Citrix Secure Internet Access

Geschreven door Ruud Zwanenburg

Wat is Citrix Secure Internet Access?

Beveiliging is tegenwoordig een steeds belangrijker onderdeel in de ICT. Daar waar we steeds meer verschuiven naar de cloud, verplaatst ook de locatie waar we beveiligen. In de traditionele omgeving lag de beveiliging vooral bij het device van de eindgebruiker, maar bij cloudomgevingen verplaatst dat naar de data en apps in de cloud.

Daar waar voorheen een gebruiker via een proxyserver toegang kreeg tot het internet, kunnen ze nu via allerlei verbindingen zo het internet op. Als ICT-afdeling is er dus geen enkele controle over wat er allemaal via internet binnengehaald, bezocht, gepost en gekopieerd wordt.

CSIA (Citrix Secure Internet Access) is een SaaS-dienst die daar invulling aan geeft, doordat het internetverkeer via deze dienst loopt en daardoor controleerbaar is.

Met controleerbaar bedoelen we dan niet welke websites de gebruiker bezoekt, maar bijvoorbeeld controleren op malware, Data Loss Prevention, het blokkeren van malafide websites, “Copy Paste” beveiliging en ook het blokkeren van Social Media plug-ins bij read-only. CSIA vervangt niet de lokale antivirus- en malwareprotectie op het device, maar filtert alleen internetverkeer.

Licentie-opties

CSIA heeft drie licentievormen. Standaard, Advanced en Premium.

Citrix Cloud

Om de Secure Internet Access te beheren, dien je in te loggen via https://citrix.cloud.com. Dit is de locatie waar alle clouddiensten van Citrix staan. Hier dien je bij eerste aanmelding een locatie op te geven en verbinding te maken met de on-premise AD (Active Directory) door middel van een Cloud connector of door een verbinding te maken naar Azure AD. Hierna kun je zo nodig een aantal beheerders met bijbehorende rollen aan maken.

Op het dashboard staan een aantal tegels. Elke tegel representeert een Cloud Service. Kies daar de “Secure Internet Access” tegel om CSIA te configureren.

In het scherm waar je dan in terecht komt, vind je bovenaan een knop voor de drie hoofdgroepen met policy sets die je kan toewijzen aan groepen gebruikers. Je kunt hier ook locaties aan toevoegen, zoals bijvoorbeeld landen.

Web Security:

  • Hieronder zit malware detection, intrusion detection en Web Security Policies.

Cloud Access Security Broker (CASB):

  • Hieronder zitten policy sets die instellen wat je kunt doen met clouddiensten, zoals Office 365, Google, Facebook, LinkedIn, enz.

Wat kun je dan zoal instellen?

  • Welke Office 365 tenant je mag gebruiken;
  • Welke Google Drive locatie je mag gebruiken;
  • Zet in alle webbrowsers de safe-search functie aan;
  • Zet in facebook de mogelijkheid om te posten of te chatten uit;
  • Zet in LinkedIn de mogelijkheid om te posten of te chatten uit;
  • Blokkeer Spotify.

Data Loss Prevention:

  • Blokkeert het gebruik van bijvoorbeeld creditcardnummers, burgerservicenummer, paspoortnummers in data. Het is mogelijk om zelf ook een pattern aan te maken die geblokkeerd moet worden.

SSL-encryptie:

  • Veel internetverkeer is tegenwoordig SSL geëncrypt. Het is mogelijk om dit verkeer te decrypten en weer te encrypten met een certificaat, zodat ook dit verkeer gecontroleerd kan worden.
  • Sommige diensten zullen dit echter niet accepteren omdat dit een inbreuk op de security is. Voor deze zijn uitzonderingen toe te voegen, zodat deze ook blijven werken.

Verder is er een knop te vinden voor het maken van groepen met daarin de gebruikers. Deze groepen kun je dan weer koppelen aan policies.

Er is een aparte knop voor “Reporting en Analytics”. Hier kom je in het zogenoemde “Incident Response Center”.

Hier kun je rapporten maken, plannen en mailen. Je kunt er incidenten bekijken, maar ook topapplicaties en topgebruikers zien.

Clients

Om de eindgebruikers deze functionaliteit te laten gebruiken, dient het internetverkeer op hun device omgeleid te worden naar de Citrix Cloud. Dit kan op verschillende manieren.

  • Maak gebruik van Citrix Workspace.
  • Installeer de CSIA Cloud Connector agent op het user device.
  • Bij gebruik van een SD-WAN kun je dit op de SD-WAN configureren voor alle gebruikers die achter de SD-WAN zitten.
  • Install CSIA Cloud Connector agent on Virtual Delivery Agent (XenApp en XenDesktop).
  • Voor bijvoorbeeld IoT devices kan ook een Proxy PAC file gebruikt worden.

Wat merkt de eindgebruiker van CSIA

Een eindgebruiker merkt niets van deze service. Hij kan gewoon zijn normale werkzaamheden uitvoeren. Als je bepaalde opties blokkeert, zoals bijvoorbeeld het posten op facebook, zal een gebruiker dit natuurlijk wel merken.

Handige links 

Citrix site

https://www.citrix.com/products/citrix-secure-internet-access/

Citrix Documentatie

https://docs.citrix.com/en-us/citrix-secure-internet-access.html

Wil je meer weten over Citrix Secure Internet Access, neem dan gerust contact met ons op of laat je vraag achter in de comments!