-
技术安全概述
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
技术安全概述
安全概述
本文档适用于托管在 Citrix Cloud 中的 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)。此信息包括 Citrix Virtual Apps Essentials 和 Citrix Virtual Desktops Essentials。
Citrix Cloud 管理 Citrix DaaS 环境的控制平面操作。控制平面包括交付控制器、管理控制台、SQL 数据库、许可证服务器,以及可选的 StoreFront 和 Citrix Gateway(以前称为 NetScaler Gateway)。托管应用程序和桌面的 Virtual Delivery Agents (VDA) 仍由客户在其选择的数据中心(无论是云端还是本地)中控制。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。如果客户选择使用 Citrix Workspace™,他们还可以选择使用 Citrix Gateway Service,而不是在其数据中心内运行 Citrix Gateway。下图说明了 Citrix DaaS 及其安全边界。
Citrix 云合规性
请访问 Citrix 信任中心,了解有关 Citrix Cloud 认证的更多信息,并经常查看更新。
注意:
尚未评估将 Citrix Managed Azure Capacity 与各种 Citrix DaaS™ 版本和 Universal Hybrid Multi-Cloud 结合使用是否符合 Citrix SOC 2(类型 1 或 2)、ISO 27001、HIPAA 或其他云合规性要求。
数据流
-
Citrix DaaS 不托管 VDA,因此客户的应用程序数据和预配所需的映像始终托管在客户设置中。控制平面可以访问元数据,例如用户名、计算机名称和应用程序快捷方式,从而限制控制平面访问客户的知识产权。
-
云与客户场所之间的数据流使用通过端口 443 的安全 TLS 连接。
-
数据隔离
Citrix DaaS 仅存储代理和监视客户应用程序和桌面所需的元数据。敏感信息,包括映像、用户配置文件和其他应用程序数据,仍保留在客户场所或其公有云供应商的订阅中。
服务版本
Citrix DaaS 的功能因版本而异。例如,Citrix Virtual Apps Essentials™ 仅支持 Citrix Gateway Service 和 Citrix Workspace。请查阅该产品文档以了解有关支持功能的更多信息。
ICA® 安全
Citrix DaaS 提供了多种选项来保护传输中的 ICA 流量。以下是可用选项:
- 基本加密: 默认设置。
- Secure HDX™: 允许使用 AES-256 对会话数据进行真正的端到端加密。
- SecureICA: 允许使用 RC5 (128 位) 加密对会话数据进行加密。
- HDX Direct: 允许使用 TLS/DTLS 进行网络级加密。
- VDA TLS/DTLS: 允许使用 TLS/DTLS 进行网络级加密。
- Rendezvous 协议: 仅在使用 Citrix Gateway Service 时可用。使用 Rendezvous 协议时,ICA 会话连接的所有段都使用 TLS/DTLS 进行加密。
基本加密
使用基本加密时,流量加密方式如下图所示。
Secure HDX
使用 Secure HDX 时,流量加密方式如下图所示。
注意:
建议改用 Secure HDX。Secure ICA 已在 Citrix Virtual Apps and Desktops 2402 版本发布时弃用。
使用 Workspace app for HTML5 时不支持 SecureICA。
HDX Direct
内部
在 HDX Direct 的仅内部模式下,流量加密方式如下图所示。
VDA TLS/DTLS
使用 VDA TLS/DTLS 加密时,流量会加密,如下图所示。
注意:
在不使用 Rendezvous 的情况下使用 Gateway Service 时,VDA 和 Cloud Connector 之间的流量不会进行 TLS 加密,因为 Cloud Connector 不支持通过网络级加密连接到 VDA。
更多资源
有关 ICA 安全选项以及如何配置这些选项的更多信息,请参阅:
- Secure HDX:[Secure HDX](https://docs.citrix.com/zh-cn/citrix-virtual-apps-desktops/hdx-transport/secure-hdx)
- HDX Direct:[HDX Direct](https://docs.citrix.com/zh-cn/citrix-virtual-apps-desktops/hdx-transport/hdx-direct)
- SecureICA:[安全策略设置](/zh-cn/citrix-virtual-apps-desktops/policies/reference/ica-policy-settings/security-policy-settings.html)
- VDA TLS/DTLS:[传输层安全性](/zh-cn/citrix-virtual-apps-desktops/secure/tls-vda)
- Rendezvous 协议:Rendezvous 协议
凭据处理
Citrix DaaS 处理四种类型的凭据:
- 用户凭据:当用户使用其 Active Directory 用户名和密码向 Workspace 或 StoreFront™ 进行身份验证时,这些凭据会存储起来,以便为 VDA 提供单点登录。使用客户管理的 StoreFront 时,这些凭据通常在发送到 DaaS 之前由连接器加密,有关详细信息,请参阅通过 StoreFront 进行客户端访问。
- 管理员凭据:管理员针对 Citrix Cloud 进行身份验证。身份验证会生成一个一次性签名的 JSON Web Token (JWT),该令牌授予管理员访问 Citrix DaaS 的权限。
- 管理程序密码:需要密码进行身份验证的本地管理程序具有管理员生成的密码,该密码直接加密存储在云中的 SQL 数据库中。Citrix 管理对等密钥,以确保管理程序凭据仅可供经过身份验证的进程使用。
- Active Directory (AD) 凭据:Machine Creation Services™ 使用 Cloud Connector 在客户的 AD 中创建计算机帐户。由于 Cloud Connector 的计算机帐户仅对 AD 具有读取访问权限,因此管理员在每次计算机创建或删除操作时都会收到凭据提示。这些凭据仅存储在内存中,并且仅用于单个预配事件。
部署注意事项
与 Citrix Cloud 的通信
从 Citrix Cloud Connector 到 DaaS 和其他 Citrix Cloud 服务的所有连接都使用 HTTPS 和 TLS 1.2。
XML 服务和 STA 的 HTTPS
如果使用本地 StoreFront 或 NetScaler Gateway,建议在连接器上启用 HTTPS 并禁用 HTTP。有关详细信息,请参阅HTTPS 配置。
网络访问要求
除了 入站和出站端口配置 中描述的端口外,Cloud Connector 还具有以下网络访问要求:
- Citrix Cloud Connector 仅需要端口 443 出站流量到 Internet,并且可以托管在 HTTP 代理后面。
- 在内部网络中,Cloud Connector 需要访问以下各项才能用于 Citrix DaaS:
- VDA:端口 80,入站和出站。如果使用 Citrix Gateway 服务,则还需要端口 1494 和 2598 入站。
- StoreFront 服务器:如果使用 HTTPS(推荐),则为端口 443 入站;如果使用 HTTP(不推荐),则为端口 80。
- Citrix Gateway(如果配置为 STA):如果使用 HTTPS(推荐),则为端口 443 入站;如果使用 HTTP(不推荐),则为端口 80。
- Active Directory 域控制器
- 管理程序:仅出站。有关特定端口,请参阅 Citrix 技术使用的通信端口。
VDA 和 Cloud Connector 之间的流量使用 Kerberos 消息级安全性进行加密。
安全密钥
您可以使用 安全密钥 来确保只有经过授权的 StoreFront 服务器和 Citrix Gateway 设备才能通过 Cloud Connector 连接到 DaaS。如果您已启用 XML 信任,这一点尤为重要。
客户端访问
您可以通过 Citrix 托管的 Workspace 或托管自己的 StoreFront 部署来提供客户端访问。
用户可以使用 Citrix Workspace 应用程序或 Web 浏览器连接到 Workspace 或 StoreFront。有关 Citrix Workspace 应用程序的安全建议,请参阅每个平台的文档。
通过 Workspace 进行客户端访问
Citrix Workspace 是一项 Citrix 托管服务,使客户端应用程序无需任何本地基础设施即可访问 DaaS 资源。有关 Citrix Workspace 应用程序支持的版本和其他要求,请参阅工作区系统要求。有关安全性的信息,请参阅 Citrix Workspace 安全概述。
通过 StoreFront 进行客户端访问
作为 Workspace 的替代方案,您可以通过在本地环境中部署 Citrix StoreFront 来提供客户端访问。这提供了更丰富的安全配置选项和部署架构的灵活性,包括在本地维护用户凭据的能力。StoreFront 服务器可以托管在 Citrix Gateway 之后,以提供安全的远程访问、强制执行多重身份验证并添加其他安全功能。有关详细信息,请参阅保护您的 StoreFront 部署。
用户凭据
如果用户使用其 Active Directory 凭据向 StoreFront 进行身份验证,则当用户启动应用程序时,StoreFront 会将凭据传递给 Cloud Connector。默认情况下,Cloud Connector 使用 AES 加密和为每次启动生成的随机一次性密钥来加密用户凭据。密钥绝不会传递到云中,仅返回给 Citrix Workspace 应用程序。Citrix Workspace 应用程序随后将此密钥传递给 VDA,以在会话启动期间解密用户密码,从而实现单点登录体验。流程如下图所示。
务必在客户端、网关、StoreFront 和连接器之间配置 HTTPS,以确保密码在您的网络中始终加密。
默认情况下,由于 Citrix Cloud 无法访问凭据,因此无法将凭据转发给其他 Cloud Connector 或连接器设备进行验证。如果您使用没有信任关系的多个域,则需要这样做。您可以禁用此行为,并允许将凭据上传到 Citrix Cloud,以便它可以将它们转发给其他 Cloud Connector 和连接器设备进行验证。要配置此项,请使用 DaaS PowerShell SDK cmdlet Set-Brokersite 并使用参数 CredentialForwardingToCloudAllowed。
使用 HTTPS 连接到 Cloud Connector
建议您配置 StoreFront 以使用 HTTPS 连接到 Cloud Connector,以确保所有通信都已加密。这要求您已启用 XML 服务和 STA 的 HTTPS。要配置 StoreFront 以使用 HTTPS 连接,请参阅添加 Citrix Desktops as a Service 的资源源和添加 Citrix Gateway 设备。
XML 信任
默认情况下,当 StoreFront 连接到 DaaS 以执行枚举和启动等操作时,StoreFront 必须传递用户的 Active Directory 凭据,以便 DaaS 可以对用户进行身份验证并检查用户的组成员身份。但是,当使用其他身份验证方法(例如域直通、智能卡或 SAML)时,StoreFront 没有 Active Directory 密码。在这种情况下,您必须启用“XML 信任”。启用 XML 信任后,DaaS 允许 StoreFront 代表用户执行操作,例如枚举和启动应用程序,而无需验证用户的密码。在启用 XML 信任之前,请使用安全密钥或其他机制(例如防火墙或 IPsec)来确保只有受信任的 StoreFront 服务器才能连接到 Cloud Connector。
要在 Studio 中启用 XML 信任,请转到 “设置”>“站点设置” 并启用 “启用 XML 信任”。
要使用 Citrix DaaS SDK 检查 XML 信任的当前值,请运行 Get-BrokerSite 并检查 TrustRequestsSentToTheXMLServicePort 的值。
要使用 Citrix DaaS SDK 启用或禁用 XML 信任,请运行 Set-BrokerSite 并使用参数 TrustRequestsSentToTheXMLServicePort。
Citrix Gateway 服务
使用 Citrix Gateway 服务可避免在客户数据中心内部署 Citrix Gateway 的需要。
有关详细信息,请参阅 Citrix Gateway 服务。
Cloud Connector 和 Citrix Cloud 之间的所有 TLS 连接都是从 Cloud Connector 发起到 Citrix Cloud 的。无需入站防火墙端口映射。
本地 NetScaler® 网关
您可以使用本地 NetScaler 网关来提供对资源的访问。网关必须能够访问 Cloud Connector 才能兑换 STA 票证。建议您配置网关以使用 HTTPS 连接到 Cloud Connector,请参阅 XML 服务和 STA 的 HTTPS。如果您已启用安全密钥,则必须配置网关以包含这些密钥。
更多信息
以下资源包含安全信息:
-
Citrix 信任中心:信任中心包含有关标准和认证的文档,这些标准和认证对于维护安全合规的 IT 环境至关重要。
-
Citrix Cloud 平台安全部署指南:本指南概述了使用 Citrix Cloud 时的安全最佳实践,并描述了 Citrix Cloud 收集和管理的信息。本指南还包含指向有关 Citrix Cloud Connector 的全面信息的链接。
注意:
本文档旨在向读者介绍 Citrix Cloud 的安全功能并提供其概述;并定义 Citrix 与客户在保护 Citrix Cloud 部署方面的职责划分。它并非旨在作为 Citrix Cloud 或其任何组件或服务的配置和管理指导手册。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.