技术简报:Secure Private Access

概述

Citrix Secure Private Access 是一款云交付的零信任网络访问 (ZTNA) 解决方案,可提供对 IT 认可的应用程序的自适应访问,无论这些应用程序部署在本地还是在云中。传统 VPN 解决方案提供网络级别的访问,并且:

  1. 容易受到网络级别的攻击
  2. 需要回程所有流量
  3. 通常需要设备管理来捕获最终用户设备的状态

Citrix Secure Private Access 有助于避免这些陷阱。Secure Private Access 仅在应用程序层提供访问,从而防止网络级别的攻击,不需要回程,从而提供更好的最终用户体验,并为 IT 提供了一套安全控制措施, 让员工可以选择访问 IT 认可的权限任何设备上的应用程序,无论是托管设备还是自带设备。

观看此视频以了解更多

 

概念体系结构

总体而言,Citrix Secure Private Access 允许用户安全地连接到公共 SaaS 应用程序、私有 Web 应用程序和客户端/服务器应用程序。

Secure Private Access 概念体系结构

从概念上讲,当访问受操作的资源时,Secure Private Access

  1. 确定终端节点是无代理还是基于代理。这决定了用户是否可以访问资源以及用户在应用程序中拥有哪些功能。
  2. 利用自适应身份验证在多个身份提供商 (IdP) 之间正确验证用户的身份。
  3. 提供对授权资源的自适应访问。利用设备状态、用户风险和用户位置等标准,Secure Private Access 可以允许完全访问、拒绝所有访问或提供受限访问。
  4. 建立到私有 Web 和客户端/服务器应用程序的零信任网络访问 (ZTNA) 连接。使用仅出站连接,并通过 Secure Private Access 服务中继所有流量,用户的端点设备永远不会与安全网络直接接触。
  5. 应用限制用户权能的会话限制。会话安全策略可以包括键盘记录程序和屏幕捕获保护、水印、隔离浏览以及打印/下载/剪贴板限制。
  6. 使用 Analytics for Security 服务监视用户行为。Analytics 服务构建用户行为配置文件,并识别可以自动或手动缓解的潜在威胁。

Secure Private Access 的功能可分为以下几类:

  • 自适应安全
  • 应用程序访问权限
  • 浏览器安全
  • 用户和体验行为分析

自适应安全

Secure Private Access 将自适应安全融入本地和云托管资源。通常,用户的访问级别是在初次登录时授予的。借助自适应安全性,用户的安全风险状况会受到持续监控,这会影响安全设置。 自适应安全性会影响用户的身份验证(自适应身份验证)以及用户在应用程序中的功能(自适应访问)。 而且,通过集成单点登录,可以无缝应用自适应安全策略,同时简化用户身份验证体验。

自适应身份验证

自适应身份验证确定当前请求的正确身份验证流程。自适应身份验证可以识别设备状态、地理位置、网段、用户组织/部门成员身份。根据获得的信息,管理员可以定义他们希望如何向其 IT 认可的应用程序对用户进行身份验证。这使组织能够在每个资源(包括公共 SaaS 应用程序、私有 Web 应用程序、专用客户端/服务器应用程序和桌面即服务 (DaaS))中实施相同的身份验证策略框架。

观看此视频以了解更多

 

自适应身份验证策略可以轻松整合业务逻辑,以创建更强大的身份验证解决方案。 这可能包括以下场景:

  • 内部与外部:通过受管设备从内部位置连接的用户可以使用用户名和密码进行身份验证。 自带设备上的外部用户需要多重身份验证,其中包含基于时间的一次性密码 (TOTP) 令牌。
  • 员工 vs 承包商 vs 合作伙伴:组织通常会根据用户身份要求不同的身份验证流程。如果是员工,则对Active Directory 进行身份验证。 如果用户是承包商,请使用个人Gmail帐户。 如果用户是合作伙伴,请使用托管 Azure Active Directory 帐户。
  • 合并和收购:自适应身份验证可以帮助组织克服与合并或收购相关的身份验证挑战。自适应身份验证允许用户对合并前的身份提供商进行身份验证。然后,可以使用合并前的身份为ZTNA提供对任一组织的授权资源的访问权限。

自适应接入

通过自适应访问,组织可以为用户提供对 SaaS、私有 Web 和专用客户端/服务器应用程序的完全访问权限、无访问权限或受限访问权限。

当用户尝试访问授权资源时,自适应访问将决定当前请求如何与定义的条件保持一致。这些条件可以包括以下几项的组合:

  • 用户或组成员资格
  • 设备类型:移动设备或台式机
  • 地理位置
  • 网络位置
  • 基于自动端点分析扫描的设备状态

根据条件的结果,可以允许、拒绝或限制对资源的访问。受限访问将安全策略应用于会话,其中可能包括:

观看此视频以了解更多

 

  • 首选浏览器:禁用本地浏览器。自动使用工作区浏览器或安全浏览器服务。要了解有关不同浏览器选项的更多信息,请查看 “浏览器安全” 部分。
  • 键盘记录程序保护:当最终用户使用个人设备进行工作时,必须缓解的一个风险是恶意软件。Keylogger恶意软件试图 泄露和收集敏感信息,例如用户凭据或个人身份信息。键盘记录程序保护可防止端点设备上的恶意软件捕获用户击键。击键在被恶意软件捕获之前经过加密,有助于防止密码、用户身份或信用卡信息被盗。
  • 屏幕截图保护:设备上的个人使用和工作使用之间的界限已经模糊,因此,最终用户通常会从使用商业应用程序转向在该设备上与朋友或家人进行虚拟视频群聊。在这些情况下,企业应用程序中敏感数据的意外屏幕共享可能会导致重大问题,特别是对于高度监管行业的最终用户而言。屏幕捕获保护可防止受保护应用程序的屏幕内容在 Web 会议工具、屏幕捕获软件和恶意软件中共享。
  • 限制剪贴板访问:禁用应用程序和端点剪贴板之间的剪切/复制/粘贴操作。
  • 限制打印:禁用从应用程序浏览器中打印的功能。
  • 限制导航:禁用下一个/后退浏览器按钮。
  • 限制下载:禁用用户从 SaaS 应用程序中下载的功能。
  • 显示水印: 覆盖基于屏幕的水印,显示端点的用户名和 IP 地址。如果用户尝试打印或截取屏幕截图,水印将显示在屏幕上。

下面提供了这些功能的演示。

  链接
专题视频 观看演示:浏览器限制-视频即将推出
专题视频 观看演示: 键盘记录程序保护
专题视频 观看演示: 屏幕共享保护

Single Sign-On

借助自适应身份验证,组织可以提供强大的身份验证策略,以帮助降低用户帐户遭到入侵的风险。Secure Private Access 的单点登录功能对所有 SaaS、私有 Web 和客户端/服务器应用程序使用相同的自适应身份验证策略。

一组凭据可帮助组织解决一些用户和管理员体验难题:

  • 用户不必记住每个应用程序的用户名和密码
  • 用户不必为每个应用程序创建复杂的密码
  • 用户不必为每个应用程序设置/配置 MFA 密钥/令牌
  • 用户不必启动 VPN 连接即可访问内部 Web 应用程序
  • 管理员可以通过禁用用户的主要身份来禁用对所有 应用程序的访问权限

使用主身份验证用户后,Citrix Cloud 中的单点登录功能将使用 SAML 断言自动完成后续对 SaaS 和 Web 应用程序的身份验证挑战。有 300 多个 SAML SSO 模板可用于快速配置 Web 和 SaaS 应用程序。

Single Sign-On

某些组织可能已经在 SSO 提供商上进行了标准化。Secure Private Access 能够利用第三方 SSO 提供程序,同时仍将自适应访问策略应用于用户会话。

Secure Private Access 概念体系结构

有关单点登录的其他信息,请阅读以下论文:

  链接
技术简介 更多信息: 适用于 SaaS 应用程序的单点登录
技术简介 更多信息: 私有 Web 应用程序的 SSO
技术简介 更多信息: IdP 链接

应用程序访问权限

Secure Private Access 可以创建与本地 Web 应用程序的连接,而无需依赖 VPN。此无 VPN 连接使用本地部署的连接器。该连接器为组织的 Citrix Cloud 订阅创建出站控制通道。从那里,Secure Private Access 能够通过隧道连接到内部 Web 应用程序,而无需使用 VPN。

Secure Private Access 概念体系结构

访问 SaaS 应用程序和私有 Web 应用程序时,Secure Private Access 无需在端点上使用代理即可提供连接。 但是,在访问私有客户端/服务器应用程序时,用户必须在端点上部署代理。

要了解用户在通过 Secure Private Access 访问这些不同类型的资源时的体验,请观看以下演示。

  链接
专题视频 观看演示: 私有客户端/服务器应用程序访问
专题视频 观看演示: 私有 Web 应用程序访问
专题视频 观看演示: 公共 SaaS 应用程序访问

浏览器安全

Secure Private Access 使最终用户能够使用集中管理和安全的企业浏览器安全地浏览 Internet。当最终用户启动 SaaS 或私有 Web 应用程序时,会动态做出多个决策,以决定如何最好地为该应用程序提供服务。

Secure Private Access 概念体系结构

Secure Private Access 提供以下三种方式:

  • 本地浏览器:在用户的传统非托管本地浏览器中启动应用程序。
  • 企业浏览器:在本地设备上使用 Citrix Workspace Browser 启动应用程序。Workspace Browser 是一款企业级浏览器,具有易于应用、集中管理的安全限制。
  • 隔离的企业浏览器:使用 Citrix 安全浏览器服务在远程无缝虚拟浏览器实例中启动应用程序。该服务使用 CCitrix Workspace Browser 并应用相同的集中管理安全限制。
  • 移动企业浏览器:利用移动 Web 查看器在移动设备上提供安全的企业浏览器。移动 Web 查看器使用 CCitrix Workspace Browser 并应用相同的集中管理安全限制。

本地浏览器

本地浏览器是大多数用户和组织向用户提供 SaaS 和私有 Web 应用程序的方式。 这种方法相信用户和设备没有访问敏感或机密数据。 当遵循零信任策略时,本地浏览器不是合适的解决方案。

企业浏览器

Citrix Workspace Browser 是在终端上运行的基于 Chrome 的企业浏览器。 工作区浏览器为 Web 会话创建安全沙箱。本地运行可为最终用户呈现 SaaS 和私有 Web 应用程序的网页提供最佳性能,因为浏览器的外观和行为与用户的传统浏览器类似。

安全沙箱可保护最终用户和企业免受恶意软件、性能降级、数据丢失和意外最终用户行为的侵害。 借助 Workspace Browser,组织可以集中应用自适应访问策略,限制键盘记录器、屏幕截图、剪贴板操作等。

观看此视频以了解更多

 

Citrix Workspace Browser 包含以下自适应访问安全功能:

  • 键盘记录器保护
  • 屏幕共享保护
  • 水印
  • 下载限制
  • 打印限制
  • 导航限制
  • 剪贴板限制

隔离的企业浏览器

CCitrix Secure Browser 服务是一种独立的云托管企业浏览器。安全浏览器服务利用 Citrix Workspace Browser,不同之处在于它在隔离、虚拟化和临时的云会话中运行。托管浏览器服务提供了一种安全的方式来访问基于互联网和企业浏览器的应用程序。它在浏览器与用户、设备和网络之间造成了空隙,保护他们免受危险恶意软件的侵害。

观看此视频以了解更多

 

如果在应用自适应访问策略时设置了策略限制,则如果用户的端点没有本地版本的 Citrix Workspace Browspace 浏览器,则会自动使用安全浏览器服务。安全浏览器通常用于未安装 Workspace 应用程序的情况,例如自助服务终端或个人设备。

Citrix Secure Browser 服务包含以下自适应访问安全功能:

  • 气隙\ 隔离
  • 水印
  • 下载限制
  • 打印限制
  • 导航限制
  • 剪贴板限制

移动企业浏览器

在移动设备上时,Citrix Workspace Browser 安全优势仍适用于移动 Web 查看器。Citrix Workspace Browser 也应用了相同的自适应访问策略设置,但移动 Web 查看器提供了用户熟悉的基于触摸的界面。

观看此视频以了解更多

 

适用于 Workspace 应用程序的移动 Web 查看器包含以下自适应访问安全功能:

  • 水印
  • 下载限制
  • 打印限制
  • 导航限制
  • 剪贴板限制

用户和体验行为分析 (UEBA)

管理员需要了解其环境。需要了解潜在威胁、使用情况和性能。Secure Private Access 将用户行为信息发送到 Analytics 服务,以帮助组织保护其 SaaS 应用程序、私有 Web 应用程序和客户端服务器应用程序。

安全性

Citrix Analytics for Security 会持续评估 Secure Private Access 用户的行为,以主动检测和解决安全威胁。 它根据用户行为生成个性化的用户风险评分,以发现潜在的高风险用户。

Analytics for Security 可检测恶意用户活动,并通过规范性的自动补救措施防止对业务的危害。生成的风险评分可在 Secure Private Access 中使用,以自动执行安全控制,例如加水印、禁用剪贴板访问以及使用自适应访问策略阻止下载。

管理员可以使用如下标准创建自定义风险指示器:

  • 应用程序启动时间
  • 应用程序结束时间
  • 打印操作
  • 剪贴板访问
  • URL 访问
  • 数据上载
  • 数据下载

下面提供了这些功能的演示。

  链接
技术概述 更多信息:Analytics for Security
视频 更多信息: 存在身份风险的用户行为

使用率

使用情况分析提供对 Secure Private Access 的基本使用数据的见解。管理员可以了解用户如何与组织中正在使用的 SaaS 和 Web 应用程序进行交互。

使用情况数据有助于他们了解产品的用户采用和参与度。以下指标可以帮助管理员确定应用程序是否有用或是否应计划停用。

  • 使用 SaaS 和 Web 应用程序的唯一用户数
  • 顶级 SaaS 和 Web 应用程序用户
  • 启动的 SaaS 和 Web 应用程序的数量
  • 顶级 SaaS 和 Web 应用程序
  • 用户访问的热门域
  • 跨用户、应用程序和域上载和下载的数据总量

用例

无 VPN 访问

Citrix Secure Private Access 用零信任解决方案补充或取代了现有的 VPN 解决方案,该解决方案允许没有 VPN 的远程用户进行访问。此解决方案解决了向外部用户提供内部资源访问权限的许多挑战。有了 Secure Private Access,可以:

  • 没有网络设备可以管理、维护和保护,从而减少了设备蔓延
  • 无需公共 IP 地址,因为云服务能够通过 Cloud Connector 联系内部资源
  • 无需防火墙规则,因为Cloud Connector建立了与基于云的服务的出站连接(无需入站通信)
  • 在全球部署中,组织会自动路由/重新路由到最佳的 Secure Private Access 服务,从而大大简化了组织所需的任何配置。
  • 底层数据中心基础架构没有变化。

Secure Private Access 可以创建与本地 Web 应用程序的连接,而无需依赖 VPN。此无 VPN 连接使用本地部署的连接器。该连接器为组织的 Citrix Cloud 订阅创建出站控制通道。从那里,Secure Private Access 能够在提供 SSO 的同时通过隧道连接到内部 Web 应用程序。无 VPN 访问不仅提高了安全性和隐私性,还可以改善最终用户体验。

无 VPN 访问

  链接
专题视频 观看演示: ZTNA vs VPN-登录体验
专题视频 观看演示: ZTNA vs VPN-端口扫描

基于浏览器的应用程序的 SSO 和自适应访问

Secure Private Access 为 Web 和 SaaS 应用程序提供单点登录和自适应访问策略。借助自适应身份验证,组织可以定制自己的身份验证流程,使其与业务保持一致。自适应身份验证可保护组织现有的身份生态系统投资,并简化其向云的迁移,而无需进行叉车式升级。

尽管授权的 SaaS 应用被认为是安全的,但 SaaS 应用中的内容实际上可能是危险的,构成安全风险。自适应访问策略为 IT 提供了一种在他们为员工配置的 Web 和 SaaS 应用程序上强制实施安全策略的方法。这些策略通过应用以下控件保护存储在这些应用程序中的数据

  • 水印
  • 限制导航
  • 限制下载
  • 限制键盘记录
  • 限制屏幕截图
  • 限制打印

越来越多的远程员工意味着通过各种应用程序进行的远程会议这些会议通常要求员工共享屏幕,这就有可能错误地暴露敏感数据。键盘记录程序和屏幕捕获限制有助于防止端点恶意软件和用户错误。如果用户在 Web 会议中意外共享财务数据,则与会者只能看到空白屏幕。这种保护也适用于最常见的截图工具、打印屏幕工具、屏幕捕获和录制工具。

浏览器隔离互联网流量可保护最终用户和企业免受基于 Web 的威借助 Workspace 浏览器和安全浏览器服务,管理员可以选择在基于 Chrome 的本地浏览器(云托管且隔离的 Workspace Browser 实例)中访问网站。使用该服务,可能的攻击将被控制在云中。安全浏览器运行会在使用后销毁虚拟化的 Workspace 浏览器实例。当新会话启动时,用户会收到一个新的 Workspace 浏览器实例。策略控制诸如 “复制和粘贴” 之类的功能,因此任何文件或数据都不能到达公司网络。

SaaS 应用程序的 SSO 和安全控制

保护 BYO 和非托管终端上的用户和公司数据

通过使用自适应身份验证和访问策略,Secure Private Access 使管理员能够保护其组织免受数据丢失和凭据盗用的影响。当员工使用个人设备访问公司资源时,自适应身份验证和访问策略就显得尤为重要。

自适应访问策略可以启用键盘记录程序和屏幕捕获保护功能。该功能可以保护员工免受可能捕获密码或个人信息的休眠屏幕抓取恶意软件或键盘记录器的伤害。

键盘记录程序和屏幕捕获保护的工作原理是控制对捕获屏幕或键盘按键所需的底层操作系统的特定 API 调用的访问。这些策略甚至可以防止最定制和专门构建的黑客工具。它有助于保护员工在 Citrix Secure Private Access 和身份验证对话框中使用的任何虚拟或 Web 应用程序(防止密码泄露)。

键盘记录器和屏幕捕获保护功能通过在键盘记录工具可以访问之前对其进行加密,从而使用户输入的文本难以辨认。安装在读取数据的客户端端点上的键盘记录器将捕获 gibberish 字符,而不是用户键入的击键。

保护 BYO 和非托管设备上的用户和公司数据