gestion du trafic SSL/TLS
  • Cloud Access Security Broker (CASB) pour les applications cloud et les contrôles des réseaux sociaux
  • Rapports avancés en temps réel
  • Redirection flexible du trafic de données pour n’importe quel appareil et où
  • Intégration avec Citrix Virtual Apps and Desktops et SD-WAN

CSIA utilise un modèle de stratégie basé sur les rôles « Zero Trust ». L’un des principaux objectifs de Zero Trust est d’attribuer des stratégies et de gérer l’accès aux ressources en fonction du rôle et de l’identité de l’utilisateur. Ce concept fondamental est intégré au moteur de stratégies de l’ACIS.

Architecture

CSIA est une technologie cloud native qui fonctionne dans plus de 100 points de présence à travers le monde. L’architecture fournit non seulement un mécanisme de livraison pour les connexions, mais peut également être rattachée à d’autres solutions afin d’améliorer les performances et la sécurité. Par exemple, CSIA peut recueillir les signatures d’autres technologies de renseignement sur les menaces et les comparer au trafic transitant par notre cloud.

En utilisant des passerelles conteneurisées, le plan de données est séparé pour chaque client. Les clés privées pour le déchiffrement du trafic sont conservées spécifiquement pour le client et ne sont pas partagées entre autres. Chaque unité de travail traitant ou stockant des données est entièrement dédiée au client qui n’a pas besoin de gérer aucun des composants. Les unités de travail peuvent être mises à l’échelle de manière élastique

CSIA permet aux administrateurs de définir explicitement des zones de cloud directement dans le portail d’administration du cloud. Ces zones garantissent que les utilisateurs d’une région donnée sont sécurisés dans la région et qu’ils enregistrent les événements générés dans une région donnée pour rester dans la région. Cette fonctionnalité est importante pour les réglementations telles que le RGPD, qui exigent que les données restent à l’intérieur des frontières nationales. En outre, les zones de cloud peuvent être utilisées pour définir la façon dont les utilisateurs se connectent au cloud, en fonction de leur emplacement. Par exemple, lorsque les utilisateurs se déplacent d’un bureau à l’autre, ces zones définies par l’administrateur permettent le contournement dynamique des imprimantes et des serveurs locaux qui s’appliquent à chaque bureau.

Redirection de flux

Traditionnellement, le trafic des applications Internet provenant d’utilisateurs distants est envoyé via des VPN lents et surchargés afin d’assurer la sécurité du réseau à des fins de conformité, de défense contre les logiciels malveillants et de protection contre la perte Cela entraîne souvent des connexions lentes ou des réseaux en panne qui empêchent les utilisateurs de travailler efficacement et en toute sécurité. De plus, contrairement aux tenants de l’architecture Zero Trust, l’accès est généralement fourni aux réseaux plutôt qu’à des applications spécifiques. Il en résulte des privilèges excessifs, en particulier pour les utilisateurs qui n’ont besoin que d’un accès ciblé à une poignée de ressources.

CSIA élimine le besoin de connexions VPN lentes et surchargées et envoie le trafic directement des utilisateurs vers les ressources ou applications cloud nécessaires. CSIA réduit également le risque de perte de données et segmente davantage le réseau en permettant aux utilisateurs d’accéder uniquement à des ressources et applications spécifiques.

Un autre défi que CSIA résout est l’application de la prévention des intrusions basée sur les flux lorsque les utilisateurs finaux se déplacent en dehors du périmètre interne. Ils se déplacent d’un endroit à l’autre pour travailler à partir de réseaux échappant au contrôle de l’organisation. L’architecture conteneurisée de CSIA permet d’appliquer des adresses IP basées sur les flux aux utilisateurs où qu’ils se déplacent. Les réseaux comprennent ceux qui appartiennent à l’organisation et les réseaux qui ne le sont pas. L’architecture de CSIA permet à chaque client de recevoir des adresses IP dédiées qui peuvent être utilisées de la même manière que les adresses IP locales.

CSIA achemine les données réseau vers le cloud pour exécuter des fonctions de sécurité réseau sans avoir besoin d’appareils en ligne. Cela peut être réalisé à l’aide de paramètres de proxy, d’agents/connecteurs de point de terminaison, de tunnels GRE ou de tunnels IPSec.

Redirection du flux de trafic

CSIA suit les utilisateurs lorsqu’ils entrent et sortent du périmètre physique du réseau, ce qui se traduit par des adresses IP dédiées pour les utilisateurs, quel que soit leur emplacement. Cette fonctionnalité peut être appliquée pour obliger les utilisateurs à accéder aux applications métier uniquement par le biais de connexions sécurisées par la passerelle. Même lorsque vous travaillez en dehors du bureau ou sur des appareils personnels. L’adresse IP source peut être utilisée pour restreindre l’accès à des ressources telles que les portails d’administration en utilisant l’adresse IP source comme condition de connexion.

LesCloud Connector sont la méthode de déploiement la plus populaire, utilisée le plus souvent dans les entreprises qui ont des appareils gérés. Les Cloud Connector sont les agents qui aident la configuration de CSIA à l’enregistrement, à l’authentification et à la gestion des certificats sur les points de terminaison.

Les installations peuvent être poussées à distance par le biais de différentes méthodes telles que :

  • Windows via GPO, MDM, déploiement SCCM
  • Déploiement MacOS/iOS via MDM
  • Déploiement de Chromebook via la console d’administration Google
  • Android via une intégration native avec le réseau VPN Android ou Always On VPN
  • Linux avec prise en charge de Red Hat, Fedora et Ubuntu
  • Serveur Terminal Server Windows

Les Cloud Connector aident les utilisateurs à se connecter à CSIA. Les connecteurs adoptent une approche mobile et axée sur le cloud pour connecter les appareils des utilisateurs à la sécurité dans le cloud, qu’ils soient au bureau ou en déplacement. Il n’est pas nécessaire de rediriger le trafic via le centre de données, car les stratégies suivent l’endroit où se trouve l’utilisateur. Ils relient vos appareils directement à CSIA, fournissant un accès sécurisé depuis n’importe quel endroit et :

  • Configurer la mise en réseau pour diriger le trafic vers le service CSIA
  • Gérer les certificats pour le compte de l’utilisateur afin de permettre l’interception SSL
  • Fournir dynamiquement l’identité de l’utilisateur et l’appartenance
  • Rediriger de manière transparente toutes les données d’un appareil, sur tous les ports

Si votre appareil possède un système d’exploitation non standard, vous pouvez configurer la redirection des données sans agent en générant automatiquement des fichiers Proxy PAC.

Les fichiersProxy PAC sont utilisés pour la redirection des données sans agent qui redirige le trafic en fonction de l’emplacement de l’utilisateur (IP source). Le fichier PAC prend en charge la géolocalisation pour connecter automatiquement les utilisateurs aux passerelles les plus proches et prend en charge le zonage GDPR. Il est généré dynamiquement utilisateur par utilisateur. Proxy PAC prend en charge l’équilibrage de charge, le dimensionnement horizontal et l’authentification via SAML.

IPsec/GRE utilise des routeurs périphériques et des pare-feu pour créer des tunnels et rediriger tout le trafic de chaque emplacement vers CSIA. Les tunnels pointent vers une seule destination DNS CSIA qui achemine le trafic vers les passerelles. Le choix d’utiliser GRE ou IPsec dépend de la prise en charge du routeur/pare-feu Edge existant. L’authentification est réalisée via des connecteurs et SAML.

LesSD-WAN et CSIA peuvent être utilisés conjointement avec le tunneling IPSec et GRE. Citrix SD-WAN s’intègre à CSIA en utilisant la connaissance des applications pour diriger intelligemment le trafic Internet, cloud ou SaaS vers CSIA.

LeDNS est utilisé lorsque l’utilisateur final n’utilise pas de Cloud Connector, de proxy PAC ou de SD-WAN. CSIA applique les catégories et les stratégies aux enregistrements DNS, et transmet le DNS depuis le service DNS sur site. Le réseau de chaque succursale redirige le trafic DNS vers CSIA et reçoit une stratégie de sécurité unique. Les règles et les journaux de rapports sont basés sur chaque emplacement.

Authentification

CSIA peut utiliser des identités d’utilisateur locales, Microsoft Active Directory (AD) ou un autre type d’IdP moderne (tel qu’Azure AD). Lors de l’utilisation d’AD traditionnel, les groupes de sécurité sur CSIA doivent correspondre à ce qui se trouve dans AD. CSIA vérifie régulièrement l’appartenance au groupe, sur l’appareil, lors de l’utilisation du déploiement Cloud Connector basé sur l’agent. Lorsqu’un utilisateur appartient à plusieurs groupes de sécurité dans AD, une priorité peut être définie pour les stratégies mises en œuvre. Les numéros de priorité les plus élevés ont priorité sur les plus faibles.

Vous pouvez associer les groupes de sécurité Active Directory actuels aux groupes de sécurité CSIA en utilisant les mêmes noms pour les deux. Les groupes de sécurité CSIA peuvent se voir attribuer un numéro de priorité dans le cas où un utilisateur particulier fait partie de plusieurs groupes. CSIA place un utilisateur dans le groupe dont le numéro de priorité est le plus élevé. Des alias de groupe peuvent être attribués pour associer plusieurs groupes Active Directory à un seul groupe de sécurité CSIA.

CSIA peut utiliser quatre types d’authentification différents à l’aide du plug-in Cloud Connector, Cloud Identity, SAML ou Active Directory.

Cloud Connector : les Cloud Connector gèrent l’authentification de manière transparente via une clé de session envoyée à CSIA. Les Cloud Connector utilisent l’identité de l’utilisateur sur l’appareil. Une authentification supplémentaire n’est donc pas requise lors de l’accès à Internet. Lorsqu’un utilisateur navigue sur Internet, des stratégies sont appliquées en fonction du mappage des groupes de sécurité au sein de CSIA. Les groupes de sécurité dans CSIA peuvent être mis en correspondance avec les groupes et unités d’organisation existants. CSIA sait à quel groupe local appartient un utilisateur lorsque le Cloud Connector extrait et envoie ces informations de groupe au service CSIA. CSIA utilise ces informations pour créer une clé de session cryptée, qui est renvoyée à l’appareil. Chaque requête Web reçoit la clé de session ajoutée à la demande et est utilisée pour la mise en correspondance des stratégies.

Cloud Identity : les Cloud Connector peuvent synchroniser les groupes d’utilisateurs avec les fournisseurs d’identité cloud (IdP). Actuellement, CSIA prend en charge Google, Azure et Okta. Les configurations diffèrent d’un fournisseur à l’autre mais consistent généralement à spécifier l’intervalle d’actualisation, l’ID client, le secret et le domaine.

SAML : L’authentification SAML peut être basée sur le navigateur ou associée via le connecteur. SAML permet de transmettre l’authentification à un fournisseur d’identification SAML, CSIA agissant en tant que fournisseur de services. L’authentification SAML doit être associée à la redirection des données du proxy et prend en charge Okta, ADFS et d’autres fournisseurs SAML.

Plug-in AD : agent côté serveur qui peut être installé sur les contrôleurs de domaine pour fournir des services d’ouverture de session au sein du domaine. Les unités organisationnelles, les groupes de sécurité et les machines sont rassemblés à partir des contrôleurs de domaine et renvoyés au CSIA pour l’attribution des stratégies.

Des alias peuvent être ajoutés à un groupe de sécurité pour capturer plusieurs groupes d’utilisateurs dans un groupe CSIA plus important. Lorsque vous avez des utilisateurs qui appartiennent à plusieurs groupes, la priorité est importante. Plus la priorité du groupe est élevée, ce qui prévaut pour l’application de la stratégie. Il existe 3 moteurs de stratégies différents. Lorsqu’un paquet traverse CSIA, la détermination de la stratégie qui sera appliquée au paquet se fait dans l’ordre suivant :

  • Étape 1 - Sous-réseau IP : Le paquet est vérifié par rapport aux sous-réseaux locaux configurés dans les paramètres réseau en fonction de l’adresse IP source du paquet. Si une correspondance est trouvée, le groupe de stratégies est enregistré avant de continuer.
  • Étape 2 - Appareil : L’adresse IP source est comparée à la liste des ordinateurs statiques et dynamiques. Si une correspondance est trouvée, le groupe de stratégies de l’étape 1 est remplacé par celui trouvé ici.
  • Étape 3 - Stratégie utilisateur : Si un utilisateur est connecté à l’appareil et qu’il s’avère qu’il est associé à l’appareil, le groupe associé à cet utilisateur remplace le groupe de l’étape 2.

Fonctions de sécurité

Les passerelles conteneurisées analysent les données dans le cloud, ils filtrent le Web, empêchent les logiciels malveillants, détectent et empêchent la perte de données lorsque les données sont transférées vers et depuis les utilisateurs et Internet.

Capacités CSIA

Déchiffrement SSL/TLS

La plupart sinon la plupart des sites et services sur Internet cryptent leurs communications avec les utilisateurs, SSL/TLS étant le protocole le plus couramment utilisé pour ce faire. Cela rend la capacité d’inspecter le trafic SSL/TLS essentielle pour une sécurité Internet efficace. Sans cela, la majeure partie du trafic d’une organisation n’est pas sécurisée. Les malwares ou les malfaiteurs internes peuvent exfiltrer les données de l’entreprise sans les voir vers la passerelle.

En tant que tâche critique mais gourmande en processus, le déchiffrement SSL/TLS peut facilement surcharger les appliances de sécurité traditionnelles qui tentent d’obtenir une visibilité SSL/TLS complète sur le contenu et l’utilisation des applications cloud. CSIA dispose d’une architecture cloud évolutive qui s’étend et se rétrécit selon les besoins. Les ressources de chaque client sont entièrement conteneurisées. CSIA maintient les clés de déchiffrement de chaque organisation isolées des autres organisations.

Sans déchiffrement SSL/TLS, les rapports et les analyses sont limités. Par exemple, lors d’une recherche sur Internet sans que le paramètre soit activé, CSIA peut générer des rapports sur le site de recherche mais pas sur les mots-clés utilisés dans la requête de recherche. Le déchiffrement SSL/TLS n’est pas nécessaire pour bloquer, autoriser ou surveiller l’accès HTTP de base. Lorsque le déchiffrement SSL/TLS est activé, CSIA peut inspecter le trafic HTTPS, offrant ainsi des actions et une visibilité plus granulaires.

Le déchiffrement SSL/TLS de CSIA fonctionne en mettant en œuvre une procédure de sécurité « Man in the Middle ». Le déchiffrement SSL/TLS peut être effectué de manière transparente ou via une connexion proxy, la seule exigence étant que le certificat SSL/TLS soit déployé sur l’appareil connecté au cloud. La CSIA agit en tant qu’autorité de certification racine. Il intercepte les demandes SSL/TLS adressées aux sites légitimes, les demande, signe les données reçues avec son propre certificat CA et envoie les données au client.

Pour éviter les avertissements de sécurité du client, les appareils connectés auront besoin du certificat de la CSIA. Le certificat peut être distribué lors de l’installation du Cloud Connector. Pour vérifier, lors de la navigation sur un site, le certificat de confiance sera considéré comme étant émis par CSIA et non par le site. Les certificats SSL/TLS peuvent être poussés vers le bas via le programme d’installation, installés manuellement ou transmis à l’autorité de certification racine via n’importe quelle méthode classique.

Remarque sur le déchiffrement de toutes les destinations : Lorsque vous configurez le déchiffrement SSL pour la première fois, il est recommandé de commencer par le déchiffrement SSL sélectif, car tous les sites Web n’acceptent pas le déchiffrement SSL.

Le déchiffrement SSL peut être activé pour toutes les destinations vers lesquelles un utilisateur se rend sur Internet. D’un autre côté, pour les sites Web qui n’acceptent pas le déchiffrement SSL, un contournement peut être configuré pour déchiffrer uniquement certaines destinations de manière sélective. Vous trouverez ci-dessous les différents types de contournements pouvant être définis.

  • Domaines incluant tous les sous-domaines s’ils ne sont pas souhaitables pour le site
  • Remarque : le contournement d’un domaine inclut également tous ses sous-domaines
  • Catégories Web si cela n’est pas souhaitable pour la catégorie
  • Groupes si cela n’est pas souhaitable pour des utilisateurs/groupes spécifiques
  • Adresses IP et plages si ce n’est pas souhaitable

Protection contre les malware

CSIA utilise de nombreux niveaux de sécurité différents pour la protection contre les logiciels malveillants. La protection contre les logiciels malveillants inclut

  • Identification et atténuation des programmes malveillants depuis les principales bases de données de signatures
  • Un registre de logiciels malveillants propriétaire
  • Informations sur les menaces en temps réel avec mises à jour

Les administrateurs peuvent activer à la fois des défenses basées sur la réputation et une protection contre les logiciels malveillants qui utilisent des fonctionnalités avancées d’analyse de contenu et de sandbox. Streaming Malware Reputation traite les URL auxquelles les utilisateurs accèdent par rapport à une base de données de signatures. Advanced Malware Analysis Defense déposera automatiquement les fichiers téléchargés par les utilisateurs pour analyse comportementale.

Lors de l’application de règles de programmes malveillants au contenu, les règles sont vérifiées du haut vers le bas de la liste. Lorsqu’une correspondance est trouvée, la règle est choisie et aucune autre règle n’est prise en compte. Les règles de priorité les plus élevées figureront en haut de la liste. Les règles peuvent facilement être déplacées vers le haut ou vers le bas pour s’assurer que la priorité est définie dans l’ordre approprié. Les sites Web reçoivent un score de risque compris entre 1 et 100 en analysant divers aspects d’une demande, notamment l’URL, les en-têtes HTTP et le contenu du site. Sur la base de ce score, la page est bloquée ou autorisée en fonction des seuils de risque faible, moyen et risque élevé. Une action de demande de risque d’Autoriser ou de Bloquer peut être définie séparément pour chaque seuil de risque. Pour la plupart des configurations, les paramètres par défaut offrent le meilleur équilibre entre performances et sécurité.

  • Détection et prévention avancées des logiciels malveillants pour les menaces polymorphes
  • Surveillance des rappels de commande et de contrôle sur tous les ports et protocoles
  • Prévention des malwares et détection des violations sans signature et sans signature
  • Centre de réponse aux incidents
  • Détection et prévention des intrusions
  • Sandboxing comportemental des malwares
  • Streaming Malware & Reputation Defense - Bloque les hôtes et les adresses IP malveillants en utilisant les informations provenant d’une combinaison de CSIA et de plusieurs sociétés de renseignement sur les menaces leaders du secteur
  • Advanced Malware Analysis Defense - Inspecte les fichiers, y compris les archives. Les règles relatives aux programmes malveillants déterminent l’action entreprise si un fichier est considéré comme malveillant par le moteur antivirus

Les systèmes de prévention des intrusions (IPS) vous permettent de protéger votre réseau contre les menaces malveillantes présentes dans les flux de paquets, également appelées « données en mouvement ». Les paramètres de défense contre les logiciels malveillants pour les éléments tels que les fichiers et les archives gèrent les « données au repos ». Le moteur de stratégie IPS fonctionne dans CSIA. IPS vous permet de choisir les types de menaces qui sont traitées et enregistrées dans les journaux. Les modifications apportées à ces paramètres sont automatiquement synchronisées sur un cluster de nœuds. Pour la plupart des configurations, ces deux options sont activées :

  • Protection en temps réel contre les intrusions, les programmes malveillants et les virus : permet l’inspection et la prévention des menaces par paquets ou par flux
  • Exclure les sous-réseaux privés : Activez cette option si vous souhaitez ignorer le trafic local vers le trafic local.

Lorsque l’IPS détecte une menace, les règles de menace déterminent l’action qu’il entreprend. Les règles de menaces ont l’une des trois actions suivantes : Surveiller, Bloquer et Désactiver.

Filtrage Web

Les catégories Web constituent un moyen rapide et utile de filtrer l’accès et le trafic Web en fonction des mappages de groupes de sécurité. Selon le domaine, une ou plusieurs catégories lui sont associées en fonction de son domaine. Les paramètres de catégories Web définissent l’accès de base pour un groupe particulier. Les listes autorisées/bloquées et les couches de stratégie peuvent être configurées pour être plus précises. Vous pouvez choisir parmi plusieurs options d’action pour chaque catégorie individuelle. Les actions peuvent être appliquées à une catégorie Web et sont indépendantes les unes des autres. Les stratégies Web dans CSIA sont appliquées en fonction de l’association du groupe de sécurité de l’utilisateur. La plupart des stratégies de sécurité Web sur CSIA peuvent être appliquées à des groupes de sécurité de manière sélective ou à plusieurs groupes.

  • Les domaines sont classés en fonction du contenu de leurs sites.
  • Chaque catégorie possède son propre ensemble d’actions qui sont configurées indépendamment des autres catégories
  • Les domaines auxquels plusieurs catégories sont attribuées sont soumis à des priorités de catégories qui déterminent l’action rencontrée par l’utilisateur.
  • Il existe quatre actions principales que vous pouvez affecter à une catégorie Web : Autoriser, Bloquer, Invisibilité ou Remplacement progressif
  • Déchiffrement SSL activé/désactivé
  • Si un domaine est associé à plusieurs catégories, l’action qui lui est appliquée est déterminée par le numéro de priorité associé aux catégories. Les catégories dont les valeurs de priorité sont les plus élevées sont prioritaires.
  • Substitutions souples - Présente à l’utilisateur une page de blocage pour la catégorie mais permet à l’utilisateur de choisir une commande de remplacement souple
    • Permet à l’utilisateur d’accéder à l’URL jusqu’au lendemain
    • Toute page de blocage présentée avec un remplacement souple apparaît dans les rapports et les analyses comme bloquée de manière logicielle

Blocage ou autorisation d’un site Web

La navigation sur le site Web peut être bloquée en utilisant une liste rouge. Les listes de blocage peuvent être utilisées pour restreindre l’accès aux ressources réseau de manière sélective. Les listes d’autorisation autorisent l’accès aux URL bloquées par une stratégie de catégorie Web. Les listes d’autorisation peuvent être utilisées pour accorder l’accès à des ressources spécifiques.

Les différentes méthodes de configuration des listes de blocage sont les suivantes :

  • Correspondance d’URL : les URL peuvent être mises en correspondance à l’aide de domaines, de sous-domaines, d’adresses IP, de plages IP et de ports
  • Caractères génériques : les caractères génériques peuvent être utilisés dans la liste de blocage en omettant la barre oblique finale du chemin, c’est-à-dire « mywebsite-parent-domain.com »
  • Explicite : ce sont des entrées non génériques ; elles peuvent être créées en ajoutant une barre oblique finale au chemin, c’est-à-dire « mywebsite-parent-domain.com/ »
  • Expressions régulières : les expressions régulières peuvent être utilisées pour faire correspondre des modèles complexes

Pages de blocs personnalisées

Une page de blocage personnalisée peut être créée pour les utilisateurs qui tentent d’accéder à du contenu bloqué. En outre, la page de blocage peut également s’appliquer aux utilisateurs qui tentent d’accéder à l’intention en mode veille. Les pages de blocs personnalisées sont associées aux actions suivantes :

  • Redirection : envoyer les utilisateurs vers une URL spécifique
  • Silent Drop : empêche l’accès sans répondre
  • Autoriser l’utilisateur à se connecter : contourner la page de blocage en se connectant à un compte créé sur la passerelle

Mots clés

Le filtrage par mots clés peut être utilisé pour inspecter les URL afin de trouver des mots spécifiques.

  • La passerelle Web peut prendre des mesures pour autoriser ou bloquer l’activité de l’utilisateur en fonction du comportement associé au mot-clé recherché.
  • CSIA comprend des listes de mots clés prédéfinies pour adultes et à haut risque, qui peuvent être personnalisées selon les besoins.
  • Les administrateurs peuvent choisir d’activer les listes prédéfinies par groupe.

Protection contre la perte de données

Le module Data Loss Prevention (DLP) est un moteur d’analyse avancé qui inspecte les données en transit à la recherche de pertes potentielles et d’informations sensibles. Il inclut la détection intégrée des informations personnelles identifiables (PII), des informations de carte de crédit, y compris les données Stripe, et d’autres contenus. En outre, des modèles personnalisés peuvent être définis pour détecter du contenu tel que des données provenant de systèmes CRM ou de bases de données.

Le module DLP fournit une protection contre l’utilisation non autorisée du cloud et la perte de données sensibles. Cela inclut la protection de l’utilisation des services cloud afin de garantir que les données sensibles sont sécurisées et conservées au sein de services cloud approuvés par l’organisation. Capacités approfondies de prévention de la perte de données basées sur des fichiers pour détecter, alerter et arrêter le transfert de données sensibles. Les fonctionnalités de détection avancées détectent et protègent les informations sensibles du contenu en analysant de nombreux types de fichiers, y compris les fichiers imbriqués compressés.

Agent de sécurité d’accès au cloud

Le module de sécurité Web dispose de contrôles étendus sur les réseaux sociaux et les applications cloud. Les contrôles d’application Cloud Access Security Broker (CASB) vous permettent de gérer l’accès aux applications en ligne et aux réseaux sociaux courants. Les contrôles des applications cloud peuvent être utilisés pour restreindre l’activité sur les réseaux sociaux et les services cloud populaires. Les contrôles des applications Cloud peuvent être appliqués à des groupes de sécurité spécifiques pour autoriser ou bloquer des éléments tels que la publication, l’ajout de mentions J’aime, les abonnements, etc.

  • Le contrôle des applications dans le cloud peut être utilisé pour gérer l’utilisation des services de réseaux sociaux tels que Pinterest, Facebook, Twitter, LinkedIn, les moteurs de recherche, YouTube et Google Apps
  • Les contrôles pour chacun de ces éléments peuvent être ajustés par groupe
  • Des services Cloud et SaaS spécifiques et des sites de réseaux sociaux nécessitent l’activation du déchiffrement SSL

Les contrôles des moteurs de recherche vous permettent de définir les paramètres SafeSearch sur différents moteurs de recherche. Ces paramètres peuvent également être appliqués globalement ou à des groupes spécifiques. Les moteurs de recherche des navigateurs Web Google, Yahoo et Bing sont pris en charge.

Vous pouvez empêcher les utilisateurs de télécharger des fichiers vers différents services cloud. Le chargement de fichiers peut être bloqué pour les chargements de fichiers Dropbox, Box, OneDrive, Google Drive et Generic. Le gestionnaire YouTube peut restreindre le contenu, masquer les commentaires et créer une bibliothèque de vidéos répertoriées autorisées. Les paramètres du gestionnaire YouTube peuvent être appliqués globalement ou à des groupes de sécurité spécifiques.

Le gestionnaire YouTube peut effectuer d’autres actions telles que :

  • Page d’accueil : vous pouvez rediriger un utilisateur vers la chaîne YouTube Organizations.
  • Préservation de la bande passante : vous pouvez forcer la lecture de vidéos en définition standard
  • Vidéothèques autorisées : vous pouvez autoriser l’accès à des vidéos spécifiques bloquées par les paramètres de recherche restreinte de YouTube.

L’intégration CASB de Microsoft permet le contrôle de la stratégie de trafic pour les applications non autorisées et la visibilité des rapports CASB au sein de CSIA. L’intégration à la plateforme « Microsoft Cloud App » fournit un contrôle granulaire de la stratégie de trafic et des attributions pour bloquer les applications non autorisées et les rapports CASB au sein d’une interface unique. L’enregistrement du trafic en temps réel et les statistiques sont fournis via l’intégration d’API à la plateforme « Microsoft Cloud App Security ». L’intégration entre la configuration CSIA et Microsoft s’effectue simplement en saisissant les informations d’abonnement Microsoft dans CSIA.

Sécurité Web avancée

Lefiltrage des mots clés est utilisé pour inspecter les URL de certains mots clés et restreindre les recherches et les phrases des utilisateurs. Selon le résultat de l’inspection, le contenu peut être autorisé ou bloqué. Les mots clés peuvent être ajoutés manuellement ou issus d’une liste prédéfinie dans CSIA. Une option Wildcard peut être activée pour les recherches multimots/mots-clés qui sont des sous-chaînes de mots plus grands pouvant violer les mots bloqués. Exemple de caractère générique : le mot clé est « base ». Une correspondance générique pour « base » bloquera à la fois le mot de recherche « base » et « baseball ».

Blocage des ports La connectivité aux ressources réseau peut être limitée par certains ports pour les protocoles et la direction basés sur UDP et TCP, qu’ils soient entrants, sortants ou les deux. En outre, un horaire de blocage des ports peut être appliqué pour restreindre l’accès uniquement à certaines heures de la journée. Le contrôle de blocage de port bloque le trafic Internet sur des ports ou des plages de ports spécifiques.

  • Tout trafic utilisant les ports spécifiés est complètement bloqué.
  • Pour effacer les contrôles de blocage des ports, basculez les bascules activés pour les plages de ports que vous souhaitez désactiver sur NON.
  • Vous pouvez choisir de toujours bloquer les plages de ports pour le groupe sélectionné ou de bloquer les ports à l’aide d’une planification avancée.

Navigateur et système d’exploitation La connectivité aux ressources réseau peut être limitée par le navigateur et le système d’exploitation à des versions spécifiques. Les actions suivantes peuvent être appliquées aux restrictions du navigateur et du système d’exploitation :

  • Bloquer les éléments suivants : bloque l’accès à Internet pour certains navigateurs et versions de systèmes d’exploitation
  • Autoriser uniquement les éléments suivants : Autorise l’accès à Internet pour certains navigateurs et versions de systèmes d’exploitation
  • Déplacer un utilisateur : déplacer un utilisateur vers un autre groupe de sécurité (s’il n’a pas respecté les restrictions) pendant une période donnée

Contenu et type MIME Le type MIME (Multipurpose Internet Mail Extensions) est une méthode normalisée pour indiquer la nature et le format d’un document.

  • Les types MIME aident les navigateurs à comprendre comment traiter les fichiers récupérés à partir d’un serveur Web. Un navigateur fait correspondre son type de contenu au type MIME. Vous pouvez contrôler le type de contenu auquel vous pouvez accéder lors de la navigation.

  • La structure générale d’un type MIME se compose d’un type et d’un sous-type au format [type]/[sous-type]. Les exemples incluent Image/JPEG, Image/GIF, Image/MPEG.

Les extensions de fichiers peuvent être restreintes pour empêcher les utilisateurs de télécharger des fichiers dotés d’extensions spécifiques.

  • Le contrôle d’extension de nom de fichier empêche le téléchargement d’extensions de noms de fichiers spécifiques sur votre réseau.
  • Chaque extension peut comporter au maximum 15 caractères
  • Pour supprimer une extension de la liste rouge, cochez la case en regard de l’extension.

Par exemple, un fichier avec l’extension « .exe » peut causer des dommages s’il est exécuté par un utilisateur et peut donc être limité au téléchargement.

Extension de domaine Le contrôle d’extension de domaine vous permet de bloquer ou d’autoriser l’accès à des extensions de domaine spécifiques par groupe. Gérez la liste des extensions de domaine pour chaque groupe en :

  • Blocage des extensions de domaine dans la liste
  • Autoriser uniquement les extensions de la liste via Bloquer ou Autoriser uniquement les extensions de domaine
  • Chaque extension peut comporter au maximum 15 caractères

Par exemple, vous pouvez choisir de n’autoriser que les domaines se terminant par « .com » et « .net ». Tous les domaines qui ne se terminent pas par ces extensions seront bloqués. Des restrictions peuvent être mises en place pour empêcher les utilisateurs de naviguer vers des domaines de premier niveau spécifiques.

Remarque : La définition de la restriction de domaine de premier niveau n’empêche pas un utilisateur de naviguer par force brute par adresse IP

Les couches de stratégie offrent un contrôle plus avancé sur les stratégies de sécurité Web. Vous pouvez appliquer des listes d’autorisation, des listes bloquées, des filtres de catégories Web, le déchiffrement SSL et d’autres paramètres en fonction de divers critères préconfigurés. Ce critère inclut, mais n’est pas limité à :

  • Nom d’utilisateur
  • Groupe de sécurité
  • Plages IP
  • GéoIP

Les couches de stratégie contiennent le concept de liaison dynamique, selon lequel les stratégies ne sont appliquées que si toutes les conditions de critères ou certaines d’entre elles sont déclenchées. En outre, la couche de stratégie peut être définie sur une planification avancée, similaire à celle du mode veille Internet. Règles de proxy pour déclencher des actions en réponse à certains types d’activité réseau.

  • Les règles de proxy sont créées en les associant à des modèles de correspondance
  • Les modèles de correspondance et les règles sont définis indépendamment les uns des autres
  • Cette séparation logique permet de les associer les uns aux autres dans de nombreuses combinaisons différentes, maximisant ainsi les possibilités logiques
  • Une règle est déclenchée lorsque l’état des modèles de correspondance spécifiés par la règle est évalué comme « vrai »
  • Les actions comprennent la redirection de domaine, le contournement ou l’application de l’authentification par proxy et même la modification des en-têtes de requête HTTP

Débit

CSIA vous permet d’acheminer les données réseau vers le cloud pour exécuter des fonctions de sécurité réseau sans avoir besoin d’appareils en ligne. Le schéma suivant détaille le flux de processus du début à la fin.

Flux de processus CSIA

  1. L’utilisateur sélectionne un lien ou saisit une URL dans le navigateur Web local
  2. L’agent CSIA identifie l’appartenance de l’utilisateur et du groupe Active Directory
  3. CSIA analyse si le domaine ou l’URL doit être contourné dans le script ou l’agent PAC. Si c’est le cas, la demande est ignorée de la sécurité du cloud.
  4. La CSIA analyse si la demande doit être bloquée par l’IPS. Si c’est le cas, la demande est bloquée.
  5. CSIA marque le nom d’utilisateur et le groupe de stratégies à la demande.
  6. La CSIA analyse si la demande sera déchiffrée. Si c’est le cas, la demande est déchiffrée et un certificat est ajouté au flux de trafic.
  7. CSIA analyse si la demande correspond à une règle de blocage de proxy. Si ce n’est pas le cas, il passe aux règles du CASB. Si c’est le cas, la demande est comparée aux listes Autoriser et Bloquer. S’il existe une règle de liste rouge de pondération plus élevée, la demande est bloquée. Dans le cas contraire, la demande est autorisée.
  8. CSIA analyse si la demande correspond à une règle de blocage CASB. Si c’est le cas, la demande est bloquée.
  9. CSIA analyse si la destination correspond à une entrée de la liste verte.
  10. CSIA analyse si la destination correspond à une entrée de la liste rouge.
  11. CSIA analyse si la destination correspond à une règle de blocage des programmes malveillants. Si c’est le cas, la demande est bloquée.
  12. CSIA analyse si la demande correspond à une règle de blocage DLP. Si c’est le cas, la demande est bloquée.
  13. CSIA analyse si la destination correspond à une entrée de la règle YouTube Manager. Si c’est le cas, la demande est bloquée.
  14. CSIA analyse si la destination correspond à une catégorie Web bloquée. Si c’est le cas, la demande est bloquée.
  15. CSIA analyse si l’adresse IP de la destination doit être bloquée par les règles GEO IP. Si c’est le cas, la demande est bloquée.
  16. CSIA analyse si la demande correspond aux stratégies de sécurité Web restantes. Si c’est le cas, la demande est bloquée. Dans le cas contraire, la demande est autorisée.
  17. CSIA analyse si la demande correspond aux signatures de ligne Microsoft MCAS synchronisées. Si ce n’est pas le cas, la demande est autorisée par Cloud Security. Si c’est le cas, la demande est vérifiée par rapport aux stratégies de blocage MCAS et autorisée ou bloquée en fonction du résultat.

Cas d’utilisation de Citrix SD-WAN + SIA

L’intégration de Citrix SD-WAN et CSIA offre flexibilité et choix pour un profil mixte d’utilisateurs de succursales au sein d’une entreprise. Une entreprise possède généralement un mélange d’appareils gérés et non gérés dans la succursale où un Citrix SD-WAN existe. Grâce à cette intégration, le CSIA Cloud Connector permet au SD-WAN de répartir en toute sécurité le trafic des appareils gérés vers le cloud CSIA à l’aide du service Internet (avec équilibrage de charge). Les appareils non gérés tels que les utilisateurs BYOD et invités sont sécurisés à l’aide du tunnel IPsec entre Citrix SD-WAN et CSIA en tant que points de terminaison du tunnel.

CSIA avec SD-WAN

Il existe plusieurs moyens de sécuriser les utilisateurs lorsqu’ils accèdent aux applications cloud et SaaS. Les méthodes couvrent les cas d’utilisation dans lesquels l’utilisateur est assis derrière une appliance SD-WAN dans la succursale ou à la maison, ou s’il est entièrement mobile.

Pour un utilisateur assis dans un siège social, le SD-WAN crée automatiquement une connectivité sécurisée avec le point de présence CSIA le plus proche. Le trafic est tunnelisé via un tunnel GRE ou IPSec. La redondance est obtenue à la fois au niveau du tunnel et via de multiples liaisons vers des points de présence principaux et secondaires.

Si un utilisateur quitte le périmètre de l’entreprise, le Cloud Connector installé sur l’appareil se charge de rediriger le trafic vers le cloud CSIA. Le connecteur sert également à authentifier l’utilisateur et à installer les certificats appropriés pour le déchiffrement SSL.

Pour plus d’informations sur la configuration, lisez le guide PoC suivant : CSIA and SD-WAN PoC Guide

Intégration avec Citrix Virtual Apps and Desktops

Les déploiements Citrix Virtual Apps & Desktops peuvent être intégrés à CSIA. Lorsqu’ils accèdent depuis Citrix Workspace, les utilisateurs bénéficient d’une expérience unifiée qui leur permet d’accéder à toutes les applications et bureaux pertinents pour l’entreprise via une interface rationalisée.

Les Cloud Connector de CSIA peuvent être configurés en mode multi-utilisateur. Les administrateurs peuvent appliquer différentes stratégies à différents utilisateurs sur des systèmes multi-utilisateurs tels que Citrix Virtual Apps and Desktops et autres. Au lieu de considérer les utilisateurs comme un seul utilisateur, ils sont vus et enregistrés en tant qu’individus.

Les utilisateurs se connectent à Citrix Workspace via l’authentification unique. Une fois connectés, les utilisateurs ont accès à toutes les applications et postes publiés, y compris les applications SaaS et les navigateurs tels que Chrome. L’accès privé sécurisé fournit un accès sécurisé, sensible à l’identité et zéro confiance aux applications internes. CSIA fournit un accès sécurisé à Internet et aux applications SaaS à partir d’applications et de postes publiés.

Flux de processus CSIA

Supposons maintenant que le même utilisateur décide de se déconnecter de Citrix Workspace et d’accéder aux applications SaaS en ouvrant simplement un navigateur depuis son ordinateur portable. Ou peut-être que l’utilisateur décide d’accéder à un site Web de partage de vidéos ou à un site Web de partage de fichiers personnels via un navigateur sur son ordinateur portable. Dans tous les cas similaires où l’utilisateur accède à Internet et au SaaS, l’utilisateur continue d’être protégé par CSIA même s’il se trouve en dehors de Citrix Workspace.

CSIA avec Citrix Workspace

Pour obtenir des informations de configuration, consultez le guide PoC suivant. Guide PoC CSIA et Citrix Virtual Apps and Desktops

Fiche technique : Citrix Secure Internet Access