适用于企业 Web、TCP 和 SaaS 应用程序的自适应访问和安全控制

在当今不断变化的形势下，应用程序安全对任何企业都至关重要。做出具有上下文意识的安全决策，然后启用对应用程序的访问权限可在允许用户访问的同时降低相关风险。

Citrix Secure Private Access 服务自适应访问功能提供了一种全面的零信任访问方法，可提供对应用程序的安全访问。自适应访问使管理员能够根据上下文提供用户可以访问的应用程序的精细级别访问权限。这里的“上下文”一词是指：

• 用户和组（用户和用户组）
• 设备（台式机或移动设备）
• 位置（地理位置或网络位置）
• Device Posture（Device Posture 检查）
• 风险（用户风险评分）

自适应访问功能将自适应策略应用于正在访问的应用程序。这些策略根据上下文确定风险，并做出动态访问决策，授予或拒绝对企业 Web、SaaS、TCP 和 UDP 应用程序的访问权限。

工作原理

要授予或拒绝对应用程序的访问权限，管理员需要根据用户、用户组、用户访问应用程序的设备、用户访问应用程序的位置（国家/地区或网络位置）以及用户风险评分来创建策略。

自适应访问策略优先于在 Secure Private Access 服务中添加 SaaS 或 Web 应用程序时配置的特定于应用程序的安全策略。每个应用程序级别的安全控制被自适应访问策略覆盖。

自适应访问策略在三种情况下进行评估：

• 在 Secure Private Access 服务的 Web、TCP 或 SaaS 应用程序枚举期间 — 如果拒绝此用户访问应用程序，则用户无法在工作区中看到此应用程序。

• 启动应用程序时 — 枚举应用程序后，如果将自适应策略更改为拒绝访问，则用户无法启动该应用程序，即使之前枚举了该应用程序。

• 在 Citrix Enterprise Browser 或 Remote Browser Isolation 服务中打开应用程序时，Citrix Enterprise Browser 会强制执行某些安全控制。这些控制措施由客户强制执行。启动 Citrix Enterprise Browser 时，服务器会评估用户的自适应策略并将这些策略返回给客户端。然后，客户端在 Citrix Enterprise Browser 中本地强制执行策略。

创建包含多个规则的自适应访问策略

您可以创建多个访问规则，并在单个策略中为不同的用户或用户组配置不同的访问条件。这些规则可以分别应用于 HTTP/HTTPS 和 TCP/UDP 应用程序，全部应用于单个策略。

Secure Private Access 中的访问策略允许您根据用户或用户设备的环境启用或禁用对应用程序的访问。此外，您可以通过添加以下安全限制来启用对应用程序的受限访问：

• 限制剪贴板访问
• 限制打印
• 限制下载
• 限制上载
• 显示水印
• 限制密钥记录
• 限制屏幕截图

有关这些限制的更多信息，请参阅可用的访问限制选项。

在配置访问策略之前，请确保您已完成以下任务。

• 设置身份和身份验证
• 已配置的应用程序

1. 在导航窗格上，单击“访问策略”，然后单击“创建策略”。

   

   对于首次使用的用户， 访问策略 登录页面不显示任何策略。创建策略后，可以看到此处列出的策略。

2. 输入策略名称和策略描述。
3. 在 应用程序中，选择必须强制执行此策略的应用程序或一组应用程序。

4. 单击“创建规则”为策略创建规则。

   

5. 输入规则名称和规则的简要描述，然后单击“下一步”。

   

6. 选择用户的条件。用户条件是向用户授予应用程序访问权限时必须满足的强制性条件。选择以下选项之一：

   • 匹配任一项 - 仅允许与字段中列出的任何名称相匹配且属于所选域的用户或组进行访问。
   • 不匹配任何项 - 允许除字段中列出并属于选定域的用户或组以外的所有用户或组进行访问。

   

7. （可选）单击 + 可根据上下文添加多个条件。

   当您根据上下文添加条件时，只有在满足用户*和可选的基于上下文的条件时，才会对策略进行评估的条件应用 AND 运算。您可以根据上下文应用以下条件。

   • 台式机或移动设备 - 选择要为其启用应用程序访问权限的设备。
   • 地理位置 - 选择用户访问应用程序的条件和地理位置。
   • 网络位置 -选择用户访问应用程序所使用的条件和网络。
   • Device Posture检查 - 选择用户设备访问应用程序必须满足的条件。
   • 用户风险评分 - 选择风险评分类别，必须根据这些类别向用户提供应用程序访问权限。
8. 单击下一步。

9. 根据条件评估选择必须应用的操作。

   • 对于 HTTP/HTTPS 应用程序，您可以选择以下选项：
     • 允许访问
     • 允许访问但有限制
     • 拒绝访问

     注意：

     如果选择“允许有限制的访问”，则必须选择要对应用程序强制执行的限制。有关限制的详细信息，请参阅可用的访问限制选项。您还可以指定是要在远程浏览器还是 Citrix Secure Browser 中打开应用程序。

   • 对于 TCP/UDP 访问，您可以选择以下选项：
     • 允许访问
     • 拒绝访问

   

10. 单击下一步。摘要页面显示策略的详细信息。

11. 您可以验证详细信息，然后单击“完成”。

    

创建策略后要记住的几点

• 您创建的策略显示在“策略规则”部分下方，默认情况下处于启用状态。如果需要，您可以禁用规则。但是，请确保至少启用一条规则才能使策略处于活动状态。

• 默认情况下，会为策略分配优先顺序。值较低的优先级具有最高优先级。优先级编号最低的规则将首先评估。如果规则 (n) 与定义的条件不匹配，则评估下一个规则 (n+1)，依此类推。

  

使用优先顺序评估规则示例：

假设您已经创建了两条规则，即规则 1 和规则 2。 规则 1 分配给用户 A，规则 2 分配给用户 B，然后评估这两条规则。 假设规则 1 和规则 2 均分配给用户 A。在这种情况下，规则 1 的优先级更高。如果规则 1 中的条件得到满足，则应用规则 1 并跳过规则 2。否则，如果规则 1 中的条件未得到满足，则规则 2 将应用于用户 A。

注意：

如果未评估任何规则，则不会向用户枚举应用程序。

可用的访问限制选项

选择“允许有限制的访问”操作时，必须至少选择一项安全限制。这些安全限制是在系统中预定义的。管理员无法修改或添加其他组合。可以为应用程序启用以下安全限制。

• 限制剪贴板访问权限： 禁用应用程序和系统剪贴板之间的剪切/复制/粘贴操作。
• 限制打印： 禁用在 Citrix Enterprise Browser 中打印的功能。
• 限制下载： 禁用用户从应用程序内下载的功能。
• 限制上载：禁用用户在应用程序内上载的权限。
• 显示水印： 在用户屏幕上显示水印，显示用户计算机的用户名和 IP 地址。
• 限制按键记录： 防范按键记录器。当用户尝试使用用户名和密码登录应用程序时，所有密钥都会在密钥记录器上加密。此外，用户在应用程序上执行的所有活动都受到密钥记录的保护。例如，如果为 Office 365 启用了 App Protection 策略，并且用户编辑 Office 365 Word 文档，则所有按键记录器上的按键都经过加密。
• 限制屏幕截图： 禁用使用任何屏幕捕获程序或应用程序捕获屏幕的功能。如果用户尝试捕获屏幕，则会捕获一个空白屏幕。

基于设备的自适应访问

要根据用户访问应用程序的平台（移动设备或台式计算机）配置自适应访问策略，请使用创建具有多规则的自适应访问策略过程并进行以下更改。

• 在“步骤 2：条件”页面中，单击“添加条件”。
• 选择“台式机”或“移动设备”。
• 完成策略配置。

基于位置的自适应访问

管理员可以根据用户访问应用程序的位置配置自适应访问策略。该位置可以是用户访问应用程序所在的国家/地区，也可以是用户的网络位置。网络位置是使用 IP 地址范围或子网地址定义的。

要根据位置配置自适应访问策略，请使用经过以下更改的 [创建具有多规则的自适应访问策略 ] 程序。

• 在“步骤 2：条件”页面中，单击“添加条件”。
• 选择 地理位置 或 网络位置。
• 如果您配置了多个地理位置或网络位置，请根据需要选择以下位置之一。
  • 匹配任一 -地理位置或网络位置与数据库中配置的任何地理位置或网络位置匹配。
  • 不匹配任何 -地理位置或网络位置与数据库中配置的地理位置或网络位置不匹配。

  注意：

  • 如果选择 地理位置，则使用国家/地区数据库的 IP 地址评估用户的源 IP 地址。如果用户的 IP 地址映射到策略中的国家/地区，则应用该策略。如果国家/地区不匹配，则跳过此自适应策略并评估下一个自适应策略。

  • 对于 网络位置，您可以选择一个现有的网络位置或创建一个网络位置。要创建新的网络位置，请单击创建网络位置。

  • 确保您已从 Citrix Cloud > Citrix Workspace > 访问 > 自适应访问启用自适应访问。如果没有，则无法添加位置标签。有关详细信息，请参阅启用自适应访问。

  • 您也可以从 Citrix Cloud 控制台创建网络位置。有关详细信息，请参阅 Citrix Cloud 网络位置配置。

  

• 完成策略配置。

基于Device Posture的自适应访问

您可以配置 Secure Private Access 服务，使用Device Posture标签强制执行访问控制。在Device Posture验证后允许设备登录后，可以将该设备归类为兼容或不合规。此信息可作为 Citrix DaaS 服务和 Citrix Secure Private Access 服务的标签提供，用于根据Device Posture提供上下文访问。

有关Device Posture服务的完整详细信息，请参阅 Device Posture。

要根据Device Posture配置自适应访问策略，请使用 具有多规则的自适应访问策略 过程并进行以下更改。

• 在“步骤 2：条件”页面中，单击“添加条件”。
• 从下拉菜单中选择Device Posture检查和逻辑表达式。
• 在自定义标签中输入以下值之一：
  • 合规 - 适用于合规设备
  • 不合规 - 适用于不兼容的设备

  注意：

  设备分类标签的输入方式必须与之前捕获的语法相同，即初始上限（合规和不合规）。否则，Device Posture策略将无法按预期运行。

基于用户风险评分的自适应访问

重要提示：

此功能仅在客户拥有 Security Analytics 权限时才可用。

用户风险评分是一种评分系统，用于确定与企业中的用户活动相关的风险。风险指示器分配给看起来可疑或可能对组织构成安全威胁的用户活动。当用户的行为偏离正常情况时，会触发风险指示器。每个风险指标都可以有一个或多个与之相关的风险因素。这些风险因素可帮助您确定用户事件中的异常类型。风险指示器及其相关的风险因素决定用户的风险评分。风险评分是定期计算的，在操作和风险评分更新之间存在延迟。有关详细信息，请参阅 Citrix 用户风险指示器。

要使用风险评分配置自适应访问策略，请使用 具有多规则的自适应访问策略 过程并进行以下更改。

• 在“步骤 2：条件”页面中，单击“添加条件”。

• 选择 用户风险评分 ，然后选择风险状况。

  • 从 CAS 服务中提取的预设标签

    • 低 1—69
    • 中 70—89
    • 高 90—100

    注意：

    风险分数 0 不被视为风险等级为“低”。“

  • 阈值类型
    • 大于或等于
    • 小于或等于
  • 一个数字范围
    • 范围