Citrix Virtual Apps and Desktops

Proteção de aplicativos contextual para Workspace

A Proteção de aplicativos contextual fornece a flexibilidade granular para aplicar as políticas de Proteção de aplicativos condicionalmente a um subconjunto de usuários, com base nos usuários, no dispositivo e na postura da rede.

Implementar a Proteção de aplicativos contextual

Você pode implementar a Proteção de aplicativos contextual usando os filtros de conexão definidos na regra de política do Broker Access. As políticas do Broker Access definem as regras que controlam o acesso de um usuário aos grupos de área de trabalho. A política compreende um conjunto de regras. Cada regra está relacionada a um único grupo de área de trabalho e contém um conjunto de filtros de conexão e controles de direito de acesso.

Os usuários obtêm acesso a um grupo de área de trabalho quando os detalhes da conexão correspondem aos filtros de conexão de uma ou mais regras na política do Broker Access. Por padrão, os usuários não têm acesso a nenhum grupo de área de trabalho em um site. Você pode criar mais políticas do Broker Access com base nos requisitos. Várias regras podem ser aplicadas ao mesmo grupo de área de trabalho. Para obter mais informações, consulte New-BrokerAssignmentPolicyRule.

Os parâmetros a seguir na regra de política de acesso do agente fornecem a flexibilidade de ativar a Proteção de aplicativos contextualmente se a conexão do usuário corresponder aos filtros de conexão definidos na regra do Broker Access.

  • AppProtectionKeyLoggingRequired
  • AppProtectionScreenCaptureRequired

Use as políticas do Smart Access mencionadas nas regras da política do Broker Access para refinar ainda mais os filtros de conexão. Consulte os cenários apresentados neste artigo para entender como usar as políticas do Smart Access para configurar a Proteção de aplicativos contextual.

Pré-requisitos

Verifique se você tem o seguinte:

  • Citrix Virtual Apps and Desktops versão 2109 ou posterior
  • Delivery Controller versão 2109 ou posterior
  • Serviço de localização de rede (NLS) para cenários baseados na localização da rede do usuário
  • Requisitos de licenciamento -
    • Proteção de aplicativos para DaaS
    • Direito de autenticação adaptável para cenários com políticas do Smart Access.

Configurar a Proteção de aplicativos contextual para Workspace – Alguns cenários

Cenário 1: ativar a Proteção de aplicativos para usuários externos que passam pelo Access Gateway

  1. Configure a autenticação adaptável.

  2. Configure o acesso adaptável com base na localização da sua rede:
    1. Faça login no Citrix Cloud e navegue até Network Locations.

      Network Locations

    2. Adicione um endereço IP de rede ou sub-rede para considerar como interno ou direto.
    3. Insira location_internal no campo Location tags.
    4. Escolha o tipo de conectividade de rede como Internal.

      Tipo de conectividade de rede

      Se você fizer login no Cloud Store a partir de um dispositivo cujo endereço IP esteja configurado como Internal, a conexão será considerada como uma conexão Internal. Todas as outras conexões de rede são consideradas conexões External ou Via Access Gateway .

  3. Configure as regras da política do Broker Access

    Para cada grupo de entrega, duas políticas de acesso do agente são criadas por padrão. Uma política é para conexões que chegam pelo Access Gateway e a outra política é para conexões diretas. Você pode ativar a Proteção de aplicativos somente para as conexões que chegam pelo Access Gateway, que são as conexões externas. Use as etapas a seguir para configurar as regras da política do Broker Access:

    1. Instale o SDK do Citrix PowerShell e conecte-se à API da nuvem, conforme explicado no blog da Citrix Getting started with PowerShell automation for Citrix Cloud.

    2. Execute o comando Get-BrokerAccessPolicyRule.

      Uma lista de todas as políticas de acesso do agente para todos os grupos de entrega presentes é exibida.

    3. Localize o DesktopGroupUid do grupo de entrega que você deseja alterar.

      UID do grupo da área de trabalho

    4. Use o DesktopGroupUid para buscar políticas aplicáveis ao grupo de entrega. Há pelo menos duas políticas, uma em que AllowedConnections tem ViaAG e outra que tem NotViaAG.

      Get-BrokerAccessPolicyRule -DesktopGroupUid 7

      Obtenha a política do Broker Access

      Na captura de tela, você vê duas políticas:

      • CAP_Desktops_AG - AllowedConnections com ViaAG, que representa a política para conexões externas ou conexões via access gateway

      • CAP_Desktops_Direct – AllowedConnections com NotViaAG, que representa a política para conexões internas ou conexões diretas

  4. Ative as políticas de Proteção de aplicativos somente para conexões externas e desative para conexões internas usando os seguintes comandos:

    • Set-BrokerAccessPolicyRule CAP_Desktops_AG -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

    • Set-BrokerAccessPolicyRule CAP_Desktops_Direct -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

Verificação

Saia do aplicativo Citrix Workspace e faça login novamente. Inicie o recurso protegido a partir de uma conexão externa. Você vê que as políticas de Proteção de aplicativos são aplicadas. Inicie o mesmo recurso a partir de uma conexão interna, um dispositivo de dentro do intervalo de endereços IP configurado na primeira etapa. Você vê que as políticas de Proteção de aplicativos são desativadas.

Cenário 2: ativar a Proteção de aplicativos para dispositivos não confiáveis

Há várias definições de dispositivos confiáveis e não confiáveis. Nesse cenário, vamos considerar um dispositivo confiável se a verificação Endpoint Analysis (EPA) for bem-sucedida. Todos os outros dispositivos serão considerados dispositivos não confiáveis.

  1. Configure a autenticação adaptável.
  2. Crie uma política de autenticação com a verificação EPA seguintes estas etapas:

    1. Faça login na IU de administração do Citrix ADC. Na guia Configuration, vá para Security > AAA-Application Traffic -> Virtual Servers. Clique no servidor virtual que deseja usar: auth_vs nesse caso.

      Servidores virtuais

    2. Navegue até Authentication Policies > Add Binding.

      Políticas de autenticação

      Add binding

    3. Clique em Add para criar uma política.

      Policy binding

    4. Crie uma política de autenticação com base na verificação EPA. Insira o nome da política. Selecione Action Type como EPA. Clique em Add para criar uma ação.

      Criar política de autenticação

    5. A tela Create Authentication EPA Action é exibida.

      Criar autenticação EPA

      Na tela Create Authentication EPA Action, insira os seguintes detalhes e clique em Create para criar uma ação.

      • Name é o nome da ação da EPA. Nesse caso, EPA_Action_FileExists.
      • Default Group. Insira o nome do grupo padrão. Se a expressão EPA for True, os usuários serão adicionados ao grupo padrão. O Default Group, nesse caso, é FileExists.
      • Quarantine Group. Insira o nome do grupo de quarentena. Se a expressão EPA for False, os usuários serão adicionados ao grupo de quarentena.
      • Expression. Adicione a expressão EPA que você deseja verificar. Neste exemplo, consideramos que a verificação EPA foi bem-sucedida se um arquivo específico estiver presente: sys.client_expr("file_0_C:\\\\epa\\\\avinstalled.txt")
    6. Você retorna à tela Create Authentication Policy. Insira true no Expression editor e clique em Create.

      Authentication EPA true

    7. Você retorna à tela de Policy Binding. Faça o seguinte:

      • Selecione Goto Expression como NEXT.
      • Na seção Select Next Factor, selecione a política LDAP que você configurou para a autenticação em Application Delivery Controller (ADC).
      • Clique em Bind.

        Detalhes de Policy binding

  3. Crie uma política do Smart Access para dispositivos confiáveis com as seguintes etapas:
    1. Selecione Smart Access Policies na página Authentication Virtual Server do servidor auth_vs.

      Servidores virtuais de autenticação

    2. Clique em Add Binding.

      Add binding

    3. Na tela Policy Binding, clique em Add na seção Select Policy.

      Selecione a política

    4. A tela Create Authentication Smart Access Policy é exibida.

      Authentication Smart Access

      Na tela Create Authentication Smart Access Policy, insira o nome em Name da política do Smart Access e clique em Add para criar o Smart Access Profile.

    5. A tela Create Authentication Smart Access Profile é exibida. Adicione um nome para a ação. Insira trusted em Tags. A marca em Tag é posteriormente referenciada na regra da Política do Broker Access da configuração. Clique em Create.

      Criar perfil de autenticação

    6. Você retorna à tela Create Authentication Smart Access Policy. Na seção Expression, insira a expressão para a qual você deseja enviar a tag. Nesse caso, como a tag é enviada para dispositivos confiáveis, insira AAA.USER.IS_MEMBER_OF(“FileExists”). Clique em Create.

      Marca para dispositivos confiáveis

    7. Você retorna à tela de Policy Binding. Selecione Goto Expression como End e clique em Bind.

      Selecione Goto Expression

  4. Crie uma política do Smart Access Policy para dispositivos não confiáveis.

    1. Siga as instruções da etapa anterior, exceto as subetapas v e vi.
    2. Para a subetapa v, na tela Create Authentication Smart Access Profile, adicione o nome da ação. Insira untrusted em Tags. A marca em Tag é posteriormente referenciada na regra da Política do Broker Access da configuração. Clique em Create.
    3. Na subetapa vi, na seção Expression da tela Create Authentication Smart Access Policy, insira a expressão para a qual deseja enviar a tag. Nesse caso, como a tag é enviada para dispositivos não confiáveis, insira AAA.USER.IS_MEMBER_OF(“FileExists”).NOT.
  5. Configurar as regras da política do Broker Access

    1. Instale o SDK do Citrix PowerShell e conecte-se à API da nuvem, conforme explicado no blog da Citrix Getting started with PowerShell automation for Citrix Cloud.
    2. Execute o comando Get-BrokerAccessPolicyRule.

      Uma lista de todas as políticas de acesso do agente para todos os grupos de entrega presentes é exibida.

    3. Localize o DesktopGroupUid do grupo de entrega que você deseja alterar.

      UID do grupo da área de trabalho

    4. Obtenha as políticas que são aplicadas somente a um determinado grupo de entrega, usando o comando: Get-BrokerAccessPolicyRule -DesktopGroupUid 7
    5. Para filtrar usuários usando dispositivos confiáveis, crie outra política do Broker Access usando o comando: New-BrokerAccessPolicyRule -Name CAP_Desktops_AG_Trusted-DesktopGroupUid 7 - AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated - AllowRestart $true -Enabled $true-IncludedSmartAccessFilterEnabled $true
    6. Para desativar a Proteção de aplicativos para dispositivos confiáveis e ativar a Proteção de aplicativos para dispositivos não confiáveis, use o seguinte comando: Set-BrokerAccessPolicyRule CAP_Desktops_AG_trusted -IncludedSmartAccessTags Workspace:trusted -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

      Set-BrokerAccessPolicyRule CAP_Desktops_AG -IncludedSmartAccessTags Workspace:untrusted -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Verificação

Saia do aplicativo Citrix Workspace e faça login novamente. Inicie o recurso protegido a partir de um dispositivo confiável que atenda às condições de verificação EPA. Você vê que as políticas de Proteção de aplicativos não são aplicadas. Inicie o mesmo recurso a partir de um dispositivo não confiável. Você vê que as políticas de Proteção de aplicativos são aplicadas.

Proteção de aplicativos contextual para Workspace