Citrix DaaS

Visão técnica geral da segurança

Visão geral de segurança

Este documento se aplica ao Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service) hospedado no Citrix Cloud. As informações incluem o Citrix Virtual Apps Essentials e o Citrix Virtual Desktops Essentials.

O Citrix Cloud gerencia a operação do plano de controle para ambientes Citrix DaaS. O plano de controle inclui os Delivery Controllers, os consoles de gerenciamento, o banco de dados SQL, o servidor de licenças e, opcionalmente, o StoreFront e o Citrix Gateway (anteriormente NetScaler Gateway). Os Virtual Delivery Agents (VDA) que hospedam os aplicativos e áreas de trabalho permanecem sob o controle do cliente no datacenter da escolha do cliente, seja na nuvem ou no local. Esses componentes são conectados ao serviço de nuvem usando um agente chamado Citrix Cloud Connector. Se os clientes optarem por usar o Citrix Workspace, eles também poderão optar por usar o Citrix Gateway Service em vez de executar o Citrix Gateway em seus datacenters. O diagrama a seguir ilustra o Citrix DaaS e seus limites de segurança.

Imagem de limites de segurança do serviço

Conformidade de uso baseado em nuvem da Citrix

Desde janeiro de 2021, o uso da capacidade Citrix Managed Azure com várias edições do Citrix DaaS e Workspace Premium Plus ainda não foi avaliado em relação a Citrix SOC 2 (Tipo 1 ou 2), ISO 27001, HIPAA ou outros requisitos de conformidade na nuvem. Visite o Citrix Trust Center para obter mais informações sobre as certificações do Citrix Cloud e volte com frequência para ver mais atualizações.

Fluxo de dados

O Citrix DaaS não hospeda os VDAs, portanto, os dados e imagens de aplicativos do cliente necessários para o provisionamento estão sempre hospedados na configuração do cliente. O plano de controle tem acesso a metadados, como nomes de usuários, nomes de máquinas e atalhos de aplicativos, restringindo o acesso à propriedade intelectual do cliente a partir do plano de controle.

Os dados que fluem entre a nuvem e as instalações do cliente usam conexões TLS seguras pela porta 443.

Isolamento de dados

O Citrix DaaS armazena apenas os metadados necessários para a intermediação e o monitoramento dos aplicativos e áreas de trabalho do cliente. Informações confidenciais, incluindo imagens, perfis de usuários e outros dados de aplicativos, permanecem nas instalações do cliente ou em assinaturas de fornecedores de nuvem pública.

Edições do serviço

Os recursos do Citrix DaaS variam de acordo com a edição. Por exemplo, o Citrix Virtual Apps Essentials suporta apenas o serviço Citrix Gateway e o Citrix Workspace. Consulte a documentação do produto para saber mais sobre os recursos compatíveis.

Segurança ICA

O Citrix DaaS oferece várias opções para proteger o tráfego ICA em trânsito. A seguir estão as opções disponíveis:

  • Basic encryption: a configuração padrão.
  • SecureICA: permite criptografar dados da sessão usando criptografia RC5 (128 bits).
  • VDA TLS/DTLS: permite o uso de criptografia no nível da rede usando TLS/DTLS.
  • Rendezvous protocol: disponível somente quando usar o Citrix Gateway Service. Quando usar o protocolo Rendezvous, as sessões ICA serão criptografadas de ponta a ponta usando TLS/DTLS.

Criptografia básica

Quando usar a criptografia básica, o tráfego será criptografado conforme mostra o gráfico a seguir.

Criptografia de tráfego usando criptografia básica

SecureICA

Quando usar SecureICA, o tráfego será criptografado conforme mostra o gráfico a seguir.

Criptografia de tráfego usando SecureICA

Nota:

O SecureICA não é compatível com o aplicativo Workspace para HTML5.

VDA TLS/DTLS

Quando usar a criptografia VDA TLS/DTLS, o tráfego será criptografado conforme mostra o gráfico a seguir.

Criptografia de tráfego usando TLS/DTLS

Nota:

Quando usar o Gateway Service sem o Rendezvous, o tráfego entre o VDA e o Cloud Connector não será criptografado por TLS, porque o Cloud Connector não suporta a conexão ao VDA com criptografia no nível da rede.

Mais recursos

Para obter mais informações sobre as opções de segurança ICA e como configurá-las, consulte:

Tratamento de credenciais

O Citrix DaaS lida com quatro tipos de credenciais:

  • Credenciais do usuário: ao usar um StoreFront gerenciado pelo cliente, o Cloud Connector criptografa as credenciais do usuário usando a criptografia AES-256 e uma chave única aleatória gerada para cada inicialização. A chave nunca é passada para a nuvem e é retornada apenas para o aplicativo Citrix Workspace. Em seguida, o aplicativo Citrix Workspace passa essa chave para o VDA para descriptografar a senha do usuário durante a inicialização da sessão de logon único. O fluxo é mostrado na figura a seguir.

    Por padrão, as credenciais do usuário não são encaminhadas para além dos limites de domínio não confiáveis. Se um VDA e um StoreFront estiverem instalados em um domínio e um usuário em um domínio diferente tentar se conectar ao VDA, a tentativa de logon falhará, a menos que uma relação de confiança seja estabelecida entre os domínios. Você pode desativar esse comportamento e permitir que as credenciais sejam encaminhadas entre domínios não confiáveis usando o DaaS PowerShell SDK. Para obter mais informações, consulte Set-Brokersite.

    Imagem de figura do fluxo

  • Credenciais do administrador: os administradores se autenticam no Citrix Cloud. A autenticação gera um JSON Web Token (JWT) assinado de uso único que dá ao administrador acesso ao Citrix DaaS.
  • Senhas do hipervisor: os hipervisores locais que exigem uma senha para autenticação têm uma senha gerada pelo administrador que é criptografada e armazenada diretamente no banco de dados SQL na nuvem. A Citrix gerencia o par de chaves para garantir que as credenciais do hipervisor estejam disponíveis apenas para processos autenticados.
  • Credenciais do Active Directory (AD): o Machine Creation Services usa o Cloud Connector para criar contas de máquina no AD de um cliente. Como a conta de máquina do Cloud Connector só tem acesso de leitura ao AD, o administrador é solicitado a fornecer credenciais para cada operação de criação ou exclusão de máquina. Essas credenciais são armazenadas somente na memória e são mantidas apenas para um único evento de provisionamento.

Considerações sobre implantação

A Citrix recomenda que os usuários consultem a documentação de melhores práticas publicada para implantar aplicativos Citrix Gateway e VDAs em seus ambientes.

Requisitos de acesso à rede Citrix Cloud Connector

Os Citrix Cloud Connectors exigem apenas tráfego de saída da porta 443 para a Internet e podem ser hospedados atrás de um proxy HTTP.

  • A comunicação usada no Citrix Cloud para HTTPS é TLS. (Consulte Substituição das versões de TLS.)
  • Na rede interna, o Cloud Connector precisa acessar o seguinte para o Citrix DaaS:
    • VDAs: porta 80, tanto de entrada quanto de saída, além das 1494 e 2598 de entrada se estiver usando o serviço Citrix Gateway
    • Servidores StoreFront: entrada da porta 80.
    • Citrix Gateways, se configurados como STA: entrada da porta 80.
    • Controladores de domínio do Active Directory
    • Hipervisores: somente saída. Consulte Portas de comunicação usadas pela Citrix Technologies para obter as portas específicas.

O tráfego entre os VDAs e os Cloud Connectors é criptografado usando a segurança no nível de mensagem do Kerberos.

StoreFront gerenciado pelo cliente

Um StoreFront gerenciado pelo cliente oferece mais opções de configuração de segurança e flexibilidade para a arquitetura de implantação, incluindo a capacidade de manter as credenciais do usuário no local. O StoreFront pode ser hospedado atrás do Citrix Gateway para fornecer acesso remoto seguro, impor autenticação multifator e adicionar outros recursos de segurança.

Serviço Citrix Gateway

O uso do serviço Citrix Gateway evita a necessidade de implantar o Citrix Gateway nos datacenters dos clientes.

Para obter detalhes, consulte o Serviço Citrix Gateway.

Todas as conexões TLS entre o Cloud Connector e o Citrix Cloud são iniciadas do Cloud Connector para o Citrix Cloud. Não é necessário mapeamento de porta de firewall de entrada.

Confiança em XML

Essa configuração está disponível em Full Configuration > Settings > Enable XML trust e está desativada por padrão. Como alternativa, você pode usar o Citrix DaaS Remote PowerShell SDK para gerenciar a confiança em XML.

A confiança em XML se aplica a implantações que usam:

  • Um StoreFront local.
  • Uma tecnologia de autenticação de (usuário) assinante que não requer senhas. Exemplos de tais tecnologias são as soluções de passagem de domínio, cartões inteligentes, SAML e Veridium.

Habilitar a confiança em XML permite que os usuários autentiquem com êxito e iniciem aplicativos. O Cloud Connector confia nas credenciais enviadas do StoreFront. Ative a confiança em XML somente quando você tiver protegido as comunicações entre os Citrix Cloud Connectors e o StoreFront (usando firewalls, IPsec ou outras recomendações de segurança).

Essa configuração é desativada por padrão.

Use o SDK do PowerShell remoto do Citrix DaaS para gerenciar a confiança em XML.

  • Para verificar o valor atual da confiança em XML, execute Get-BrokerSite e inspecione o valor de TrustRequestsSentToTheXMLServicePort.
  • Para ativar a confiança em XML, execute Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
  • Para desativar a confiança em XML, execute Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false

Impor tráfego HTTPS ou HTTP

Para impor tráfego HTTPS ou HTTP por meio do XML Service, configure um dos seguintes conjuntos de valores de registro em cada um dos seus Cloud Connectors.

Depois de definir as configurações, reinicie o Remote Broker Provider Service em cada Cloud Connector.

Em HKLM\Software\Citrix\DesktopServer\:

  • Para impor tráfego HTTPS (ignorar HTTP): defina XmlServicesEnableSsl como 1 e XmlServicesEnableNonSsl como 0.
  • Para impor tráfego HTTP (ignorar HTTPS): defina XmlServicesEnableNonSsl como 1 e XmlServicesEnableSsl como 0.

Substituição das versões de TLS

Para melhorar a segurança do Citrix DaaS, a Citrix começou a bloquear qualquer comunicação por TLS (Transport Layer Security) 1.0 e 1.1 a partir de 15 de março de 2019.

Todas as conexões com os serviços do Citrix Cloud a partir dos Citrix Cloud Connectors exigem TLS 1.2.

Para garantir uma conexão bem-sucedida com o Citrix Workspace a partir de dispositivos do usuário, a versão instalada do Citrix Receiver deve ser igual ou mais recente do que as versões a seguir.

Citrix Receiver Versão
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0
Chrome/HTML5 Mais recente (o navegador deve oferecer suporte ao TLS 1.2)

Para atualizar para a versão mais recente do Citrix Receiver, acesse https://www.citrix.com/products/receiver/.

Como alternativa, atualize para o aplicativo Citrix Workspace, que usa o TLS 1.2. Para baixar o aplicativo Citrix Workspace, acesse https://www.citrix.com/downloads/workspace-app/.

Se você precisar continuar usando o TLS 1.0 ou 1.1 (por exemplo, com um cliente fino baseado em uma versão anterior do Receiver para Linux), instale um StoreFront no local do recurso. Em seguida, faça com que todos os Citrix Receivers apontem para ele.

Mais informações

Os seguintes recursos contêm informações de segurança:

Nota:

Este documento tem como objetivo fornecer ao leitor uma introdução e uma visão geral da funcionalidade de segurança do Citrix Cloud, e também definir a divisão de responsabilidades entre a Citrix e os clientes no que diz respeito à proteção da implantação do Citrix Cloud. Ele não se destina a servir como um manual de orientação de configuração e administração para o Citrix Cloud ou qualquer um de seus componentes ou serviços.