Konfiguration

Verwenden Sie das Citrix Secure Internet Access (CSIA) -Konfigurations-Richtlinienportal, um Cloud-Connectors und Sicherheitsrichtlinien zu konfigurieren und Berichte und Protokolle zu überwachen.

So greifen Sie auf das Portal für Konfigurationsrichtlinien zu:

  1. Bei Citrix Cloud anmelden

  2. Wählen Sie auf der Kachel Secure Internet AccessVerwaltenaus

  3. Wählen Sie im Navigationsbereich Konfigurationaus.

    Auf der Seite Konfiguration werden auch die Details zu den Cloud-Knoten aufgeführt, die für Sie konfiguriert wurden. Alle Konfigurationen, die Sie ausführen, sind mit diesen Knoten verbunden.

  4. Wählen Sie Citrix SIA-Konfiguration öffnen aus, um das Konfigurations-Richtlinienportal anzuzeigen und mit der Konfiguration der Funktionen und Sicherheitsrichtlinien zu beginnen

Seite "Konfiguration"

So erhalten Sie Hilfe bei der Konfiguration

Für Anweisungen zur Konfiguration oder Hilfe zu einer beliebigen Konfigurationsseite können Sie einen der folgenden Schritte ausführen:

  • Auf Hilfedokumentation zugreifen. Klicken Sie in der oberen rechten Ecke des Portals für Konfigurationsrichtlinien auf das Menü (in dem Ihr Name angezeigt wird) und wählen Sie HelpDocsaus. Sie können die vollständige Hilfedokumentation anzeigen.

    Hinweis

    Die Hilfedokumentation enthält Verweise auf die iboss-Terminologie, iboss-Benutzeroberflächenelemente, iboss-Funktionen, die nicht von Citrix unterstützt werden, und iboss-Supportinformationen.

    Lesen Sie den folgenden Artikel, bevor Sie die Hilfedokumentation verwenden: Citrix Secure Internet Access und iboss Integration. Sie können auf diesen Artikel erst zugreifen, nachdem Sie sich bei Citrix Secure Internet Access angemeldet haben.

  • Zugriff auf kontextbezogene Hilfe. Wählen Sie in der oberen rechten Ecke jeder Konfigurationsseite das Hilfesymbol (?), um die Hilfedokumentation zu dieser Seite anzuzeigen.

  • Wenden Sie sich an Citrix Support Melden Sie sich mit Ihrem Citrix Konto an und eröffnen Sie einen Supportfall, starten Sie einen Live-Chat oder erkunden Sie andere Optionen, um Hilfe zu erhalten.

Konfigurieren von Citrix Secure Internet Access Cloud Connector-Agenten

Die CSIA Cloud Connector-Agenten sind Software-Agenten, die den Internetverkehr über Citrix Secure Internet Access umleiten.

Nachdem Ihr Onboarding-Prozess abgeschlossen ist, gehen Sie wie folgt vor:

  • Installieren des CSIA Cloud Connector-Agenten auf Virtual Delivery Agent (VDA): Um sicheren Zugriff auf nicht genehmigte Web- und SaaS-Anwendungen von virtuellen Desktops in Citrix Workspace aus zu erhalten, konfigurieren Sie CSIA Cloud Connector-Agenten, um den Datenverkehr über Citrix Secure Internet Access umzuleiten.

    Ausführliche Konfigurationsschritte finden Sie unter Citrix Secure Internet Access with Citrix Virtual Apps and Desktops.

  • Installieren Sie den CSIA Cloud Connector-Agenten auf Ihrem Host-Gerät: Um sicher auf direkten Internetverkehr von Ihren Hostsystemen wie Laptop und Mobilgeräten zuzugreifen, installieren Sie Cloud Connector-Agenten auf jedem Gerät.

Konfigurieren von Tunneln für Zweigstellen

Wenn Sie in Ihrer Zweigstelle eine Citrix SD-WAN-Bereitstellung haben, müssen Sie IPSEC- oder GRE-Tunnel konfigurieren. Dadurch wird der Zweigverkehr über Citrix Secure Internet Access an nicht genehmigte Web- und SaaS-Anwendungen umgeleitet. Sie verwenden Citrix SD-WAN Orchestrator zum Konfigurieren von Tunneln.

Auf Citrix SD-WAN Orchestrator ist der Citrix Secure Internet Access Service unter Konfiguration > Bereitstellungsdienste > Dienst und Bandbreiteverfügbar.

Hinweis

Die Dienstverknüpfung ist nur sichtbar, wenn Sie ein SD-WAN Orchestrator-Kunde sind und über Citrix Secure Internet Access-Berechtigung verfügen.

CSIA im SD-WAN Orchestrator

Die Konfiguration umfasst die folgenden High-Level-Schritte:

  1. Erstellen Sie einen Citrix Secure Internet Access Service, indem Sie den Bandbreitenprozentsatz und den Bereitstellungsprozentsatz für die Internet

  2. Fügen Sie SD-WAN-Sites hinzu und ordnen Sie sie dem Citrix Secure Internet Access Service zu, und wählen Sie den entsprechenden Tunnel (IPSEC oder GRE) aus. Aktivieren Sie dann die Konfiguration, um den Tunnelaufbau zwischen Citrix SD-WAN und dem Citrix Secure Internet Access PoP zu ermöglichen.

  3. Erstellen Sie Anwendungsrouten, um den Verkehr durch die Tunnel zu lenken.

Ausführliche Anweisungen finden Sie unter Bereitstellungsdienste — Citrix Secure Internet Access Service.

Neuzuweisung von Benutzern

Sie können die Latenz für Benutzer an bestimmten Standorten minimieren, indem Sie Cloud-Knoten innerhalb einer geografischen Region neu verteilen.

Sie können eine Anforderung stellen, um sowohl Berichtsknoten, die Nutzungsdaten sammeln, als auch Gateway-Knoten, die Sicherheitsfunktionen ausführen, neu zu verteilen. Citrix zielt darauf ab, Knoten bereitzustellen, die den Benutzern am nächsten sind, basierend auf der Verfügbarkeit

Wichtig

Die Neuzuweisung von Knoten führt zu einer kurzen Unterbrechung des Dienstes. Der Vorgang wird normalerweise unmittelbar nach der Kontoaktivierung ausgeführt, bevor Client-Connectors konfiguriert und verteilt werden. Citrix empfiehlt, dass Sie zu Beginn der Bereitstellung die Neuzuweisung von Knoten anfordern, um die Knoten neu auszurichten, die den Benutzern am nächsten sind, und Knoten selten neu zuzuweisen.

Sie können Benutzer auch zwischen Knoten verschieben oder sie zu einem Knoten hinzufügen, wenn sie nicht bereits einem Knoten zugewiesen sind.

Neuzuweisung von Benutzern beantragen

Um Knoten anzuzeigen, neu zu verteilen und zu verwalten, navigieren Sie im Menü auf der linken Seite zur Registerkarte Konfiguration und wählen Sie über der Tabelle Neuzuweisung von Benutzern anfordern .

Hinweis

Sie können nur Knoten innerhalb derselben geografischen Region umverteilen.

Cloud-Einstellungen

Um Einstellungen für Ihren Network Time Protocol (NTP) -Server, die Plattformwartung und Update-Versionen zu konfigurieren, navigieren Sie zur Registerkarte Konfiguration und wählen Sie Cloud-Einstellungenaus.

Kontoeinstellungen

Die Funktion Kontoeinstellungen hilft beim Ändern/Überschreiben des Benutzerkontonamens, der für Ihr Konto im Citrix Secure Internet Access Service Access-Dienstportal angezeigt wird.

Um den Kontonamen zu überschreiben, navigieren Sie zu Konfiguration > Cloud-Einstellungen > Kontoeinstellungen.

Sie können die Citrix Secure Internet Access-Kontonummer anzeigen.

Kontoeinstellungen

Hinweis

Der ursprünglich konfigurierte Kontoname ist weiterhin im CSIA-Portal vorhanden, wenn Sie keinen Namen erstellt haben oder der Kontoname außer Kraft setzen deaktiviert ist.

  1. Aktivieren Sie den Kontonamen überschreiben und geben Sie einen Namen an Standardmäßig ist der Kontoname außer Kraft setzen deaktiviert.

    Kontoname überschreiben

    Warten Sie einige Zeit, bis Sie den aktualisierten Kontonamen im Portal angezeigt haben. Möglicherweise müssen Sie sich erneut anmelden, sobald der Kontoname geändert wurde.

  2. Klicken Sie auf Save.

NTP-Server

Um Datum und Uhrzeit zu synchronisieren, navigieren Sie unter Cloud-Einstellungen zu NTP-Server. Geben Sie die Zeitzone, das Datumsformat, die Adresse des NTP-Servers und die Sommerzeitinformationen ein.

DieZeitzone definiert die regionale Standardzeit, die für Zeitstempel verwendet wird. Nach dem Ändern der Zeitzone werden die Zeitstempel für Ereignisse in Berichten verschoben, um sie an die neue Zeitzone anzupassen und die Kontinuität aufrechtzuerhalten. Zeitstempel sind relativ zur neuen Zeitzone.

DasDatumsformat definiert die Struktur des Datums in numerischer Form. Dieser Parameter kann entweder auf MM/TT/JJJJ oderTT/MM/JJJJ**eingestellt werden.

NTP-Server definiert die Adresse des NTP-Servers.

Die Sommerzeit definiert, ob die Zeitzone an die Sommerzeit anpasst. Dieser Parameter kann je nach Zeitzonenregion entweder auf Vereinigte Staatenoder Großbritannien festgelegt werden.

Plattform-Wartung

Mit dieser Funktion können Sie die Tage und Zeiten planen, an denen Wartungsarbeiten durchgeführt werden, um sicherzustellen, dass Ihr Netzwerk in Spitzenzeiten verfügbar ist.

Um die in Ihrem Namen durchgeführte automatische Wartung zu planen, navigieren Sie unter Cloud-Einstellungen zu Plattformwartungund aktivieren Sie das Fenster “Bevorzugte Wartung”. Wählen Sie dann Ihre bevorzugten Daten und Uhrzeiten für die automatische Wartung aus.

Release-Einstellungen aktualisieren

Um die Arten von Updates auszuwählen, die in Ihrem Namen installiert werden, navigieren Sie unter **Cloud-Einstellungen zu Update Release**Settings und wählen Sie eine der folgenden Versionsstufen aus:

  • Obligatorischfür wichtige Plattform-Updates und Sicherheitskorrekturen, einschließlich neuer Funktionen, Feature-Updates, Bugfixes und Leistungsverbesserungen.
  • Optionalfür Versionen, die empfohlen werden, aber keine kritischen Korrekturen enthalten.
  • Early Accessfür frühen Zugriff auf neue Funktionen, Updates, Fehlerkorrekturen und Leistungsverbesserungen.

E-Mail-Einstellungen

Sie können die E-Mail-Servereinstellungen so konfigurieren, dass E-Mails mit Warnungen, geplanten Berichten und anderen Benachrichtigungen weitergeleitet werden. Füllen Sie das Formular unter E-Mail-Einstellungen unter Cloud-Einstellungen aus, damit Web-Gateways und Berichtsknoten E-Mail-Benachrichtigungensenden können. Bei diesem Vorgang wird die SMTP-Serveradresse so konfiguriert, dass Sie E-Mail-Benachrichtigungen erhalten können.

Sie können die E-Mail-Einstellungen mit der Option E-Mail-Einstellungen testen überprüfen. Sie können die Standard-E-Mail-Einstellungen auch mit der Schaltfläche Standardeinstellungen festlegen ausfüllen.

Konfigurieren Sie E-Mail-Adressen für den Empfang von Benutzerbenachrichtigungen und Anfragen zu URL-Ausnahmen

  • Warnungs-E-Mail: Die Zieladresse für Alerts, die durch Keywords mit hohem Risiko ausgelöst werden.
  • E-Mail mit URL-Ausnahme: Die Zieladresse für Anfragen von blockierten Seiten zu URL-Ausnahmen.

Hinweis:

Zusätzliche E-Mail-Benachrichtigungen sind auf der Seite “ Echtzeitwarnungen “ verfügbar.

SIA-E-Mail-Einstellungen

Hinweis:

In der Regel sind SMTP-Server mit IP-basierten Zulassungslisten konfiguriert, um Spam zu verhindern. Sie müssen daher die IP-Adressen aller Knoten zur Zulassungsliste des SMTP-Servers hinzufügen.

Um Spam zu reduzieren, verwenden SMTP-Server manchmal auch andere Mechanismen wie DKIM. Es kann erforderlich sein, Web-Gateways und Berichtsknoten von diesen Beschränkungen auf dem SMTP-Server auszunehmen.

Wenn Sie keinen eigenen internen SMTP-Server haben, können Sie einen der SMTP-Dienste von Google verwenden. Dafür müssen Sie über ein gültiges Gmail-Konto verfügen.

Google SMTP-Server verwenden die Ports 25, 465, 587 oder eine Kombination davon. Am beliebtesten ist smtp.gmail.com, das die Ports 465 (mit SSL) oder 587 (mit TLS) verwendet.

Hinweis:

SMTP-Server hören üblicherweise auf den TCP-Ports 25, 465 oder 587, können aber jeden Port abhören, für den sie konfiguriert sind. SMTP über SSL verwendet Port 465 und SMTP über TLS verwendet Port 587. Beide Ports 465 und 587 benötigen Authentifizierungsdienste. Port 25 ist unverschlüsselt und erfordert keine Authentifizierung.

Stellen Sie bei der Arbeit mit lokalen Web-Gateways oder Berichtsknoten sicher, dass die erforderlichen Ports nicht eingeschränkt sind.

Die Konfigurationen für jeden der drei Google SMTP-Server lauten wie folgt:

Vollständig qualifizierter Domainname Anforderungen an die Konfiguration Anforderungen für die Authentifizierung
smtp-relay.gmail.com Port 25, 465 oder 587 mit den Protokollen Secure Socket Layer (SSL) oder Transport Layer Security (TLS) und einer oder mehreren statischen IP-Adressen. IP-Adresse.
smtp.gmail.com Port 465 mit SSL oder Port 587 mit TLS. Dynamische IPs sind zulässig. Ihre vollständige Gmail- oder G Suite-E-Mail-Adresse.
aspmx.l.google.com E-Mails können nur an Gmail- oder G Suite-Benutzer gesendet werden. Dynamische IPs sind zulässig. Ohne.

smtp-relay.gmail.com wird verwendet, um E-Mails von Ihrer Organisation zu senden, indem Sie sich mit den zugehörigen IP-Adressen authentifizieren. Sie können über Port 25, 465 oder 587 Nachrichten an jeden innerhalb oder außerhalb Ihrer Domain senden.

smtp.gmail.com wird verwendet, um E-Mails an Personen innerhalb oder außerhalb Ihrer Domain zu senden. Sie müssen sich mit Ihrem Gmail- oder G Suite-Konto und Kennwort authentifizieren. Sie können SMTP über SSL (Port 465) oder TLS (Port 587) verwenden.

aspmx.l.google.com wird nur zum Senden von Nachrichten an Gmail- oder G Suite-Benutzer verwendet. Für diese Option ist keine Authentifizierung erforderlich. Sie können SSL oder TLS mit diesem SMTP-Server nicht verwenden, sodass der Datenverkehr im Nur-Text-Format erfolgt, was nicht empfohlen wird.

Anonymisierte Protokollierung

Zur Einhaltung gesetzlicher Vorschriften und zur Vertraulichkeit verschlüsselt die anonymisierte Protokollierung unter Cloud-Einstellungen die persönlichen Benutzerinformationen, die delegierte Administratoren zur Überwachung der Netzwerknutzung verwenden.

Sie müssen einen Verschlüsselungsschlüssel erstellen, bevor Sie die anonymisierte Protokollierung aktivieren, indem Sie unter dem Schalter Anonymisierte Protokollierung aktivieren auf die Schaltfläche Schlüssel hinzufügen klicken. Geben Sie einen 64-Zeichen-Wert für den Verschlüsselungsschlüssel in das Feld Verschlüsselungsschlüssel ein. Sie können Ihren eigenen Verschlüsselungsschlüssel eingeben oder die Option Schlüssel automatisch generieren verwenden.

Wichtig:

Citrix empfiehlt dringend, den Verschlüsselungsschlüssel an einem separaten Ort aufzuzeichnen, bevor Sie fortfahren. Sie benötigen den Verschlüsselungsschlüssel, um die damit verbundenen Daten zu entschlüsseln, solange sie auf der Plattform aktiv sind.

Sie können einen Schlüssel zum Verschlüsseln der identifizierbaren Daten einer bestimmten Kategorie konfigurieren, indem Sie unter Kategorien verschlüsselndie folgenden Schalter aktivieren:

  • Personenbezogene Daten. Aktiviert und deaktiviert die Verschlüsselung aller persönlich identifizierbaren Informationen, einschließlich des Benutzernamens, des vollständigen Namens und des Maschinennamens der gemeldeten Benutzeraktivität.
  • Datenquelle. Aktiviert und deaktiviert die Verschlüsselung aller Informationen, die sich auf die Datenquelle der gemeldeten Benutzeraktivität beziehen.
  • Gruppennamen. Aktiviert und deaktiviert die Verschlüsselung der Gruppennamen, die mit der gemeldeten Benutzeraktivität verknüpft sind.

Sie können auf der Registerkarte Gruppenzuordnung auch Verschlüsselungsschlüssel so konfigurieren, dass sie nur für eine bestimmte Gruppe von Gruppen gelten. Wenn der Schalter Alle auswählen aktiviert ist, gilt der aktuell konfigurierte Verschlüsselungsschlüssel für alle Sicherheitsgruppen. Wenn der Schalter Alle auswählen deaktiviert ist, können Sie auswählen, welche Sicherheitsgruppen mit dem Verschlüsselungsschlüssel verschlüsselt werden sollen.

Nachdem Sie einen Verschlüsselungsschlüssel konfiguriert haben, aktivieren Sie Anonymisierte Protokollierung, um die Netzwerknutzung basierend auf den anonymisierten Protokollen der Online-Aktivitäten der Benutzer

Um einen zuvor definierten Verschlüsselungsschlüssel zu löschen, wählen Sie die Ellipsen neben dem entsprechenden Verschlüsselungsschlüssel in der Tabelle aus und wählen Sie Löschenaus.

Cloudbackup

Die Offline-Cloudbackup-Einstellungen bieten die Möglichkeit, die Sicherungseinstellungen und Protokolle von Berichtsknoten basierend auf der ausgewählten Region, dem Standortund der Zeit zu speichern/zu speichern. Mit der Option Offline-Cloudbackup können Sie die Cloudbackups über die CSIA-Schnittstelle speichern.

Um die Cloud-Sicherungseinstellungen zu aktivieren, navigieren Sie zu Konfiguration erweitern Sie Cloud-Einstellungen wählen Sie Cloudbackupaus.

  1. Aktivieren Sie die Umschaltfläche Cloudbackup aktivieren und wählen Sie die Region und den Standort aus der Dropdown-Liste aus.

    Cloudbackup aktivieren

  2. Sie können auch die Umschaltfläche Cloudbackup automatisch ausführen aktivieren und das Zeitintervall für die Ausführung und Erstellung des täglichen Backups festlegen. Klicken Sie auf Save.

    Cloudbackup automatisch durchführen

Remotebrowserisolierung

Die Remotebrowserisolierung ist eine erweiterte Webschutzfunktion, die Schutz vor Malware/böswilligen Bedrohungen bietet. Mit der Remotebrowserisolierung kann die Citrix Secure Internet Access-Webfilterfunktion zusammen mit dem Secure Browser Service (SBS) verwendet werden, um das Unternehmensnetzwerk vor browserbasierten Angriffen zu schützen. Weitere Informationen finden Sie unter Secure Browser Service.

Mit der Remotebrowserisolierung können Sie Regeln für einige Zielwebsites festlegen, denen nicht vertraut wird, dass sie isoliert und nur über den Cloud-basierten Secure Browser Service gestartet werden. Sie können die Regel erstellen und auf eine Kombination aus Benutzergruppen und Datenverkehrstypen anwenden, die Sie isolieren möchten.

Sie können die Liste der Regeln anzeigen, die zum Aufrufen der Remotebrowserisolierung erstellt wurden.

Remotebrowserisolierung

Um die Umleitungsregeln für den aufzurufenden Datenverkehr festzulegen, navigieren Sie zu Konfiguration > Remotebrowserisolierung und klicken Sie auf Umleitungsregel zu SBS hinzufügen.

RBI-Regel hinzufügen

  • Regelname: Geben Sie einen Regelnamen an.
  • Beschreibung der Regel: Geben Sie eine Beschreibung der Regel an.
  • Übereinstimmungstyp: Wählen Sie in der Dropdown-Liste einen Übereinstimmungstyp wie Domain-Regex, Domänenliste, IP-Adresse, URL oder Kategorien aus.
  • Wert: Geben Sie den Vergleichswerttyp ein.
  • Gruppe wählen: Wählen Sie eine Gruppe aus der Dropdown-Liste aus.

Mit der Option Umleitungsregel zu SBS hinzufügen können Sie die Webfilterregeln im Portal für sicheren Internetzugriff erstellen, um den Datenverkehr zum Browserdienst umzuleiten. Für jede Remotebrowserisolierungsregel ist eine sichere Browser-URL verknüpft. Das heißt, wenn die URLs über den sicheren Internetzugriffsdienst gestartet werden und die URL einer der definierten Regeln für die Isolationsübereinstimmung des Remote-Browsers entspricht, wird die Anforderung dann an den zugehörigen sicheren Browserdienst umgeleitet.

Konfiguration