Überblick über die Secure Private Access Service Access-Servicelösung
Überblick über die Lösung
Herkömmliche VPN-Lösungen erfordern die Verwaltung von Endbenutzergeräten, die Bereitstellung des Zugriffs auf Netzwerkebene und die Durchsetzung statischer Zugriffskontrollrichtlinien. Citrix Secure Private Access bietet der IT eine Reihe von Sicherheitskontrollen zum Schutz vor Bedrohungen durch BYO-Geräte, sodass Benutzer die Wahl haben, von jedem Gerät aus auf ihre IT-genehmigten Anwendungen zuzugreifen, unabhängig davon, ob es sich um ein verwaltetes Gerät oder ein BYO-Gerät handelt.
Citrix Secure Private Access bietet adaptive Authentifizierung, Single-Sign-On-Unterstützung und erweiterte Sicherheitskontrollen für die Anwendungen. Secure Private Access bietet auch die Möglichkeit, das Endbenutzergerät vor dem Einrichten einer Sitzung mithilfe des Device Posture-Dienstes zu scannen. Basierend auf den Ergebnissen der adaptiven Authentifizierung oder des Gerätestatus können Administratoren die Authentifizierungsmethoden für die Apps definieren.
Adaptive Sicherheit
Die adaptive Authentifizierung bestimmt den richtigen Authentifizierungsablauf für die aktuelle Anfrage. Die adaptive Authentifizierung kann den Gerätestatus, den geografischen Standort, das Netzwerksegment und die Zugehörigkeit zur Benutzerorganisation/Abteilung identifizieren. Basierend auf den erhaltenen Informationen kann ein Administrator definieren, wie er Benutzer für ihre von der IT genehmigten Apps authentifizieren möchte. Auf diese Weise können Unternehmen dasselbe Authentifizierungsrichtlinien-Framework für alle Ressourcen implementieren, einschließlich öffentlicher SaaS-Apps, privater Web-Apps, privater Client-Server-Apps und Desktops as a Service (DaaS). Einzelheiten finden Sie unter Adaptive Sicherheit.
Zugriff auf Anwendungen
Secure Private Access kann eine Verbindung zu den on-premises Web-Apps herstellen, ohne auf ein VPN angewiesen zu sein. Diese VPN-lose Verbindung verwendet ein on-premises bereitgestelltes Connector Appliance. Die Connector Appliance erstellt einen ausgehenden Kontrollkanal zum Citrix Cloud-Abonnement der Organisation. Von dort aus kann Secure Private Access Verbindungen zu den internen Web-Apps tunneln, ohne dass ein VPN erforderlich ist. Einzelheiten finden Sie unter Anwendungszugriff.
Single Sign-On
Mit Adaptive Authentication können Unternehmen strenge Authentifizierungsrichtlinien bereitstellen, um das Risiko kompromittierter Benutzerkonten zu verringern. Die Single-Sign-On-Funktionen von Secure Private Access verwenden dieselben adaptiven Authentifizierungsrichtlinien für alle SaaS-, privaten Web- und Client-Server-Apps. Einzelheiten finden Sie unter Single Sign-On.
Sicherheit des Browsers
Secure Private Access ermöglicht Endbenutzern das sichere Surfen im Internet mit einem zentral verwalteten und gesicherten Unternehmensbrowser. Wenn ein Endbenutzer eine SaaS- oder private Web-App startet, werden dynamisch mehrere Entscheidungen getroffen, um zu entscheiden, wie diese Anwendung am besten bereitgestellt werden soll. Einzelheiten finden Sie unter Browsersicherheit.
Gerätestatus
Mit dem Device Stature Service kann ein Administrator Richtlinien definieren, um den Status von Endgeräten zu überprüfen, die versuchen, remote auf Unternehmensressourcen zuzugreifen. Je nach Konformitätsstatus eines Endpunkts kann der Device Posture Service den Zugriff auf Unternehmensanwendungen und Desktops verweigern oder eingeschränkten oder vollständigen Zugriff gewähren.
Wenn ein Endbenutzer eine Verbindung mit Citrix Workspace initiiert, sammelt der Device Posture Client Informationen über die Endpunktparameter und gibt diese Informationen an den Device Posture Service weiter, um festzustellen, ob der Status des Endpunkts den Richtlinienanforderungen entspricht.
Die Integration des Device Posture Service mit Citrix Secure Private Access ermöglicht den sicheren Zugriff auf SaaS-, Web-, TCP- und UDP-Apps von überall und mit der Resilienz und Skalierbarkeit von Citrix Cloud. Einzelheiten finden Sie unter Device Posture.
Unterstützung für TCP- und UDP-Anwendungen
Manchmal benötigen Remote-Benutzer Zugriff auf private Client-Server-Apps, deren Frontend auf dem Endpunkt und ihr Backend in einem Rechenzentrum liegt. Unternehmen können zu Recht strenge Sicherheitsrichtlinien für diese internen und privaten Apps durchsetzen, wodurch es für Remote-Benutzer schwierig wird, auf diese Anwendungen zuzugreifen, ohne die Sicherheitsprotokolle zu gefährden.
Der Secure Private Access Service behebt die TCP- und UDP-Sicherheitslücken, indem er es ZTNA ermöglicht, sicheren Zugriff auf diese Apps bereitzustellen. Benutzer können jetzt mit einem systemeigenen Browser oder einer systemeigenen Clientanwendung über den Citrix Secure Access Client, der auf ihren Computern ausgeführt wird, auf alle privaten Apps, einschließlich TCP-, UDP- und HTTPS-Apps, zugreifen.
Benutzer müssen den Citrix Secure Access Client auf ihren Clientgeräten installieren.
- Für Windows kann die Client-Version (22.3.1.5 und höher) von https://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.html heruntergeladen werden.
- Für macOS kann die Client-Version (22.02.3 und höher) aus dem App Store heruntergeladen werden.
Einzelheiten finden Sie unter Unterstützung für Client-Server-Apps.
Citrix Secure Private Access einrichten
Aktivieren Sie den Zero-Trust-Netzwerkzugriff auf SaaS-Apps, interne Web-Apps, TCP- und UDP-Apps mithilfe der Secure Private Access-Administratorkonsole. Diese Konsole umfasst die Konfiguration der adaptiven Authentifizierung, Anwendungen einschließlich Benutzerabonnements und adaptiver Zugriffsrichtlinien.
Identität und Authentifizierung einrichten
Wählen Sie die Authentifizierungsmethode für die Abonnenten aus, um sich bei Citrix Workspace anzumelden. Die adaptive Authentifizierung ist ein Citrix Cloud-Dienst, der Kunden und Benutzern, die sich bei Citrix Workspace anmelden, eine verbesserte Authentifizierung ermöglicht.
Einzelheiten finden Sie unter Identität und Authentifizierung einrichten.
Apps auflisten und veröffentlichen
Nachdem Sie die Authentifizierungsmethode ausgewählt haben, konfigurieren Sie die Web-, SaaS- oder die TCP- und UDP-Apps mithilfe der Admin-Konsole. Einzelheiten finden Sie unter Apps hinzufügen und verwalten.
Ermöglichen Sie erweiterte Sicherheitskontrollen
Um Inhalte zu schützen, integrieren Unternehmen erweiterte Sicherheitsrichtlinien in die SaaS-Anwendungen. Jede Richtlinie erzwingt eine Einschränkung im Citrix Enterprise Browser, wenn Sie die Workspace-App für Desktop verwenden, oder im Secure Browser, wenn Sie die Workspace-App Web oder Mobile verwenden.
- Zugriff auf die Zwischenablage einschränken: Deaktiviert das Ausschneiden/Kopieren/Einfügen zwischen der App und der Systemzwischenablage.
- Drucken einschränken: Deaktiviert das Drucken im Citrix Enterprise Browser.
- Downloads einschränken: Deaktiviert die Fähigkeit des Benutzers, aus der App herunterzuladen.
- Uploads einschränken: Deaktiviert die Fähigkeit des Benutzers, innerhalb der App hochzuladen.
- Wasserzeichen anzeigen: Zeigt ein Wasserzeichen auf dem Bildschirm des Benutzers an, das den Benutzernamen und die IP-Adresse des Computers des Benutzers anzeigt.
- Beschränken Sie die Schlüsselprotokollierung: Schützt vor Keyloggern. Wenn ein Benutzer versucht, sich mit dem Benutzernamen und dem Kennwort bei der App anzumelden, werden alle Schlüssel auf den Keyloggern verschlüsselt. Außerdem sind alle Aktivitäten, die der Benutzer in der App ausführt, vor Key-Logging geschützt. Wenn beispielsweise App-Schutzrichtlinien für Office 365 aktiviert sind und der Benutzer ein Office 365-Word-Dokument bearbeitet, werden alle Tastenanschläge auf Keyloggern verschlüsselt.
- Bildschirmaufnahme einschränken: Deaktiviert die Möglichkeit, die Bildschirme mit einem der Bildschirmaufnahmeprogramme oder Apps aufzunehmen. Wenn ein Benutzer versucht, den Bildschirm zu erfassen, wird ein leerer Bildschirm aufgenommen.
Einzelheiten finden Sie unter Konfigurieren einer Zugriffsrichtlinie.
Aktivieren Sie den Citrix Enterprise Browser für Anwendungsstarts
Secure Private Access ermöglicht es Endbenutzern, ihre Apps mit dem Citrix Enterprise Browser (CEB) zu starten. CEB ist ein chrombasierter Browser, der in die Citrix Workspace-App integriert ist und einen nahtlosen und sicheren Zugriff auf Web- und SaaS-Apps im Citrix Enterprise Browser ermöglicht.
CEB kann als bevorzugter Browser oder als Ihr Arbeitsbrowser für alle intern gehosteten Web-Apps oder SaaS-Apps mit Sicherheitsrichtlinien konfiguriert werden. CEB ermöglicht es Benutzern, alle konfigurierten SaaS-/Web-App-Domains in einer sicheren und kontrollierten Umgebung zu öffnen.
Aktivieren Sie den Citrix Enterprise Browser
Administratoren können den Global App Configuration Service (GACS) verwenden, um den Citrix Enterprise Browser als Standardbrowser zum Starten von Web- und SaaS-Apps von der Citrix Workspace-App aus zu konfigurieren.
Konfiguration über API:
Zur Konfiguration finden Sie hier eine Beispiel-JSON-Datei, um den Citrix Enterprise Browser standardmäßig für alle Apps zu aktivieren:
"settings": [
{
"name": "open all apps in ceb",
"value": "true"
}
]
<!--NeedCopy-->
Der Standardwert ist true.
Konfiguration über GUI:
Wählen Sie die Geräte aus, für die CEB zum Standardbrowser für die App-Starts gemacht werden muss.
Einzelheiten finden Sie unter Citrix Enterprise Browser über GACS verwalten.
Konfigurieren Sie Tags für den kontextuellen Zugriff mithilfe von Device Posture
Nach der Überprüfung der Geräteposition darf sich das Gerät anmelden und das Gerät wird als konform oder nicht konform eingestuft. Diese Klassifizierung wird dem Secure Private Access Service als Tags zur Verfügung gestellt und wird verwendet, um kontextabhängigen Zugriff auf der Grundlage des Gerätestatus bereitzustellen.
- Melden Sie sich bei Citrix Cloud an.
- Klicken Sie auf der Kachel Secure Private Access auf Verwalten .
- Klicken Sie im linken Navigationsbereich auf Richtlinien zugreifen und dann auf Richtlinie erstellen.
- Geben Sie den Richtliniennamen und die Beschreibung der Richtlinie ein.
- Wählen Sie unter Anwendungen die App oder die Gruppe von Apps aus, für die diese Richtlinie durchgesetzt werden muss.
- Klicken Sie auf Regel erstellen, um Regeln für die Richtlinie zu erstellen.
- Geben Sie den Regelnamen und eine kurze Beschreibung der Regel ein, und klicken Sie dann auf Weiter.
- Wählen Sie die Bedingungen der Benutzer aus. Die Benutzerbedingung ist eine zwingende Voraussetzung, die erfüllt sein muss, um den Benutzern Zugriff auf die Anwendungen zu gewähren.
- Klicken Sie auf +, um den Zustand der Gerätehaltung hinzuzufügen.
- Wählen Sie Device Posture Check und den logischen Ausdruck aus dem Drop-down-Menü aus.
-
Geben Sie einen der folgenden Werte in benutzerdefinierte Tags ein:
- Konform — Für konforme Geräte
- Nicht konform — Für Geräte, die nicht konform sind
- Klicken Sie auf Weiter.
-
Wählen Sie die Aktionen aus, die auf der Grundlage der Zustandsbewertung angewendet werden müssen, und klicken Sie dann auf Weiter.
Auf der Übersichtsseite werden die Richtliniendetails angezeigt.
- Überprüfen Sie die Angaben und klicken Sie auf Fertig stellen .
Hinweis:
Jede Secure Private Access-Anwendung, die in der Zugriffsrichtlinie nicht als konform oder nicht konform gekennzeichnet ist, wird als Standardanwendung behandelt und ist unabhängig vom Gerätestatus auf allen Endpunkten zugänglich.
Erfahrung für Endbenutzer
Der Citrix Administrator ist befugt, die Sicherheitskontrolle mithilfe von Citrix Secure Private Access zu erweitern. Die Citrix Workspace-App ist ein Einstiegspunkt für den sicheren Zugriff auf alle Ressourcen. Endbenutzer können über die Citrix Workspace-App auf virtuelle Apps, Desktops, SaaS-Apps und Dateien zugreifen. Mit Citrix Secure Private Access können Administratoren steuern, wie der Endbenutzer über die Citrix Workspace Experience-Webbenutzeroberfläche oder den nativen Citrix Workspace-App-Client auf eine SaaS-Anwendung zugreift.
Wenn der Benutzer die Workspace-App auf dem Endpunkt startet, sieht er seine Anwendungen, Desktops, Dateien und SaaS-Apps. Wenn ein Benutzer auf die SaaS-Anwendung klickt, während die erweiterte Sicherheit deaktiviert ist, wird die Anwendung in einem Standardbrowser geöffnet, der lokal installiert ist. Wenn der Administrator die erweiterte Sicherheit aktiviert hat, werden die SaaS-Apps auf dem CEB in der Workspace-App geöffnet. Der Zugriff auf Hyperlinks in SaaS-Apps und Web-Apps wird auf der Grundlage der Richtlinien für nicht genehmigte Websites kontrolliert. Einzelheiten zu nicht genehmigten Websites finden Sie unter UnsanktionierteWebsites.
Ähnlich werden SaaS-Anwendungen beim Workspace-Webportal, wenn die erweiterte Sicherheit deaktiviert ist, in einem Standardbrowser geöffnet, der nativ installiert ist. Wenn die erweiterte Sicherheit aktiviert ist, werden SaaS-Apps im sicheren Remote-Browser geöffnet. Benutzer können auf der Grundlage der Richtlinien für nicht genehmigte Websites innerhalb von SaaS-Apps auf die Websites zugreifen. Einzelheiten zu nicht genehmigten Websites finden Sie unter UnsanktionierteWebsites.
Analytics-Dashboard
Das Secure Private Access Service Access-Dienst-Dashboard zeigt die Diagnose- und Nutzungsdaten der SaaS-, Web-, TCP- und UDP-Apps an. Das Dashboard bietet Administratoren einen vollständigen Überblick über ihre Apps, Benutzer, Konnektoren, den Gesundheitszustand und die Bandbreitennutzung an einem einzigen Ort für den Verbrauch. Diese Daten werden von Citrix Analytics abgerufen. Die Kennzahlen sind grob in die folgenden Kategorien unterteilt.
- Protokollierung und Problembehandlung
- Benutzer
- Anwendungen
- Richtlinien für den Zugriff
Einzelheiten finden Sie unter Dashboard.
App-Probleme beheben
Das Diagramm mit den Diagnoseprotokollen im Secure Private Access-Dashboard bietet einen Überblick über die Protokolle zur Authentifizierung, zum Anwendungsstart, zur App-Aufzählung und zum Gerätestatus.
- Infocode: Einigen Protokollereignissen wie Ausfällen ist ein Infocode zugeordnet. Wenn Sie auf den Infocode klicken, werden die Benutzer zu den Lösungsschritten oder zu weiteren Informationen zu diesem Ereignis weitergeleitet.
- Transaktions-ID: In den Diagnoseprotokollen wird auch eine Transaktions-ID angezeigt, die alle Secure Private Access-Protokolle für eine Zugriffsanforderung miteinander verknüpft. Für eine App-Zugriffsanforderung können mehrere Protokolle generiert werden, angefangen mit der Authentifizierung, dann der App-Aufzählung innerhalb der Workspace-App und dann dem App-Zugriff selbst. All diese Ereignisse generieren ihre eigenen Protokolle. Die Transaktions-ID wird verwendet, um all diese Protokolle zu korrelieren. Sie können die Diagnoseprotokolle anhand der Transaktions-ID filtern, um alle Protokolle zu finden, die sich auf eine bestimmte App-Zugriffsanforderung beziehen. Einzelheiten finden Sie unter Problembehandlung bei Secure Private Access.
Beispiele für Anwendungsfälle
- Greifen Sie mithilfe eines Zero-Trust-Ansatzes auf interne Anwendungen (Web/TCP/UDP) zu, ohne eingehenden Datenverkehr auf der Firewall zu öffnen
- Gehen Sie zu einem Zero-Trust-Ansatz über, indem Sie Anwendungen ermitteln, auf die Benutzer zugreifen
- Beschränken Sie den Zugriff auf SaaS-Anwendungen auf Citrix Enterprise Browser
- Beschränken Sie den Zugriff auf SaaS-Anwendungen auf unternehmenseigene öffentliche IP-Adressen
- Verbesserte Sicherheit für von Azure verwaltete SaaS-Apps
- Verbesserte Sicherheit für Office 365
- Verbesserte Sicherheit für Okta-Apps
Referenz
- Einführung in Secure Private Access
- Technischer Überblick
- Referenzarchitektur
- Citrix Enterprise Browser
- Citrix Enterprise Browser über GACS verwalten
- Admin-geführter Workflow für einfaches Onboarding und Einrichten
Referenzvideos
- Zero-Trust-Netzwerkzugriff (ZTNA) auf Apps
- Zugriff auf private Web-Apps mit Citrix Secure Private Access
- Zugriff auf öffentliche SaaS-Apps mit Citrix Secure Private Access
- Zugriff auf private Client-Server-Apps mit Citrix Secure Private Access
- Keylogger-Schutz mit Citrix Secure Private Access
- Schutz vor Bildschirmübertragung mit Citrix Secure Private Access
- Endbenutzererlebnis mit Citrix Secure Private Access
- ZTNA versus VPN-Anmeldeerfahrung mit Citrix Secure Private Access
- ZTNA im Vergleich zu VPN-Port-Scans mit Citrix Secure Private Access
Was gibt es Neues bei verwandten Produkten
- Citrix Enterprise Browser: Über dieses Release
- Citrix Workspace: Was ist neu
- Citrix DaaS: Was ist neu
- Citrix Secure Access-Client NetScaler Gateway-Clients