Información general sobre la solución de servicio Secure Private Access

Descripción general de la solución

Las soluciones VPN tradicionales requieren que los dispositivos de los usuarios finales sean administrados, brinden acceso a nivel de red y apliquen políticas de control de acceso estáticas. Citrix Secure Private Access brinda a TI un conjunto de controles de seguridad para protegerse contra amenazas de dispositivos BYO, dando a los usuarios la opción de acceder a sus aplicaciones aprobadas por TI desde cualquier dispositivo, ya sea administrado o BYO.

Citrix Secure Private Access ofrece autenticación adaptativa, soporte de inicio de sesión único y controles de seguridad mejorados para las aplicaciones. Secure Private Access también proporciona la capacidad de escanear el dispositivo del usuario final antes de establecer una sesión mediante el servicio Device Posture. Según los resultados de la autenticación adaptativa o la postura del dispositivo, los administradores pueden definir los métodos de autenticación para las aplicaciones.

Seguridad adaptativa

La autenticación adaptativa determina el flujo de autenticación correcto para la solicitud actual. La autenticación adaptativa puede identificar la postura del dispositivo, la ubicación geográfica, el segmento de red y la membresía de la organización/departamento del usuario. Con base en la información obtenida, un administrador puede definir cómo desea autenticar a los usuarios en sus aplicaciones autorizadas por TI. Esto permite a las organizaciones implementar el mismo marco de política de autenticación en todos los recursos, incluidas aplicaciones SaaS públicas, aplicaciones web privadas, aplicaciones cliente-servidor privadas y escritorios como servicio (DaaS). Para obtener más detalles, consulte Seguridad adaptativa.

Acceso a la aplicación

Secure Private Access puede crear una conexión a las aplicaciones web locales sin depender de una VPN. Esta conexión sin VPN utiliza un dispositivo conector implementado localmente. El dispositivo conector crea un canal de control de salida a la suscripción de Citrix Cloud de la organización. Desde allí, Secure Private Access puede tunelizar conexiones a las aplicaciones web internas sin necesidad de una VPN. Para obtener más detalles, consulte Acceso a aplicaciones.

Single Sign-On

Con la autenticación adaptativa, las organizaciones pueden proporcionar políticas de autenticación sólidas para ayudar a reducir el riesgo de que las cuentas de usuario se vean comprometidas. Las capacidades de inicio de sesión único de Secure Private Access utilizan las mismas políticas de autenticación adaptativa para todas las aplicaciones SaaS, web privadas y cliente-servidor. Para obtener más detalles, consulte Inicio de sesión único.

Seguridad del navegador

Secure Private Access permite a los usuarios finales navegar de forma segura en Internet con un navegador empresarial seguro y administrado de forma centralizada. Cuando un usuario final lanza una aplicación web privada o SaaS, se toman dinámicamente varias decisiones para decidir cuál es la mejor manera de servir a esta aplicación. Para obtener más detalles, consulte Seguridad del navegador.

Postura del dispositivo

El servicio de postura del dispositivo permite que un administrador defina políticas para verificar la postura de los dispositivos terminales que intentan acceder a los recursos corporativos de forma remota. Según el estado de cumplimiento de un punto final, el servicio de postura del dispositivo puede denegar el acceso o proporcionar acceso restringido o completo a las aplicaciones y escritorios corporativos.

Cuando un usuario final inicia una conexión con Citrix Workspace, el cliente Device Posture recopila información sobre los parámetros del punto final y comparte esta información con el servicio Device Posture para determinar si la postura del punto final cumple con los requisitos de la política.

La integración del servicio Device Posture con Citrix Secure Private Access permite un acceso seguro a aplicaciones SaaS, web, TCP y UDP desde cualquier lugar, con la resiliencia y escalabilidad de Citrix Cloud. Para obtener más detalles, consulte Postura del dispositivo.

Soporte para aplicaciones TCP y UDP

A veces, los usuarios remotos necesitan acceso a aplicaciones cliente-servidor privadas que tienen su front-end en el punto final y su back-end en un centro de datos. Las organizaciones pueden aplicar legítimamente políticas de seguridad estrictas en torno a estas aplicaciones internas y privadas, dificultando así el acceso de usuarios remotos a estas aplicaciones sin comprometer los protocolos de seguridad.

El servicio de acceso privado seguro aborda las vulnerabilidades de seguridad de TCP y UDP al permitir que ZTNA brinde acceso seguro a estas aplicaciones. Los usuarios ahora pueden acceder a todas las aplicaciones privadas, incluidas las aplicaciones TCP, UDP y HTTPS, mediante un navegador nativo o una aplicación cliente nativa a través del cliente Citrix Secure Access que se ejecuta en sus máquinas.

Los usuarios deben instalar el cliente Citrix Secure Access en sus dispositivos cliente.

• Para Windows, la versión del cliente (22.3.1.5 y posteriores) se puede descargar desde https://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.html.
• Para macOS, la versión del cliente (22.02.3 y posteriores) se puede descargar desde la App Store.

Para obtener más detalles, consulte Compatibilidad con aplicaciones cliente-servidor.

Configurar el acceso privado seguro de Citrix

Habilite el acceso a la red de confianza cero para aplicaciones SaaS, aplicaciones web internas y aplicaciones TCP y UDP mediante la consola de administración de acceso privado seguro. Esta consola incluye la configuración de la autenticación adaptativa, aplicaciones que incluyen suscripción de usuarios y políticas de acceso adaptativas.

Configurar identidad y autenticación

Seleccione el método de autenticación para que los suscriptores inicien sesión en Citrix Workspace. La autenticación adaptable es un servicio de Citrix Cloud que permite la autenticación avanzada para clientes y usuarios que inician sesión en Citrix Workspace.

Para obtener más detalles, consulte Configurar identidad y autenticación.

Enumerar y publicar aplicaciones

Después de haber seleccionado el método de autenticación, configure las aplicaciones Web, SaaS o TCP y UDP mediante la consola de administración. Para obtener más detalles, consulte Agregar y administrar aplicaciones.

Habilitar controles de seguridad mejorados

Para proteger el contenido, las organizaciones incorporan políticas de seguridad mejoradas dentro de las aplicaciones SaaS. Cada política aplica una restricción en el navegador Citrix Enterprise cuando se usa la aplicación Workspace para escritorio o en el navegador seguro cuando se usa la aplicación Workspace web o móvil.

• Restringe el acceso al portapapeles: Deshabilita las operaciones de cortar/copiar/pegar entre la aplicación y el portapapeles del sistema.
• Restringir impresión: Deshabilita la capacidad de imprimir desde el navegador Citrix Enterprise.
• Restringir descargas: Deshabilita la capacidad del usuario para descargar desde dentro de la aplicación.
• Restringir cargas: Deshabilita la capacidad del usuario para cargar dentro de la aplicación.
• Mostrar marca de agua: Muestra una marca de agua en la pantalla del usuario mostrando el nombre de usuario y la dirección IP de la máquina del usuario.
• Restringe el registro de teclas: Protege contra los registradores de teclas. Cuando un usuario intenta iniciar sesión en la aplicación utilizando el nombre de usuario y la contraseña, todas las claves se cifran en los registradores de teclas. Además, todas las actividades que el usuario realiza en la aplicación están protegidas contra el registro de teclas. Por ejemplo, si las políticas de protección de aplicaciones están habilitadas para Office 365 y el usuario edita un documento de Word de Office 365, todas las pulsaciones de teclas se cifran en los registradores de teclas.
• Restringir captura de pantalla: Deshabilita la capacidad de capturar pantallas usando cualquiera de los programas o aplicaciones de captura de pantalla. Si un usuario intenta capturar la pantalla, se captura una pantalla en blanco.

Para obtener más detalles, consulte Configurar una política de acceso.

Habilitar Citrix Enterprise Browser para el lanzamiento de aplicaciones

Secure Private Access permite a los usuarios finales iniciar sus aplicaciones mediante Citrix Enterprise Browser (CEB). CEB es un navegador basado en cromo integrado con la aplicación Citrix Workspace que permite una experiencia de acceso segura y fluida para acceder a aplicaciones web y SaaS dentro de Citrix Enterprise Browser.

CEB se puede configurar como navegador preferido o como su navegador de trabajo para todas las aplicaciones web alojadas internamente o aplicaciones SaaS con políticas de seguridad. CEB permite a los usuarios abrir todos los dominios de aplicaciones web/SaaS configurados dentro de un entorno seguro y controlado.

Habilitar el navegador Citrix Enterprise

Los administradores pueden usar el servicio de configuración global de aplicaciones (GACS) para configurar Citrix Enterprise Browser como el navegador predeterminado para iniciar aplicaciones web y SaaS desde la aplicación Citrix Workspace.

Configuración mediante API:

Para configurarlo, aquí hay un archivo JSON de ejemplo para habilitar Citrix Enterprise Browser para todas las aplicaciones, de forma predeterminada:

  "settings": [
                    {
                       "name": "open all apps in ceb",
                       "value": "true"
                    }
                    ]
<!--NeedCopy-->

El valor predeterminado es true.

Configuración a través de GUI:

Seleccione los dispositivos para los cuales CEB debe convertirse en el navegador predeterminado para el lanzamiento de la aplicación.

Para obtener más detalles, consulte Administrar Citrix Enterprise Browser a través de GACS.

Configurar etiquetas para acceso contextual mediante la postura del dispositivo

Después de la verificación de la postura del dispositivo, se le permite a este iniciar sesión y se clasifica como compatible o no compatible. Esta clasificación se pone a disposición en forma de etiquetas para el servicio de acceso privado seguro y se utiliza para proporcionar acceso contextual según la postura del dispositivo.

1. Inicie sesión en Citrix Cloud.
2. En el mosaico Acceso privado seguro, haga clic en Administrar.
3. Haga clic en Políticas de acceso en la navegación izquierda y luego haga clic en Crear política.
4. Introduzca el nombre de la política y la descripción de la misma.
5. En Aplicaciones, seleccione la aplicación o el conjunto de aplicaciones en las que se debe aplicar esta política.
6. Haga clic en Crear regla para crear reglas para la política.
7. Ingrese el nombre de la regla y una breve descripción de la regla y luego haga clic en Siguiente.
8. Seleccione las condiciones de los usuarios. La condición de Usuarios es una condición obligatoria que debe cumplirse para conceder acceso a las aplicaciones a los usuarios.
9. Haga clic en + para agregar la condición de postura del dispositivo.
10. Seleccione Verificación de postura del dispositivo y la expresión lógica del menú desplegable.

11. Introduzca uno de los siguientes valores en las etiquetas personalizadas:

    

    • Compatible - Para dispositivos compatibles
    • No compatible - Para dispositivos no compatibles
12. Haga clic en Siguiente.

13. Seleccione las acciones que se deben aplicar en función de la evaluación de la condición y luego haga clic en Siguiente.

    La página Resumen muestra los detalles de la política.

14. Verifique los detalles y haga clic en Finalizar.

Nota

Cualquier aplicación de acceso privado seguro que no esté etiquetada como compatible o no compatible en la política de acceso se trata como la aplicación predeterminada y es accesible en todos los puntos finales independientemente de la postura del dispositivo.

Experiencia del usuario final

El administrador de Citrix tiene el poder de ampliar el control de seguridad con la ayuda de Citrix Secure Private Access. La aplicación Citrix Workspace es un punto de entrada para acceder a todos los recursos de forma segura. Los usuarios finales pueden acceder a aplicaciones virtuales, escritorios, aplicaciones SaaS y archivos a través de la aplicación Citrix Workspace. Con Citrix Secure Private Access, los administradores pueden controlar cómo el usuario final accede a una aplicación SaaS a través de la interfaz de usuario web de Citrix Workspace Experience o el cliente de la aplicación nativa de Citrix Workspace.

Cuando el usuario inicia la aplicación Workspace en el punto final, ve sus aplicaciones, escritorios, archivos y aplicaciones SaaS. Si un usuario hace clic en la aplicación SaaS cuando la seguridad mejorada está deshabilitada, la aplicación se abre en un navegador estándar instalado localmente. Si el administrador ha habilitado la seguridad mejorada, las aplicaciones SaaS se abren en el CEB dentro de la aplicación Workspace. La accesibilidad a los hipervínculos dentro de las aplicaciones SaaS y las aplicaciones web está controlada según las políticas de sitios web no autorizados. Para obtener detalles sobre sitios web no autorizados, consulte Sitios web no autorizados.

De manera similar, con el portal web Workspace, cuando la seguridad mejorada está deshabilitada, las aplicaciones SaaS se abren en un navegador estándar que está instalado de forma nativa. Cuando la seguridad mejorada está habilitada, las aplicaciones SaaS se abren en el navegador remoto seguro. Los usuarios pueden acceder a los sitios web dentro de las aplicaciones SaaS según las políticas de sitios web no autorizados. Para obtener detalles sobre sitios web no autorizados, consulte Sitios web no autorizados.

Panel de análisis

El panel del servicio de acceso privado seguro muestra los datos de diagnóstico y uso de las aplicaciones SaaS, web, TCP y UDP. El panel proporciona a los administradores visibilidad completa de sus aplicaciones, usuarios, estado de los conectores y uso del ancho de banda en un solo lugar para el consumo. Estos datos se obtienen de Citrix Analytics. Las métricas se clasifican en términos generales en las siguientes categorías.

• Registro y resolución de problemas
• Usuarios
• Aplicaciones
• Políticas de acceso

Para obtener más detalles, consulte Panel de control.

Solucionar problemas de aplicaciones

El gráfico de registros de diagnóstico en el panel de acceso privado seguro proporciona visibilidad de los registros relacionados con la autenticación, el inicio de aplicaciones, la enumeración de aplicaciones y los registros de postura del dispositivo.

• Código de información: Algunos eventos de registro, como fallas, tienen un código de información asociado. Al hacer clic en el código de información, se redirige a los usuarios a los pasos de resolución o a más información sobre ese evento.
• ID de transacción: Los registros de diagnóstico también muestran un ID de transacción que correlaciona todos los registros de acceso privado seguro para una solicitud de acceso. Se pueden generar varios registros a partir de una solicitud de acceso a una aplicación, comenzando por la autenticación, luego la enumeración de aplicaciones dentro de la aplicación del espacio de trabajo y luego el acceso a la aplicación en sí. Todos estos eventos generan sus propios registros. El ID de transacción se utiliza para correlacionar todos estos registros. Puede filtrar los registros de diagnóstico utilizando el ID de transacción para encontrar todos los registros relacionados con una solicitud de acceso a una aplicación en particular. Para obtener más detalles, consulte Solucionar problemas de acceso privado seguro.

Ejemplos de casos de uso

• Acceda a aplicaciones internas (Web/TCP/UDP) utilizando un enfoque de confianza cero sin abrir el tráfico entrante en el firewall
• Pase a un enfoque de confianza cero mediante el descubrimiento de aplicaciones a las que acceden los usuarios
• Restringir el acceso a aplicaciones SaaS a Citrix Enterprise Browser
• Restringir el acceso a las aplicaciones SaaS a las direcciones IP públicas propiedad de la empresa
• Seguridad mejorada para aplicaciones SaaS administradas por Azure
• Seguridad mejorada para Office 365
• Seguridad mejorada para las aplicaciones de Okta

Artículos de referencia

• Introducción al acceso privado seguro
• Resumen técnico
• Arquitectura de referencia
• Citrix Enterprise Browser
• Administre Citrix Enterprise Browser a través de GACS
• Flujo de trabajo guiado por el administrador para una fácil incorporación y configuración

Vídeos de referencia

• Acceso a la red de confianza cero (ZTNA) para aplicaciones
• Acceso privado a aplicaciones web con Citrix Secure Private Access
• Acceso a aplicaciones SaaS públicas con Citrix Secure Private Access
• Acceso privado a aplicaciones cliente-servidor con Citrix Secure Private Access
• Protección contra keyloggers con Citrix Secure Private Access
• Protección de pantalla compartida con Citrix Secure Private Access
• Experiencia del usuario final con Citrix Secure Private Access
• Experiencia de inicio de sesión de ZTNA versus VPN con Citrix Secure Private Access
• Escaneos de puertos ZTNA versus VPN con Citrix Secure Private Access

Novedades en productos relacionados

• Citrix Enterprise Browser: Acerca de esta versión
• Citrix Workspace: Novedades
• Citrix DaaS: Novedades
• Cliente de Citrix Secure Access Clientes de NetScaler Gateway