Citrix Secure Private Access

エンタープライズWeb、TCP、SaaSアプリケーションのアダプティブアクセスとセキュリティ制御

今日の絶えず変化する状況において、アプリケーションセキュリティはあらゆるビジネスにとって不可欠です。コンテキスト認識型のセキュリティ決定を行い、アプリケーションへのアクセスを有効にすると、ユーザーへのアクセスを有効にしながら、関連するリスクが軽減されます。

Citrix Secure Private Accessサービスのアダプティブアクセス機能は、アプリケーションへの安全なアクセスを提供する包括的なゼロトラストアクセスアプローチを提供します。アダプティブアクセスにより、管理者はコンテキストに基づいてユーザーがアクセスできるアプリに、きめ細かなレベルでアクセスできるようになります。ここで「コンテキスト」という用語は次のことを指します。

  • ユーザーとグループ (ユーザーとユーザーグループ)
  • デバイス(デスクトップまたはモバイルデバイス)
  • 場所(位置情報またはネットワークの場所)
  • Device posture(デバイスの態勢チェック)
  • リスク (ユーザーリスクスコア)

アダプティブアクセス機能は、アクセスされているアプリケーションに適応ポリシーを適用します。これらのポリシーは、コンテキストに基づいてリスクを判断し、Enterprise Web、TCP、または SaaS アプリケーションへのアクセスを許可または拒否するための動的なアクセス決定を行います。

機能

アプリケーションへのアクセスを許可または拒否するために、管理者は、ユーザー、ユーザーグループ、ユーザーがアプリケーションにアクセスするデバイス、ユーザーがアプリケーションにアクセスしている場所(国またはネットワークの場所)、およびユーザーのリスクスコアに基づいてポリシーを作成します。

アダプティブアクセスポリシーは、Secure Private Access サービスに SaaS または Web アプリケーションを追加するときに構成されるアプリケーション固有のセキュリティポリシーよりも優先されます。アプリごとのセキュリティ制御は、適応型アクセスポリシーによって上書きされます。

アダプティブアクセスポリシーは、次の 3 つのシナリオで評価されます。

  • Secure Private Access サービスからの Web、TCP、または SaaS アプリケーションの列挙中 — このユーザーに対するアプリケーションアクセスが拒否された場合、ユーザーはこのアプリケーションをワークスペースに表示できません。

  • アプリケーションの起動中 — アプリを列挙した後、アダプティブポリシーがアクセスを拒否するように変更された場合、アプリが以前に列挙されていたとしても、ユーザーはアプリを起動できません。

  • アプリが埋め込みブラウザまたはSecure Browserサービスで開かれるとき — 埋め込みブラウザは、いくつかのセキュリティ制御を実施します。これらのコントロールは、クライアントによって強制されます。埋め込みブラウザが起動すると、サーバーはユーザーのアダプティブポリシーを評価し、それらのポリシーをクライアントに返します。次に、クライアントは、組み込みブラウザでポリシーをローカルに適用します。

アダプティブアクセスポリシーを作成する

  1. [ Secure Private Access ] サービスタイルで、[ 管理] をクリックします。
  2. Secure Private Accessのホームページで、ナビゲーションページの [ アクセスポリシー ] をクリックします。
  3. [ ポリシーの作成] をクリックします。

    注:

    初めて使用するユーザーの場合、[ アクセスポリシー ] ランディングページにはポリシーが表示されません。ポリシーを作成するには、[ポリシーの作成] をクリックします。ポリシーを作成すると、ここに一覧表示されます。

ポリシーを追加する

  1. これらのアプリケーションの場合 -このフィールドには、管理者がSecure Private Accessサービスで構成したすべてのアプリケーションが一覧表示されます。管理者は、このアダプティブポリシーを適用する必要があるアプリケーションを選択できます。

  2. 次の条件が満たされた場合 -このアダプティブアクセスポリシーを評価する必要があるコンテキストを選択します。

    重要:

    ユーザーまたはグループの条件は 、アプリケーションへのアクセスを可能にするために満たす必要のある必須条件です。アプリのサブスクリプションだけでは、顧客はアプリケーションにアクセスできません。

    ポリシー

  3. [ 条件を追加 ] をクリックして、要件に基づいて条件を追加します。条件に対して AND 操作が実行され、アダプティブアクセスポリシーが評価されます。

    アクセスを拒否または許可

  4. 次に、次の操作を行います 。設定した条件が一致する場合、管理者はアプリケーションにアクセスするユーザーに対して実行するアクションを選択できます。
    • アクセスを許可 -事前設定された条件なしでアクセスを許可します。注: このオプションは、ブラウザベースのアプリケーションにのみ適用されます。
    • アクセス拒否 — 選択すると、アプリへのアクセスが拒否されます。その他のオプションはすべてグレー表示されます。
    • 制限付きアクセスを許可する -事前設定されたセキュリティポリシーの組み合わせのいずれかを選択します。これらのセキュリティポリシーの組み合わせは、システム内で事前定義されています。管理者は、他の組み合わせを変更したり追加したりすることはできません。 [ 制限付きでアクセスを許可する] を選択すると、要件に応じてセキュリティ制御を選択できます。次のセキュリティ制限をアプリケーションに対して有効にできます。

      • クリップボードへのアクセスを制限: アプリとシステムのクリップボード間の切り取り、コピー、貼り付け操作を無効にします。
      • 印刷を制限: Citrix Workspaceアプリブラウザーから印刷する機能を無効にします
      • ナビゲーションを制限: 次/戻るアプリのブラウザボタンを無効にします
      • ダウンロードを制限: アプリ内からダウンロードするユーザーの機能を無効にします
      • アップロードを制限する: ユーザーがアプリ内でアップロードする機能を無効にします
      • ウォーターマークの表示: ユーザーのマシンのユーザー名とIPアドレスを表示するウォーターマークをユーザーの画面に表示
      • キーロギングを制限する: キーロガーから保護します。ユーザーがユーザー名とパスワードを使用してアプリにログオンしようとすると、すべてのキーがキーロガーで暗号化されます。また、ユーザーがアプリで実行するすべてのアクティビティは、キーロギングから保護されます。たとえば、Office 365 でアプリ保護ポリシーが有効になっていて、ユーザーが Office365 Word 文書を編集すると、キーロガーですべてのキーストロークが暗号化されます。
      • 画面キャプチャを制限: いずれかのスクリーンキャプチャプログラムまたはアプリを使用して画面をキャプチャする機能を無効にします。ユーザーが画面をキャプチャしようとすると、空白の画面がキャプチャされます。

    注:

    TCP アプリケーションでは、[ アクセスを許可] と [ **アクセスを拒否** ] の両方のオプションを使用できます。

    アクセスを許可または拒否する

  5. [ ポリシー名] に、ポリシーの名前を入力します。
  6. トグルスイッチをオンにして、ポリシーを有効にします。
  7. [ポリシーの作成] をクリックします。

ユーザーまたはグループに基づくアダプティブアクセス

ユーザーまたはグループに基づいてアダプティブアクセスポリシーを構成するには、「 アダプティブアクセスポリシーを作成する 」の手順を使用し、次の変更を加えます。

  • [ 次の条件が満たされる場合] で、[ ユーザーまたはグループ] を選択します。

  • 複数のユーザーまたはグループを構成した場合は、要件に応じて次のいずれかを選択します。
    • 次のいずれかに一致 」— ユーザーまたはグループは、データベースで構成されているユーザーまたはグループのいずれかに一致します。
    • いずれにも一致しない — ユーザーまたはグループは、データベースに構成されているユーザーまたはグループと一致しません。
  • ポリシー設定を完了します。

ユーザーグループに基づくアダプティブアクセスポリシー

デバイスに基づくアダプティブアクセス

ユーザーがアプリケーションにアクセスしているプラットフォーム (モバイルデバイスまたはデスクトップコンピューター) に基づいてアダプティブアクセスポリシーを構成するには、「 アダプティブアクセスポリシーを作成する 」の手順を使用し、次の変更を加えます。

  • [ 次の条件を満たす場合]で、[ デスクトップ ] または [ モバイルデバイス] を選択します。
  • ポリシー設定を完了します。

デバイスに基づくアダプティブアクセスポリシー

場所に基づくアダプティブアクセス

管理者は、ユーザーがアプリケーションにアクセスしている場所に基づいて、アダプティブアクセスポリシーを設定できます。ロケーションは、ユーザーがアプリケーションにアクセスしている国またはユーザーのネットワークロケーションです。ネットワークの場所は、IP アドレス範囲またはサブネットアドレスを使用して定義されます。

場所に基づいてアダプティブアクセスポリシーを設定するには、「 アダプティブアクセスポリシーを作成する 」の手順を使用し、次の変更を加えます。

  • [ 次の条件が満たされる場合] で、[ ジオロケーション ] または [ ネットワークロケーション] を選択します。
  • 複数のジオロケーションまたはネットワークロケーションを設定している場合は、要件に応じて次のいずれかを選択します。
    • [次のいずれかに一致 ] — 地理的位置またはネットワーク位置が、データベースに構成されている地理的位置またはネットワーク位置のいずれかに一致します。
    • いずれにも一致しない — 地理的位置またはネットワーク位置が、データベースに構成されている地理的位置またはネットワーク位置と一致しません。

    注:

    • Geo-locationを選択すると、ユーザーの送信元 IP アドレスが国データベースの IP アドレスで評価されます。ユーザーの IP アドレスがポリシー内の国にマップされている場合、ポリシーが適用されます。国が一致しない場合、この適応ポリシーはスキップされ、次のアダプティブポリシーが評価されます。

    • [ ネットワークロケーション] では、既存のネットワークロケーションを選択するか、ネットワークロケーションを作成できます。新しいネットワークロケーションを作成するには、[ ネットワークロケーションの作成] をクリックします。

    アダプティブアクセスの新しいネットワークロケーション

  • ポリシー設定を完了します。

場所に基づくアダプティブアクセスポリシー

デバイスのポスチャに基づくアダプティブアクセス

Citrix Secure Private Accessサービスは、オンプレミスのCitrix Gateway またはCitrixがホストするCitrix Gateway(適応認証)をCitrix Workspace へのIdPとして使用することにより、デバイスの状態に基づいたアダプティブアクセスを提供します。Enterprise Web、TCP、または SaaS アプリは、EPA チェックの結果と構成されたスマートアクセスポリシーに基づいて、列挙するか、エンドユーザーに対して非表示にすることができます。

注: アダプティブ認証は、Citrix Workspaceにログインするユーザーに対して高度な認証を可能にするCitrix Cloudサービスです。アダプティブ認証により、クラウドで実行されるゲートウェイインスタンスが提供され、必要に応じてこのインスタンスの認証メカニズムを設定できます。

前提条件

イベントの流れを理解する

  • ユーザーは、ワークスペースURLをブラウザーに入力するか、ネイティブのCitrix Workspaceアプリを使用してワークスペースストアに接続します。
  • ユーザーは、IdPとして構成されたCitrix Gateway にリダイレクトされます。
  • ユーザーは、デバイスで EPA チェックを実行することを許可するよう求められます。
  • Citrix Gateway は、ユーザーがデバイスをスキャンすることに同意した後、EPAチェックを実行し、デバイスIDに対してスマートアクセスタグをCASに書き込みます。
  • ユーザーは、Citrix Gateway IdPと構成された認証メカニズムを使用して、Citrix Workspaceにログインします。
  • Citrix Gateway は、スマートアクセスポリシー情報をCitrix Workspace およびSecure Private Accessに提供します。
  • ユーザーはCitrix Workspace のホームページにリダイレクトされます。
  • Citrix Workspace は、IdPとして構成されたCitrix Gateway によって提供されるスマートアクセスタグを処理し、エンドユーザーに列挙して表示する必要があるアプリを決定します。

構成シナリオ — デバイスのポスチャスキャンに基づくエンタープライズ Web、TCP、または SaaS アプリケーションの列挙

手順1:Citrix Gateway GUIを使用してスマートアクセスポリシーを構成する

  1. セキュリティ > AAA アプリケーショントラフィック > ポリシー > 認証 > 詳細ポリシー > スマートアクセス > プロファイルに移動します。
  2. [プロファイル] タブで、[ 追加 ] をクリックしてプロファイルを作成します。

デバイスポスチャチェック用のプロファイルを作成する

  1. [ タグ] に、スマートアクセスタグ名を入力します。このタグは、アダプティブアクセスポリシーの作成時に手動で入力する必要があります。
  2. セキュリティ > AAA アプリケーショントラフィック > ポリシー > 認証 > 高度ポリシー > スマートアクセス > ポリシーに移動します。
  3. [ 追加 ] をクリックしてポリシーを作成します。

デバイスポスチャチェックのポリシーを作成する

  1. アクション」で、以前に作成したプロファイルを選択し、「 追加」をクリックします。
  2. 」で、ポリシー式を作成し、 「OK」をクリックします。

ステップ 2: アダプティブアクセスポリシーを作成する

以下の変更を加えて 、アダプティブアクセスポリシーの作成手順で説明されている手順を実行します

アダプティブアクセス一致条件

  • [ 次の条件が満たされる場合] で、[ デバイスのポスチャチェック] を選択します。
  • 複数のスマートアクセスタグを設定している場合は、要件に応じて次のいずれかを選択します。
    • すべて一致 -デバイスIDは、Citrix Workspace にログインしたときにデバイスIDに対して書き込まれたすべてのスマートアクセスタグと一致します。
    • 次のいずれかに一致 -デバイスIDは、Citrix Workspace にログインしたときにデバイスIDに対して書き込まれたタグのいずれかと一致します。
    • いずれにも一致しない -デバイスIDは、Citrix Workspace にログインしたときのデバイスIDと一致しません。
  • [カスタムタグの入力] に、スマートアクセスタグを手動で入力します。これらのタグは、Citrix Gateway(認証スマートアクセスプロファイルの作成 > タグ)で構成されたタグと類似している必要があります。

注意事項

  • ポスチャ評価は、Citrix Workspace にログオンしたときにのみ行われます(認証中のみ)。
  • 現在のリリースでは、継続的なデバイスポスチャ評価は行われていません。ユーザーがCitrix Workspace にログオンした後にデバイスコンテキストが変更された場合、ポリシー条件はデバイスのポスチャ評価に影響を与えません。
  • デバイス ID は、エンドユーザーデバイスごとに生成される GUID です。Citrix Workspace へのアクセスに使用するブラウザーが変更された場合、Cookieが削除されたり、シークレット/プライベートモードが使用されたりすると、デバイスIDが変更されることがあります。ただし、この変更はポリシーの評価には影響しません。

ユーザーリスクスコアに基づくアダプティブアクセス

重要:

この機能は、顧客が Security Analytics エンタイトルメントを持っている場合にのみ使用できます。

ユーザーリスクスコアは、企業内のユーザーアクティビティに関連するリスクを判断するためのスコアリングシステムです。リスク指標は、疑わしいと思われるユーザーアクティビティや、組織にセキュリティ上の脅威を与える可能性のあるユーザーアクティビティに割り当てられます。リスク指標は、ユーザーの行動が正常から逸脱したときにトリガーされます。各リスク指標には、1 つ以上のリスク要因を関連付けることができます。これらのリスク要因は、ユーザーイベントの異常の種類を判断するのに役立ちます。リスク指標とそれに関連するリスク要因は、ユーザーのリスクスコアを決定します。リスクスコアは定期的に計算され、アクションとリスクスコアの更新の間には遅延があります。詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

リスクスコアを含むアダプティブアクセスポリシーを設定するには、「 アダプティブアクセスポリシーを作成する 」手順を使用し、次の変更を加えます。

  • [ 次の条件が満たされる場合] で、[ ユーザーリスクスコア] を選択します。

  • 次の 3 種類のユーザーリスク条件に基づいて、アダプティブアクセスポリシーを構成します。

    • CAS サービスから取得したプリセットタグ

      • 1—69
      • ミディアム 70—89
      • 90—100

      注:

      リスクスコアが0の場合、リスクレベル「低」とは見なされません。

    • しきい値の種類
      • 次より大きい、または等しい
      • 次より小さいか等しい
    • 数値の範囲
      • 範囲

リスクスコア条件

リスクスコア

エンタープライズWeb、TCP、SaaSアプリケーションのアダプティブアクセスとセキュリティ制御