-
技术安全概述
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
技术安全概述
安全概述
本文档适用于托管在 Citrix Cloud 中的 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)。此信息包括 Citrix Virtual Apps Essentials 和 Citrix Virtual Desktops Essentials。
Citrix Cloud 管理 Citrix DaaS 环境的控制平面操作。控制平面包括 Delivery Controllers、管理控制台、SQL 数据库、许可证服务器,以及可选的 StoreFront 和 Citrix Gateway(以前称为 NetScaler Gateway)。托管应用程序和桌面的 Virtual Delivery Agents (VDAs) 仍由客户在其选择的数据中心(无论是云端还是本地)中控制。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。如果客户选择使用 Citrix Workspace™,他们还可以选择使用 Citrix Gateway Service,而不是在其数据中心内运行 Citrix Gateway。下图说明了 Citrix DaaS 及其安全边界。
Citrix 云端合规性
有关 Citrix Cloud 认证的更多信息,请访问 Citrix Trust Center,并经常查看更新。
注意:
将 Citrix Managed Azure Capacity 与各种 Citrix DaaS™ 版本和 Universal Hybrid Multi-Cloud 结合使用尚未经过 Citrix SOC 2(类型 1 或 2)、ISO 27001、HIPAA 或其他云合规性要求的评估。
数据流
Citrix DaaS 不托管 VDA,因此客户的应用程序数据和预配所需的映像始终托管在客户设置中。控制平面可以访问元数据,例如用户名、计算机名称和应用程序快捷方式,从而限制控制平面访问客户的知识产权。
云与客户本地环境之间的数据流使用通过端口 443 的安全 TLS 连接。
数据隔离
Citrix DaaS 仅存储用于代理和监视客户应用程序和桌面所需的元数据。敏感信息(包括映像、用户配置文件和其他应用程序数据)保留在客户本地环境或其公共云供应商的订阅中。
服务版本
Citrix DaaS 的功能因版本而异。例如,Citrix Virtual Apps Essentials™ 仅支持 Citrix Gateway service 和 Citrix Workspace。请查阅该产品文档以了解有关支持功能的更多信息。
ICA® 安全
Citrix DaaS 提供了多种选项来保护传输中的 ICA 流量。以下是可用选项:
- 基本加密: 默认设置。
- Secure HDX™: 允许使用 AES-256 对会话数据进行真正的端到端加密。
- SecureICA: 允许使用 RC5 (128 位) 加密对会话数据进行加密。
- HDX Direct: 允许使用 TLS/DTLS 进行网络级加密。
- VDA TLS/DTLS: 允许使用 TLS/DTLS 进行网络级加密。
- Rendezvous 协议: 仅在使用 Citrix Gateway Service 时可用。使用 Rendezvous 协议时,ICA 会话连接的所有段都使用 TLS/DTLS 加密。
基本加密
使用基本加密时,流量的加密方式如下图所示。
Secure HDX
使用 Secure HDX 时,流量的加密方式如下图所示。
SecureICA
使用 SecureICA 时,流量的加密方式如下图所示。
注意:
建议改用 Secure HDX。Secure ICA 已在 Citrix Virtual Apps and Desktops 2402 版本中弃用。
使用 Workspace app for HTML5 时不支持 SecureICA。
HDX Direct
内部
在仅内部模式下使用 HDX Direct 时,流量的加密方式如下图所示。
外部
在内部和外部模式下使用 HDX Direct 时,流量的加密方式如下图所示。
VDA TLS/DTLS
使用 VDA TLS/DTLS 加密时,流量的加密方式如下图所示。
注意:
在不使用 Rendezvous 的情况下使用 Gateway Service 时,VDA 和 Cloud Connector 之间的流量未进行 TLS 加密,因为 Cloud Connector 不支持使用网络级加密连接到 VDA。
更多资源
有关 ICA 安全选项以及如何配置它们的更多信息,请参阅:
- Secure HDX:Secure HDX
- HDX Direct:HDX Direct
- SecureICA:安全策略设置
- VDA TLS/DTLS:传输层安全性
- Rendezvous 协议:Rendezvous 协议
凭据处理
Citrix DaaS 处理四种类型的凭据:
- 用户凭据:当用户使用其 Active Directory 用户名和密码向 Workspace 或 StoreFront™ 进行身份验证时,这些凭据会存储起来,以便为 VDA 提供单点登录。使用客户管理的 StoreFront 时,这些凭据通常在发送到 DaaS 之前由连接器加密,有关详细信息,请参阅通过 StoreFront 进行客户端访问。
- 管理员凭据:管理员针对 Citrix Cloud 进行身份验证。身份验证会生成一个一次性签名的 JSON Web Token (JWT),该令牌授予管理员对 Citrix DaaS 的访问权限。
- 虚拟机管理程序密码:需要密码进行身份验证的本地虚拟机管理程序具有管理员生成的密码,该密码直接加密存储在云中的 SQL 数据库中。Citrix 管理对等密钥,以确保虚拟机管理程序凭据仅可用于经过身份验证的进程。
- Active Directory (AD) 凭据:Machine Creation Services™ 使用 Cloud Connector 在客户的 AD 中创建计算机帐户。由于 Cloud Connector 的计算机帐户仅具有对 AD 的读取访问权限,因此系统会提示管理员为每个计算机创建或删除操作提供凭据。这些凭据仅存储在内存中,并且仅在单个预配事件中保留。
部署注意事项
Citrix 建议用户查阅已发布的最佳实践文档,以了解在其环境中部署 Citrix Gateway 应用程序和 VDA 的相关信息。
Cloud Connector
与 Citrix Cloud 的通信
从 Citrix Cloud Connector 到 DaaS 和其他 Citrix Cloud 服务的所有连接都使用 HTTPS 和 TLS 1.2。
XML 服务和 STA 的 HTTPS
如果您使用本地 StoreFront 或 NetScaler Gateways,建议您在连接器上启用 HTTPS 并禁用 HTTP。有关详细信息,请参阅 HTTPS 配置。
网络访问要求
除了 入站和出站端口配置 中所述的端口外,Cloud Connector 还具有以下网络访问要求:
- Citrix Cloud Connector 仅需要端口 443 出站流量到 Internet,并且可以托管在 HTTP 代理后面。
- 在内部网络中,Cloud Connector 需要访问以下 Citrix DaaS 组件:
- VDA:端口 80,入站和出站。如果使用 Citrix Gateway service,则还需要入站端口 1494 和 2598。
- StoreFront 服务器:如果使用 HTTPS(推荐),则为入站端口 443;如果使用 HTTP(不推荐),则为端口 80。
- Citrix Gateways(如果配置为 STA):如果使用 HTTPS(推荐),则为入站端口 443;如果使用 HTTP(不推荐),则为端口 80。
- Active Directory 域控制器
- 虚拟机管理程序:仅出站。有关特定端口,请参阅Citrix 技术使用的通信端口。
VDA 和 Cloud Connector 之间的流量使用 Kerberos 消息级安全性进行加密。
安全密钥
您可以使用安全密钥来确保只有授权的 StoreFront 服务器和 Citrix Gateway 设备能够通过云连接器连接到 DaaS。如果您已启用 XML 信任,这一点尤为重要。
客户端访问
您可以通过 Citrix 托管的 Workspace 或通过托管您自己的 StoreFront 部署来提供客户端访问。
用户可以使用 Citrix Workspace app 或 Web 浏览器连接到 Workspace 或 StoreFront。有关 Citrix Workspace app 的安全建议,请参阅每个平台的文档。
通过 Workspace 进行客户端访问
Citrix Workspace 是一项 Citrix 托管服务,它使客户端应用程序能够访问 DaaS 资源,而无需任何本地基础结构。有关 Citrix Workspace app 的受支持版本和其他要求,请参阅 Workspace 系统要求。有关安全性的信息,请参阅 Citrix Workspace 安全概述。
通过 StoreFront 进行客户端访问
作为 Workspace 的替代方案,您可以通过在本地环境中部署 Citrix StoreFront 来提供客户端访问。这提供了更大的安全配置选项和部署体系结构的灵活性,包括在本地维护用户凭据的能力。StoreFront 服务器可以托管在 Citrix Gateway 后面,以提供安全的远程访问、强制执行多重身份验证并添加其他安全功能。有关详细信息,请参阅保护您的 StoreFront 部署。
用户凭据
如果用户使用其 Active Directory 凭据向 StoreFront 进行身份验证,则当用户启动应用程序时,StoreFront 会将凭据传递给 Cloud Connector。默认情况下,Cloud Connector 使用 AES 加密和为每次启动生成的随机一次性密钥来加密用户凭据。该密钥永远不会传递到云中,并且仅返回给 Citrix Workspace app。然后,Citrix Workspace app 将此密钥传递给 VDA,以便在会话启动期间解密用户密码,从而实现单点登录体验。流程如下图所示。
务必在客户端、网关、StoreFront 和连接器之间配置 HTTPS,以确保密码在您的网络中始终加密。
默认情况下,由于 Citrix Cloud 无法访问凭据,因此无法将凭据转发到其他 Cloud Connector 或 Connector Appliances 进行验证。如果您使用没有信任关系的多个域,则需要这样做。您可以禁用此行为,并允许将凭据上传到 Citrix Cloud,以便它可以将凭据转发到其他云连接器和 Connector Appliances 进行验证。要配置此项,请使用 DaaS PowerShell SDK cmdlet Set-Brokersite,并带参数 CredentialForwardingToCloudAllowed。
使用 HTTPS 连接到 Cloud Connector
建议您将 StoreFront 配置为使用 HTTPS 连接到 Cloud Connector,以确保所有通信都已加密。这要求您已为 XML 服务和 STA 启用 HTTPS。要配置 StoreFront 以使用 HTTPS 连接,请参阅为 Citrix Desktops as a Service 添加资源源和添加 Citrix Gateway 设备。
XML 信任
默认情况下,当 StoreFront 连接到 DaaS 以执行枚举和启动等操作时,StoreFront 必须传递用户的 Active Directory 凭据,以便 DaaS 可以对用户进行身份验证并检查用户的组成员身份。但是,当使用其他身份验证方法(例如域直通、智能卡或 SAML)时,StoreFront 没有 Active Directory 密码。在这种情况下,您必须启用“XML 信任”。启用 XML 信任后,DaaS 允许 StoreFront 代表用户执行操作,例如枚举和启动应用程序,而无需验证用户的密码。在启用 XML 信任之前,请使用安全密钥或其他机制(例如防火墙或 IPsec)来确保只有受信任的 StoreFront 服务器才能连接到 Cloud Connector。
要在 Studio 中启用 XML 信任,请转到 “设置”>“站点设置”,然后打开 “启用 XML 信任”。
要使用 Citrix DaaS SDK 检查 XML 信任的当前值,请运行 Get-BrokerSite 并检查 TrustRequestsSentToTheXMLServicePort 的值。
要使用 Citrix DaaS SDK 启用或禁用 XML 信任,请运行 Set-BrokerSite 并带参数 TrustRequestsSentToTheXMLServicePort。
Citrix Gateway service
使用 Citrix Gateway service 可避免在客户数据中心内部署 Citrix Gateway 的需要。
有关详细信息,请参阅 Citrix Gateway service。
Cloud Connector 和 Citrix Cloud 之间的所有 TLS 连接都从 Cloud Connector 发起到 Citrix Cloud。不需要入站防火墙端口映射。
本地 NetScaler® gateway
您可以使用本地 NetScaler gateway 来提供对资源的访问。Gateway 必须能够访问云连接器以兑换 STA 票证。建议您将网关配置为使用 HTTPS 连接到 Cloud Connector,请参阅 XML 服务和 STA 的 HTTPS。如果您已启用安全密钥,则必须配置网关以包含这些密钥。
更多信息
以下资源包含安全信息:
-
Citrix Trust Center:信任中心包含有关在维护安全合规的 IT 环境中非常重要的标准和认证的文档。
-
Citrix Cloud 平台安全部署指南:本指南概述了使用 Citrix Cloud 时的安全最佳实践,并描述了 Citrix Cloud 收集和管理的信息。本指南还包含指向有关 Citrix Cloud Connector 的全面信息的链接。
注意:
本文档旨在向读者介绍和概述 Citrix Cloud 的安全功能;并定义 Citrix 与客户在保护 Citrix Cloud 部署方面的职责划分。它不旨在作为 Citrix Cloud 或其任何组件或服务的配置和管理指导手册。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.