Acceso seguro a Workspace

Información general

A medida que las personas consumen más aplicaciones basadas en SaaS, las organizaciones deben poder unificar el acceso a todas las aplicaciones y simplificar la autenticación de los usuarios finales, al tiempo que aplican los estándares de seguridad y privacidad. También es crucial supervisar los SLAs de los proveedores, la utilización de aplicaciones y el análisis de seguridad. Citrix Secure Workspace Access cumple con esos requisitos y mucho más.

Secure Workspace Access proporciona acceso instantáneo de inicio de sesión único (SSO) a SaaS y aplicaciones web, directivas de seguridad contextuales y granulares, directivas de protección de aplicaciones para todas las aplicaciones, aislamiento de exploradores web y directivas de filtrado web. Secure Workspace Access combina elementos de varios servicios de Citrix Cloud para ofrecer una experiencia integrada para usuarios finales y administradores:

  • MFA y confianza en dispositivos
  • SSO Web y SaaS
  • Puerta de enlace
  • Control de aplicaciones en la nube
  • Filtrado web
  • Secure Browser Service
  • Protección de aplicaciones
  • Analytics

Secure Workspace Access de alto nivel

Ilustración 1: Capacidades de Secure Workspace Access de

Identidad principal preferida

Cada organización puede seleccionar su propio proveedor de identidades único para la autenticación inicial de los usuarios finales en Citrix Workspace. Con Workspace, los usuarios finales inician sesión con directivas de autenticación sólidas mediante su identidad de usuario principal.

Workspace utiliza la identidad principal para autorizar al usuario a un conjunto de recursos, lo más probable es que cada uno tenga identidades adicionales. Las cuentas asociadas con el conjunto de recursos autorizados son identidades secundarias.

Entre los ejemplos de identidades principales se incluyen:

  • Azure Active Directory: el proceso de inicio de sesión de Workspace se redirige a Azure Active Directory, que puede incorporar marca personalizada, autenticación multifactor, directivas de contraseñas y auditoría.
  • Windows Active Directory: Utiliza el entorno local de Active Directory de una organización para iniciar sesión inicial en la experiencia del espacio de trabajo del usuario. Para federar Active Directory local con Citrix Cloud, el administrador implementa conectores de nube redundantes en la misma ubicación de recursos que Active Directory.
  • Active Directory con contraseña de una sola vez basada en tiempo: la autenticación basada en Active Directory también puede incluir autenticación multifactor con una contraseña de una sola vez basada en tiempo (TOTP).
  • Citrix Gateway: las organizaciones pueden utilizar un Citrix Gateway local para actuar como proveedor de identidades para Citrix Workspace.
  • Okta: Las organizaciones pueden usar Okta como directorio de usuario principal para Citrix Workspace.

Autenticación

Ilustración 2: Varios proveedores de identidades

Tener identidades primarias y secundarias permite que Secure Workspace Access use un tercero para proporcionar inicio de sesión único a las aplicaciones SaaS. Secure Workspace Access trata al tercero como un proveedor de servicios para proporcionar una cadena de identidad de vuelta al directorio de usuario principal. Este encadenamiento de identidades permite a los clientes mantenerse en su proveedor de SSO actual sin requerir cambios importantes y aplicar niveles en directivas y análisis de seguridad mejorados.

Cualquier identidad

Ilustración 3: Uso de varios proveedores de identidades

Más información aquí

Single Sign-On

Secure Workspace Access puede crear una conexión a aplicaciones web locales sin depender de una VPN. Esta conexión sin VPN utiliza un conector implementado en las instalaciones. El conector crea un canal de control saliente para la suscripción a Citrix Cloud de la organización. A partir de ahí, Secure Workspace Access puede túnel de conexiones a las aplicaciones web internas mientras proporciona SSO.

Es posible que algunas organizaciones ya se hayan estandarizado en un proveedor de SSO. Secure Workspace Access puede utilizar proveedores de SSO de terceros y aún así extraer esos recursos en Workspace para mantener una única ubicación para todos los recursos.

Una vez que el usuario se autentica con una identidad principal, la función de inicio de sesión único de Citrix Cloud utiliza aserciones SAML para cumplir automáticamente los desafíos de autenticación subsiguientes para SaaS y aplicaciones web. Hay más de 300 plantillas de SSO SAML disponibles para una configuración rápida para aplicaciones web y SaaS.

Single Sign-On

Ilustración 4: SSO a SaaS mediante SAML

Más información aquí

Aislamiento explorador

Secure Workspace Access permite a los usuarios finales navegar por Internet de forma segura. Cuando un usuario final inicia una aplicación SaaS desde Citrix Workspace, se toman varias decisiones dinámicamente para decidir la mejor manera de servir esta aplicación SaaS. Secure Workspace Access proporciona tres formas de servir esta aplicación al usuario final:

  • Inicie la aplicación en el explorador local sin seguridad mejorada
  • Inicie la aplicación en el explorador incrustado en Citrix Workspace
  • Iniciar la aplicación en una sesión de Explorador seguro: un explorador virtualizado

Opciones de explorador

Ilustración 5: Varias opciones de explorador

Además de utilizar el explorador web local, Citrix ofrece dos alternativas para acceder a las aplicaciones dentro de Workspace.

En primer lugar, el explorador integrado de Citrix Workspace es un explorador basado en Chrome que se ejecuta en el equipo cliente incrustado en el entorno limitado de seguridad Citrix Workspace. La ejecución local ofrece a los usuarios finales el mejor rendimiento para renderizar páginas web de aplicaciones SaaS. El entorno limitado seguro protege al usuario final y a la empresa contra el malware, la degradación del rendimiento, la pérdida de datos y el comportamiento no deseado del usuario final.

Aplicación Workspace

Ilustración 6: Explorador integrado en Citrix Workspace

En segundo lugar, Citrix Secure Browser Service es un servicio de explorador alojado en la nube que no requiere que se instale ningún explorador en dispositivos de usuario final. El servicio Secure Browser es esencialmente un explorador virtualizado que se ejecuta en Citrix Cloud. Este servicio de explorador alojado proporciona una forma segura de acceder a Internet y a aplicaciones basadas en explorador corporativo. Crea un espacio de aire entre el explorador y los usuarios, dispositivos y redes, protegiéndolos de malware peligroso.

Los vínculos web a sitios web desconocidos o arriesgados se pueden redirigir automáticamente al explorador integrado de Citrix Workspace o al servicio Secure Browser para proteger a los usuarios finales de sitios web potencialmente malintencionados. Esta transición es completamente transparente para el usuario final y mantiene a las organizaciones seguras al tiempo que permite a los empleados realizar su trabajo.

Secure Workspace Access tiene una gran base de datos de URI que tienen puntuaciones de riesgo y los administradores pueden establecer directivas en dominios específicos para permitir o bloquear URI. Los administradores también pueden establecer directivas sobre cómo se deben servir las aplicaciones a los usuarios finales.

Aislamiento explorador

Ilustración 7: Aislamiento del explorador Web con el explorador integrado de Citrix Workspace y el servicio Secure Browser

El siguiente diagrama contrasta el flujo de comunicación con las aplicaciones SaaS sancionadas cuando se utiliza la aplicación Workspace con explorador integrado en comparación con un explorador local.

Diagrama de flujo de seguridad mejorado

Ilustración 8: Diagrama de flujo de seguridad mejorado

Seguridad mejorada

Para proteger el contenido, Secure Workspace Access incorpora directivas de seguridad mejoradas dentro de las aplicaciones SaaS. Cada directiva impone una restricción en el explorador incrustado cuando se utiliza la aplicación Workspace o en el servicio Explorador seguro cuando se utiliza el espacio de trabajo en la web o en dispositivos móviles.

Esta función, conocida como Cloud App Control, proporciona a TI una forma de aplicar directivas de seguridad tanto en aplicaciones web como SaaS que aprovisionan a los empleados. Estas directivas protegen los datos almacenados en estas aplicaciones:

  • Explorador preferido: inhabilita el uso del explorador local y se basa en el motor del explorador integrado (aplicación Workspace - escritorio) o Secure Browser (aplicación Workspace: móvil y web).
  • Restringir el acceso al portapapeles: Inhabilita las operaciones de cortar/copiar/pegar entre la aplicación y el portapapeles del dispositivo de punto final.
  • Restringir la impresión: Inhabilita la capacidad de imprimir desde el explorador de la aplicación.
  • Restringir navegación: Inhabilita los botones del explorador Siguiente/Volver.
  • Restringir descargas: inhabilita la capacidad del usuario para descargar desde la aplicación SaaS.
  • Mostrar marca de agua: superpone una marca de agua basada en pantalla que muestra el nombre de usuario y la dirección IP del extremo. Si un usuario intenta imprimir o tomar una captura de pantalla, la marca de agua aparece como se muestra en la pantalla.

Seguridad mejorada

Ilustración 9: Directivas de seguridad mejoradas con una aplicación web interna

Protección de aplicaciones

Un riesgo que debe mitigarse cuando los usuarios finales utilizan sus dispositivos personales para trabajar es el malware. Dos de los tipos más peligrosos son el registro de teclas y el malware de captura de pantalla. Ambos se pueden utilizar tanto para exfiltrar y recoger información confidencial como credenciales de usuario o información de identificación personal.

Secure Workspace Access tiene directivas avanzadas para proteger los datos de usuarios y organizaciones en aplicaciones web, SaaS y virtuales. Las directivas de protección de aplicaciones protegen las sesiones de usuario y el secuestro de datos de aplicaciones mediante keyloggers y captura de pantalla de malware.

Las directivas de protección de aplicaciones son reglas que se aplican al mismo tiempo que permiten una seguridad mejorada en una aplicación.

  • Anti-Keylogging: protege la ventana activa en el foco frente a los registradores de teclas cifrando las pulsaciones de teclas
  • Captura antipantalla: protege la ventana activa contra capturas de pantalla al cubrir la pantalla

Un riesgo menos malicioso pero igualmente peligroso es el uso compartido accidental de pantalla. La línea entre el uso personal y el trabajo en los dispositivos se ha desenfocado, por lo que es común que los usuarios finales pasen de trabajar en una aplicación empresarial a un lugar de encuentro virtual con amigos o familiares en ese dispositivo. En estos escenarios, el uso compartido accidental de pantalla de datos confidenciales en la aplicación empresarial puede dar lugar a problemas significativos, especialmente para los usuarios finales de industrias altamente reguladas.

Protección de aplicaciones

Ilustración 10: Directivas de protección de aplicaciones que protegen la privacidad de Citrix Workspace mientras se usa una aplicación para compartir pantalla

Filtrado Web

Secure Workspace Access incluye un motor de filtrado de URL. Mediante el uso de la información contenida en las URL, esta función ayuda a los administradores a supervisar y controlar el acceso de los usuarios a sitios web maliciosos en Internet. Junto con las opciones de aislamiento del explorador mencionadas anteriormente, el filtrado web ofrece a los administradores opciones entre las que elegir. Pueden bloquear completamente una URL, requerir acceso a una URL en el explorador incrustado o requerir el acceso a una URL en una sesión de Explorador seguro.

El controlador de filtrado web utiliza una base de datos de categorización y una lista de direcciones URL. Cuando la solicitud llega al controlador de filtrado web, primero comprueba la lista global de permitidos, que también contiene direcciones URL críticas de Citrix Cloud. Luego se comprueba en “Listas y categorización” y verifica con bloqueado y permitido y redirecciona a URL del explorador seguro. Si ninguna de las URL coincide, por defecto vuelve a la lista predeterminada.

Filtrado Web

Ilustración 11: Proceso de filtrado Web

Los administradores pueden adoptar un enfoque cauteloso incluso para acceder a las URL de listas permitidas. Este enfoque garantiza que los usuarios tengan acceso a la información que necesitan. No afecta a la productividad al tiempo que proporciona protección contra amenazas imprevistas o contenido malicioso suministrado desde Internet.

Motor de filtrado de URL tradicional que asume confianza para una URL de lista permitida. Secure Workspace Access no confía implícitamente en una URL de lista de permisos, ya que las páginas web, consideradas seguras por los motores de filtrado de URL, pueden alojar vínculos malintencionados. Con el Secure Workspace Access, también se prueban las direcciones URL de sitios de confianza.

Filtrado Web

Ilustración 12: Directivas de filtrado web que protegen a los usuarios finales que acceden inadvertidamente a sitios de la lista de bloqueados

El siguiente diagrama contrasta el flujo de comunicación con las URL dentro de las aplicaciones SaaS autorizadas cuando se utiliza la aplicación Workspace con explorador integrado en comparación con un explorador local.

Diagrama de flujo de seguridad mejorado

Ilustración 13: Diagrama de flujo de filtro de URL

Security Analytics

Los usuarios finales acceden invariablemente a las aplicaciones SaaS que tienen habilitada la seguridad mejorada. La aplicación Workspace, el servicio Citrix Gateway y el servicio Explorador seguro proporcionan al servicio de análisis de seguridad información sobre los siguientes comportamientos de usuario y aplicación. Estos análisis afectan a la puntuación de riesgo general del usuario:

  • Hora de inicio de la aplicación
  • Hora de finalización de la aplicación
  • Acción de impresión
  • Acceso al portapapeles
  • Acceso a URL
  • Carga de datos
  • Descarga de datos

La función de filtrado web evalúa el riesgo de cada hipervínculo seleccionado dentro de la aplicación SaaS. El acceso a estos sitios y la supervisión de los cambios en el comportamiento de los usuarios aumenta la puntuación de riesgo general del usuario. Señala que el dispositivo de punto final está comprometido y comenzó a infectar o cifrar datos o que el usuario y el dispositivo están robando la propiedad intelectual.

Análisis de uso

Usage Analytics proporciona información sobre los datos básicos de uso de Secure Workspace Access. Los administradores obtienen la visibilidad de cómo interactúan los usuarios con el SaaS y las aplicaciones web que se están utilizando en su organización.

Los datos de uso les ayudan a comprender la adopción y participación del usuario de un producto. Las siguientes métricas para determinar cómo se están utilizando y agregar valor para los usuarios:

  • Número de usuarios únicos que utilizan SaaS y aplicaciones web
  • Principales usuarios de aplicaciones web y SaaS
  • Número de aplicaciones Saas y web lanzadas
  • Principales aplicaciones Saas y web
  • Principales dominios a los que acceden los usuarios
  • Cantidad total de datos cargados y descargados entre usuarios, aplicaciones y dominios

Más información aquí

Casos de uso

Acceso sin VPN

Citrix Secure Workspace Access complementa o reemplaza las soluciones VPN existentes con una solución Zero Trust que permite el acceso de usuarios remotos sin VPN. Esta solución resuelve muchos desafíos al proporcionar acceso a recursos internos para usuarios externos. Con el Secure Workspace Access hay:

  • No hay dispositivo de red que administrar, mantener y proteger, lo que reduce la expansión de los dispositivos
  • No se requiere una dirección IP pública, ya que los servicios en la nube pueden ponerse en contacto con los recursos internos a través de los conectores en la nube
  • No se requieren reglas de firewall, ya que el conector en la nube y los recursos de aplicaciones y escritorios virtuales establecen conexiones salientes a los servicios basados en la nube (no se requiere comunicación entrante)
  • Una implementación global, las organizaciones se enrutan o redirigen automáticamente al servicio de puerta de enlace óptimo, lo que simplifica enormemente las configuraciones requeridas por la organización.
  • Sin cambios en la infraestructura del centro de datos subyacente.

Workspace puede crear una conexión a aplicaciones web locales sin depender de una VPN. Esta conexión sin VPN utiliza un conector implementado en las instalaciones. El conector crea un canal de control saliente para la suscripción a Citrix Cloud de la organización. A partir de ahí, Workspace puede túnel de conexiones a las aplicaciones web internas mientras proporciona SSO. El acceso sin VPN no solo mejora la seguridad y la privacidad, sino que también mejora la experiencia del usuario final.

Acceso sin VPN

Ilustración 14: Caso de uso 1: Acceso sin VPN

SSO y controles de seguridad para aplicaciones SaaS

Secure Workspace Access ofrece directivas contextuales y de inicio de sesión único para acceder a aplicaciones web y SaaS. El uso de Citrix Gateway u Okta como IdP proporciona soporte para todos los mecanismos de autenticación multifactor y controles contextuales. Estas integraciones protegen la inversión existente en el ecosistema de identidades de los clientes y facilitan su traslado a la nube sin necesidad de rotura y reemplazan la actualización de la carretilla elevadora.

Aunque una aplicación SaaS autorizada se considera segura, el contenido de la aplicación SaaS en realidad puede ser peligroso, lo que constituye un riesgo para la seguridad. Cuando un usuario hace clic en un hipervínculo dentro de una aplicación SaaS, el tráfico se enruta a través de la función de filtrado web, que proporciona una evaluación de riesgos para el hipervínculo. Basándose en la evaluación de riesgos del hipervínculo y las categorías URL, la función de filtrado web permite, deniega o redirige la solicitud del usuario de la siguiente manera:

  • Aprobado: el hipervínculo se considera seguro y los accesos del explorador incrustado dentro de la aplicación Workspace acceden al hipervínculo.
  • Denegado: El hipervínculo se considera peligroso y se deniega el acceso.
  • Redirigido: la solicitud de hipervínculo se redirige al explorador incrustado o al servicio Explorador seguro, donde las actividades de navegación por Internet del usuario están aisladas del dispositivo de punto final, la red corporativa y la aplicación SaaS

La seguridad mejorada con la protección de aplicaciones proporciona a TI una forma de aplicar directivas de seguridad tanto en aplicaciones web como SaaS que aprovisionan a los empleados. Estas directivas protegen los datos almacenados en estas aplicaciones aplicando los siguientes controles:

  • Marca de agua
  • Restringir la navegación
  • Restringir descargas
  • Restringir el registro de teclas
  • Filtrado de sitios web
  • Restringir la captura
  • Restringir impresión

Más trabajadores remotos significan más reuniones remotas y conferencias web a través de varias aplicaciones. Estas reuniones suelen requerir que los empleados compartan su pantalla, lo que abre la posibilidad de exponer datos confidenciales por error. La función Protección de aplicaciones protege contra el malware de captura de pantalla y la captura de pantalla de conferencias web devolviendo una captura de pantalla en blanco en lugar de la información que aparece en la pantalla del usuario. Esta protección también se aplica a las herramientas de recorte más comunes, herramientas de impresión de pantalla, captura de pantalla y herramientas de grabación.

El aislamiento del explorador para el tráfico de Internet protege a los usuarios finales y las empresas de las amenazas basadas en la web. Con el servicio Explorador integrado y explorador seguro, los administradores tienen la opción de acceder a sitios en un explorador local basado en Chrome y una máquina virtual (VM) alojada en la nube. Con el servicio, los posibles ataques están contenidos en la nube. Los exploradores se ejecutan en un entorno aislado donde la máquina virtual se destruye después de su uso y se crea una nueva instancia para cada acceso a la aplicación. Las directivas controlan funciones como “Copiar y pegar” para que ningún archivo o datos pueda llegar a la red corporativa.

SSO y controles de seguridad para aplicaciones SaaS

Ilustración 15: Caso de uso 2: SSO y controles de seguridad para aplicaciones SaaS

Protección de datos corporativos y de usuarios en BYO y dispositivos de punto final no administrados

Mediante directivas de seguridad mejoradas, Secure Workspace Access ofrece a los administradores la capacidad de proteger a sus organizaciones contra la pérdida de datos y el robo de credenciales. Las directivas de seguridad mejoradas son aún más críticas cuando los empleados utilizan dispositivos personales para acceder a los recursos corporativos.

Un conjunto de directivas es la función Protección de aplicaciones. La protección de aplicaciones permite a los administradores de Citrix aplicar directivas para proteger los dispositivos de punto final desde la captura de pantalla y el registro de teclas. La función protege a los empleados de malware inactivo que captura la pantalla o los keyloggers que pueden capturar contraseñas o información personal.

Las directivas de protección de aplicaciones funcionan controlando el acceso a llamadas API específicas del sistema operativo subyacente necesario para capturar pantallas o pulsaciones de teclado. Estas directivas pueden proteger incluso contra las herramientas de hackers más personalizadas y diseñadas específicamente. Ayuda a proteger cualquier aplicación virtual o web que utilizan los empleados en Citrix Workspace y los cuadros de diálogo de autenticación (evitando fugas de contraseñas) dentro de Workspace.

La función Protección de aplicaciones hace que el texto introducido por el usuario indescifrable al cifrarlo antes de que una herramienta de registro de teclas pueda acceder a él. Un keylogger instalado en el extremo del cliente leyendo los datos capturaría caracteres ininteligibles en lugar de las pulsaciones de teclas que el usuario está escribiendo.

Protección de datos corporativos y de usuarios en BYO y dispositivos no administrados

Ilustración 16: Caso de uso 3: Protección de datos corporativos y de usuarios en BYO y dispositivos no administrados

Resumen

En conclusión, Citrix Workspace agrega todos los recursos en una única interfaz de usuario personalizada. Los usuarios finales pueden optar por una aplicación Workspace instalada localmente (escritorio y móvil) o utilizar sus exploradores locales para acceder a un espacio de trabajo basado en Web. Independientemente del enfoque seleccionado y del dispositivo elegido, la experiencia sigue siendo familiar y consistente.

Con el Secure Workspace Access, las organizaciones van más allá del acceso y la agregación. Secure Workspace Access proporciona controles de directivas de TI que permiten el acceso condicional a las aplicaciones SaaS y la navegación por Internet. Mejora la seguridad general y la postura de cumplimiento normativo de una organización. La experiencia del usuario permanece perfecta e integrada como parte de Citrix Workspace. Se puede acceder a SaaS y aplicaciones web junto con sus aplicaciones y escritorios móviles y virtuales.

Acceso seguro a Workspace