Información técnica general sobre la seguridad de Session Manager e implementaciones locales de XenApp y XenDesktop

Session Manager es un producto administrado por Citrix Cloud. Cuando se utiliza el servicio Session Manager para preiniciar sesiones en un centro de datos local, los Desktop Delivery Controllers (DDC), los servidores StoreFront, los agentes Virtual Delivery Agent (VDA) y las puertas de enlace de Citrix Gateway utilizados para el acceso remoto permanecen bajo el control del cliente. El cliente es el encargado de la seguridad de estos componentes. Para habilitar la nueva función, utilice el parámetro TrustManagedAnonymousXmlServiceRequests. Cuando utilice este parámetro, XML Service solo debe aceptar solicitudes entrantes de servidores StoreFront de confianza.

El servicio Session Manager utiliza conexiones ICA externas a VDA internos para preiniciar sesiones y recopila una cantidad limitada de datos del DDC local a través del Citrix Cloud Connector para permitir la configuración y la supervisión de los preinicios desde la nube. En el siguiente diagrama, se muestra el servicio y sus límites de seguridad.

Consideraciones sobre el preinicio anónimo de XML Service

Diagrama de componentes de Session Manager

Durante la configuración del servicio Session Manager, debe habilitar los indicadores TrustRequestsSentTotheXmlServicePort y TrustManagedAnonymousXmlServiceRequests. El indicador TrustManagedAnonymousXmlServiceRequests permite que XML Service acepte solicitudes anónimas de preinicio provenientes de StoreFront. XML Service no valida estas solicitudes y es importante recordar que solo se debe permitir que los servidores StoreFront de confianza se comuniquen con XML Service cuando use cualquiera de estas opciones.

Para aislar XML Service, es posible cambiar el puerto de ese servicio. Siga las instrucciones del artículo Cómo cambiar el puerto XML en XenDesktop de Knowledge Center de Citrix Support para cambiar el puerto de XML Service. Cuando el servicio se ejecuta en su propio puerto, es posible utilizar el aislamiento de red a través de firewalls u otras tecnologías para mantener XML Service separado del tráfico de usuarios.

Sesiones anónimas preiniciadas

Los metadatos de seguimiento de sesiones que se almacenan en la base de datos del sitio designan las sesiones anónimas preiniciadas creadas en Session Manager. Cuando un usuario obtiene un archivo ICA de una sesión preiniciada, la sesión se convierte en una sesión anónima estándar y nunca se puede volver a utilizar ni se puede conectar a ella. El servicio Session Manager no puede conectarse a las sesiones anónimas estándar no preiniciadas ni puede modificarlas.

Flujo de datos

Citrix Cloud Connector carga periódicamente un conjunto limitado de metadatos que se consulta a través de la API de administración delegada del broker para permitir la configuración y la supervisión de los preinicios desde el servicio Session Manager. En los datos, se incluyen nombres de grupos de entrega, recuentos de sesiones, nombres de aplicaciones y recuentos de VDA. Los datos se cargan en un servidor HTTPS por el puerto 443.

El servidor StoreFront local se configura para un acceso externo estándar con el objetivo de canalizar todo el tráfico ICA a través de NetScaler Gateway. El servicio Session Manager realiza llamadas a la implementación local de StoreFront a través de NetScaler Gateway para hacer un recuento de las aplicaciones anónimas e iniciarlas. El servidor StoreFront local confía en el servicio Session Manager mediante un mecanismo de fijación de certificados que garantiza que las solicitudes son válidas solo para un único arrendatario y almacén de StoreFront. Al configurar el StoreFront interno para el acceso externo, el archivo ICA obtenido del StoreFront interno contiene toda la información necesaria para realizar la secuencia de preinicio desde el servicio Session Manager.

Aislamiento de datos

El servicio Session Manager es un servicio multiarrendatario. Los metadatos recopilados del Citrix Cloud Connector de cada cliente se almacenan en este servicio. Los metadatos recopilados, junto con la información de configuración, se aíslan entre los arrendatarios. Una cantidad limitada de administradores Citrix autorizados tienen acceso interno a los metadatos recopilados y la información de configuración para fines de mantenimiento o solución de problemas. Para consultar los datos recopilados del cliente y la información de configuración desde el exterior, se requieren credenciales únicas de administrador de Workspace Cloud.

Requisitos de Citrix Cloud Connector para acceder a la red

Los Citrix Cloud Connectors necesitan que el puerto 443 esté abierto para el tráfico saliente a Internet, y se pueden alojar detrás de un proxy HTTP. El protocolo de comunicación que se usa en Citrix Cloud para HTTPS es TLS 1.0, 1.1 o 1.2. Dentro de la red interna, el conector requerirá un nivel de administrador del servicio de asistencia para el acceso por administración delegada al broker. Puede configurarlo mediante los parámetros de administradores y grupos de máquinas de Active Directory en Citrix Studio.

Requisitos para el acceso de Citrix Gateway

El servicio Session Manager debe poder enviar tráfico por el túnel a través de NetScaler Gateway al servidor StoreFront interno. Para conceder el acceso, configure al menos uno de los Citrix Cloud Connectors como servidor de STA para la puerta de enlace. El servicio Session Manager obtiene un tíquet de STA desde el servidor de STA de Citrix Cloud para una conexión interna. NetScaler Gateway canjea el tíquet a través de la conexión del Citrix Cloud Connector con el mismo servidor de STA basado en la nube. Los servicios de Citrix Cloud con acceso al servidor de STA de Citrix Cloud pueden establecer conexiones con los recursos internos a través de NetScaler Gateway con esta configuración.

Más información

Consulte los siguientes recursos para obtener más información acerca de la seguridad:

Nota : Este documento es una introducción y una descripción general de la funcionalidad de seguridad de Citrix Cloud. Asimismo, este documento tiene por finalidad definir la división de responsabilidades entre Citrix y los clientes cuando se trata de proteger la implementación de Citrix Cloud. No está pensado para ser una guía de configuración o administración de Citrix Cloud ni de ninguno de sus componentes o servicios.