Citrix DaaS

Información técnica general sobre la seguridad

Información general sobre la seguridad

Este documento es aplicable a Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service) alojado en Citrix Cloud. La información incluye Citrix Virtual Apps Essentials y Citrix Virtual Desktops Essentials.

Citrix Cloud administra el funcionamiento del plano de control para entornos de Citrix DaaS. El plano de control incluye los Delivery Controllers, las consolas de administración, la base de datos SQL, el servidor de licencias y, opcionalmente, StoreFront y Citrix Gateway (antes NetScaler Gateway). Los agentes Virtual Delivery Agent (VDA) que alojan las aplicaciones y los escritorios permanecen bajo el control del cliente en el centro de datos que este elija, ya sea en la nube o local. Estos componentes se conectan con el servicio de nube por medio de un agente llamado el Citrix Cloud Connector. Si los clientes optan por utilizar Citrix Workspace, también pueden utilizar Citrix Gateway Service, en lugar de ejecutar Citrix Gateway en su centro de datos. Este diagrama ilustra Citrix DaaS y sus límites de seguridad.

Imagen de límites de seguridad del servicio

Cumplimiento de normas basado en la nube de Citrix

En enero de 2021, el uso de la capacidad de Azure administrado por Citrix con varias ediciones de Citrix DaaS y Workspace Premium Plus no se ha evaluado para Citrix SOC 2 (tipo 1 o 2), la norma ISO 27001, la normativa HIPAA ni otros requisitos de cumplimiento de normas de la nube. Visite el Centro de confianza de Citrix para obtener más información sobre las certificaciones de Citrix Cloud y consúltelo con frecuencia para mantenerse al día de las novedades.

Flujo de datos

Citrix DaaS no aloja los VDA, por lo que los datos de aplicaciones y las imágenes del cliente necesarias para el aprovisionamiento siempre se alojan en la instalación del cliente. El plano de control tiene acceso a los metadatos (como nombres de usuario, nombres de máquina y accesos directos de aplicaciones), con lo que se restringe el acceso a la propiedad intelectual del cliente desde el plano de control.

Los datos que transitan entre la nube y las instalaciones del cliente utilizan conexiones TLS seguras a través del puerto 443.

Aislamiento de datos

Citrix DaaS solo almacena los metadatos necesarios para la intermediación y la supervisión de escritorios y aplicaciones del cliente. La información confidencial (como imágenes, perfiles de usuario y otros datos de aplicaciones) permanece en las instalaciones del cliente o en su suscripción con un proveedor de nube pública.

Ediciones del servicio

Las prestaciones de Citrix DaaS varían según la edición. Por ejemplo, Citrix Virtual Apps Essentials solo admite Citrix Gateway Service y Citrix Workspace. Consulte la documentación de ese producto para obtener más información sobre las funciones compatibles.

Seguridad ICA

Citrix DaaS proporciona varias opciones para proteger el tráfico ICA en tránsito. Estas son las opciones disponibles:

  • Cifrado básico: La configuración predeterminada.
  • SecureICA: Permite cifrar los datos de sesión mediante cifrado RC5 (128 bits).
  • TLS/DTLS de VDA: Permite utilizar cifrado a nivel de red mediante TLS/DTLS.
  • Protocolo Rendezvous: Disponible solo cuando se utiliza Citrix Gateway Service. Cuando se utiliza el protocolo Rendezvous, las sesiones ICA se cifran de extremo a extremo mediante TLS/DTLS.

Cifrado básico

Cuando se utiliza el cifrado básico, el tráfico se cifra como se muestra en el gráfico siguiente.

Cifrado de tráfico cuando se utiliza cifrado básico

SecureICA

Cuando se utiliza SecureICA, el tráfico se cifra como se muestra en el gráfico siguiente.

Cifrado de tráfico cuando se utiliza SecureICA

Nota:

SecureICA no se admite cuando se utiliza la aplicación Workspace para HTML5.

TLS/DTLS de VDA

Cuando se utiliza el cifrado TLS/DTLS de VDA, el tráfico se cifra como se muestra en el gráfico siguiente.

Cifrado de tráfico cuando se utiliza TLS/DTLS

Nota:

Cuando se utiliza Gateway Service sin Rendezvous, el tráfico entre el VDA y el Cloud Connector no está cifrado con TLS, puesto que Cloud Connector no admite la conexión al VDA con cifrado a nivel de red.

Más recursos

Para obtener más información sobre las opciones de seguridad ICA y cómo configurarlas, consulte:

Gestión de credenciales

Citrix DaaS gestiona cuatro tipos de credenciales:

  • Credenciales de usuario. Cuando se usa un servidor StoreFront administrado por el cliente, Citrix Cloud Connector cifra las credenciales de usuario con el cifrado AES-256 y una clave aleatoria de un solo uso generada para cada inicio. La clave nunca se transfiere a la nube, y solo se devuelve a la aplicación Citrix Workspace. Esta aplicación pasa esta clave directamente al VDA para descifrar la contraseña del usuario durante el inicio de sesión para una experiencia de inicio Single Sign-On. El flujo se muestra en la siguiente figura.

    De forma predeterminada, las credenciales de usuario no se reenvían a través de límites de dominios que no son de confianza. Si hay un VDA y StoreFront instalados en un dominio y un usuario de otro dominio intenta conectarse al VDA, se produce un error en el intento de inicio de sesión, a menos que se establezca una confianza entre los dominios. Puede inhabilitar este comportamiento y permitir que las credenciales se reenvíen entre dominios que no son de confianza mediante el SDK de PowerShell de DaaS. Para obtener más información, consulte Set-Brokersite.

    Imagen del flujo de trabajo

  • Credenciales de administrador. Los administradores se autentican en Citrix Cloud. La autenticación genera un token web JSON (JWT) firmado y de un solo uso, lo que permite que el administrador acceda a Citrix DaaS.
  • Contraseñas del hipervisor. Los hipervisores locales que requieren una contraseña para autenticarse tienen una contraseña generada por el administrador que se guarda cifrada directamente en la base de datos SQL en la nube. Citrix administra las claves de homólogos. De esta manera, se asegura de que las credenciales de hipervisor solo estén disponibles para los procesos autenticados.
  • Credenciales de Active Directory (AD). Machine Creation Services utiliza el Cloud Connector para crear cuentas de máquina en un Active Directory del cliente. Dado que la cuenta de máquina del Cloud Connector tiene el acceso de solo lectura en AD, se piden las credenciales al administrador para cada operación de creación o eliminación de máquinas. Estas credenciales se almacenan solo en la memoria y solamente se conservan durante un evento de aprovisionamiento.

Consideraciones sobre la implementación

Citrix recomienda que los usuarios consulten la documentación publicada sobre las prácticas recomendadas para implementar agentes VDA y aplicaciones Citrix Gateway en sus entornos.

Requisitos de acceso de red del Citrix Cloud Connector

Los Citrix Cloud Connectors solo necesitan el puerto 443 para el tráfico saliente a Internet, y se pueden alojar detrás de un proxy HTTP.

  • La comunicación que se usa en Citrix Cloud para HTTPS es TLS. (Consulte Versiones TLS retiradas).
  • En la red interna, el Cloud Connector necesita acceso a lo siguiente para Citrix DaaS:
    • VDA. Puerto 80, para tráfico de entrada y de salida. Además de 1494 y 2598 de entrada si se usa Citrix Gateway Service.
    • Servidores StoreFront. Puerto 80 de entrada.
    • Citrix Gateways, si se configuran como STA. Puerto 80 de entrada.
    • Controladores de dominio de Active Directory
    • Hipervisores. Solo tráfico de salida. Consulte Communication Ports Used by Citrix Technologies para puertos específicos.

El tráfico entre los VDA y los Cloud Connectors se cifra con la seguridad a nivel de mensaje Kerberos.

StoreFront administrado por el cliente

Un servidor StoreFront administrado por el cliente ofrece más opciones de configuración de seguridad y flexibilidad para la arquitectura de la implementación, incluida la capacidad de mantener las credenciales del usuario en la infraestructura local (“on-premises”). El servidor StoreFront puede alojarse detrás de Citrix Gateway para proporcionar acceso remoto seguro, aplicar la autenticación de varios factores y agregar otras funciones de seguridad.

Citrix Gateway Service

Con Citrix Gateway Service, ya no es necesario implementar Citrix Gateway en los centros de datos del cliente.

Para obtener más información, consulte Citrix Gateway Service.

Todas las conexiones TLS entre el Cloud Connector y Citrix Cloud se inician desde el Cloud Connector a Citrix Cloud. No se requiere asignar puertos de firewall para el tráfico entrante.

Confianza en XML

Esta opción está disponible en Configuración completa > Parámetros > Habilitar confianza en XML y está inhabilitada de forma predeterminada. Como alternativa, puede utilizar Citrix DaaS Remote Powershell SDK para administrar la confianza en XML.

La confianza en XML se aplica a las implementaciones que utilizan:

  • Un StoreFront local.
  • Tecnología de autenticación de suscriptor (usuario) que no requiere contraseñas. Ejemplos de tales tecnologías son las soluciones de PassThrough de dominio, tarjetas inteligentes, SAML y Veridium.

Habilitar la confianza en XML permite a los usuarios autenticarse correctamente y, a continuación, iniciar las aplicaciones. El Cloud Connector confía en las credenciales enviadas desde StoreFront. Habilite la confianza en XML solo cuando haya protegido las comunicaciones entre los Citrix Cloud Connectors y StoreFront (mediante firewalls, IPSec u otras recomendaciones de seguridad).

Este parámetro está inhabilitado de forma predeterminada.

Use el SDK de PowerShell remoto de Citrix DaaS para administrar la confianza en XML.

  • Para comprobar el valor actual de confianza en XML, ejecute Get-BrokerSite e inspeccione el valor de TrustRequestsSentToTheXMLServicePort.
  • Para habilitar la confianza en XML, ejecute Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
  • Para inhabilitar la confianza en XML, ejecute Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false

Aplicar tráfico HTTPS o HTTP

Para aplicar tráfico HTTPS o HTTP a través de XML Service, configure uno de estos conjuntos de valores del Registro en cada uno de sus Cloud Connectors.

Después de configurar los parámetros, reinicie Remote Broker Provider Service en cada Cloud Connector.

En HKLM\Software\Citrix\DesktopServer\:

  • Para aplicar el tráfico HTTPS (e ignorar HTTP): Establezca XmlServicesEnableSsl en 1 y XmlServicesEnableNonSsl en 0.
  • Para aplicar el tráfico HTTP (e ignorar HTTPS): Establezca XmlServicesEnableNonSsl en 1 y XmlServicesEnableSsl en 0.

Versiones TLS retiradas

Para mejorar la seguridad de Citrix DaaS, Citrix empezó a bloquear toda comunicación a través de Transport Layer Security (TLS) 1.0 y 1.1 desde el 15 de marzo de 2019.

Todas las conexiones a los servicios de Citrix Cloud procedentes de Citrix Cloud Connector requieren TLS 1.2.

Para garantizar la conexión a Citrix Workspace desde los dispositivos de los usuarios, la versión instalada de Citrix Receiver debe ser igual o más reciente que las siguientes.

Receiver Versión
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0
Chrome/HTML5 La más reciente (el explorador web debe admitir TLS 1.2).

Para actualizar la versión de Citrix Receiver a la más reciente, vaya a https://www.citrix.com/products/receiver/.

Como alternativa, actualice a la aplicación Citrix Workspace, que utiliza TLS 1.2. Para descargar la aplicación Citrix Workspace, vaya a https://www.citrix.com/downloads/workspace-app/.

Si necesita seguir usando TLS 1.0 o 1.1 (por ejemplo, si tiene un cliente ligero basado en una versión anterior de Receiver para Linux), instale un almacén de StoreFront en su ubicación de recursos. A continuación, haga que todos los Citrix Receivers apunten a él.

Más información

Los siguientes recursos contienen información de seguridad:

Nota:

Este documento es una introducción y una descripción general de la funcionalidad de seguridad de Citrix Cloud. Asimismo, este documento tiene por finalidad definir la división de responsabilidades entre Citrix y los clientes cuando se trata de proteger la implementación de Citrix Cloud. No está pensado para ser una guía de configuración o administración de Citrix Cloud ni de ninguno de sus componentes o servicios.