Access Control
寄稿者
著者: Daniel Feller
ユーザーがより多くのSaaSベースのアプリケーションを消費するにつれて、組織は、認証基準を適用しながら認証されたすべてのアプリケーションを統合し、ログイン操作を簡素化し、ユーザーの行動をキャプチャできる必要があります。ベンダーのSLAとアプリケーション使用率の分析を監視することも重要です。
統合エクスペリエンス
Citrix Workspace
Citrix Workspace、すべてのリソースを単一のパーソナライズされたユーザーインターフェイスに集約します。ユーザーは、ローカルにインストールされた Workspace アプリ(デスクトップおよびモバイル) を選択するか、ローカルブラウザーを使用して Web ベースのワークスペースにアクセスできます。選択されたアプローチと選択されたデバイスに関係なく、エクスペリエンスは使い慣れた一貫性のあるままです。
自分の身元を持参
各組織は、Workspace へのユーザーの初期ログオン用に独自の ID プロバイダを選択します。
- Azure Active Directory: Workspaceのサインインプロセスは Azure Active Directory にリダイレクトされます。Azure Active Directory では、カスタムブランディング、多要素認証、パスワードポリシー、監査などを組み込むことができます。
- Windows Active Directory: 組織のオンプレミスの Active Directory 環境を使用して、ユーザーのWorkspace エクスペリエンスを初期サインオンします。オンプレミスのActive Directory とCitrix Cloudをフェデレートするために、管理者はActive Directoryと同じリソース場所に冗長Cloud Connectorを展開します。各Cloud Connectorは、組織のCitrix Cloudサブスクリプションへのアウトバウンドリンクを確立します。
Single Sign-On
ユーザーがプライマリアイデンティティを使用してCitrix Workspace に認証されると、SaaSおよびWebアプリケーションに対する後続の認証チャレンジは、SAMLアサーションを使用してCitrix Cloudのシングルサインオンマイクロサービスによって自動的に満たされます。
デフォルトでは、SAML アサーションは、ユーザーの Active Directory アカウント (ID プロバイダー) に関連付けられた電子メールアドレスと、ユーザーの SaaS または Web アプリアカウント (サービスプロバイダー) に関連付けられた電子メールアドレスを使用します。
コンテンツコントロール
コンテンツを保護するために、組織は SaaS アプリケーション内に強化されたセキュリティポリシーを組み込みます。各ポリシーでは、デスクトップ用 Workspace アプリを使用する場合は埋め込みブラウザに制限が適用され、Workspace アプリの Web またはモバイルを使用する場合はSecure Browserの制限が適用されます。
- 優先ブラウザ:ローカルブラウザの使用を無効にし、組み込みブラウザエンジン(Workspaceアプリ-デスクトップ)またはSecure Browserサービス(Workspaceアプリ-モバイルおよびウェブ)に依存します。
- クリップボードへのアクセスを制限する:アプリとエンドポイントのクリップボード間の切り取り/コピー/貼り付け操作を無効にします。
- 印刷を制限する:アプリのブラウザ内から印刷できないようにします。
- ナビゲーションを制限する:次または後方ブラウザボタンを無効にします。
- ダウンロードを制限する:SaaS アプリ内からユーザーがダウンロードできないようにします。
- isplay watermark: エンドポイントのユーザー名とIPアドレスを示すスクリーンベースの透かしをオーバーレイします。ユーザーがスクリーンショットを印刷または撮ろうとすると、透かしが画面に表示されるように表示されます。
コンテキストアクセス
承認された SaaS アプリは安全と見なされますが、SaaS アプリのコンテンツは実際には危険であり、セキュリティ上のリスクとなります。ユーザーが SaaS アプリケーション内のハイパーリンクをクリックすると、トラフィックは Web フィルタリング µ-service を介してルーティングされ、ハイパーリンクのリスク評価が提供されます。ハイパーリンクのリスクアセスメントとカスタマイズされたURLカテゴリのリストに基づいて、Webフィルタリング µ-serviceは、次のようにユーザーからのハイパーリンク要求を許可、拒否、またはリダイレクトします。
- 承認済み:ハイパーリンクは安全とみなされ、Workspace App 内の埋め込みブラウザからアクセスされます。
- 拒否:ハイパーリンクは危険と見なされ、アクセスが拒否されます。
- リダイレクト:ハイパーリンク要求はSecure Browserサービスにリダイレクトされ、ユーザーのインターネットブラウジング活動はエンドポイントデバイス、企業ネットワーク、SaaSアプリから分離されます。
ほとんどの SaaS アプリケーションは、複数の Web サイトのコンテンツを消費します。Web フィルタリングを使用する場合、SaaS アプリケーションを徹底的にテストして、コンテンツのセカンダリソースがブロックまたはリダイレクトされていないことを確認する必要があります。SaaSアプリケーション内でアクセスされる各URLは、Citrix Cloudで実行されるWebフィルタリング µ-serviceによって分析されるため、ユーザーがURLとブラウザがページを読み込むのにかかる時間が少し長くなる場合があります。
セキュリティとパフォーマンスの分析
セキュリティ分析は、リスクの高い行動を特定し、各ユーザーの全体的なリスクスコアを提供します。
Citrix Analytics サービスは、機械学習と人工知能を使用して、ユーザーの活動を監視し、ユーザーのリスクスコアを増減させる可能性のある過去の行動からの逸脱を特定します。
ユーザーは、セキュリティが強化された SaaS アプリに常にアクセスします。Workspace アプリ、Gateway サービス、および Secure Browser サービスは、ユーザーの全体的なリスクスコアに影響を与えるため、以下のユーザーおよびアプリケーションの動作に関する情報をセキュリティ分析サービスに提供します。
- アプリの起動時間
- アプリの終了時刻
- 印刷アクション
- クリップボードへのアクセス
- URL アクセス
- データのアップロード
- データダウンロード
Web フィルタリング µ-service は、SaaS アプリケーション内で選択された各ハイパーリンクのリスクを評価します。これらのサイトにアクセスし、ユーザーの行動の変化を監視すると、エンドポイントデバイスが侵害され、データの感染や暗号化を開始したり、ユーザーとデバイスが知的財産を盗んだりしていることが通知されるため、ユーザーの全体的なリスクスコアが向上します。