技術概要:安全なプライベートアクセス

概要

Citrix Secure Private Accessは、クラウドが提供するゼロトラストネットワークアクセス(ZTNA)ソリューションで、オンプレミスまたはクラウドに展開されているかどうかにかかわらず、IT部門が認可したアプリケーションへの適応型アクセスを提供します。従来の VPN ソリューションは、ネットワークレベルでアクセスを提供し、次の機能を備えています。

  1. ネットワークレベルの攻撃を受けやすい
  2. すべてのトラフィックのバックホールを要求する
  3. エンドユーザーデバイスの状態を把握するためにデバイス管理が必要になることが多い

Citrix Secure Private Access は、これらの落とし穴を回避するのに役立ちます。Secure Private Accessは、アプリケーション層でのみアクセスを提供し、ネットワークレベルの攻撃を防ぎ、バックホールを必要としないため、エンドユーザーエクスペリエンスが大幅に向上し、IT部門に一連のセキュリティ制御が提供され、 従業員は認可されたITへのアクセスを選択できます。管理対象または BYO に関係なく、あらゆるデバイス上のアプリケーションを使用できます。

詳しくは、次のビデオをご覧ください:

 

概念アーキテクチャ

高レベルでは、Citrix Secure Private Accessを使用すると、ユーザーはパブリックSaaSアプリ、プライベートWebアプリ、クライアント/サーバーアプリに安全に接続できます。

セキュアプライベートアクセス概念アーキテクチャ

概念的には、分断されたリソースにアクセスする場合、セキュアプライベートアクセス

  1. エンドポイントがエージェントレスかエージェントベースかを判断します。これにより、ユーザーがリソースにアクセスできるかどうか、およびユーザーが持つアプリ内の機能が決まります。
  2. 適応型認証を利用して、複数の ID プロバイダー (IdP) 間でユーザーの ID を適切に検証します。
  3. 許可されたリソースへの適応型アクセスを提供します。セキュアプライベートアクセスは、デバイスの姿勢、ユーザーのリスク、ユーザーの位置情報などの基準を利用して、フルアクセスを許可したり、すべてのアクセスを拒否したり、アクセスを制限したりすることができます。
  4. プライベート Web アプリとクライアント/サーバーアプリへのゼロトラストネットワークアクセス (ZTNA) 接続を確立します。アウトバウンドのみの接続を利用し、すべてのトラフィックをセキュアプライベートアクセスサービスを介して中継することで、ユーザーのエンドポイントデバイスがセキュアネットワークと直接接触することはありません。
  5. ユーザーの機能を制限するセッション制限を適用します。セッションセキュリティポリシーには、キーロガーと画面キャプチャの保護、透かし、分離ブラウジング、印刷/ダウンロード/クリップボードの制限を含めることができます。
  6. Analytics for Securityサービスでユーザーの行動を監視します。Analytics サービスは、ユーザーの行動プロファイルを作成し、自動または手動で軽減できる潜在的な脅威を特定します。

セキュアプライベートアクセスの機能は、次のカテゴリに分類できます。

  • 適応型セキュリティ
  • アプリケーションアクセス
  • ブラウザセキュリティ
  • ユーザーとエクスペリエンスの行動分析

適応型セキュリティ

セキュアプライベートアクセスは、オンプレミスおよびクラウドホスト型のリソースに適応型セキュリティを組み込んでいます。多くの場合、ユーザーのアクセスレベルは初回ログオン時に付与されます。適応型セキュリティでは、ユーザーのセキュリティリスクプロファイルが継続的に監視され、セキュリティ設定に影響します。 適応型セキュリティは、ユーザーの認証方法 (適応型認証) と、ユーザーがアプリケーション内で持つ機能 (アダプティブアクセス) に影響します。 また、シングルサインオンを統合することで、適応型セキュリティポリシーをシームレスに適用すると同時に、ユーザー認証エクスペリエンスを簡素化できます。

アダプティブ認証

適応型認証は、現在のリクエストに対して適切な認証フローを決定します。適応型認証は、デバイスの姿勢、地理的な場所、ネットワークセグメント、ユーザーの組織/部門のメンバーシップを識別できます。取得した情報に基づいて、管理者はIT部門が認可したアプリに対してユーザーを認証する方法を定義できます。これにより、組織は、パブリックSaaSアプリ、プライベートWebアプリ、プライベートクライアント/サーバーアプリ、サービスとしてのデスクトップ(DaaS)など、すべてのリソースに同じ認証ポリシーフレームワークを実装できます。

詳しくは、次のビデオをご覧ください:

 

適応型認証ポリシーでは、ビジネスロジックを簡単に組み込んで、より強力な認証ソリューションを作成できます。 これには、次のようなシナリオが含まれます。

  • 内部と外部:管理対象デバイスから内部の場所から接続するユーザーは、ユーザー名とパスワードで認証できます。 BYOデバイスの外部ユーザーは、時間ベースのワンタイムパスワード (TOTP) トークンを組み込んだ多要素認証を必要とします。
  • 従業員対請負業者対パートナー:多くの場合、組織はユーザーIDに基づいて異なる認証フローを要求します。従業員の場合は、Active Directory に対して認証します。 ユーザーが請負業者の場合は、個人の GMail アカウントを使用します。 ユーザーがパートナーの場合は、管理対象の Azure Active Directory アカウントを使用します。
  • 合併と買収:アダプティブ認証は、組織が合併または買収に関連する認証の課題を克服するのに役立ちます。アダプティブ認証では、ユーザーは合併前のアイデンティティプロバイダーに対して認証できます。その後、合併前のIDを使用して、ZTNAがいずれかの組織から承認されたリソースにアクセスできるようにします。

アダプティブアクセス

アダプティブアクセスにより、組織は、SaaS、プライベート Web、およびプライベートのクライアント/サーバーアプリへのフルアクセス、アクセスなし、または制限付きアクセスをユーザーに提供できます。

ユーザーが承認されたリソースにアクセスしようとすると、アダプティブアクセスは、現在のリクエストが定義された条件にどのように適合するかを決定します。条件には以下の組み合わせが含まれます。

  • ユーザーまたはグループのメンバーシップ
  • デバイスタイプ:モバイルまたはデスクトップ
  • ジオロケーション
  • ネットワークロケーション
  • 自動エンドポイント分析スキャンに基づくデバイスの姿勢

条件の結果に基づいて、リソースへのアクセスは許可、拒否、または制限されます。制限付きアクセスは、以下のようなセキュリティポリシーをセッションに適用します。

詳しくは、次のビデオをご覧ください:

 

  • 優先ブラウザ:ローカルブラウザの使用を無効にします。ワークスペースブラウザまたはセキュアブラウザサービスを自動的に使用します。さまざまなブラウザオプションの詳細については、「ブラウザセキュリティ」セクションを参照してください。
  • キーロガー保護:エンドユーザーが個人のデバイスを仕事に使用する場合に軽減しなければならないリスクの1つは、マルウェアです。キーロガーマルウェアは、 ユーザーの資格情報や個人を特定できる情報などの機密情報を盗み出して収集しようとします。Keylogger Protection は、エンドポイントデバイス上のマルウェアがユーザーのキーストロークをキャプチャするのを防ぎます。キーストロークは、マルウェアに捕捉される前に暗号化され、盗まれたパスワード、ユーザーID、またはクレジットカード情報から保護するのに役立ちます。
  • スクリーンキャプチャ保護:デバイスでの個人的な使用と仕事の使用の境界が曖昧になったため、エンドユーザーはビジネスアプリでの作業から、そのデバイス上の友人や家族との仮想ハングアウトに移行することが一般的になっています。このようなシナリオでは、ビジネスアプリで機密データを誤って画面共有すると、特に規制の厳しい業界のエンドユーザーにとって重大な問題が発生する可能性があります。画面キャプチャ保護は、保護されたアプリケーションの画面コンテンツが Web 会議ツール、画面キャプチャソフトウェア、およびマルウェア内で共有されるのを防ぎます。
  • クリップボードへのアクセスを制限する:アプリとエンドポイントのクリップボード間の切り取り/コピー/貼り付け操作を無効にします。
  • 印刷を制限する:アプリブラウザ内から印刷する機能を無効にします。
  • ナビゲーションを制限する:ブラウザーの[次へ]および[戻る]ボタンを無効にします。
  • ダウンロードを制限する:ユーザーが SaaS アプリ内からダウンロードできないようにします。
  • 透かしを表示:エンドポイントのユーザー名とIPアドレスを示す画面ベースの透かしをオーバーレイします。ユーザーがスクリーンショットを印刷または撮ろうとすると、透かしが画面に表示されたとおりに表示されます。

以下に、これらの機能のデモンストレーションを示します。

  リンク
フィーチャービデオ デモを見る:ブラウザ制限-ビデオは近日公開予定
フィーチャービデオ デモを見る: キーロガー保護
フィーチャービデオ デモを見る: 画面共有保護

Single Sign-On

適応型認証により、組織は強力な認証ポリシーを提供して、ユーザーアカウントが侵害されるリスクを軽減できます。Secure Private Accessのシングルサインオン機能は、すべてのSaaS、プライベートWeb、およびクライアント/サーバーアプリに同じ適応型認証ポリシーを使用します。

単一の認証情報セットは、組織がユーザーと管理者の経験に関するいくつかの課題を解決するのに役立ちます。

  • ユーザーは、アプリケーションごとにユーザー名とパスワードを覚えておく必要はありません
  • ユーザーはアプリケーションごとに複雑なパスワードを作成する必要がない
  • ユーザーは、アプリケーションごとに MFA キー/トークンを設定/構成する必要がありません
  • ユーザーは、内部 Web アプリケーションにアクセスするために VPN 接続を開始する必要はありません。
  • 管理者は、ユーザーのプライマリ ID を無効にすることで、 すべてのアプリケーションへのアクセスを無効にできます

ユーザーがプライマリIDで認証されると、Citrix Cloudのシングルサインオン機能では、SAMLアサーションを使用して、以降のSaaSおよびWebアプリケーションに対する認証の課題を自動的に満たします。300種類以上の SAML SSO テンプレートが用意されており、Web アプリや SaaS アプリケーションをすばやく設定することができます。

Single Sign-On

組織によっては、すでに SSO プロバイダで標準化されている場合があります。Secure Private Accessは、ユーザーセッションに適応型アクセスポリシーを適用しながら、サードパーティのSSOプロバイダーを利用できます。

セキュアプライベートアクセス概念アーキテクチャ

シングルサインオンの詳細については、次の文書を参照してください。

  リンク
技術ブリーフ 詳細: SaaS アプリの SSO
技術ブリーフ 詳細: プライベート Web アプリの SSO
技術ブリーフ 詳細: IdP 連鎖

アプリケーションアクセス

セキュアプライベートアクセスは、VPN に依存せずにオンプレミスの Web アプリへの接続を確立できます。この VPN レス接続では、オンプレミス展開コネクタが使用されます。コネクタは、組織のCitrix Cloudサブスクリプションへのアウトバウンドコントロールチャネルを作成します。そこから、セキュアプライベートアクセスはVPNを必要とせずに内部Webアプリへの接続をトンネルすることができます。

セキュアプライベートアクセス概念アーキテクチャ

SaaSアプリとプライベートWebアプリにアクセスする場合、セキュアプライベートアクセスはエンドポイントにエージェントを必要とせずに接続を提供します。 ただし、プライベートクライアント/サーバーアプリにアクセスする場合、ユーザーはエンドポイントにエージェントをデプロイする必要があります。

Secure Private Accessからこれらの異なるタイプのリソースにアクセスしたときのユーザーエクスペリエンスを確認するには、次のデモをご覧ください。

  リンク
フィーチャービデオ デモを見る: プライベートクライアント/サーバーアプリケーションアクセス
フィーチャービデオ デモを見る: プライベート Web アプリアクセス
フィーチャービデオ デモを見る: パブリック SaaS アプリケーションアクセス

ブラウザセキュリティ

セキュアプライベートアクセスにより、エンドユーザーは一元管理されセキュリティ保護されたエンタープライズブラウザを使用してインターネットを安全に閲覧できます。エンドユーザーが SaaS またはプライベート Web アプリを起動すると、このアプリケーションの最適な提供方法を決定するために、いくつかの決定が動的に行われます。

セキュアプライベートアクセス概念アーキテクチャ

セキュアプライベートアクセスは、次の 3 つの方法を提供します。

  • ローカルブラウザ:ユーザの従来の管理対象外のローカルブラウザでアプリケーションを起動します。
  • エンタープライズブラウザ:ローカルデバイス上のCitrix Workspace Browser でアプリケーションを起動します。Workspace Browser は、簡単に適用でき、一元管理されたセキュリティ制限を備えた、エンタープライズ対応のブラウザです。
  • 分離されたエンタープライズブラウザ:Citrix Secure Browser Serviceを使用して、リモートのエアギャップ仮想ブラウザインスタンスでアプリケーションを起動します。このサービスは、Citrix Workspace Browser を利用し、同じ一元管理されたセキュリティ制限を適用します。
  • モバイルエンタープライズブラウザ:モバイル Web ビューアを使用して、セキュアなエンタープライズブラウザをモバイルデバイスに配信します。モバイルWebビューアはCitrix Workspace Browser を使用し、同じ集中管理されたセキュリティ制限を適用します。

ローカルブラウザ

ローカルブラウザーは、ほとんどのユーザーや組織が SaaS やプライベート Web アプリをユーザーに配信する方法です。 このアプローチは、ユーザーとデバイスが機密データや機密データにアクセスしていないことを信頼します。 ゼロトラスト戦略に従う場合、ローカルブラウザは適切な解決策ではありません。

エンタープライズブラウザ

Citrix Workspace Browser は、エンドポイントで実行されるChromeベースのエンタープライズブラウザです。 ワークスペースブラウザは、Web セッションのセキュリティサンドボックスを作成します。ローカルで実行すると、エンドユーザーは、ブラウザが従来のブラウザのように見え、動作するため、SaaS の Web ページやプライベート Web アプリケーションのレンダリングに最適なパフォーマンスを得ることができます。

安全なサンドボックスは、マルウェア、パフォーマンスの低下、データ損失、意図しないエンドユーザーの動作からエンドユーザーと企業を保護します。 Workspace Browserを使用すると、組織はキーロガー、画面キャプチャ、クリップボード操作などを制限する適応型アクセスポリシーを一元的に適用できます。

詳しくは、次のビデオをご覧ください:

 

Citrix Workspace Browser には、次の適応型アクセスセキュリティ機能が組み込まれています。

  • キーロガー保護
  • 画面共有保護
  • 透かし
  • ダウンロード制限
  • 印刷制限
  • ナビゲーション制限
  • クリップボードの制限事項

分離型エンタープライズブラウザ

Citrix Secure Browser サービスは、分離されたクラウドホスト型のエンタープライズブラウザです。Secure Browserサービスは、分離された仮想化された一時的なクラウドセッションで実行されることを除いて、Citrix Workspace Browser serを利用します。ホスト型ブラウザサービスは、インターネットや企業のブラウザベースのアプリケーションに安全にアクセスする方法を提供します。ブラウザとユーザー、デバイス、ネットワークとの間に空隙を作り、危険なマルウェアから保護します。

詳しくは、次のビデオをご覧ください:

 

ポリシー制限が設定された状態で適応型アクセスポリシーが適用されている場合、ユーザーのエンドポイントにローカルバージョンのCitrix Workspace Browserがない場合、Secure Browserサービスが自動的に使用されます。セキュアブラウザは、キオスクや個人用デバイスなど、Workspace Appがインストールされていない状況でよく使用されます。

Citrix Secure Browser サービスには、次の適応型アクセスセキュリティ機能が組み込まれています。

  • エアギャップ\ 隔離
  • 透かし
  • ダウンロード制限
  • 印刷制限
  • ナビゲーション制限
  • クリップボードの制限事項

モバイルエンタープライズブラウザ

モバイルデバイスでは、Citrix Workspace Browser のセキュリティ上の利点がモバイルWebビューアにも適用されます。同じ適応型アクセスポリシー設定がCitrix Workspace Browser にも適用されますが、モバイルWebビューアでは、ユーザーが使い慣れたタッチベースのインターフェイスが提供されます。

詳しくは、次のビデオをご覧ください:

 

Workspace アプリのモバイル Web Viewer には、次のアダプティブアクセスセキュリティ機能が組み込まれています。

  • 透かし
  • ダウンロード制限
  • 印刷制限
  • ナビゲーション制限
  • クリップボードの制限事項

ユーザーおよびエクスペリエンス行動分析 (UEBA)

管理者は自分の環境を可視化する必要があります。潜在的な脅威、使用状況、およびパフォーマンスについて知る必要性。セキュアプライベートアクセスは、ユーザーの動作情報を Analytics サービスに送信して、組織が SaaS アプリ、プライベート Web アプリ、およびクライアントサーバーアプリを保護できるようにします。

セキュリティ

Citrix Analytics for Securityは、セキュリティ脅威をプロアクティブに検出して解決するために、セキュアプライベートアクセスユーザーの行動を継続的に評価します。 ユーザーの行動に基づいて個別のユーザーリスクスコアを生成し、潜在的な高リスクユーザーを明らかにします。

Analytics for Securityは、悪意のあるユーザーアクティビティを検出し、規範的な自動修復アクションによってビジネスへの危害を防ぎます。生成されたリスクスコアは、Secure Private Access内で使用して、透かしなどのセキュリティ制御を自動化し、クリップボードへのアクセスを無効にし、アダプティブアクセスポリシーによるダウンロードを防止できます。

管理者は次のような基準を使用してカスタムリスク指標を作成できます。

  • アプリの起動時間
  • アプリの終了時間
  • 印刷アクション
  • クリップボードへのアクセス
  • URLアクセス
  • データのアップロード
  • データのダウンロード

以下に、これらの機能のデモンストレーションを示します。

  リンク
製品の技術概要 詳細: セキュリティのための分析
ビデオ 詳細: ID リスクの高いユーザーの行動

使用状況

使用状況分析は、セキュアプライベートアクセスの基本的な使用状況データに関する洞察を提供します。管理者は、組織で使用されている SaaS および Web アプリケーションをユーザーがどのように操作するかを可視化できます。

使用状況データは、製品のユーザーの採用とエンゲージメントを理解するのに役立ちます。以下の指標は、管理者がアプリが有用かどうか、または廃止予定かどうかを判断するのに役立ちます。

  • SaaSおよびWebアプリケーションを使用しているユニークユーザーの数
  • SaaS および Web アプリケーションの上位ユーザー
  • 起動された SaaS および Web アプリケーションの数
  • 上位の SaaS および Web アプリケーション
  • ユーザーがアクセスしたトップドメイン
  • ユーザー、アプリケーション、ドメイン間でアップロードおよびダウンロードされたデータの総量

使用例

VPNレスアクセス

Citrix Secure Private Accessは、既存のVPNソリューションを補完または置き換えて、VPNなしでリモートユーザーがアクセスできるようにするゼロトラストソリューションを提供します。このソリューションは、外部ユーザーに内部リソースへのアクセスを提供する多くの課題を解決します。セキュアプライベートアクセスには、次の機能があります。

  • 管理、保守、セキュリティを確保するネットワーク・デバイスがないため、アプライアンスの無秩序な増加を軽減
  • クラウドサービスはCloud Connector経由で内部リソースに接続できるため、パブリック IP アドレスは不要です
  • Cloud Connectorがクラウドベースのサービスへのアウトバウンド接続を確立するため、ファイアウォールルールは不要 (インバウンド通信は不要)
  • グローバル展開では、組織は最適なSecure Private Accessサービスに自動的にルーティング/再ルーティングされ、組織が必要とする構成を大幅に簡素化します。
  • 基盤となるデータセンターインフラストラクチャに変更はありません。

セキュアプライベートアクセスは、VPN に依存せずにオンプレミスの Web アプリへの接続を確立できます。この VPN レス接続では、オンプレミス展開コネクタが使用されます。コネクタは、組織のCitrix Cloudサブスクリプションへのアウトバウンドコントロールチャネルを作成します。そこから、セキュアプライベートアクセスはSSOを提供しながら、内部Webアプリへの接続をトンネルすることができます。VPNレスアクセスにより、セキュリティとプライバシーが向上するだけでなく、エンドユーザーエクスペリエンスが向上します。

VPNレスアクセス

  リンク
フィーチャービデオ デモを見る: ZTNA vs VPN-ログオンエクスペリエンス
フィーチャービデオ デモを見る: ZTNA vs VPN-ポートスキャン

ブラウザベースのアプリケーションのための SSO とアダプティブアクセス

セキュアプライベートアクセスは、ウェブアプリとSaaSアプリにシングルサインオンとアダプティブアクセスポリシーを提供します。適応型認証により、組織はビジネスに合わせて認証フローを調整できます。適応型認証は、組織の既存のアイデンティティエコシステムへの投資を保護し、総入れ替え型のフォークリフトアップグレードなしでクラウドへの移行を容易にします。

承認された SaaS アプリは安全と見なされますが、SaaS アプリのコンテンツは実際には危険であり、セキュリティリスクとなります。適応型アクセスポリシーは、IT 部門が従業員にプロビジョニングする Web アプリケーションと SaaS アプリケーションの両方にセキュリティポリシーを適用する方法を提供します。これらのポリシーは、次のコントロールを適用することにより、これらのアプリケーションに保存されているデータを保護します。

  • 透かし
  • ナビゲーションを制限する
  • ダウンロードを制限
  • キーロギングを制限する
  • 画面キャプチャを制限する
  • 印刷を制限

リモートワーカーが増えたことは、さまざまなアプリケーションを通じて、より多くのリモート会議や Web 会議を意味します。これらの会議は、通常、従業員が自分の画面を共有する必要があり、誤って機密データを公開する可能性を開きます。キーロガーと画面キャプチャの制限は、エンドポイントのマルウェアやユーザーのミスから保護するのに役立ちます。ユーザーが Web 会議で誤って財務データを共有した場合、出席者には空白の画面しか表示されません。この保護は、最も一般的なスニッピングツール、印刷画面ツール、スクリーンキャプチャ、および記録ツールにも適用されます。

インターネットトラフィックのブラウザ分離により、エンドユーザーと企業が Web ベースの脅威から保護されます。ワークスペースブラウザとセキュアブラウザサービスを使用すると、管理者はローカルのChromeベースのブラウザー、クラウドでホストされ分離されたワークスペースブラウザインスタンスでサイトにアクセスできます。サービスでは、可能性のある攻撃がクラウドに含まれます。セキュアブラウザの実行は、使用後に仮想化されたワークスペースブラウザインスタンスを破棄します。新しいセッションが開始されると、ユーザーは新しい Workspace Browser インスタンスを受け取ります。ポリシーは、「コピーアンドペースト」などの機能を制御し、ファイルやデータが企業ネットワークに到達できないようにします。

SaaS アプリの SSO とセキュリティコントロール

BYOおよび管理されていないエンドポイントでのユーザーおよび企業データの保護

Secure Private Accessでは、適応型認証とアクセスポリシーを使用して、管理者はデータ損失や資格情報の盗難から組織を保護することができます。適応型認証とアクセスポリシーは、従業員が個人のデバイスを使用して企業リソースにアクセスする場合にさらに重要です。

適応型アクセスポリシーでは、キーロガーと画面キャプチャ保護機能を有効にできます。この機能により、パスワードや個人情報をキャプチャする可能性のあるマルウェアやキーロガーから従業員を保護します。

キーロガーと画面キャプチャ保護は、画面のキャプチャやキーボードの押下に必要な基盤となるOSの特定のAPI呼び出しへのアクセスを制御することによって機能します。これらのポリシーは、最もカスタマイズされ、専用のハッカーツールから保護することができます。これにより、従業員がCitrix Secure Private Accessおよび認証ダイアログボックス内で使用する仮想アプリケーションまたはWebアプリケーションを保護し、パスワードの漏洩を防ぎます。

キーロガーとスクリーンキャプチャ保護機能により、ユーザーが入力したテキストは、キーロギングツールがアクセスする前に暗号化することで解読できなくなります。データを読み取るクライアントエンドポイントにインストールされたキーロガーは、ユーザーが入力しているキーストロークの代わりにギブな文字をキャプチャします。

BYOおよび管理対象外のデバイス上のユーザーおよび企業データの保護