适用于企业 Web 和 SaaS 应用程序的自适应访问和安全控制 — 预览版
在当今不断变化的情况下,应用程序安全对于任何企业都至关重要。做出具有上下文意识的安全决策,然后启用对应用程序的访问权限可在允许用户访问的同时降低相关风险。
Citrix Secure Private Access 服务自适应访问功能提供了一种全面的零信任访问方法,可提供对应用程序的安全访问。自适应访问使管理员能够根据上下文提供用户可以访问的应用程序的精细级别访问权限。这里的“上下文”一词是指用户、用户组、Device Posture以及用户从中访问应用程序的平台(移动设备或台式计算机)。
自适应访问功能将上下文策略应用于正在访问的应用程序。这些策略根据上下文确定风险,并做出动态访问决策,以授予或拒绝对 Enterprise Web 或 SaaS 应用程序的访问权限。
工作原理
要授予或拒绝对应用程序的访问权限,管理员需要根据用户、用户组、用户访问应用程序的设备、用户访问应用程序的位置(国家/地区或网络位置)以及用户风险评分来创建策略。
自适应访问策略优先于在 Secure Private Access 服务中添加 SaaS 或 Web 应用程序时配置的特定于应用程序的安全策略。
例如,假设 Microsoft Word 应用已订阅用户 Emp1 和 Emp2。在将应用程序添加到 Secure Private Access 服务中时,会为应用程序启用增强的安全选项,例如限制打印、限制下载和显示水印。
管理员必须创建策略才能应用级别策略。如果上下文策略根据上下文不匹配,则会自动回退到应用程序级别策略。然后,管理员可以为 Emp2 创建另一个没有上下文安全控制的策略。
在这种情况下,当Emp1访问应用程序时,将应用增强的安全选项。但是,对于 Emp2,自适应访问策略会覆盖应用程序级别策略,因此不会对 Emp2 强制执行增强的安全选项。
自适应访问策略在三种情况下进行评估:
有权使用自适应访问的客户
有权使用 Citrix Secure Private Access 服务的客户无需额外付费即可获得自适应访问功能。此外,必须为该客户启用自适应访问功能。
创建自适应访问策略
- 在“Secure Private Access”服务图块上,单击“管理”。
- 单击 管理 选项卡,然后单击 自适应访问。
-
单击创建策略。
-
对于这些应用程序的用户 -此字段列出了管理员在“Secure Private Access”服务中配置的所有应用程序。管理员可以选择必须应用此上下文策略的应用程序。
-
如果满足以下条件 -选择必须评估此自适应访问策略的上下文。
-
单击添加条件,根据您的要求添加额外条件。对条件执行 AND 运算,然后评估自适应访问策略。
-
然后执行以下操作 - 如果设置的条件匹配,管理员可以选择要为访问应用程序的用户执行的操作。
- 拒绝访问 — 选择此选项后,将拒绝对应用程序的访问。所有其他选项都显示为灰色。
-
使用以下安全控件允许应用程序访问 — 选择预设的安全策略组合之一。这些安全策略组合是在系统中预定义的。管理员无法修改或添加其他组合。
要将不同的预设安全策略应用于您选择的同一组应用程序,管理员必须创建一个策略,然后选择安全策略组合。
- 仅限从 Citrix Workspace 桌面客户端访问应用程序-选择此选项可仅 允许用户从 Citrix Workspace 桌面客户端访问应用程序。
- 通过安全浏览器启动应用程序 -选择此选项可始终在 Remote Browser Isolation 服务中启动应用程序,无论其他增强的安全设置如何。
注意:
-
“预设 4”、“预设 5”和“预设 6”选项仅适用于企业 Web 应用程序。如果管理员在应用程序列表中选择了 SaaS 应用程序以及 Web 应用程序,则会禁用“预设 4”、“预设 5”和“预设 6”选项。
-
管理员可以选择预设的安全策略,也可以在同一策略中选择通过安全浏览器启动应用程序的选项。这两个条件彼此独立。
- 在 策略名称中,输入策略的名称。
- 将切换开关转到“开”以启用该策略。
- 单击创建策略。
基于用户或组的自适应访问
要基于用户或组配置自适应访问策略,请使用 创建自适应访问策略 过程并进行以下更改。
-
在 如果满足以下条件中,选择 用户或组。
- 如果您配置了多个用户或组,请根据需要选择以下选项之一。
- 全部匹配 — 用户或组必须匹配数据库中配置的所有用户或组。
- 不匹配任何 — 用户或组与数据库中配置的用户或组不匹配。
- 完成策略配置。
基于设备的自适应访问
要基于用户访问应用程序的平台(移动设备或台式计算机)配置自适应访问策略,请使用 创建自适应访问策略 过程并进行以下更改。
- 在“如果满足以下条件”中,选择“台式机 或 移动设备”。
- 完成策略配置。
基于位置的自适应访问
管理员可以根据用户访问应用程序的位置配置自适应访问策略。该位置可以是用户访问应用程序所在的国家/地区,也可以是用户的网络位置。网络位置是使用 IP 地址范围或子网地址定义的。
要基于位置配置自适应访问策略,请使用 创建自适应访问策略 过程并进行以下更改。
- 在 如果满足以下条件中,选择 地理位置 或 网络位置。
- 如果您配置了多个地理位置或网络位置,请根据需要选择以下位置之一。
- 全部匹配 — 地理位置或网络位置必须与数据库中配置的所有地理位置或网络位置匹配。
- 不匹配任何 -地理位置或网络位置与数据库中配置的地理位置或网络位置不匹配。
注意:
-
如果选择 地理位置,则使用 IP 地址数据库评估用户的源 IP 地址。如果用户的 IP 地址与数据库中可用的地址匹配,则应用策略。如果 IP 地址不匹配,则会跳过此上下文策略,然后评估下一个上下文策略。
-
对于 网络位置,您可以选择一个现有的网络位置或创建一个网络位置。要创建新的网络位置,请单击创建网络位置。
重要信息:
创建网络位置时,新网络位置可能不会立即显示在下拉列表中。新网络位置可能需要 5 分钟左右才会出现在下拉列表中。
- 您也可以从 Citrix Cloud 控制台创建网络位置。有关详细信息,请参阅 Citrix Cloud 网络位置配置。
- 完成策略配置。
基于Device Posture的自适应访问
Citrix Secure Private Access 服务通过使用本地 Citrix Gateway 或客户托管的 Citrix Gateway(自适应身份验证)作为 Citrix Workspace 的 IdP,根据Device Posture提供自适应访问。根据 EPA 检查结果和配置的智能访问策略,可以枚举或对最终用户隐藏 Enterprise Web 或 SaaS 应用程序。
注意: 自适应身份验证是一项 Citrix Cloud 服务,可为登录到 Citrix Workspace 的用户启用高级身份验证。自适应身份验证提供在云中运行的网关实例,您可以根据需要为此实例配置身份验证机制。
必备条件
- 必须为 Citrix Workspace 配置 Citrix Gateway 作为 IdP。有关详细信息,请参阅 使用本地 Citrix Gateway 作为 Citrix Cloud 的身份提供商。
- Citrix ADC 发行版 13.0 Build 82.109 或更高版本。
- 智能访问标签是在 Citrix Gateway 设备上配置的。
了解事件的流程
- 用户使用本机 Citrix Workspace 应用程序在浏览器中输 Citrix Workspace URL 或连接到 Citrix Workspace 应用商店。
- 用户将重定向到配置为 IdP 的 Citrix Gateway。
- 系统会提示用户允许在设备上执行 EPA 检查。
- Citrix Gateway 在用户同意扫描设备并将智能访问标记根据设备 ID 写入 CAS 后执行 EPA 检查。
- 用户使用 Citrix Gateway IdP 和配置的身份验证机制登录 Citrix Workspace。
- Citrix Gateway 为 Citrix Workspace 和 Secure Private Access 提供智能访问策略信息。
- 用户将重定向到 Citrix Workspace 主页。
- Citrix Workspace 处理配置为 IdP 的 Citrix Gateway 提供的智能访问标签,然后确定必须枚举并向最终用户显示的应用程序。
配置方案 — 基于Device Posture扫描的企业 Web 或 SaaS 应用程序枚举
步骤 1:使用 Citrix Gateway GUI 配置智能访问策略
- 导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 智能访问 > 配置文件。
- 在配置文件选项卡上,单击 添加 以创建配置文件。
- 在标记中,输入智能访问标记名称。这是您在创建自适应访问策略时必须手动输入的标记。
- 导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 智能访问 > 策略。
- 单击添加以创建策略。
- 在 操作中,选择先前创建的配置文件,然后单击 添加。
- 在表达式中,创建策略表达式并单击确定。
步骤 2:创建自适应访问策略
执行创建自适应访问策略中详述的步骤。
- 在“如果满足以下条件”中,选择“Device Posture检查”。
- 如果您配置了多个智能访问标记,请根据需要选择以下选项之一。
- 全部匹配 — 登录 Citrix Workspace 时,设备 ID 必须与针对设备 ID 写入的所有智能访问标签匹配。
- 匹配其中任 一 — 当您登录 Citrix Workspace 时,设备 ID 必须与针对设备 ID 写入的标记之一匹配。
- 不匹配任何 -当您登录 Citrix Workspace 时,设备 ID 与设备 ID 不匹配。
- 在 输入自定义标签中,手动键入智能访问标签。这些标记必须类似于 Citrix Gateway(创建身份验证智能访问配置文件 > 标记)中配置的标记。
注意事项
- 状态评估仅在您登录 Citrix Workspace 时进行(仅在身份验证期间)。
- 在当前版本中,没有进行连续的Device Posture评估。如果用户登录 Citrix Workspace 后设备上下文发生更改,则策略条件不会对Device Posture评估产生任何影响。
- 设备 ID 是为每个最终用户设备生成的 GUID。如果更改了用于访问 Citrix Workspace 的浏览器、删除 Cookie 或使用了隐身/私有模式,则设备 ID 可能会更改。但是,这一变化不会影响策略评估。
基于用户风险评分的自适应访问
用户风险评分是一种评分系统,用于确定与企业中的用户活动相关的风险。风险指示器分配给看起来可疑或可能对组织构成安全威胁的用户活动。当用户的行为偏离正常情况时,会触发风险指示器。每个风险指标都可以有一个或多个与之相关的风险因素。这些风险因素可帮助您确定用户事件中的异常类型。风险指示器及其相关的风险因素决定用户的风险评分。风险评分是定期计算的,在操作和风险评分更新之间存在延迟。有关详细信息,请参阅 Citrix 用户风险指示器。
要配置具有风险评分的自适应访问策略,请使用 创建自适应访问策略 过程并进行以下更改。
-
在 如果满足以下条件中,选择 用户风险评分。
-
根据以下三种类型的用户风险情况配置自适应访问策略。
- 从 CAS 服务获取的预设标签
— 低
- MEDIUM
- HIGH
- 阈值类型
- 大于或等于
- 小于或等于
- 一个数字范围
- 范围
- 从 CAS 服务获取的预设标签
— 低