リファレンスアーキテクチャ:安全なプライベートアクセス

オーディエンス

このドキュメントは、Secure Private AccessのCitrix Cloudサービスを調査して採用したいと考えているシトリックスの技術プロフェッショナル、IT意思決定者、パートナー、セキュリティコンサルタントを対象としています。読者は、Citrix製品、セキュリティ、およびCitrix Cloudフレームワークの基本を理解している必要があります。Citrix Cloud とそのサービスの詳細については、 Citrix Cloudの公式製品ドキュメントを参照してください。

このドキュメントの目的

このドキュメントでは、クラウドアプリとインターネットブラウジングへの条件付きアクセスを提供し、組織の全体的なセキュリティとコンプライアンス体制を強化する、Citrix Secure Private Accessの技術概要とアーキテクチャについて説明します。Citrix Secure Private Accessは、いくつかのCitrix Cloud サービスの要素を組み合わせて、エンドユーザーと管理者に統合されたエクスペリエンスを提供します。

このドキュメントでは、管理者は、Citrix GatewayサービスやSecure Browserサービスを含む複数のCitrix Cloudサービスと統合されたCitrix Secure Private Accessを使用して、統合ソリューションで安全なデジタルワークスペースを提供するようにガイドします。ユーザーの行動とアクティビティを監視するために、Citrix Secure Private Access はCitrix Analytics サービスと統合されています。

セキュリティコントロールと緩和

今日のビジネスの世界では、ユーザーデータは最も貴重な商品の1つであり、組織はその中でより多くの価値を見つけ続けています。組織で発生する侵害のほとんどは、不十分なセキュリティ制御、内部ユーザーに付与された過剰な特権、ネットワークベースのセキュリティ制御への過度の依存が原因です。残念なことに、多くの企業が、環境を強化するための安全な徹底的なアプローチを真に導入することができませんでした。

組織内の多くの IT 部門では、増加し続けるエンタープライズSaaSベースのアプリケーションにアクセスするユーザーへのアクセスを制御するソリューションがありません。企業データが管理されていない SaaS アプリとやり取りする可能性があることによるセキュリティリスクに加え、複数のアプリにログインすることでユーザーの生産性が低下します。さらに、複数のパスワードを覚えておく必要があると、複数のサイトで同じパスワードが使用されるなど、パスワードの習慣が悪くなることがよくあります。

インターネットを閲覧すると、今日の企業にとって別のリスクが伴います。セキュリティ専門家によると、ほとんどの攻撃はWebサイト、ブラウザ、ブラウザプラグインの脆弱性を悪用します。これに対応して、インターネットブラウジングを完全に禁止している組織もあり、生産性に深刻な影響を与える可能性があります。

Web および SaaS アプリによっては、正常に機能するために特定のブラウザバージョンまたはプラグインが必要です。急速に変化するブラウザ環境では、企業のWebおよびSaaSアプリケーションのユーザビリティを確保することは、リソースを大量に消費するサポートタスクにすぐに相当します。

多くのIT部門には、SaaSアプリケーションを管理するための完全に定義された戦略がないため、セキュリティとコンプライアンスの重大なリスクが生じます。他のものには、次のような複数の点解をもたらす可能性のある断片化されたアプローチがあります。

  • シングルサインオンソリューションの展開: このソリューションは、ユーザーエクスペリエンスを合理化するのに役立ち、多要素認証を含めることができますが、通常、これらのソリューションでは、ユーザーがサインインすると、アプリに対する詳細なポリシーコントロールはありません。

  • 外部ブラウジングを制御またはシャットダウンするための Web フィルタリングの展開: このソリューションは、ユーザーが悪意のある Web サイトにアクセスするのを防ぐのに役立ちます。しかし、多くの機能はSaaSアプリケーションのセキュリティポリシーに達していないため、多くの顧客はWebゲートウェイに加えて複数のソリューションを展開しています。

  • 各SaaSアプリケーションのブラウザーの公開: Citrix Virtual Apps and DesktopsでWebブラウザーを公開することは、認可されていないSaaSアプリケーションへのアクセスを制御するための実績のある方法です。ただし、管理には別の IT リソースが必要であり、ブラウザを介して SaaS アプリに直接接続するのと同じユーザーエクスペリエンスではありません。

  • SaaSアプリケーションの管理を企業内の部門制御に任せる: このアプローチは、セキュリティとコンプライアンスのギャップを広げ、ユーザーの行動やアプリケーションの使用状況を理解する機会を逃しますが、限られたリソースに直面した場合のITのデフォルトの戦略となることがよくあります。

Citrix は、セキュリティを考慮しない従来の方法とは対照的に、ユーザー中心のアプローチで認可されたSaaSおよびWebアプリケーションへのアクセスを保護するためのより良い方法を考案しました。Citrix Workspace は、SaaS、Web、および仮想デスクトップおよびアプリケーションへのコンテキストに応じた安全なアクセスを提供し、内部および外部の脅威にさらされるリスクを軽減し、コンテンツコラボレーションを保護し、ユーザー行動分析とプロアクティブなセキュリティインサイトを提供します。

AC-Image-1

上の図は、エンドポイントがリソースにアクセスするためにCitrix ADCを介して接続する従来のCitrix環境を示しています。アプリ、デスクトップ、データなどのこれらのリソースはオンプレミスからアクセスされ、SaaSベースのアプリケーションを含む一部の外部リソースはインターネットを介してアクセスされます。ユーザーは、Secure GatewayとWebフィルタリングサービスを通じてこれらの外部リソースに安全にアクセス

Workspace アプリは、任意のデバイスからリソースにアクセスするための単一のエントリポイントです。組み込みブラウザエンジンを採用することで、セキュリティを強化した独自の機能をエンドユーザーに提供します。Workspaceアプリ内のネットワークエンジンは、ネットワークトラフィックを最適化し、特定のアプリケーション用のマイクロVPN機能に加えてSSL VPNを提供します。エンドユーザーは、IDおよびアクセス管理機能を提供するCitrix ADCを介して接続されます。

セキュリティ監視は、ネットワーク内のエンドユーザーの行動監視と脅威の検出を提供します。データセキュリティには、ユーザーがファイルを操作または共有しているときにデータを制御するための DLP と IRM が含まれます。Citrix Cloud のWebフィルタリング、Citrix Analytics、およびCitrix Gatewayサービスは、エンドユーザーに安全なデジタルワークスペースを提供するための統合ソリューションを提供します。

Citrix Secure Private Access

Citrix Secure Private Accessは、シングルサインオン(SSO)を介したSaaSおよびWebアプリケーションへの即時セキュアアクセスの機能と、ブラウザおよびクラウドベースのアプリケーション制御、Webフィルタリングポリシー、統合されたユーザー行動分析を組み合わせたものです。Citrix Secure Private Accessは、 クラウドアプリ制御を導入することで 、従来のSSO機能を超えています。これは、クラウドアプリへの条件付きアクセスを提供し、管理者が管理するアクセスポリシーに基づいてユーザーアクションを保護するSaaSおよびエンタープライズWebアプリの一連の強化されたセキュリティ制御です。このソリューションは、組織全体のセキュリティとコンプライアンスの態勢を強化します。Citrix Workspace の統合部分として、SaaSアプリやWebアプリにモバイルアプリ、仮想アプリ、デスクトップと一緒にアクセスできるため、ユーザーエクスペリエンスはシームレスで統合されたままです。

Citrix Secure Private Accessは、いくつかのCitrix Cloud サービスの要素を組み合わせて、エンドユーザーと管理者に統合されたエクスペリエンスを提供します。

機能 機能を提供するサービス/コンポーネント
アプリにアクセスするための一貫したUI ワークスペースエクスペリエンス/WS App
SaaSおよびWebアプリへのSSO Citrix Gateway サービス標準
Webフィルタリングと分類 Web フィルタリングサービス
SaaS の強化されたセキュリティポリシー クラウドアプリコントロール
安全なブラウジング Secure Browserサービス
ウェブサイトへのアクセスと危険な行動の可視性 Citrix Analytics

Citrix Secure Private Access する理由

データセキュリティは、データの整合性、機密性を確保し、企業の知的財産を保護する必要性によって区別されます。今日、組織は次のようなさまざまな課題に直面しています。

  • 管理が難しく、ポリシーインフラストラクチャが異なる複数のポイント製品
  • 企業情報にアクセスするための安全なリモートアクセスをエンドユーザーに提供する
  • コンプライアンスを維持しながら、クラウドやSaaSアプリに保存されている知的財産を保護する
  • SSO 後にクラウドと SaaS アプリケーションを可視化し、リスク評価を取得

Citrix Secure Private Accessは、IT管理者およびセキュリティ管理者が、認可されたSaaSおよびエンタープライズホストWebアプリへのエンドユーザーアクセスを管理するのに役立ちます。ユーザーIDと属性はアクセス権限を決定するために使用され、Secure Private Accessポリシーは、操作を実行するために必要な権限を決定します。

AC-Image-2

Citrix Secure Private Access 統合は、いくつかの利点をもたらします。

  • SaaSおよびホスト型アプリケーションへのシングルサインオンによるシームレスなユーザーエクスペリエンス: この機能は、WorkspaceアプリとGatewayサービスの組み合わせによって実現されます

  • SaaSアプリケーションの整理された配信とアクセスによるITの制御の強化: IT部門がSaaSアプリケーションを従業員に簡単に割り当てる方法を提供します

  • SaaS 使用のためのポリシー制御によるセキュリティの強化: クラウドアプリコントロールと呼ばれる、IT 部門が従業員に提供する SaaS アプリケーションにセキュリティポリシーを適用する方法を提供する新機能

  • セキュリティを犠牲にすることなく、パブリックインターネットコンテンツまたは未知のSaaSアプリへの制御されたアクセスを可能にする柔軟性: この機能は、Secure BrowserサービスとWebフィルタリング機能の組み合わせによって提供されるため、Webサイトをホワイトリスト/ブラックリストに登録したり、孤立した場所にレンダリングしたりできますブラウザ

  • SaaSの使用状況とユーザーのWebアクティビティの可視性: この機能は、SaaSおよびWebアクティビティ用のCitrix Analytics サブセットを提供し、セキュリティとコンプライアンスの可視性を高めます

Citrix Secure Private Access とCitrix Cloud

Citrix Secure Private Access は、Citrix Cloud が提供するサービスの1つです。これらのサービスにアクセスするには、管理者がライセンスを管理し、環境にアクセスするためのCitrixアカウント(Citrix.comまたはMy Citrix アカウントとも呼ばれます)を持っている必要があります。

Citrix アカウントは、一意の識別子として組織ID(OrgID)を使用します。管理者は、 アカウントにリンクされているユーザー名または電子メールアドレスを使用してcitrix.comにログインすることにより 、Citrixアカウントにアクセスできます。最初に、Citrix Cloud は https://citrix.cloud.com にリダイレクトしてアカウントを作成するか、既存のCitrix アカウントでサインインしてクラウドサービスの試用版をアクティブ化します。

Citrix Cloud アカウントを使用すると、管理者はサービスに対する幅広い管理アクセス権を持つことができます。したがって、Citrixでは、Citrix Cloudアカウントを作成する最初の管理者が、他の管理者が既存のMyCitrixアカウントのメンバーであっても、必要に応じて他の管理者に明示的にアクセス権を付与する必要があります。

Citrix Secure Private Access は、Citrix Cloud コンソールにタイルとして表示されるソリューションで、Citrix Gatewayサービス、Webフィルタリングサービス、セキュアブラウザサービス、およびCitrix Analytics サービス間の統合が含まれます。

AC-Image-3

セキュアプライベートアクセス: Citrix Secure Private Accessサービスは、シングルサインオン、リモートアクセス、コンテンツ検査をエンドツーエンドのセキュアプライベートアクセスのための単一のソリューションに統合した統合エクスペリエンスを提供します。

Citrix Secure Private Access は、管理者に次の機能を提供します。

  • エンドユーザーの多要素認証の構成
  • ワークスペースを構成して、任意のデバイスからアプリへのアクセスを安全に提供し、ライブラリから SaaS アプリケーションを管理、追加する
  • Webフィルタリングを構成してエンドユーザーにWebサイトを許可/ブロックし、Citrix Secure Browser サービスにリダイレクトします

分析: Citrix Analytics は、Citrix製品のポートフォリオ全体にわたってデータを収集し、実用的な洞察を生成します。これにより、管理者はユーザーとアプリケーションのセキュリティの脅威をプロアクティブに処理し、アプリのパフォーマンスを向上させ、継続的な運用をサポートできます。Citrix Analytics はデータを収集し、次の洞察を提供します。

  • セキュリティ分析
  • パフォーマンス分析
  • オペレーション分析

ゲートウェイ: Citrix Gateway サービスは、安全なリモートアクセスソリューション、構成済みのSaaSアプリ、異種仮想アプリ、およびデスクトップの統合ユーザーエクスペリエンスを提供します。Citrix Gateway サービスを使用したSaaSアプリ配信は、アプリを管理するための簡単、安全、堅牢でスケーラブルなソリューションを提供します。クラウドで提供される SaaS アプリには、次の利点があります。

  • シンプルな構成:操作、更新、消費が簡単
  • シングルサインオン:SSO による手間のかからないログオン
  • さまざまなアプリ用の標準テンプレート:人気のあるアプリのテンプレートベースの設定

セキュアブラウザ: Citrix Secure Browser サービスは、Webブラウジングを分離して、ブラウザベースの攻撃から企業ネットワークを保護します。ユーザーデバイスの設定を必要とせずに、インターネットにホストされているWebアプリケーションへの一貫した安全なリモートアクセスを提供します。

管理者は、セキュアなブラウザーをすばやく展開することで、即時に価値を提供します。インターネット閲覧を分離することで、IT管理者は企業のセキュリティを損なうことなく、エンドユーザーに安全なインターネットアクセスを提供できます。

IDとアクセス管理

IDおよびアクセス管理は、Citrix Cloudとそのオファリングの管理者および利用者が使用する、IDプロバイダーおよびアカウントを定義します。Citrix Cloudは、Citrix IDプロバイダーを使用して、Citrix Cloudアカウントのユーザーのアイデンティティ情報を管理します。管理者には、Azure Active Directory またはオンプレミスの Active Directory サービスを統合するオプションがあります。

管理アクティビティを実行し、Citrix CloudにCitrix Cloud Connectorをインストールするために、Citrix管理者は自分のIDを使用してCitrix Cloudにアクセスします。この ID メカニズムは、電子メールアドレスとパスワードを使用して管理者に認証を提供します。また、管理者はMy Citrix資格情報を使用してCitrix Cloudにサインインできます。

AC-Image-4

サブスクライバーのIDは、そのサブスクライバーがCitrix Cloud 上でアクセスできるサービスを定義します。ID は、リソースの場所内のドメインから提供される Active Directory ドメインアカウントから取得されます。登録者は、ライブラリオファリングにサブスクライバを割り当てることで、Citrix Cloudからオファリングへのアクセスを許可できます。

オンプレミスのActive Directory とCitrix Cloud との通信は、可用性の高いCitrix Cloud コネクタを介して行われます。Azure Active Directory サービスの使用を選択している組織では、ユーザーアカウント、監査制御、およびパスワードポリシーの管理に関して柔軟性が高くなります。また、管理者は、高レベルのセキュリティのために多要素認証を構成できます。

SaaSアプリのセキュリティを強化したCitrix Secure Private Access

Citrix Cloud は、Citrix Gatewayサービスを介してSaaSアプリケーションにシングルサインオン(SSO)機能を提供します。SSOは、WebベースのSaaSアプリケーションSSOとCitrix Workspace エクスペリエンスユーザーインターフェイスへの公開のための統合ユーザーエクスペリエンスを提供します。シングルサインオンのユーザーエクスペリエンスを有効にするために、SaaSアプリはCitrix Gateway サービスによって提供されるSAMLアサーションを信頼します。

SaaS アプリケーションへのシングルサインオンを有効にするプロセスは、いくつかの Web フォームと設定ページをクリックするだけで簡単になりました。Citrix Gateway Connectorは、Workspaceアプリユーザーに内部WebベースのSaaSアプリケーションアクセスへのプロキシを提供します。

参照: Citrix Gateway コネクタ

コンテンツコントロール

ユーザーデータ (SaaS アプリユーザー) の保護は、ほとんどの組織にとって困難な作業です。Citrix Secure Private Accessを使用することで、組織は強化されたセキュリティポリシーをSaaSアプリケーションに組み込むことができます。各ポリシーは、デスクトップ用のWorkspaceアプリを使用する場合は埋め込みブラウザに、Webまたはモバイル用のWorkspaceアプリを使用する場合はSecure Browserに制限を適用します。

  • 優先ブラウザ:ローカルブラウザ の使用を無効にし、組み込みブラウザエンジン(Workspaceアプリ-デスクトップ)またはSecure Browserサービス(Workspaceアプリ-モバイルおよびウェブ)に依存する
  • クリップボードへのアクセスを制限する: アプリとエンドポイントのクリップボード間の切り取り、コピー、貼り付け操作を無効にします
  • 印刷を制限: アプリブラウザ内から印刷する機能を無効にします
  • ナビゲーションを制限する: 次/戻るブラウザボタンを無効にします。
  • ダウンロードを制限する: ユーザーがSaaSアプリ内からダウンロードできないようにします
  • 透かしを表示: エンドポイントのユーザー名とIPアドレスを示す画面ベースの透かしをオーバーレイします。ユーザーがスクリーンショットを印刷または撮影しようとすると、透かしが画面に表示されているように表示されます

セキュリティを強化しないCitrix Secure Private Access シングルサインオン

AC-Image-5

SL NO 認可されたSaaSアプリを備えたワークスペースアプリ 認可されたSaaSアプリを備えたローカルブラウザ
1 ユーザーがエンドポイントで Workspace アプリを起動します。 ユーザーは、エンドポイントで Web ブラウザーを起動し、ワークスペースに接続し、オンプレミスの Active Directory または Azure Active Directory を使用して認証します。
2 Workspaceアプリはワークスペースに接続し、オンプレミスのActive Directory/Azure Active Directoryを使用して認証します。 ローカルブラウザーには、承認されたリソースが読み込まれます。
3 Workspaceアプリに承認されたリソースが移入されます。 ユーザーが SaaS アプリを選択すると、ローカルブラウザーは Workspace にリクエストを送信し、Workspace は 1 回限りの使用の URL を要求し、ブラウザーを Gateway サービスに転送します。
4 Workspace アプリは Workspace にリクエストを送信します。Workspace は、Gateway サービスと優先ブラウザーから 1 回限りの使用の URL を要求します。 ローカルブラウザが Gateway サービスへの接続を開始します。
5 ローカルブラウザが Gateway サービスへの接続を開始します。 Gateway サービスは、シングルサインオンマイクロサービスにアサーションを要求します。
6 Gateway サービスは、シングルサインオンマイクロサービスにアサーションを要求します。 ローカルブラウザは、アサーションが表示されている SaaS アプリのログインページにリダイレクトされます。
7 ローカルブラウザは SaaS アプリのログインページにリダイレクトされ、アサーションが表示されます。 SaaS アプリは Gateway サービスに接続してアサーションを検証し、ユーザを認証します。
8 SaaS アプリは Gateway サービスに接続してアサーションを検証し、ユーザを認証します。 認証されると、ブラウザと SaaS アプリケーションの間で直接通信が行われます。
9 認証されると、ブラウザと SaaS アプリケーションの間で直接通信が行われます。  

セキュアプライベートアクセス-セキュリティを強化したシングルサインオン

AC-Image-6

SL NO 認可されたSaaSアプリを備えたワークスペースアプリ 認可されたSaaSアプリを備えたローカルブラウザ
1 ユーザーがエンドポイントで Workspace アプリを起動します。 ユーザーはエンドポイントで Web ブラウザーを起動し、ワークスペースに接続し、オンプレミスの Active Directory または Azure Active Directory を使用して認証します。
2 Workspaceアプリはワークスペースに接続し、オンプレミスのActive Directory/Azure Active Directoryを使用して認証します。 ローカルブラウザーには、承認されたリソースが読み込まれます。
3 Workspaceアプリに承認されたリソースが移入されます。 ユーザーが SaaS アプリを選択すると、ローカルブラウザーは Workspace にリクエストを送信します。Workspace は 1 回限りの使用の URL を要求し、ブラウザーを Secure Browser サービスにリダイレクトします。
4 Workspace アプリはリクエストを Workspace に送信し、Workspace は Gateway サービスから 1 回限り使用できる URL を要求します ローカルブラウザがSecure Browser接続を開始します。
5 埋め込みブラウザが Gateway サービスへの接続を開始します。 セキュリティで保護されたブラウザが Gateway サービスへの接続を開始します。
6 ゲートウェイサービスは、シングルサインオンマイクロサービスからのアサーションと、Secure Private Access サービスからの拡張セキュリティポリシーを要求します。 ゲートウェイサービスは、SSO マイクロサービスからのアサーションと Secure Private Access サービスからの拡張セキュリティポリシーを要求します。
7 埋め込みブラウザは SaaS アプリのログインページにリダイレクトされ、アサーションが表示されます。 セキュアブラウザは、アサーションが表示される SaaS アプリログインページにリダイレクトされます。
8 SaaS アプリは Gateway サービスに接続してアサーションを検証し、ユーザを認証します。 SaaS アプリは Gateway サービスに接続してアサーションを検証し、ユーザを認証します。
9 認証されると、ブラウザと SaaS アプリケーションの間で直接通信が行われます。 認証されると、ブラウザと SaaS アプリケーションの間で直接通信が行われます。

参照: Citrix Secure Private Access 技術概要

コンテキストに基づくアクセス

ほとんどの SaaS アプリは安全に使用できますが、ユーザーが SaaS アプリ内のハイパーリンクをクリックすると、組織にとってセキュリティ上のリスクが生じることがあります。Web フィルタリングマイクロサービスは、ユーザーからのハイパーリンク要求を許可、拒否、またはリダイレクトします。

AC-Image-7

SL NO セキュリティが強化された Workspace アプリ セキュリティを強化したローカルブラウザ
1 ユーザーは SaaS アプリ内からハイパーリンクを選択します。 ユーザーは SaaS アプリ内からハイパーリンクを選択します。
2 Workspaceアプリ内の埋め込みブラウザは、URLをセキュアプライベートアクセスサービスに送信します。 セキュアブラウザは URL をセキュアプライベートアクセスサービスに送信します。
3 セキュアプライベートアクセスサービスは、Web フィルタリングマイクロサービスによる URL の分析を要求します。 セキュアプライベートアクセスサービスは、Web フィルタリングマイクロサービスによる URL の分析を要求します。
4 ブロックされたリンクの場合、Web フィルタリングマイクロサービスはハイパーリンクへのアクセスを拒否します。 ブロックされたリンクの場合、Web フィルタリングマイクロサービスはハイパーリンクへのアクセスを拒否します。
5 承認されたリンクについては、Web Filtering マイクロサービスにより、ユーザーは埋め込みブラウザを使用してリンクにアクセスできます。 承認されたリンクについては、Web Filteringマイクロサービスにより、ユーザーは現在のSecure Browserサービスセッション内の新しいタブとしてリンクにアクセスできます。
6 リダイレクトされたリンクの場合、Web フィルタリングマイクロサービスは Workspace アプリにリンクを Secure Browser サービスに送信します。これにより、エンドユーザー用の新しい仮想ブラウザーセッションが開始されます。 リダイレクトされたリンクの場合、Web Filteringマイクロサービスにより、ユーザーは現在のSecure Browserサービスセッション内の新しいタブとしてリンクにアクセスできます。

Web フィルタリングの概要

Web フィルタリングは、URL に含まれる情報を使用して Web サイトのポリシーベースの制御を提供します。この機能は、ネットワーク管理者がネットワーク上の悪意のある Web サイトへのユーザーアクセスを監視および制御するのに役立ちます。

このサービスリリースでは、SaaSアプリとインターネットにアクセスするCitrix Workspace アプリと、SaaSアプリとインターネットにアクセスするCitrix Secure BrowserのWebフィルタリングが有効になります。

AC-Image-8

Citrix Secure Private Accessの管理者は、URLのリストをブロックおよび許可できます。Web フィルタリングコントローラーは、分類データベースと URL リストを使用します。リクエストがWebフィルタリングコントローラに送信されると、まず、重要なCitrix Cloud URLを含むグローバル許可リストをチェックします。次に、リストと分類に進み、ブロック、許可、およびセキュアブラウザURLへのリダイレクトをチェックします。いずれのURLも一致しない場合、デフォルトではデフォルトのリストにフォールバックされます。

Citrix Secure Private Access と Citrix Analytics

Citrix Analytics サービスは、Citrix製品ポートフォリオ全体にわたってデータを収集することにより、実用的な洞察を促進するクラウドベースのサービスです。Citrix Secure Private Accessは、アクセスしたWebサイトや使用した帯域幅などのユーザーアクティビティに関する情報を整理して生成します。Citrix Secure Private Accessは、帯域幅の消費量を調査してマルウェアやフィッシングサイトを監視し、これについて報告します管理者は、これらの主要なメトリックを利用してネットワークを監視することにより、是正措置を講じることができます。

Citrix Analytics は、Citrix Secure Private Access、Citrix Gatewayサービス、およびその他のCitrixポートフォリオ製品と簡単に統合できます。Citrix Analytics は、ユーザーの行動に関する包括的な洞察を提供します。機械学習アルゴリズムを使用して、異常なユーザー動作を検出し、ユーザーセッションをトラブルシューティングし、Citrix 製品を使用する組織内のユーザーの運用指標を表示します。

シトリックスのサービスおよび製品は、データソースと呼ばれるCitrix Analyticsにデータを送信します。Citrix Cloudアカウントに関連付けられているデータソースは、Citrix Analytics サービスによって検出されます。Citrix Cloudのログは、Citrix Analytics に安全に送信されます。ログはCitrix Secure Private Accessから収集され、データソースとは別に管理されます。

AC-Image-9

Citrix Secure Private Accessサービスは、セキュリティと操作のダッシュボードを提供します。セキュリティダッシュボードには、ユーザーのリスクプロファイルと、アクセスしたURLやドメイン、使用帯域幅など、ユーザーによるアクセスアクティビティの概要が表示されます。アプリアクセスは、ユーザーがアクセスしたドメイン、URL、アプリの詳細をまとめたものです。

参照: Citrix Secure Private Access と分析

AC-Image-10

Citrix管理者は、Citrix Analytics でルールを作成して、異常なまたは疑わしいアクティビティが発生した場合にユーザーアカウントに対してアクションを実行できます。ルールは、アクションを実行するために満たす必要がある一連の条件です。ルールには、1 つの条件と 1 つ以上のアクションを含めることができます。「リスクスコア」や「リスクスコアの変化」などの条件はグローバルな条件です。グローバル条件は、特定のデータソースの特定のユーザーに適用できます。

管理者は、次のような条件を適用して、ユーザーのアクティビティに基づいてルールを作成します。

  • ブラックリストURLへのアクセスを試みるブラックリストに登録されたURLへのアクセスを試みることを示します
  • 危険な Web サイトへのアクセスユーザーが悪意のある 、疑わしい、または危険な Web サイトにアクセスしようとしたことを示します。
  • 異常なダウンロード量 :ユーザーがアプリケーションまたはWebサイトからダウンロードしたデータ量が、Citrix Analytics によって暗黙的に定義されたしきい値を超えていることを示します。
  • 異常なアップロード量 :ユーザーがアプリケーションまたはWebサイトからアップロードしたデータ量が、Citrix Analytics によって暗黙的に定義されたしきい値を超えていることを示します。

参考: 安全なプライベートアクセスと分析

Citrix Secure Private Access エンドユーザーエクスペリエンス

Citrix 管理者には、Citrixセキュアプライベートアクセスを使用してセキュリティ制御を拡張する権限があります。Citrix Workspace アプリは、すべてのリソースに安全にアクセスするためのエントリポイントであり、エンドユーザーはCitrix Workspace アプリを介して仮想アプリ、デスクトップ、SaaSアプリ、およびファイルにアクセスできます。Citrixセキュアプライベートアクセスを使用すると、管理者は、エンドユーザーがCitrix WorkspaceエクスペリエンスのWeb UIまたはネイティブのCitrix Workspaceアプリクライアントを介してSaaSアプリケーションにアクセスする方法を制御できます。

詳しくは、Citrix Workspace アプリのリファレンスアーキテクチャを参照してください

Workspace アプリと Web ポータルのエンドユーザーエクスペリエンス

AC-Image-11

AC-Image-12

ユーザーがエンドポイントで Workspace アプリを起動すると、アプリケーション、デスクトップ、ファイル、SaaS アプリが表示されます。セキュリティ強化がオフになっているときにユーザーが SaaS アプリケーションをクリックすると、そのアプリケーションはローカルにインストールされている標準ブラウザで開きます。管理者がセキュリティ強化を有効にしている場合、SaaS アプリは Workspace アプリ内の埋め込みブラウザーで開きます。SaaS アプリおよび Web アプリ内のハイパーリンクへのアクセスは、Web フィルタリングポリシーに基づいて制御されます。

同様に、Workspace Web ポータルでは、セキュリティが強化されると、SaaS アプリケーションはネイティブにインストールされている標準ブラウザで開かれます。セキュリティ強化を有効にすると、SaaS アプリはSecure Browserから開きます。ユーザーは、Web フィルタリングポリシーに基づいて SaaS アプリ内の Web サイトにアクセスできます。

Citrix Secure Private Access 実装

Citrix Secure Private Access サービスはクラウドベースのサービスです。ユーザー中心のソリューションを組織に提供し、ポリシーに準拠するために、Citrix Secure Private Accessは重要な役割を果たします。Citrix Secure Private Access以外にも、エンドユーザーに統合ソリューションを提供できるサービスがあります。Citrix Secure Private Accessサービスのオンボーディングとセットアップを開始するには、管理者が認証を設定し、SaaSアプリへのアクセスを構成し、Citrix Secure Private Accessサービスでコンテンツアクセス設定を指定する必要があります。エンドユーザーは、Citrix Workspace アプリまたはWorkspaceURLからサービスにアクセスできます。

AC-Image-13

Citrix管理者は資格情報を使用してCitrix Cloudにログインし、Citrix Secure Private Access サービスを要求します。Citrix Secure Private Access は、Citrix Gateway、セキュアブラウザ、Citrix Analytics などの他のシトリックスのポートフォリオ製品と統合されています。このソリューションは、SaaS アプリケーションのセキュリティを提供します。

AC-Image-14

手順1: Citrix管理者は、Citrix CloudでIDおよびアクセス管理を構成します。デフォルトでは、Citrix Cloud はCitrix IDプロバイダーを使用して、Citrix Cloud アカウントのすべてのユーザーのID情報を管理します。管理者は、Azure Active Directory またはオンプレミスの Active Directory サービスを柔軟に変更して使用することができます。

手順2: Citrix管理者はCitrix Gateway サービスにログインして、SaaSおよびWebアプリケーションのシングルサインオンを構成します。Citrix Gateway サービスは、エンドユーザーがSAMLシングルサインオンを使用してアプリケーションにサインインする企業環境への安全なログインを提供します。

テンプレートからライブラリに Web アプリまたは SaaS アプリを追加します。Citrix Secure Private AccessでサポートされているSaaSアプリケーションの一覧について詳しくは、「Citrix Secure Private Access サービスでサポートされているSaaSアプリケーション」を参照してください。

ステップ 3: 管理者は、アプリケーションの名前、URL、ドメインの詳細などのアプリの詳細を入力します。強化されたセキュリティポリシーを有効にして、データ漏洩を防ぐことができます。SaaSアプリケーション内のこれらのポリシーは、デスクトップ用のWorkspaceアプリを使用する場合は埋め込みブラウザに、WorkspaceアプリのWebまたはモバイルを使用する場合はSecure Browserに制限を適用します。

AC-Image-15

手順4: Web/SaaSアプリのシングルサインオンを有効にする: Citrix Gateway サービス(クラウドサービスのみ)は、SaaSアプリケーションのシングルサインオンを提供します。SaaS アプリケーションのシングルサインオンの有効化は、わずか数の Web フォームと設定ページのクリックに簡略化され、デプロイプロセスが大幅に簡略化されました。管理者は Gateway Connector を適用して、外部 Workspace アプリユーザーへの内部 Web ベースの SaaS アプリケーションアクセスをプロキシできます。

Citrix Cloudの[ ライブラリ ]セクションで、SaaSとWebアプリが公開されます。管理者はドメインを選択した後にユーザーを追加する必要があり、サブスクライブしているユーザーのみが Workspace アプリまたは Workspace Web からアプリケーションにアクセスできます。

手順5: Webサイトの一覧をフィルタリングする: 企業ネットワークをブラウザベースの攻撃から保護するために、Citrix Secure Private AccessにはWebフィルタリングサービスが含まれています。ポリシーに基づいて、Web フィルタリングサービスは、定義されているとおりにユーザからのハイパーリンク要求を許可、拒否、またはリダイレクトします。

許可: リクエストリンクは安全であると見なされ、Workspaceアプリの埋め込みブラウザ内でのアクセスが許可されます。

ブロック: ハイパーリンクは危険とみなされ、アクセスが拒否されます。

リダイレクト: 管理者は、セキュリティ脅威のあるWebサイトをSecure Browserサービスを介してリダイレクトすることにより、予防策を講じます。

ステップ 6: Web サイトのカテゴリをフィルタリングします。分類データベースは、ソーシャルネットワーキング、ギャンブル、アダルトコンテンツ、ニューメディア、ショッピングなど、特定の Web サイトへのエンドユーザーのアクセスを制御する Web トラフィックをフィルタリングするのに役立ちます。カテゴリに基づき、特定のWebサイトやWebサイトカテゴリへのユーザーアクセスを制限します。

分類プリセットは、すぐに使える便利なテンプレートを提供します  
厳格 セキュリティで保護されていないウェブサイトや悪意のある Web サイトにアクセスするリスクを最小限に抑えます。エンドユーザーは、引き続きリスクの低いWebサイトにアクセスできます。ほとんどのビジネス旅行やソーシャルメディアのウェブサイトが含まれています。(133/192カテゴリ)
セキュリティで保護されていないサイトや悪意のあるサイトから危険にさらされる可能性が低い他のカテゴリを許可しながら、リスクを最小限に抑えます。ほとんどのビジネス旅行、レジャー、ソーシャルメディアのウェブサイトが含まれています。(65/192 カテゴリ)
寛大な 違法・悪意のある Web サイトからのリスクを管理しながら、アクセスを最大化します。(36/192カテゴリ)
なし すべてのカテゴリを許可します。
カスタム カテゴリのカスタムフィルタを設定します。

参照: Citrix Secure Private Access カテゴリリスト

Citrix Workspaceアプリを使用すると、どのデバイスでも優れたエクスペリエンス(セキュアでコンテキストの統一されたワークスペース)が提供されます。ユーザーは、生産性を高めるために必要なすべてのアプリにシングルサインオンすることで、シームレスで安全なアクセスを得ることができます。

構成を検証するために、エンドユーザーはCitrix Workspaceアプリ(またはCitrix WorkspaceWeb)からSaaSアプリケーションを起動できます。また、ユーザーは URL にアクセスして、Web サイトのフィルタリングリストに追加された、許可またはブロックされた Web サイトを確認できます。Citrix Workspace アプリの埋め込みブラウザにより、管理者はセキュリティ制御を強化したSaaSアプリケーションへのネイティブアクセスを提供できます。

Citrix Workspace アプリについて詳しくは、 Citrix Workspace アプリのリファレンスアーキテクチャを参照してください

手順7: Citrix Secure Private AccessサービスはCitrix Analytics と統合され、訪問したWebサイトや消費された帯域幅など、ユーザーのアクティビティに関する情報を取得します。Citrix Analytics は、マルウェアやフィッシングサイトなどの検出された脅威を報告します。

管理者は、Citrix Analytics クラウドサービスにログインしてCitrix Secure Private Accessのルールを作成し、条件が満たされたときにアクションプランを適用できます。ユーザーの行動アクティビティを監視および分析するには、Citrix Cloud での分析のためにCitrix Secure Private Accessの「データ処理を有効にする」を有効にします(データソースは、Citrix Analyticsにデータを送信するCitrixのサービスおよび製品です)。

AC-Image-16

Citrix Analytics サービスは、機械学習と人工知能を使用してユーザーのアクティビティと行動を監視します。Citrix Analytics データソースは、Workspaceアプリ、Citrix Gateway、Citrix Secure Private Access、およびセキュアブラウザサービスから収集されます。

Citrix Secure Private Access ユースケース

今日、組織はビジネス要件に対処するためにSoftware as a Service(SaaS)ソリューションに目を向けていますが、多くの場合、必要なセキュリティ対策を講じたり、アプリケーションを適切に維持したりしていません。ほとんどのSaaSアプリケーションのセキュリティ障害は、クラウドプロバイダーではなくユーザーによって引き起こされます。組織は、これらの欠陥に対処するために、その戦略を規制する必要があります。

Citrix Secure Private Accessは、SaaSアプリに対して強化されたセキュリティポリシー(透かし、コピーと貼り付けの制限、機密データのダウンロード/アップロードの防止など)を適用します。また、Webフィルタリングの形式でブロック/許可するWebサイトカテゴリとWebサイトのアクセスポリシーを定義します。

既存のブラウンフィールド展開 Citrix Secure Private Access がどのように適合するか
Citrix Cloudサービスの導入を検討している組織。 1)Citrix Secure Private Accessは、エンドユーザーにSaaS、SSO、およびWebフィルタリング機能のセキュリティを提供し、環境に適切に適合します。2)オンプレミスモデルを希望する組織に対して、Citrix Gatewayは、エンドユーザーにSSOと強化されたセキュリティを提供するのに役立ちます。
Citrix Gatewayサービスをすでに採用している組織 1)Citrix Cloud は、SaaSおよびインターネットベースのアプリケーションのセキュリティ制御を提供する、Citrix Secure Private Access、Analytics、Secure Browserサービスなど、いくつかのクラウドベースのサービスを提供しています。
サード・パーティ製SSOをすでに採用している組織 1)Citrix Secure Private Accessは、SaaSアプリにきめ細かいレベルのセキュリティ制御を提供し、ユーザーの行動に基づく分析を通じてWebベースの脅威を最小限に抑え、ポリシーを自動的に適用します。2)ICAプロキシは、オンプレミスとCitrix Virtual Apps and Desktopsサービスの両方でサポートされています。

エンタープライズWebアプリケーション向けのCitrix Secure Private Access ソリューション

オンプレミスのお客様のほとんどは、SharePoint、Confluence、Microsoft Office、ヘルプデスクアプリケーションなどのWebアプリケーションを今でも使用しています。エンタープライズアプリケーションはCitrix Gatewayサービスを使用してリモートで配信され、必要なセキュリティはCitrix Secure Private Access を使用して追加されます。

エンドユーザーは、Citrix Gateway サービスを活用するCitrix Workspaceを使用してWebアプリにアクセスします。Citrix Gateway サービスは、Citrix Workspace と安全に結合され、構成済みのWebアプリに統一されたユーザーエクスペリエンスを提供します。内部Webアプリケーションへのシングルサインオンとリモートアクセスは、さまざまなサービスパッケージを通じて利用できます。

AC-Image-20

上の図は、Citrix Gateway Connectorを使用するオンプレミスの顧客に適用されるCitrixセキュアプライベートアクセスソリューションを示しています。Citrix Gatewayコネクタは、エンタープライズWebアプリケーションとCitrix Workspaceサービスの間のブリッジとして機能します。

セキュリティを強化した Web アプリのシングルサインオン

ユーザーはCitrix Workspaceアプリを起動し、オンプレミスのActive Directory サービスを使用してCitrix Workspaceに接続します。Citrix Workspace アプリは、Webアプリを起動するために使用されます。Citrix Gateway サービスは、推奨ブラウザとリンクを提供します。Citrix Workspace アプリの組み込みブラウザーは、Citrix Gateway サービスとアプリケーション接続を確立します。また、強化されたセキュリティポリシーは、Citrix Secure Private Access サービスを通じて有効になります。さらに、Citrix Gateway サービスは、リソースの場所からゲートウェイコネクタとのアウトバウンド接続を確立します。ログイン資格情報を検証し、Citrix Workspace アプリは内部Webアプリとのエンドツーエンド接続を保護します。

ユーザーがローカルブラウザーを使用している場合、認証は Active Directory サービスを介して行われ、ローカルブラウザーは Secure Browser サービスとの安全な接続を確立します。強化されたセキュリティポリシーは、セキュアプライベートアクセスサービスを通じて有効になります。次に、ゲートウェイコネクタとCitrix Gateway サービスの間に安全な送信チャネルが確立されます。次に、ユーザー資格情報がネゴシエートされ、ユーザーに代わってシングルサインオンが確立されます。最後に、セキュリティで保護されたブラウザを介してユーザーのエンドツーエンド接続が見つかります。

参考: エンタープライズ Web アプリのサポート

Webアプリケーション向けCitrix Secure Private Access シングルサインオン

Citrix Gateway Connectorとクラウド内のCitrix Gateway サービスは、オンプレミスアプリケーションとの通信を保護します。Web アプリケーションは、VPN レス接続を使用して Workspace 経由でアクセスおよび配信されます。管理者は Web アプリの設定時にシングルサインオン方法を選択する必要があります。

次の4種類のSSOは、Citrix Gatewayサービスを介して構成できます。

  • フォームベース
  • 基本SSO
  • Kerberos
  • SAML (TP)

AC-Image-21

フォームベース認証

1) Citrix Gateway サービスは、Citrix Gateway Connector間に安全なチャネルを確立し、ログイン資格情報を使用してWebアプリ要求を送信します

2) Citrix Gateway Connectorは、それぞれのWebアプリケーションにログイン資格情報を送信します

3) Webアプリへのシングルサインオンを使用して、Citrix Gateway サービスを介してWebアプリとCitrix Workspaceアプリの間にエンドツーエンドの安全な接続が確立されます。

基本SSO認証

1) Citrix Gateway サービスは、Citrix Gateway Connector間に安全なチャネルを作成し、ユーザー名とパスワードを使用してWebアプリ要求を送信します

2) Citrix Gateway Connectorは、ログイン資格情報をWebアプリケーションのログインページに送信します

3) Web アプリが NTLM プロトコルを使用して認証を要求する

4) Citrix Gateway ConnectorはNTLM要求にユーザー名とパスワードで応答します

5) Webアプリへのシングルサインオンを使用して、Citrix Gateway サービスを介してWebアプリとCitrix Workspaceアプリの間にエンドツーエンドの安全な接続が確立されます。

Kerberos 認証

1) Citrix Gateway サービスは、Citrix Gateway Connector間に安全なチャネルを作成し、ユーザー名とパスワードを使用してWebアプリ要求を送信します

2) Citrix Gateway Connectorは、ログイン資格情報をWebアプリケーションのログインページに送信します

3) Web アプリが Kerberos プロトコルを使用して認証を要求する

4) Citrix Gateway Connectorがドメインコントローラーに接続してログイン資格情報を確認します

5) ドメインコントローラーはユーザー資格情報を検証し、承認します

6) Citrix Gateway ConnectorがアプリケーションをWebアプリに転送する

7) Webアプリへのシングルサインオンを使用して、Citrix Gatewayサービスを介してCitrix WebアプリとCitrix Workspaceアプリの間にエンドツーエンドの安全な接続が確立されます。

Kerberos シングルサインオン機能を有効にするには、管理者は Kerberos 制約付き委任を実行するために信頼されているサービスアカウントの資格情報を使用して Gateway Connector を構成します。

ユーザーは、企業に重大な損害を与える悪意のある Web サイトにアクセスしようとする可能性があります。また、企業の規制やポリシーに違反する可能性があります。これらの問題を解決するために、管理者はCitrix Secure Private Accessを採用して、組織にリスクをもたらすリスクの高いWebサイトをフィルタリングできます。ユーザーの名前と IP アドレスを含む透かしをセッション全体を通して追加することもできます。

参考: エンタープライズ Web アプリのサポート

Citrix Secure Private Access アプリ保護ポリシー

ユーザーのログイン資格情報が盗まれることはよくあることですが、ユーザーはこれを認識していない可能性があります。サイバー犯罪者はさまざまな手法を使用してエンドユーザーのデータを把握します。一般的な手法の1つは、キーロガーマルウェアを使用してユーザーデータをキャプチャすることです。これらのマルウェア製品は、ユーザーマシンに簡単にインストールでき、すぐにユーザー情報の取得を試みます。ユーザー情報の漏洩は、組織とユーザーに重大な損害を与える可能性があります。この問題を克服するには、組織はユーザーデータの保護に多額の投資を行い、キーロガーに対する防御シールドを作成する必要があります。

キーロガーと同様に、スクリーンショットをキャプチャするアプリケーションがあります。これらの悪意のあるプログラムは、ユーザーのデスクトップのスクリーンショットを作成して、画面に表示される情報をキャプチャすることによって動作します。

ユーザーデスクトップのイメージグラブを克服するために、さまざまなタイプのソフトウェアをユーザーエンドポイントにインストールできます。しかし、これはユーザーのデスクトップと環境のパフォーマンスを低下させる可能性があります。

Citrix Secure Private Access には、企業データを保護するための高度なポリシーがあります。エンドポイントセキュリティは、あらゆる組織にとって重要なセキュリティ上の考慮事項です。侵害の大半はユーザーエンドポイントで発生するためです。アプリ保護ポリシーは、SaaS アプリのセキュリティ強化を有効にするときに適用されるルールです。お客様は、次の 2 つの高度なセキュリティポリシーを使用できます。

  • アンチキーロギング

  • スクリーンキャプチャ対策

AC-Image-22

Citrix App保護ポリシーは、Citrix Secure Private Access ソリューションによって有効になります。利点は次のとおりです。

  • キーロギングと画面キャプチャからの保護
  • Citrix管理者の一元管理
  • デバイスのセキュリティ体制にとらわれない

アプリ保護ポリシーは、Windows用のバージョン1912以降のCitrix Workspace アプリに組み込まれていますが、管理者はこの機能を有効にする必要があります。

参考: アプリ保護ポリシー

Citrix Secure Browserを使用して、危険なインターネット閲覧からユーザーを保護する

Web ブラウザは、アクティブな実稼働環境に不可欠です。これらは、作業環境で他のどのアプリケーションよりもインターネットに公開される強力でデータ豊富なツールです。過去数年間、サイバー犯罪者はWebブラウザを利用して、クレジットカードデータ、電子メールID、保存されているパスワードなどの膨大な量のユーザー情報を取得してきました。

ブラウザベースの攻撃は、戦略的に望ましいハッキングターゲットであるためではなく、ブラウザベースの攻撃を検出するのが難しいために蔓延しています。従来のセキュリティ制御では、これらのアプリケーションはダウンロードしたファイルと添付ファイルのみを精査するため、このような攻撃を検出できません。したがって、ブラウザベースの攻撃は見過ごされがちです。

Citrix Secure Browser サービスは、Webブラウジングを分離して、お客様の本番環境をブラウザベースの攻撃から保護します。Citrix Workspace アプリまたはローカルブラウザーは、Citrix 本番環境へのエントリーポイントです。Citrix Secure Browser は、インターネットブラウジングを分離して、Webサイトがユーザーデバイスとの間でブラウジングデータを直接転送しないようにします。これを使用することで、セキュリティ管理者は企業のセキュリティを低下させることなく、安全なインターネットアクセスを提供できます。

Citrix Secure Browser サービスは、Citrix が管理および運営するSaaS製品です。このサービスを使用すると、クラウドでホストされているWebブラウザーを介してWebアプリケーションにアクセスできます。Citrix Secureサービスを使用する場合、ホストされているWebブラウザーはユーザーの閲覧履歴を追跡し、HTTP/HTTPS要求のキャッシュを実行します。Citrix は必須プロファイルを使用し、閲覧セッションが終了すると、そのセッションのデータが確実に消去されます。

Secure Browserサービスは、HTML5互換のWebブラウザでアクセスできます。ユーザーがダウンロードする必要のあるクライアントはありません。エンドユーザーのブラウザーとCitrix Cloud サービス間のすべてのトラフィックは、業界標準のTLS暗号化を使用して暗号化され、TLS 1.2のみがサポートされています。

AC-Image-23

上の図は、クラウド環境とオンプレミスの両方のCitrix環境向けのCitrix Secure Browserサービスを含む、Citrixセキュアプライベートアクセスソリューションの統合を示しています。オンプレミスのStoreFrontを使用するCitrix Virtual Apps and Desktops のお客様は、Secure Browserサービスと簡単に統合できます。

セキュアブラウザサービスを使用したCitrix StoreFrontの構成について詳しくは、 このリンクを参照してください

Citrix Secure Private Access とコンテンツコラボレーション

ほとんどの組織は、ネットワークを侵害する何らかのランサムウェアやフィッシングの試みを経験しています。このような脅威の根本原因は、多くの場合、Web ベースの脅威からの保護が不十分であることです。ユーザーが日常的にアクセスしているウェブサイトを把握できていません。

Citrix Secure Private Accessサービスにより、組織はブラウザベースの攻撃やデータ漏洩から環境を保護できます。従業員がオフィス、自宅、旅行中を問わず、あらゆるデバイスからアプリケーションにアクセスする場合、Citrix Secure Private Accessサービスは、SSO、2要素認証、リモートアクセス、Webフィルタリングをエンドツーエンドのセキュアプライベートアクセスのための単一のソリューションに統合した一貫したエクスペリエンスを提供します。

AC-Image-17

Citrix Content Collaboration により、ユーザーは簡単かつ安全にドキュメントを交換できます。Webベースのインターフェイス、モバイルクライアント、デスクトップアプリケーション、Microsoft OutlookおよびGmailとの統合など、Citrix Content Collaborationを使用して作業する方法は多数あります。

Citrix Files は、データの共有とストレージ、カスタマイズ可能な使用法と設定、ユーザーがより簡単に共同作業を行い、いつでもどこでも、どのデバイスからでも作業を完了できるツールを提供するファイルマネージャーです。

上の図は、ハイブリッドクラウドモデルのシナリオでCitrix Files SaaSアプリをエンドユーザーに提供することを示しています。Citrix Cloud Connector は、Citrix Cloudアカウントとリソースの場所へのリンクを提供します。リソースの場所には、エンドユーザー用の Active Directory が含まれ、エンドユーザーは Web アプリケーションにシームレスにサインオンできます。

Citrix Gateway サービスは、認証、シングルサインオンを提供し、Citrix 仮想アプリケーションと SaaS アプリケーションの迅速かつ安全な配信を可能にします。エンドユーザーは、ログイン認証情報を使用して会社の環境にログインし、SAML シングルサインオンを使用して Web アプリケーションにログインできます。Citrix Gateway サービスでは、管理者はWeb/SaaSアプリのテンプレートを選択するか、独自のアプリケーションパラメーターを定義できます。例:

アプリケーションに「Citrix Files」という名前を付けます。

URL を入力します。 https://xxxxx.sharefile.com/

同様に、SSOページで、Citrix Files のSAMLまたはSSO設定がバックエンドですでに完了している場合、管理者はSAMLが選択されていることを確認できます。

アサーションURLは次のとおりです。 https://xxxxx.sharefile.com/saml/xxxx

聴衆: https://xxxxx.sharefile.com

名前 ID 形式: メールアドレス

名前 ID: 電子メール

SaaSアプリケーションがCitrix Cloudライブラリに追加されると、管理者はサブスクライバーを管理し、アクセスするWorkspaceURLをユーザーに提供する必要があります。Active Directory を使用すると、さまざまな Web および SaaS アプリケーションへの SAML シングルサインオンを可能にする ID プロバイダーとして機能できます。

コンテンツコントロールとコンテキストアクセス

[強化されたセキュリティ] ページで、管理者は組織を機密データの漏洩から保護するためのポリシーを設定できます。以下のオプションが提供されています。

  • クリップボードへのアクセスの制限
  • 制限された印刷
  • ナビゲーションが制限されています
  • 制限されたダウンロード
  • 透かしの表示

組織にセキュリティリスクのある不要なWebサイトをブロックするには、Citrix 管理者はURLリストを追加するか、カテゴリリストを選択して、URLをブロックおよび許可する必要があります。管理者は、安全なブラウザを介して URL をリダイレクトすることにより、慎重なアプローチを取ることもできます。

ユーザーの行動とアクティビティ

管理者によるユーザーの行動とアクティビティを監視するために、Citrix Secure Private AccessサービスはCitrix Analytics サービスと簡単に統合できます。管理者は、リスクを軽減するために、事前に定義された条件とアクションプランを課します。

Citrix Secure Private Access と G Suite

G Suite(Google Workspace とも呼ばれます)は、インターネット経由でリモートからアクセスできる一連の SaaS アプリケーションです。G Suiteは、以前はGoogleが開発したGoogle Apps として知られていました。G Suite は、コミュニケーション用の Gmail、ハングアウト、カレンダー、ストレージ用の Google Drive、コラボレーション用の Google ドキュメント、スプレッドシート、スライド、フォーム、サイトで構成されています。G Suite は生産性に非常に優れていますが、ほとんどのネットワークは、モビリティとクラウドのユースケースに必要なパフォーマンスとセキュリティを提供するように適切に設計されていません。

Google CloudとCitrix により、エンドユーザーは、アプリ中心、モバイルファースト、ハイブリッドクラウドの世界で、優れたユーザーエクスペリエンスと待望の柔軟性を備えた強化されたセキュリティを提供する先駆的なソリューションを促進できます。

市場をリードする生産性SaaSアプリのセットであるG SuiteをCitrix Secure Private Accessと統合することで、組織はSaaSアプリケーションの可視性と制御を強化し、データ漏洩や機密情報の不正な開示を防ぐことができます。

エンドユーザーは、Citrix Workspace アプリからURLとログイン資格情報を入力するだけで、G Suiteアプリケーションにアクセスできます。ユーザーは、アプリ、デスクトップ、ファイルを含むワークスペース全体を持つことになり、ユーザーは別のユーザー名とパスワードを入力する必要がないことに注意してください。ワークスペース全体が単一のアクセスポイントを通じて提供されるため、生産性が向上し、エンドユーザーの一般的なワークフローが合理化されます。

AC-Image-18

Citrix Secure Private Accessは、シングルサインオン機能を提供するだけでなく、他のソリューションでは利用できないセキュリティ制御のレイヤーも提供します。

展開

Citrix Cloud Connectorは、リソースの場所とCitrix Cloud の間のすべての通信を処理するために使用されます。高可用性を実現するために、各リソース場所に少なくとも 2 つのコネクタを展開します。リソースの場所は Active Directory と統合されるため、エンドユーザーは G Suite アプリケーションにシームレスにサインオンできます。

Active Directory を使用するCitrix Gatewayサービスは、G Suite SaaSアプリケーションへのSAMLシングルサインオンを可能にするIDプロバイダーとして機能できます。Citrix Secure Private Accessを使用すると、エンドユーザーはセキュアブラウザセッションでG Suite SaaSアプリケーションを起動でき、管理者は5つの異なる制御ポリシーを適用できます。

シナリオ 1: セキュリティ強化がオフになっています。ユーザーが G Suite 内で Gmail を起動すると、標準のブラウザで開きます。同様に、Gmail アカウントで開かれた URL は、追加のセキュリティポリシーやコントロールなしで標準のブラウザを使用します。ユーザーは、ページからの移動、切り取り、コピー、および印刷を自由に設定できます。

シナリオ 2: セキュリティ強化が有効になっています。ユーザーが G Suite 内で Gmail を起動すると、Secure Browserで開きます。現在、Citrix Secure Private Accessを介して制御機能のレイヤーが適用され、エンドユーザーにはサイトから移動するためのナビゲーションバーが表示されません。さらに、切り取り、コピー、貼り付けの制限が課されます。これとは別に、Citrix Secure Private Accessは、ユーザーが悪意のあるWebサイトにアクセスするのを防ぐURLフィルタリング機能を提供します。また、ポリシーに基づいてユーザーをセキュアブラウザにリダイレクトすることもできます。

G Suite SaaS アプリでCitrix Secure Private Access を使用する利点:

  • シングルサインオン
  • 多要素認証
  • G Suite のセキュリティポリシーの強化
  • G Suite の Web フィルタリングポリシー
  • エンドツーエンドの可視性と分析

高度な概念

Citrix Gateway SaaSおよびO365クラウド検証済みリファレンスデザイン

セキュアプライベートアクセスを備えたCitrix Gateway サービス SSO 検証済みリファレンスデザイン

概要

Citrix Secure Private Accessは、安全なデジタルワークスペースのための統合ソリューションです。デジタルワークスペースの変化にともない、ほとんどの組織では SaaS と Web アプリを採用しています。コラボレーションソリューションを実装すると、セキュリティが大幅に向上し、企業、中小企業、SaaSベンダーにメリットがもたらされ、データが保護されているという確信が持てます。

ネットワークのみを保護するという考えは、もはや十分ではありません。組織はユーザーとアプリを保護する必要があります。これが、Citrix Secure Private Access が以下を提供する理由です。

  • SaaS、ウェブ、仮想アプリケーションへの統合アクセス
  • エンドユーザーの操作性と柔軟性を問わず、あらゆるエンドポイントデバイスを使用可能
  • 分析サービスを使用したアプリケーショントラフィックの可視化と脅威検出により、シングルサインオンを超えた SaaS アプリのアプリ内制御を支援

ソース

このリファレンスアーキテクチャの目的は、お客様独自の実装計画を支援することです。あなたの仕事をより簡単にするために、私たちはあなた自身の詳細な設計と実装ガイドで適用できるソース図を提供したいと考えています: ソース図

参照ドキュメント

セキュアなプライベートアクセス

技術ブリーフ

技術インサイト

IT制御を犠牲にすることなく、場所を問わず任意のデバイス上でコンテキストに応じたセキュアなユーザーアクセスを提供

リファレンスアーキテクチャ:安全なプライベートアクセス

この記事の概要