Citrix Virtual Apps and Desktops Service

Información técnica general sobre la seguridad

Información general sobre la seguridad

Este documento se aplica a los servicios Citrix Virtual Apps and Desktops alojados en Citrix Cloud (que no sea de la edición Standard para Azure). Incluye Citrix Virtual Apps Essentials y Citrix Virtual Desktops Essentials. (Para Citrix Virtual Apps and Desktops Standard para Azure, consulte la información general sobre la seguridad.)

Citrix Cloud administra la operación del plano de control para entornos de Citrix Virtual Apps and Desktops. Eso incluye los Delivery Controllers, las consolas de administración, la base de datos SQL, el servidor de licencias y, opcionalmente, StoreFront y Citrix Gateway (antes NetScaler Gateway). Los agentes Virtual Delivery Agent (VDA) que alojan las aplicaciones y los escritorios permanecen bajo el control del cliente en el centro de datos que este elija, ya sea en la nube o local (“on-premises”). Estos componentes se conectan con el servicio de nube por medio de un agente llamado el Citrix Cloud Connector. Si los clientes optan por utilizar Citrix Workspace, también pueden utilizar Citrix Gateway Service, en lugar de ejecutar Citrix Gateway en su centro de datos. En el siguiente diagrama, se muestra el servicio y sus límites de seguridad.

Imagen de límites de seguridad del servicio

Cumplimiento de normas basado en la nube de Citrix

En enero de 2021, el uso de la capacidad de Azure administrado por Citrix con varias ediciones de Citrix Virtual Apps and Desktops Service y Workspace Premium Plus no se ha evaluado para Citrix SOC 2 (tipo 1 o 2), la norma ISO 27001, la normativa HIPAA ni otros requisitos de cumplimiento de normas de la nube. Visite el Centro de confianza de Citrix para obtener más información sobre las certificaciones de Citrix Cloud y consúltelo con frecuencia para mantenerse al día de las novedades.

Flujo de datos

El servicio no aloja los VDA, por lo que los datos de aplicaciones y las imágenes del cliente necesarias para el aprovisionamiento siempre se alojan en la configuración del cliente. El plano de control tiene acceso a los metadatos (como nombres de usuario, nombres de máquina y accesos directos de aplicaciones), con lo que se restringe el acceso a la propiedad intelectual del cliente desde el plano de control.

Los datos que transitan entre la nube y las instalaciones del cliente utilizan conexiones TLS seguras a través del puerto 443.

Aislamiento de datos

Citrix Virtual Apps and Desktops Service solo almacena los metadatos necesarios para la intermediación y la supervisión de escritorios y aplicaciones del cliente. La información confidencial (como imágenes maestras, perfiles de usuario y otros datos de aplicaciones) permanece en las instalaciones del cliente o en su suscripción con un proveedor de nube pública.

Ediciones del servicio

Las capacidades de Citrix Virtual Apps and Desktops Service varían según la edición. Por ejemplo, Citrix Virtual Apps Essentials solo admite Citrix Gateway Service y Citrix Workspace. Consulte la documentación de ese producto para obtener más información sobre las funciones compatibles.

Gestión de credenciales

El servicio gestiona cuatro tipos de credenciales:

  • Credenciales de usuario. Cuando se usa un servidor StoreFront administrado por el cliente, Citrix Cloud Connector cifra las credenciales de usuario con el cifrado AES-256 y una clave aleatoria de un solo uso generada para cada inicio. La clave nunca se transfiere a la nube, y solo se devuelve a la aplicación Citrix Workspace. Esta aplicación pasa esta clave directamente al VDA para descifrar la contraseña del usuario durante el inicio de sesión para una experiencia de inicio Single Sign-On. La secuencia se muestra en la siguiente imagen.

Imagen del flujo de trabajo

  • Credenciales de administrador. Los administradores se autentican en Citrix Cloud. Eso genera un token web JSON (JWT) firmado y de un solo uso, lo que permite que el administrador acceda a Citrix Virtual Apps and Desktops Service.
  • Contraseñas del hipervisor. Los hipervisores locales (“on-premises”) que requieren una contraseña para autenticarse tienen una contraseña generada por el administrador que se guarda cifrada directamente en la base de datos SQL en la nube. Citrix administra las claves de homólogos. De esta manera, se asegura de que las credenciales de hipervisor solo estén disponibles para los procesos autenticados.
  • Credenciales de Active Directory (AD). Machine Creation Services utiliza el Cloud Connector para crear cuentas de máquina en un Active Directory del cliente. Dado que la cuenta de máquina del Cloud Connector tiene el acceso de solo lectura en AD, se piden las credenciales al administrador para cada operación de creación o eliminación de máquinas. Estas credenciales se almacenan solo en la memoria y solamente se conservan durante un evento de aprovisionamiento.

Consideraciones sobre la implementación

Citrix recomienda que los usuarios consulten la documentación publicada sobre las prácticas recomendadas para implementar agentes VDA y aplicaciones Citrix Gateway en sus entornos.

Requisitos de acceso de red del Citrix Cloud Connector

Los Citrix Cloud Connectors solo necesitan el puerto 443 para el tráfico saliente a Internet, y se pueden alojar detrás de un proxy HTTP.

  • La comunicación que se usa en Citrix Cloud para HTTPS es TLS. (Consulte Versiones TLS retiradas.)
  • En la red interna, el Cloud Connector necesita acceso a lo siguiente para Citrix Virtual Apps and Desktops Service:
    • VDA. Puerto 80, para tráfico de entrada y de salida. Además de 1494 y 2598 de entrada si se usa Citrix Gateway Service.
    • Servidores StoreFront. Puerto 80 de entrada.
    • Citrix Gateways, si se configuran como STA. Puerto 80 de entrada.
    • Controladores de dominio de Active Directory
    • Hipervisores. Solo tráfico de salida. Consulte Communication Ports Used by Citrix Technologies para conocer los puertos específicos.

El tráfico entre los VDA y los Cloud Connectors se cifra con la seguridad a nivel de mensaje Kerberos.

StoreFront administrado por el cliente

Un servidor StoreFront administrado por el cliente ofrece más opciones de configuración de seguridad y flexibilidad para la arquitectura de la implementación, incluida la capacidad de mantener las credenciales del usuario en la infraestructura local (“on-premises”). El servidor StoreFront puede alojarse detrás de Citrix Gateway para proporcionar acceso remoto seguro, aplicar la autenticación de varios factores y agregar otras funciones de seguridad.

Citrix Gateway Service

Con Citrix Gateway Service, ya no es necesario implementar Citrix Gateway en los centros de datos del cliente.

Para obtener información detallada, consulte Citrix Gateway Service.

Todas las conexiones TLS entre el Cloud Connector y Citrix Cloud se inician desde el Cloud Connector a Citrix Cloud. No se requiere asignar puertos de firewall para el tráfico entrante.

Confianza en XML

La configuración de confianza en XML se aplica a las implementaciones que utilizan:

  • Un StoreFront local.
  • Tecnología de autenticación de suscriptor (usuario) que no requiere contraseñas. Ejemplos de tales tecnologías son las soluciones de PassThrough de dominio, tarjetas inteligentes, SAML y Veridium.

Habilitar la configuración de confianza en XML permite a los usuarios autenticarse correctamente y, a continuación, iniciar las aplicaciones. El Cloud Connector confía en las credenciales enviadas desde StoreFront. Habilite esta configuración solo cuando haya protegido las comunicaciones entre los Citrix Cloud Connectors y StoreFront (mediante firewalls, IPSec u otras recomendaciones de seguridad).

Este parámetro está inhabilitado de forma predeterminada.

Use el SDK de PowerShell remoto de Citrix Virtual Apps and Desktops para administrar la configuración de confianza en XML.

  • Para comprobar el valor actual de la configuración de confianza en XML, ejecute Get-BrokerSite e inspeccione el valor de TrustRequestsSentToTheXMLServicePort.
  • Para habilitar la confianza en XML, ejecute Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
  • Para inhabilitar la confianza en XML, ejecute Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false

Versiones TLS retiradas

Para mejorar la seguridad de Citrix Virtual Apps and Desktops Service, Citrix empezó a bloquear toda comunicación a través de Transport Layer Security (TLS) 1.0 y 1.1 desde el 15 de marzo de 2019.

Todas las conexiones a los servicios de Citrix Cloud procedentes de Citrix Cloud Connector requieren TLS 1.2.

Importante:

CTX247067 contiene instrucciones actuales y completas para todos los servicios de Citrix Cloud afectados.

Actualizar la versión de la aplicación Citrix Workspace o Citrix Receiver a la más reciente

Para garantizar la conexión a Citrix Workspace desde los dispositivos de punto final de los usuarios, la versión de Citrix Receiver instalada debe ser igual o más reciente que la versión que se indica en la tabla siguiente.

Receiver Versión
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0
Chrome/HTML5 La más reciente (el explorador web debe admitir TLS 1.2).

Para actualizar la versión de Citrix Receiver a la más reciente, vaya a https://www.citrix.com/products/receiver/.

Como alternativa, actualice a la aplicación Citrix Workspace, que utiliza TLS 1.2. Obtenga más información. Para descargar la aplicación Citrix Workspace, vaya a https://www.citrix.com/downloads/workspace-app/.

Si necesita seguir usando TLS 1.0 o 1.1 (por ejemplo, si tiene un cliente ligero basado en una versión anterior de Receiver para Linux), instale un almacén de StoreFront en su ubicación de recursos y apunte todos los Citrix Receivers a él.

Más información

Los siguientes recursos contienen información de seguridad:

Nota:

Este documento es una introducción y una descripción general de la funcionalidad de seguridad de Citrix Cloud. Asimismo, este documento tiene por finalidad definir la división de responsabilidades entre Citrix y los clientes cuando se trata de proteger la implementación de Citrix Cloud. No está pensado para ser una guía de configuración o administración de Citrix Cloud ni de ninguno de sus componentes o servicios.