Accès sécurisé à Workspace

Généralités

Comme les utilisateurs consomment davantage d’applications SaaS, les entreprises doivent être en mesure d’unifier l’accès à toutes les applications et de simplifier l’authentification des utilisateurs finaux tout en appliquant les normes de sécurité et de confidentialité. Il est également essentiel de surveiller les SLA des fournisseurs, l’utilisation des applications et les analyses de sécurité. Citrix Secure Workspace Access répond à ces exigences et bien plus encore.

L’Secure Workspace Access fournit un accès instantané à la connexion unique (SSO) aux applications SaaS et Web, des stratégies de sécurité granulaires et contextuelles, des stratégies de protection des applications pour toutes les applications, l’isolation des navigateurs Web et des stratégies de filtrage Web. Secure Workspace Access combine des éléments de plusieurs services Citrix Cloud pour offrir une expérience intégrée aux utilisateurs finaux et aux administrateurs :

• MFA et approbation des appareils
• SSO Web et SaaS
• Passerelle
• Contrôle des applications cloud
• Filtrage Web
• Secure Browser
• Protection des applications
• Analytics

Figure 1 : fonctionnalités d’Secure Workspace Access

Identité principale préférée

Chaque organisation peut sélectionner son propre fournisseur d’identité unique pour l’authentification initiale des utilisateurs finaux vers Citrix Workspace. Avec Workspace, les utilisateurs finaux se connectent à l’aide de stratégies d’authentification fortes en utilisant leur identité d’utilisateur principale.

Workspace utilise l’identité principale pour autoriser l’utilisateur à utiliser un ensemble de ressources, chacune ayant probablement des identités supplémentaires. Les comptes associés à l’ensemble des ressources autorisées sont des identités secondaires.

Voici des exemples d’identités primaires :

• Azure Active Directory : le processus de connexion à l’espace de travail est redirigé vers Azure Active Directory, qui peut intégrer la marque personnalisée, l’authentification multifacteur, les stratégies de mot de passe et l’audit.
• Windows Active Directory : utilise l’environnement Active Directory local d’une organisation pour la connexion initiale à l’expérience de l’espace de travail de l’utilisateur. Pour fédérer Active Directory local avec Citrix Cloud, l’administrateur déploie des connecteurs cloud redondants dans le même emplacement de ressources qu’Active Directory.
• Active Directory avec mot de passe unique basé sur le temps : L’authentification basée sur Active Directory peut également inclure une authentification multifacteur avec un mot de passe à usage unique (TOTP) basé sur le temps.
• Citrix Gateway : Les organisations peuvent utiliser un Citrix Gateway local pour agir en tant que fournisseur d’identité pour Citrix Workspace.
• Okta : Les organisations peuvent utiliser Okta comme répertoire d’utilisateurs principal pour Citrix Workspace.

Figure 2 : fournisseurs d’identité multiples

Le fait d’avoir des identités primaires et secondaires permet à Secure Workspace Access d’utiliser un tiers pour fournir une authentification unique aux applications SaaS. Secure Workspace Access traite le tiers comme un fournisseur de services pour fournir une chaîne d’identité à l’annuaire principal des utilisateurs. Ce chaînage d’identité permet aux clients de rester sur leur fournisseur SSO actuel sans nécessiter de modifications majeures et de mettre en place des stratégies de sécurité et des analyses améliorées.

Figure 3 : Utilisation de plusieurs fournisseurs d’identité

En savoir plus ici

Single Sign-On

Secure Workspace Access est en mesure de créer une connexion à des applications Web locales sans compter sur un VPN. Cette connexion sans VPN utilise un connecteur déployé sur site. Le connecteur crée un canal de contrôle sortant vers l’abonnement Citrix Cloud de l’organisation. À partir de là, Secure Workspace Access est en mesure de tunnels de connexions aux applications Web internes tout en fournissant l’interface SSO.

Il se peut que certaines organisations aient déjà normalisé un fournisseur de services SSO. Secure Workspace Access est en mesure d’utiliser des fournisseurs SSO tiers et d’extraire ces ressources dans Workspace pour conserver un emplacement unique pour toutes les ressources.

Une fois l’utilisateur authentifié avec une identité principale, la fonctionnalité d’authentification unique de Citrix Cloud utilise des assertions SAML pour répondre automatiquement aux défis d’authentification suivants pour SaaS et applications Web. Plus de 300 modèles SSO SAML sont disponibles pour une configuration rapide pour les applications Web et SaaS.

Figure 4 : SSO vers SaaS à l’aide de SAML

En savoir plus ici

Isolation du

L’Secure Workspace Access permet aux utilisateurs finaux de naviguer sur Internet en toute sécurité. Lorsqu’un utilisateur final lance une application SaaS à partir de Citrix Workspace, plusieurs décisions sont prises dynamiquement pour décider de la meilleure façon de servir cette application SaaS. Secure Workspace Access offre trois façons de servir cette application à l’utilisateur final :

• Lancez l’application dans le navigateur local sans sécurité renforcée
• Lancez l’application dans le navigateur intégré dans Citrix Workspace
• Lancez l’application dans une session Secure Browser — un navigateur virtualisé

Figure 5 : plusieurs options du navigateur

Outre l’utilisation du navigateur Web local, Citrix offre deux alternatives à l’accès aux applications dans Workspace.

Tout d’abord, le navigateur intégré Citrix Workspace est un navigateur basé sur Chrome s’exécutant sur l’ordinateur client intégré dans le sandbox de sécurité Citrix Workspace. L’exécution locale offre aux utilisateurs finaux les meilleures performances pour le rendu des pages Web des applications SaaS. Le sandbox sécurisé protège l’utilisateur final et l’entreprise contre les logiciels malveillants, la dégradation des performances, la perte de données et le comportement involontaire de l’utilisateur final.

Figure 6 : navigateur intégré à Citrix Workspace

Deuxièmement, le service Citrix Secure Browser est un service de navigateur hébergé dans le cloud qui ne nécessite pas d’installation de navigateur sur les machines des utilisateurs finaux. Le Secure Browser Service est essentiellement un navigateur virtualisé exécuté dans Citrix Cloud. Ce service de navigateur hébergé fournit un moyen sécurisé d’accéder à Internet et aux applications basées sur un navigateur d’entreprise. Il crée un espace d’air entre le navigateur et les utilisateurs, les appareils et les réseaux, les protégeant contre les logiciels malveillants dangereux.

Les liens Web vers des sites Web inconnus ou risqués peuvent être automatiquement redirigés vers le navigateur intégré Citrix Workspace ou le Secure Browser Service afin de protéger les utilisateurs finaux contre les sites Web potentiellement malveillants. Cette transition est totalement transparente pour l’utilisateur final et assure la sécurité des entreprises tout en permettant aux employés de faire leur travail.

Secure Workspace Access dispose d’une grande base de données d’URI évaluées par risque et les administrateurs peuvent définir des stratégies sur des domaines spécifiques afin d’autoriser ou de bloquer les URI. Les administrateurs peuvent également définir des stratégies sur la manière dont les applications doivent être servies aux utilisateurs finaux.

Figure 7 : isolement du navigateur Web avec le navigateur intégré Citrix Workspace et le service Secure Browser

Le diagramme suivant compare le flux de communication avec les applications SaaS sanctionnées lors de l’utilisation de l’application Workspace avec navigateur intégré par rapport à un navigateur local.

Figure 8 : Diagramme de flux de sécurité amélioré

Sécurité améliorée

Pour protéger le contenu, Secure Workspace Access intègre des stratégies de sécurité améliorées dans les applications SaaS. Chaque stratégie applique une restriction sur le navigateur intégré lors de l’utilisation de l’application Workspace ou du Secure Browser Service lors de l’utilisation de l’espace de travail sur Web ou mobile.

Appelée Cloud App Control, cette fonctionnalité fournit aux services informatiques un moyen d’appliquer des stratégies de sécurité sur les applications Web et SaaS qu’ils fournissent aux employés. Ces stratégies protègent les données stockées dans les applications suivantes :

• Navigateur préféré : désactive l’utilisation du navigateur local et s’appuie sur le moteur de navigateur intégré (application Workspace - bureau) ou Secure Browser (application Workspace — mobile et Web).
• Restreindre l’accès au presse-papiers : désactive les opérations de coupe/copier/coller entre l’application et le presse-papiers du point de terminaison.
• Restreindre l’impression : désactive la possibilité d’imprimer à partir du navigateur de l’application.
• Restreindre la navigation : désactive les boutons du navigateur suivant/arrière.
• Restreindre les téléchargements : désactive la capacité de téléchargement de l’utilisateur à partir de l’application SaaS.
• Filigrane d’affichage : superpose un filigrane sur écran indiquant le nom d’utilisateur et l’adresse IP du point de terminaison. Si un utilisateur tente d’imprimer ou de prendre une capture d’écran, le filigrane apparaît comme affiché à l’écran.

Figure 9 : Stratégies de sécurité améliorées avec une application Web interne

Protection des applications

Un risque qui doit être atténué lorsque les utilisateurs finaux utilisent leurs appareils personnels pour travailler est les logiciels malveillants. Deux des types les plus dangereux sont l’enregistrement de touches et les logiciels malveillants de capture d’écran. Ces deux éléments peuvent être utilisés à la fois pour exfiltrer et collecter des informations sensibles telles que les informations d’identification des utilisateurs ou des informations personnelles identifiables.

Secure Workspace Access dispose de stratégies avancées pour protéger les données des utilisateurs et de l’organisation sur le Web, le SaaS et les applications virtuelles. Les stratégies de protection des applications protègent les sessions utilisateur et le détournement de données d’application par les enregistreurs de frappe et les logiciels malveillants de capture d’écran

Les stratégies de protection des applications sont des règles appliquées tout en améliorant la sécurité d’une application.

• Anti-keylogging : protège la fenêtre active en focus contre les enregistreurs de touches en chiffrant les frappes
• Capture anti-écran : protège la fenêtre active contre les captures d’écran en effaçant l’écran

Un risque moins malveillant mais tout aussi dangereux est le partage d’écran accidentel. La frontière entre utilisation personnelle et utilisation professionnelle sur les appareils a été floue, il est donc devenu courant pour les utilisateurs finaux de passer d’une application professionnelle à un lieu de rencontre virtuel avec des amis ou des membres de la famille sur cet appareil. Dans ces scénarios, le partage accidentel d’écran de données sensibles dans l’application métier peut entraîner des problèmes importants, en particulier pour les utilisateurs finaux des secteurs hautement réglementés.

Figure 10 : Stratégies de protection des applications protégeant la confidentialité de Citrix Workspace lors de l’utilisation d’une application de partage d’écran

Filtrage Web

Secure Workspace Access inclut un moteur de filtrage d’URL. En utilisant les informations contenues dans les URL, cette fonctionnalité aide les administrateurs à surveiller et à contrôler l’accès des utilisateurs aux sites Web malveillants sur Internet. Avec les options d’isolation du navigateur mentionnées précédemment, le filtrage Web permet aux administrateurs de choisir parmi les options. Ils peuvent bloquer complètement une URL, exiger l’accès à une URL dans le navigateur intégré ou exiger l’accès à une URL dans une session Secure Browser.

Le contrôleur de filtrage Web utilise une base de données de catégorisation et une liste d’URL. Lorsque la demande est adressée au contrôleur de filtrage Web, il vérifie d’abord la liste d’autorisation globale qui contient également des URL Citrix Cloud critiques. Ensuite, il vérifie à « Listes et catégorisation » et vérifie avec bloqué et autorisé et redirige vers Secure Browser URL. Si aucune des URL ne correspond, elle revient par défaut à la liste par défaut.

Figure 11 : Processus de filtrage Web

Les administrateurs peuvent adopter une approche prudente même pour accéder aux URL de liste d’autorisation. Cette approche permet aux utilisateurs d’accéder à l’information dont ils ont besoin. Il n’a aucun impact sur la productivité tout en offrant une protection contre les menaces imprévues ou les contenus malveillants diffusés sur Internet.

Un moteur de filtrage d’URL traditionnel qui suppose la confiance pour une URL de liste d’autorisation. Secure Workspace Access ne fait pas implicitement confiance à une URL de liste d’autorisation puisque les pages Web, considérées comme sûres par les moteurs de filtrage d’URL, peuvent héberger des liens malveillants. Avec Secure Workspace Access, les URL des sites de confiance sont également testées.

Figure 12 : Stratégies de filtrage Web protégeant les utilisateurs finaux qui accèdent par inadvertance aux sites de la liste bloqué

Le diagramme suivant compare le flux de communication avec les URL des applications SaaS sanctionnées lors de l’utilisation de l’application Workspace avec navigateur intégré par rapport à un navigateur local.

Figure 13 : Diagramme de flux de filtre d’URL

Analyses de sécurité

Les utilisateurs finaux accèdent invariablement aux applications SaaS dont la sécurité est améliorée. L’application Workspace, le service Citrix Gateway et le service Secure Browser fournissent au service d’analyse de sécurité des informations sur les comportements d’utilisateur et d’application suivants. Ces analyses ont un impact sur le score de risque global de l’utilisateur :

• Heure de lancement de l’application
• Heure de fin de l’application
• Action d’impression
• Accès au Presse-papiers
• Accès aux URL
• Chargement de données
• Téléchargement de données

La fonction de filtrage Web évalue le risque de chaque lien hypertexte sélectionné dans l’application SaaS. L’accès à ces sites et la surveillance des changements dans le comportement des utilisateurs augmentent le score de risque global de l’utilisateur. Il signale que le périphérique terminal est compromis et commence à infecter ou à chiffrer les données ou que l’utilisateur et l’appareil volent la propriété intellectuelle.

Usage analytics (Analyse de l’utilisation)

Usage Analytics fournit des informations sur les données d’utilisation de base de Secure Workspace Access. Les administrateurs bénéficient d’une visibilité sur la façon dont les utilisateurs interagissent avec les applications SaaS et Web utilisées dans leur organisation.

Les données d’utilisation les aident à comprendre l’adoption et l’engagement des utilisateurs d’un produit. Les mesures suivantes permettent de déterminer la façon dont les sont utilisés et d’ajouter de la valeur ajoutée pour les utilisateurs :

• Nombre d’utilisateurs uniques utilisant les applications SaaS et Web
• Principaux utilisateurs SaaS et applications Web
• Nombre d’applications SaaS et Web lancées
• Principales applications SaaS et Web
• Principaux domaines accédés par les utilisateurs
• Quantité totale de données téléchargées et téléchargées sur les utilisateurs, les applications et les domaines

En savoir plus ici

Cas d’utilisation

Accès sans VPN

Citrix Secure Workspace Access complète ou remplace les solutions VPN existantes par une solution Zero Trust qui permet l’accès aux utilisateurs distants sans VPN. Cette solution résout de nombreux défis en fournissant l’accès aux ressources internes pour les utilisateurs externes. Avec Secure Workspace Access, il y a :

• Aucun périphérique réseau à gérer, à entretenir et à sécuriser, ce qui réduit l’étalement de l’appliance
• Aucune adresse IP publique requise car les services cloud sont en mesure de contacter les ressources internes via les connecteurs de cloud
• Aucune règle de pare-feu requise car le connecteur cloud et les ressources d’application/bureau virtuelles établissent des connexions sortantes aux services basés sur le cloud (aucune communication entrante requise)
• Un déploiement global, les organisations sont automatiquement routées/réacheminées vers le service de passerelle optimal, simplifiant grandement toutes les configurations requises par l’organisation.
• Aucune modification de l’infrastructure sous-jacente du centre de données.

Workspace est capable de créer une connexion à des applications Web locales sans compter sur un VPN. Cette connexion sans VPN utilise un connecteur déployé sur site. Le connecteur crée un canal de contrôle sortant vers l’abonnement Citrix Cloud de l’organisation. À partir de là, Workspace est en mesure de créer un tunnel de connexions aux applications Web internes tout en fournissant l’interface SSO. L’accès sans VPN améliore non seulement la sécurité et la confidentialité, mais améliore également l’expérience utilisateur final.

Figure 14 : Cas d’utilisation 1 : accès sans VPN

Contrôles SSO et de sécurité pour les applications SaaS

Secure Workspace Access propose des stratégies d’authentification unique et contextuelles pour l’accès aux applications Web et SaaS. L’utilisation de Citrix Gateway ou d’Okta en tant qu’IdP fournit la prise en charge de tous les mécanismes d’authentification multifacteurs et contrôles contextuels. Ces intégrations protègent l’investissement existant des clients dans l’écosystème d’identité et facilitent leur passage vers le cloud sans une mise à niveau de chariot élévateur et de remplacement.

Bien qu’une application SaaS autorisée soit considérée comme sûre, le contenu de l’application SaaS peut être dangereux, ce qui constitue un risque pour la sécurité. Lorsqu’un utilisateur clique sur un lien hypertexte dans une application SaaS, le trafic est acheminé via la fonction de filtrage Web, qui fournit une évaluation des risques pour le lien hypertexte. En fonction de l’évaluation des risques et des catégories d’URL du lien hypertexte, la fonction de filtrage Web permet, refuse ou redirige la demande de l’utilisateur comme suit :

• Approuvé : le lien hypertexte est considéré comme sûr et le navigateur intégré accède au lien hypertexte dans l’application Workspace.
• Refusé : le lien hypertexte est considéré comme dangereux et l’accès est refusé.
• Redirection : la demande de lien hypertexte est redirigée vers le navigateur intégré ou le Secure Browser Service, où les activités de navigation Internet de l’utilisateur sont isolées du terminal, du réseau d’entreprise et de l’application SaaS

La sécurité renforcée grâce à la protection des applications fournit aux services informatiques un moyen d’appliquer des stratégies de sécurité sur les applications Web et SaaS qu’ils fournissent aux employés. Ces stratégies protègent les données stockées dans ces applications en appliquant les contrôles suivants :

• Filigrane
• Restreindre la navigation
• Restreindre les téléchargements
• Restreindre la journalisation
• Filtrage des sites Web
• Limiter la capture d’écran
• Restreindre l’impression

Un plus grand nombre de collaborateurs distants signifie davantage de réunions à distance et de conférences Web via diverses applications. Ces réunions exigent généralement que les employés partagent leur écran, ce qui ouvre la possibilité d’exposer des données sensibles par erreur. La fonctionnalité Protection des applications protège contre les logiciels malveillants de capture d’écran et la capture d’écran de conférence Web en renvoyant une capture d’écran vierge au lieu des informations affichées sur l’écran d’un utilisateur. Cette protection s’applique également aux outils de capture d’écran, aux outils d’écran d’impression, à la capture d’écran et aux outils d’enregistrement les plus courants.

L’isolement du navigateur pour le trafic Internet protège les utilisateurs finaux et les entreprises contre les menaces basées sur le Web. Avec le navigateur intégré et le Secure Browser Service, les administrateurs ont le choix d’accéder à des sites dans un navigateur Chrome local à une machine virtuelle (VM) hébergée dans le cloud. Avec le service, les attaques possibles sont contenues dans le cloud. Les navigateurs s’exécutent dans un environnement isolé où la machine virtuelle est détruite après utilisation et où une nouvelle instance est créée pour chaque accès à l’application. Les stratégies contrôlent des fonctions telles que « Copier et Coller » afin qu’aucun fichier ou données ne puisse atteindre le réseau de l’entreprise.

Figure 15 : Cas d’utilisation 2 : Contrôles SSO et de sécurité pour les applications SaaS

Protection des données utilisateur et d’entreprise sur les points de terminaison BYO et non gérés

Grâce à des stratégies de sécurité améliorées, Secure Workspace Access permet aux administrateurs de protéger leur organisation contre la perte de données et le vol d’informations d’identification. Les politiques de sécurité améliorées sont encore plus importantes lorsque les employés utilisent des appareils personnels pour accéder aux ressources de l’entreprise.

Un ensemble de stratégies est la fonctionnalité de protection des applications. App Protection permet aux administrateurs Citrix d’appliquer des stratégies pour protéger les terminaux contre la capture d’écran et la journalisation des clés. Cette fonctionnalité protège les employés contre les logiciels malveillants ou les enregistreurs de touches qui peuvent potentiellement capturer des mots de passe ou des informations personnelles.

Les stratégies de protection des applications fonctionnent en contrôlant l’accès à des appels d’API spécifiques du système d’exploitation sous-jacent requis pour capturer des écrans ou des pressions de clavier. Ces stratégies peuvent se protéger même contre les outils de piratage les plus personnalisés et spécialement conçus. Il permet de sécuriser toute application virtuelle ou Web que les employés utilisent dans Citrix Workspace et dans les boîtes de dialogue d’authentification (empêchant les fuites de mot de passe) dans Workspace.

La fonctionnalité App Protection rend le texte saisi par l’utilisateur indéchiffrable en le chiffrant avant qu’un outil de keylogging puisse y accéder. Un keylogger installé sur le point de terminaison client lisant les données capturerait des caractères charabia au lieu des frappes que l’utilisateur saisit.

Figure 16 : Cas d’utilisation 3 : protection des données utilisateur et d’entreprise sur les périphériques BYO et non gérés

Synthèse

En conclusion, Citrix Workspace regroupe toutes les ressources dans une interface utilisateur unique et personnalisée. Les utilisateurs finaux peuvent opter pour une application Workspace installée localement (bureau et mobile) ou utiliser leurs navigateurs locaux pour accéder à un espace de travail basé sur le Web. Indépendamment de l’approche choisie et de l’appareil choisi, l’expérience reste familière et cohérente.

Avec Secure Workspace Access, les entreprises vont au-delà de l’accès et de l’agrégation. Secure Workspace Access offre des contrôles de stratégie informatique qui permettent un accès conditionnel aux applications SaaS et à la navigation sur Internet. Il améliore la position globale de sécurité et de conformité d’une organisation. L’expérience utilisateur reste transparente et intégrée dans Citrix Workspace. Les applications SaaS et Web sont accessibles en même temps que leurs applications mobiles et virtuelles et leurs postes de travail.