Citrix Virtual Apps and Desktops Service

Technische Sicherheit

Sicherheitsüberblick

Dieses Dokument gilt für Citrix Virtual Apps and Desktops Service mit Hosting in Citrix Cloud (außer Standard für Azure-Edition). Dies umfasst Citrix Virtual Apps Essentials und Citrix Virtual Desktops Essentials. (Informationen zu Citrix Virtual Apps and Desktops Standard für Azure finden Sie unter Sicherheitsüberblick.)

Citrix Cloud verwaltet den Betrieb der Steuerungsebene von Citrix Virtual Apps and Desktops-Umgebungen. Dazu gehören die Delivery Controller, die Verwaltungskonsolen, die SQL-Datenbank, der Lizenzserver sowie optional StoreFront und Citrix Gateway (ehemals NetScaler Gateway). Die Virtual Delivery Agents (VDAs), auf denen die Apps und Desktops gehostet werden, bleiben unter der Kontrolle des Kunden in einem entweder in eigenen Datencenter oder in der Cloud angesiedelten Datencenter seiner Wahl. Diese Komponenten sind über einen Agent (“Citrix Cloud Connector”) mit dem Cloud-Service verbunden. Kunden, die Citrix Workspace verwenden, können auch den Citrix Gateway Service verwenden, anstatt Citrix Gateway im eigenen Datencenter auszuführen. Das folgende Diagramm zeigt den Service und seine Sicherheitsgrenzen.

Abbildung der Servicesicherheitsgrenzen

Datenfluss

Die VDAs werden nicht vom Service gehostet, das Hosting der für das Provisioning erforderlichen Anwendungsdaten und Images erfolgt daher immer in der Einrichtung des Kunden. Die Steuerungsebene hat Zugriff auf Metadaten wie Benutzernamen, Maschinennamen und Anwendungsverknüpfungen, wodurch der Zugriff auf das geistige Eigentum des Kunden von der Steuerungsebene aus eingeschränkt wird.

Die Übertragung von Daten zwischen Cloud und Kundenstandort erfolgt über eine sichere TLS-Verbindung über Port 443.

Datenisolierung

Im Citrix Virtual Apps and Desktops-Service werden nur Metadaten gespeichert, die für die Vermittlung und Überwachung der Anwendungen und Desktops benötigt werden. Vertrauliche Informationen wie Masterimages, Benutzerprofile und andere Anwendungsdaten verbleiben am Kundenstandort bzw. in einer von diesem bei einem öffentlichen Anbieter abonnierten Cloud.

Serviceeditionen

Die Funktionalität des Citrix Virtual Apps and Desktops-Service variiert je nach Edition. Citrix Virtual Apps Essentials unterstützt beispielsweise nur den Citrix Gateway-Service und Citrix Workspace. Die Produktdokumentation enthält weitere Informationen über die unterstützten Funktionen.

Handhabung von Anmeldeinformationen

Der Service verarbeitet vier Arten von Anmeldeinformationen:

  • Benutzeranmeldeinformationen: Bei Einsatz einer vom Kunden verwalteten StoreFront werden die Benutzeranmeldeinformationen vom Citrix Cloud Connector mit AES-256 und einem zufälligen Einmalschlüssel, der für jeden Start generiert wird, verschlüsselt. Der Schlüssel wird nie in die Cloud übertragen, sondern nur an die Citrix Workspace-App zurückgegeben. Der Schlüssel wird dann von der Citrix Workspace-App zur Entschlüsselung des Benutzerkennworts beim Sitzungsstart für das Single Sign-On an den VDA übergeben. Die Abbildung unten zeigt den Prozess.

Bild des Ablaufs

  • Administratoranmeldeinformationen: Administratoren authentifizieren sich über Citrix Cloud. Dabei wird ein signiertes JSON Web Token (JWT) zur einmaligen Benutzung generiert, das dem Administrator Zugriff auf den Citrix Virtual Apps and Desktops-Service gewährt.
  • Hypervisorkennwörter: Für On-Premises-Hypervisors, die ein Kennwort für die Authentifizierung benötigen, wird dieses vom Administrator erstellt und in verschlüsselter Form direkt in der SQL-Datenbank in der Cloud gespeichert. Peerschlüssel werden von Citrix verwaltet, um sicherzustellen, dass Hypervisoranmeldeinformationen nur authentifizierten Prozessen zur Verfügung stehen.
  • Active Directory-Anmeldeinformationen: In Maschinenerstellungsdienste wird der Cloud Connector zum Erstellen von Maschinenkonten im AD des Kunden verwendet. Da das Maschinenkonto des Cloud Connectors nur Lesezugriff auf Active Directory hat, wird der Administrator für jede Maschinenerstellungs- und Maschinenlöschoperation zur Eingabe von Anmeldeinformationen aufgefordert. Die Anmeldeinformationen werden nur im Arbeitsspeicher und nur für das jeweilige Provisioningereignis gespeichert.

Überlegungen zur Bereitstellung

Citrix empfiehlt Kunden, bei der Bereitstellung von Citrix Gateway-Anwendungen und VDAs in ihren Umgebungen auf die Dokumentation zu bewährten Methoden zurückzugreifen.

Anforderungen für den Citrix Cloud Connector-Netzwerkzugriff

Die Citrix Cloud Connectors erfordern nur ausgehenden Datenverkehr von Port 443 zum Internet und können hinter einem HTTP-Proxy gehostet werden.

  • In Citrix Cloud wird für die HTTPS-Kommunikation TLS verwendet. (Siehe Einstellung der Unterstützung von TLS-Versionen.)
  • Im internen Netzwerk muss der Cloud Connector für den Citrix Virtual Apps and Desktops-Service auf Folgendes zugreifen können:
    • VDAs: Port 80, ein- und ausgehend, sowie bei Einsatz von Citrix Gateway Service 1494 und 2598 eingehend
    • StoreFront-Server: Port 80, eingehend
    • Citrix Gateways, falls diese als STA konfiguriert sind: Port 80, eingehend
    • Active Directory-Domänencontroller
    • Hypervisors: Nur ausgehend. Informationen zu spezifischen Ports finden Sie unter Von Citrix-Technologien verwendete Kommunikationsports.

Der Datenverkehr zwischen den VDAs und Cloud Connectors wird mit Kerberos-Sicherheit auf Nachrichtenebene verschlüsselt.

StoreFront unter Verwaltung des Kunden

Unter Verwaltung des Kunden bietet StoreFront Konfigurationsoptionen für mehr Sicherheit und Flexibilität für die Bereitstellungsarchitektur, einschließlich der Möglichkeit, Benutzeranmeldeinformationen on-premises zu verwalten. StoreFront kann hinter dem Citrix Gateway gehostet werden, um einen sicheren Remotezugriff zu ermöglichen, eine mehrstufige Authentifizierung zu erzwingen und weitere Sicherheitsfeatures zu nutzen.

Citrix Gateway-Service

Durch die Verwendung des Citrix Gateway-Service muss Citrix Gateway nicht im Datencenter des Kunden bereitgestellt werden.

Einzelheiten finden Sie unter Citrix Gateway-Service.

Alle TLS-Verbindungen zwischen Cloud Connector und Citrix Cloud werden vom Cloud Connector an Citrix Cloud initiiert. Es ist keine Firewallportzuordnung für eingehenden Datenverkehr erforderlich.

XML-Vertrauenseinstellung

Die XML-Vertrauensstellung gilt für Bereitstellungen, die Folgendes verwenden:

  • Eine On-Premises-Installation von StoreFront
  • Eine (Benutzer-)Authentifizierungstechnologie für Abonnenten ohne erforderliche Kennwörter. Beispiele hierfür sind Lösungen mit Domänen-Passthrough, Smartcards, SAML und Veridium.

Wenn Sie die XML-Vertrauensstellung aktivieren, können Benutzer Anwendungen erfolgreich authentifizieren und starten. Der Cloud Connector stuft die von StoreFront gesendeten Anmeldeinformationen als vertrauenswürdig ein. Aktivieren Sie diese Einstellung nur, wenn die Kommunikation zwischen Citrix Cloud Connectors und StoreFront gesichert ist (durch Firewalls, IPsec oder andere empfohlene Sicherheitsfunktionen).

Diese Einstellung ist standardmäßig aktiviert.

Verwalten Sie die XML-Vertrauensstellung mit dem Remote PowerShell-SDK von Citrix Virtual Apps and Desktops.

  • Zum Überprüfen des aktuellen Werts der XML-Vertrauensstellung führen Sie Get-BrokerSite aus und überprüfen den Wert für TrustRequestsSentToTheXMLServicePort.
  • Zum Aktivieren der XML-Vertrauensstellung führen Sie Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true aus.
  • Zum Deaktivieren der XML-Vertrauensstellung führen Sie Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false aus.

Einstellung der Unterstützung von TLS-Versionen

Um die Sicherheit von Citrix Virtual Apps and Desktops weiter zu erhöhen, wurde ab dem 15. März 2019 jede Kommunikation über TLS 1.0 und 1.1 von Citrix blockiert.

Für alle Verbindungen mit Citrix Cloud-Diensten über Citrix Cloud Connectors ist TLS 1.2 erforderlich.

Wichtig:

Aktuelle und vollständige Erläuterungen zu allen betroffenen Citrix Cloud-Diensten finden Sie in CTX247067.

Upgrade auf die aktuelle Version von Citrix Receiver oder der Citrix Workspace-App

Um eine erfolgreiche Verbindung von Benutzerendpunktgeräten mit Citrix Workspace sicherzustellen, muss die installierte Citrix Receiver-Version gleich wie oder höher als die unten in der Tabelle aufgeführten Versionen sein.

Receiver Version
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0
Chrome/HTML5 Aktuelle Version (Browser muss TLS 1.2 unterstützen)

Für ein Upgrade auf die neueste Citrix Receiver-Version gehen Sie zu https://www.citrix.com/products/receiver/.

Führen Sie alternativ ein Upgrade auf die Citrix Workspace-App durch, die TLS 1.2 verwendet. Weitere Informationen. Laden Sie die Citrix Workspace-App von https://www.citrix.com/downloads/workspace-app/ herunter.

Wenn Sie TLS 1.0 oder 1.1 weiterhin verwenden müssen (z. B. für einen Thin Client auf Basis einer früheren Version von Receiver für Linux), installieren Sie an Ihrem Ressourcenstandort eine StoreFront, auf die alle Citrix Receiver verweisen.

Weitere Informationen

Die folgenden Ressourcen enthalten Informationen zur Sicherheit:

Hinweis:

Dieses Dokument enthält einen Überblick über die Sicherheitsfunktionen von Citrix Cloud sowie Informationen zur Verteilung der Zuständigkeiten zwischen Citrix und dem Kunden im Hinblick auf den Schutz einer Citrix Cloud-Bereitstellung. Es ist nicht als Konfigurations- oder Verwaltungsanleitung für Citrix Cloud oder zugehörige Komponenten und Services gedacht.