Techniküberblick: Sicherheit bei Session Manager und On-Premises-Bereitstellungen von XenApp and XenDesktop

Session Manager ist ein Produkt, das von Citrix Cloud verwaltet wird. Bei Verwendung von Session Manager zum Vorabstarten von Sitzungen in einem Datencenter eines Kunden verbleiben die Desktop Delivery Controller (DDC), StoreFront-Server, Virtual Delivery Agents (VDAs) und alle für den Remotezugriff verwendeten Citrix Gateways unter der Kontrolle des Kunden. Der Kunde ist für die Sicherheit dieser Komponenten zuständig. Das neue Feature wird über die Einstellung TrustManageDanonymousXMLServiceRequests aktiviert. Der XML-Dienst darf nur eingehende Anforderungen von vertrauenswürdigen StoreFront-Servern annehmen, wenn diese Einstellung verwendet wird.

Der Session Manager-Dienst verwendet zum Sitzungsvorabstart externe ICA-Verbindungen zu internen VDAs und sammelt eine begrenzte Menge an Daten vom On-Premises-DDC über den Citrix Cloud Connector zur Konfiguration und Überwachung des Vorabstarts aus der Cloud. Die folgende Abbildung zeigt den Dienst und dessen Sicherheitsgrenzen.

XML-Dienst und anonyme Vorabstarts

Abbildung der Session Manager-Komponenten

Bei der Konfiguration des Session Manager-Diensts müssen Sie die Flags TrustRequestsSentToTheXMLServicePort und TrustManageDanonymousXMLServiceRequests aktivieren. Das Flag TrustManageDanonymousXMLServiceRequests lässt zu, dass der XML-Dienst anonyme Vorabstart-Anforderungen von StoreFront akzeptiert. Diese Anforderungen werden vom XML-Dienst nicht überprüft und es ist wichtig, die Kommunikation vertrauenswürdiger StoreFront-Server mit dem XML-Dienst nur dann zuzulassen, wenn eine dieser Einstellungen verwendet wird.

Zum Isolieren des XML-Diensts kann dessen Dienstport geändert werden. Anweisungen hierzu finden Sie im Citrix Support Knowledge Center unter How to Change the XML Port in XenDesktop. Wenn der Dienst einen eigenen Port hat, ist eine Netzwerkisolation über Firewalls oder andere Technologien möglich, die den Dienst vom Datenverkehr der Benutzer trennt.

Vorab gestartete anonyme Sitzungen

Die Metadaten der Sitzungsverfolgung, die in der Sitedatenbank gespeichert werden, kennzeichnen die von Session Manager erstellten, vorab gestarteten anonymen Sitzungen. Wenn ein Benutzer eine ICA-Datei für eine vorab gestartete Sitzung erhält, wird die Sitzung zur standardmäßigen anonymen Sitzung und kann nicht wiederverwendet oder erneut verbunden werden. Standardmäßige, nicht vorab gestartete anonyme Sitzungen können nicht mit Session Manager verbunden oder von Session Manager geändert werden.

Datenfluss

Der Citrix Cloud Connector lädt regelmäßig eine begrenzte Menge von Metadaten hoch, die über die vom Broker delegierte Admin-API abgefragt wird und die Konfiguration und Überwachung von Vorabstarts über Session Manager ermöglicht. Die Daten umfassen Bereitstellungsgruppennamen, Sitzungsanzahl, Anwendungsnamen und VDA-Anzahl. Die Daten werden auf einen HTTPS-Server an Port 443 hochgeladen.

Der On-Premises-StoreFront-Server leitet bei einer standardmäßigen Konfiguration des externen Zugriffs den gesamten ICA-Datenverkehr über das Netscaler Gateway. Der Session Manager-Dienst sendet Aufrufe über Netscaler Gateway an das On-Premises-StoreFront zur Aufzählung und zum Starten anonymer Anwendungen. Der On-Premises-StoreFront-Server vertraut dem Session Manager-Dienst unter Einsatz eines Zertifikatpinning-Mechanismus, der sicherstellt, dass Anforderungen nur für einen Mandanten und StoreFront-Store gültig sind. Wenn Sie das interne StoreFront für den externen Zugriff konfigurieren, enthält die aus dem internen StoreFront abgerufene ICA-Datei alle für die Vorabstartsequenz von Session Manager erforderlichen Informationen.

Datenisolierung

Der Session Manager-Dienst ist ein Mehrmandantendienst. Die vom Citrix Cloud Connector jedes Kunden erfassten Metadaten werden in dem Dienst gespeichert. Die erfassten Metadaten und Konfigurationsinformationen der einzelnen Mandanten werden voneinander isoliert. Eine begrenzte Zahl autorisierter Citrix-Administratoren hat internen Zugriff auf die Metadaten und Konfigurationsinformationen zum Zweck der Wartung und Problembehandlung. Externe Abfragen erfasster Kundendaten und Konfigurationsinformationen erfordern eindeutige CWC-Administratoranmeldeinformationen.

Anforderungen für den Citrix Cloud Connector-Netzwerkzugriff

Der Citrix Cloud Connector erfordert, dass Port 443 für ausgehenden Datenverkehr zum Internet geöffnet ist, und kann hinter einem HTTP-Proxy gehostet werden. In Citrix Cloud wird für die HTTPS-Kommunikation TLS 1.0, 1.1 oder 1.2 verwendet. Im internen Netzwerk benötigt der Connector delegierten Administrationszugriff auf den Broker der Ebene Helpdesk-Administrator. Sie können dies über Active Directory-Computergruppen und die Einstellung “Administratoren” in Citrix Studio konfigurieren.

Anforderungen für Citrix Gateway

Der Session Manager-Dienst muss einen Tunnel über Netscaler Gateway mit dem internen StoreFront-Server herstellen können. Sie gewähren Zugriff, indem Sie mindestens einen Citrix Cloud Connector als STA-Server für das Gateway konfigurieren. Der Session Manager-Dienst erhält ein STA-Ticket vom Citrix Cloud-STA-Server für eine interne Verbindung. Das Ticket wird dann von Netscaler Gateway über die Verbindung des Citrix Cloud Connectors mit demselben cloudbasierten STA-Server eingelöst. Citrix Cloud-Dienste mit Zugriff auf den Citrix Cloud-STA-Server können bei dieser Konfiguration Verbindungen über Netscaler Gateway zu Ihren internen Ressourcen herstellen.

Weitere Informationen

Weitere Informationen zur Sicherheit finden Sie in den folgenden Ressourcen:

Hinweis:

Dieses Dokument enthält einen Überblick über die Sicherheitsfunktionen von Citrix Cloud sowie Informationen zur Verteilung der Zuständigkeiten zwischen Citrix und dem Kunden im Hinblick auf den Schutz einer Citrix Cloud-Bereitstellung. Es ist nicht als Konfigurations- oder Verwaltungsanleitung für Citrix Cloud oder zugehörige Komponenten und Services gedacht.

Techniküberblick: Sicherheit bei Session Manager und On-Premises-Bereitstellungen von XenApp and XenDesktop