Secure Workspace Access
概述
随着人们越来越多地使用基于 SaaS 的应用程序,组织必须能够统一对所有应用程序的访问,简化最终用户身份验证,同时仍然强制执行安全监控供应商 SLA、应用程序利用率和安全分析也至关重要。Citrix Secure Workspace Access 可满足这些要求和更多要求。
Secure Workspace Access 提供对 SaaS 和 Web 应用程序的即时单点登录 (SSO) 访问、精细和上下文安全策略、适用于所有应用的应用程序保护策略、Web 浏览器隔离和 Web 筛选策略。Secure Workspace Access 结合了几个 Citrix Cloud 服务的元素,为最终用户和管理员提供集成体验:
- MFA 和设备信任
- Web 和 SaaS SSO
- 网关
- 云应用程序控制
- Web 过滤
- Secure Browser
- 应用程序保护
- 分析
图 1:Secure Workspace Access 功能
首选主身份
每个组织都可以为最终用户对 Citrix Workspace 的初始身份验证选择自己的唯一身份使用 Workspace,最终用户可以使用主用户身份使用强身份验证策略登录。
Workspace 使用主身份向用户授权一组资源,每个资源很可能都有其他身份。与授权资源集关联的帐户是次要身份。
主要身份的示例包括:
- Azure Active Directory:工作区登录过程将重定向到 Azure Active Directory,该过程可以包含自定义品牌、多因素身份验证、密码策略和审核。
- Windows Active Directory:利用组织的本地 Active Directory 环境进行初始登录到用户的工作区体验。要将本地 Active Directory 与 Citrix Cloud 联合,管理员将冗余云 Cloud Connector 部署在与 Active Directory 相同的资源位置。
- 基于时间的一次性密码的 Active Directory:基于 Active Directory 的身份验证还可以包括使用基于时间的一次性密码 (TOTP) 的多因素身份验证。
- Citrix Gateway:组织可以利用本地 Citrix Gateway 充当 Citrix Workspace 的身份提供商。
- Okta:组织可以使用 Okta 作为 Citrix Workspace 的主要用户目录。
图 2:多个身份提供商
拥有主身份和次要身份允许 Secure Workspace Access 使用第三方向 SaaS 应用程序提供单点登录。Secure Workspace Access 将第三方视为服务提供商,以便向主用户目录提供身份链。这种身份链使客户能够继续使用其当前的 SSO 提供商,而无需进行重大更改,也可以依靠增强的安全策略和分析。
图 3:使用多个身份提供商
了解详情 此处
Single Sign-On
Secure Workspace Access 能够在不依赖 VPN 的情况下创建与本地 Web 应用程序的连接。此无 VPN 连接使用本地部署的连接器。该连接器为组织的 Citrix Cloud 订阅创建出站控制通道。从那里,Secure Workspace Access 能够在提供 SSO 的同时将连接通道连接到内部 Web 应用程序。
某些组织可能已经在 SSO 提供商上进行了标准化。Secure Workspace Access 能够利用第三方 SSO 提供程序,并将这些资源拉入 Workspace,以便为所有资源维护一个位置。
使用主身份验证用户后,Citrix Cloud 中的单点登录功能将使用 SAML 断言自动完成后续对 SaaS 和 Web 应用程序的身份验证挑战。有 300 多个 SAML SSO 模板可用于快速配置 Web 和 SaaS 应用程序。
图 4:使用 SAML 到 SaaS
了解详情 此处
浏览器隔离
Secure Workspace Access 使最终用户能够安全地浏览互联网。当最终用户从 Citrix Workspace 启动 SaaS 应用程序时,会动态做出多个决策来决定如何最好地为此 SaaS 应用程序提供服务。Secure Workspace Access 提供了三种向最终用户提供此应用程序的方法
- 在本地浏览器中启动应用程序而不增强安全性
- 在 Citrix Workspace 的嵌入式浏览器中启动应用程序
- 在安全浏览器会话(虚拟化浏览器)中启动应用程序
图 5:多个浏览器选项
除了使用本地 Web 浏览器之外,Citrix 还提供了两种在 Workspace 中访问应用程序的方
首先,Citrix Workspace 嵌入式浏览器是一款基于 Chrome的浏览器,运行在 Citrix Workspace 安全沙箱中嵌入的客户端计算机上。本地运行为最终用户提供了呈现 SaaS 应用程序网页的最佳性能。安全沙箱可保护最终用户和企业免受恶意软件、性能降级、数据丢失和意外最终用户行为的侵害。
图 6:Citrix Workspace 嵌入式浏览器
其次,Citrix Secure Browser 服务是云托管浏览器服务,不需要在最终用户设备上安装任何浏览器。安全浏览器服务本质上是在 Citrix Cloud 中运行的虚拟化浏览器。此托管浏览器服务提供了访问互联网和基于公司浏览器的应用程序的安全方式它在浏览器与用户、设备和网络之间造成了空隙,保护他们免受危险恶意软件的侵害。
指向未知或风险网站的 Web 链接可以自动重定向到 Citrix Workspace 嵌入式浏览器或安全浏览器服务,以保护最终用户免受潜在恶意网站的侵害。这种过渡对最终用户来说是完全透明的,可以确保组织的安全,同时允许员工完成工作。
Secure Workspace Access 拥有一个大型的 URI 数据库,这些 URI 被评分为风险,管理员可以在特定域上设置策略以允许或阻止 URI。管理员还可以设置关于应用程序需要如何向最终用户提供服务的策略。
图 7:使用 Citrix WorkSpaces 嵌入式浏览器和安全浏览器服务的 Web 浏览器隔离
下图将 Workspace 应用程序与本地浏览器结合使用 Workspace 应用程序与已批准的 SaaS 应用程序的通信流进行了对比。
图 8:增强的安全流程图
增强安全性
为了保护内容,Secure Workspace Access 在 SaaS 应用程序中纳入了增强的安全当使用 Workspace 应用程序时,每个策略都会对嵌入式浏览器实施限制,或者在 Web 或移动设备上使用 Workspace 时,在安全浏览器服务上
此功能称为 Cloud App Control,为 IT 部门提供了一种方法,可以在提供给员工的 Web 和 SaaS 应用程序上强制执行安全策略。这些策略保护存储在这些应用程序中的数
- 首选浏览器:禁用本地浏览器的使用,并依赖嵌入式浏览器引擎(Workspace 应用程序-桌面)或安全浏览器(Workspace 应用程序-移动和 Web)。
- 限制剪贴板访问:禁用应用程序和端点剪贴板之间的剪切/复制/粘贴操作。
- 限制打印:禁用从应用程序浏览器中打印的功能。
- 限制导航:禁用下一个/后退浏览器按钮。
- 限制下载:禁用用户从 SaaS 应用程序中下载的功能。
- 显示水印: 覆盖基于屏幕的水印,显示端点的用户名和 IP 地址。如果用户尝试打印或截取屏幕截图,水印将显示在屏幕上。
图 9:使用内部 Web 应用程序增强安全策略
应用程序保护
恶意软件是最终用户使用个人设备进行工作时,必须减轻的风险之一。最危险的两种类型是键盘记录和屏幕截图恶意软件。两者都可以用来泄露和收集敏感信息,例如用户凭证或个人身份信息。
Secure Workspace Access 具有高级策略,用于保护 Web、SaaS 和虚拟应用程序上的用户和组织数据。应用程序保护策略可保护键盘记录器对用户会话和应用程序数据劫持以及屏幕捕获恶意软件。
应用保护策略是在为应用启用增强安全性的同时应用的规则。
- 反键盘记录 — 通过加密按键来保护焦点中的活动窗口免受键盘记录程序的攻击
- 防屏捕获 — 通过遮蔽屏幕来保护活动窗口免受屏幕截图的影响
意外屏幕共享是恶意程度较小但同样危险的风险。设备上的个人使用和工作使用之间的界限已经模糊了,因此最终用户通常会从处理商务应用程序转变为在该设备上与朋友或家人进行虚拟聚会。在这些情况下,企业应用程序中敏感数据的意外屏幕共享可能会导致重大问题,特别是对于高度监管行业的最终用户而言。
图 10:在使用屏幕共享应用程序时保护 Citrix Workspace 隐私的应用保护策略
网页过滤
Secure Workspace Access 包括 URL 过滤引擎。通过使用 URL 中包含的信息,此功能可帮助管理员监控和控制用户对互联网上恶意网站的访问。与前面提到的浏览器隔离选项一起,Web 过滤为管理员提供了可供选择的选项。他们可以完全阻止 URL、要求访问嵌入式浏览器中的 URL,或者要求在安全浏览器会话中访问 URL。
Web 过滤控制器使用分类数据库和 URL 列表。当请求到 Web 筛选控制器时,它首先检查全局允许列表,该列表还包含关键的 Citrix Cloud URL。然后它将检查到 “列表和分类”,并使用阻止和允许进行验证,然后重定向到安全浏览器 URL。如果没有一个 URL 匹配,则默认情况下它会回退到默认列表。
图 11:Web 过滤过程
即使在访问允许列表 URL 时,管理员也可以采取谨慎的方法。这种方法可确保用户能够访问他们所需的信息。它不会影响工作效率,同时为抵御任何意外威胁或从互联网传送的恶意内容提供保护。
假定允许列表 URL 的信任的传统 URL 过滤引擎。Secure Workspace Access 不隐式信任允许列表 URL,因为被 URL 过滤引擎视为安全的网页可能会托管恶意链接。借助 Secure Workspace Access,还可以测试受信任站点上的 URL。
图 12:Web 过滤策略保护无意中访问阻止列表上网站的最终用户
下图将 Workspace 应用程序与本地浏览器结合使用 Workspace 应用程序时,通信流与受制裁的 SaaS 应用程序中的 URL 进行了对比。
图 13:URL 过滤器流程图
Security Analytics
最终用户总是可以访问启用了增强安全性的 SaaS 应用程序。Workspace 应用程序、Citrix Gateway 服务和安全浏览器服务为安全分析服务提供了有关以下用户和应用程序行为的信息。这些分析会影响用户的整体风险评分:
- 应用程序启动时间
- 应用程序结束时间
- 打印操作
- 剪贴板访问
- URL 访问
- 数据上传
- 数据下载
Web 过滤功能评估在 SaaS 应用程序中选择的每个超链接的风险。访问这些站点和监控用户行为的变化会提高用户的整体风险评分。它表示终端设备受到威胁并开始感染或加密数据,或者用户和设备正在窃取知识产权。
Usage analytics(使用情况分析)
使用情况分析可深入了解 Secure Workspace Access 的基本使用数据。管理员可以了解用户如何与组织中正在使用的 SaaS 和 Web 应用程序进行交互。
使用情况数据有助于他们了解产品的用户采用和参与度。以下衡量指标用于确定如何使用以及为用户增加价值:
- 使用 SaaS 和 Web 应用程序的唯一用户数
- 顶级 SaaS 和 Web 应用程序用户
- 启动的 SaaS 和 Web 应用程序的数量
- 顶级 SaaS 和 Web 应用程序
- 用户访问的热门域
- 跨用户、应用程序和域上传和下载的数据总量
了解详情 此处
用例
无 VPN 访问
Citrix Secure Workspace Access 通过允许远程用户在没有 VPN 的情况下进行访问的零信任解决方案补充或取代现有 VPN 解决方案。此解决方案解决了向外部用户提供内部资源访问权限的许多挑战。通过 Secure Workspace Access,可以:
- 没有网络设备可以管理、维护和保护,从而减少了设备蔓延
- 无需公共 IP 地址,因为云服务能够通过 Cloud Connector 联系内部资源
- 无需防火墙规则,因为 Cloud Connector 和虚拟应用程序/桌面资源建立到基于云的服务的出站连接(无需入站通信)
- 作为全球部署,组织会自动路由/重新路由至最佳网关服务,从而极大地简化了组织所需的任何配置。
- 底层数据中心基础架构没有变化。
Workspace 能够在不依赖 VPN 的情况下创建与本地 Web 应用程序的连接。此无 VPN 连接使用本地部署的连接器。该连接器为组织的 Citrix Cloud 订阅创建出站控制通道。从那里,Workspace 能够在提供 SSO 的同时将连接通道连接到内部 Web 应用程序。无 VPN 访问不仅提高了安全性和隐私性,还可以改善最终用户体验。
图 14:用例 1:无 VPN 访问
SaaS 应用程序的 SSO 和安全控制
Secure Workspace Access 提供了用于访问 Web 和 SaaS 应用程序的单点登录和上下文策略。使用 Citrix Gateway 或 Okta 作为 IdP 提供对所有多因素身份验证机制和上下文控件的支持。这些集成可保护客户现有的身份生态系统投资,并轻松迁移到云端,而无需拆卸和替换叉车升级。
尽管授权的 SaaS 应用被认为是安全的,但 SaaS 应用中的内容实际上可能是危险的,构成安全风险。当用户单击 SaaS 应用程序中的超链接时,流量将通过 Web 过滤功能进行路由,该功能为超链接提供风险评估。根据超链接的风险评估和 URL 类别,Web 过滤功能允许、拒绝或重定向来自用户的请求,如下所示:
- 已批准:超链接被认为是安全的,Workspace 应用程序中的嵌入式浏览器访问将访问超链接。
- 拒绝:超链接被认为是危险的,访问被拒绝。
- 重定向:超链接请求被重定向到嵌入式浏览器或 Secure Browser 服务,其中用户的互联网浏览活动与终端设备、公司网络和 SaaS 应用程序隔离
借助应用程序保护增强安全性,IT 人员可以在提供给员工的 Web 和 SaaS 应用程序上强制执行安全策略。这些策略通过应用以下控件保护存储在这些应用程序中的数据
- 水印
- 限制导航
- 限制下载
- 限制键盘记录
- 网站过滤
- 限制屏幕截图
- 限制打印
越来越多的远程员工意味着通过各种应用程序进行的远程会议这些会议通常要求员工共享屏幕,这就有可能错误地暴露敏感数据。应用程序保护功能通过返回空白屏幕截图而不是用户屏幕上的信息来防止屏幕截图恶意软件和网络会议屏幕捕获。这种保护也适用于最常见的截图工具、打印屏幕工具、屏幕捕获和录制工具。
浏览器隔离互联网流量可保护最终用户和企业免受基于 Web 的威使用嵌入式浏览器和安全浏览器服务,管理员可以选择在基于 Chrome 的本地浏览器(云托管虚拟机)中访问网站。使用该服务,可能的攻击将被控制在云中。浏览器运行在一个孤立的环境中,虚拟机在使用后被销毁,并为每个应用程序访问创建一个新实例。策略控制诸如 “复制和粘贴” 之类的功能,因此任何文件或数据都不能到达公司网络。
图 15:用例 2:SaaS 应用的 SSO 和安全控制
保护 BYO 和非托管终端上的用户和公司数据
使用增强的安全策略,Secure Workspace Access 使管理员能够保护其组织免受数据丢失和凭据被盗。当员工使用个人设备访问公司资源时,增强的安全策略更为重要。
其中一组策略是应用程序保护功能。应用程序保护使 Citrix 管理员能够强制执行策略以保护终端节点免受屏幕捕获和键盘记录的影该功能可以保护员工免受可能捕获密码或个人信息的休眠屏幕抓取恶意软件或键盘记录器的伤害。
应用保护策略的工作原理是控制对捕获屏幕或按键所需的底层操作系统的特定 API 调用的访问。这些策略甚至可以防止最定制和专门构建的黑客工具。它有助于保护员工在 Citrix Workspace 和身份验证对话框(防止密码泄漏)中使用的任何虚拟或 Web 应用程序。
应用程序保护功能通过在键盘记录工具可以访问之前对其进行加密,使用户输入的文本无法解密。安装在读取数据的客户端端点上的键盘记录器将捕获 gibberish 字符,而不是用户键入的击键。
图 16:用例 3:保护 BYO 和非托管设备上的用户和公司数据
摘要
总之,Citrix Workspace 将所有资源聚合到一个个性化的用户界面中。最终用户可以选择本地安装的 Workspace 应用程序(桌面和移动设备),也可以使用本地浏览器访问基于 Web 的工作区。无论选择的方法和选择的设备如何,体验仍然是熟悉和一致的。
借助 Secure Workspace Access,组织不仅限于访问和聚合。Secure Workspace Access 提供了 IT 策略控制,可以有条件地访问 SaaS 应用程序和互联网浏它增强了组织的整体安全性和合规性状况。作为 Citrix Workspace 的一部分,用户体验保持无缝和集成。SaaS 和 Web 应用程序可以与移动和虚拟应用程序以及桌面一起访问。