リファレンスアーキテクチャ:柔軟な作業
概要
長年にわたり、CompanYA は、ユーザー全体の少数の割合でリモート作業をサポートしていました。あらゆる地域から優秀な人材を雇用するために、CompanYa はリモートワークを企業全体の方針に拡大することを調査しています。このポリシーは、潜在的な従業員候補者のプールを開くだけでなく、現在の従業員に仕事/生活の柔軟性を向上させます。
しかし、2020から2021年の世界的なパンデミックは、このイニシアチブを最前線にもたらしました。companYaはパンデミックの重症度を気象することができましたが、ソリューションを考案し、タイムリーに実装する意識が高まっています。
このリファレンス・アーキテクチャでは、CompanYaがITセキュリティを損なうことなく、柔軟なワークスタイルをサポートするCitrix Workspaceソリューションをどのように計画しているかについて説明します。
成功基準
多くのユーザーは主要な作業環境を持っていますが、このソリューションでは、必要に応じてどこからでも作業できる柔軟なワークスタイルをサポートする必要があります。成功するために、CompanYA は、包括的なデザインの基礎を形成する成功基準のリストを定義しました。
ユーザーエクスペリエンス
柔軟な作業ソリューションの最も重要な側面は、ユーザーのニーズを満たすことです。CompanYA は、設計を成功させるために、次のユーザー関連の基準を特定しました。
| 成功基準 | 説明 | 解決策 |
|---|---|---|
| 統一されたエクスペリエンス | ユーザーは、PC、タブレット、スマートフォンなど、多数のデバイスでリソースにアクセスできます。すべてのプラットフォームで統一されたエクスペリエンスを提供することで、エンドユーザーの混乱を回避できます。 | Citrix Workspace |
| 個人用モバイルデバイス | ユーザーは、企業で管理されているモバイルデバイスのリストから選択できます。モバイルデバイスでは、CompanYA は、企業のセキュリティポリシーを維持しながら、個人使用のためにデバイスを変更できます。 | Citrix Endpoint Management — 企業所有、個人対応(COPE) |
| 個人用 PC デバイス | ユーザーは、使用要件に適合する企業管理エンドポイントデバイスのリストから選択できます。これらのデバイスは、CompanYA によって完全に管理され、保護されています。 | Citrix Endpoint Management — 自分のデバイスを選択(CYOD) |
| 冗長ホームネットワーク | ミッションクリティカルなシナリオで自宅から作業しているユーザーは、冗長かつ高可用性ネットワーク接続が必要です。 | Citrix SD-WAN 110ホームアプライアンス |
| 個人のプライバシー | 許可されていない Web サイトを使用する場合は、ユーザーのプライバシーを確保しながら、潜在的な脅威からユーザーとエンドポイントを保護する必要があります。 | Citrix Secure Internet Access では、個人情報を含むサイトのポリシーを復号化しない |
| SaaS アプリケーションアクセス | ユーザーは、エクスペリエンスに影響を与えない強力な認証を使用して、認可された SaaS アプリケーションにアクセスできる必要があります。 | Citrix Secure Private Access |
| ウェブアプリケーションアクセス | ユーザーは、承認された任意のデバイスから、承認された内部Webアプリケーションにアクセスできる必要があります。 | Citrix Secure Private Access — ゼロトラストネットワークアクセス |
| 仮想アプリケーションおよびデスクトップ アクセス | ユーザーは、承認された任意のデバイスで承認された Windows アプリおよびデスクトップにアクセスできる必要があります。 | Citrix DaaS |
| 仮想アプリケーションとデスクトップの直接ルーティング | ローカルオフィス環境から作業しているユーザーは、セキュリティポリシーを損なうことなく、リソースへの直接ルートを利用できます。 | 直接ワークロード接続を備えたCitrix DaaS |
| バーチャルミーティングのサポート | ユーザーはもはや同じ場所での作業に制約されなくなるため、Microsoft Teamsのような仮想会議ソリューションを使用することが必要です。すべてのユーザーは、アプリケーションにアクセスし、ローカルのWebカメラ/マイクを使用することができます。 | マルチメディア会議ポリシーを備えたCitrix DaaS |
セキュリティ
成功するためには、CompanYaはリソースを保護し、セキュリティを確保すると同時に、ユーザーの要件に適合する柔軟な作業環境を提供できる必要があります。CompanYA は、設計を成功させるために、次のセキュリティ関連の基準を特定しました。
| 成功基準 | 説明 | 解決策 |
|---|---|---|
| セキュリティで保護されていない個人用デバイス | セキュリティで保護されていないデバイスで Workspace にアクセスしようとするユーザーは、認可されたリソースにアクセスできない必要があります。 | CitrixアプリケーションDelivery Controller(ADC)-nFactorポリシーとエンドポイント分析 |
| セキュアホームネットワーク | 機密性の高い財務データと個人データを自宅から作業するユーザーは、別の安全なネットワークから行う必要があります。 | Citrix SD-WAN 110ホームアプライアンス |
| インターネットセキュリティ | 場所に関係なく、ユーザーは、電子メール、アプリケーション、Web サイト内に隠された潜在的なインターネットの脅威から保護する必要があります。インターネット保護は、仮想アプリ/デスクトップ、ローカルアプリ、モバイルアプリ、Web アプリ、SaaS アプリなど、すべての配信モデルにまで拡張する必要があります。 | Citrix Secure Internet Access |
| SaaS とウェブアプリケーションのセキュリティ | 財務情報、個人情報、またはその他の機密情報を含む SaaS アプリからデータをダウンロード、印刷、またはコピーするユーザーの機能を制限する必要があります。 | Citrix Secure Private Access — アプリケーション保護付きのセキュリティポリシー |
| 仮想アプリとデスクトップセキュリティ | 仮想アプリやデスクトップにアクセスするユーザーは、財務情報、個人情報、その他の機密情報をコピー、ダウンロード、印刷することはできません。 | Citrix DaaS — アプリ保護付きのセキュリティポリシー |
| セキュアなアクセス | 社内リソースは、信頼されていない場所やセキュリティで保護されていない場所から保護する必要があります。マルウェアの侵入を防ぐため、デバイスは内部ネットワークへの直接アクセスを許可されません。 | VPNレスアクセス |
| 多要素認証 | セキュリティが最優先される中、企業リソースの認証保護の別のレイヤーを確保するには、MFA が必要です。 | Citrix ADC-プッシュ付き時間ベースのワンタイムパスワード |
| SaaS クレデンシャル保護 | SaaS アプリケーションに対するユーザーの資格情報には、強力な多要素認証を含める必要があります。 | Citrix Secure Private Access — SAMLのみの認証によるシングルサインオン |
| 侵害されたユーザー保護 | IT担当者は、侵害されたユーザーアカウントによってもたらされる脅威を迅速に特定し、軽減できる必要があります。 | Citrix セキュリティ分析 |
概念アーキテクチャ
前述の要件に基づいて、CompanYA は次の高レベルの概念アーキテクチャを作成しました。このアーキテクチャは、前述の要件をすべて満たし、CompanyA は将来的に追加のユースケースに拡張するための基盤を提供します。
アーキテクチャフレームワークは、複数の層に分かれています。フレームワークは、柔軟な作業展開シナリオの技術アーキテクチャを理解するための基盤を提供します。すべてのレイヤーが一緒にフローし、完全なエンドツーエンドソリューションを作成します。
高レベル:
ユーザーレイヤー: ユーザー層は、リソースへの接続に使用されるエンドユーザー環境とエンドポイントデバイスを記述します。
- デバイスに関係なく、ユーザーは Workspace アプリからリソースにアクセスできるため、すべてのフォームファクタとデバイスプラットフォームで同一のエクスペリエンスが得られます。
- すべてのエンドポイントデバイスをセキュリティで保護する必要があります。個人用モバイルデバイスを使用するユーザーは、デバイスを組織に登録する必要があります。
- 役割によっては、特定のユーザーが個別の安全なホームネットワーク接続またはフォールトトレラントネットワーク接続を必要とする場合があります。
- CompanYA は、柔軟な作業環境で、Workspace アプリ統合の最適化を含む、仮想化された Microsoft Teams へのアクセスをすべてのユーザーに提供します。
アクセスレイヤー:アクセスレイヤーは、ユーザーがワークスペースとセカンダリリソースに対してどのように認証されるかに関する詳細を記述します。
- ユーザーがCitrix Workspace ログオンページにアクセスする前に、Endpoint Management サービスによってエンドポイントがスキャンされ、企業で管理されているデバイスであることを確認しました。CompanYA では、リソースをより適切に保護するために、すべてのエンドポイントデバイス (デバイスレベル管理、または Windows およびモバイル向けアプリケーションレベルの管理) に対してあるレベルの管理が必要です。
- Citrix Workspaceでは、後続のすべてのリソースに対してプライマリ認証ブローカーが提供されます。CompanYA では、認証のセキュリティを向上させるために、多要素認証が必要です。
- 環境内の承認されたリソースの多くは、プライマリワークスペースアイデンティティに使用される認証情報とは異なる認証情報のセットを使用します。CompanYa は、各サービスのシングルサインオン機能を使用して、これらのセカンダリ ID をより適切に保護します。SaaS アプリの場合、アプリケーションは SAML ベースの認証のみを許可します。これにより、ユーザーは SaaS アプリに直接アクセスできず、セキュリティポリシーをバイパスできなくなります。
リソースレイヤー:リソースレイヤーは、リソースに関連付けられたセキュリティポリシーを定義しながら、定義されたユーザーおよびグループに対して特定の SaaS、Web、および仮想リソースを承認します。
- データをより適切に保護するために、CompanYA では、管理対象リソースからエンドポイントとの間でコンテンツを印刷、ダウンロード、およびコピー/貼り付ける機能を無効にするポリシーが必要です。
コントロールレイヤー:コントロールレイヤーは、基礎となるソリューションがユーザーの基本的なアクティビティに基づいてどのように調整されるかを定義します。
- 保護されたワークスペースリソース内であっても、ユーザーは信頼できないインターネットリソースと対話することができます。CompanYA は、セキュアインターネットアクセスを使用して、SaaS アプリ、Web アプリ、仮想アプリ、モバイルアプリ、エンドポイントデバイス上のアプリからの外部の脅威からユーザーを保護します。
- ユーザーは、管理対象エンドポイントデバイス上の個人用アイテムにアクセスする必要がある場合があります。健康と財務に関連する個人サイトにアクセスする際に、ユーザーのプライバシーを保護するために、適切なポリシーが定義されています。
- 柔軟な環境で作業するときにユーザーを保護するためにすべてのポリシーを設定しても、リスクは依然として残っています。CompanYA は、セキュリティ分析サービスを使用して、侵害されたユーザーを特定し、安全な環境を維持するためのアクションを自動的に実行します。
以降のセクションでは、CompanYa の柔軟なワークリファレンスアーキテクチャに関する具体的な設計決定について詳しく説明します。
ユーザーレイヤー
ホームネットワーク接続
多くのユーザーにとって、自分のワークスペースへのアクセスは、自分のホームネットワークに接続するだけで済みます。ホームネットワークは、仕事と個人使用の間で共有されます。ただし、エンドユーザーの要件によっては、CompanyA には冗長接続またはセキュアなホームネットワークが必要です。
CompanYA は、これらの要件に基づいて、ユーザーの要件に基づいて、次の 3 つのオプションを組み合わせて使用します。
接続の観点から、CompanYA には、定義済みのホーム接続オプションに関連する 4 つの主要なタイプのユーザーがあります。
| ユーザー | 要件 | 解決策 |
|---|---|---|
| 役員 | 冗長接続による安全なホームネットワーク | オプション3: セキュリティで保護された冗長ネットワーク-Citrix SD-WAN 110(LTE) |
| 金融 | 安全なホームネットワーク | オプション2: セキュリティで保護されたネットワーク-Citrix SD-WAN 110 |
| コールセンター | 冗長接続 | オプション3: セキュリティで保護された冗長ネットワーク-Citrix SD-WAN 110(LTE) |
| みんな | ベースライン | オプション 1: 共有ネットワーク |
組織内の特定のユーザーは、財務データなどの機密情報を扱います。ネットワーク通信をより適切に保護するには、それらのユーザーには、保護された別のホームネットワークが必要です。このユーザーグループは、SD-WAN 110 アプライアンスをホームネットワークに展開します。彼らはまだプライマリ ISP 接続を共有しますが、仕事用デバイスは保護されたホームネットワークを使用します。別のネットワークにより、CompanYA はホームネットワークの残りの部分に影響を与えることなく、リモートワークネットワークにセキュリティポリシーを適用できます。
特定のユーザーグループには、フォールトトレラント接続が必要です。これらのユーザーは、バックアップ LTE 接続を使用して SD-WAN 110 アプライアンスをデプロイします。SD-WAN 110 アプライアンスがプライマリ ISP の信頼性の問題を検出すると、SD-WAN は LTE 接続に自動的にフェールオーバーします。
SD-WAN 110アプライアンスはユーザーの自宅内に展開されますが、一元管理されます。デバイスを一元管理することで、CompanYA は、次のガイドに従って、ホームユーザー向けのゼロタッチ導入アプローチを実現できます。
ホームオフィスユーザー向けSD-WAN 110の詳細をご覧ください。
エンドポイントセキュリティ
CompanYA には、フォームファクタに基づいて 2 つの異なるエンドポイントデバイス戦略があります。
- 従来のデバイス:デスクトップ、PC、ラップトップなどの従来のデバイスの場合、CompanYa はモバイルデバイス管理 (MDM) を使用して、独自のデバイスを選択 (CYOD) 戦略を使用します。このアプローチでは、CompanYa はデバイスの購入、保護、保守を担当します。エンドユーザーの満足度を維持しながら、全体的な管理をより簡単にするため、CompanYA には Windows から Mac までの承認済みデバイスのリストがあります。ユーザーはデバイスから個人リソースにアクセスできますが、そのデバイスは CompanYA によって管理、保護、監視、および監査されます。
- モバイルデバイス:iPhoneやAndroid携帯電話などのモバイルデバイスの場合、CompanYaは会社所有の個人対応(COPE)戦略でモバイルアプリ管理(MAM)を使用しています。[自分のデバイスを選択] 戦略と同様に、[会社所有、個人対応] 戦略では、承認されたモバイルデバイスの一覧をユーザーに提供します。このデバイスは CompanYA によって購入され、保護されますが、組織によって保護または監査されていない個人用アプリにユーザーがアクセスできます。仕事関連のアプリケーションはコンテナ化され、ローカルにインストールされた個人用アプリから仕事関連のアプリやコンテンツを保護するのに役立ちます。
デバイスの登録では、次の登録ポリシーが使用されます
| オペレーティングシステム | ポリシー | 値 |
|---|---|---|
| Windows | Device Management | 完全管理 |
| 手動の MDM 登録解除を許可 | 無効 | |
| iOS | Device Management | Apple デバイス登録 |
| Citrix MAM | 有効 | |
| Android | 管理 | Android Enterprise |
| デバイス所有者モード | 仕事用プロファイルで完全に管理 | |
| BYOD/仕事用プロファイル | 無効 | |
| Citrix MAM | 有効 |
エンドポイントセキュリティポリシー
エンドポイントを保護するために、CompanYA は次の基本デバイスポリシーから開始します。
| ポリシー | 値 | エンドポイント |
|---|---|---|
| パスコード:最小長 | 6 | すべてのOSタイプ(iOS、macOS、Android、Android Enterprise、Windows) |
| アプリインベントリ | 有効 | すべてのOSタイプ(iOS、macOS、Android、Android Enterprise、Windows) |
| デバイスの暗号化 | デバイスの暗号化が必要です | Windows – BitLocker |
| macOS — FileVault | ||
| Secure Mail | アプリ展開ポリシー | iOSまたはAndroid |
| Secure Web | アプリ展開ポリシー | iOSまたはAndroid |
| OS更新 | 自動的にインストールし、再起動のスケジュールを通知する | Windows、macOS、iOS、Android |
Microsoft Teamsの最適化
社員の分散により、CompanYA は仮想会議ソリューションへの依存度が高くなっており、Microsoft Teams で標準化されています。 Citrix Virtual Apps and Desktopsは、Microsoft Teamsの音声およびビデオ通信パケットがネットワークを通過する方法を最適化することで、従来のPCと同じ仮想会議体験を提供します。
Microsoft Teams の統合と最適化の詳細については、次の項目を参照してください。
アクセスレイヤー
認証
セキュリティ上の問題により、CompanYA には強力な認証ポリシーが必要です。companYA は 2 段階のアプローチを使用します。
ステージ1では、コンテキストに応じた多要素のアプローチを使用して、ユーザーのプライマリIDをCitrix Workspaceにセキュリティで保護することに重点を置いています。
デバイスがエンドポイントセキュリティスキャンに合格しない場合、認証ポリシーはアクセスを拒否します。スキャンでは、デバイスが企業のセキュリティポリシーによって管理され、セキュリティで保護されていることを確認します。スキャンが成功すると、ユーザーは Active Directory 資格情報と TOTP トークンを使用して認証を受けることができます。 TOTP トークンは、プッシュ通知を使用して手動または自動的に入力できます。
ステージ 2 認証スキームは、セカンダリリソース (SaaS アプリ、Web アプリ、仮想アプリ、デスクトップ) に重点を置いています。ほとんどすべてのセカンダリリソースは認証を必要とします。ユーザーのプライマリ ID と同じ ID プロバイダーを使用するものもあれば、独立した ID プロバイダーを使用するものもあれば、SaaS アプリで最も一般的です。
- SaaSアプリ:SaaSアプリケーションの場合、CompanYaはSAMLベースの認証を使用して、Citrix WorkspaceがActive Directory アイデンティティブローカーとして機能します。一度設定すると、SaaS アプリケーションは SAML ベースの認証のみを許可します。SaaS アプリケーションに固有のユーザー名/パスワードを使用してログオンしようとすると、失敗します。このポリシーにより、CompanYA は認証の強度を向上させ、ユーザーアカウントが侵害されたためにアクセスを無効にすることが容易になります。
- ウェブアプリ:会社内の Web アプリケーションのインベントリすべてのユーザーの Active Directory 資格情報を使用します。Web アプリケーションの場合、CompanYA はフォーム、Kerberos、および SAML ベースの認証の組み合わせを使用して、シングルサインオンを提供します。オプションの選択は、各 Web アプリケーションの固有の側面に基づいています。
- 仮想アプリ/デスクトップ:仮想アプリおよびデスクトップの場合、CompanYaはCitrix Workspaceからのパススルー認証を使用し、二次認証のチャレンジを排除します。
Workspace Single Sign-On Tech Briefには 、SaaS、Web、仮想アプリケーション、仮想デスクトップ、IdP チェーンオプションのシングルサインオンに関する追加情報が含まれています。
リソースアクセス
セキュリティの観点からは、すべてのユーザーは外部と見なされます。CompanYA 外部ユーザーが内部リソースにアクセスできる方法を考慮する必要があります。社内リソースは、信頼されていない場所やセキュリティで保護されていない場所から保護する必要があります。マルウェアの侵入を防ぐため、デバイスは内部ネットワークへの直接アクセスを許可されません。
プライベートWebアプリ、仮想アプリ、仮想デスクトップなどの内部リソースへのアクセスを提供するために、CompanyAはSecure Private AccessサービスとCitrix DaaSを使用する予定です。これら 2 つのサービスでは、ゼロトラストネットワークアクセスソリューションを使用します。これは、従来の VPN に代わる安全な方法です。
Secure Workspace Service Citrix DaaSは、クラウドコネクタによって確立された送信制御チャネル接続を使用します。これらの接続により、ユーザーは内部リソースにリモートアクセスできます。ただし、これらの接続は
- 定義されたリソースのみがアクセスできるようにスコープが制限されています
- ユーザーのプライマリセキュリティで保護された ID に基づきます。
- ネットワーク通過を許可しない特定のプロトコルのみ
ただし、ユーザーがローカルオフィスで作業している場合は、ローカルアクセスと見なされるため、セキュリティポリシーを損なうことなく、仮想アプリとデスクトップのルーティングが最適化されます。これを行うために、CompanyA社はCitrix DaaS内に直接ワークロード接続機能を実装しています。
ユーザーがリモートの場合、Citrix Workspaceでは、Gateway Serviceで仮想リソースとリモートユーザーとの間のセキュアな接続が確立されます。ただし、のユーザがローカルネットワーク上に物理的に配置されている場合、同じフローに従うと、ユーザーの接続にレイテンシーが追加されます。ユーザーが仮想リソースへのローカル接続を確立できる場合、レイテンシーが減少し、ユーザーエクスペリエンスが増加します。
直接ワークロード接続を使用すると、組織はローカル・サイトに関連付けられた一連のパブリック IP アドレスを定義できます。ユーザーの IP アドレスが、定義された IP アドレスのいずれかに由来する場合、Workspace はユーザーがローカルユーザーであると判断し、直接接続手順を使用します。
リソースレイヤー
リソースセキュリティポリシー
CompanYA は、エンドポイントデバイスの盗難やエンドポイントデバイスの侵害によるデータ損失のリスクを制限したいと考えています。さまざまなアプリケーションタイプ内で、CompanYA には、ユーザーがデータをコピー、ダウンロード、または印刷できないように多数の制限が組み込まれています。
CompanYA は、ベースラインポリシーとして、次のことを定義しました(ユーザーとアプリケーションに基づいて、必要に応じてポリシーを緩和できます)。
| カテゴリ | SaaS アプリ | Web アプリ | 仮想アプリ/デスクトップ | モバイルアプリ |
|---|---|---|---|---|
| クリップボードへのアクセス | 拒否済み | 拒否済み | クライアントからサーバへのみ | 保護されたアプリ間でのみ有効 |
| 印刷 | 拒否済み | 拒否済み | 拒否済み | 拒否済み |
| ナビゲーション | 拒否済み | 拒否済み | 該当なし | 該当なし |
| ダウンロード | 拒否済み | 拒否済み | 拒否済み | 拒否済み |
| 透かし | 有効 | 有効 | 有効 | 該当なし |
| キーロギングの防止 | 有効 | 有効 | 有効 | 該当なし |
| スクリーンショット防止 | 有効 | 有効 | 有効 | 該当なし |
アプリ保護ポリシー技術概要には 、キーロギングとスクリーンショット防止ポリシーに関する追加情報が含まれています。
制御レイヤー
制御層は、ユーザーの基礎となるアクティビティに基づいて、基盤となるソリューションがどのように調整されるかを定義します。
- 保護されたワークスペースリソース内であっても、ユーザーはインターネット上の信頼できないリソースと対話することができます。Companyaは、セキュアインターネットアクセスを使用して、SaaSアプリ、Webアプリ、仮想アプリ、モバイルアプリ、エンドポイントデバイス上のアプリ内から外部からの脅威からユーザーを保護します。
- ユーザーは、管理対象エンドポイントデバイス上の個人用アイテムにアクセスする必要がある場合があります。健康と財務に関連する個人サイトにアクセスする際に、ユーザーのプライバシーを保護するために、適切なポリシーが定義されています。
- 柔軟な環境で作業するときにユーザーを保護するためにすべてのポリシーを設定しても、リスクは依然として残っています。CompanYA は、セキュリティ分析サービスを使用して、侵害されたユーザーを特定し、安全な環境を維持するためのアクションを自動的に実行します。
- CompanYA は、多数の世帯に展開されているリモート SD-WAN 110 デバイスを管理できる必要があります。SD-WAN Orchestrator を利用することで、CompanYA は分散展開を一元管理できます。
セキュア インターネット アクセス
ユーザーは SaaS、Web、仮想、ローカル、およびモバイルアプリと対話するとき、多くの場合、公共のインターネットサイトにアクセスしています。CompanYA にはインターネットセキュリティコンプライアンスクラスがあり、すべてのユーザーが毎年完了する必要がありますが、攻撃を完全に防ぐことはできません。ほとんどの場合、フィッシング詐欺による攻撃です。
CompanYA は、ユーザーと組織を保護するために、セキュリティで保護されたインターネットアクセスサービスとセキュリティ分析を柔軟な作業設計に組み込んでいます。
組織内のアプリ、デスクトップ、デバイスのライブラリとの間で送受信されるインターネットトラフィックは、セキュリティで保護されたインターネットアクセスサービスを介してルーティングされます。このサービス内では、URL が安全であることを確認するためにスキャンされます。特定のパブリックサイト内の機能は拒否または変更されます。ダウンロードは自動的にスキャンされ、検証されます。
現在、多くのウェブサイトが暗号化されているため、このセキュリティプロセスの一部は、トラフィックを復号化して検査することです。CompanYA は、ユーザーが会社所有のデバイス上で個人用サイトに柔軟にアクセスできるようにしたいと考えています。従業員のプライバシーを確保するために、金融や健康関連のサイトなど、特定のカテゴリのウェブサイトは復号化されません。完全な透明性を確保するために、CompanYA はセキュリティポリシープラン全体を社内で利用できるようにする予定です。
インターネットセキュリティポリシーの設計において、CompanYA はベースラインポリシーから始めたいと考えていました。CompanYAは組織内のリスクを評価し続けているため、必要に応じて政策を緩和/強化します。
デフォルトでは、すべてのカテゴリが復号化され、許可されます。CompanYA は、グローバルに適用される次の変更を加えました。
| カテゴリ | 変更 | 理由 |
|---|---|---|
| 金融と投資 | 復号化しない | 従業員のプライバシーに関する懸念 |
| 状況 | 復号化しない | 従業員のプライバシーに関する懸念 |
| アダルトコンテンツ | ブロック | |
| 薬物 | ブロック | |
| ファイル共有 | ブロック | |
| ギャンブル | ブロック | |
| 違法行為 | ブロック | |
| 悪質な情報源 | ブロック | |
| マルウェアのコンテンツ | ブロック | |
| ポルノ/ヌード | ブロック | |
| ウイルスとマルウェア | ブロック | |
| 暴力/憎しみ | ブロック |
グローバルセキュリティ制御に加えて、CompanYA は、環境のサブセットに対して追加のインターネット制御を実装する必要もあります。
| カテゴリ | グループ | 理由 |
|---|---|---|
| YouTube — HD 動画を制限する | Virtual Apps and Desktops ホスト | 仮想デスクトップで HD ビデオを許可すると、多くの場合、リソース負荷が増加し、パフォーマンスとスケーラビリティに影響を与える可能性があります。 |
セキュリティ分析
CompanYA は、影響が大きすぎる前に、環境に対する脅威を特定して阻止する必要があります。
環境を保護するために、CompanYA はCitrix Security Analyticsを使用して、内部の脅威、侵害されたユーザー、および侵害されたエンドポイントを特定します。多くの場合、脅威の 1 つのインスタンスで抜本的なアクションを保証するものではありませんが、一連の脅威はセキュリティ侵害を示す可能性があります。
CompanYA は、次の初期セキュリティポリシーを開発しました。
| 名前 | 条件 | アクション | 理由 |
|---|---|---|---|
| ジェイルブレイクされた装置 | ジェイルブレイク/ルートデバイスが検出されました | デバイスのロック | モバイルデバイスは CompanYA が所有し、管理しています。ジェイルブレイクされたデバイスは、データを盗むことができるマルウェアを導入する可能性があります。 |
| 管理対象外のエンドポイント | 管理対象外のデバイスが検出されました | 管理者に通知 | companYA すべてのデバイスを管理する必要があります。管理対象外のデバイスが検出された場合、環境が侵害された可能性があり、ユーザーのアカウントを無効にする必要があります。 |
| エンドポイントのリスク | EPAスキャン失敗 | ウォッチリストに追加 | 管理対象デバイスのみがアクセスを許可されます。ユーザーが管理対象外のデバイスを使用しようとすると、そのユーザーが脅威ではないことを確認するために監視されます。追加のリスクが発生した場合、追加の措置が保証されます。 |
| 異常なアクセス | 疑わしいIPからログオンし、異常な場所からのアクセス | ユーザーのロック | ユーザーが異常な場所や疑わしいIPからログインした場合、そのユーザーが侵害されたことを示す強い兆候があります。 |
| 異常なアプリの動作 | 異常な場所からのアプリの使用とアクセスの異常な時間 | セッションの録画を開始 | ユーザーが奇妙な時間と場所で仮想アプリにアクセスした場合、ユーザーが侵害される可能性があります。セキュリティ分析は、管理者が正当性を検証するためにセッションを記録します。 |
| クレデンシャルエクスプロイトの可能性 | 過剰な認証失敗と異常な場所からのアクセス | ウォッチリストに追加 | ユーザーが異常な場所から多くの認証に失敗した場合、誰かがシステムに侵入しようとしていることを示している可能性があります。しかし、攻撃者はまだ成功していません。ウォッチリストにユーザーを追加する必要があるだけです。 |
Citrixユーザーリスク指標ドキュメントには、Citrix Security Analyticsに提供されるさまざまなリスク指標に関する追加情報が含まれています。
[Citrix ポリシーとアクション ]ページには、Citrix Security Analyticsが実行できる修復手順に関する情報が含まれています。
Citrix SD-WAN Orchestrator
要件に基づいて、ユーザー構成の一部が、Citrix SD-WAN 110アプライアンスをホームネットワーク内に展開します。このアプライアンスは、冗長ネットワーク接続を提供するか、独立した安全なホームネットワークを作成します。
分散型SD-WAN展開の管理を容易にするために、CompanYaはCitrix SD-WAN Orchestrator を使用します。
Orchestrator を使用すると、管理者はクラウドサービス内で必要なすべての構成設定を行います。ネットワークに接続されると、SD-WAN 110 アプライアンスはクラウドサービスに登録され、設定情報を受信します。
クラウドベースのサービスにより、管理者は、分散 SD-WAN 環境の管理が容易になります。
ソース
柔軟な作業ソリューションを計画しやすくするために、 適応可能なソース図を提供したいと考えています 。