Sicherheit – technischer Überblick

Sicherheitsüberblick

Dieses Dokument gilt für alle in Citrix Cloud gehosteten XenApp und XenDesktop Services, einschließlich XenApp Essentials und XenDesktop Essentials.

Citrix Cloud verwaltet den Betrieb der Steuerungsebene von XenApp und XenDesktop-Umgebungen. Dazu gehören die Controller, die Verwaltungskonsolen, die SQL-Datenbank, der Lizenzserver und optional StoreFront sowie NetScaler Gateway. Die Virtual Delivery Agents (VDAs), auf denen die Apps und Desktops gehostet werden, bleiben unter der Kontrolle des Kunden in einem entweder in eigenen Datencenter oder in der Cloud angesiedelten Datencenter seiner Wahl. Diese Komponenten sind über einen Agent (“Citrix Cloud Connector”) mit dem Cloud-Service verbunden. Kunden, die den StoreFront-Cloudservice verwenden, können auch den NetScaler Gateway Service verwenden, anstatt NetScaler Gateway im eigenen Datencenter auszuführen. Die Abbildung unten zeigt den Service und seine Sicherheitsgrenzen.

Bild der SVC-Sicherheitsgrenzen

Datenfluss

Da die VDAs nicht vom Cloudservice gehostet werden, erfolgt das Hosting der für das Provisioning erforderlichen Anwendungsdaten und Gold-Images immer in der Einrichtung des Kunden. Die Steuerungsebene hat Zugriff auf Metadaten wie Benutzernamen, Maschinennamen und Anwendungsverknüpfungen, wodurch der Zugriff auf das geistige Eigentum des Kunden von der Steuerungsebene aus eingeschränkt wird.

Die Übertragung von Daten zwischen Cloud und Kundenstandort erfolgt über eine sichere TLS-Verbindung über Port 443.

Datenisolierung

In XenApp und XenDesktop Service werden nur Metadaten gespeichert, die für die Vermittlung und Überwachung der Anwendungen und Desktops benötigt werden. Vertrauliche Informationen wie Masterimages, Benutzerprofile und andere Anwendungsdaten verbleiben am Kundenstandort bzw. in einer von diesem bei einem öffentlichen Anbieter abonnierten Cloud.

Serviceeditionen

Die Funktionalität des XenApp und XenDesktop Service variiert je nach Edition. XenApp Essentials unterstützt beispielsweise nur den NetScaler Gateway-Service und eine von Citrix verwaltete StoreFront. Die Produktdokumentation enthält weitere Informationen über die unterstützten Funktionen.

Handhabung von Anmeldeinformationen

Der Service verarbeitet vier Arten von Anmeldeinformationen:

  • Benutzeranmeldeinformationen: Bei Einsatz einer vom Kunden verwalteten StoreFront werden die Benutzeranmeldeinformationen vom Citrix Cloud Connector mit AES-256 und einem zufälligen Einmalschlüssel, der für jeden Start generiert wird, verschlüsselt. Der Schlüssel wird nie in die Cloud übertragen, sondern nur an Citrix Receiver zurückgegeben. Der Schlüssel wird dann von Citrix Receiver zur Entschlüsselung des Benutzerkennworts beim Sitzungsstart für das Single Sign-On direkt an den VDA übergeben. Die Abbildung unten zeigt den gesamten Prozess.

Bild des Ablaufs

  • Administratoranmeldeinformationen: Administratoren authentifizieren sich über Citrix Cloud mit dem Anmeldesystem von Citrix Online. Dabei wird ein signiertes JSON Web Token (JWT) zur einmaligen Benutzung generiert, das dem Administrator Zugriff auf den XenApp und XenDesktop Service gewährt.
  • Hypervisorkennwörter: Für On-Premises-Hypervisors, die ein Kennwort für die Authentifizierung benötigen, wird dieses vom Administrator erstellt und in verschlüsselter Form direkt in der SQL-Datenbank in der Cloud gespeichert. Peerschlüssel werden von Citrix verwaltet, um sicherzustellen, dass Hypervisoranmeldeinformationen nur authentifizierten Prozessen zur Verfügung stehen.
  • Active Directory-Anmeldeinformationen: In Maschinenerstellungsdienste wird der Connector zum Erstellen von Maschinenkonten im AD des Kunden verwendet. Da das Maschinenkonto des Connectors nur Lesezugriff auf Active Directory hat, wird der Administrator für jede Maschinenerstellungs- und Maschinenlöschoperation zur Eingabe von Anmeldeinformationen aufgefordert. Die Anmeldeinformationen werden nur im Arbeitsspeicher und nur für das jeweilige Provisioningereignis gespeichert.

Überlegungen zur Bereitstellung

Citrix empfiehlt Kunden die Konsultation der Dokumentation zu bewährten Methoden für die Bereitstellung von NetScaler Gateway und VDAs in ihren Umgebungen. Im Hinblick auf eine On-Premises-StoreFront-Bereitstellung und Netzwerkkonnektivität sind folgende Punkte zu bedenken:

Anforderungen für den Citrix Cloud Connector-Netzwerkzugriff

Die Citrix Cloud Connectors erfordern nur ausgehenden Datenverkehr von Port 443 zum Internet und können hinter einem HTTP-Proxy gehostet werden.

  • In Citrix Cloud wird für die HTTPS-Kommunikation TLS 1.0, 1.1 oder 1.2 verwendet.
  • Im internen Netzwerk benötigt der Connector für den XenApp und XenDesktop Service Zugriff auf Folgendes:
    • VDAs (Port 80, ein- und ausgehend) sowie, bei Einsatz von NetScaler Gateway Service, 1494 und 2598 eingehend
    • StoreFront-Server (Port 80, eingehend)
    • NetScaler Gateways, falls diese als STA konfiguriert sind, (Port 80, eingehend)
    • Active Directory-Domänencontroller
    • Hypervisors (nur ausgehend, Angaben zu den Ports siehe Hypervisor-Dokumentation)

Der Datenverkehr zwischen den VDAs und Connectors wird mit Kerberos-Sicherheit auf Nachrichtenebene verschlüsselt.

SSL wird in Citrix Cloud für den StoreFront- und NetScaler-Datenverkehr noch nicht unterstützt. Citrix empfiehlt daher die Konfiguration von Firewallregeln, VLANs und/oder IPsec-Tunnel für diese Dienste.

StoreFront unter Verwaltung des Kunden

Unter Verwaltung des Kunden bietet StoreFront Konfigurationsoptionen für mehr Sicherheit und Flexibilität für die Bereitstellungsarchitektur, einschließlich der Möglichkeit, Benutzeranmeldeinformationen on-premises zu verwalten. StoreFront kann hinter dem NetScaler Gateway gehostet werden, um einen sicheren Remotezugriff zu ermöglichen, eine Multifaktorauthentifizierung zu erzwingen und weitere Sicherheitsfeatures zu nutzen.

NetScaler Gateway Service und StoreFront unter Verwaltung durch Citrix

Durch die Verwendung des NetScaler Gateway Service entfällt die Notwendigkeit, NetScaler Gateway im Datencenter des Kunden bereitzustellen. Die Verwendung des NetScaler Gateway Service setzt die Verwendung des über Citrix Cloud bereitgestellten StoreFront-Service voraus. Die Abbildung unten zeigt den Datenfluss bei Verwendung des NetScaler Gateway Service.

Bild des NSG-StoreFront-Datenflusses

Hinweis: Die Abbildung zeigt die logischen Datenflüsse. Alle TLS-Verbindungen zwischen Cloud Connector und Citrix Cloud werden vom Cloud Connector an Citrix Cloud initiiert. Es ist keine Firewallportzuordnung für eingehenden Datenverkehr erforderlich.

Weitere Informationen

Weitere Informationen zur Sicherheit finden Sie in den folgenden Ressourcen:

Hinweis: Dieses Dokument enthält einen Überblick über die Sicherheitsfunktionen von Citrix Cloud sowie Informationen zur Verteilung der Zuständigkeiten zwischen Citrix und dem Kunden im Hinblick auf den Schutz einer Citrix Cloud-Bereitstellung. Es ist nicht als Konfigurations- oder Verwaltungsanleitung für Citrix Cloud oder zugehörige Komponenten und Services gedacht.