产品文档
Citrix Secure Private Access
2311 - Current Release 2308 Legacy Service
查看 PDF

Secure Private Access 服务解决方案概述

February 20, 2024
投稿者: 
C

解决方案概述

传统 VPN 解决方案要求管理最终用户设备,在网络级别提供访问并强制执行静态访问控制策略。Citrix Secure Private Access 为 IT 提供了一组安全控制措施,以防范来自自带设备的威胁,使用户可以选择从任何设备(无论是托管设备还是自带设备)访问经过 IT 批准的应用程序。

Citrix Secure Private Access 为应用程序提供自适应身份验证、单点登录支持和增强的安全控制。Secure Private Access 还提供了在使用Device Posture服务建立会话之前扫描最终用户设备的功能。根据自适应身份验证或Device Posture结果,管理员可以为应用程序定义身份验证方法。

Secure Private Access 概述

自适应安全

自适应身份验证为当前请求确定正确的身份验证流程。自适应身份验证可以识别Device Posture、地理位置、网段、用户组织/部门成员资格。根据获得的信息,管理员可以定义他们希望如何向其 IT 认可的应用程序对用户进行身份验证。这允许组织在所有资源上实施相同的认证策略框架,包括公共 SaaS 应用程序、私有 Web 应用程序、私有客户端服务器应用程序和桌面即服务 (DaaS)。有关详细信息,请参阅 自适应安全

应用程序访问权限

Secure Private Access 可以在不依赖 VPN 的情况下创建与本地 Web 应用程序的连接。这种无 VPN 的连接使用本地部署的 Connector Appliance。Connector Appliance 为组织的 Citrix Cloud 订阅创建出站控制通道。从那里,Secure Private Access 无需使用 VPN 即可通过通道连接到内部 Web 应用程序。有关详细信息,请参阅 应用程序访问权限

单点登录

借助自适应身份验证,组织可以提供强大的身份验证策略,以帮助降低用户帐户遭到入侵的风险。Secure Private Access 的单点登录功能对所有 SaaS、私有 Web 和客户端服务器应用程序使用相同的自适应身份验证策略。有关详细信息,请参阅 单点登录

浏览器安全

Secure Private Access 使最终用户能够使用集中管理和安全的 Enterprise Browser 安全地浏览 Internet。当最终用户启动 SaaS 或私有 Web 应用程序时,会动态做出多个决策,以决定如何最好地为该应用程序提供服务。有关详细信息,请参阅 浏览器安全

Device Posture

Device Posture服务允许管理员定义策略,以检查尝试远程访问公司资源的端点设备的状态。根据终端的合规性状态,Device Posture服务可以拒绝访问或提供对企业应用程序和桌面的限制/完全访问权限。

当最终用户发起与 Citrix Workspace 的连接时,Device Posture客户端会收集有关端点参数的信息,并与Device Posture服务共享这些信息,以确定端点的状态是否符合策略要求。

将Device Posture服务与 Citrix Secure Private Access 相集成,可以从任何地方安全访问 SaaS、Web、TCP 和 UDP 应用程序,同时提供 Citrix Cloud 的灵活性和可扩展性。有关详细信息,请参阅 Device Posture

支持 TCP 和 UDP 应用程序

有时,远程用户需要访问私有客户端-服务器应用程序,这些应用程序的前端位于端点,后端位于数据中心。组织可以理所当然地围绕这些内部和私有应用程序执行严格的安全策略,这使得远程用户很难在不影响安全协议的情况下访问这些应用程序。

Secure Private Access 服务通过允许 ZTNA 提供对这些应用程序的安全访问来解决 TCP 和 UDP 安全漏洞。用户现在可以使用本机浏览器或通过在其计算机上运行的 Citrix Secure Access 客户端访问所有专用应用程序,包括 TCP、UDP 和 HTTPS 应用程序。

用户必须在其客户设备上安装 Citrix Secure Access 客户端。

有关详细信息,请参阅 对客户端-服务器应用程序的支持

设置 Citrix Secure Private Access

使用 Secure Private Access 管理控制台启用对 SaaS 应用程序、内部 Web 应用程序、TCP 和 UDP 应用程序的零信任网络访问权限。此控制台包括自适应身份验证的配置、包括用户订阅在内的应用程序和自适应访问策略。

设置身份和身份验证

选择订阅者登录 Citrix Workspace 的身份验证方法。自适应身份验证是一项 Citrix Cloud 服务,可为登录 Citrix Workspace 的客户和用户启用高级身份验证。

启用自适应身份验证

有关详细信息,请参阅 设置身份和身份验证

枚举和发布应用程序

选择身份验证方法后,使用管理员控制台配置 Web、SaaS 或 TCP 和 UDP 应用程序。有关详细信息,请参阅 添加和管理应用程序

启用增强的安全控制

为了保护内容,组织在 SaaS 应用程序中纳入了增强的安全策略。在桌面上使用 Workspace 应用程序时,每个策略都会对 Citrix Enterprise Browser 实施限制,或者在使用 Workspace 应用程序 Web 或移动设备时在 Secure Browser 上实施限制。

  • 限制剪贴板访问权限:禁用应用程序和系统剪贴板之间的剪切/复制/粘贴操作。
  • 限制打印:禁用从 Citrix Enterprise Browser 中打印的功能。
  • 限制下载:禁用用户从应用程序内下载的权限。
  • 限制上载:禁用用户在应用程序内上载的功能。
  • 显示水印:在用户屏幕上显示水印,显示用户计算机的用户名和 IP 地址。
  • 限制按键记录:防范按键记录器。当用户尝试使用用户名和密码登录应用程序时,所有密钥都会在密钥记录器上加密。此外,用户在应用程序上执行的所有活动都受到密钥记录的保护。例如,如果为 Office 365 启用了 App Protection 策略,并且用户编辑 Office 365 Word 文档,则所有按键记录器上的按键都经过加密。
  • 限制屏幕截图:禁用使用任何屏幕捕获程序或应用程序捕获屏幕的功能。如果用户尝试捕获屏幕,则会捕获一个空白屏幕。

启用安全限制

有关详细信息,请参阅配置访问策略

启用 Citrix Enterprise Browser 以启动应用程序

Secure Private Access 使最终用户能够使用 Citrix Enterprise Browser (CEB) 启动其应用程序。CEB 是一款基于 Chromium 的浏览器,与 Citrix Workspace 应用程序集成在一起,可在 Citrix Enterprise Browser 中访问网络和 SaaS 应用程序,从而实现无缝和安全的访问体验。

可以将 CEB 配置为所有内部托管的 Web 应用程序或具有安全策略的 SaaS 应用程序的首选浏览器或工作浏览器。CEB 允许用户在安全和受控的环境中打开所有已配置的 SaaS/Web 应用程序域。

启用 Citrix Enterprise Browser

管理员可以使用 Global App Configuration Service (GACS) 将 Citrix Enterprise Browser 配置为默认浏览器,以便从 Citrix Workspace 应用程序启动 Web 和 SaaS 应用程序。

通过 API 进行配置:

为了进行配置,以下是默认情况下为所有应用程序启用 Citrix Enterprise Browser 的 JSON 文件示例:

"settings": [
                  {
                     "name": "open all apps in ceb",
                     "value": "true"
                  }
                  ]
<!--NeedCopy-->

默认值为 true。

通过 GUI 进行配置:

选择必须将 CEB 设置为应用程序启动的默认浏览器的设备。

启用设备

有关详细信息,请参阅通过 GACS 管理 Citrix Enterprise Browser

使用Device Posture配置用于上下文访问的标签

Device Posture验证后,允许设备登录,并将设备归类为合规或不合规。此分类作为 Secure Private Access 服务的标签提供,用于根据Device Posture提供上下文访问。

  1. 登录 Citrix Cloud。
  2. 在 Secure Private Access 图块上,单击管理
  3. 在左侧导航栏中单击“访问策略”,然后单击“创建策略”。
  4. 输入策略名称和策略描述。
  5. 应用程序中,选择必须强制执行此策略的应用程序或一组应用程序。
  6. 单击“创建规则”为策略创建规则。
  7. 输入规则名称和规则的简要描述,然后单击“下一步”。
  8. 选择用户的条件。用户条件是向用户授予应用程序访问权限时必须满足的强制性条件。
  9. 单击 + 添加Device Posture条件。
  10. 从下拉菜单中选择Device Posture检查和逻辑表达式。

  11. 在自定义标签中输入以下值之一:

    用于上下文访问的标签

    • 合规 - 适用于合规设备
    • 不合规 - 适用于不兼容的设备
  12. 单击下一步

  13. 根据条件评估选择必须应用的操作,然后单击“下一步”。

    摘要页面显示策略的详细信息。

  14. 验证详细信息,然后单击完成

注意:

任何未在访问策略中标记为合规或不合规的 Secure Private Access 应用程序都被视为默认应用程序,无论Device Posture如何,均可在所有端点上访问。

最终用户体验

Citrix 管理员有权在 Citrix Secure Private Access 的帮助下扩展安全控制。Citrix Workspace 应用程序是安全访问所有资源的入口点。最终用户可以通过 Citrix Workspace 应用程序访问虚拟应用程序、桌面、SaaS 应用程序和文件。借助 Citrix Secure Private Access,管理员可以控制最终用户如何通过 Citrix Workspace Experience 网页用户界面或原生 Citrix Workspace 应用程序客户端访问 SaaS 应用程序。

最终用户体验

当用户在终端上启动 Workspace 应用程序时,他们会看到自己的应用程序、桌面、文件和 SaaS 应用程序。如果用户在禁用增强安全性时单击 SaaS 应用程序,则该应用程序将在本地安装的标准浏览器中打开。如果管理员启用了增强安全性,则 SaaS 应用程序将在 CEB 上的 Workspace 应用程序中打开。SaaS 应用程序和 Web 应用程序中超链接的可访问性是根据未经批准的网站策略进行控制的。有关未经批准的 Web 站点的详细信息,请参阅未经批准的 Web 站点

最终用户体验

同样,在 Workspace Web 门户中,禁用增强安全性后,SaaS 应用程序将在本机安装的标准浏览器中打开。启用增强安全性后,将在安全的远程浏览器中打开 SaaS 应用程序。用户可以根据未经批准的网站策略访问SaaS应用程序中的网站。有关未经批准的 Web 站点的详细信息,请参阅未经批准的 Web 站点

“分析”控制板

Secure Private Access 服务控制面板显示 SaaS、Web、TCP 和 UDP 应用程序的诊断和使用数据。控制面板让管理员可以在一个地方全面了解其应用程序、用户、连接器运行状况和带宽使用情况,以供使用。这些数据是从 Citrix Analytics 获取的。这些指标大致分为以下几类。

  • 记录和故障排除
  • 用户
  • 应用程序
  • 访问策略

有关详细信息,请参阅 控制面板

Secure Private Access 控制面板

解决应用程序问题

Secure Private Access 仪表板中的诊断日志图表可让您查看与身份验证、应用程序启动、应用程序枚举和Device Posture日志相关的日志。

  • 信息代码:某些日志事件(例如失败)具有相关的信息代码。单击信息代码会将用户重定向到解决步骤或有关该事件的更多信息。
  • 事务 ID:诊断日志还显示一个事务 ID,用于关联访问请求的所有 Secure Private Access 日志。一个应用程序访问请求可以生成多个日志,首先是身份验证,然后是工作区应用程序中的应用程序枚举,然后是应用程序访问本身。所有这些事件都会生成自己的日志。事务 ID 用于关联所有这些日志。您可以使用事务 ID 筛选诊断日志,以查找与特定应用程序访问请求相关的所有日志。 有关详细信息,请参阅解决 Secure Private Access 问题

解决应用程序问题

示例用例

参考文章

参考视频

相关产品有哪些新内容

Secure Private Access 服务解决方案概述
February 20, 2024
投稿者: 
C
February 20, 2024
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.