Visión general técnica de la seguridad

Información general sobre la seguridad

Este documento se aplica a todos los servicios de Citrix Virtual Apps and Desktops Service alojados en Citrix Cloud, incluidos Citrix Virtual Apps Essentials y Citrix Virtual Desktops Essentials.

Citrix Cloud administra la operación del plano de control para entornos de Citrix Virtual Apps and Desktops. Eso incluye los Delivery Controllers, las consolas de administración, la base de datos SQL, el servidor de licencias y, opcionalmente, StoreFront y Citrix Gateway (antes NetScaler Gateway). Los agentes Virtual Delivery Agent (VDA) que alojan las aplicaciones y los escritorios permanecen bajo el control del cliente en el centro de datos que este elija, ya sea en la nube o local (“on-premises”). Estos componentes se conectan con el servicio de nube por medio de un agente llamado el Citrix Cloud Connector. Si los clientes optan por utilizar Citrix Workspace, también pueden optar por utilizar Citrix Gateway Service en lugar de ejecutar Citrix Gateway en su centro de datos. En el siguiente diagrama se ilustra el servicio y sus límites de seguridad.

Imagen de límites de seguridad de SVC

Flujo de datos

Como los componentes que aloja el servicio de nube no incluyen agentes VDA, los datos de las aplicaciones y las imágenes doradas del cliente que se requieran para el aprovisionamiento se alojan siempre en la instalación del cliente. El plano de control tiene acceso a los metadatos (como nombres de usuario, nombres de máquina y accesos directos de aplicaciones), con lo que restringe el acceso a la propiedad intelectual del cliente desde el plano de control.

Los datos que transitan entre la nube y las instalaciones del cliente utilizan conexiones TLS seguras a través del puerto 443.

Aislamiento de datos

Citrix Virtual Apps and Desktops Service solo almacena los metadatos necesarios para la intermediación y la supervisión de escritorios y aplicaciones del cliente. La información confidencial (como imágenes maestras, perfiles de usuario y otros datos de aplicaciones) permanece en las instalaciones del cliente o en su suscripción con un proveedor de nube pública.

Ediciones del servicio

Las capacidades de Citrix Virtual Apps and Desktops Service varían según la edición. Por ejemplo, Citrix Virtual Apps Essentials solo admite Citrix Gateway Service y Citrix Workspace. Consulte la documentación del producto para obtener más información sobre las funciones respaldadas.

Gestión de credenciales

El servicio gestiona cuatro tipos de credenciales:

  • Credenciales de usuario. Cuando se usa un servidor StoreFront administrado por el cliente, Citrix Cloud Connector cifra las credenciales de usuario con el cifrado AES-256 y una clave aleatoria de un solo uso generada para cada inicio. La clave nunca se transfiere a la nube, y solo se devuelve a la aplicación Citrix Workspace. Esta aplicación pasa directamente esta clave al VDA para descifrar la contraseña del usuario durante el inicio de sesión para una experiencia de inicio Single Sign-On. El flujo completo se muestra en la siguiente imagen.

Imagen del flujo de trabajo

  • Credenciales de administrador. Los administradores se autentican en Citrix Cloud, que utiliza el sistema de inicio de sesión de Citrix Online. Eso genera un token web JSON (JWT) firmado y de un solo uso, lo que permite que el administrador acceda a Citrix Virtual Apps and Desktops Service.
  • Contraseñas del hipervisor. Los hipervisores locales (“on-premises”) que requieren una contraseña para autenticarse tienen una contraseña generada por el administrador que se guarda cifrada directamente en la base de datos SQL en la nube. Citrix administra las claves de homólogos. De esta manera, se asegura de que las credenciales de hipervisor solo estén disponibles para los procesos autenticados.
  • Credenciales de Active Directory (AD). Machine Creation Services utiliza el conector para crear cuentas de máquina en un Active Directory del cliente. Dado que la cuenta de máquina del conector tiene el acceso de solo lectura en AD, se piden las credenciales al administrador para cada operación de creación o eliminación de máquinas. Estas credenciales se almacenan solo en la memoria y solamente se conservan durante un evento de aprovisionamiento.

Consideraciones sobre la implementación

Citrix recomienda que los usuarios consulten la documentación publicada sobre las prácticas recomendadas para implementar agentes VDA y aplicaciones Citrix Gateway en sus entornos. Estos son otros aspectos a tener en cuenta respecto a la conectividad de red y la implementación de StoreFront local (“on-premises”):

Requisitos de acceso de red del Citrix Cloud Connector

Los Citrix Cloud Connectors solo necesitan el puerto 443 para el tráfico saliente a Internet, y se pueden alojar detrás de un proxy HTTP.

  • La comunicación que se usa en Citrix Cloud para HTTPS es TLS 1.0, 1.1 o 1.2 (consulte Versiones TLS retiradas a continuación para ver los cambios en curso).
  • En la red interna, el conector necesita acceso a lo siguiente para Citrix Virtual Apps and Desktops Service:
    • VDA (puerto 80, de entrada y de salida), además de 1494 y 2598 de entrada si se usa Citrix Gateway Service
    • Servidores StoreFront (puerto 80 de entrada)
    • Citrix Gateways, si se configuran como STA (puerto 80 de entrada)
    • Controladores de dominio de Active Directory
    • Hipervisores (solo tráfico saliente; consulte la documentación del hipervisor para puertos específicos)

El tráfico entre los VDA y los Cloud Connectors se cifra con la seguridad a nivel de mensaje Kerberos.

StoreFront administrado por el cliente

Un servidor StoreFront administrado por el cliente ofrece más opciones de configuración de seguridad y flexibilidad para la arquitectura de la implementación, incluida la capacidad de mantener las credenciales del usuario en la infraestructura local (“on-premises”). El servidor StoreFront puede alojarse detrás de Citrix Gateway para proporcionar acceso remoto seguro, aplicar la autenticación de varios factores y agregar otras funciones de seguridad.

Citrix Gateway Service y Citrix Workspace

Con Citrix Gateway Service, ya no es necesario implementar Citrix Gateway en los centros de datos del cliente. Para poder usar Citrix Gateway Service, se requiere usar el servicio StoreFront entregado desde Citrix Cloud. En la imagen siguiente se muestra el flujo de datos existente cuando se usa Citrix Gateway Service.

Imagen de flujo de datos de Citrix Gateway y StoreFront

Nota: Este diagrama muestra los flujos de datos lógicos. Todas las conexiones TLS entre el Cloud Connector y Citrix Cloud se inician desde el Cloud Connector a Citrix Cloud. No se requiere asignar puertos de firewall para el tráfico entrante.

Versiones TLS retiradas

Para mejorar la seguridad de Citrix Virtual Apps and Desktops Service, Citrix empezó a bloquear toda comunicación a través de Transport Layer Security (TLS) 1.0 y 1.1 desde el 15 de marzo de 2019.

Importante: Consulte CTX247067 para ver las instrucciones más actualizadas y completas de todos los servicios de Citrix Cloud afectados.

Actualizar la versión de la aplicación Citrix Workspace o Citrix Receiver a la más reciente

Para garantizar una conexión correcta a Citrix Workspace desde los dispositivos de punto final de los usuarios, la versión de Citrix Receiver instalada debe ser igual o superior a las versiones que se indican a continuación, las cuales admiten TLS 1.2.

Receiver Versión
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0
Chrome/HTML5 La más reciente (el explorador debe admitir TLS 1.2)

Para actualizar la versión de Citrix Receiver a la más reciente, vaya a https://www.citrix.com/products/receiver/.

Como alternativa, puede actualizarla a nuestra nueva aplicación Citrix Workspace, que utiliza TLS 1.2. Obtenga más información. Para descargar la aplicación Citrix Workspace, vaya a https://www.citrix.com/downloads/workspace-app/.

CTX247067 describe cómo obtener una lista de dispositivos Citrix Receiver que se conectan a su entorno de Citrix Cloud para Citrix Virtual Apps and Desktops Service.

Si necesita seguir usando TLS 1.0 o TLS 1.1

Si necesita continuar usando TLS 1.0 o 1.1 (por ejemplo, si está usando un cliente ligero basado en una versión anterior de Receiver para Linux), instale un almacén de StoreFront en su ubicación de recursos y apunte todos los Citrix Receivers a él.

Provisioning

Todas las conexiones a los servicios de Citrix Cloud procedentes de Citrix Cloud Connector requieren TLS 1.2. Citrix Provisioning y Machine Creation Services permitirán conexiones con TLS 1.0, 1.1 y 1.2 de forma predeterminada (no se requiere ninguna acción) hasta que, más tarde durante este año, pasen a admitir únicamente TLS 1.2.

Opcional: Si su directiva de seguridad requiere una aplicación estricta de las conexiones con TLS 1.2, realice los cambios de configuración del Registro descritos en CTX247067 para cada Citrix Cloud Connector.

Más información

Consulte los siguientes recursos para obtener más información acerca de la seguridad:

Nota: Este documento es una introducción y una descripción general de la funcionalidad de seguridad de Citrix Cloud. Este documento tiene por finalidad definir la división de responsabilidades entre Citrix y los clientes cuando se trata de proteger la implementación de Citrix Cloud. No está pensado para ser una guía de configuración o administración de Citrix Cloud ni de ninguno de sus componentes o servicios.