适用于企业 Web、TCP 和 SaaS 应用程序的自适应访问和安全控制

在当今不断变化的情况下,应用程序安全对于任何企业都至关重要。做出具有上下文意识的安全决策,然后启用对应用程序的访问权限可在允许用户访问的同时降低相关风险。

Citrix Secure Private Access 服务自适应访问功能提供了一种全面的零信任访问方法,可提供对应用程序的安全访问。自适应访问使管理员能够根据上下文提供用户可以访问的应用程序的精细级别访问权限。这里的“上下文”一词是指:

  • 用户和组(用户和用户组)
  • 设备(台式机或移动设备)
  • 位置(地理位置或网络位置)
  • 设备状态(设备状态检查)
  • 风险(用户风险评分)

自适应访问功能将自适应策略应用于正在访问的应用程序。这些策略根据上下文确定风险,并做出动态访问决策,以授予或拒绝对企业 Web、TCP 或 SaaS 应用程序的访问。

工作原理

要授予或拒绝对应用程序的访问权限,管理员需要根据用户、用户组、用户访问应用程序的设备、用户访问应用程序的位置(国家/地区或网络位置)以及用户风险评分来创建策略。

自适应访问策略优先于在 Secure Private Access 服务中添加 SaaS 或 Web 应用程序时配置的特定于应用程序的安全策略。每个应用程序级别的安全控制被自适应访问策略覆盖。

自适应访问策略在三种情况下进行评估:

  • 在 Secure Private Access 服务的 Web、TCP 或 SaaS 应用程序枚举期间 — 如果拒绝此用户访问应用程序,则用户无法在工作区中看到此应用程序。

  • 启动应用程序时 — 枚举应用程序后,如果将自适应策略更改为拒绝访问,则用户无法启动该应用程序,即使之前枚举了该应用程序。

  • 在嵌入式浏览器或安全浏览器服务中打开应用程序时-嵌入式浏览器会强制执行一些安全控制。这些控制措施由客户强制执行。启动嵌入式浏览器时,服务器会评估用户的自适应策略,并将这些策略返回给客户端。然后,客户端在嵌入式浏览器中本地强制执行这些策略。

创建自适应访问策略

  1. Secure Private Access 服务磁贴上,单击管理
  2. 在 Secure Private Access 主页中,单击导航页中的访问策略
  3. 单击“创建策略”。

    注意:

    对于首次使用的用户,“访问策略”登录页不显示任何策略。单击创建策略以创建策略。创建策略后,可以看到此处列出的策略。

添加策略

  1. 对于这些应用程序 - 此字段列出了管理员在 Secure Private Access 服务中配置的所有应用程序。管理员可以选择必须应用此自适应策略的应用程序。

  2. 如果满足以下条件 -选择必须评估此自适应访问策略的上下文。

    重要:

    用户或组条件是向用户授予应用程序访问权限必须满足的强制性条件。在用户/用户组中,选择以下条件。

    • 不匹配任何对象 - 允许除字段中列出的用户或组以外的所有用户或组进行访问。
    • 匹配其中任何一个 - 仅允许与该字段中列出的任何名称相匹配的用户或组进行访问。

    策略

  3. 单击添加条件,根据您的要求添加额外条件。对条件执行 AND 运算,然后评估自适应访问策略。

    拒绝或允许访问

  4. 然后执行以下操作 -如果设置的条件匹配,管理员可以选择要为访问应用程序的用户执行的操作。
    • 允许访问 -允许在没有任何预设条件的情况下进行访问。注意: 此选项仅适用于基于浏览器的应用程序。
    • 拒绝访问 — 选择此选项后,将拒绝对应用程序的访问。所有其他选项都显示为灰色。
    • 允许有限制的访问 -选择一个预设的安全策略组合。这些安全策略组合是在系统中预定义的。管理员无法修改或添加其他组合。 选择允许有限制的访问时,可以根据需要选择安全控制。可以为应用程序启用以下安全限制。

      • 限制剪贴板访问: 禁用应用程序和系统剪贴板之间的剪切/复制/粘贴操作
      • 限制打印: 禁用在 Citrix Workspace 应用程序浏览器中进行打印的功能
      • 限制导航: 禁用下一个/返回应用程序浏览器按钮
      • 限制下载: 禁用用户从应用程序内下载
      • 限制上传: 禁止用户在应用程序中执行上载操作
      • 显示水印: 在用户屏幕上显示水印,显示用户计算机的用户名和 IP 地址
      • 限制按键记录: 防止按键记录器。当用户尝试使用用户名和密码登录应用程序时,所有密钥都会在密钥记录器上加密。此外,用户在应用程序上执行的所有活动都受到密钥记录的保护。例如,如果为 Office365 启用了应用程序保护策略,并且用户编辑了 Office365 Word 文档,则所有按键记录器都会在密钥记录器上加密。
      • 限制屏幕截图: 禁用使用任何屏幕捕获程序或应用程序捕获屏幕的功能。如果用户尝试捕获屏幕,则会捕获一个空白屏幕。

    注意:

    对于 TCP 应用程序, 允许访问拒绝访问 选项均可用。

    允许或拒绝访问

  5. 策略名称中,输入策略的名称。
  6. 将切换开关转到“开”以启用该策略。
  7. 单击创建策略

基于用户或组的自适应访问

要基于用户或组配置自适应访问策略,请使用 创建自适应访问策略 过程并进行以下更改。

  • 如果满足以下条件中,选择 用户或组

  • 如果您配置了多个用户或组,请根据需要选择以下选项之一。
    • 匹配任意 一个 — 用户或组与数据库中配置的任何用户或组匹配。
    • 不匹配任何 — 用户或组与数据库中配置的用户或组不匹配。
  • 完成策略配置。

基于用户组的自适应访问策略

基于设备的自适应访问

要基于用户访问应用程序的平台(移动设备或台式计算机)配置自适应访问策略,请使用 创建自适应访问策略 过程并进行以下更改。

  • 如果满足以下条件中,选择 桌面移动设备
  • 完成策略配置。

基于设备的自适应访问策略

基于位置的自适应访问

管理员可以根据用户访问应用程序的位置配置自适应访问策略。该位置可以是用户访问应用程序所在的国家/地区,也可以是用户的网络位置。网络位置是使用 IP 地址范围或子网地址定义的。

要基于位置配置自适应访问策略,请使用 创建自适应访问策略 过程并进行以下更改。

  • 如果满足以下条件中,选择 地理位置网络位置
  • 如果您配置了多个地理位置或网络位置,请根据需要选择以下位置之一。
    • 匹配任一 -地理位置或网络位置与数据库中配置的任何地理位置或网络位置匹配。
    • 不匹配任何 -地理位置或网络位置与数据库中配置的地理位置或网络位置不匹配。

    注意:

    • 如果选择 地理位置,则使用国家/地区数据库的 IP 地址评估用户的源 IP 地址。如果用户的 IP 地址映射到策略中的国家/地区,则应用该策略。如果国家/地区不匹配,则跳过此自适应策略并评估下一个自适应策略。

    • 对于 网络位置,您可以选择一个现有的网络位置或创建一个网络位置。要创建新的网络位置,请单击创建网络位置

    自适应访问新网络位置

  • 完成策略配置。

基于位置的自适应访问策略

基于设备状态的自适应访问

Citrix Secure Private Access 服务通过使用本地Citrix Gateway 或 Citrix 托管的 Citrix Gateway(自适应身份验证)作为 Citrix Workspace 的 IdP,根据设备状态提供自适应访问。可以根据 EPA 检查结果和配置的智能访问策略对最终用户枚举或隐藏企业 Web、TCP 或 SaaS 应用程序。

注意: 自适应身份验证是一项 Citrix Cloud 服务,可为登录到 Citrix Workspace 的用户启用高级身份验证。自适应身份验证提供在云中运行的网关实例,您可以根据需要为此实例配置身份验证机制。

必备条件

了解事件的流程

  • 用户使用本机 Citrix Workspace 应用程序在浏览器中输 Citrix Workspace URL 或连接到 Citrix Workspace 应用商店。
  • 用户将重定向到配置为 IdP 的 Citrix Gateway。
  • 系统会提示用户允许在设备上执行 EPA 检查。
  • Citrix Gateway 在用户同意扫描设备并将智能访问标记根据设备 ID 写入 CAS 后执行 EPA 检查。
  • 用户使用 Citrix Gateway IdP 和配置的身份验证机制登录 Citrix Workspace。
  • Citrix Gateway 为 Citrix Workspace 和 Secure Private Access 提供智能访问策略信息。
  • 用户将重定向到 Citrix Workspace 主页。
  • Citrix Workspace 处理配置为 IdP 的 Citrix Gateway 提供的智能访问标签,然后确定必须枚举并向最终用户显示的应用程序。

配置方案 — 基于设备状态扫描的企业 Web、TCP 或 SaaS 应用程序枚举

步骤 1:使用 Citrix Gateway GUI 配置智能访问策略

  1. 导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 智能访问 > 配置文件
  2. 在配置文件选项卡上,单击 添加 以创建配置文件。

为设备状态检查创建配置文件

  1. 记中,输入智能访问标记名称。这是您在创建自适应访问策略时必须手动输入的标记。
  2. 导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 智能访问 > 策略
  3. 单击 添加 以创建策略。

为设备状态检查创建策略

  1. 操作中,选择先前创建的配置文件,然后单击 添加
  2. 表达式中,创建策略表达式并单击确定

步骤 2:创建自适应访问策略

执行 创建自适应访问策略 过程中详细介绍的步骤,并进行以下更改。

自适应访问匹配条件

  • 如果满足以下条件中,选择 设备状态检查
  • 如果您配置了多个智能访问标记,请根据需要选择以下选项之一。
    • 全部匹配 — 当您登录 Citrix Workspace 时,设备 ID 将匹配针对设备 ID 写入的所有智能访问标记。
    • 匹配任何一个 — 设备 ID 与登录 Citrix Workspace 时针对设备 ID 写入的任何标记相匹配。
    • 不匹配任何 -当您登录 Citrix Workspace 时,设备 ID 与设备 ID 不匹配。
  • 输入自定义标签中,手动键入智能访问标签。这些标记必须类似于 Citrix Gateway(创建身份验证智能访问配置文件 > 标记)中配置的标记

注意事项

  • 状态评估仅在您登录 Citrix Workspace 时进行(仅在身份验证期间)。
  • 在当前版本中,没有进行连续的设备状态评估。如果用户登录 Citrix Workspace 后设备上下文发生更改,则策略条件不会对设备状态评估产生任何影响。
  • 设备 ID 是为每个最终用户设备生成的 GUID。如果更改了用于访问 Citrix Workspace 的浏览器、删除 Cookie 或使用了隐身/私有模式,则设备 ID 可能会更改。但是,这一变化不会影响政策评估。

基于用户风险评分的自适应访问

重要提示:

此功能仅在客户拥有 Security Analytics 权限时才可用。

用户风险评分是一种评分系统,用于确定与企业中的用户活动相关的风险。风险指示器分配给看起来可疑或可能对组织构成安全威胁的用户活动。当用户的行为偏离正常情况时,会触发风险指示器。每个风险指标都可以有一个或多个与之相关的风险因素。这些风险因素可帮助您确定用户事件中的异常类型。风险指示器及其相关的风险因素决定用户的风险评分。风险评分是定期计算的,在操作和风险评分更新之间存在延迟。有关详细信息,请参阅 Citrix 用户风险指示器

要配置具有风险评分的自适应访问策略,请使用 创建自适应访问策略 过程并进行以下更改。

  • 如果满足以下条件中,选择 用户风险评分

  • 根据以下三种类型的用户风险情况配置自适应访问策略。

    • 从 CAS 服务中提取的预设标签

      • 1—69
      • 70—89
      • 90—100

      注意:

      风险分数 0 不被视为风险等级为“低”。“

    • 阈值类型
      • 大于或等于
      • 小于或等于
    • 一个数字范围
      • 范围

风险评分条件

风险评分

适用于企业 Web、TCP 和 SaaS 应用程序的自适应访问和安全控制