参考架构:承包商和临时工的零信任网络访问

概述

CompanyA正在用承包商和临时工来补充其全职员工。通过使用 Citrix,该公司实现了多项生产力优势,因为承包商和临时工可以快速入职,并在最短的设置时间内开始业务项目的工作。此外,由于公司的承包商和临时员工通常是移动的,因此他们使用 Citrix 随时随地通过任何设备访问资源。

CompanyA的承包商和临时工政策提高了员工的效率。但是,该策略创建了一个复杂的交付模式,并引入了安全问题。随着办公室与外界之间的界限继续模糊,CompanyA必须采取某些措施来保护敏感的公司信息。

CompanyA目前使用几种未集成的单点产品进行远程访问。它希望在保护其资源的同时,整合和扩展到全公司范围的零信任网络访问(ZTNA)解决方案。CompanyA 需要采取一种智能、符合情境和自适应的工作空间安全方法,以遵循 Zero Trust 模式保护其承包商、临时工和数据。为此,CompanyA正在开展一项计划,以更新其应用程序交付架构。

概述

CompanyA 之所以选择 Citrix,是因为它在自适应访问、联网、最低权限和数据保护等基础技术方面拥有专业知识。该公司正在使用 Citrix Secure Private Access、Citrix Gateway、Citrix Secure Internet Access Web App 和 API 保护来实施集成的 Citrix 解决方案。该解决方案共同为从承包商和临时员工端点设备访问的 CompanyA 资源提供端到端保护。

此参考架构解释了 CompanyA 保护承包商和临时工访问其数据和应用程序的计划。

成功标准

CompanyA希望使所有承包商和临时工都能在家中和远程地点工作。尽管一些承包商和临时员工目前可以通过VPN访问Web和SaaS应用程序,但CompanyA已经发现了阻碍公司范围部署的几个安全挑战。因此,CompanyA 正在实施一种无 VPN 的方法。

CompanyA 必须缓解针对应用程序和在终端上载输、正在使用和静态的数据的安全威胁。在仔细考虑了其安全和IT要求之后,CompanyA决定为合同工和临时工实施托管端点部署模型。由于承包商和临时员工将访问敏感的应用程序和数据,因此他们将被配置为需要额外安全措施的托管公司端点。CompanyA的安全策略要求托管端点安装了安全软件代理,才能获得对公司资源的访问权限。

CompanyA已启动一项三重计划,以保护承包商和临时工端点访问的企业资源。为了取得成功,CompanyA为该计划制定了一系列成功标准。这些标准构成了总体设计的基础。

保护访问权限

CompanyA必须保护承包商和临时工进入其工作环境。公司必须创建一种无缝访问所有应用程序和数据的安全模式。访问必须安全、简单且灵活,以便在任何地点工作。

CompanyA已决定其安全策略是摆脱传统的“城堡和护城河”的访问和安全方法。它采用的是零信任方法,而不是使用传统的基于设备的解决方案,例如假定承包商和临时工是信任的VPN。

CompanyA专注于保护承包商和临时工的通道,它确定了成功设计的以下标准:

成功标准 说明 解决方案
屏蔽非托管设备 尝试使用非托管设备访问 Citrix Workspace 的承包商和临时员工不得访问任何受制裁的资源 Citrix Application Delivery Controller (ADC)-nFactor 策略和端点分析
自适应访问 Web 和 SaaS 应用程序 使用 Citrix Secure Private Access 权限对 Web 和 SaaS 应用程序进行自适应访问,以确定正确的访问级别 Citrix Secure Private Access
自适应访问客户端-服务器(虚拟)应用程序 使用 Citrix Secure Private Access 和 Citrix DaaS 对客户端服务器(虚拟)应用程序进行自适应访问,以确定正确的访问级别 Citrix Secure Private Access 和 Citrix DaaS
最终用户监视 持续监视和持续评估,以防范潜在威胁。持续监视应用程序是否存在数据泄露以及异常访问时间和位置。 Citrix Analytics
SaaS 应用程序访问 承包商和临时员工必须使用不影响用户体验的强身份验证访问经批准的 SaaS 应用程序 Citrix Secure Private Access
Web 应用程序访问 承包商和临时员工必须使用不影响用户体验的强身份验证访问经批准的内部 Web 应用程序 Citrix Secure Private Access — 零信任网络访问
个人隐私 CompanyA必须确保承包商和临时工的隐私,同时在使用未经批准的网站时仍能保护端点免受潜在威胁 将 Citrix Secure Browser 服务与 Citrix Secure Internet Access 集合使用(对包含个人信息的站点使用“请勿解密”策略)

保护数据

CompanyA必须保护承包商和临时工使用的设备访问的数据。该公司在由本地数据中心、公有云和私有云组成的环境中拥有由应用程序、系统和网络层组成的高度复杂的基础架构。这种蔓延导致了用于保护数据的各种工具和技术的复杂堆栈。

CompanyA正在设计一个整合的云交付安全堆栈,以满足其现代工作场所的需求。通过在整个解决方案中集中数据安全策略,它可以最大限度地减少冗余任务,消除重叠的策略,并允许 IT 跨所有位置保护数据和设备。

在CompanyA专注于保护数据的过程中,它确定了成功设计的以下标准:

成功标准 说明 解决方案
SaaS 和 Web 应用程序安全 必须限制承包商和临时员工从包含财务、个人或其他敏感信息的 SaaS 应用程序下载、打印或复制数据的能力 Citrix Secure Private Access — 安全策略增强安全性
保护免受键盘记录器的侵害 当从承包商和临时员工端点访问公司内部资源时,CompanyA必须保护内部企业资源。端点可能遭到破坏,并安装了键盘记录恶意软件。使用 Citrix Workspace 时必须阻止键盘记录 Citrix Secure Private Access — 具有应用程序保护功能的安全策略
保护免受屏幕刮板的伤害 当从承包商和临时员工端点访问公司内部资源时,CompanyA必须保护内部企业资源。端点可能遭到破坏,并安装了屏幕抓取恶意软件。使用 Citrix Workspace 时必须阻止屏幕抓取 Citrix Secure Private Access — 具有应用程序保护功能的安全策略
远程浏览器隔离 社交媒体网站将在远程浏览器会话中启动 Citrix Secure Browser 服务
网络安全 保护承包商和临时工免受隐藏在电子邮件、应用程序和网站中的潜在互联网威胁,无论身在何处。 Citrix Secure Internet Access-含恶意软件防护的安全策略
保护设备 保护端点和底层基础架构免受恶意软件和零日威胁的侵害 Citrix Secure Internet Access-含恶意软件防护的安全策略
保护数据 保护存储在受制裁和未经批准的应用程序中的数据 Citrix Secure Internet Access — 具有 Web 过滤功能的安全策略
合规性 合规性并保护承包商免受恶意 URL 的 Citrix Secure Internet Access — 具有 Web 过滤功能的安全策略

保护应用程序

CompanyA 必须保护承包商和临时员工端点访问的应用程序。由于该公司将应用程序迁移到云端并使用SaaS应用程序,其攻击面有所增加。CompanyA当前的本地安全网络网关和VPN部署具有严格的安全策略,无法有效保护云中的应用程序。

CompanyA必须使用本地设备和云服务创建混合解决方案,以实现应用程序安全。本地设备可阻止本地应用层和 DDoS 攻击,而基于云的保护服务可防止云中的容量攻击和应用层 DDoS 攻击。

在CompanyA专注于保护应用程序的过程中,它确定了成功设计的以下标准:

成功标准 说明 解决方案
安全访问 当从承包商和临时工设备访问公司内部资源时,CompanyA必须保护公司内部资源。不允许设备直接访问内部网络以帮助防止恶意软件入侵。 Secure Private Access - 无 VPN 访问
SaaS 凭据保护 承包商或临时员工对 SaaS 应用程序的凭据必须包括多重身份验证。 Citrix Secure Private Access — 使用仅 SAML 身份验证的单点登录
SaaS DLP CompanyA 要求其 SaaS 应用程序内联使用 DLP 控件。 将 Secure Browser 服务与 Citrix Secure Internet Access 结合使用
远程浏览器隔离 社交媒体网站将在远程浏览器会话中启动 Citrix Secure Browser 服务
保护网络应用程序 CompanyA 必须在边缘阻止容量 DDoS 攻击,然后才能进入网络。CompanyA 必须同时保护云应用程序和内部应用程序。CompanyA在云托管平台上的多个位置部署了应用程序。它必须保护这些应用程序免受 API 级别的威胁,例如 DDoS 和 Bot 攻击、跨站点脚本和 SQL 注入攻击。 Citrix Web App Firewall
承包商保护受到损害 IT 必须能够快速识别和缓解因承包商或临时工帐户遭到入侵而构成的威胁。IT 必须使用集中式编排功能保护整个威胁面,以提供业务所需的完整安全性。 Citrix Security Analytics

概念体系结构

此架构满足上述所有要求,同时为 CompanyA 在未来扩展到更多用例奠定了基础。

概念体系结构

在较高的层面上:

用户层:用户层描述承包商和临时员工环境以及用于连接到资源的端点设备。

  • 承包商和临时员工端点设备由 CompanyA 使用 Citrix Endpoint Management 进行管理。
  • 承包商和临时工作人员端点设备需要安装 Citrix Workspace 应用程序。
  • 承包商和临时员工端点设备必须在 Workspace 应用程序中启用应用程序保护。
  • Citrix 安全互联网访问代理安装在 Citrix DaaS 基础架构上。

接入层:接入层描述承包商如何对其工作区和辅助资源进行身份验证。

  • 在登录页面出现之前,Citrix Gateway 将验证承包商或临时工作人员设备是否具有设备证书。
  • Citrix Workspace 为所有后续资源提供了主身份验证代理。
  • CompanyA 需要多因素身份验证来提高身份验证安全
  • 环境中的许多授权资源使用的凭据集与用于主 Workspace 身份的凭据不同。CompanyA 将使用每项服务的单点登录功能来更好地保护这些次要身份。
  • 这些应用程序仅允许对 SaaS 应用程序进行基于 SAML 的身份验证。这样可以防止承包商和临时员工直接访问 SaaS 应用程序并绕过安全策略。

资源层:资源层为定义的用户和组授权特定的客户端-服务器(虚拟)、Web 和 SaaS 资源,同时定义与资源关联的安全策略。

  • CompanyA 要求的策略禁止在承包商和临时员工端点设备之间打印、下载、复制和粘贴托管资源中的内容。
  • CompanyA要求承包商和临时工在没有VPN的情况下访问资源。
  • 敏感的 SaaS 应用程序将获得由 Citrix Workspace 应用程序提供的额外保护。如果承包商或临时工作人员终端设备没有可用的应用程序保护,则自适应访问策略会阻止他们启动应用程序。
  • 由于 CompanyA 允许承包商和临时员工端点设备访问内部 Web 应用程序,因此 Citrix Web App Firewall 必须保护资源免受来自潜在受损端点的攻击。

控制层:控制层定义底层解决方案如何根据承包商和临时工的基本活动进行调整。

  • 即使在受保护的 Workspace 资源中,承包商和临时工也可以与不受信任的 Internet 资源进行交互。CompanyA 使用 Secure Internet Access 来保护承包商和临时员工在使用SaaS应用程序、Web应用程序以及虚拟应用程序和桌面时免受外部威胁。
  • 社交媒体网站将使用 Citrix Secure Browser 服务在远程浏览器会话中启动。
  • 如果承包商或临时工必须通过CompanyA资源在其设备上访问个人网站,例如健康和财务,则适当的政策会保护他们的隐私。
  • CompanyA 需要 Security Analytics 服务来识别受感染的承包商和临时工并自动维护安全的环境。

随后的章节将更详细地介绍CompanyA的承包商和临时工保护参考架构的具体设计决策。

访问层

身份验证

如果承包商或临时员工设备未通过端点安全扫描,CompanyA的身份验证策略将拒绝访问。扫描通过检查设备证书来验证设备是否受管理。当设备通过扫描后,承包商和临时工作人员可以登录 Citrix Gateway。CompanyA已经确定,使用用户名和密码提供对资源的访问权限并不能提供足够的安全性,并且需要多重身份验证。承包商和临时工作人员将使用他们的Active Directory 凭据和TOTP令牌进行身份验证。

Citrix Workspace 集成了云端提供的基于时间的一次性密码 (TOTP),可提供多重身份验证。承包商和临时工在 TOTP 服务中注册,并在移动设备上的身份验证器应用程序中创建预共享密钥。承包商或临时员工成功注册到 TOTP 微服务后,他们必须使用令牌以及其 Active Directory 凭据成功向 Citrix Workspace 进行身份验证。

身份验证

请参阅 带有 TOTP 的 Citrix Workspace Active Directory 技术简介 ,了解有关 Active Directory 的充分知识

零信任网络访问

CompanyA 使用 Citrix Secure Private Access 服务和 Citrix DaaS 提供对 SaaS 和内部 Web 应用程序、虚拟应用程序和虚拟桌面的访问权限。这些服务是零信任网络访问解决方案,是传统VPN的更安全的替代方案。

Secure Private Access 服务和 Citrix DaaS 使用 Cloud Connector 的出站控制通道连接。这些连接允许承包商远程访问内部资源。但是,这些联系是:

  • 范围有限,因此只有定义的资源可以访问
  • 基于承包商的主要安全身份
  • 仅适用于禁止网络遍历的特定协议

ZTNA

资源层

资源安全策略

CompanyA希望限制承包商和临时员工端点设备上的数据丢失和数据残留风险。由于CompanyA同时拥有敏感和常规的虚拟、SaaS和Web应用程序,因此它将根据其安全要求应用自适应访问策略。在不同的应用程序类型中,CompanyA加入了许多限制以防止复制、下载或打印数据。

锁定

  • 承包商和临时员工端点设备需要安装 Citrix Workspace 应用程序才能访问公司资源。
  • 带有 Citrix Workspace 应用程序的承包商和临时员工端点设备使用 Citrix Workspace Browser(端点本地的容器化浏览器)使用 Secure Private Access 来启动 SaaS 或 Web 应用程序。
    • Citrix Workspace Browser 创建与 SaaS 应用程序的连接或与内部 Web 应用程序的零信任网络访问连接。
    • Secure Private Access 提供 SSO 并强制执行自适应访问策略(下载、打印、复制和粘贴限制)。
  • 作为回退, 没有 Citrix Workspace 应用程序的承包商和临时员工端点设备使用 Citrix Secure Browser 服务,通过隔离浏览器启动虚拟、SaaS 或 Web 应用程序。
    • Secure Private Access 提供 SSO,并对 Web 和 SaaS 应用程序实施自适应访问策略,例如下载、打印、复制和粘贴限制。
  • 应用程序保护策略使用屏幕抓取和按键记录器限制来保护 Web 和 SaaS 应用程序。
    • CompanyA 将要求针对敏感的 SaaS 和 Web 应用程序制定应用程序保护策略。
    • 如果承包商或临时工作人员端点设备没有可用的应用程序保护,则自适应访问策略会阻止承包商启动应用程序。
  • 为了进一步隔离潜在的恶意 Web 内容并减少 DaaS 环境中的资源消耗,将使用 Citrix Secure Browser 服务在远程浏览器会话中启动社交媒体站点。
  • 当承包商和临时员工访问虚拟应用程序和桌面时,Citrix DaaS 将提供 SSO 并强制执行锁定策略。该服务限制下载、打印以及单向和双向复制和粘贴操作。

CompanyA开发了以下规范性访问模型,以满足其承包商和临时工的安全要求:

类别 SaaS 应用 敏感的 SaaS 应用程序 Web 应用程序 敏感的 Web 应用程序 Virtual Apps and Desktops
剪贴板访问 允许 已拒绝 允许 已拒绝 已拒绝
打印 允许 已拒绝 允许 已拒绝 已拒绝
导航 已拒绝 已拒绝 已拒绝 已拒绝 不适用
下载 允许 已拒绝 允许 已拒绝 已拒绝
水印 已禁用 已启用 已禁用 已启用 已启用
键盘记录预防 已禁用 已启用 已禁用 已启用 已启用
截图预防 已禁用 已启用 已禁用 已启用 已启用

控制层

Web 应用程序和 API 保护

当承包商和临时员工向 Citrix Workspace 进行身份验证时,他们将访问私有的内部 Web 应用程序为了更好地保护本地 Web 应用程序,CompanyA 使用 Citrix Application Delivery Controller 计算机人管理和Web App Firewall 组件。

Application Delivery Controller 的计算机人管理组件检测到计算机人请求并防止其淹没系统。Web App Firewall 可保护面向公众的应用程序免受攻击。这些类型的攻击通常是缓冲区溢出、SQL 注入和跨站脚本。Web App Firewall 检测并拒绝这些攻击影响数据和应用程序。

CompanyA 还使用 Citrix Web App 和 API 保护服务来防止针对非本地网络应用程序的容量攻击和应用程序层 DDoS 攻击。

Citrix Web App and API Protection

Secure Internet Access

当承包商和临时工与 SaaS、Web 和虚拟应用程序和桌面互动时,他们经常访问非公司批准的互联网站点。为了帮助保护承包商和组织,CompanyA 在设计中融入了 Citrix Secure Internet Access 和 Security Analytics。

Citrix Secure Internet Access

任何与公司相关的进出组织内应用程序、桌面和设备库的 Internet 流量都通过 Secure Internet Access 服务进行路由。该服务会扫描任何 URL 以验证其是否安全。特定公共站点中的功能被拒绝或修改。下载内容将自动扫描和验证。

  • 承包商和临时员工端点设备由公司管理,在以下情况下将使用 Citrix Secure Internet Access 代理 Internet 流量:
    • 承包商和临时工访问虚拟应用程序和桌面。DaaS 基础架构安装了 Citrix Secure Internet Access 代理,用于代理和过滤互联网流量。
    • CompanyA 已决定将社交媒体网站重定向到 Citrix Secure Browser 服务,以隔离和卸载来自 DaaS 基础架构的互联网流量。Citrix Secure Internet Access 用作其Secure Web Gateway。

由于许多网站现在都已加密,因此此安全过程的一部分是解密流量和检查。该服务不会解密特定类别的网站,例如金融和健康相关网站,以确保员工的隐私。

在设计互联网安全策略时,CompanyA希望从基线策略开始。随着CompanyA继续评估组织内部的风险,它将酌情放松/加强政策。

默认情况下,所有类别都被解密并允许。CompanyA 在全球范围内应用了以下政策:

类别 更改 原因
金融和投资 不要解密 员工隐私问题
运行状况 不要解密 员工隐私问题
成人内容 阻止 公司政策
药物 阻止 公司政策
文件共享 阻止 公司政策
赌博 阻止 公司政策
非法活动 阻止 公司政策
恶意来源 阻止 公司政策
恶意软件内容 阻止 公司政策
色性/裸体 阻止 公司政策
病毒和恶意软件 阻止 公司政策
暴力/仇恨 阻止 公司政策

请参阅 Citrix Secure Internet Access 技术简报 ,了解有关 Web 过滤和保护功能的其他信息。

摘要

基于上述要求,CompanyA 创建了高级概念架构。一般流程和要求是承包商要求:

  • 通过 Citrix Secure Private Access 对 SaaS 应用程序的受保护访问以及对内部 Web 应用程序的无 VPN 访问
  • 通过 Citrix Secure Private Access 权限被授予对外部或内部资源的访问权限之前的自适应身份验证
  • 通过 Citrix Secure Private Access 对特定资源的零信任访问
  • 通过 Citrix Secure Internet Access 和 Citrix Secure Browser 服务保护来自 Web 应用程序或虚拟应用程序和桌面的 Internet 流量访问。
  • 通过 Citrix Web 应用程序防火墙保护承包商和临时员工端点设备访问的 Web 应用程序

CompanyA 正在使用 Citrix 构建现代应用程序交付环境,该环境强制实施零信任网络访问并为其资源提供端到端保护。

参考架构:承包商和临时工的零信任网络访问