Product Documentation

Sicherheitsüberlegungen in einer XenApp-Bereitstellung

Dec 07, 2015

Sicherheitsstandards wie sie für Citrix XenApp 6.5 für Microsoft Windows Server 2008 R2 gelten, werden an dieser Stelle besprochen. Dieser Abschnitt bietet einen Überblick über die Standards, die für XenApp-Bereitstellungen gelten, und beschreibt die Probleme, die beim Absichern der Kommunikation in einer Reihe von XenApp-Bereitstellungsbeispielen auftreten. Weitere Informationen über einzelne Sicherheitsfeatures finden Sie in der Dokumentation für das jeweilige Produkt oder die jeweilige Komponente.

Wenn Sie XenApp in großen Organisationen bereitstellen, vor allem in Behörden, sind Sicherheitsstandards ein wichtiger Gesichtspunkt. Viele Behörden in den USA haben beispielsweise die Anforderung bzw. die Vorschrift, dass Anwendungen die Anforderungen von FIPS 140 (Federal Information Processing Standards) erfüllen. In diesem Abschnitt werden häufige Probleme in solchen Umgebungen besprochen.

Neues in XenApp 6.5 Security Standards

Das 6.5 Release enthält Änderungen an einigen XenApp-Features, um mit den neuen FIPS 140-Richtlinien für 2010 konform zu sein.

  • SHA-256-Hashing:
    • Citrix Streaming Profiler erstellt jetzt SHA-256-Hashes für jede Datei in einem Profil. Wenn dies für die Rückwärtskompatibilität mit Offline Plug-In 6.0.x aktiviert ist, kann das Offline Plug-In die Integrität von Profilen überprüfen, die SHA-256- und SHA-1-Hashes enthalten. Weitere Informationen finden Sie unter Unterstützen von Legacy-Plug-Ins.
    • SmartAuditor erstellt jetzt SHA-256-Hashes von gespeicherten Sitzungen. Für die Rückwärtskompatibilität kann SmartAuditor Player die Integrität von Sitzungen überprüfen, deren Integritätsprüfsumme mit SHA-256 oder SHA-1 berechnet wurde.
  • 2048-Bit RSA-Schlüssel:
    • Mit der IMA-Verschlüsselung werden jetzt 2048-Bit RSA-Schlüssel erstellt.
    • Die Schlüssel enthalten sowohl Größen- als auch Algorithmusinformationen und können von jeder XenApp-Version importiert werden, die die IMA-Verschlüsselung unterstützt.
    • Die RSA-Schlüssel für die IMA-Verschlüsselung werden während einer Neuinstallation generiert oder wenn sie manuell geändert werden. Wenn der Schlüssel auf einem Server ersetzt wird, muss er auf allen Servern ersetzt werden. Probleme mit gemischten Farmen treten daher nicht auf.
    • Das Anwendungsstreaming unterstützt Zertifikate mit 2048-Bit RSA-Schlüsseln.

Serverfarmen

Eine Serverfarm ist eine Sammlung von XenApp-Servern, die Sie in der Delivery Services Console als eine Einheit verwalten können. Ein Server kann nur zu einer Farm gehören, aber eine Farm kann Server aus mehreren Domänen enthalten. Beim Design einer Serverfarm müssen zwei Ziele in Einklang gebracht werden:
  • Schnellstmöglicher Anwendungszugriff für Benutzer
  • Gewährleisten der erforderlichen zentralisierten Administration und Netzwerksicherheit

Independent Computing Architecture (ICA)

XenApp bietet lokalen und remoten Benutzern Server Based Computing über das von Citrix entwickelte ICA-Protokoll (Independent Computing Architecture). ICA ist das Kommunikationsprotokoll, über das Server und Clientgeräte in einer XenApp-Umgebung Daten austauschen. ICA wurde optimiert, um die Bereitstellung und Leistung dieses Austauschs auch bei Verbindungen mit geringer Bandbreite zu verbessern.

Bei einer Anwendung, die auf dem Server ausgeführt wird, fängt XenApp die Anzeigedaten der Anwendung ab und verwendet das ICA-Protokoll, um diese Daten über Standardnetzwerkprotokolle an die Citrix Receiver-Software zu senden, die auf dem Clientgerät des Benutzers ausgeführt wird. Wenn der Benutzer Eingaben über die Tastatur vornimmt oder die Maus bewegt und mit ihr klickt, sendet die Citrix Receiver-Software die erstellten Daten zur Verarbeitung an die auf dem Server ausgeführte Anwendung.

ICA erfordert nur minimale Funktionen von der Clientarbeitsstation und bietet Fehlererkennung und Notfallwiederherstellung, Verschlüsselung und Datenkomprimierung.

Hinweis: Die HDX Flash-Umleitungstechnologie streamt u. U. Flash-Inhalt außerhalb des ICA-Protokolls in separaten TCP-Verbindungen. Weitere Informationen finden Sie unter Konfigurieren der HDX MediaStream-Flash-Umleitung.

Webinterface

In XenApp-Bereitstellungen mit dem Webinterface verwenden Sie HTTPS für die Kommunikation zwischen dem Server, auf dem das Webinterface ausgeführt wird, und den Clientgeräten mit den Webbrowsern (und der Citrix Receiver-Software).

SSL-Relay und Secure Gateway

In einer XenApp-Bereitstellung können Administratoren die Verschlüsselung mit folgenden Methoden konfigurieren:

  • SSL-Relay, eine in XenApp integrierte Komponente
  • Secure Gateway, eine eigenständige Komponente, die Sie auf dem XenApp-Installationsmedium finden

Weitere Informationen finden Sie unter SSL/TLS Protocols.

Virtuelle Kanäle

Die folgende Tabelle zeigt die virtuellen Kanäle der Citrix Independent Computing Architecture (ICA) oder die Kombination virtueller Kanäle, die mit XenApp für die Authentifizierung und oder für das Signieren und Verschlüsseln von Anwendungen verwendet werden kann.

Hinweis: Diese Tabelle gilt nur für XenApp, nicht für Citrix Single Sign-On.
  Core-ICA-Protokoll (kein virtueller Kanal) Virtueller Kanal für Smartcards Virtueller Kanal für Kerberos
Smartcardauthentifizierung   * *
Biometrische1 Authentifizierung     *
Kennwortauthentifizierung *   *
Anwendungssignierung/-verschlüsselung   *  
1 Für die biometrische Authentifizierung ist ein Drittanbietergerät erforderlich.

Zusätzliche Sicherheitsfeatures

Die folgenden Produkte können mit XenApp verwendet werden und bieten zusätzliche Sicherheit. Diese zusätzlichen Sicherheitsmaßnahmen sind in den Beispielbereitstellungen nicht verfügbar.

ICA-Verschlüsselung mit SecureICA

ICA-Verschlüsselung mit SecureICA ist in XenApp integriert. SecureICA ermöglicht die Verschlüsselung mit bis zu 128-Bit zum Schutz der Informationen, die zwischen XenApp-Servern und den Clientgeräten der Benutzer übermittelt werden. Wichtig: SecureICA verwendet jedoch nicht FIPS 140-konforme Algorithmen. Sollte dies erforderlich sein, konfigurieren Sie die XenApp-Server und die Plug-Ins so, dass SecureICA nicht verwendet wird.

Authentifizierung für das Webinterface mit RSA SecurID

Sie können das Drittanbieterprodukt RSA SecurID als Authentifizierungsmethode für das Webinterface, das auf Internetinformationsdienste (IIS) ausgeführt wird, verwenden. Wenn RSA SecurID aktiviert ist, müssen Benutzer sich mit ihren Anmeldeinformationen (Benutzername, Kennwort und Domäne) sowie ihrem SecurID-Passcode anmelden. Der Passcode besteht aus einer PIN gefolgt von einem Tokencode (die auf dem RSA SecurID-Token des Benutzers angezeigte Zahl).

RSA SecurID unterstützt die Authentifizierung bei XenApp und Citrix Single Sign-On.

Authentifizierung für das Webinterface mit SafeWord

Sie können das Drittanbieterprodukt Aladdin SafeWord als Authentifizierungsmethode für das Webinterface, das auf Internetinformationsdienste (IIS) ausgeführt wird, verwenden. Wenn SafeWord aktiviert ist, müssen Benutzer sich mit ihren Anmeldeinformationen (Benutzername, Kennwort und Domäne) sowie ihrem SafeWord-Passcode anmelden. Der Passcode besteht aus dem Code, der auf dem SafeWord-Token angezeigt wird, optional gefolgt von einer PIN.

SafeWord unterstützt die Authentifizierung bei XenApp, aber nicht Single Sign-On.