Hybrides Arbeiten ist längst gelebte Realität. Mitarbeitende greifen von unterschiedlichsten Standorten und Geräten auf geschäftskritische Anwendungen zu. Genau hier setzt deviceTRUST an, seit Dezember 2024 Teil der Cloud Software Group. Die Technologie erweitert die Citrix Umgebung um kontextbasierte Zugriffskontrolle in Echtzeit, sodass Sicherheit direkt dort greift, wo Nutzer arbeiten.
Anstatt Zugriffsrechte einmalig beim Login zu prüfen, bewertet deviceTRUST kontinuierlich, ob ein Endgerät den aktuellen Sicherheitsrichtlinien entspricht. Faktoren wie Betriebssystemversion, Patch-Stand, Netzwerkverbindung oder Standort fließen in die Entscheidung ein. Sobald sich eine Bedingung ändert, wird die Sitzung neu bewertet und bei Bedarf eingeschränkt oder beendet – ganz ohne zusätzliche Authentifizierungsschritte.
Ein entscheidender Vorteil: Die Client-Extension von deviceTRUST ist bereits ab Version 2503 in der Citrix WorkspaceApp integriert. Kunden müssen keine zusätzliche Agentenlandschaft aufbauen, sondern können die kontextbasierte Zugriffskontrolle nativ in ihrer bestehenden Infrastruktur nutzen. Besonders bei BYOD-Geräten zeigt sich der Nutzen, da diese meist außerhalb klassischer Verwaltungswerkzeuge liegen. Mit deviceTRUST lassen sich somit konsistente Sicherheitsrichtlinien durchsetzen, ohne auf eine vollständige Kontrolle über private Endgeräte angewiesen zu sein.
Ebenfalls ist mit dem 2507-Release des Citrix Virtual Desktop Agents der deviceTRUST Agent nun fest integriert und nicht länger als optional installierbare Komponente verfügbar.
Wichtigste Information vorab: Für Citrix-Kunden ist der separate Erwerb einer deviceTRUST Lizenz nicht mehr erforderlich. Seit der Übernahme am 15. Dezember 2024 steht deviceTRUST Kunden mit einer Citrix Platform License zur Verfügung und wurde zunächst manuell bereitgestellt. Seit Mitte Januar 2025 können Kunden mit einer Citrix Platform License, der Universal Hybrid Multi Cloud License oder bestimmten Legacy DaaS Abonnements die deviceTRUST Lizenzdatei direkt über ihr My Citrix Konto herunterladen:
deviceTRUST Lizenz innerhalb des MyCitrix-Portals
Damit deviceTRUST in einer Citrix-Umgebung reibungslos eingesetzt werden kann, müssen neben der technischen Lizenz, auch die folgenden berücksichtigt werden. Diese arbeiten eng zusammen und bilden die Grundlage für die kontextbasierte Zugriffskontrolle:
| Komponente | Beschreibung | Hinweise |
|---|---|---|
| deviceTRUST Agent | Setzt Richtlinien auf den Citrix Workern um und protokolliert alle relevanten Informationen in ein separates EventLog. | Der Agent ist ab VDA2507 standardmäßig inkludiert. |
| deviceTRUST Client-Extension | Meldet zur Laufzeit Änderungen am Endgerät an den Agent über den virtuellen Kanal. | Die Client-Extension ist ab Version 2503 der Citrix WorkspaceApp ebenfalls standardmäßig inkludiert. |
| deviceTRUST Konsole | Zentrale Komponente für die Verwaltung der Aktionen, Kontexte und Nachrichten. | Konfigurationen können in GPOs oder Dateien gespeichert werden. |
Der immense Vorteil dabei: Neben den drei aufgezählten Komponenten, bedarf es keinem Aufbau einer separaten Infrastruktur für die Nutzung von deviceTRUST. Die Lösung kann nahtlos in die bestehende Infrastruktur implementiert werde – ein Riesenvorteil gegenüber anderen Technologien.
Um die Kommunikation zwischen dem deviceTRUST-Agenten und der Client-Extension zu ermöglichen, muss der virtuelle Kanal für die Kommunikation entsprechend freigegeben werden. Wenn bereits per Citrix Policy eine explizite Allow-List für die virtuellen Kanäle innerhalb der Citrix-Umgebung genutzt wird, so muss diese um die drei folgenden Pfade erweitert werden:
Theorie ist das eine, ein echter Mehrwert zeigt sich jedoch im täglichen Einsatz. Und genau hier entfaltet deviceTRUST seine ganze Stärke: Zugriffsentscheidungen werden nicht mehr abstrakt im Hintergrund getroffen, sondern greifen spürbar in konkreten Nutzungssituationen. Ob beim Arbeiten von unterwegs, im Homeoffice mit privaten Endgeräten oder in hochsensiblen Unternehmensbereichen – deviceTRUST sorgt dafür, dass Sicherheit und Benutzerfreundlichkeit im Gleichgewicht bleiben.
Im Folgenden stellen wir Ihnen drei Beispiele vor, die zeigen, wie kontextbasierte Zugriffskontrollen mit deviceTRUST funktionieren:
In diesem Szenario prüft deviceTRUST die Version der Citrix Workspace-App auf dem Endgerät. Nur wenn die App mindestens in der Version 25.03 installiert ist, wird der Zugriff auf die virtuelle Maschine erlaubt. Ältere Versionen werden automatisch blockiert, sodass nur mit einer aktuellen, sicheren Clientversion gearbeitet werden kann.
Kontext-Konfiguration innerhalb der deviceTRUST Konsole
Zugriff verweigert beim Sitzungsaufbau mit veralteter CWA
USB-Sticks stellen in vielen Umgebungen ein Sicherheitsrisiko dar. deviceTRUST erkennt angeschlossene Datenträger zur Laufzeit und reagiert entsprechend: Entweder wird der Nutzer per Notification aufgefordert, den Stick zu entfernen…
Hinweismeldung hinsichtlich angeschlossenem USB-Gerät
…oder der Zugriff wird direkt verweigert, solange ein USB-Stick eingesteckt ist:
Forcierte Abmeldung bei angeschlossenem USB-Gerät
Nach dem Entfernen ist der Login bzw. das Weiterarbeiten sofort wieder möglich. Das entsprechende Ereignis wird ebenfalls im EventLog auf dem der Agent betrieben wird, unter dem Pfad Anwendungs- und Dienstprotokolle\deviceTRUST\Admin, protokolliert:
Auszug aus dem deviceTRUST EventLog
Für eine sichere Arbeitsumgebung spielt der lokale Gerätezustand eine zentrale Rolle. In unserem Beispiel wurde die Firewall auf dem Endgerät bewusst deaktiviert. deviceTRUST erkennt diesen unsicheren Zustand in Echtzeit und blockiert den Zugriff. Auf diese Weise wird sichergestellt, dass nur Geräte mit aktivem und regelkonformem Sicherheitsstatus genutzt werden können.
Abmeldung aufgrund deaktivierter Client-Firewall
Mit der Übernahme von deviceTRUST hat Citrix einen zentralen Baustein für eine moderne Zero Trust Strategie hinzugefügt. Endpunkte werden nun nicht mehr als statische Eintrittspunkte verstanden, sondern als dynamische Elemente, die jederzeit neu bewertet werden können. Für Unternehmen bedeutet das: ein höheres Maß an Kontrolle, ein deutlich reduziertes Risiko und die Sicherheit, dass ihre Citrix Umgebung für die Anforderungen hybrider Arbeitsmodelle optimal aufgestellt ist.
Sollten Sie Fragen zur Integration haben oder Unterstützung bei der Umsetzung benötigen, stehen wir Ihnen selbstverständlich mit unserer Erfahrung und Expertise zur Seite.
Wir sind für Sie da.
Bei welchem Projekt oder welcher Herausforderung dürfen wir Sie unterstützen?
Wir sind gerne für Sie da.
HEIKO WESSELS
Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an
Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.
