Proteger

Citrix Virtual Apps and Desktops ofrecen una solución, de diseño seguro, que permite ajustar el entorno a sus necesidades de seguridad.

Un problema de seguridad con el que se enfrentan ahora los departamentos de TI es la pérdida o robo de datos de usuarios móviles. Al alojar escritorios y aplicaciones, Citrix Virtual Apps and Desktops gestiona de manera segura los datos confidenciales y de propiedad intelectual al separarlos de los dispositivos de punto final guardándolos en un centro de datos. Cuando se habilitan las directivas para permitir la transferencia de datos, todos los datos se cifran.

Los centros de datos de Citrix Virtual Apps and Desktops también facilitan la respuesta a los incidentes, gracias a un servicio de administración y supervisión centralizado. Director permite al personal de TI supervisar y analizar los datos a los que los usuarios están accediendo en toda la red, y Studio permite al personal de TI corregir la mayoría de los problemas de vulnerabilidad en el centro de datos en lugar de tener que solucionar los problemas de forma local en cada dispositivo de usuario final.

Citrix Virtual Apps and Desktops también simplifican las auditorías y el cumplimiento de la normativa porque los investigadores pueden usar un registro de auditoría centralizado para determinar quién accedió a las aplicaciones y los datos. Director recopila datos históricos acerca de las actualizaciones del sistema y los datos de uso de los usuarios mediante el acceso a los registros de configuración y el uso de la API OData.

La administración delegada permite configurar roles de administrador para controlar con detalle el acceso a Citrix Virtual Apps and Desktops. Esto da flexibilidad a la organización para conceder a ciertos administradores un acceso completo a ciertas tareas, operaciones y ámbitos mientras otros administradores tienen acceso limitado.

Con Citrix Virtual Apps and Desktops, los administradores tienen un control minucioso sobre los usuarios mediante la aplicación de directivas en diferentes niveles de la red: desde el nivel local al nivel de unidad organizativa. Este control de directivas determina si un usuario, un dispositivo o un grupo de usuarios y dispositivos pueden conectar, imprimir, copiar/pegar, o asignar las unidades locales, lo que puede ayudar a reducir los riesgos de seguridad cuando se emplea a trabajadores temporales o de terceros. Los administradores también pueden usar la función de Desktop Lock, de modo que los usuarios finales pueden usar solo el escritorio virtual al tiempo que se impide el acceso al sistema operativo local del dispositivo de usuario final.

Los administradores pueden aumentar la seguridad de Citrix Virtual Apps o Citrix Virtual Desktops configurando el sitio para que use el protocolo de seguridad Secure Sockets Layer (TLS) del Controller o entre los usuarios finales y los Virtual Delivery Agents (VDA). El protocolo de seguridad Transport Layer Security (TLS) también se puede habilitar en un sitio para proporcionar autenticación de servidores, cifrado del flujo de datos y comprobación de integridad de los mensajes para una conexión TCP/IP.

Citrix Virtual Apps and Desktops también respaldan la autenticación de varios factores para Windows o para una aplicación específica. La autenticación de varios factores también se puede usar para administrar todos los recursos entregados por Citrix Virtual Apps and Desktops. Estos métodos incluyen:

  • Tokens
  • Tarjetas inteligentes
  • RADIUS
  • Kerberos
  • Biometría

Citrix Virtual Apps and Desktops pueden integrarse con muchas soluciones de seguridad de terceros, desde software de gestión de identidades a software antivirus. Puede ver una lista de los productos admitidos en http://www.citrix.com/ready.

Determinadas versiones de Citrix Virtual Apps and Desktops están certificadas para el estándar de Common Criteria. Para obtener una lista de esos estándares, vaya a https://www.commoncriteriaportal.org/cc/.

Información adicional de seguridad

Nota:

Esta información puede cambiar en cualquier momento y sin previo aviso.

Es posible que su organización quiera realizar análisis de seguridad de StoreFront por motivos normativos. Las opciones de configuración anteriores pueden ayudar a eliminar algunos hallazgos en los informes de análisis de seguridad.

Si hay una puerta de enlace entre el analizador de seguridad y StoreFront, algunos hallazgos pueden estar relacionados con la puerta de enlace en lugar de con StoreFront. Los informes de análisis de seguridad generalmente no distinguen estos hallazgos (por ejemplo, la configuración de TLS). Debido a esto, las descripciones técnicas de los informes de análisis de seguridad pueden ser engañosas.

Al interpretar los informes de análisis de seguridad, tenga en cuenta lo siguiente:

  • Es posible que las páginas HTML de StoreFront no incluyan protección contra los secuestros de clics (por los encabezados de respuesta de Content Security Policy o X-Frame-Options). Sin embargo, estas páginas HTML consisten solo en contenido estático y, por lo tanto, los ataques por secuestro de clics no son relevantes.

  • La versión de Microsoft IIS y el uso de ASP.NET son visibles en los encabezados HTTP. Sin embargo, esta información ya se desprende de la presencia de StoreFront, ya que se basa en estas tecnologías.

  • Al iniciar aplicaciones y escritorios, StoreFront utiliza un token para protegerse de la falsificación de solicitudes entre sitios (CSRF). Este token se envía como una cookie en una respuesta sin marcarse como seguro o solo HTTP. Cuando, posteriormente, se envía en una solicitud, el token se incluye en la cadena de la consulta de una URL. Sin embargo, StoreFront no confía en este mecanismo para autenticar las solicitudes HTTP.

  • StoreFront utiliza el componente de código abierto jQuery. Una versión que se utiliza es jQuery 1.3.2. De acuerdo con el proyecto de código abierto jQuery, se realizó un cambio en jQuery 1.12.0 para mitigar posibles vulnerabilidades en una forma específica de solicitud entre dominios. Este cambio no mitigaba una vulnerabilidad en el propio jQuery; mitigaba el posible mal uso por lógica de aplicación. La lógica de aplicación de Citrix relevante, en la función de Receiver para Web compartida por NetScaler y StoreFront, no utiliza esta forma específica de solicitud entre dominios, no se ve afectada por esta vulnerabilidad y no se benefició de esta mitigación.

    Esta mitigación se eliminó posteriormente en jQuery 1.12.3 por razones de compatibilidad. Dado que la lógica de la aplicación de Citrix no se benefició de esta mitigación, esta eliminación no tiene ningún impacto material en las versiones de NetScaler y StoreFront con jQuery 1.12.4.