Citrix Secure Private Access

Secure Private Access 服务解决方案概述

October 21, 2024

投稿者:

C C

解决方案概述

传统的 VPN 解决方案需要管理最终用户设备，在网络级别提供访问权限，并实施静态访问控制策略。 Citrix Secure Private Access 为 IT 提供了一组安全控制措施，以防范来自 BYO 设备的威胁，使用户能够选择从任何设备（无论是托管设备还是 BYO）访问其 IT 批准的应用程序。

Citrix Secure Private Access 为应用程序提供自适应身份验证、单点登录支持和增强的安全控制。 Secure Private Access 还提供了在使用 Device Posture 服务建立会话之前扫描最终用户设备的功能。根据 Adaptive Authentication 或 Device Posture 结果，管理员可以定义应用程序的身份验证方法。

Secure Private Access 概述

自适应安全性

自适应身份验证确定当前请求的正确身份验证流程。自适应身份验证可以识别设备状态、地理位置、网段、用户组织/部门成员身份。根据获得的信息，管理员可以定义他们希望如何对其 IT 批准的应用程序的用户进行身份验证。这允许组织在每个资源中实施相同的身份验证策略框架，包括公共 SaaS 应用程序、私有 Web 应用程序、私有客户端-服务器应用程序和桌面即服务（DaaS）。有关详细信息，请参阅自适应安全性.

应用程序访问

Secure Private Access 可以在不依赖 VPN 的情况下创建与本地 Web 应用程序的连接。这种无 VPN 连接使用本地部署的连接器设备。连接器设备创建指向组织的 Citrix Cloud 订阅的出站控制通道。从那里，Secure Private Access 可以通过隧道连接连接到内部 Web 应用程序，而无需 VPN。有关详细信息，请参阅应用程序访问.

单点登录

借助自适应身份验证，组织可以提供强大的身份验证策略，以帮助降低用户帐户被盗用的风险。 Secure Private Access 的单点登录功能对所有 SaaS、私有 Web 和客户端-服务器应用程序使用相同的自适应身份验证策略。有关详细信息，请参阅单点登录.

浏览器安全性

Secure Private Access 使最终用户能够使用集中管理和安全的企业浏览器安全地浏览 Internet。当最终用户启动 SaaS 或私有 Web 应用程序时，会动态做出多项决策来决定如何最好地为此应用程序提供服务。有关详细信息，请参阅浏览器安全.

设备状态

设备态势服务允许管理员定义策略，以检查尝试远程访问公司资源的端点设备的态势。根据终端节点的合规性状态，设备终端安全评估服务可以拒绝访问或提供对企业应用程序和桌面的受限/完全访问。

当最终用户启动与 Citrix Workspace 的连接时，Device Posture 客户端会收集有关终端节点参数的信息，并与 Device Posture 服务共享此信息，以确定终端节点的终端安全评估是否满足策略要求。

设备状态服务与 Citrix Secure Private Access 的集成支持从任何地方安全访问 SaaS、Web、TCP 和 UDP 应用程序，并通过 Citrix Cloud 的弹性和可扩展性提供。有关详细信息，请参阅设备状态.

支持 TCP 和 UDP 应用程序

有时，远程用户需要访问私有客户端-服务器应用程序，这些应用程序的前端位于终端节点，后端位于数据中心。组织可以合理地围绕这些内部和私有应用程序实施严格的安全策略，使远程用户难以在不影响安全协议的情况下访问这些应用程序。

Secure Private Access 服务通过使 ZTNA 能够提供对这些应用程序的安全访问来解决 TCP 和 UDP 安全漏洞。用户现在可以使用本机浏览器或通过其计算机上运行的 Citrix Secure Access 客户端访问所有私有应用程序，包括 TCP、UDP 和 HTTPS 应用程序。

用户必须在其客户端设备上安装 Citrix Secure Access 客户端。

对于 Windows，客户端版本（22.3.1.5 及更高版本）可以从 https://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.html.
对于 macOS，可以从 App Store 下载客户端版本（22.02.3 及更高版本）。

有关详细信息，请参阅支持客户端-服务器应用程序.

设置 Citrix Secure Private Access

使用 Secure Private Access 管理控制台，实现对 SaaS 应用程序、内部 Web 应用程序、TCP 和 UDP 应用程序的零信任网络访问。此控制台包括自适应身份验证的配置、应用程序（包括用户订阅和自适应访问策略）。

设置身份和身份验证

选择订阅者登录 Citrix Workspace 的身份验证方法。自适应身份验证是一项 Citrix Cloud 服务，可为登录 Citrix Workspace 的客户和用户启用高级身份验证。

启用自适应身份验证

有关详细信息，请参阅设置身份和身份验证.

枚举和发布应用程序

选择身份验证方法后，使用 Admin Console 配置 Web、SaaS 或 TCP 和 UDP 应用程序。有关详细信息，请参阅添加和管理应用程序.

启用增强的安全控制

为了保护内容，组织在 SaaS 应用程序中纳入了增强的安全策略。每个策略都在使用 Workspace 应用程序桌面时对 Citrix Enterprise Browser 实施限制，在使用 Workspace 应用程序 Web 或移动设备时对 Secure Browser 实施限制。

限制剪贴板访问：禁用应用程序和系统剪贴板之间的剪切/复制/粘贴操作。
限制打印：禁用从 Citrix Enterprise Browser 中打印的功能。
限制下载：禁用用户从应用程序内下载的功能。
限制上传：禁用用户在应用程序内上传的能力。
显示水印：在用户屏幕上显示水印，显示用户计算机的用户名和 IP 地址。
限制键记录：防止键盘记录器。当用户尝试使用用户名和密码登录应用程序时，所有密钥都会在键盘记录器上加密。此外，用户在应用程序上执行的所有活动都受到保护，防止键盘记录。例如，如果为 Office 365 启用了应用程序保护策略，并且用户编辑了 Office 365 Word 文档，则所有击键都会在键盘记录器上加密。
限制屏幕捕获：禁用使用任何屏幕捕获程序或应用程序捕获屏幕的功能。如果用户尝试捕获屏幕，则会捕获空白屏幕。

启用安全限制

有关详细信息，请参阅配置访问策略.

启用 Citrix Enterprise Browser 以启动应用程序

Secure Private Access 使最终用户能够使用 Citrix Enterprise Browser （CEB）启动其应用程序。 CEB 是基于 Chromium 的浏览器，与 Citrix Workspace 应用程序集成，可在 Citrix Enterprise Browser 中实现无缝、安全的访问体验，以访问 Web 和 SaaS 应用程序。

CEB 可以配置为首选浏览器，也可以配置为所有内部托管的 Web 应用程序或具有安全策略的 SaaS 应用程序的工作浏览器。 CEB 允许用户在安全受控的环境中打开所有配置的 SaaS/Web 应用程序域。

启用 Citrix Enterprise Browser

管理员可以使用 Global App Configuration Service （GACS）将 Citrix Enterprise Browser 配置为默认浏览器，以便从 Citrix Workspace 应用程序启动 Web 和 SaaS 应用程序。

通过 API 进行配置:

要进行配置，下面是一个示例 JSON 文件，用于默认为所有应用程序启用 Citrix Enterprise Browser：

  "settings": [
                    {
                       "name": "open all apps in ceb",
                       "value": "true"
                    }
                    ]
<!--NeedCopy-->

默认值为 true。

通过 GUI 进行配置：

选择必须将 CEB 设为应用程序启动的默认浏览器的设备。

启用设备

有关详细信息，请参阅通过 GACS 管理 Citrix Enterprise Browser.

使用 Device Posture 为上下文访问配置标签

设备状态验证后，允许设备登录，并将设备分类为合规或不合规。此分类作为 Secure Private Access 服务的标签提供，用于根据设备状态提供上下文访问。

登录 Citrix Cloud。
在安全私人访问图块上，单击管理。
单击左侧导航上的 访问策略 ，然后单击 创建策略。
输入策略名称和策略的描述。
在 应用程序中，选择必须强制实施此策略的应用程序或应用程序集。
单击 创建规则 为该策略创建规则。
输入规则名称和规则的简短描述，然后单击 下一步。
选择用户的条件。 Users 条件是向用户授予应用程序访问权限时必须满足的强制性条件。
点击 + 添加设备姿态条件。
从下拉菜单中选择 设备姿态检查 和逻辑表达式。
在自定义标记中输入以下值之一：
- 兼容 - 适用于兼容设备
- 不合规 - 适用于不合规的设备
（这是可选页面。）单击下一步。
根据条件评估选择必须应用的操作，然后单击 下一步。

摘要页面显示策略详细信息。
验证详细信息，然后单击完成.

注意：

任何未在访问策略中标记为合规或不合规的 Secure Private Access 应用程序都被视为默认应用程序，并且无论设备状态如何，都可以在所有端点上访问。

最终用户体验

Citrix 管理员有权在 Citrix Secure Private Access 的帮助下扩展安全控制。 Citrix Workspace 应用程序是安全访问所有资源的入口点。最终用户可以通过 Citrix Workspace 应用程序访问虚拟应用程序、桌面、SaaS 应用程序和文件。借助 Citrix Secure Private Access，管理员可以控制最终用户通过 Citrix Workspace 体验 Web UI 或本机 Citrix Workspace 应用程序客户端访问 SaaS 应用程序的方式。

最终用户体验

当用户在端点上启动 Workspace 应用程序时，他们会看到自己的应用程序、桌面、文件和 SaaS 应用程序。如果用户在禁用增强安全性时单击 SaaS 应用程序，则应用程序将在本地安装的标准浏览器中打开。如果管理员启用了增强的安全性，则 SaaS 应用程序将在 Workspace 应用程序的 CEB 上打开。 SaaS 应用程序和 Web 应用程序中超链接的可访问性根据未经批准的网站策略进行控制。有关 Unsanctioned 网站的详细信息，请参阅未经批准的网站.

最终用户体验

同样，对于 Workspace Web 门户，禁用增强的安全性时，SaaS 应用程序将在本机安装的标准浏览器中打开。启用增强的安全性后，SaaS 应用程序将在安全的 Remote Browser 中打开。用户可以根据未经批准的网站策略访问 SaaS 应用程序中的网站。有关 Unsanctioned 网站的详细信息，请参阅未经批准的网站.

分析仪表板

Secure Private Access 服务控制面板显示 SaaS、Web、TCP 和 UDP 应用程序的诊断和使用数据。该仪表板使管理员可以在一个位置全面了解其应用程序、用户、连接器运行状况和带宽使用情况，以供使用。此数据是从 Citrix Analytics 获取的。这些指标大致分为以下几类。

日志记录和故障排除
用户
Applications
访问策略

有关详细信息，请参阅挡泥板.

Secure Private Access 控制面板

排查应用问题

Secure Private Access 控制面板中的诊断日志图表提供与身份验证、应用程序启动、应用程序枚举和设备状态日志相关的日志的可见性。

信息代码：某些日志事件（如失败）具有关联的信息代码。单击信息代码会将用户重定向到解决步骤或有关该事件的更多信息。
交易 ID：诊断日志还显示一个事务 ID，该 ID 将访问请求的所有 Secure Private Access 日志相关联。一个应用程序访问请求可以生成多个日志，从身份验证开始，然后是 Workspace 应用程序中的应用程序枚举，然后是应用程序访问本身。所有这些事件都会生成自己的日志。事务 ID 用于关联所有这些日志。您可以使用事务 ID 筛选诊断日志，以查找与特定应用程序访问请求相关的所有日志。有关详细信息，请参阅排查 Secure Private Access 问题.

排查应用问题

Secure Private Access 服务解决方案概述

解决方案概述

自适应安全性

应用程序访问

单点登录

浏览器安全性

设备状态

支持 TCP 和 UDP 应用程序

设置 Citrix Secure Private Access

设置身份和身份验证

枚举和发布应用程序

启用增强的安全控制

启用 Citrix Enterprise Browser 以启动应用程序

启用 Citrix Enterprise Browser

使用 Device Posture 为上下文访问配置标签

最终用户体验

分析仪表板

排查应用问题

示例用例

参考文章

参考视频

相关产品中的新增功能

在本文中