エンタープライズ Web および SaaS アプリケーションへのコンテキストに応じたアクセス — Tech Preview

今日の絶えず変化する状況において、アプリケーションセキュリティはあらゆるビジネスにとって不可欠です。コンテキスト認識型のセキュリティ決定を行い、アプリケーションへのアクセスを有効にすると、ユーザーへのアクセスを有効にしながら、関連するリスクが軽減されます。

Citrix Secure Workspace Accessサービスのコンテキストアクセス機能は、アプリケーションへの安全なアクセスを提供する包括的なゼロトラストアクセスアプローチを提供します。コンテキストに応じたアクセスにより、管理者はコンテキストに基づいてユーザーがアクセスできるアプリへのきめ細かなレベルのアクセスを提供できます。ここでの「コンテキスト」という用語は、ユーザー、ユーザーグループ、プラットフォーム(モバイルデバイスまたはデスクトップコンピュータ)、およびユーザーがアプリケーションにアクセスしている場所(国)を指します。

コンテキストアクセス機能は、アクセスされているアプリケーションにコンテキストポリシーを適用します。これらのポリシーは、コンテキストに基づいてリスクを決定し、エンタープライズ Web または SaaS アプリケーションへのアクセスを許可または拒否する動的なアクセス決定を行います。

機能

アプリケーションへのアクセスを許可または拒否するには、管理者はユーザー、ユーザーグループ、ユーザーがアプリケーションにアクセスするデバイス、およびアプリケーションへのアクセス元の場所(国)に基づいてポリシーを作成します。

コンテキストアクセスポリシーは、Citrix Gateway サービスにSaaSまたはWebアプリケーションを追加するときに構成されるアプリケーション固有のセキュリティポリシーよりも優先されます。

たとえば、Microsoft Word アプリがユーザー Emp1 と Emp2 にサブスクライブされているとします。印刷の制限、ダウンロードの制限、ウォーターマークの表示などの強化されたセキュリティオプションは、Citrix Gateway サービスにアプリを追加するときに、アプリケーションに対して有効になります。

この場合、管理者はアプリレベルのポリシーを適用するポリシーを作成する必要があります。コンテキストポリシーがコンテキストに基づいて一致しない場合、自動的にアプリレベルのポリシーにフォールバックします。その後、管理者は Emp2 のコンテキストセキュリティ制御を持たない別のポリシーを作成できます。

このシナリオでは、Emp1 がアプリにアクセスするときに拡張セキュリティオプションが適用されます。ただし、Emp2 の場合、コンテキストアクセスポリシーによってアプリケーションレベルのポリシーが上書きされるため、Emp2 には拡張セキュリティオプションは適用されません。

コンテキストアクセスポリシーは、次の 3 つのシナリオで評価されます。

  • Citrix Gateway サービスからのWebまたはSaaSアプリケーションの列挙中-このユーザーへのアプリケーションアクセスが拒否された場合、ユーザーはワークスペースでこのアプリケーションを表示できません。

  • アプリケーションの起動中 — アプリを列挙した後、コンテキストポリシーがアクセスを拒否するように変更された場合、アプリが以前に列挙されていても、ユーザーはアプリを起動できません。

  • 組み込みブラウザまたはSecure Browserサービスでアプリを開いた場合-組み込みブラウザは、いくつかのセキュリティ制御を強制します。これらのコントロールは、クライアントによって強制されます。組み込みブラウザが起動すると、サーバーはユーザーのコンテキストポリシーを評価し、それらのポリシーをクライアントに返します。次に、クライアントは、組み込みブラウザでポリシーをローカルに適用します。

コンテキストに応じたアクセスの権利があるお客様

Citrix Secure Workspace Accessサービスの資格があるお客様は、追加料金なしでコンテキストアクセス機能を利用できます。さらに、コンテキストアクセス機能がそのカスタマーに対して有効になっている必要があります。

コンテキストアクセスポリシーの作成

  1. Citrix Gatewayサービスのタイルで、[ 管理]をクリックします。
  2. [ 管理 ] タブをクリックし、[ コンテキストアクセス] をクリックします。
  3. [ポリシーの作成] をクリックします。

    コンテキストアクセスポリシーの作成

  4. これらのアプリケーションのユーザーの場合 -このフィールドには、管理者がCitrix Gateway サービスで構成したすべてのアプリケーションが一覧表示されます。管理者は、このコンテキストポリシーを適用する必要があるアプリケーションを選択できます。

  5. 次の条件が満たされる場合 -このコンテキストアクセスポリシーを評価する必要があるユーザまたはユーザグループを入力します。

    条件

    • ユーザーまたはユーザーグループに加えて、管理者は別の条件を追加して、ユーザーがアプリケーションにアクセスするデバイスを定義できます。デバイスには、モバイルデバイスまたはデスクトップコンピュータを使用できます。
    • また、管理者は別の条件を定義して、ユーザーがアプリケーションにアクセスしている国を識別できます。ユーザの送信元 IP アドレスは、データベース内の IP アドレスで評価されます。ユーザの IP アドレスとデータベースで使用可能なアドレスが一致する場合、ポリシーが適用されます。IP アドレスが一致しない場合、このコンテキストポリシーはスキップされ、次のコンテキストポリシーが評価されます。
  6. 条件の追加 ]をクリックし、 [条件の選択]で、ユーザーがアプリケーションにアクセスするデバイスを選択します。

    AND 演算は、追加した条件に対して実行されます。条件が一致すると、コンテキストポリシーが評価されます。条件が一致しない場合、ポリシーはスキップされ、次のポリシーが評価されます。

    アクセスを拒否または許可

  7. 次に、次の操作を行います -設定した条件が一致した場合、管理者はアプリケーションにアクセスするユーザーに対して実行するアクションを選択できます。
    • アクセス拒否 — 選択すると、アプリへのアクセスが拒否されます。その他のオプションはすべてグレー表示されます。
    • [次のセキュリティ制御によるアプリアクセスを許可 ] — 事前設定されたセキュリティポリシーの組み合わせのいずれかを選択します。これらのセキュリティポリシーの組み合わせは、システム内で事前定義されています。管理者は、他の組み合わせを変更したり追加したりすることはできません。

    選択した同じアプリケーションセットに異なるプリセットのセキュリティポリシーを適用するには、管理者はポリシーを作成し、セキュリティポリシーの組み合わせを選択する必要があります。「 セキュリティで保護されたブラウザでアプリケーションを起動する 」— 他の強化されたセキュリティ設定に関係なく、常にSecure Browserサービスでアプリケーションを起動するには、このオプションを選択します。

    注:

    • オプション [ プリセット 4]、[プリセット 5]、 [プリセット 6] は、エンタープライズ Web アプリでのみ有効です。管理者がアプリのリストで Web アプリとともに SaaS アプリを選択した場合、[ プリセット 4]、[プリセット 5]、[プリセット6 ] のオプションは無効になります。

    • 管理者は、事前設定されたセキュリティポリシーを選択し、同じポリシー内のセキュアブラウザからアプリケーションを起動するオプションを選択することもできます。>両条件は互いに独立している。

  8. [ ポリシー名] に、ポリシーの名前を入力します。
  9. トグルスイッチをオンにして、ポリシーを有効にします。
  10. [ポリシーの作成] をクリックします。

設定済みのコンテキストアクセスポリシーのリストの表示

  1. Citrix Gatewayサービスのタイルで、[ 管理]をクリックします。
  2. [ 管理 ] タブをクリックし、[ コンテキストアクセス] をクリックします。
  3. コンテキストアクセス用に設定されているすべてのポリシーがここに表示されます。
    • [Priority ]:ポリシーのプライオリティ。最小の数値が最も高いプライオリティを持ちます。要件に基づいて優先度を変更できます。ポリシーを選択し、矢印アイコンをクリックしてポリシーをドラッグします。
    • [Name ]:コンテキストアクセスポリシーの名前。
    • [ Status]:ポリシーが有効か無効かを決定するコンテキストアクセスポリシーのステータス。トグルスイッチを使用して、ポリシーを有効または無効にすることができます。
    • Modified — ポリシーが最後に変更された日付。

    設定済みのコンテキストアクセスポリシーの表示

エンタープライズ Web および SaaS アプリケーションへのコンテキストに応じたアクセス — Tech Preview