Información general técnica sobre la seguridad

Información general sobre la seguridad

Este documento se aplica a todos los servicios de Citrix Virtual Apps and Desktops alojados en Citrix Cloud, incluidos Citrix Virtual Apps Essentials y Citrix Virtual Desktops Essentials.

Citrix Cloud administra la operación del plano de control para entornos de Citrix Virtual Apps and Desktops. Eso incluye los Delivery Controllers, las consolas de administración, la base de datos SQL, el servidor de licencias y, opcionalmente, StoreFront y Citrix Gateway (antes NetScaler Gateway). Los agentes Virtual Delivery Agent (VDA) que alojan las aplicaciones y los escritorios permanecen bajo el control del cliente en el centro de datos que este elija, ya sea en la nube o local (“on-premises”). Estos componentes se conectan con el servicio de nube por medio de un agente llamado el Citrix Cloud Connector. Si los clientes optan por utilizar el servicio de nube de StoreFront, también pueden optar por utilizar Citrix Gateway Service en lugar de ejecutar Citrix Gateway en su centro de datos. En el siguiente diagrama se ilustra el servicio y sus límites de seguridad.

Imagen de límites de seguridad de SVC

Flujo de datos

Como los componentes que aloja el servicio de nube no incluyen agentes VDA, los datos de las aplicaciones y las imágenes doradas del cliente que se requieran para el aprovisionamiento se alojan siempre en la instalación del cliente. El plano de control tiene acceso a los metadatos (como nombres de usuario, nombres de máquina y accesos directos de aplicaciones), con lo que restringe el acceso a la propiedad intelectual del cliente desde el plano de control.

Los datos que transitan entre la nube y las instalaciones del cliente utilizan conexiones TLS seguras a través del puerto 443.

Aislamiento de datos

Citrix Virtual Apps and Desktops Service solo almacena los metadatos necesarios para la intermediación y la supervisión de escritorios y aplicaciones del cliente. La información confidencial (como imágenes maestras, perfiles de usuario y otros datos de aplicaciones) permanece en las instalaciones del cliente o en su suscripción con un proveedor de nube pública.

Ediciones del servicio

Las capacidades de Citrix Virtual Apps and Desktops Service varían según la edición. Por ejemplo, Citrix Virtual Apps Essentials solo admite Citrix Gateway Service y StoreFront administrado por Citrix. Consulte la documentación del producto para obtener más información sobre las funciones respaldadas.

Gestión de credenciales

El servicio gestiona cuatro tipos de credenciales:

  • Credenciales de usuario. Cuando se usa un servidor StoreFront administrado por el cliente, Citrix Cloud Connector cifra las credenciales de usuario con el cifrado AES-256 y una clave aleatoria de un solo uso generada para cada inicio. La clave nunca se transfiere a la nube, y solo se devuelve a la aplicación Citrix Workspace. Esta aplicación pasa directamente esta clave al VDA para descifrar la contraseña del usuario durante el inicio de sesión para una experiencia de inicio Single Sign-On. El flujo completo se muestra en la siguiente imagen.

Imagen del flujo de trabajo

  • Credenciales de administrador. Los administradores se autentican en Citrix Cloud, que utiliza el sistema de inicio de sesión de Citrix Online. Eso genera un token Web JSON (JWT) firmado y de un solo uso, lo que permite que el administrador acceda a Citrix Virtual Apps and Desktops Service.
  • Contraseñas del hipervisor. Los hipervisores locales (“on-premises”) que requieren una contraseña para autenticarse tienen una contraseña generada por el administrador que se guarda cifrada directamente en la base de datos SQL en la nube. Citrix administra las claves de homólogos. De esta manera, se asegura de que las credenciales de hipervisor solo estén disponibles para los procesos autenticados.
  • Credenciales de Active Directory (AD). Machine Creation Services utiliza el conector para crear cuentas de máquina en un Active Directory del cliente. Dado que la cuenta de máquina del conector tiene el acceso de solo lectura en AD, se piden las credenciales al administrador para cada operación de creación o eliminación de máquinas. Estas credenciales se almacenan solo en la memoria y solamente se conservan durante un evento de aprovisionamiento.

Consideraciones sobre la implementación

Citrix recomienda que los usuarios consulten la documentación publicada sobre las prácticas recomendadas para implementar agentes VDA y aplicaciones Citrix Gateway en sus entornos. Estos son otros aspectos a tener en cuenta respecto a la conectividad de red y la implementación de StoreFront local (“on-premises”):

Requisitos de acceso de red del Citrix Cloud Connector

Los Citrix Cloud Connectors solo necesitan el puerto 443 para el tráfico saliente a Internet, y se pueden alojar detrás de un proxy HTTP.

  • La comunicación que se usa en Citrix Cloud para HTTPS es TLS 1.0, 1.1 ó 1.2.
  • En la red interna, el conector necesita acceso a lo siguiente para Citrix Virtual Apps and Desktops Service:
    • VDA (puerto 80, de entrada y de salida), además de 1494 y 2598 de entrada si se usa Citrix Gateway Service
    • Servidores StoreFront (puerto 80 de entrada)
    • Citrix Gateways, si se configuran como STA (puerto 80 de entrada)
    • Controladores de dominio de Active Directory
    • Hipervisores (solo tráfico saliente; consulte la documentación del hipervisor para puertos específicos)

El tráfico entre los VDA y los Cloud Connectors se cifra con la seguridad a nivel de mensaje Kerberos.

SSL aún no se respalda en Citrix Cloud para el tráfico de StoreFront o Citrix Gateway, por lo que Citrix recomienda configurar reglas de firewall, LAN virtuales o túneles IPsec para estos servicios.

StoreFront administrado por el cliente

Un servidor StoreFront administrado por el cliente ofrece más opciones de configuración de seguridad y flexibilidad para la arquitectura de la implementación, incluida la capacidad de mantener las credenciales del usuario en la infraestructura local (“on-premises”). El servidor StoreFront puede alojarse detrás de Citrix Gateway para proporcionar acceso remoto seguro, aplicar la autenticación de varios factores y agregar otras funciones de seguridad.

Citrix Gateway Service y StoreFront administrado por Citrix

Con Citrix Gateway Service, ya no es necesario implementar Citrix Gateway en los centros de datos del cliente. Para poder usar Citrix Gateway Service, se requiere usar el servicio StoreFront entregado desde Citrix Cloud. En la imagen siguiente se muestra el flujo de datos existente cuando se usa Citrix Gateway Service.

Imagen de flujo de datos de Citrix Gateway y StoreFront

Nota: Este diagrama muestra los flujos de datos lógicos. Todas las conexiones TLS entre el Cloud Connector y Citrix Cloud se inician desde el Cloud Connector a Citrix Cloud. No se requiere asignar puertos de firewall para el tráfico entrante.

Versiones TLS obsoletas

Para mejorar la seguridad de Citrix Virtual Apps and Desktops Service, Citrix bloqueará toda comunicación a través de Transport Layer Security (TLS) 1.0 y 1.1; bloqueo efectivo después del 31 de diciembre de 2018.

Cómo le afecta eso

A partir del 1 de enero de 2019, si está utilizando una versión de Citrix Receiver anterior a las que se indican a continuación, todo usuario que intente conectarse a StoreFront o Citrix Workspace con la experiencia de nube no podrá conectarse.

Receiver Versión
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0

Qué hacer

Debido a que este cambio será perjudicial para sus usuarios finales, todos los Citrix Receivers deben estar actualizados a una versión posterior. Vaya a: https://www.citrix.com/products/receiver/.

Como alternativa, puede actualizar a nuestra nueva aplicación Citrix Workspace. Vaya a: https://www.citrix.com/downloads/workspace-app/. Puede obtener más información sobre la aplicación Citrix Workspace en https://www.citrix.com/products/workspace-app/.

Si necesita usar TLS 1.0 o TLS 1.1

Si necesita continuar usando TLS 1.0 o 1.1 después del 31 de diciembre de 2018 (por ejemplo, si está usando un cliente ligero basado en una versión anterior de Receiver para Linux), instale un StoreFront en su ubicación de recursos y apunte todos los Citrix Receivers a él.

Más información

Consulte los siguientes recursos para obtener más información acerca de la seguridad:

Nota:

Este documento es una introducción y una descripción general de la funcionalidad de seguridad de Citrix Cloud. Asimismo, este documento tiene por finalidad definir la división de responsabilidades entre Citrix y los clientes cuando se trata de proteger la implementación de Citrix Cloud. No está pensado para ser una guía de configuración o administración de Citrix Cloud ni de ninguno de sus componentes o servicios.