Sicherheit – technischer Überblick

Sicherheitsüberblick

Dieses Dokument gilt für alle in der Citrix Cloud gehosteten Citrix Virtual Apps and Desktops-Services, einschließlich Citrix Virtual Apps Essentials und Citrix Virtual Desktops Essentials.

Citrix Cloud verwaltet den Betrieb der Steuerungsebene von Citrix Virtual Apps and Desktops-Umgebungen. Dazu gehören die Delivery Controller, die Verwaltungskonsolen, die SQL-Datenbank, der Lizenzserver sowie optional StoreFront und Citrix Gateway (ehemals NetScaler Gateway). Die Virtual Delivery Agents (VDAs), auf denen die Apps und Desktops gehostet werden, bleiben unter der Kontrolle des Kunden in einem entweder in eigenen Datencenter oder in der Cloud angesiedelten Datencenter seiner Wahl. Diese Komponenten sind über einen Agent (“Citrix Cloud Connector”) mit dem Cloud-Service verbunden. Kunden, die den StoreFront-Cloudservice verwenden, können auch den Citrix Gateway Service verwenden, anstatt Citrix Gateway im eigenen Datencenter auszuführen. Die Abbildung unten zeigt den Service und seine Sicherheitsgrenzen.

Bild der SVC-Sicherheitsgrenzen

Datenfluss

Da die VDAs nicht vom Cloudservice gehostet werden, erfolgt das Hosting der für das Provisioning erforderlichen Anwendungsdaten und Gold-Images immer in der Einrichtung des Kunden. Die Steuerungsebene hat Zugriff auf Metadaten wie Benutzernamen, Maschinennamen und Anwendungsverknüpfungen, wodurch der Zugriff auf das geistige Eigentum des Kunden von der Steuerungsebene aus eingeschränkt wird.

Die Übertragung von Daten zwischen Cloud und Kundenstandort erfolgt über eine sichere TLS-Verbindung über Port 443.

Datenisolierung

Im Citrix Virtual Apps and Desktops-Service werden nur Metadaten gespeichert, die für die Vermittlung und Überwachung der Anwendungen und Desktops benötigt werden. Vertrauliche Informationen wie Masterimages, Benutzerprofile und andere Anwendungsdaten verbleiben am Kundenstandort bzw. in einer von diesem bei einem öffentlichen Anbieter abonnierten Cloud.

Serviceeditionen

Die Funktionalität des Citrix Virtual Apps and Desktops-Service variiert je nach Edition. Citrix Virtual Apps Essentials unterstützt beispielsweise nur den Citrix Gateway-Service und von Citrix verwaltetes StoreFront. Die Produktdokumentation enthält weitere Informationen über die unterstützten Funktionen.

Handhabung von Anmeldeinformationen

Der Service verarbeitet vier Arten von Anmeldeinformationen:

  • Benutzeranmeldeinformationen: Bei Einsatz einer vom Kunden verwalteten StoreFront werden die Benutzeranmeldeinformationen vom Citrix Cloud Connector mit AES-256 und einem zufälligen Einmalschlüssel, der für jeden Start generiert wird, verschlüsselt. Der Schlüssel wird nie in die Cloud übertragen, sondern nur an die Citrix Workspace-App zurückgegeben. Der Schlüssel wird dann von der Citrix Workspace-App zur Entschlüsselung des Benutzerkennworts beim Sitzungsstart für das Single Sign-On direkt an den VDA übergeben. Die Abbildung unten zeigt den gesamten Prozess.

Bild des Ablaufs

  • Administratoranmeldeinformationen: Administratoren authentifizieren sich über Citrix Cloud mit dem Anmeldesystem von Citrix Online. Dabei wird ein signiertes JSON Web Token (JWT) zur einmaligen Benutzung generiert, das dem Administrator Zugriff auf den Citrix Virtual Apps and Desktops-Service gewährt.
  • Hypervisorkennwörter: Für On-Premises-Hypervisors, die ein Kennwort für die Authentifizierung benötigen, wird dieses vom Administrator erstellt und in verschlüsselter Form direkt in der SQL-Datenbank in der Cloud gespeichert. Peerschlüssel werden von Citrix verwaltet, um sicherzustellen, dass Hypervisoranmeldeinformationen nur authentifizierten Prozessen zur Verfügung stehen.
  • Active Directory-Anmeldeinformationen: In Maschinenerstellungsdienste wird der Connector zum Erstellen von Maschinenkonten im AD des Kunden verwendet. Da das Maschinenkonto des Connectors nur Lesezugriff auf Active Directory hat, wird der Administrator für jede Maschinenerstellungs- und Maschinenlöschoperation zur Eingabe von Anmeldeinformationen aufgefordert. Die Anmeldeinformationen werden nur im Arbeitsspeicher und nur für das jeweilige Provisioningereignis gespeichert.

Überlegungen zur Bereitstellung

Citrix empfiehlt Kunden, bei der Bereitstellung von Citrix Gateway-Anwendungen und VDAs in ihren Umgebungen auf die Dokumentation zu bewährten Methoden zurückzugreifen. Im Hinblick auf eine On-Premises-StoreFront-Bereitstellung und Netzwerkkonnektivität sind folgende Punkte zu bedenken:

Anforderungen für den Citrix Cloud Connector-Netzwerkzugriff

Die Citrix Cloud Connectors erfordern nur ausgehenden Datenverkehr von Port 443 zum Internet und können hinter einem HTTP-Proxy gehostet werden.

  • In Citrix Cloud wird für die HTTPS-Kommunikation TLS 1.0, 1.1 oder 1.2 verwendet.
  • Im internen Netzwerk muss der Connector für den Citrix Virtual Apps and Desktops-Service auf Folgendes zugreifen können:
    • VDAs (Port 80, ein- und ausgehend) sowie, bei Einsatz von Citrix Gateway Service, 1494 und 2598 eingehend
    • StoreFront-Server (Port 80, eingehend)
    • Citrix Gateways, falls diese als STA konfiguriert sind (Port 80, eingehend)
    • Active Directory-Domänencontroller
    • Hypervisors (nur ausgehend, Angaben zu den Ports siehe Hypervisor-Dokumentation)

Der Datenverkehr zwischen den VDAs und Cloud Connectors wird mit Kerberos-Sicherheit auf Nachrichtenebene verschlüsselt.

SSL wird in Citrix Cloud für den StoreFront- und Citrix Gateway-Datenverkehr noch nicht unterstützt. Citrix empfiehlt daher die Konfiguration von Firewallregeln, VLANs und IPsec-Tunneln für diese Dienste.

StoreFront unter Verwaltung des Kunden

Unter Verwaltung des Kunden bietet StoreFront Konfigurationsoptionen für mehr Sicherheit und Flexibilität für die Bereitstellungsarchitektur, einschließlich der Möglichkeit, Benutzeranmeldeinformationen on-premises zu verwalten. StoreFront kann hinter dem Citrix Gateway gehostet werden, um einen sicheren Remotezugriff zu ermöglichen, eine mehrstufige Authentifizierung zu erzwingen und weitere Sicherheitsfeatures zu nutzen.

Citrix Gateway-Service und Citrix-verwaltetes StoreFront

Durch die Verwendung des Citrix Gateway-Service muss Citrix Gateway nicht im Datencenter des Kunden bereitgestellt werden. Der Citrix Gateway Service ist erforderlich, um den über Citrix Cloud bereitgestellten StoreFront-Service verwenden zu können. Die folgende Abbildung zeigt den Datenfluss bei Verwendung des Citrix Gateway-Service.

Bild des Citrix Gateway-StoreFront-Datenflusses

Hinweis: Die Abbildung zeigt die logischen Datenflüsse. Alle TLS-Verbindungen zwischen Cloud Connector und Citrix Cloud werden vom Cloud Connector an Citrix Cloud initiiert. Es ist keine Firewallportzuordnung für eingehenden Datenverkehr erforderlich.

Einstellung der Unterstützung von TLS-Versionen

Um die Sicherheit von Citrix Virtual Apps and Desktops weiter zu erhöhen, wird nach dem 31. Dezember 2018 jede Kommunikation über TLS 1.0 und 1.1 von Citrix blockiert.

Auswirkungen für Ihren Betrieb

Wenn Sie ab 1. Januar 2019 eine ältere Citrix Receiver-Version als unten aufgeführt verwenden, schlägt jede Verbindung eines Benutzers mit cloudgehostetem StoreFront oder Citrix Workspace fehl.

Receiver Version
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0

Aktion

Stellen Sie sicher, dass alle Citrix Receiver auf eine neuere Version aktualisiert werden, um Störungen für Endbenutzer zu vermeiden. Navigieren Sie zu https://www.citrix.com/products/receiver/.

Alternativ können Sie ein Upgrade auf unsere neue Citrix Workspace-App durchführen. Navigieren Sie zu https://www.citrix.com/downloads/workspace-app/. Weitere Informationen über die Citrix Workspace-App erhalten Sie unter https://www.citrix.com/products/workspace-app/.

Bei erforderlichem Einsatz von TLS 1.0 oder TLS 1.1

Wenn Sie auch nach dem 31. Dezember 2018 TLS 1.0 oder 1.1 verwenden müssen (z. B. wenn Sie einen Thin Client auf Basis einer früheren Version von Receiver für Linux verwenden), installieren Sie in Ihrem Ressourcenstandort einen StoreFront, auf den alle Citrix Receiver verweisen.

Weitere Informationen

Weitere Informationen zur Sicherheit finden Sie in den folgenden Ressourcen:

Hinweis:

Dieses Dokument enthält einen Überblick über die Sicherheitsfunktionen von Citrix Cloud sowie Informationen zur Verteilung der Zuständigkeiten zwischen Citrix und dem Kunden im Hinblick auf den Schutz einer Citrix Cloud-Bereitstellung. Es ist nicht als Konfigurations- oder Verwaltungsanleitung für Citrix Cloud oder zugehörige Komponenten und Services gedacht.