对 Enterprise Web 和 SaaS 应用程序的上下文访问 - 技术预览版

在当今不断变化的情况下,应用程序安全对于任何企业都至关重要。做出具有上下文意识的安全决策,然后启用对应用程序的访问权限可在允许用户访问的同时降低相关风险。

Citrix Secure Workspace Access 服务上下文访问功能提供了一种全面的零信任访问方法,可提供对应用程序的安全访问。上下文访问使管理员能够提供对用户可以根据上下文访问的应用程序的精细级别访问权限。此处的术语 “上下文” 是指用户、用户组、平台(移动设备或台式计算机)以及用户访问应用程序的位置(国家/地区)。

上下文访问功能将上下文相关策略应用于正在访问的应用程序。这些策略根据上下文确定风险,并做出动态访问决策,以授予或拒绝对 Enterprise Web 或 SaaS 应用程序的访问权限。

工作原理

要授予或拒绝对应用程序的访问权限,管理员会根据用户、用户组、用户访问应用程序的设备以及访问应用程序的位置(国家/地区)来创建策略。

上下文访问策略优先于在 Citrix Gateway 服务中添加 SaaS 或 Web 应用程序时配置的应用程序特定安全策略。

例如,假设微软 Word 应用已订阅用户 Emp1 和 Emp2。在 Citrix Gateway 服务中添加应用程序时,会为应用程序启用增强的安全选项,例如限制打印、限制下载和显示水印。

在这种情况下,管理员需要创建一个策略来应用应用程序级别策略。如果上下文策略根据上下文不匹配,则会自动回退到应用程序级别策略。然后,管理员可以为 Emp2 创建另一个没有上下文安全控制的策略。

在这种情况下,当 Emp1 访问应用程序时,将应用增强的安全选项。但是,对于 Emp2,上下文访问策略会覆盖应用程序级别的策略,因此不会对 Emp2 强制实施增强的安全选项。

上下文访问策略在三种情况下进行评估:

  • 从 Citrix Gateway 服务枚举 Web 或 SaaS 应用程序期间 — 如果拒绝此用户访问应用程序,则用户将无法在工作区中看到此应用程序。

  • 启动应用程序时 — 枚举应用程序后,如果上下文策略更改为拒绝访问,即使之前已枚举该应用程序,用户也无法启动该应用程序。

  • 在嵌入式浏览器或安全浏览器服务中打开应用程序时 — 嵌入式浏览器会强制执行一些安全控制。这些控制措施由客户强制执行。启动嵌入式浏览器时,服务器会评估用户的上下文策略,然后将这些策略返回给客户端。然后,客户端在嵌入式浏览器中本地强制执行这些策略。

有权获得情境访问权限的客户

有权使用 Citrix Secure Workspace Access 服务的客户可以免费获得上下文访问功能。此外,必须为该客户启用上下文访问功能。

创建上下文相关访问策略

  1. 在 Citrix Gateway 服务磁贴上,单击管理
  2. 单击管理选项卡,然后单击上下文访问
  3. 单击创建策略

    创建上下文相关访问策略

  4. 对于这些应用程序的用户 -此字段列出管理员在 Citrix Gateway 服务中配置的所有应用程序。管理员可以选择必须应用此上下文策略的应用程序。

  5. 如果满足以下条件 -输入必须为其评估此上下文访问策略的用户或用户组。

    条件

    • 除了用户或用户组之外,管理员还可以添加另一个条件来定义用户从中访问应用程序的设备。该设备可以是移动设备或台式计算机。
    • 此外,管理员可以定义另一个条件来识别用户访问应用程序的国家/地区。使用数据库中的 IP 地址评估用户的源 IP 地址。如果用户的 IP 地址与数据库中可用的地址匹配,则应用该策略。如果 IP 地址不匹配,则会跳过此上下文策略,然后评估下一个上下文策略。
  6. 单击 添加条件 ,然后在 选择条件中,选择用户从中访问应用程序的设备。

    对已添加的条件执行与操作。如果条件匹配,则评估上下文策略。如果条件不匹配,则会跳过该策略并评估下一个策略。

    拒绝或允许访问

  7. 然后执行以下操作-如果设置的条件匹配,管理员可以选择要 为访问应用程序的用户执行的操作。
    • 拒绝访问 — 选择此选项后,将拒绝对应用程序的访问。所有其他选项都显示为灰色。
    • 允许使用以下安全控件访问应用程序 — 选择一个预设的安全策略组合。这些安全策略组合是在系统中预定义的。管理员无法修改或添加其他组合。

    要将不同的预设安全策略应用于您选择的同一组应用程序,管理员必须创建一个策略,然后选择安全策略组合。 通过安全浏览器启动应用程序 — 选择此选项可始终在 Secure Browser 服务中启动应用程序,而不考虑其他增强的安全设置。

    注意:

    • “预设 4”、“预设 5”和 “ 预设 6” 选项仅适用于企业 Web 应用程序。如果管理员在应用程序列表中选择了 SaaS 应用程序以及 Web 应用程序,则会禁用 “预设 4”、“预设 5” 和 “预设 6” 选项。

    • 管理员可以选择预设的安全策略,也可以在同一策略中选择通过安全浏览器启动应用程序的选项。> 这两个条件彼此独立。

  8. 策略名称中,输入策略的名称
  9. 打开拨动开关以启用策略。
  10. 单击创建策略

查看已配置的上下文访问策略列表

  1. 在 Citrix Gateway 服务磁贴上,单击管理
  2. 单击管理选项卡,然后单击上下文访问
  3. 此处显示为上下文访问配置的所有策略。
    • 优先级 — 策略的优先级,最低的数字具有最高优先级。您可以根据需要修改优先级。选择策略,然后单击箭头图标拖动策略。
    • 名称 — 上下文访问策略的名称。
    • 状态 — 确定策略是启用还是禁用的上下文访问策略的状态。您可以使用拨动开关启用或禁用策略。
    • 已修改 — 上次修改策略的日期。

    查看已配置的上下文访问策略

对 Enterprise Web 和 SaaS 应用程序的上下文访问 - 技术预览版