リファレンスアーキテクチャ:請負業者と臨時労働者のためのゼロトラストネットワークアクセス
概要
CompanyAは、フルタイムのスタッフを請負業者と派遣社員で補完しています。同社はCitrix 使用することで、請負業者や派遣社員が短時間で入社し、最小限のセットアップ時間でビジネスプロジェクトに取り掛かることができるため、生産性が向上するいくつかのメリットを実感しています。また、会社の請負業者や臨時労働者は通常モバイルであるため、Citrix を使用して、いつでも、どこからでも、どのデバイスからでもリソースにアクセスできます。
CompanyAの請負業者と臨時労働者の方針により、従業員の効率が向上しました。しかし、このポリシーによって複雑な配信モデルが作成され、セキュリティ上の懸念が生じました。オフィスと社外の境界が曖昧になり続けているため、会社の機密情報を保護するために、A社は特定の措置を講じる必要があります。
A社は現在、リモートアクセスにいくつかの統合されていないポイント製品を使用しています。同社は、リソースを保護しながら、全社的なゼロトラストネットワークアクセス(ZTNA)ソリューションを統合して拡張したいと考えています。CompanyAは、ゼロトラストモデルに従って請負業者、臨時労働者、データを保護する、インテリジェントでコンテキストに即した適応型のアプローチをワークスペースセキュリティに採用する必要がありました。そのために、A社はアプリ配信アーキテクチャを更新するイニシアチブに取り組んでいます。
A社がCitrix スを選んだのは、アダプティブアクセス、ネットワーク、最小権限、データ保護などの基盤技術に関する専門知識があったためです。同社は、Citrixセキュアプライベートアクセス、NetScaler Gateway、Citrixセキュアインターネットアクセス、およびCitrix WebアプリケーションとAPI保護を使用して、統合されたCitrixソリューションを実装しています。このソリューションを組み合わせることで、請負業者や臨時労働者のエンドポイントデバイスからアクセスされるCompanyAのリソースをエンドツーエンドで保護できます。
このリファレンスアーキテクチャは、請負業者と臨時労働者のデータおよびアプリへのアクセスを保護するという CompanyA の計画を説明しています。
成功基準
会社Aは、すべての請負業者と臨時労働者が自宅や遠隔地から作業できるようにしたいと考えています。一部の請負業者と臨時労働者は現在、WebおよびSaaSアプリへのVPNアクセスを持っていますが、会社Aは会社全体の展開を妨げるいくつかのセキュリティ上の課題を特定しました。そのため、A社はVPNなしのアプローチを実装しています。
A社は、エンドポイントで転送中、使用中、および保存中のアプリとデータに対するセキュリティ上の脅威を軽減する必要があります。セキュリティとIT要件を慎重に検討した結果、会社Aは契約社員と派遣社員の双方にマネージドエンドポイント導入モデルを導入することを決定しました。請負業者と臨時労働者は機密性の高いアプリやデータにアクセスするため、追加のセキュリティ対策を必要とする管理対象企業のエンドポイントがプロビジョニングされます。CompanyA のセキュリティポリシーでは、管理対象エンドポイントに企業リソースへのアクセスを許可するセキュリティソフトウェアエージェントがインストールされている必要があります。
CompanyAは、請負業者と臨時労働者のエンドポイントがアクセスする企業リソースを保護するための3つのイニシアチブを開始しました。成功するために、CompanyAはイニシアチブの成功基準のリストを定義しました。これらの基準は、包括的な設計の基礎を形成します。
アクセスを保護する
会社Aは、請負業者と臨時労働者の職場環境へのアクセスを保護する必要があります。企業は、すべてのアプリとデータへのシームレスな安全なアクセスモードを作成する必要があります。どこからでも作業するには、アクセスが安全で、シンプルで、柔軟でなければなりません。
CompanyAは、アクセスとセキュリティに関する従来の「城と堀」のアプローチから脱却するというセキュリティ戦略を決定しました。請負業者や派遣社員が信頼できることを前提としたVPNのような従来のアプライアンスベースのソリューションではなく、ゼロトラストアプローチを採用しています。
請負業者と臨時労働者のアクセスを保護することに重点を置いている会社Aは、設計を成功させるための次の基準を特定しました。
| 成功基準 | 説明 | 解決策 |
|---|---|---|
| 管理対象外のデバイスをブロック | 管理対象外のデバイスでCitrix Workspace にアクセスしようとする請負業者および臨時労働者は、認可されたリソースにアクセスしてはなりません | CitrixアプリケーションDelivery Controller(ADC)-nFactorポリシーとエンドポイント分析 |
| Web アプリと SaaS アプリへのアダプティブアクセス | Citrix Secure Private Accessを使用したWebおよびSaaSアプリケーションへの適応型アクセスにより、適切なアクセスレベルを決定する | Citrix Secure Private Access |
| クライアント/サーバー (仮想) アプリへの適応型アクセス | Citrix Secure Private AccessとCitrix DaaSを使用したクライアント/サーバー(仮想)アプリへの適応型アクセスにより、適切なアクセスレベルを判断する | Citrix Secure Private Access と Citrix DaaS |
| エンドユーザー監視 | 潜在的な脅威から保護するための継続的な監視と継続的な評価。アプリは、データの流出や、異常なアクセス時間や場所がないか継続的に監視されます。 | Citrix Analytics |
| SaaS アプリケーションアクセス | 請負業者と臨時労働者は、ユーザーエクスペリエンスに影響を与えない強力な認証を使用して、認可されたSaaSアプリケーションにアクセスする必要があります | Citrix Secure Private Access |
| ウェブアプリケーションアクセス | 請負業者と臨時労働者は、ユーザーエクスペリエンスに影響を与えない強力な認証を使用して、認可された内部Webアプリケーションにアクセスする必要があります | Citrix Secure Private Access — ゼロトラストネットワークアクセス |
| 個人のプライバシー | A社は、認可されていないWebサイトを使用する際の潜在的な脅威からエンドポイントを保護しつつ、請負業者と臨時労働者のプライバシーを確保する必要があります | Citrix Secure Internet AccessによるCitrixリモートブラウザ分離サービス(個人情報を含むサイトには「復号化しない」ポリシーを使用) |
データの保護
会社Aは、請負業者や臨時労働者が使用するデバイスがアクセスするデータを保護する必要があります。同社は、オンプレミスのデータセンター、パブリッククラウド、プライベートクラウドで構成される環境に、アプリケーション、システム、ネットワークのレイヤーで構成される非常に複雑なインフラストラクチャを持っています。この無秩序な増加により、データを保護するためのさまざまなツールやテクノロジーの複雑なスタックが生まれました。
A社は、現代の職場の要求を満たすために、統合されたクラウド配信のセキュリティスタックを設計しています。データセキュリティポリシーをソリューション全体で一元化することで、重複するタスクを最小限に抑え、重複するポリシーを排除して、IT部門があらゆる場所のデータとデバイスを保護できるようになります。
A社はデータ保護に重点を置いており、設計を成功させるための次の基準を特定しました。
| 成功基準 | 説明 | 解決策 |
|---|---|---|
| SaaS とウェブアプリケーションのセキュリティ | 財務、個人情報、またはその他の機密情報を含むデータを SaaS アプリからダウンロード、印刷、またはコピーする請負業者および臨時労働者の能力を制限する必要があります。 | Citrix Secure Private Access — セキュリティポリシー強化されたセキュリティ |
| キーロガーからの保護 | CompanyAは、請負業者と臨時労働者の両方のエンドポイントからアクセスする場合、社内の企業リソースを保護する必要があります。エンドポイントが侵害され、キーロギングマルウェアがインストールされている可能性があります。Citrix Workspaceを使用している間はキーロギングをブロックする必要があります | Citrix Secure Private Access — アプリケーション保護付きのセキュリティポリシー |
| スクリーンスクレーパーからの保護 | CompanyA は、請負業者および臨時労働者のエンドポイントからアクセスされるときに、社内のリソースを保護する必要があります。エンドポイントが侵害され、画面スクレイピングマルウェアがインストールされている可能性があります。Citrix Workspace の使用中は、画面スクレイピングをブロックする必要がある | Citrix Secure Private Access — アプリケーション保護付きのセキュリティポリシー |
| リモートブラウザ分離 | ソーシャルメディアウェブサイトはリモートブラウザセッションで起動されます | Citrix Remote Browser Isolationサービス |
| インターネットセキュリティ | 場所に関係なく、電子メール、アプリケーション、ウェブサイトに潜む潜在的なインターネットの脅威から、請負業者と派遣社員を保護します。 | Citrix Secure Internet Access-マルウェア対策によるセキュリティポリシー |
| デバイスを保護する | エンドポイントと基盤となるインフラストラクチャをマルウェアやゼロデイ脅威から保護する | Citrix Secure Internet Access-マルウェア対策によるセキュリティポリシー |
| データを保護する | 認可されたアプリと認可されていないアプリに保存されているデータを保護する | Citrix Secure Internet Access — Webフィルタリングによるセキュリティポリシー |
| コンプライアンス | コンプライアンスと悪意のある URL からの請負業者の保護 | Citrix Secure Internet Access — Webフィルタリングによるセキュリティポリシー |
アプリを保護する
CompanyA は、請負業者と臨時労働者のエンドポイントがアクセスするアプリを保護する必要があります。同社がアプリをクラウドに移行し、SaaSアプリを使用しているため、攻撃対象範囲が拡大しています。A社の現在のオンプレミスの安全なWebゲートウェイと厳格なセキュリティポリシーを備えたVPN展開では、クラウド内のアプリケーションを効果的に保護できません。
A社は、アプリケーションセキュリティのためにオンプレミスデバイスとクラウドサービスの両方を使用するハイブリッドソリューションを作成する必要があります。オンプレミスデバイスはオンプレミスでアプリ層攻撃とDDoS攻撃をブロックし、クラウドベースの保護サービスはクラウドでの大量攻撃とアプリ層DDoS攻撃を防ぎます。
A社はアプリの保護に重点を置いており、設計を成功させるための次の基準を特定しました。
| 成功基準 | 説明 | 解決策 |
|---|---|---|
| セキュアなアクセス | 会社Aは、請負業者や臨時労働者のデバイスからアクセスされたときに、社内のリソースを保護する必要があります。マルウェアの侵入を防ぐため、デバイスは内部ネットワークに直接アクセスすることはできません。 | 安全なプライベートアクセス-VPNレスアクセス |
| SaaS クレデンシャル保護 | SaaS アプリケーションに対する請負業者または臨時労働者の資格情報には、多要素認証が含まれている必要があります。 | Citrix Secure Private Access — SAMLのみの認証によるシングルサインオン |
| SaaS DLP | 会社Aは、SaaSアプリにDLPコントロールをインラインで使用することを要求しています。 | Citrix セキュア・インターネット・アクセスによるリモート・ブラウザ・アイソレーション・サービス |
| リモートブラウザ分離 | ソーシャルメディアサイトはリモートブラウザセッションで起動されます | Citrix Remote Browser Isolationサービス |
| Web アプリを保護する | A社は、ネットワークに侵入する前に、エッジでボリュームDDoS攻撃を阻止する必要があります。A社はクラウドアプリと社内アプリの両方を保護する必要があります。A社は、クラウドホスト型プラットフォーム上の複数の場所にアプリケーションを展開しています。これらのアプリは、DDoS 攻撃、ボット攻撃、クロスサイトスクリプティング、SQL インジェクション攻撃などの API レベルの脅威から保護する必要があります。 | Citrix Web App Firewall |
| 侵害された請負業者保護 | IT部門は、侵害された請負業者または臨時労働者のアカウントによってもたらされる脅威を迅速に特定して軽減できなければなりません。IT部門は、ビジネスが必要とする完全なセキュリティを提供するために、一元化されたオーケストレーション機能で脅威領域全体を保護する必要があります。 | Citrix セキュリティ分析 |
概念アーキテクチャ
このアーキテクチャは、前述の要件をすべて満たす一方で、CompanyA に将来さらに多くのユースケースに拡張するための基盤を提供します。
おおまかなレベルでは、
ユーザーレイヤー:ユーザーレイヤーは、リソースへの接続に使用される請負業者と臨時労働者の環境とエンドポイントデバイスを記述します。
- 請負業者と臨時労働者のエンドポイントデバイスは、Citrix Endpoint Managementを使用して会社Aによって管理されます。
- 請負業者と臨時労働者のエンドポイントデバイスには、Citrix Workspace アプリをインストールする必要があります。
- 請負業者と臨時労働者のエンドポイントデバイスでは、Workspaceアプリでアプリ保護が有効になっている必要があります。
- Citrix Secure インターネットアクセスエージェントは、Citrix DaaS インフラストラクチャにインストールされます。
アクセスレイヤー:アクセスレイヤーは、請負業者がワークスペースとセカンダリリソースをどのように認証するかを記述します。
- NetScaler Gateway は、ログオンページが表示される前に、請負業者または臨時作業者のデバイスにデバイス証明書があることを確認します。
- Citrix Workspaceでは、後続のすべてのリソースに対してプライマリ認証ブローカーが提供されます。
- CompanYA では、認証のセキュリティを向上させるために、多要素認証が必要です。
- 環境内の承認されたリソースの多くは、プライマリ Workspace ID に使用される認証情報とは異なる認証情報のセットを使用します。A社は、各サービスのシングルサインオン機能を使用して、これらのセカンダリIDをより適切に保護します。
- アプリケーションは、SaaS アプリに対して SAML ベースの認証のみを許可します。これにより、請負業者や臨時労働者がSaaSアプリに直接アクセスしてセキュリティポリシーをバイパスすることを防ぎます。
リソースレイヤー:リソースレイヤーは、リソースに関連付けられたセキュリティポリシーを定義しながら、定義されたユーザーおよびグループに対して特定のクライアント/サーバー (仮想)、Web、および SaaS リソースを承認します。
- CompanyA では、管理対象リソースから請負業者および臨時作業者のエンドポイントデバイスとの間でコンテンツを印刷、ダウンロード、コピー、貼り付けする機能を無効にするポリシーが必要です。
- 会社Aは、請負業者と臨時労働者のリソースへのVPNレスアクセスを要求しています。
- 機密性の高いSaaSアプリには、Citrix Workspace アプリによって提供される追加の保護が提供されます。請負業者または臨時労働者のエンドポイントデバイスでアプリ保護が利用できない場合、適応型アクセスポリシーによってアプリの起動が禁止されます。
- CompanyAは、請負業者および臨時労働者のエンドポイントデバイスから内部Webアプリへのアクセスを許可するため、Citrix Web App Firewallは、侵害された可能性のあるエンドポイントからの攻撃からリソースを保護する必要があります。
制御層:制御層は、請負業者と臨時労働者の基礎となる活動に基づいて、基礎となるソリューションがどのように調整されるかを定義します。
- 保護された Workspace リソース内であっても、請負業者や派遣社員は信頼できないインターネットリソースとやりとりすることができます。A社は、SaaSアプリ、ウェブアプリ、仮想アプリ、デスクトップを使用する際に、外部からの脅威から請負業者や派遣社員を保護するために、セキュアインターネットアクセスを使用しています。
- ソーシャルメディアサイトは、Citrix Remote Browser Isolation サービスを使用してリモートブラウザーセッションで起動されます。
- 契約社員や派遣社員が CompanyA リソースを通じてデバイスから医療や金融などの個人用 Web サイトにアクセスする必要がある場合、適切なポリシーによってプライバシーが保護されます。
- 会社Aは、侵害された請負業者と派遣労働者を特定し、安全な環境を自動的に維持するために、セキュリティ分析サービスを必要としています。
以降のセクションでは、CompanyA の請負業者および臨時労働者保護のリファレンスアーキテクチャに関する具体的な設計上の決定について詳しく説明します。
アクセスレイヤー
認証
請負業者または臨時労働者のデバイスがエンドポイントセキュリティスキャンに合格しない場合、CompanyAの認証ポリシーはアクセスを拒否します。スキャンでは、デバイス証明書をチェックして、デバイスが管理されていることを確認します。デバイスがスキャンに合格すると、請負業者と臨時労働者はNetScaler Gateway にログオンできます。CompanyA は、ユーザー名とパスワードを使用してリソースへのアクセスを提供しても、十分なセキュリティが提供されず、多要素認証が必要になると判断しました。請負業者と臨時労働者は、Active Directory の資格情報と TOTP トークンを使用して認証を行います。
Citrix Workspace には、多要素認証を提供するクラウド配信の時間ベースのワンタイムパスワード(TOTP)が組み込まれています。請負業者と臨時労働者は TOTP サービスに登録し、モバイルデバイスの認証アプリ内で事前共有秘密鍵を作成します。請負業者または派遣社員がTOTPマイクロサービスに正常に登録したら、トークンとActive Directory 資格情報を使用して、Citrix Workspaceへの認証を正常に行う必要があります。
ゼロトラストネットワークアクセス
A社は、Citrix Secure Private AccessサービスとCitrix DaaSを使用して、SaaSと内部Webアプリ、仮想アプリケーション、および仮想デスクトップへのアクセスを提供します。これらのサービスはゼロトラストネットワークアクセスソリューションであり、従来のVPNのより安全な代替手段です。
セキュアプライベートアクセスサービスとCitrix DaaSは、クラウドコネクタの送信制御チャネル接続を使用します。これらの接続により、請負業者は内部リソースにリモートでアクセスできます。ただし、これらの接続は次のとおりです。
- 定義されたリソースのみがアクセスできるようにスコープが制限されています
- 請負業者の主要なセキュリティで保護されたIDに基づく
- ネットワーク通過を許可しない特定のプロトコルのみ
リソースレイヤー
リソースセキュリティポリシー
A社は、請負業者と臨時労働者のエンドポイントデバイスでのデータ損失とデータ残留のリスクを制限したいと考えています。CompanyAには機密性の高い通常の仮想アプリケーション、SaaS、Webアプリケーションの両方があるため、セキュリティ要件に基づいて適応型アクセスポリシーを適用します。さまざまなアプリケーションタイプの中で、CompanyAはデータのコピー、ダウンロード、または印刷を防ぐための多数の制限を組み込んでいます。
- 請負業者および臨時労働者のエンドポイントデバイスでは、会社のリソースにアクセスするためにCitrix Workspace アプリをインストールする必要があります。
- Citrix Workspaceアプリを搭載した請負業者および派遣社員のエンドポイントデバイスは 、Secure Private Accessを使用して、エンドポイントのローカルにあるコンテナ化されたブラウザであるCitrix Enterprise Browserを使用してSaaSまたはWebアプリを起動します。
- Citrix Enterprise Browser(旧Citrix Workspace Browser)は、SaaSアプリへの接続または内部Webアプリへのゼロトラストネットワークアクセス接続を作成します。
- セキュアプライベートアクセスは SSO を提供し、適応型アクセスポリシー (ダウンロード、印刷、コピー、貼り付けの制限) を適用します。
- フォールバックとして、Citrix Workspaceアプリをインストールしていない契約社員や派遣社員のエンドポイントデバイスは 、セキュアプライベートアクセスを使用して、Citrix Remote Browser Isolationサービスを使用して隔離されたブラウザーから仮想、SaaS、またはWebアプリケーションを起動します。
- Secure Private AccessはSSOを提供し、WebおよびSaaSアプリにダウンロード、印刷、コピー、貼り付けなどの適応型アクセスポリシーを適用します。
- アプリ保護ポリシーは、画面スクレイピングとキーロガー制限を使用して Web アプリと SaaS アプリを保護します。
- 会社Aは、機密性の高いSaaSおよびWebアプリにはアプリ保護ポリシーを要求します。
- 請負業者または臨時労働者のエンドポイントデバイスでアプリ保護を利用できない場合、適応型アクセスポリシーにより、請負業者はアプリを起動できません。
- 潜在的に悪意のあるWebコンテンツをさらに隔離し、DaaS環境でのリソース消費を減らすために、Citrix Remote Browser Isolationサービスを使用してソーシャルメディアサイトがリモートブラウザーセッションで起動されます。
- 請負業者と臨時雇用者が仮想アプリケーションとデスクトップにアクセスすると、Citrix DaaSはSSOを提供し、ロックダウンポリシーを適用します。このサービスは、ダウンロード、印刷、単方向および双方向のコピー&ペースト操作を制限します。
A社は、請負業者と臨時労働者のセキュリティ要件を満たすために、次の規範的アクセスモデルを開発しました。
| カテゴリ | SaaS アプリ | 機密性の高いSaaSアプリ | Web アプリ | 機密性の高いウェブアプリ | Virtual Apps and Desktops |
|---|---|---|---|---|---|
| クリップボードへのアクセス | 許可 | 拒否済み | 許可 | 拒否済み | 拒否済み |
| 印刷 | 許可 | 拒否済み | 許可 | 拒否済み | 拒否済み |
| ナビゲーション | 拒否済み | 拒否済み | 拒否済み | 拒否済み | 該当なし |
| ダウンロード | 許可 | 拒否済み | 許可 | 拒否済み | 拒否済み |
| 透かし | 無効 | 有効 | 無効 | 有効 | 有効 |
| キーロギングの防止 | 無効 | 有効 | 無効 | 有効 | 有効 |
| スクリーンショット防止 | 無効 | 有効 | 無効 | 有効 | 有効 |
制御レイヤー
Web アプリと API の保護
請負業者と臨時労働者がCitrix Workspace に対して認証されると、プライベートな内部Webアプリにアクセスします。オンプレミスのWebアプリをより適切に保護するために、A社はCitrix Application DDelivery Controller のボット管理コンポーネントとWeb App Firewallコンポーネントを使用しています。
Application Delivery Controller のボット管理コンポーネントは、ボット要求を検出し、それがシステムに殺到するのを防ぎます。Web App Firewall は、公開されているアプリを攻撃から保護します。これらのタイプの攻撃は、通常、バッファオーバーフロー、SQL インジェクション、クロスサイトスクリプティングです。Web App Firewall は、これらの攻撃がデータやアプリに影響を与えることを検出して拒否します。
また、A社はCitrix WebアプリとAPI保護サービスを使用して、オンプレミスではないWebアプリに対するボリューム攻撃やアプリレイヤーDDoS攻撃を防いでいます。
セキュア インターネット アクセス
請負業者や派遣社員は、SaaS、Web、仮想アプリケーション、およびデスクトップとやり取りするときに、企業以外の認可を受けたインターネットサイトにアクセスすることがよくあります。請負業者や組織を保護するために、CompanyAはCitrix Secure Internet Access とセキュリティ分析を設計に組み込んでいます。
組織内のアプリ、デスクトップ、およびデバイスのライブラリとの間のCompanyA関連のインターネットトラフィックは、Secure Internet Accessサービスを介してルーティングされます。サービスは任意の URL をスキャンして安全であることを確認します。特定の公開サイト内の機能は拒否または変更されます。ダウンロードは自動的にスキャンされ、検証されます。
- 請負業者と臨時労働者のエンドポイントデバイスは会社が管理し、次の場合にCitrix Secure Internet Accessを使用してインターネットトラフィックをプロキシします。
- 請負業者と臨時労働者は、仮想アプリケーションとデスクトップにアクセスします。DaaSインフラストラクチャには、インターネットトラフィックのプロキシとフィルタリングを行うCitrix Secure Internet Accessエージェントがインストールされています。
- A社は、ソーシャルメディアサイトをCitrix Remote Browser Isolationサービスにリダイレクトして、そのインターネットトラフィックをDaaSインフラストラクチャから分離してオフロードすることを決定しました。Citrix Secure Internet Access は、Secure Web Gatewayとして使用されます。
現在、多くのWebサイトが暗号化されているため、このセキュリティプロセスの一部はトラフィックの復号化と検査です。このサービスは、従業員のプライバシーを確保するために、金融サイトや健康関連サイトなど、特定のカテゴリのWebサイトを復号化しません。
インターネットセキュリティポリシーを設計するにあたり、A社はベースラインポリシーから始めたいと考えました。A社は組織内のリスクを評価し続けるため、必要に応じてポリシーを緩和/強化します。
デフォルトでは、すべてのカテゴリが復号化され、許可されます。会社Aは、次のポリシーをグローバルに適用しています。
| カテゴリ | 変更 | 理由 |
|---|---|---|
| 金融と投資 | 復号化しない | 従業員のプライバシーに関する懸念 |
| 状況 | 復号化しない | 従業員のプライバシーに関する懸念 |
| アダルトコンテンツ | ブロック | 会社方針 |
| 薬物 | ブロック | 会社方針 |
| ファイル共有 | ブロック | 会社方針 |
| ギャンブル | ブロック | 会社方針 |
| 違法行為 | ブロック | 会社方針 |
| 悪質な情報源 | ブロック | 会社方針 |
| マルウェアのコンテンツ | ブロック | 会社方針 |
| ポルノ/ヌード | ブロック | 会社方針 |
| ウイルスとマルウェア | ブロック | 会社方針 |
| 暴力/憎しみ | ブロック | 会社方針 |
Webフィルタリングおよび保護機能に関する追加情報については、 Citrix Secure Internet Accessの技術概要を参照してください 。
まとめ
前述の要件に基づいて、CompanyA は高レベルの概念アーキテクチャを作成しました。一般的なフローと要件は、請負業者が以下を要求することです。
- Citrix Secure Private Accessを介したSaaSアプリへの保護されたアクセスと内部WebアプリへのVPNレスアクセス
- Citrix Secure Private Accessを介して外部または内部リソースへのアクセスが許可される前の適応型認証
- Citrix Secure Private Accessを介した特定のリソースへのゼロトラストアクセス
- Citrix Secure Internet AccessとCitrix Remote Browser Isolationサービスを介したWebアプリケーション、または仮想アプリケーションおよびデスクトップからのインターネットトラフィックへのアクセスを保護しました。
- Citrix Web Application Firewallを使用して、請負業者および臨時労働者のエンドポイントデバイスからアクセスするWebアプリケーションへのアクセスを保護
A社は、Citrix を使用して、ゼロトラストネットワークアクセスを実施し、リソースのエンドツーエンド保護を提供する最新のアプリケーション配信環境を構築しています。