参考架构:Secure Private Access

读者

本文档面向希望探索和采用 Secure Private Access 的 Citrix Cloud 服务的 Citrix 技术专业人员、IT 决策者、合作伙伴和安全顾问。读者必须对 Citrix 产品、安全性和 Citrix Cloud 框架有基本的了解。有关 Citrix Cloud 及其服务的更多信息,请参阅 Citrix Cloud 的官方产品文档。

本文件的目标

本文档提供了 Citrix Secure Private Access 的技术概述和架构,该架构提供对云应用程序的有条件访问和互联网浏览,从而增强了组织的整体安全性和合规性状况。Citrix Secure Private Access 结合了多种 Citrix Cloud 服务的元素,为最终用户和管理员提供集成的体验。

该文档指导管理员使用与多个 Citrix Cloud 服务(包括 Citrix Gateway 服务和安全浏览器服务)集成的 Citrix Secure Private Access 的整合解决方案来交付安全的数字工作空间。为了监视用户的行为和活动,Citrix Secure Private Access 与 Citrix Analytics 服务集成。

安全控制和缓解

在当今的商业世界中,用户数据是最珍贵的商品之一,组织继续从中发现更多价值。组织中发生的大多数违规行为都是由于安全控制不足、授予内部用户的过多权限以及过度依赖基于网络的安全控制。遗憾的是,许多公司未能真正采取安全深入的方法来加强其环境。

组织中的许多 IT 部门都没有解决方案来控制用户访问越来越多的基于 SaaS 的企业级应用程序的访问。除了企业数据可能与非托管 SaaS 应用进行交互带来的安全风险之外,由于登录多个应用,用户的工作效率也会降低。此外,必须记住多个密码通常会导致不良的密码习惯,例如多个站点使用相同的密码。

当今,浏览互联网给企业带来了另一种风险。根据安全专家的说法,大多数攻击都利用网站、浏览器和浏览器插件中的漏洞。作为回应,一些组织甚至完全禁止互联网浏览,这可能会严重影响生产力。

某些 Web 和 SaaS 应用程序需要特定的浏览器版本或插件才能正常运行。在瞬息万变的浏览器环境中,确保企业 Web 和 SaaS 应用程序的可用性很快就是一项资源密集型的支持任务。

许多 IT 部门都没有完全定义的管理 SaaS 应用程序的策略,这导致了巨大的安全和合规性风险。其他人则采用分散的方法,可能导致多点解决方案,例如:

  • 部署单点登录解决方案: 此解决方案有助于简化用户体验,可包括多因素身份验证,但这些解决方案在用户登录后通常不会对应用程序进行精细的策略控制。

  • 部署 Web 过滤以控制或关闭外部浏览: 此解决方案可帮助用户防止访问恶意网站。但是,许多功能都不符合 SaaS 应用程序的安全策略,导致许多客户除了 Web 网关之外还部署了多种解决方案。

  • 为每个 SaaS 应用程序发布浏览器: 使用 Citrix Virtual Apps and Desktops 发布 Web 浏览器是一种久经考验的方法,用于控制对未经批准的 SaaS 应用程序的访问。但是,它确实需要另一个 IT 资源来管理,并且与通过浏览器直接连接到 SaaS 应用程序的用户体验不同。

  • 将对 SaaS 应用程序的管理交给企业内部的部门控制: 这种方法打开了安全和合规性漏洞,错过了了解用户行为和应用程序使用情况的机会,但在资源有限的情况下,它通常是 IT 的默认策略。

与不考虑安全性的传统方法相比,Citrix 想出了一种更好的方法,通过以用户为中心的方法来保护对受批准的 SaaS 和 Web 应用程序的访问。Citrix Workspace 提供对 SaaS、Web 和虚拟桌面及应用程序的上下文和安全访问,减少内部和外部威胁的风险,保护内容协作,并提供用户行为分析和主动安全见解。

AC-Image-1

上图说明了传统的 Citrix 环境,在该环境中,端点通过 Citrix ADC 进行连接以访问其资源。这些资源(包括应用程序、桌面和数据)可以从本地访问,一些外部资源(包括基于 SaaS 的应用程序)可通过 Internet 访问。用户通过Secure Gateway 和 Web 过滤服务安全地访问这些外部资源。

Workspace 应用程序是从任何设备访问资源的单个入口点。它通过采用嵌入式浏览器引擎为最终用户提供独特的功能,并增强了安全性。Workspace 应用程序中的网络引擎可优化网络流量,并为某些应用程序提供 SSL VPN 以及微型 VPN 功能。最终用户通过提供身份识别和访问管理功能的 Citrix ADC 进行连接。

安全监控提供网络内的最终用户行为监控和威胁检测。数据安全包括 DLP 和 IRM,以便在用户使用或共享文件时保持对数据的控制。Citrix Cloud Web 过滤、Citrix Analytics 和 Citrix Gateway 服务提供了一个整合的解决方案,可为最终用户提供安全的数字化工作空间。

Citrix Secure Private Access

Citrix Secure Private Access 结合了通过单点登录 (SSO) 即时安全访问 SaaS 和 Web 应用程序的功能,以及浏览器和基于云的应用程序控件、Web 过滤策略和集成的用户行为分析。Citrix Secure Private Access 通过引入 云应用程序控制 (一组针对 SaaS 和企业 Web 应用程序的增强安全控件,提供对云应用程序的有条件访问并基于管理员管理的访问策略保护用户操作),从而超越了传统的 SSO 功能。该解决方案增强了组织的整体安全性和合规性。由于 SaaS 和 Web 应用程序可以作为 Citrix Workspace 的集成部分与其移动应用程序、虚拟应用程序和桌面一起访问,因此用户的体验将保持无缝和集成。

Citrix Secure Private Access 结合了多种 Citrix Cloud 服务的元素,为最终用户和管理员提供集成的体验。

功能 提供功能的服务/组件
一致的用户界面访问应用程序 工作空间体验/WS 应用程序
SSO 到 SaaS 和 Web 应用程序 Citrix Gateway 服务标准
Web 过滤和分类 网页过滤服务
针对 SaaS 的增强安全策略 云端应用程序控制
安全浏览 安全浏览器服务
网站访问和风险行为的可见性 Citrix Analytics

为什么选择 Citrix Secure Private Access

数据安全的定义是需要确保数据的完整性、机密性和保护公司的知识产权。如今,组织面临着各种挑战,例如:

  • 难以管理且具有不同策略基础体系结构的多点产品
  • 为最终用户提供安全的远程访问以访问公司信息
  • 保护存储在云和 SaaS 应用程序中的知识产权,同时保持合规性
  • 在 SSO 之后获得云和 SaaS 应用的可视性并获得风险评估

Citrix Secure Private Access 可帮助 IT 和安全管理员管理最终用户对经批准的 SaaS 和企业托管的 Web 应用程序的授权访问。用户标识和属性用于确定访问权限,而 Secure Private Access 策略用于确定执行操作所需的权限。

AC-Image-2

Citrix Secure Private Access 的集成带来了以下好处:

  • 通过单点登录 SaaS 和托管应用程序实现无缝的用户体验: 此功能通过 Workspace 应用程序和网关服务的组合提供

  • 通过对 SaaS 应用程序的有组织交付和访问,更好地控制 IT 部门: 为 IT 人员提供了一种轻松地将 SaaS 应用程序分配给员工的方法

  • 通过针对 SaaS 使用的策略控制增强安全性: 称为云应用程序控制,这是一种新功能,为 IT 部门提供了一种在其向员工提供的 SaaS 应用程序上强制执行安全策略的方法。

  • 在不牺牲安全性的前提下,灵活地实现对公共互联网内容或未知SaaS应用程序的受控访问: 此功能是通过安全浏览器服务和Web过滤功能的组合实现的,因此网站可以被列入白名单/黑名单或在隔离的环境中呈现浏览器

  • SaaS 使用情况和用户 Web 活动的可见性: 此功能提供适用于 SaaS 和 Web 活动的 Citrix Analytics 子集,以提高安全性和合规性的可见性

Citrix Secure Private Access 和 Citrix Cloud

Citrix Secure Private Access 是 Citrix Cloud 提供的服务之一。要访问这些服务,管理员必须拥有 Citrix 帐户(也称为 Citrix.com 或 My Citrix 帐户)才能管理许可证和访问环境。

Citrix 帐户使用组织 ID (OrgID) 作为唯一标识符。管理员可以使用与该帐户关联的用户名或电子邮件地址登录 c itrix.com 来访问其 Citrix 帐户。最初,Citrix Cloud 会重定向到 https://citrix.cloud.com 以创建帐户或使用现有 Citrix 帐户登录以激活云服务试用版。

Citrix Cloud 帐户允许管理员对服务拥有广泛的管理访问权限,因此 Citrix 要求创建 Citrix Cloud 帐户的第一个管理员根据需要明确授予其他管理员访问权限,即使另一位管理员已经是现有 MyCitrix 帐户的成员。

Citrix Secure Private Access 是在 Citrix Cloud 控制台上显示为磁贴的解决方案,包括跨 Citrix Gateway 服务、Web 筛选服务、安全浏览器服务和 Citrix Analytics 服务的集成。

AC-Image-3

Secure Private Access: Citrix Secure Private Access 服务提供统一的体验,将单点登录、远程访问和内容检查集成到单个解决方案中,以实现端到端安全私有访问。

Citrix Secure Private Access 为管理员提供以下功能:

  • 为最终用户配置多因素身份验证
  • 配置工作区以安全地提供从任何设备访问应用程序、管理和添加库中的 SaaS 应用程序
  • 配置 Web 筛选以允许/阻止最终用户访问网站,并将其重定向到 Citrix Secure Browser 服务

Analytics: Citrix Analytics 跨 Citrix 产品组合收集数据并生成可操作的见解,使管理员能够主动处理用户和应用程序安全威胁,提高应用程序性能并支持持续操作。Citrix Analytics 收集数据并提供以下见解:

  • Security Analytics
  • Performance Analytics
  • Operations Analytics

网关: Citrix Gateway 服务提供安全的远程访问解决方案,为已配置的 SaaS 应用程序、异构虚拟应用程序和桌面提供统一的用户体验。使用 Citrix Gateway 服务交付的 SaaS 应用程序提供了一种简单、安全、强大且可扩展的解决方案来管理应用程序。云上交付的 SaaS 应用程序具有以下优势:

  • 配置简单:易于操作、更新和使用
  • 单点登录:使用 SSO 轻松登录
  • 适用于不同应用程序的标准模板:基于模板的常用应用程序配置

安全浏览器: Citrix Secure Browser 服务隔离 Web 浏览,以保护企业网络免受基于浏览器的攻击。它提供对互联网托管的 Web 应用程序的一致、安全的远程访问,而无需配置用户设备。

管理员可以快速推出安全浏览器,提供即时实现价值的时间。通过隔离互联网浏览,IT管理员可以在不影响企业安全的前提下为最终用户提供安全的互联网访问。

身份识别和访问管理

身份识别和访问管理定义用于 Citrix Cloud 及其服务产品的管理员和订阅者的身份提供程序和帐户。Citrix Cloud 使用 Citrix 身份提供程序来管理 Citrix Cloud 帐户中的用户的身份信息。管理员可以选择集成 Azure Active Directory 或本地 Active Directory 服务。

要执行管理活动并在 Citrix Cloud 上安装 Citrix Cloud Connector,Citrix 管理员可以使用他们的身份访问 Citrix Cloud 此身份机制为管理员提供使用电子邮件地址和密码的身份验证。此外,管理员还可以使用“我的 Citrix 凭据”登录 Citrix Cloud。

AC-Image-4

订阅者的身份定义该订阅者可以在 Citrix Cloud 上访问的服务。身份来自资源位置内的域提供的 Active Directory 域帐户。订阅者可以通过将订阅者分配给库产品来授权从 Citrix Cloud 访问产品。

与 Citrix Cloud 的本地 Active Directory 通信是通过高度可用的 Citrix Cloud Connector 进行的。选择使用 Azure Active Directory 服务的组织在管理用户帐户、审核控制和密码策略方面具有更大的灵活性。此外,管理员还可以配置多重身份验证以获得更高级别的安全性。

Citrix Secure Private Access 功能增强了 SaaS 应用程序的安全性

Citrix Cloud 通过 Citrix Gateway 服务为 SaaS 应用程序提供单点登录 (SSO) 功能。SSO 为基于 Web 的 SaaS 应用程序 SSO 和发布到 Citrix Workspace 体验用户界面提供了统一的用户体验。要启用单点登录用户体验,SaaS 应用程序信任 Citrix Gateway 服务提供的 SAML 断言。

现在,启用单点登录 SaaS 应用程序的过程已简化为只需几个 Web 表单并单击配置页面。Citrix Gateway 连接器为 Workspace 应用程序用户提供对基于 Web 的内部 SaaS 应用程序访问的代理。

参考: Citrix Gateway 连接器

内容控制

对于大多数组织来说,保护用户数据(SaaS 应用程序用户)是一项艰巨的任务。通过使用 Citrix Secure Private Access,组织可以将增强的安全策略纳入到 SaaS 应用程序中。每项策略在使用适用于桌面的 Workspace 应用程序时对嵌入式浏览器实施限制,或在使用适用于 Web 或移动设备的 Workspace 应用程序时对安全浏览器实施限制。

  • 首选浏览器: 禁用本地浏览器使用,并依赖于嵌入式浏览器引擎(Workspace 应用程序 - 桌面)或 Secure Browser 服务(Workspace 应用程序 - 移动和 Web)
  • 限制剪贴板访问: 禁用应用程序和端点剪贴板之间的剪切/复制/粘贴操作
  • 限制打印: 禁用从应用程序浏览器中打印的功能
  • 限制导航: 禁用下一个/后退浏览器按钮
  • 限制下载: 禁用用户从 SaaS 应用程序中下载的功能
  • 显示水印: 覆盖基于屏幕的水印,显示终端的用户名和 IP 地址。如果用户尝试打印或截取屏幕截图,水印将显示在屏幕上显示

无需增强安全性的 Citrix Secure Private Access 单点登录

AC-Image-5

SL NO 带有认可的 SaaS 应用程序的工作空间应用程序 带有认可的 SaaS 应用程序的本地浏览器
1 用户在端点上启动 Workspace 应用程序。 用户在端点上启动 Web 浏览器,连接到工作区,然后使用本地 Active Directory 或 Azure Active Directory 进行身份验证。
2 工作区应用程序连接到工作区并使用本地 Active Directory /Azure Active Directory 进行身份验证。 本地浏览器填充已批准的资源。
3 Workspace 应用程序使用批准的资源进行填充。 当用户选择 SaaS 应用程序时,本地浏览器会将请求发送到 Workspace,Workspace 请求一次性使用的 URL 并将浏览器转发到网关服务。
4 Workspace 应用程序将请求发送到 Workspace,后者从网关服务和首选浏览器请求一次性使用的 URL。 本地浏览器启动与网关服务的连接。
5 本地浏览器启动与网关服务的连接。 网关服务向单点登录微服务请求断言。
6 网关服务向单点登录微服务请求断言。 本地浏览器将重定向到显示断言的 SaaS 应用登录页面。
7 本地浏览器将重定向到显示断言的 SaaS 应用登录页面。 SaaS 应用程序联系网关服务以验证断言并对用户进行身份验证。
8 SaaS 应用程序联系网关服务以验证断言并对用户进行身份验证。 通过身份验证后,浏览器和 SaaS 应用程序之间将直接进行通信。
9 通过身份验证后,浏览器和 SaaS 应用程序之间将直接进行通信。  

Secure Private Access - 单点登录,增强了安全性

AC-Image-6

SL NO 带有认可的 SaaS 应用程序的工作空间应用程序 带有认可的 SaaS 应用程序的本地浏览器
1 用户在端点上启动 Workspace 应用程序。 用户在端点上启动 Web 浏览器,连接到 Workspace,然后使用本地 Active Directory 或 Azure Active Directory 进行身份验证。
2 工作区应用程序连接到工作区并使用本地 Active Directory /Azure Active Directory 进行身份验证。 本地浏览器使用已批准的资源填充。
3 Workspace 应用程序使用批准的资源进行填充。 当用户选择 SaaS 应用程序时,本地浏览器会将请求发送到 Workspace,Workspace 请求一次性使用的 URL 并将浏览器重定向到安全浏览器服务。
4 Workspace 应用程序将请求发送到 Workspace,后者从网关服务请求一次性使用的 URL。 本地浏览器启动 Secure Browser 连接。
5 嵌入式浏览器启动与网关服务的连接。 安全浏览器启动与网关服务的连接。
6 网关服务从单点登录微服务请求断言,并从 Secure Private Access 服务请求增强的安全策略。 Gateway 服务请求来自 SSO 微服务的断言,并向 Secure Private Access 服务请求增强的安全策略。
7 嵌入式浏览器将重定向到显示断言的 SaaS 应用程序登录页面。 安全浏览器将重定向到显示断言的 SaaS 应用程序登录页面。
8 SaaS 应用程序联系网关服务以验证断言并对用户进行身份验证。 SaaS 应用程序联系网关服务以验证断言并对用户进行身份验证。
9 经过身份验证后,浏览器和 SaaS 应用程序之间直接进行通信。 经过身份验证后,浏览器和 SaaS 应用程序之间直接进行通信。

参考: Citrix Secure Private Access 技术简报

上下文访问

大多数 SaaS 应用程序都可以安全使用,但有时当用户单击 SaaS 应用程序中的超链接时,它可能会给组织带来安全风险。Web 过滤微服务允许、拒绝或重定向来自用户的超链接请求。

AC-Image-7

SL NO 增强安全性的工作区应用程序 安全性增强的本地浏览器
1 用户从 SaaS 应用程序中选择超链接。 用户从 SaaS 应用程序中选择超链接。
2 Workspace 应用程序中的嵌入式浏览器将 URL 发送到 Secure Private Access 服务。 Secure Browser 将 URL 发送到 Secure Private Access 服务。
3 Secure Private Access 服务请求 Web 过滤微服务对 URL 进行分析。 Secure Private Access 服务请求 Web 过滤微服务对 URL 进行分析。
4 对于被阻止的链接,Web 过滤微服务拒绝对超链接的访问。 对于被阻止的链接,Web 过滤微服务拒绝对超链接的访问。
5 对于已批准的链接,Web 过滤微服务允许用户使用嵌入式浏览器访问链接。 对于已批准的链接,Web 过滤微服务允许用户在其当前安全浏览器服务会话中以新选项卡的形式访问该链接。
6 对于重定向链接,Web 筛选微服务让 Workspace 应用程序将链接发送到安全浏览器服务,这将为最终用户启动新的虚拟浏览器会话。 对于重定向链接,Web 过滤微服务允许用户在其当前安全浏览器服务会话中以新选项卡的形式访问该链接。

Web 筛选概述

Web 过滤通过使用 URL 中包含的信息提供基于策略的网站控制。此功能可帮助网络管理员监视和控制用户对网络上的恶意 Web 站点的访问。

此服务版本为访问 SaaS 应用程序和互联网的 Citrix Workspace 应用程序启用 Web 筛选,以及访问 SaaS 应用程序和互联网的 Citrix Secure Browser。

AC-Image-8

Citrix Secure Private Access 管理员可以阻止和允许 URL 列表。Web 过滤控制器使用分类数据库和 URL 列表。当请求发送到 Web 筛选 Controller 时,它首先会检查全局允许列表,该列表也包含关键的 Citrix Cloud URL。然后是列表和分类,并检查阻止、允许和重定向到安全浏览器 URL。如果没有一个 URL 匹配,则默认情况下它会回退到默认列表。

Citrix Secure Private Access 和 Citrix Analytics

Citrix Analytics 服务是一种基于云的服务,通过在 Citrix 产品组合中收集数据来促进务实的见解。Citrix Secure Private Access 组织并生成有关用户活动的信息,例如访问的网站和占用的带宽。Citrix Secure Private Access 还会通过调查带宽消耗情况和报告来监控恶意软件和网络钓鱼站点管理员可以利用这些关键指标来监控网络,从而采取纠正措施。

Citrix Analytics 可轻松与 Citrix Secure Private Access、Citrix Gateway 服务和其他Citrix 产品组合产品集成。Citrix Analytics 提供了对用户行为的全面见解。它使用机器学习算法来检测异常用户行为、对用户会话进行故障排除以及查看使用 Citrix 产品的组织中用户的操作指标。

Citrix 服务和产品向 Citrix Analytics(称为数据源)发送数据。与 Citrix Cloud 帐户关联的数据源由 Citrix Analytics 服务发现。Citrix Cloud 日志安全传输到 Citrix Analytics。这些日志是从 Citrix Secure Private Access 收集的,与数据源分开维护。

AC-Image-9

Citrix Secure Private Access 服务提供安全和操作仪表板。安全控制面板提供用户风险配置文件和用户访问活动摘要,例如访问的 URL 或域以及使用的带宽。应用程序访问总结了用户访问的域、URL 和应用的详细信息。

参考: Citrix Secure Private Access 和分析

AC-Image-10

Citrix 管理员可以在 Citrix Analytics 上创建规则,以便在发生异常或可疑活动时对用户帐户执行操作。规则是运行操作必须满足的一组条件。规则可以包含单个条件和一个或多个操作。诸如“风险评分”和“风险评分变化”之类的条件是全球性条件。全局条件可应用于特定数据源的特定用户。

管理员通过应用如下所示的条件,根据用户的活动创建规则:

  • 尝试访问列入黑名单的 URL 表示尝试访问列入黑名单的 URL。
  • 存在风险的网站访问 表示用户试图访问恶意、可疑或有风险的网站。
  • 异常下载量 表示用户从应用程序或网站下载的数据量已超过 Citrix Analytics 隐式定义的阈值。
  • 异常上载量 表示用户从应用程序或网站上载的数据量已超过 Citrix Analytics 隐式定义的阈值。

参考:Secure Private Access 和分析

Citrix Secure Private Access 最终用户体验

Citrix 管理员有权在 Citrix Secure Private Access 的帮助下扩展安全控制。Citrix Workspace 应用程序是安全访问所有资源的入口点,最终用户可以通过 Citrix Workspace 应用程序访问虚拟应用程序、桌面、SaaS 应用程序和文件。借助 Citrix Secure Private Access,管理员能够控制最终用户如何通过 Citrix Workspace Experience Web UI 或本机 Citrix Workspace 应用程序客户端访问 SaaS 应用程序。

有关更多信息,请参阅 Citrix Workspace 应用程序 参考体系结构

最终用户使用 Workspace 应用程序和 Web 门户体验

AC-Image-11

AC-Image-12

当用户在终端上启动 Workspace 应用程序时,他们会看到自己的应用程序、桌面、文件和 SaaS 应用程序。如果用户在关闭增强安全功能时单击 SaaS 应用程序,则该应用程序将在本地安装的标准浏览器中打开。如果管理员已开启增强安全性,则 SaaS 应用程序将在 Workspace 应用程序的嵌入式浏览器中打开。SaaS 应用程序和 Web 应用程序中超链接的可访问性是根据 Web 过滤策略进行控制的。

同样,使用Workspace Web门户,当增强安全性关闭时,SaaS应用程序将通过本地安装的标准浏览器打开。启用增强的安全性后,SaaS 应用程序将通过 Secure Browser 打开。用户可以根据 Web 过滤策略访问 SaaS 应用程序中的网站。

实施 Citrix Secure Private Access

Citrix Secure Private Access 服务是一项基于云的服务。为了向组织提供以用户为中心的解决方案并遵守策略,Citrix Secure Private Access 发挥着至关重要的作用。除了 Citrix Secure Private Access 外,还有其他服务可以为最终用户提供整合的解决方案。要开始使用和设置 Citrix 安全专用访问服务,管理员必须在 Citrix Secure Private Access 服务中设置身份验证、配置对 SaaS 应用程序的访问权限并指定内容Citrix Secure Private Access 设置。最终用户可以从 Citrix Workspace 应用程序或 Workspace URL 访问服务。

AC-Image-13

Citrix 管理员使用其凭据登录 Citrix Cloud,然后请求 Citrix Secure Private Access 服务。Citrix Secure Private Access 与其他 Citrix 产品组合产品集成,包括 Citrix Gateway、安全浏览器和 Citrix Analytics。此解决方案为 SaaS 应用提供了安全性。

AC-Image-14

步骤 1: Citrix 管理员在 Citrix Cloud 上配置身份识别和访问管理。默认情况下,Citrix Cloud 使用 Citrix 身份提供程序来管理 Citrix Cloud 帐户中所有用户的身份信息。管理员可以灵活地更改和使用 Azure Active Directory 或本地 Active Directory 服务。

步骤 2: Citrix 管理员登录 Citrix Gateway 服务,为 SaaS 和 Web 应用程序配置单点登录。Citrix Gateway 服务提供对公司环境的安全登录,最终用户在该环境中使用 SAML 单点登录登录应用程序。

从模板向库添加 Web 或 SaaS 应用程序。要了解有关 Citrix Secure Private Access 支持的 SaaS 应用程序列表的更多信息,请参阅 Citrix Secure Private Access 服务支持的 SaaS 应用程序

第 3 步: 管理员输入应用程序详细信息,例如应用程序的名称、URL 和域详细信息。可以启用增强的安全策略以防止数据泄露。当将 Workspace 应用程序用于桌面版时,SaaS 应用程序中的这些策略会对嵌入式浏览器实施限制;在使用 Workspace 应用程序 Web 或移动设备时,在安全浏览器上强制实施限制。

AC-Image-15

步骤 4: 为 Web /SaaS 应用程序启用单点登录: Citrix Gateway 服务(仅限云服务)为 SaaS 应用程序提供单点登录。现在,为 SaaS 应用程序启用单点登录已简化为只需几个 Web 表单并单击配置页面,这极大地简化了部署过程。管理员可以应用网关连接器将内部基于 Web 的 SaaS 应用程序访问权限代理给外部 Workspace 应用程序用户。

在 Citrix Cloud 的 部分下,SaaS 和 Web 应用程序将发布。管理员必须在选择域后添加用户,并且只有订阅的用户才能通过 Workspace 应用程序或 Workspace Web 访问应用程序。

步骤 5: 筛选网站列表: 为保护企业网络免受基于浏览器的攻击,Citrix Secure Private Access 包含了 Web 过滤服务。根据这些策略,Web 过滤服务允许、拒绝或重定向来自定义的用户的超链接请求:

允许: 请求链接被认为是安全的,并且允许在 Workspace 应用程序的嵌入式浏览器中进行访问。

阻止: 超链接被认为是危险的,访问被拒绝。

已重定向: 管理员通过安全浏览器服务重定向存在安全威胁的 Web 站点,采取预防措施。

第 6 步: 筛选网站类别。分类数据库有助于过滤控制最终用户访问特定网站(例如社交网络、赌博、成人内容、新媒体和购物)的 Web 流量。类别限制用户访问特定网站和网站类别。

分类预设提供了便捷的开箱即用模板  
严格 最大限度地减少访问不安全或恶意网站的风险。最终用户仍然可以低风险访问网站。包括大多数商务旅行和社交媒体网站。(133/192 类别)
温和 最大限度地降低风险,同时允许其他类别暴露于不安全或恶意站点的可能性较低。包括大多数商务旅行、休闲和社交媒体网站。(65/192 类别)
宽大 最大限度地提高访问权限,同时仍然控制来自非法和恶意网站的风险。(36/192 类别)
允许所有类别。
自定义虚拟机 配置类别的自定义筛选。

参考: Citrix Secure Private Access 类别列表

Citrix Workspace 应用程序可为用户在任何设备上提供出色的体验(安全、上下文、统一的工作区)。通过单点登录,用户可以无缝、安全地访问提高工作效率所需的所有应用程序。

要验证配置,最终用户可从 Citrix Workspace 应用程序(或 Citrix Workspace Web)启动 SaaS 应用程序。此外,用户可以通过访问 URL 来验证允许/阻止在网站过滤列表中添加的网站。Citrix Workspace 应用程序的嵌入式浏览器允许管理员通过增强的安全控制来提供对 SaaS 应用程序的本机访问权限。

要了解有关 Citrix Workspace 应用程序的更多信息,请参阅 Citrix Workspace 应用程序参考体系结构

步骤 7: Citrix Secure Private Access 服务与 Citrix Analytics 集成,以获取有关用户活动的信息,例如访问的网站和消耗的带宽。Citrix Analytics 会报告检测到的威胁,例如恶意软件和网络钓鱼

管理员可以登录 Citrix Analytics 云服务并为 Citrix Secure Private Access 创建规则,然后在满足条件时应用行动计划。要监视和分析用户行为活动,请为 Citrix Secure Private Access 启用“开启数据处理”,以便在 Citrix Cloud 上进行分析(数据源是向 Citrix Analytics 发送数据的 Citrix 服务和产品)。

AC-Image-16

Citrix Analytics 服务使用机器学习和人工智能监控用户的活动和行为。Citrix Analytics 的数据源来自 Workspace 应用程序、Citrix Gateway、Citrix Secure Private Access 和 Secure Browser 服务。

Citrix Secure Private Access 使用案例

如今,组织正在转向软件即服务 (SaaS) 解决方案来满足业务需求,但往往没有采取必要的安全措施或适当维护应用程序。大多数 SaaS 应用程序安全故障是由用户引起的,而不是由云提供商引起的。本组织必须规范其战略,以解决这些缺陷。

Citrix Secure Private Access 对 SaaS 应用程序强制执行增强的安全策略(水印、复制粘贴限制、阻止下载/上载敏感数据等)。它还定义了以 Web 过滤形式阻止/允许的 Web 类别和 Web 站点的访问策略。

现有的棕地部署 Citrix Secure Private Access 如何适应
希望采用 Citrix Cloud 服务的组织。 1) Citrix Secure Private Access 提供适合其环境的解决方案,为最终用户提供 SaaS、SSO 和 Web 过滤功能的安全性。2) 对于需要本地模式的组织,Citrix Gateway 有助于为最终用户提供 SSO 和增强的安全性。
已采用 Citrix Gateway 服务的组织。 1) Citrix Cloud 提供多种基于云的服务,包括 Citrix Secure Private Access、分析和安全浏览器服务,这些服务为 SaaS 和基于互联网的应用程序提供安全控制。
已采用第三方 SSO 的组织 1) Citrix Secure Private Access 为 SaaS 应用程序提供精细级别的安全控制,最大限度地减少基于 Web 的威胁,并通过基于用户行为的分析自动执行策略。2) 本地和 Citrix Virtual Apps and Desktops 服务均支持 ICA 代理。

适用于企业 Web 应用程序的 Citrix Secure Private Access 解决方案

大多数本地客户仍在使用 Web 应用程序,包括 SharePoint、Confluence、Microsoft Office、帮助台应用程序等企业应用程序使用 Citrix Gateway 服务远程交付,并使用 Citrix Secure Private Access 添加必要的安全性。

最终用户使用利用 Citrix Gateway 服务的 Citrix Workspace 访问 Web 应用程序。Citrix Gateway 服务与 Citrix Workspace 安全地结合使用,可为配置的 Web 应用程序提供统一的用户体验。通过不同的服务包,可以使用单点登录和远程访问内部 Web 应用程序。

AC-Image-20

上图显示了使用 Citrix Gateway 连接器应用于本地客户的 Citrix Secure Private Access 解决方案。Citrix Gateway 连接器充当企业 Web 应用程序和 Citrix Workspace 服务之间的桥梁。

具有增强安全性的 Web 应用程序单点登录

用户启动 Citrix Workspace 应用程序并使用本地 Active Directory 服务与 Citrix Workspace 进行连接。Citrix Workspace 应用程序用于启动 Web 应用程序。Citrix Gateway 服务提供推荐的浏览器和链接。来自 Citrix Workspace 应用程序的嵌入式浏览器与 Citrix Gateway 服务建立应用程序连接。此外,通过 Citrix Secure Private Access 服务启用增强的安全策略。此外,Citrix Gateway 服务还会从资源位置与网关连接器建立出站连接。它会验证登录凭据,Citrix Workspace 应用程序保护与内部 Web 应用程序的端到端连接。

如果用户使用的是本地浏览器,则通过 Active Directory 服务进行身份验证,本地浏览器将与安全浏览器服务建立安全连接。增强的安全策略是通过 Secure Private Access 服务启用的。然后在网关连接器和 Citrix Gateway 关服务之间建立安全的出站通道。接下来,协商用户凭据并代表用户建立单点登录。最后,通过安全浏览器为用户找到端到端连接。

参考: 支持企业 Web 应用程序

适用于 Web 应用程序的 Citrix Secure Private Access 单点登录

云中的 Citrix Gateway 连接器和 Citrix Gateway 服务可保护与本地应用程序的通信。使用无 VPN 的连接通过 Workspace 访问和交付 Web 应用程序。管理员必须在 Web 应用程序配置期间选择单点登录方法。

这四种类型的 SSO 可以通过 Citrix Gateway 服务进行配置:

  • 基于表单
  • 基本 SSO
  • Kerberos
  • SAML (TP)

AC-Image-21

基于表单的身份验证

1) Citrix Gateway 服务在 Citrix Gateway 连接器之间建立安全通道,并使用登录凭据发送 Web 应用程序请求

2) Citrix Gateway 连接器向相应的 Web 应用程序提交登录凭据

3) 通过 Citrix Gateway 服务在 Web 应用程序和 Citrix Workspace 应用程序之间建立端到端安全连接

基本 SSO 身份验证

1) Citrix Gateway 服务在 Citrix Gateway 连接器之间创建安全通道,并使用用户名和密码发送 Web 应用程序请求

2) Citrix Gateway 连接器将登录凭据提交到 Web 应用程序的登录页面

3) Web 应用程序请求使用 NTLM 协议进行身份验证

4) Citrix Gateway 连接器使用用户名和密码响应 NTLM 请求

5) 通过 Citrix Gateway 服务在 Web 应用程序和 Citrix Workspace 应用程序之间建立端到端安全连接

Kerberos 身份验证

1) Citrix Gateway 服务在 Citrix Gateway 连接器之间创建安全通道,并使用用户名和密码发送 Web 应用程序请求

2) Citrix Gateway 连接器将登录凭据提交到 Web 应用程序的登录页面

3) Web 应用程序请求使用 Kerberos 协议进行身份验证

4) Citrix Gateway 连接器联系域控制器以验证登录凭据

5) 域控制器验证用户凭据并确认

6) Citrix Gateway 连接器将应用程序转发回 Web 应用程序

7) 在 Citrix Web 应用程序和 Citrix Workspace 应用程序之间使用单点登录网络应用程序通过 Citrix Gateway 服务建立端到端安全连接

要启用 Kerberos 单点登录功能,管理员需要使用受信任的服务帐户的凭据来配置 Gateway Connector,以执行 Kerberos 约束委派。

用户可能会尝试访问对企业造成严重损害的恶意网站。此外,它们可能违反企业法规和政策。要解决这些问题,管理员可以采用 Citrix Secure Private Access 来筛选对其组织构成风险的风险网站。还可以在整个会话中添加包含用户名和 IP 地址的水印。

参考: 支持企业 Web 应用程序

Citrix Secure Private Access 应用程序保护策略

用户的登录凭据被盗是很常见的,但用户可能没有意识到这一点。网络犯罪分子使用各种技术来捕获最终用户数据,一种常见的技术是使用键盘记录器恶意软件来捕获用户数据。这些恶意软件产品可以很容易地安装在用户计算机上,并立即开始尝试获取用户信息。用户信息的泄露可能对组织和用户造成重大损害。为了克服这个问题,该组织必须投入大量资金来保护用户数据,并创建防御键盘记录者的防御屏障。

与键盘记录器相似的是捕获屏幕截图的应用程序。这些恶意程序通过制作用户桌面的屏幕截图来捕获屏幕上显示的信息。

用户端可以在用户端安装各种类型的软件,以克服用户桌面的图像抓取。但这可能会导致用户桌面和环境的性能降低。

Citrix Secure Private Access 具有用于保护企业数据的高级策略。对于任何组织来说,端点安全都是一个重要的安全考虑因素,因为大多数违规行为都发生在用户端点。应用程序保护策略是为 SaaS 应用程序启用增强安全性时应用的规则。客户可以使用两种高级安全策略:

  • 反键盘记录

  • 防屏幕捕获

AC-Image-22

Citrix 应用程序保护策略通过 Citrix Secure Private Access 解决方案启用。好处如下:

  • 防止键盘记录和屏幕捕获
  • Citrix 管理员的集中管理
  • 与设备安全态势无关

应用程序保护策略从 Windows 版 1912 开始,在 Citrix Workspace 应用程序中构建,但管理员必须启用此功能。

参考: 应用程序保护策略

使用 Citrix Secure Browser 保护用户免受危险的互联网浏览风险

Web 浏览器是活动生产环境不可或缺的部分。它们是功能强大、数据丰富的工具,比工作环境中的任何其他应用程序都更容易暴露在互联网上。在过去的几年中,网络犯罪分子利用网络浏览器获取大量用户信息,包括信用卡数据、电子邮件ID和存储的密码。

基于浏览器的攻击之所以盛行,并不是因为它们是战略上可取的黑客攻击目标,而是因为基于浏览器的攻击很难被发现。传统的安全控制措施无法检测到此类攻击,因为这些应用程序只会仔细检查下载的文件和附件。因此,基于浏览器的攻击往往被忽视。

Citrix Secure Browser 服务隔离 Web 浏览,以保护客户生产环境免受基于浏览器的攻击。Citrix Workspace 应用程序或本地浏览器是 Citrix 生产环境的入口点。Citrix Secure Browser 隔离互联网浏览,因此网站不会将任何浏览数据直接传输到用户设备或从用户设备传输任何浏览数据。通过使用它,安全管理员可以在不降低企业安全性的情况下提供安全的互联网访问。

Citrix Secure Browser 服务是由 Citrix 管理和运营的 SaaS 产品。它允许通过云中托管的中间 Web 浏览器访问 Web 应用程序。使用 Citrix Secure 服务时,托管的 Web 浏览器会跟踪用户的浏览历史记录并执行 HTTP/HTTPS 请求的缓存。Citrix 使用强制配置文件,并确保在浏览会话结束后删除该会话的数据。

可以使用兼容 HTML5 的 Web 浏览器访问安全浏览器服务。没有用户必须下载的客户端。最终用户浏览器和 Citrix Cloud 服务之间的所有流量均使用行业标准 TLS 加密进行加密,并且仅支持 TLS 1.2。

AC-Image-23

上图显示了 Citrix Secure Private Access 解决方案的集成,包括适用于云和本地 Citrix 环境的 Citrix Secure Browser 服务。拥有本地 StoreFront 的 Citrix Virtual Apps and Desktops 客户可以轻松地与安全浏览器服务集成。

要了解有关使用安全浏览器服务配置 Citrix StoreFront 的更多信息,请点击此 链接

Citrix Secure Private Access 和内容协作

大多数组织都经历过某种勒索软件或网络钓鱼尝试,这些企图破坏了他们的网络。此类威胁的根本原因通常是针对基于 Web 的威胁的保护不足。用户每天访问的网站缺乏可见性。

Citrix Secure Private Access 服务使组织能够保护其环境免受基于浏览器的攻击和数据泄露。当员工从任何设备访问其应用程序时,无论是在办公室、家中还是在旅途中,Citrix Secure Private Access 服务都能提供将单点登录、双因素身份验证、远程访问和 Web 过滤集成到单个解决方案中的聚合体验,以实现端到端安全私有访问。

AC-Image-17

Citrix Content Collaboration 使用户能够轻松、安全地交换文档。使用 Citrix Content Collaboration 作的方法有很多,包括基于 Web 的界面、移动客户端、桌面应用程序以及与 Microsoft Outlook 和 Gmail 的集成。

Citrix Files 是一款文件管理器,提供数据共享和存储、可自定义的用法和设置,以及允许用户更轻松地协作并随时随地通过任何设备完成工作的工具。

上图描述了在混合云模型场景中将 Citrix Files SaaS 应用程序交付给最终用户。Citrix Cloud Connector 提供指向 Citrix Cloud 帐户和资源位置的链接。资源位置包含面向最终用户的 Active Directory,允许他们无缝登录其 Web 应用程序。

Citrix Gateway 服务提供身份验证、单点登录,并支持快速、安全地交付 Citrix 虚拟应用程序和 SaaS 应用程序。最终用户使用其登录凭据登录到公司的环境,并可以使用 SAML 单点登录登录到 Web 应用程序。在 Citrix Gateway 服务上,管理员可以选择 Web/SaaS 应用程序的模板或定义自己的应用程序参数。例如:

为应用程序命名:“Citrix Files”

输入 URL: https://xxxxx.sharefile.com/

同样,在 SSO 页面上,管理员可以确保已选择 SAML,前提是后端已完成 Citrix Files 的 SAML 或 SSO 设置。

断言 URL 是: https://xxxxx.sharefile.com/saml/xxxx

观众: https://xxxxx.sharefile.com

姓名 ID 格式: 电子邮件地址

姓名 ID: 电子邮件

将 SaaS 应用程序添加到 Citrix Cloud 库后,管理员必须管理订阅者并向用户提供 Workspace URL 以便访问。使用 Active Directory,它可以作为身份提供商,允许 SAML 单点登录到各种 Web 和 SaaS 应用程序。

内容控制和上下文访问

在“增强的安全性”页面上,管理员可以设置策略以保护组织免受敏感数据泄露的影响。它提供以下选项:

  • 限制剪贴板访问
  • 限制打印
  • 限制导航
  • 下载受限
  • 水印的显示

要阻止对组织具有安全风险的不想要的网站,Citrix 管理员必须通过添加 URL 列表或选择类别列表来阻止和允许 URL。管理员也可以采取谨慎的态度,通过安全的浏览器重定向 URL。

用户行为和活动

为了监控管理员的用户行为和活动,Citrix Secure Private Access 服务可以轻松地与 Citrix Analytics 服务集成。管理员施加预定义的条件和行动计划以降低风险。

Citrix Secure Private Access 和 G Suite

G Suite(也称为 Google Workspace)是一组可通过互联网远程访问的 SaaS 应用程序。G Suite 以前被称为 Google 开发的 Google Apps 。G Suite 包括用于交流的 Gmail、环聊和日历;用于存储的 Google Drive;用于协作的 Google 文档、表格、幻灯片、表格和网站。G Suite 具有巨大的工作效率优势,但大多数网络的设计都无法提供移动性和云使用案例所需的性能和安全性。

借助 Google Cloud 和 Citrix,最终用户能够加快采用开创性的解决方案,在以应用为中心、移动优先和混合云环境中提供增强的安全性、卓越的用户体验和急需的灵活性。

G Suite 是一套市场领先的生产力 SaaS 应用程序,可以与 Citrix Secure Private Access 集成,从而提高组织对 SaaS 应用程序的可见性和控制力,从而防止数据泄露和未经授权泄露敏感信息。

最终用户只需在 Citrix Workspace 应用程序中输入 URL 和登录凭据即可访问 G Suite 应用程序。用户将拥有包括应用程序、桌面和文件在内的整个工作区,请记住,用户永远不必输入其他用户名和密码。整个工作空间通过单一接入点交付,从而提高了工作效率并简化了最终用户的常见工作流程。

AC-Image-18

Citrix Secure Private Access 不仅提供单点登录功能,而且还提供了其他解决方案所不具备的安全控制层。

部署

Citrix Cloud Connector 用于处理资源位置与 Citrix Cloud 之间的所有通信。为了实现高可用性,每个资源位置至少部署两个连接器。资源位置与 Active Directory 集成,允许最终用户无缝登录其 G Suite 应用程序。

带有 Active Directory 的 Citrix Gateway 服务可以充当身份提供商,允许 SAML 单点登录到 G Suite SaaS 应用程序。Citrix Secure Private Access 允许最终用户在安全浏览器会话中启动 G Suite SaaS 应用程序,还允许管理员应用五种不同的控制策略。

方案 1: 关闭增强的安全性。当用户在 G Suite 中启动 Gmail 时,它会在标准浏览器中打开。同样,在其Gmail帐户中打开的URL使用标准浏览器,没有任何其他安全策略或控制。用户可以自由从页面导航、剪切、复制和打印页面。

方案 2: 打开增强的安全性。当用户在 G Suite 中启动 Gmail 时,它会在 Secure Browser 中打开。现在,通过 Citrix Secure Private Access 应用了一层控制功能,最终用户没有导航栏可以离开站点。此外,还施加了剪切、复制和粘贴限制。除此之外,Citrix Secure Private Access 还提供了 URL 过滤功能,可防止用户访问恶意网站。或者,可以根据策略将用户重定向到安全浏览器。

将 Citrix Secure Private Access 与 G Suite SaaS 应用程序配合使用的好处:

  • 单点登录
  • 多因素身份验证
  • 针对 G Suite 的增强安全策略
  • G Suite 的网页过滤策略
  • 端到端可视性和分析

高级概念

Citrix Gateway SaaS 和 O365 云验证的参考设计

具有 Secure Private Access 验证的 Citrix Gateway 服务 SSO 参考设计

摘要

Citrix Secure Private Access 是用于安全数字工作空间的整合解决方案。随着数字 Workspace 的变化,大多数组织都在采用 SaaS 和 Web 应用程序。实施协作解决方案将显著提高安全性,并为企业、小型企业和 SaaS 供应商带来好处,让他们确信其数据受到保护。

仅仅保护网络的想法已经不够了。组织必须保护用户和应用程序。这就是 Citrix Secure Private Access 提供以下功能的原因:

  • 整合了对 SaaS、Web 和虚拟应用程序的访问
  • 一致的终端用户体验和使用任何端点设备的灵活性
  • 使用分析服务进行应用程序流量可视性和威胁检测,这有助于在单点登录之外对 SaaS 应用进行应用内控制

来源

此参考体系结构的目标是帮助您规划自己的实施。为了使您的工作更轻松,我们希望为您提供源图,您可以将其应用于您自己的详细设计和实施指南中: 源图

引用

Secure Private Access

技术简介

技术见解

在不牺牲IT控制的情况下,随时随地在任何设备上提供安全的上下文用户访问

参考架构:Secure Private Access