Citrix Access Control

贡献者

作者: Nagaraj Manoli

特别感谢:

Praveen Raghuraman Allen Furmanski

读者

本文档面向想要探索和采用 Citrix Cloud Access Control 服务的 Citrix 技术专业人员、IT 决策者、合作伙伴和安全顾问。读者必须对 Citrix 产品、安全性和 Citrix Cloud 框架有基本的了解。有关 Citrix Cloud 及其服务的详细信息,请参阅的官方产品文档Citrix Cloud

本文件的目标

本文档提供了 Citrix Access Control 和体系结构的技术概述,该体系可提供对云应用和 Internet 浏览的条件访问,从而增强了组织的整体安全性和合规性态势。Citrix Access Control 结合了多个 Citrix Cloud 服务的元素,为最终用户和管理员提供集成体验。

本文档将指导管理员如何通过整合解决方案提供安全的数字工作空间,该解决方案将使用 Citrix Access Control 与多个 Citrix Cloud 服务(包括 Citrix Gateway 服务和 Secure Browser)集成。为了监视用户行为和活动,Citrix Access Control 与 Citrix Analytics 集成。

安全控制和缓解

在当今的商业世界中,用户数据是最珍贵的商品之一,企业不断发现它的价值越来越多。在组织中发生的大多数违规行为是由于安全控制不足、授予内部用户过多的权限以及过度依赖基于网络的安全控制。遗憾的是,许多公司未能真正采取安全深入的方法来加强其环境。

组织内的许多 IT 部门没有解决方案来控制访问越来越多的基于 SaaS 的应用程序的用户的访问权限。除了企业数据可能与非托管 SaaS 应用进行交互带来的安全风险之外,由于登录多个应用,用户的工作效率也会降低。此外,必须记住多个密码通常会导致错误的密码习惯或相同的密码被用于多个站点。

如今,浏览互联网给企业带来了另一个风险。根据安全专家的说法,大多数攻击都是利用网站、浏览器和浏览器插件中的漏洞。对此,一些组织甚至完全禁止浏览互联网,严重影响了生产力。

某些 Web 和 SaaS 应用程序需要特定的浏览器版本或插件才能正常运行。随着浏览器环境的快速变化,确保企业 Web 和 SaaS 应用程序的可用性能够快速挂载到消耗资源的支持任务中。

许多 IT 部门没有完全定义的 SaaS 应用程序管理策略,导致严重的安全性和合规性风险。其他一些则采用零散的方法,导致多点解决方案,例如:

  • 部署 Single Sign-On 解决方案: 这有助于简化用户体验,并且可以包含多重身份验证,但这些解决方案通常不会在用户登录后对应用进行精细的策略控制。

  • 部署 Web 过滤以控制或关闭外部浏览: 这是一个用于防止访问恶意网站的点式解决方案。但是,这些功能阻碍了 SaaS 应用程序的安全策略,导致许多客户在 Web Gateway 之外部署多种解决方案。

  • 为每个 SaaS 应用程序发布浏览器: 使用 Citrix Virtual Apps and Desktops 发布 Web 浏览器是一种经过时间考验的方法,用于控制对未批准的 SaaS 应用程序的访问、Internet 上的“未知”网站类别以及向用户展示单个门户用于 SaaS 和虚拟应用程序。但是,它确实需要额外的 IT 资源来管理,与通过浏览器直接连接 SaaS 应用不同的用户体验。

  • SaaS 应用程序的管理放弃给企业内的部门控制: 这会打开安全性和合规性差距,错过了解用户行为和应用使用情况的机会,但在面临有限的资源时,这通常是 IT 的默认策略。

Citrix 提出了一种更好的方法来安全访问受批准的 SaaS 和 Web 应用程序,而不是以用户为中心的传统方法。Citrix Workspace 提供对 SaaS、Web 和 Virtual Desktops and Applications 的上下文和安全访问,减少内部威胁和外部威胁的风险,确保 Content Collaboration 安全,并提供用户行为分析和主动安全见解。

AC-Image-1

上图说明了传统的 Citrix 环境,端点通过 Citrix ADC 连接并访问其资源。这些资源(包括应用程序、桌面和数据)正在从本地访问,部分外部资源可通过包括基于 SaaS 的应用程序在内的 Internet 访问。用户通过 Secure Gateway 和 Web 过滤服务安全地访问这些外部资源。

Workspace 应用程序是从任何设备访问资源的单个入口点。Workspace 应用程序通过嵌入式浏览器引擎,为最终用户提供了一个独特的功能,增强了安全性。Workspace 应用程序中的网络连接引擎优化了网络流量为某些应用程序提供 SSL VPN 以及 Micro VPN 功能。最终用户通过 Citrix ADC 提供的身份和访问管理功能进行连接。

安全监视提供网络内的最终用户行为和威胁检测。当用户处理文件或共享文件以保持数据控制时,数据安全包括 DLP 和 IRM。在 Citrix Cloud Web 筛选中,分析服务和 Citrix Gateway 服务提供了一个整合解决方案,以便向最终用户提供安全的数字 Workspace。

Citrix Access Control

Citrix Access Control 结合了通过 Single Sign-On (SSO) 对 SaaS 和 Web 应用程序进行即时安全访问的功能,以及基于浏览器和云的应用程序控制 Web 过滤策略和集成的用户行为分析。Citrix Access Control 引入了 云应用程序控制 ,超越了传统的 SSO 功能,这是一组针对 SaaS 和企业 Web 应用程序的增强安全控制,提供对云应用程序的条件访问,并根据管理员管理的访问策略保护用户操作。该解决方案增强了组织的整体安全性和合规性状况。用户体验保持无缝且集成,因为 SaaS 和 Web 应用程序可以与其移动应用程序、虚拟应用程序和桌面一起访问,作为 Citrix Workspace 的一个集成部分。

Citrix Access Control 结合了多个 Citrix Cloud 服务的元素,为最终用户和管理员提供集成体验。

功能 服务/组件提供功能
访问应用程序的一致用户界面 Workspace 体验/WS 应用程序
SSO 到 SaaS 和 Web 应用程序 Citrix Gateway 服务标准
Web 过滤和分类 网络过滤服务
针对 SaaS 的增强安全策略 云应用程序控制
安全浏览 Secure Browser 服务
可见网站访问和危险行为 Citrix Analytics

为何使用 Citrix Access Control?

数据安全的特点通常是需要确保数据完整性、保密性和保护公司知识产权。今天,企业面临着各种挑战,例如:

  • 难以管理且具有不同策略基础体系结构的多点产品
  • 为最终用户提供安全的远程访问以访问公司信息
  • 保护云和 SaaS 应用中存储的知识产权并保持合规性
  • 在 SSO 之后获得云和 SaaS 应用的可视性并获得风险评估

Citrix Access Control 帮助 IT 和安全管理员管理授权的最终用户访问认可的 SaaS 和企业托管 Web 应用程序。用户身份和属性用于确定访问权限,Access Control 策略确定执行操作所需的权限。

AC-Image-2

Citrix 访Access Control 的集成带来以下优势:

  • 通过单点登录到 SaaS 应用程序和托管应用程序实现的无缝用户体验: 此功能成功完成了 Workspace 应用程序和网关服务的结合

  • 通过有组织的交付和访问 SaaS 应用程序,对 IT 进行更大的控制:为 IT 提供了一种方法,让其轻松地将 SaaS 应用程序分配给员工

  • 通过SaaS 使用策略控制增强安全性:这种新功能被称为云应用程序控制,为 IT 提供了一种对 其向员工提供的 SaaS 应用程序强制执行安全策略的方法

  • 灵活地启用对公共 Internet 内容或未知 SaaS 应用的可控访问,而不会牺牲安全性: 此功能通过 Secure Browser 和 Web 过滤功能相结合,使 Web 站点可以列入白名单/黑名单或呈现在孤立的浏览器中

  • 了解 SaaS 使用情况和用户 Web 活动: 此功能可为 SaaS 和 Web 活动提供 Citrix Analytics 的子集,从而为安全性和合规性提供更高的可见性

Citrix Access Control 和 Citrix Cloud

Citrix Access Control 是 Citrix Cloud 提供的服务之一。要访问这些服务,管理员必须拥有 Citrix 帐户(也称为 Citrix.com 或我的 Citrix 帐户)来管理许可证和访问环境。

Citrix 帐户使用组织 ID (OrgID) 作为唯一标识符。管理员可以通过使用链接到该帐户的用户名或电子邮件地址登录来访问其 Citrix 帐户。https://www.citrix.com 首先,Citrix Cloud 会导航到https://citrix.cloud.com 并创建一个帐户或使用现有 Citrix 帐户登录,以激活云服务的跟踪。

Citrix Cloud 帐户允许管理员对服务拥有广泛的管理访问权限,因此 Citrix 希望创建 Citrix Cloud 帐户的第一个管理员必须根据需要向其他管理员明确授予访问权限,即使其他管理员已经是现有 MyCitrix 帐户的成员。

Citrix Access Control 是一种磁贴和解决方案,包括跨 Citrix Gateway 服务、Web 筛选服务、Secure Browser 服务和 Citrix Analytics 的集成。

AC-Image-3

Access Control: Citrix Access Control 服务提供统一体验,将单点登录、远程访问和内容检查集成到单一解决方案中,实现端到端访问控制。

Access Control 为管理员提供了以下功能:

  • 为最终用户配置多因素身份验证
  • 配置 Workspace 以安全地从任何设备提供对应用的访问权限,从库管理和添加 SaaS 应用程序
  • 配置 Web 筛选以允许/阻止 Web 站点访问最终用户,并将其重定向到 Citrix Secure Browser 服务

分析: Citrix Analytics 跨 Citrix 产品组合收集数据并生成可操作的见解,使管理员能够主动处理用户和应用程序安全威胁,提高应用程序性能并支持持续操作。Citrix Analytics 收集数据并提供以下见解:

  • 安全分析
  • 绩效分析
  • 操作分析

网关: Citrix Gateway 服务提供安全的远程访问解决方案,为已配置的 SaaS 应用程序、异构虚拟应用程序和桌面提供统一的用户体验。使用 Citrix Gateway 服务的 SaaS 应用交付提供了一个简单、安全、强大且可扩展的解决方案来管理应用。在云上交付的 SaaS 应用具有以下优势:

  • 简单的配置-易于操作、更新和使用
  • 单点登录-使用 SSO 轻松登录
  • 不同应用程序的标准模板-流行应用程序的基于模板的配置

Secure Browser: Citrix Secure Browser 服务可隔离 Web 浏览,以保护企业网络免受基于浏览器的攻击。它提供了对互联网托管 Web 应用程序的一致、安全的远程访问,无需用户设备配置。

管理员可以快速推出安全浏览器,提供即时实现价值的时间。通过隔离互联网浏览,IT 管理员可以在不损害企业安全的情况下为最终用户提供安全的互联网访问。

身份和访问管理

身份识别和访问管理定义用于 Citrix Cloud 及其服务产品的管理员和订阅者的身份提供程序和帐户。Citrix Cloud 使用 Citrix 身份提供程序来管理 Citrix Cloud 帐户中的用户的身份信息。管理员可以选择使用 Azure Active Directory 或本地 Active Directory 服务。

要执行管理活动并在 Citrix Cloud 上安装 Citrix Cloud Connector,Citrix 管理员可使用其身份访问 Citrix Cloud。此身份机制为管理员提供使用电子邮件地址和密码的身份验证。此外,管理员还可以使用 My Citrix 凭据登录 Citrix Cloud。

AC-Image-4

订阅者的身份定义了他们在 Citrix Cloud 中有权访问的服务。身份来自从资源位置中的域提供的 Active Directory 域帐户。订阅者可以通过将订阅者分配给库产品来授权从 Citrix Cloud 访问产品。

与 Citrix Cloud 的本地 Active Directory 通信通过高可用 Citrix Cloud Connector 进行。选择使用 Azure Active Directory 服务的组织在管理用户帐户、审核控制和密码策略方面具有更大的灵活性。此外,管理员还可以配置多重身份验证以获得更高级别的安全性。

具有 SaaS 应用增强安全性的 Citrix Access Control

Citrix Cloud 通过 Citrix Gateway 服务向 SaaS 应用程序提供单点登录功能。SSO 为基于 Web 的 SaaS 应用程序 SSO 和发布到 Citrix Workspace 体验用户界面提供了统一的用户体验。要启用单一登录用户体验,SaaS 应用信任 Citrix Gateway 服务提供的 SAML 断言。

启用单点登录 SaaS 应用程序的过程现在只需几个 Web 表单并单击配置页面即可简化。Citrix Gateway Connector 为 Workspace 应用程序用户提供基于 Web 的内部 SaaS 应用程序访问的代理。

参考资料:Citrix Gateway Connector

内容控制

对于大多数组织来说,保护用户数据(SaaS 应用程序用户)是一项具有挑战性的任务。使用 Citrix Access Control 组织将增强的安全策略整合到 SaaS 应用程序中。将 Workspace 应用程序用于桌面时,每个策略都会对嵌入式浏览器执行限制,或在使用 Workspace 应用程序(Web 或移动)时在 Secure Browser 上执行限制。

  • 首选浏览器: 禁用本地浏览器使用,并依赖于嵌入式浏览器引擎(Workspace 应用程序 - 桌面)或 Secure Browser 服务(Workspace 应用程序 - 移动和 Web)
  • 限制剪贴板访问: 禁用应用程序和终端剪贴板之间的剪切/复制/粘贴操作
  • 限制打印: 禁用从应用程序浏览器中打印的功能
  • 限制导航: 禁用下一个/后退浏览器按钮
  • 限制下载: 禁用用户从 SaaS 应用程序中下载的功能
  • 显示水印: 覆盖基于屏幕的水印,显示端点的用户名和 IP 地址。如果用户尝试打印或截取屏幕截图,水印将显示在屏幕上

Citrix Access Control 单点登录,无需增强安全性

AC-Image-5

SL 没有 带有认可的 SaaS 应用程序的 Workspace 应用程序 具有认可 SaaS 应用程序的本地浏览器
1 用户在端点上启动 Workspace 应用程序。 用户在端点上启动 Web 浏览器,连接到 Workspace,并使用本地 Active Directory 或 Azure Active Directory 进行身份验证。
2 Workspace 应用程序连接到工作区并使用本地 Active Directory/Azure Active Directory 进行身份验证。 本地浏览器使用已批准的资源填充。
3 Workspace 应用程序使用批准的资源进行填充。 当用户选择 SaaS 应用程序时,本地浏览器将请求发送到 Workspace,后者从网关服务请求一次性使用的 URL 和推荐的浏览器。
4 Workspace 应用程序将请求发送到工作区,该工作区从网关服务和首选浏览器请求一次性使用的 URL。 本地浏览器启动与网关服务的连接。
5 本地浏览器启动与网关服务的连接。 网关服务从单一登录微服务请求断言。
6 网关服务从单一登录微服务请求断言。 本地浏览器将重定向到显示断言的 SaaS 应用登录页面。
7 本地浏览器将重定向到显示断言的 SaaS 应用登录页面。 SaaS 应用程序联系网关服务以验证断言并对用户进行身份验证。
8 SaaS 应用程序联系网关服务以验证断言并对用户进行身份验证。 经过身份验证后,浏览器和 SaaS 应用程序之间直接进行通信。
9 经过身份验证后,浏览器和 SaaS 应用程序之间直接进行通信。  

Access Control - 单点登录,增强安全性

AC-Image-6

SL 没有 带有认可的 SaaS 应用程序的 Workspace 应用程序 具有认可 SaaS 应用程序的本地浏览器
1 用户在端点上启动 Workspace 应用程序。 用户在端点上启动 Web 浏览器,连接到 Workspace,并使用本地 Active Directory 或 Azure Active Directory 进行身份验证。
2 Workspace 应用程序连接到工作区,并使用本地 Active Directory/Azure Active Directory 进行身份验证。 本地浏览器使用已批准的资源填充。
3 Workspace 应用程序使用批准的资源进行填充。 当用户选择 SaaS 应用程序时,本地浏览器将请求发送到 Workspace,后者从网关服务请求一次性使用的 URL 和推荐的浏览器。
4 Workspace 应用程序将请求发送到工作区,该工作区从网关服务请求一次性使用的 URL。 本地浏览器启动 Secure Browser 连接。
5 嵌入式浏览器启动与网关服务的连接。 Secure Browser 启动与网关服务的连接。
6 网关服务从 Single Sign-On 微服务请求断言,并从 Access Control 服务请求增强的安全策略。 网关服务从 SSO 微服务请求断言,并从 Access Control 服务请求增强的安全策略。
7 嵌入式浏览器将重定向到显示断言的 SaaS 应用登录页面。 Secure Browser 被重定向到显示断言的 SaaS 应用程序登录页面。
8 SaaS 应用程序联系网关服务以验证断言并对用户进行身份验证。 SaaS 应用程序联系网关服务以验证断言并对用户进行身份验证。
9 经过身份验证后,浏览器和 SaaS 应用程序之间直接进行通信。 经过身份验证后,浏览器和 SaaS 应用程序之间直接进行通信。

参考资料:Citrix Access Control 技术简报

上下文访问

大多数 SaaS 应用都可以安全使用,但有时当用户单击 SaaS 应用中的超链接时,它可能会对组织构成安全风险。Web 过滤微服务允许、拒绝或重定向来自用户的超链接请求。

AC-Image-7

SL 没有 具有增强的安全性的 Workspace 应用程序 增强安全性的本地浏览器
1 用户从 SaaS 应用程序中选择超链接。 用户从 SaaS 应用程序中选择超链接。
2 Workspace 应用程序中的嵌入式浏览器将 URL 发送到 Access Control 服务 Secure Browser 将 URL 发送到 Access Control 服务
3 Access Control 服务请求通过 Web 过滤微服务分析 URL Access Control 服务请求通过 Web 筛选微服务分析 URL。
4 对于被阻止的链接,Web 过滤微服务拒绝访问超链接。 对于被阻止的链接,Web 过滤微服务拒绝访问超链接。
5 对于已批准的链接,Web 过滤微服务允许用户使用嵌入式浏览器访问链接。 对于已批准的链接,Web 筛选微服务允许用户在其当前 Secure Browser 服务会话中以新选项卡访问链接。
6 对于重定向的链接,Web 筛选微服务使 Workspace 应用程序将链接发送到 Secure Browser 服务,该服务为最终用户启动新的虚拟浏览器会话。 对于重定向的链接,Web 筛选微服务允许用户在其当前 Secure Browser 服务会话中以新选项卡访问链接。

Web 过滤概述

Web 过滤通过使用 URL 中包含的信息提供基于策略的网站控制。这有助于网络管理员监视和控制用户对网络上恶意网站的访问。

此服务版本启用了访问 SaaS 应用程序和 Internet 的 Citrix Workspace 应用程序的 Web 筛选,以及访问 SaaS 和 Internet 的 Citrix Secure Browser 的 Web 筛选。

AC-Image-8

Citrix Access Control 管理员可以阻止和允许 URL 列表。Web 过滤 Controller 使用分类数据库和 URL 列表。当请求发送到 Web 筛选 Controller 时,它首先会检查全局允许列表,该列表也包含关键的 Citrix Cloud URL。然后它涉及到列表和分类,并验证与阻止和允许以及重定向到 Secure Browser URL。如果没有一个 URL 匹配,则默认情况下它会回退到默认列表。

Citrix Access Control 和 Citrix Analytics

Citrix Analytics 服务是一种基于云的服务,通过在 Citrix 产品组合中收集数据来促进务实的见解。Citrix Access Control 组织并生成有关用户活动的信息,例如访问过的网站以及所花费的带宽。Citrix Access Control 还通过查看带宽消耗情况并报告来监视恶意软件和网络钓鱼站点。管理员可以通过使用这些关键指标来监视网络来采取纠正措施。

Citrix Analytics 可轻松与 Citrix Access Control、Citrix Gateway 服务及其他 Citrix 产品组合产品集成。Citrix Analytics 提供了对用户行为的全面见解。它使用机器学习算法来检测异常用户行为、对用户会话进行故障排除以及使用 Citrix 产品查看组织中用户的操作指标。

Citrix 服务和产品将数据发送到 Citrix Analytics(称为数据源)。这些与 Citrix Cloud 帐户关联的数据源将由 Citrix Analytics 服务自动发现。Citrix Cloud 日志安全传输到 Citrix Analytics。日志从 Citrix 访Access Control 收集,并与数据源分开维护。

AC-Image-9

Citrix Access Control 服务提供安全和操作控制板。在安全性下,它提供用户的风险配置文件、用户执行的用户访问摘要活动(例如访问的 URL 或域)以及使用的带宽。应用程序访问总结了用户访问的域、URL 和应用程序的详细信息。

参考资料:Citrix Access Control 和 Analytics

AC-Image-10

Citrix 管理员可以在 Citrix Analytics 上创建规则,以便在发生异常或可疑活动时对用户帐户执行操作。规则是执行操作必须满足的一组条件。规则可以包含单个条件和一个或多个操作。“风险评分”和“风险评分变化”等条件是全球条件。全局条件可应用于特定数据源的特定用户。

管理员通过应用下面列出的条件创建一个规则,以根据用户的活动采取措施:

  • **尝试访问列入黑名单的 URL。 **表示尝试访问列入黑名单的 URL。
  • 存在**风险的网站访问。 **表示用户试图访问恶意、可疑或有风险的网站。
  • **不寻常的下载量。 **指示用户从应用程序或 Web 站点下载的数据量已超过 Citrix Analytics 隐式定义的阈值。
  • **不寻常的上传卷。 **指示用户从应用程序或 Web 站点上载的数据量已超过 Citrix Analytics 隐式定义的阈值。

参考资料:Access Control 和 Analytics

Citrix Access Control 最终用户体验

Citrix 管理员有权在 Citrix Access Control 的帮助下扩展安全控制。Citrix Workspace 应用程序是安全访问所有资源的入口点,最终用户可以通过 Citrix Workspace 应用程序访问虚拟应用程序、桌面、SaaS 应用程序和文件。 使用 Citrix Access Control,管理员将能够控制最终用户如何通过 Citrix Workspace 体验 Web UI 或本机 Citrix Workspace 应用程序客户端访问 SaaS 应用程序。

有关更多信息,请参阅Citrix Workspace 应用程序 参考体系结构

使用 Workspace 应用程序和 Web 门户的最终用户体验

AC-Image-11

AC-Image-12

当用户在终端上启动 Workspace 应用程序时,用户将看到其应用程序、桌面、文件和 SaaS 应用程序。如果用户在关闭增强的安全性时单击 SaaS 应用程序,则应用程序将在本地安装的标准浏览器中打开。如果管理员已启用增强安全性,则 SaaS 应用程序会在 Workspace 应用程序中的嵌入式浏览器上打开。 对 SaaS 应用程序和 Web 应用程序中超链接的可访问性根据 Web 筛选策略进行控制。

同样,使用 Workspace Web 门户,当增强安全性时,关闭 SaaS 应用程序将通过本机安装的标准浏览器打开。启用增强的安全性后,SaaS 应用程序将通过 Secure Browser 打开。用户将能够根据 Web 过滤策略访问 SaaS 应用程序中的网站。

实施 Citrix Access Control

Citrix Access Control 服务是一种基于云的服务。为组织提供以用户为中心的解决方案并遵守策略,Citrix Access Control 起着至关重要的作用。与 Citrix Access Control 一起,还有其他服务可以向最终用户提供统一解决方案。要开始入职和设置 Citrix Access Control 服务,管理员必须在 Citrix Access Control 服务中设置身份验证、配置对 SaaS 应用程序的访问权限并指定内容访问设置。最终用户可以从 Citrix Workspace 应用程序或 Workspace URL 访问服务。

AC-Image-13

Citrix 管理员使用其凭据登录到 Citrix Cloud,并申请 Citrix Access Control 服务。Citrix Access Control 与其他 Citrix 产品组合产品集成,包括 Citrix Gateway、Secure Browser 和 Citrix Analytics。此解决方案为 SaaS 应用提供了安全性。

AC-Image-14

步骤 1: Citrix 管理员在 Citrix Cloud 上配置身份和访问管理。默认情况下,Citrix Cloud 使用 Citrix 身份提供程序来管理 Citrix Cloud 帐户中的所有用户的身份信息。管理员可以选择使用 Azure Active Directory 或本地 Active Directory 服务更改此设置。

步骤 2: Citrix 管理员登录到 Citrix Gateway 服务,以配置单点登录 SaaS 和 Web 应用程序。Citrix Gateway 服务提供了公司环境的安全登录,最终用户可以使用 SAML 单点登录登录应用程序。

从模板向库添加 Web 或 SaaS 应用程序。要了解有关 Citrix Access Control 支持的 SaaS 应用程序列表的详细信息,请访问以下链接

参考资料:Citrix Access Control 服务支持的 SaaS 应用程序

步骤 3: 管理员输入应用程序详细信息,如应用程序名称、URL 和域详细信息。已启用增强型安全策略以防止数据泄露。SaaS 应用程序中的这些策略强制对嵌入式浏览器执行限制,或在使用 Workspace 应用程序(Web 或移动)时在 Secure Browser 上执行限制。

AC-Image-15

步骤 4:启用单点 登录到 Web /SaaS 应用程序以便发布: Citrix Gateway 服务(仅限云服务)提供单点登录到 SaaS 应用程序。要启用单一登录 SaaS 应用程序,现在只需几个 Web 表单即可简化,单击配置页面即可大大简化部署过程。管理员可以利用网关连接器将内部基于 Web 的 SaaS 应用程序访问代理到外部 Workspace 应用程序用户。

在 Citrix Cloud 的“库”部分下,将发布 SaaS 和 Web 应用程序。管理员必须从选择域添加用户,只有订阅的用户才能通过 Workspace 应用程序或 Workspace Web 访问应用程序。

Step5: 筛选网站列表: 为了保护企业网络免受基于浏览器的攻击,Citrix Access Control 包含了 Web 筛选服务。基于策略,Web 筛选服务允许、拒绝或重定向来自用户的超链接请求,如下所示:

允许: 请求链接被认为是安全的,并且允许在 Workspace 应用程序的嵌入式浏览器中访问该链接。

阻止: 超链接被认为是危险的,访问被拒绝。

重定向: 管理员通过 Secure Browser 服务进行重定向,对可能存在安全威胁的 Web 站点采取预防措施。

步骤 6: 筛选网站类别分类数据库有助于过滤网络流量,控制最终用户访问特定网站,如社交网络、赌博、成人内容、新媒体和购物。类别限制用户访问特定网站和网站类别。

分类预设提供方便的现成模板  
严格 最大限度地减少访问不安全或恶意网站的风险。最终用户仍然可以访问风险非常低的网站。包括大多数商务旅行和社交媒体网站。(133/192 类别)
温和 最大限度地减少风险,同时允许其他类别从不安全或恶意站点暴露的可能性较低。包括大多数商务旅行、休闲和社交媒体网站。(65/192 类别)
宽大 最大限度地提高访问权限,同时仍然控制来自非法和恶意网站的风险。(36/192 类别)
允许所有类别。
自定义虚拟机 配置类别的自定义筛选。

参考资料:Citrix Access Control 类别列表

Citrix Workspace 应用程序可为用户在任何设备上提供出色的体验(安全、上下文、统一的工作区)。用户通过单点登录获得无缝、安全地访问他们需要的所有应用程序,以提高工作效率。

要验证配置,最终用户可从 Citrix Workspace 应用程序(或 Citrix Workspace Web)启动 SaaS 应用程序。此外,用户可以通过访问 URL 来验证允许/阻止在网站过滤列表中添加的网站。Citrix Workspace 应用嵌入式浏览器允许管理员通过增强安全控制功能提供对 SaaS 应用程序的本机访问权限。

要了解有关 Citrix Workspace 应用程序的详细信息,请参阅Citrix Workspace 应用参考体系结构

步骤 7: Citrix Access Control 服务与 Citrix Analytics 集成,以获取有关用户活动的信息,例如访问过的 Web 站点和所占用的带宽。Citrix Analytics 报告威胁检测,例如恶意软件和网络钓鱼站点。

管理员可以登录 Citrix Analytics 云服务并为 Citrix Access Control 创建规则,并在满足条件时应用操作计划。要监视和分析用户行为活动,请在 Citrix Cloud 上为 Citrix Access Control 启用“打开数据处理”功能以进行分析(数据源是指向 Citrix Analytics 发送数据的 Citrix 服务和产品)。

AC-Image-16

Citrix Analytics 服务使用机器学习和人工智能监视用户的活动和行为。Citrix Analytics 的数据源收集自 Workspace 应用程序、Citrix Gateway、Citrix Access Control 和 Secure Browser 服务。

Citrix Access Control 用例

如今,企业正在转向软件即服务 (SaaS) 解决方案来满足业务需求,尽管往往没有采取必要的安全措施或维护应用程序。大多数 SaaS 应用程序安全故障是由用户引起的,而不是由云提供商引起的。本组织必须规范其战略,以解决这些缺陷。

Citrix Access Control 为 SaaS 应用强制执行增强的安全策略(水印、复制粘贴限制、防止下载/上传敏感数据)。它还定义了网站类别和网站的访问政策,以 Web 过滤的形式被阻止/允许。

现有布朗场部署 Citrix Access Control 如何适合
希望采用 Citrix Cloud 服务的组织。 1) Citrix Access Control 提供了适合其环境的合适方案,为最终用户提供 SaaS、SSO 和 Web 筛选功能的安全性。2) 组织寻找内部部署模型 Citrix Gateway 有助于为最终用户提供 SSO 和增强安全性。
已采用 Citrix Gateway 服务的组织。 1) Citrix Cloud 提供了多种基于云的服务,包括 Citrix Access Control、Analytics 和 Secure Browser,为 SaaS 和 Internet 提供安全控制。
已采用第三方 SSO 的组织 1) Citrix Access Control 为 SaaS 应用程序提供精细级别的安全控制,通过基于用户行为的分析最大限度地减少基于 Web 的威胁并自动执行策略。2) 适用于本地和 Citrix Virtual Apps and Desktops 服务的 ICA 代理。

Citrix Access Control 和 Content Collaboration

大多数组织都经历过某种类型的勒索软件或多次网络钓鱼尝试,这些尝试破坏了他们的网络。造成这种威胁的根本原因往往是因为对网络威胁的保护不足。缺乏对用户日常访问哪些网站的可见性。

Citrix Access Control 服务使组织能够保护其环境免受基于浏览器的攻击和数据泄漏。当员工从任何设备访问他们的应用程序时,无论他们是在办公室,家庭还是出行的 Citrix Access Control 服务都可以提供整体体体验,将 SSO、双重身份验证、远程访问和 Web 筛选集成到单个解决方案中,以实现端到端访问控制。

AC-Image-17

Citrix Content Collaboration 使用户能够轻松、安全地交换文档。Citrix Content Collaboration 提供了多种工作方式,包括基于 Web 的界面、移动客户端、桌面应用程序以及与 Microsoft Outlook 和 Gmail 的集成。

Citrix Files 是一个文件管理器,提供数据共享和存储、可自定义的使用和设置,以及使用户能够更轻松地协作并从任何设备随时随地完成工作的工具。

上图描述了如何在混合云模型方案中将 Citrix Files SaaS 应用程序交付给最终用户。Citrix Cloud Connector 提供指向 Citrix Cloud 帐户和资源位置的链接。资源位置将包含最终用户的 Active Directory,从而允许用户无缝登录到其 Web 应用程序。

Citrix Gateway 服务提供身份验证、单点登录,并实现快速、安全地交付 Citrix Virtual Apps 和 SaaS 应用程序。最终用户使用其登录凭据登录到公司环境,然后可以使用 SAML 单点登录登录到 Web 应用程序。在 Citrix Gateway 服务管理员上,选择 Web/SaaS 应用程序的模板或定义自己的应用程序参数。例如:

命名应用程序:“Citrix Files”

输入 URL: <https://xxxxx.sharefile.com/>

同样,在 SSO 页面上,确保选择 SAML,前提是已为后端完成了 Citrix Files 的 SAML/SSO 设置。

断言 URL 是:https://xxxxx.sharefile.com/saml/xxxx``

受众:https://xxxxx.sharefile.com``

姓名 ID 格式: 电子邮件地址

姓名编号: 电子邮件

将 SaaS 应用程序添加到 Citrix Cloud 库后,管理员必须管理订阅者并向用户提供 Workspace URL 以便访问。与 Active Directory 结合使用,它可以用作身份提供程序,以允许 SAML 单点登录到各种 Web 和 SaaS 应用程序。

内容控制和上下文访问

在“增强安全”页面上,管理员限制并强制执行策略以保护组织免受敏感数据泄露。它提供了以下选项来应用:

  • 限制剪贴板访问
  • 限制印刷
  • 限制导航
  • 限制下载
  • 水印的显示

要阻止对组织构成安全风险的不需要的网站,Citrix 管理员必须通过添加 URL 列表或选择类别列表来阻止和允许 URL。管理员还可以注意通过安全浏览器重定向 URL。

用户行为和活动

为了监视用户行为和活动,Citrix Access Control 服务与 Citrix Analytics 服务轻松集成。管理员强加预定义的条件,并采取行动计划来减轻风险。

Citrix Access Control 和 Google G Suite

G Suite 是 SaaS 应用程序,这些应用程序可以通过互联网远程访问。G Suite 以前称为 Google 开发的 Google Apps。G Suite 包括 Gmail、Hangouts、日历和 Google+(用于通信);Drive(用于存储);Docs、Sheets、Slides、Forms 和 Sites(用于协作)。它还包括一个应用开发平台,即 App Maker。G Suite 提供了巨大的生产效率优势,但大多数网络的设计并不适当,无法提供移动性和云所需的性能和安全性。

Google Cloud 和 Citrix 使最终用户能够使用先进的解决方案,在以应用为中心、移动优先、多元和混合云世界中提供更高的安全性和卓越的用户体验以及灵活的选择。

G Suite 是市场领先的生产力 SaaS 应用程序,与 Citrix Access Control 集成,使组织能够增强 SaaS 应用程序的可见性和控制,从而防止数据泄露和敏感信息的未经授权的泄露。

最终用户只需通过 Citrix Workspace 应用程序输入 URL 和登录凭据即可访问 G Suite 应用程序。 用户将拥有整个工作区,包括应用程序、桌面和文件,并牢记用户将永远不必输入其他用户名和密码。通过单个接入点交付整个 Workspace,这将提高生产力并简化最终用户的常见工作流程。

AC-Image-18

Citrix Access Control 不仅提供单一登录功能,而且还提供了在任何地方都无法使用的安全控制层。

部署

Citrix Cloud Connector 用于处理资源位置与 Citrix Cloud 之间的所有通信。为了提供高可用性,每个资源位置至少部署两个连接器。资源位置将用作最终用户的 Active Directory,从而允许用户无缝登录到其 G Suite 应用程序。

Citrix Cloud Gateway 服务与 Active Directory 结合使用可以用作身份提供程序,以允许 SAML 单点登录到 G Suite SaaS 应用程序。Citrix Access Control 允许最终用户在 Secure Browser 会话中启动 G Suite SaaS 应用程序,并允许管理员应用五种不同的控制策略。

方案 1: 关闭增强的安全性。当用户在 G Suite 中启动 Gmail 时,它会在标准浏览器中打开它,并且类似地在 Gmail 帐户中的 URL 上使用标准浏览器,而无需任何额外的安全策略或控制。用户可以选择从页面导航、剪切、复制和打印页面。

方案 2: 打开增强的安全性。当用户在 G Suite 中启动 Gmail 时,它会在 Secure Browser 中打开。现在,通过 Citrix Access Control 应用了一层控制功能,最终用户将没有导航栏来远离站点,并且会施加剪切、复制和粘贴限制。除此之外,Citrix Access Control 还提供 URL 筛选功能,可防止访问恶意网站。此外,还可以根据策略将用户重定向到 Secure Browser。

将 Citrix Access Control 与 G Suite SaaS 应用结合使用的优势:

  • 单点登录体验
  • 多因素身份验证
  • G Suite 的增强安全策略
  • G Suite 的 Web 过滤策略
  • 端到端可视性和分析

高级概念

Citrix Gateway SaaS 和 O365 云验证的参考设计

使用 Access Control 验证的参考设计的 Citrix Gateway 服务 SSO

总结

Citrix Access Control 是一种整合解决方案,用于提供安全的数字工作空间。随着数字 Workspace 的变化,大多数组织都在采用 SaaS 和 Web 应用程序。实施协作解决方案将显著提高安全性,并为企业、小型企业和 SaaS 供应商带来好处,因为他们知道他们的数据受到保护。

仅仅保护网络的想法已经不够了。组织必须保护用户和应用程序,以便 Citrix Access Control 提供:

  • 对 SaaS、Web 和虚拟应用程序的整合访问权限
  • 一致的终端用户体验和使用任何端点设备的灵活性
  • 使用分析服务可视化应用流量和威胁检测,帮助应用内控制单点登录以外的 SaaS 应用

来源

此参考体系结构的目标是帮助您规划自己的实施。为了简化这项工作,我们希望为您提供源图,您可以在您自己的详细设计和实施指南中进行调整:源图

引用

访问控制

技术简介

技术见解

在任何地方的任何设备上提供安全的上下文用户访问,而不牺牲 IT 控制