微应用

技术安全性概述

本文适用于 Citrix Cloud 中托管的 Citrix Workspace 微应用服务。

在开始部署 Citrix Workspace 微应用服务之前,请查看 Citrix Cloud 平台的安全部署指南

安全性概述

微应用平台已集成到 Workspace 中,并使用现有的身份管理。OAuth 是写入 SaaS 应用程序的主要身份验证机制。Credential Wallet 中存储了特定于每个用户的 SaaS 提供的用户访问令牌,以便为用户操作提供高效的用户体验。

此组件使用名为 Citrix Cloud Connector 的代理连接到云服务。下图说明了服务及其安全边界。

数据流图显示了数据流的详细信息以及应用程序如何连接到微应用服务。此外,通知和页面在频道中的呈现方式

凭据处理

此服务处理以下类型的应用程序集成凭证:

  • 基本用户凭证
  • OAuth
  • OAuth2

一般安全概述

微应用模板应用程序和集成按 “现样” 提供。连接器指南中描述的所有数据、字段和实体都将从源记录系统 (SOR) 中完整提取并传输到微应用缓存中。目前无法配置模板。

微应用存储来自集成记录系统的数据缓存。对于 HTTP 集成,客户在设置配置时可以完全配置数据的范围,并且可以随时更改。

系统帐户用于使用目标记录系统 API 检索缓存的数据。通常要求系统帐户对使用微应用的所有用户对微应用所需的所有数据具有只读访问权限。

微应用使用 Azure Key Vault 支持的服务安全地存储服务帐户的凭据以及单个用户帐户的 OAuth 令牌用于写入操作。

微应用还存储为用户生成的所有通知卡。除了这些卡片的内容外,触发这些通知的事件也可以由管理员进行配置。

记录用户与系统的交互。日志数据不包含任何记录系统数据或机密。

内容存储在设置 Citrix Cloud 帐户时选择的区域中。目前可用的地区包括美国、欧盟和 AP/S(亚太南部)。

客户内容和日志完全存储在 Citrix 平台中,第三方不可用。

用于恢复目的的微应用的数据备份将存储两周。

权利终止后,微应用数据将保留 30 天。在此宽限期之后,所有资源都将被删除。

数据

数据不是显式可见的,只能看到实体属性和集成表。

此数据显示在两个位置:

  1. 在微应用管理员/构建器页面上(因此也是 Workspace)

  2. 与记录相关的数据可以显示在馈送卡中(作为定义的变量)。这些定义位于微应用构建器中。根据管理员的定义,微应用可能被定义为导出所有数据。

例: 如果有人同步或添加个人信息(可能是 PII)并设置为显示所有记录和字段。预定义的模板是根据安全最佳实践构建的,并且以不显示敏感数据的方式提供。

注意:

创建集成需要客户组织中的管理员(或同等权限)权限。微应用提供了这些工具,客户/管理员可以根据客户的要求尽可能地利用这些工具来确保安全。

个人身份信息 (PII)

个人身份信息 (PII) 是根据地理位置、业务、安全性和合规性考虑因素逐个指定的。PII 是管理员/客户自行决定的问题,因为每个公司/客户对于自己组织内的 “敏感” 内容可能有不同的定义。

个人身份信息会根据不同的地理机构而变化,但可能包括姓名、社会保险/国民保险号、生物识别记录、身份证号码、特定于身体、生理、心理、经济、文化或社会身份的因素,或结合起来的信息与其他数据一起,可以识别个人。

就一般最佳实践而言,在处理数据时,请考虑以下内容以确定和实践。

  • 确定您的应用程序集成存储的 PII
  • 查找 PII 存储的所有位置
  • 根据灵敏度对 PII 进行分类

识别 PII

个人身份信息可以包括银行详细信息和登录信息。政府机构存储个人身份信息,包括社会保险号、地址、护照详细信息和许可证号码。

PII 存储位置

个人身份信息可以存在于许多不同的位置,例如文件服务器、云服务、员工笔记本电脑、门户等,包括:

在使用的数据: 员工用来完成工作的数据。

静态数据: 这是存储或存档在硬盘、数据库、笔记本电脑、Sharepoint 和 Web 服务器等位置的数据。

动态数据: 这是从一个位置过渡到另一个位置的数据。例如,数据从本地存储设备移动到云服务器,或者通过电子邮件在员工和业务合作伙伴之间移动。

PII 灵敏度分类

PII 必须根据其敏感度进行分类。这是个人身份信息保护的重要组成部分。考虑数据是否为:

可识别: PII 数据有多独特?如果单个记录本身可以识别个人,则表明数据高度敏感。

组合数据: 尝试识别两个或多个数据,这些数据在组合后可以识别唯一个人。

合规性: 根据您所在组织的类型,PII 有各种法规和标准。您可能需要遵守的法规包括支付卡行业数据安全标准 (PCI DSS)、通用数据保护条例 (GDPR) 或 HIPAA。

有关 GDPR 和 Citrix 的更多信息,请参阅 Citrix GDPR 常见问题解答

读取访问

微应用平台从缓存中读取数据。根据云供应商的规定,缓存在存储级别进行静态加密。读取访问权限在源系统中不可用。它在微应用平台中进行了审计。

写访问

使用写入 API。如果服务不允许写入 API,我们将回退到服务帐号。在所有情况下,写入权限都是可审计的,并且归因于源系统中的用户。

数据流

由于云服务托管的组件不包括 VDA,因此预配所需的客户应用程序数据和黄金映像始终托管在客户设置中。控制平面可以访问元数据,例如用户名、计算机名称和应用程序快捷方式,从而限制了从控制平面访问客户的知识产权。

在云端和客户场所之间流动的数据使用端口 443 上的安全传输层安全性 (TLS) 连接。

Citrix Cloud Connector 网络访问要求

Citrix Cloud Connector 仅需要传输至 Internet 的端口 443 出站流量,并且可以托管在 HTTP 代理后面。

在 Citrix Cloud 中为 HTTPS 使用的通信为 TLS 1.0、1.1 或 1.2。(有关正在进行的更改,请参阅弃用 TLS 版本。)

IP 白名单配置

您可能需要为第三方服务提供商(例如 Salesforce)配置微应用服务从中访问其 API 的指定 IP 地址。微应用服务从下面列出的范围内的外部 IP 地址发出请求。根据您的微应用服务区域配置第三方提供商。确保为美国和欧盟地区配置两个列出的范围。

如果您确实配置了指定的 IP,我们建议您定期添加书签并重新阅读本文,以便随时了解将来可能添加或删除的 IP 范围和地址。

美国地区 (32 个地址):

  • 20.57.83.64/28
  • 20.57.83.192/28

欧盟地区 (32 个地址):

  • 20.86.245.144/28
  • 20.86.245.160/28

AP-S 区域 (16 个地址):

  • 20.205.243.64/28

最佳安全做法

注意:

您的组织可能需要满足特定的安全标准才能满足法规要求。本文档不涉及此主题,因为这些安全标准随着时间的推移而发生变化。有关安全标准和 Citrix 产品的最新信息,请咨询 Citrix 安全性

为确保您已查看所有安全注意事项:

  • 仅授予用户所需的功能
  • 查看组织的最低安全准则
  • 使用加密通信 (HTTPS),至少使用传输层安全性 (TLS) 1.2
  • 查看你的房价限制
  • 使用具有最低权限的系统帐户获取数据(批量读取)
  • 考虑一下同步未运行后必须保留数据多长时间
  • 使用公共 API 进行生产
  • OAuth2 是此 SaaS 服务的首选身份验证协议
  • 始终使用 OAuth2 进行回写
  • 保持集成更新。验证它是否有效且外部 API 没有更改

下一步的去向

有关类似 Citrix Cloud 服务的更多安全信息和安全指南,请参阅以下资源:

注意:

本文档旨在向读者介绍和概述 Citrix Cloud 的安全功能;并定义 Citrix 与客户之间在保护 Citrix Cloud 部署方面的责任划分。其目的不是用作 Citrix Cloud 或其任何组件或服务的配置和管理指导手册。

技术安全性概述