セキュアなワークスペース アクセス
概要
ユーザーがSaaSベースのアプリケーションを消費するにつれて、組織はすべてのアプリケーションへのアクセスを統一し、エンドユーザーの認証を簡素化しながら、セキュリティとプライバシー基準を適用できる必要があります。また、ベンダーのSLA、アプリケーションの使用率、セキュリティ分析を監視することも重要です。Citrix Secure Workspace Access は、これらの要件などを提供します。
Secure Workspace Access は、SaaS および Web アプリケーションへの瞬時のシングルサインオン (SSO) アクセス、きめ細かなコンテキストセキュリティポリシー、すべてのアプリに対するアプリ保護ポリシー、Web ブラウザーの分離、および Web フィルターポリシーを提供します。Secure Workspace Access は、複数のCitrix Cloudサービスの要素を組み合わせて、エンドユーザーと管理者に統合されたエクスペリエンスを提供します。
- MFA とデバイスの信頼
- ウェブと SaaS SSO
- ゲートウェイ
- クラウドアプリコントロール
- ウェブフィルタリング
- Secure Browser
- アプリ保護
- Analytics
図1: Secure Workspace Access 機能
優先プライマリアイデンティティ
すべての組織では、エンドユーザーのCitrix Workspaceへの初期認証用に、独自のIDプロバイダを選択できます。Workspace では、エンドユーザーはプライマリユーザー ID を使用して強力な認証ポリシーでログインします。
Workspace は、プライマリ ID を使用して一連のリソースに対してユーザーを認証します。各リソースには追加の ID が割り当てられる可能性が高くなります。承認されたリソースのセットに関連付けられたアカウントは、セカンダリ ID です。
プライマリ ID の例を次に示します。
- Azure Active Directory: ワークスペースのサインインプロセスは Azure Active Directory にリダイレクトされ、カスタムブランディング、多要素認証、パスワードポリシー、および監査を組み込むことができます。
- Windows Active Directory: ユーザーのワークスペースエクスペリエンスへの最初のサインオンに、組織のオンプレミスの Active Directory 環境を利用します。オンプレミスのActive Directory yとCitrix Cloudをフェデレートするために、管理者はActive Directory yと同じリソース場所に冗長Cloud Connectorを展開します。
- 時間ベースのワンタイムパスワードを使用する Active Directory: Active Directory ベースの認証には、時間ベースのワンタイムパスワード (TOTP) を使用した多要素認証を含めることもできます。
- Citrix Gateway:組織はオンプレミスのCitrix Gatewayを利用して、Citrix Workspace用のIDプロバイダーとして機能できます。
- Okta:組織では、Citrix Workspace プライマリユーザーディレクトリとしてOkta を使用できます。
図 2: 複数の ID プロバイダー
プライマリとセカンダリ ID を持つことで、Secure Workspace Access はサードパーティを使用して SaaS アプリへのシングルサインオンを提供できます。Secure Workspace Access は、第三者をサービスプロバイダとして扱い、プライマリユーザーディレクトリへのアイデンティティチェーンを提供します。この ID チェーンにより、お客様は、大規模な変更や強化されたセキュリティポリシーと分析の層を必要とせずに、現在の SSO プロバイダーを利用することができます。
図 3: 複数の ID プロバイダーの使用
詳細情報 ここ
Single Sign-On
セキュリティでSecure Workspace Access は、VPN に依存することなく、オンプレミスの Web アプリへの接続を作成できます。この VPN レス接続では、オンプレミス展開コネクタが使用されます。コネクタは、組織のCitrix Cloudサブスクリプションへのアウトバウンドコントロールチャネルを作成します。セキュリティでSecure Workspace Access は、SSO を提供しながら、内部 Web アプリへの接続をトンネリングできます。
組織によっては、すでに SSO プロバイダで標準化されている場合があります。Secure Workspace Access は、サードパーティの SSO プロバイダを利用し、それらのリソースを Workspace に引き込んで、すべてのリソースを 1 つの場所に維持できます。
ユーザーがプライマリIDで認証されると、Citrix Cloudのシングルサインオン機能では、 SAMLアサーションを使用して、以降のSaaSおよびWebアプリケーションに対する認証の課題を自動的に満たします。300種類以上の SAML SSO テンプレートが用意されており、Web アプリや SaaS アプリケーションをすばやく設定することができます。
図 4: SAML を使用して SSO から SaaS へ
詳細情報 ここ
ブラウザの分離
Secure Workspace Access により、エンドユーザーはインターネットを安全に閲覧できます。エンドユーザーがCitrix WorkspaceからSaaSアプリケーションを起動すると、このSaaSアプリケーションに最適なサービスを決定するために、いくつかの決定が動的に行われます。Secure Workspace Access には、このアプリケーションをエンドユーザーに提供する3つの方法が用意されています。
- セキュリティを強化せずにローカルブラウザでアプリケーションを起動する
- Citrix Workspace内の組み込みブラウザーでアプリケーションを起動する
- セキュア・ブラウザ・セッション(仮想化されたブラウザ)でアプリケーションを起動する
図5:複数のブラウザオプション
Citrixでは、ローカルWebブラウザを使用するほかに、Workspace内のアプリにアクセスするための2つの選択肢があります。
まず、Citrix Workspace埋め込みブラウザは、Citrix Workspaceセキュリティサンドボックスに埋め込まれたクライアントマシン上で動作するChromeベースのブラウザです。ローカルで実行すると、エンドユーザーは SaaS アプリケーションの Web ページをレンダリングするのに最適なパフォーマンスが得られます。安全なサンドボックスは、マルウェア、パフォーマンスの低下、データ損失、意図しないエンドユーザーの動作からエンドユーザーと企業を保護します。
図6:Citrixワークスペースに埋め込まれたブラウザ
第2に、Citrix Secure Browserサービスは、エンドユーザーのデバイスにブラウザをインストールする必要がないクラウドでホストされるブラウザサービスです。セキュアブラウザサービスは、基本的に、Citrix Cloudで実行される仮想化されたブラウザです。このホストされたブラウザサービスは、インターネットや企業のブラウザベースのアプリケーションにアクセスするための安全な方法を提供します。ブラウザとユーザー、デバイス、ネットワークとの間に空隙を作り、危険なマルウェアから保護します。
不明または危険なWebサイトへのWebリンクは、Citrix Workspace組み込みブラウザまたはSecure Browserサービスに自動的にリダイレクトされ、悪意のあるWebサイトからエンドユーザーを保護できます。この移行は、エンドユーザーにとって完全に透過的であり、組織の安全性を維持しながら、従業員が仕事を遂行できるようにします。
セキュリティでSecure Workspace Access には、リスクスコアが適用される URI の大規模なデータベースがあり、管理者は URI を許可またはブロックする特定のドメインにポリシーを設定できます。管理者は、アプリケーションをエンドユーザーに提供する方法に関するポリシーを設定することもできます。
図7:Citrix Workspace組み込みブラウザとセキュリティで保護されたブラウザサービスを使用したWebブラウザの分離
次の図は、埋め込みブラウザーで Workspace アプリを使用する場合とローカルブラウザーを使用する場合の通信フローを認可された SaaS アプリと対照的に示しています。
図 8: 強化されたセキュリティフロー図
セキュリティの強化
コンテンツを保護するために、Secure Workspace Access には、SaaS アプリケーション内に強化されたセキュリティポリシーが組み込まれています。各ポリシーは、Workspace アプリを使用する場合は埋め込みブラウザーに制限を適用し、Web またはモバイルの Workspace を使用する場合はセキュアブラウザサービスで制限を適用します。
この機能は、クラウドアプリケーションコントロールと呼ばれ、従業員にプロビジョニングする Web アプリケーションと SaaS アプリケーションの両方にセキュリティポリシーを適用する方法を IT 部門に提供します。これらのポリシーは、次のアプリケーションに保存されたデータを保護します。
- 優先ブラウザー:ローカルブラウザーの使用を無効にし、組み込みブラウザーエンジン(Workspaceアプリ - デスクトップ)またはSecure Browser(Workspaceアプリ - モバイルおよびWeb)に依存します。
- クリップボードへのアクセスを制限する:アプリとエンドポイントのクリップボード間の切り取り/コピー/貼り付け操作を無効にします。
- 印刷を制限する:アプリブラウザ内から印刷する機能を無効にします。
- ナビゲーションを制限する:ブラウザーの[次へ]および[戻る]ボタンを無効にします。
- ダウンロードを制限する:ユーザーがSaaSアプリ内からダウンロードできないようにします。
- 透かしを表示:エンドポイントのユーザー名とIPアドレスを示す画面ベースの透かしをオーバーレイします。ユーザーがスクリーンショットを印刷または撮ろうとすると、透かしが画面に表示されたとおりに表示されます。
図 9: 内部 Web アプリを使用したセキュリティ強化ポリシー
アプリ保護
エンドユーザーが個人用デバイスを仕事に使用するときに軽減する必要があるリスクの 1 つは、マルウェアです。最も危険なタイプの2つは、キーロギングとスクリーンショットマルウェアです。どちらも、ユーザーの資格情報や個人を特定できる情報などの機密情報の流出と収集の両方に使用できます。
セキュリティでSecure Workspace Access には、Web、SaaS、仮想アプリ上のユーザーおよび組織のデータを保護するための高度なポリシーがあります。アプリ保護ポリシーは、キーロガーやスクリーンキャプチャマルウェアによるユーザーセッションとアプリケーションデータのハイジャックを保護します。
アプリ保護ポリシーは、アプリのセキュリティ強化を有効にしながら適用されるルールです。
- キーロギング防止 — キーストロークを暗号化することにより、フォーカスのあるアクティブなウィンドウをキーロガーから保護します
- アンチスクリーンキャプチャ — 画面を非表示にすることで、アクティブなウィンドウをスクリーンショットから保護します
悪意の少ないが、同様に危険なリスクは、偶発的な画面共有です。デバイスでの個人使用と仕事の使用量はぼやけており、エンドユーザーはビジネスアプリでの作業から、そのデバイス上の友人や家族との仮想ハングアウトに移行することが一般的になっています。このようなシナリオでは、ビジネスアプリで機密データを誤って画面共有すると、特に規制の厳しい業界のエンドユーザーにとって重大な問題が発生する可能性があります。
図10:画面共有アプリの使用中にCitrix Workspaceプライバシーを保護するアプリ保護ポリシー
Web フィルタリング
Secure Workspace Access には、URL フィルタリングエンジンが含まれています。この機能は、URL に含まれる情報を使用することで、インターネット上の悪意のある Web サイトへのユーザーアクセスを監視および制御するのに役立ちます。前述のブラウザ分離オプションと一緒に、Webフィルタリングは管理者から選択するオプションを提供します。URL を完全にブロックしたり、埋め込みブラウザで URL にアクセスしたり、セキュアブラウザセッションで URL にアクセスしたりする必要があります。
Web フィルタリングコントローラは、分類データベースと URL リストを使用します。リクエストがWebフィルタリングコントローラに送信されると、まず重要なCitrix Cloud URLを含むグローバル許可リストをチェックします。次に、「リストと分類」をチェックし、ブロックして許可して確認し、セキュアブラウザのURLにリダイレクトします。いずれのURLも一致しない場合、デフォルトではデフォルトのリストにフォールバックされます。
図 11: Web フィルタリングプロセス
管理者は、許可リスト URL にアクセスする場合でも、慎重なアプローチを取ることができます。このアプローチにより、ユーザーは必要な情報にアクセスできるようになります。インターネットから配信される予期せぬ脅威や悪意のあるコンテンツに対する保護を提供しながら、生産性に影響を与えません。
許可リスト URL の信頼を前提とする、従来の URL フィルタリングエンジン。セキュリティでSecure Workspace Access は、許可リスト URL を暗黙的に信頼しません。URL フィルターエンジンによって安全であると見なされる Web ページは、悪意のあるリンクをホストする可能性があるためです。セキュリティで保護されたワークスペースアクセスでは、信頼済みサイトの URL もテストされます。
図 12: 禁止一覧のサイトに誤ってアクセスしたエンドユーザを保護する Web フィルタポリシー
次の図は、埋め込みブラウザーで Workspace アプリを使用する場合とローカルブラウザーを使用する場合の認可された SaaS アプリ内の URL への通信フローの対比を示します。
図 13: URL フィルタフロー図
セキュリティ分析
エンドユーザーは、セキュリティ強化が有効になっている SaaS アプリに常にアクセスします。Workspaceアプリ、Citrix Gatewayサービス、およびSecure Browserサービスは、Citrix Analytics for Securityサービスに次のユーザーとアプリケーションの動作に関する情報を提供します。これらの分析は、ユーザーの全体的なリスクスコアに影響を与えます:
- アプリの起動時間
- アプリの終了時間
- 印刷アクション
- クリップボードへのアクセス
- URLアクセス
- データのアップロード
- データのダウンロード
Webフィルタリング機能は、SaaSアプリケーション内で選択された各ハイパーリンクのリスクを評価します。これらのサイトにアクセスし、ユーザーの行動の変化を監視すると、ユーザーの全体的なリスクスコアが増加します。エンドポイントデバイスが侵害され、データの感染または暗号化が開始されたか、ユーザーとデバイスが知的財産を盗んでいることを通知します。
使用状況の分析
使用状況分析は、Secure Workspace Access 基本的な使用状況データに関する洞察を提供します。管理者は、組織で使用されている SaaS および Web アプリケーションをユーザーがどのように操作するかを可視化できます。
使用状況データは、製品のユーザーの採用とエンゲージメントを理解するのに役立ちます。次のメトリクスは、の使用方法とユーザに対する付加価値を判断します。
- SaaSおよびWebアプリケーションを使用しているユニークユーザーの数
- トップSaaSおよびWebアプリケーションユーザー
- 起動されたSaaSおよびWebアプリケーションの数
- トップSaaSおよびWebアプリケーション
- ユーザーがアクセスしたトップドメイン
- ユーザー、アプリケーション、ドメイン間でアップロードおよびダウンロードされたデータの総量
詳細情報 ここ
使用例
VPNレスアクセス
Citrix Secure Workspace Access は、既存のVPNソリューションを補完または置き換えるゼロトラストソリューションにより、VPNなしでリモートユーザーがアクセスを許可します。このソリューションは、外部ユーザーに内部リソースへのアクセスを提供する多くの課題を解決します。Secure Workspace Access には、次の機能があります。
- 管理、保守、セキュリティを確保するネットワーク・デバイスがないため、アプライアンスの無秩序な増加を軽減
- クラウドサービスはCloud Connector経由で内部リソースに接続できるため、パブリック IP アドレスは不要です
- Cloud Connectorおよび仮想アプリ/デスクトップリソースは、クラウドベースのサービスへのアウトバウンド接続を確立するため、ファイアウォールルールは不要です (インバウンド通信は不要)
- グローバル展開では、組織は最適なゲートウェイサービスに自動的にルーティング/再ルーティングされるため、組織に必要な構成が大幅に簡素化されます。
- 基盤となるデータセンターインフラストラクチャに変更はありません。
Workspace では、VPN に依存することなく、オンプレミスの Web アプリへの接続を作成できます。この VPN レス接続では、オンプレミス展開コネクタが使用されます。コネクタは、組織のCitrix Cloudサブスクリプションへのアウトバウンドコントロールチャネルを作成します。そこから、Workspace は SSO を提供しながら、内部 Web アプリへの接続をトンネルできます。VPNレスアクセスにより、セキュリティとプライバシーが向上するだけでなく、エンドユーザーエクスペリエンスが向上します。
図 14: ユースケース 1: VPN レスアクセス
SaaS アプリの SSO とセキュリティコントロール
Secure Workspace Access は、Web および SaaS アプリケーションにアクセスするためのシングルサインオンとコンテキストポリシーを提供します。IdPとしてCitrix GatewayまたはOkta を使用すると、すべての多要素認証メカニズムとコンテキスト制御がサポートされます。これらの統合により、お客様の既存のアイデンティティエコシステムの投資を保護し、フォークリフトのアップグレードや代替を行うことなく、クラウドへの移行が容易になります。
承認された SaaS アプリは安全と見なされますが、SaaS アプリのコンテンツは実際には危険であり、セキュリティリスクとなります。ユーザーがSaaSアプリ内のハイパーリンクをクリックすると、トラフィックはWebフィルタリング機能を介してルーティングされ、ハイパーリンクのリスク評価が提供されます。ハイパーリンクのリスク評価と URL カテゴリに基づいて、Web フィルタリング機能は、次のようにユーザーからの要求を許可する、拒否、またはリダイレクトします。
- 承認済み:ハイパーリンクは安全であると見なされ、Workspaceアプリ内の埋め込みブラウザーはハイパーリンクにアクセスします。
- 拒否:ハイパーリンクは危険であると見なされ、アクセスが拒否されます。
- リダイレクト:ハイパーリンク要求が組み込みブラウザまたはSecure Browserサービスにリダイレクトされます。このサービスでは、ユーザーのインターネットブラウジングアクティビティがエンドポイントデバイス、企業ネットワーク、SaaSアプリから隔離されます
App Protection によるセキュリティ強化により、IT 部門は、従業員にプロビジョニングする Web アプリケーションと SaaS アプリケーションの両方にセキュリティポリシーを適用できます。これらのポリシーは、次のコントロールを適用することにより、これらのアプリケーションに保存されているデータを保護します。
- 透かし
- ナビゲーションを制限する
- ダウンロードを制限
- キーロギングを制限する
- ウェブサイトのフィルタリング
- 画面キャプチャを制限する
- 印刷を制限
リモートワーカーが増えたことは、さまざまなアプリケーションを通じて、より多くのリモート会議や Web 会議を意味します。これらの会議は、通常、従業員が自分の画面を共有する必要があり、誤って機密データを公開する可能性を開きます。App Protection 機能は、ユーザーの画面上の情報の代わりに空白のスクリーンショットを返すことで、スクリーンショットマルウェアや Web 会議画面のキャプチャから保護します。この保護は、最も一般的なスニッピングツール、印刷画面ツール、スクリーンキャプチャ、および記録ツールにも適用されます。
インターネットトラフィックのブラウザ分離により、エンドユーザーと企業が Web ベースの脅威から保護されます。組み込みブラウザとセキュアブラウザサービスを使用すると、管理者はローカルの Chrome ベースのブラウザで、クラウドでホストされる仮想マシン (VM) のサイトにアクセスすることができます。サービスでは、可能性のある攻撃がクラウドに含まれます。ブラウザは、使用後に仮想マシンが破棄され、アプリケーションアクセスごとに新しいインスタンスが作成される隔離された環境で実行されます。ポリシーは、「コピーアンドペースト」などの機能を制御し、ファイルやデータが企業ネットワークに到達できないようにします。
図 15: ユースケース 2: SaaS アプリケーションの SSO とセキュリティコントロール
BYOおよび管理されていないエンドポイントでのユーザーおよび企業データの保護
セキュリティSecure Workspace Access は、強化されたセキュリティポリシーを使用して、組織をデータの損失や資格情報の盗難から保護する機能を提供します。従業員が個人のデバイスを使用して企業のリソースにアクセスする場合、セキュリティポリシーの強化はさらに重要になります。
ポリシーの 1 セットは、アプリ保護機能です。アプリ保護を使用すると、Citrix管理者はポリシーを適用して、画面のキャプチャとキーログからエンドポイントを保護できます。この機能により、パスワードや個人情報をキャプチャする可能性のあるマルウェアやキーロガーから従業員を保護します。
アプリ保護ポリシーは、画面やキーボードの押下をキャプチャするために必要な基盤となるOSの特定のAPI呼び出しへのアクセスを制御することによって機能します。これらのポリシーは、最もカスタマイズされ、専用のハッカーツールから保護することができます。従業員がCitrix Workspace内で使用する仮想アプリケーションまたはWebアプリケーション、およびWorkspace内の認証ダイアログボックス(パスワードの漏洩を防ぐ)を保護するのに役立ちます。
App Protection 機能は、キーロギングツールがアクセスする前に、ユーザーが入力したテキストを暗号化して解読不能にします。データを読み取るクライアントエンドポイントにインストールされたキーロガーは、ユーザーが入力しているキーストロークの代わりにギブな文字をキャプチャします。
図 16: ユースケース 3: BYOおよび管理対象外のデバイス上のユーザーと企業データの保護
結果
結論として、Citrix Workspaceはすべてのリソースを単一のパーソナライズされたユーザーインターフェイスに集約します。エンドユーザーは、ローカルにインストールされた Workspace アプリ (デスクトップおよびモバイル) を選択するか、ローカルブラウザーを使用して Web ベースのワークスペースにアクセスできます。選択したアプローチと選択したデバイスに関係なく、エクスペリエンスの使い慣れた一貫性が保たれます。
安全なワークスペース・アクセスにより、組織はアクセスや集約にとどまります。Secure Workspace Access は、SaaS アプリやインターネットブラウジングへの条件付きアクセスを可能にするITポリシーコントロールを提供します。これは、組織の全体的なセキュリティとコンプライアンスの態勢を強化します。ユーザーエクスペリエンスは、Citrix Workspaceの一部としてシームレスに統合されたままです。SaaS および Web アプリには、モバイルアプリ、仮想アプリ、デスクトップと並行してアクセスできます。