-
技术安全性概述
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
技术安全性概述
安全性概述
本文档适用于 Citrix Cloud 中托管的 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)。此信息包括 Citrix Virtual Apps Essentials 和 Citrix Virtual Desktops Essentials。
Citrix Cloud 管理 Citrix DaaS 环境的控制平面操作。控制面板包括 Delivery Controller、管理控制台、SQL 数据库、许可证服务器以及(可选)StoreFront 和 Citrix Gateway(以前称为 NetScaler Gateway)。托管应用程序和桌面的 Virtual Delivery Agent (VDA) 在客户选择的数据中心(云或本地)中仍处于客户的控制之下。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。如果客户选择使用 Citrix Workspace,则同时可以选择使用 Citrix Gateway 服务来代替在其数据中心中运行 Citrix Gateway。下图说明了 Citrix DaaS 及其安全边界。
基于 Citrix Cloud 的合规性
截至 2021 年 1 月,尚未针对 Citrix SOC 2(类型 1 或 2)、ISO 27001、HIPAA 或其他云合规性要求评估 Citrix 托管 Azure 容量与各种 Citrix DaaS 版本以及 Workspace Premium Plus 的使用情况。请访问 Citrix Trust Center 了解有关 Citrix Cloud 认证的详细信息,并经常返回查看以获取更新。
数据流
Citrix DaaS 不托管 VDA,因此,预配所需的客户应用程序数据和映像将始终在客户设置中托管。控制平面有权访问元数据,例如用户名、计算机名称和应用程序快捷方式,但限制从控制平面访问客户的知识产权。
云与客户本地之间的数据流动使用安全的 TLS 连接通过端口 443 进行。
数据隔离
Citrix DaaS 仅存储代理和监视客户应用程序和桌面所需的元数据。敏感信息(包括映像、用户配置文件和其他应用程序数据)仍保留在客户本地,或者保留在其公有云供应商的订阅中。
服务版本
Citrix DaaS 的功能因版本而异。例如,Citrix Virtual Apps Essentials 仅支持 Citrix Gateway 服务和 Citrix Workspace。请查阅产品文档,了解与支持的功能有关的更多信息。
ICA 安全
Citrix DaaS 提供了多种选项来保护传输中的 ICA 流量。下面是可用的选项:
- 基本加密: 默认设置。
- SecureICA: 允许使用 RC5(128 位)加密对会话数据进行加密。
- VDA TLS/DTL: 允许使用使用 TLS/DTL 的网络级加密。
- 汇聚协议: 仅在使用 Citrix Gateway 服务时可用。使用汇聚协议时,ICA 会话使用 TLS/DTL 进行端到端加密。
基本加密
使用基本加密时,将对流量进行加密,如下图所示。
SecureICA
使用 SecureICA 时,流量将被加密,如下图所示。
注意:
使用适用于 HTML5 的 Workspace 应用程序时,不支持 SecureICA。
VDA TLS/DTL
使用 VDA TLS/DTL 加密时,流量将被加密,如下图所示。
注意:
在没有汇聚的情况下使用网关服务时,VDA 与 Cloud Connector 之间的流量不会进行 TLS 加密,因为 Cloud Connector 不支持使用网络级加密连接到 VDA。
更多资源
有关 ICA 安全选项以及如何配置这些选项的详细信息,请参阅:
凭据处理
Citrix DaaS 处理四种类型的凭据:
-
用户凭据:使用客户管理的 StoreFront 时,Cloud Connector 使用使用 AES-256 加密方法以及为每次启动生成的随机一次性密钥加密用户凭据。此密钥永远不会传递到云,并且仅返回到 Citrix Workspace 应用程序。Citrix Workspace 应用程序之后会将此密钥传递到 VDA,以在会话启动过程中解密用户密码,从而实现单点登录体验。下图显示了该流程。
默认情况下,不会跨不可信域边界转发用户凭证。如果将 VDA 和 StoreFront 安装在一个域中,而另一个域中的用户尝试连接到 VDA,则除非在两个域之间建立信任,否则登录尝试会失败。您可以使用 DaaS PowerShell SDK 禁用此行为并允许在不可信域之间转发证书。有关详细信息,请参阅 Set-Brokersite。
- 管理员凭据:管理员针对 Citrix Cloud 进行身份验证。身份验证将生成一个一次性签名的 JSON Web 令牌 (JWT),管理员通过该令牌将能够访问 Citrix DaaS。
- 虚拟机管理程序密码:需要密码进行身份验证的本地虚拟机管理程序具有管理员生成的、在云中的 SQL 数据库中直接存储并加密的密码。Citrix 负责管理对等密钥,以确保虚拟机管理程序仅对通过了身份验证的进程可用。
- Active Directory (AD) 凭据:Machine Creation Services 使用 Cloud Connector 在客户的 AD 中创建计算机帐户。由于 Cloud Connector 的计算机帐户仅对 AD 具有读取访问权限,因此,每次执行计算机创建或删除操作时,系统都会提示管理员输入凭据。这些凭据仅存储在内存中,并且仅用于单个预配事件。
部署注意事项
Citrix 建议用户查阅已发布的最佳做法文档,了解在其环境中部署 Citrix Gateway 应用程序和 VDA 的相关信息。
Citrix Cloud Connector 网络访问要求
Citrix Cloud Connector 仅需要传输至 Internet 的端口 443 出站流量,并且可以托管在 HTTP 代理后面。
- 在 Citrix Cloud 中为 HTTPS 使用的通信为 TLS。(请参阅弃用 TLS 版本。)
- 在内部网络中,Cloud Connector 需要访问以下组件才能使用 Citrix DaaS:
- VDA:端口 80,入站和出站,以及 1494 和 2598 入站(如果使用 Citrix Gateway 服务)
- StoreFront 服务器:端口 80,入站。
- Citrix Gateway,如果配置为 STA:端口 80,入站。
- Active Directory 域控制器
- 虚拟机管理程序:仅限出站。有关特定端口,请参阅Citrix 技术使用的通信端口。
VDA 与 Cloud Connector 之间的流量使用 Kerberos 消息级安全性进行加密。
客户管理的 StoreFront
客户管理的 StoreFront 为部署体系结构提供更多安全配置选项以及更大的灵活性,包括本地维护用户凭据的功能。StoreFront 可以托管在 Citrix Gateway 后面,以提供安全的远程访问、执行多重身份验证以及添加其他安全功能。
Citrix Gateway 服务
如果使用 Citrix Gateway 服务,则不需要再在客户数据中心中部署 Citrix Gateway。
有关详细信息,请参阅 Citrix Gateway 服务。
Cloud Connector 与 Citrix Cloud 之间的所有 TLS 连接都从 Cloud Connector 启动到 Citrix Cloud。不需要任何入站防火墙端口映射。
XML 信任
此设置在“完整配置”>“设置”>“启用 XML 信任”中可用,默认情况下处于禁用状态。或者,你可以使用 Citrix DaaS Remote PowerShell SDK 来管理 XML 信任。
XML 信任适用于使用以下对象的部署:
- 本地 StoreFront。
- 不需要密码的订阅者(用户)身份验证技术。此类技术的示例包括域直通、智能卡、SAML 和 Veridium 解决方案。
启用 XML 信任将允许用户成功进行身份验证,然后启动应用程序。Cloud Connector 信任从 StoreFront 发送的凭据。仅当您已保护 Citrix Cloud Connector 与 StoreFront 之间的通信(使用防火墙、IPsec 或其他安全建议)时,才启用 XML 信任。
默认情况下,禁用此设置。
使用 Citrix DaaS 远程 PowerShell SDK 管理 XML 信任。
- 要检查 XML 信任的当前值,请运行
Get-BrokerSite并检查TrustRequestsSentToTheXMLServicePort的值。 - 要启用 XML 信任,请运行
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true - 要禁用 XML 信任,请运行
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false
强制传输 HTTPS 或 HTTP 流量
要通过 XML Service 强制传输 HTTPS 或 HTTP 流量,请在每个 Cloud Connector 上配置以下注册表值集之一。
配置设置后,在每个 Cloud Connector 上重新启动 Remote Broker Provider Service。
在 HKLM\Software\Citrix\DesktopServer\ 中:
- 要强制传输 HTTPS(忽略 HTTP)流量,请执行以下操作:将
XmlServicesEnableSsl设置为1,将XmlServicesEnableNonSsl设置为0。 - 要强制传输 HTTP(忽略 HTTPS)流量,请执行以下操作:将
XmlServicesEnableNonSsl设置为1,将XmlServicesEnableSsl设置为0。
弃用 TLS 版本
为了提高 Citrix DaaS 的安全性,Citrix 已自 2019 年 3 月 15 日起开始阻止通过传输层安全性 (TLS) 1.0 和 1.1 进行的任何通信。
从 Citrix Cloud Connector 到 Citrix Cloud 服务的所有连接都需要 TLS 1.2。
为确保从用户设备成功连接到 Citrix Workspace,已安装的 Citrix Receiver 版本必须等于或高于以下版本。
| Receiver | 版本 |
|---|---|
| Windows | 4.2.1000 |
| Mac | 12.0 |
| Linux | 13.2 |
| Android | 3.7 |
| iOS | 7.0 |
| Chrome/HTML5 | 最新版本(浏览器必须支持 TLS 1.2) |
要升级到最新的 Citrix Receiver 版本,请转到 https://www.citrix.com/products/receiver/。
或者,升级到使用 TLS 1.2 的 Citrix Workspace 应用程序。要下载 Citrix Workspace 应用程序,请转到 https://www.citrix.com/downloads/workspace-app/。
如果您必须继续使用 TLS 1.0 或 1.1(例如,使用基于较早版本的 Receiver for Linux 的瘦客户端),请在您的资源位置中安装 StoreFront。然后,请让所有 Citrix Receiver 都指向它。
更多信息
以下资源包含安全信息:
-
安全性和合规性信息:安全性和合规性中心包含安全公告,可帮助您随时了解最新消息。该中心还包含关于标准和认证的文档,这些标准和认证对维护安全、合规的 IT 环境非常重要。
-
《适用于 Citrix Cloud 平台的安全部署指南》:本指南概述了使用 Citrix Cloud 时的安全性最佳做法并介绍了 Citrix Cloud 收集和管理的信息。本指南还包含指向有关 Citrix Cloud Connector 的综合性信息的链接。
- 安全注意事项和最佳做法。
- 智能卡。
- 传输层安全性 (TLS)。
注意:
本文档的目的是向读者提供 Citrix Cloud 的安全功能的简介和概述,以及针对确保 Citrix Cloud 安全来定义 Citrix 与客户之间的职责划分。其目的不是用作 Citrix Cloud 或其任何组件或服务的配置和管理指导手册。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.