Technische Sicherheit

Sicherheitsüberblick

Dieses Dokument gilt für alle in der Citrix Cloud gehosteten Citrix Virtual Apps and Desktops-Services, einschließlich Citrix Virtual Apps Essentials und Citrix Virtual Desktops Essentials.

Citrix Cloud verwaltet den Betrieb der Steuerungsebene von Citrix Virtual Apps and Desktops-Umgebungen. Dazu gehören die Delivery Controller, die Verwaltungskonsolen, die SQL-Datenbank, der Lizenzserver sowie optional StoreFront und Citrix Gateway (ehemals NetScaler Gateway). Die Virtual Delivery Agents (VDAs), auf denen die Apps und Desktops gehostet werden, bleiben unter der Kontrolle des Kunden in einem entweder in eigenen Datencenter oder in der Cloud angesiedelten Datencenter seiner Wahl. Diese Komponenten sind über einen Agent (“Citrix Cloud Connector”) mit dem Cloud-Service verbunden. Kunden, die Citrix Workspace verwenden, können auch den Citrix Gateway Service verwenden, anstatt Citrix Gateway im eigenen Datencenter auszuführen. Die Abbildung unten zeigt den Service und seine Sicherheitsgrenzen.

Bild der SVC-Sicherheitsgrenzen

Datenfluss

Da die VDAs nicht vom Cloudservice gehostet werden, erfolgt das Hosting der für das Provisioning erforderlichen Anwendungsdaten und Gold-Images immer in der Einrichtung des Kunden. Die Steuerungsebene hat Zugriff auf Metadaten wie Benutzernamen, Maschinennamen und Anwendungsverknüpfungen, wodurch der Zugriff auf das geistige Eigentum des Kunden von der Steuerungsebene aus eingeschränkt wird.

Die Übertragung von Daten zwischen Cloud und Kundenstandort erfolgt über eine sichere TLS-Verbindung über Port 443.

Datenisolierung

Im Citrix Virtual Apps and Desktops-Service werden nur Metadaten gespeichert, die für die Vermittlung und Überwachung der Anwendungen und Desktops benötigt werden. Vertrauliche Informationen wie Masterimages, Benutzerprofile und andere Anwendungsdaten verbleiben am Kundenstandort bzw. in einer von diesem bei einem öffentlichen Anbieter abonnierten Cloud.

Serviceeditionen

Die Funktionalität des Citrix Virtual Apps and Desktops-Service variiert je nach Edition. Citrix Virtual Apps Essentials unterstützt beispielsweise nur den Citrix Gateway-Service und Citrix Workspace. Die Produktdokumentation enthält weitere Informationen über die unterstützten Funktionen.

Handhabung von Anmeldeinformationen

Der Service verarbeitet vier Arten von Anmeldeinformationen:

  • Benutzeranmeldeinformationen: Bei Einsatz einer vom Kunden verwalteten StoreFront werden die Benutzeranmeldeinformationen vom Citrix Cloud Connector mit AES-256 und einem zufälligen Einmalschlüssel, der für jeden Start generiert wird, verschlüsselt. Der Schlüssel wird nie in die Cloud übertragen, sondern nur an die Citrix Workspace-App zurückgegeben. Der Schlüssel wird dann von der Citrix Workspace-App zur Entschlüsselung des Benutzerkennworts beim Sitzungsstart für das Single Sign-On direkt an den VDA übergeben. Die Abbildung unten zeigt den gesamten Prozess.

Bild des Ablaufs

  • Administratoranmeldeinformationen: Administratoren authentifizieren sich über Citrix Cloud mit dem Anmeldesystem von Citrix Online. Dabei wird ein signiertes JSON Web Token (JWT) zur einmaligen Benutzung generiert, das dem Administrator Zugriff auf den Citrix Virtual Apps and Desktops-Service gewährt.
  • Hypervisorkennwörter: Für On-Premises-Hypervisors, die ein Kennwort für die Authentifizierung benötigen, wird dieses vom Administrator erstellt und in verschlüsselter Form direkt in der SQL-Datenbank in der Cloud gespeichert. Peerschlüssel werden von Citrix verwaltet, um sicherzustellen, dass Hypervisoranmeldeinformationen nur authentifizierten Prozessen zur Verfügung stehen.
  • Active Directory-Anmeldeinformationen: In Maschinenerstellungsdienste wird der Connector zum Erstellen von Maschinenkonten im AD des Kunden verwendet. Da das Maschinenkonto des Connectors nur Lesezugriff auf Active Directory hat, wird der Administrator für jede Maschinenerstellungs- und Maschinenlöschoperation zur Eingabe von Anmeldeinformationen aufgefordert. Die Anmeldeinformationen werden nur im Arbeitsspeicher und nur für das jeweilige Provisioningereignis gespeichert.

Überlegungen zur Bereitstellung

Citrix empfiehlt Kunden, bei der Bereitstellung von Citrix Gateway-Anwendungen und VDAs in ihren Umgebungen auf die Dokumentation zu bewährten Methoden zurückzugreifen. Im Hinblick auf eine On-Premises-StoreFront-Bereitstellung und Netzwerkkonnektivität sind folgende Punkte zu bedenken:

Anforderungen für den Citrix Cloud Connector-Netzwerkzugriff

Die Citrix Cloud Connectors erfordern nur ausgehenden Datenverkehr von Port 443 zum Internet und können hinter einem HTTP-Proxy gehostet werden.

  • In Citrix Cloud wird für die HTTPS-Kommunikation TLS 1.0, 1.1 oder 1.2 verwendet. (Informationen zu aktuellen Änderungen finden Sie unter Einstellung der Unterstützung von TLS-Versionen weiter unten.)
  • Im internen Netzwerk muss der Connector für den Citrix Virtual Apps and Desktops-Service auf Folgendes zugreifen können:
    • VDAs (Port 80, ein- und ausgehend) sowie, bei Einsatz von Citrix Gateway Service, 1494 und 2598 eingehend
    • StoreFront-Server (Port 80, eingehend)
    • Citrix Gateways, falls diese als STA konfiguriert sind (Port 80, eingehend)
    • Active Directory-Domänencontroller
    • Hypervisors (nur ausgehend, Angaben zu den Ports siehe Hypervisor-Dokumentation)

Der Datenverkehr zwischen den VDAs und Cloud Connectors wird mit Kerberos-Sicherheit auf Nachrichtenebene verschlüsselt.

StoreFront unter Verwaltung des Kunden

Unter Verwaltung des Kunden bietet StoreFront Konfigurationsoptionen für mehr Sicherheit und Flexibilität für die Bereitstellungsarchitektur, einschließlich der Möglichkeit, Benutzeranmeldeinformationen on-premises zu verwalten. StoreFront kann hinter dem Citrix Gateway gehostet werden, um einen sicheren Remotezugriff zu ermöglichen, eine mehrstufige Authentifizierung zu erzwingen und weitere Sicherheitsfeatures zu nutzen.

Citrix Gateway und Citrix Workspace

Durch die Verwendung des Citrix Gateway-Service muss Citrix Gateway nicht im Datencenter des Kunden bereitgestellt werden. Der Citrix Gateway Service ist erforderlich, um den über Citrix Cloud bereitgestellten StoreFront-Service verwenden zu können. Die folgende Abbildung zeigt den Datenfluss bei Verwendung des Citrix Gateway-Service.

Bild des Citrix Gateway-StoreFront-Datenflusses

Hinweis: Die Abbildung zeigt die logischen Datenflüsse. Alle TLS-Verbindungen zwischen Cloud Connector und Citrix Cloud werden vom Cloud Connector an Citrix Cloud initiiert. Es ist keine Firewallportzuordnung für eingehenden Datenverkehr erforderlich.

Einstellung der Unterstützung von TLS-Versionen

Um die Sicherheit von Citrix Virtual Apps and Desktops weiter zu erhöhen, wurde ab dem 15. März 2019 jede Kommunikation über TLS 1.0 und 1.1 von Citrix blockiert.

Wichtig: Aktuelle und umfassende Erläuterungen zu allen betroffenen Citrix Cloud-Diensten finden Sie in CTX247067.

Upgrade auf die aktuelle Version von Citrix Receiver oder der Citrix Workspace-App

Für eine erfolgreiche Verbindung von Benutzerendpunktgeräten mit Citrix Workspace muss die installierte Version von Citrix Receiver mindestens den unten aufgeführten Versionen entsprechen, die TLS 1.2 unterstützen.

Receiver Version
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3,7
iOS 7.0
Chrome/HTML5 Aktuelle Version (Browser muss TLS 1.2 unterstützen)

Für ein Upgrade auf die neueste Citrix Receiver-Version gehen Sie zu https://www.citrix.com/products/receiver/.

Alternativ können Sie ein Upgrade auf unsere neue Citrix Workspace-App durchführen, die TLS 1.2 verwendet. Weitere Informationen. Laden Sie die Citrix Workspace-App von https://www.citrix.com/downloads/workspace-app/ herunter.

In CTX247067 wird beschrieben, wie Sie eine Liste von Citrix Receivern abrufen, die eine Verbindung mit Ihrer Citrix Cloud-Umgebung herstellen, um auf Citrix Virtual Apps and Desktops zuzugreifen.

Bei weiterhin erforderlichem Einsatz von TLS 1.0 oder TLS 1.1

Wenn Sie TLS 1.0 oder 1.1 weiterhin verwenden müssen (z. B. wenn Sie einen Thin Client auf Basis einer früheren Version von Receiver für Linux verwenden), installieren Sie an Ihrem Ressourcenstandort eine StoreFront, auf die alle Citrix Receiver verweisen.

Provisioning

Für alle Verbindungen mit Citrix Cloud-Diensten über Citrix Cloud Connectors ist TLS 1.2 erforderlich. Citrix Provisioning und Maschinenerstellungsdienste lassen bislang standardmäßig Verbindungen über TLS 1.0, 1.1 und 1.2 zu (keine Aktion erforderlich), später im Jahr sind Verbindungen jedoch nur noch über TLS 1.2 möglich.

Optional: Wenn Ihre Sicherheitsrichtlinie eine strenge Durchsetzung von TLS 1.2-Verbindungen erfordert, ändern Sie die Registrierungseinstellungen auf jedem Citrix Cloud Connector, wie in CTX247067 beschrieben.

Weitere Informationen

Weitere Informationen zur Sicherheit finden Sie in den folgenden Ressourcen:

Hinweis: Dieses Dokument enthält einen Überblick über die Sicherheitsfunktionen von Citrix Cloud sowie Informationen zur Verteilung der Zuständigkeiten zwischen Citrix und dem Kunden im Hinblick auf den Schutz einer Citrix Cloud-Bereitstellung. Es ist nicht als Konfigurations- oder Verwaltungsanleitung für Citrix Cloud oder zugehörige Komponenten und Services gedacht.