-
技术安全性概述
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
技术安全性概述
安全性概述
本文档适用于 Citrix Cloud 中托管的 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)。 此信息包括 Citrix Virtual Apps Essentials 和 Citrix Virtual Desktops Essentials。
Citrix Cloud 管理 Citrix DaaS 环境的控制平面的运行。 控制平面包括 Delivery Controller、管理控制台、SQL 数据库、许可证服务器,以及可选的 StoreFront 和 Citrix Gateway(以前称为 NetScaler Gateway)。 托管应用程序和桌面的 Virtual Delivery Agent (VDA) 仍由客户在他们选择的数据中心(云或本地)进行控制。 这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。 如果客户选择使用 Citrix Workspace,他们还可以选择使用 Citrix Gateway 服务,而不是在其数据中心内运行 Citrix Gateway。 下图说明了 Citrix DaaS 及其安全边界。
Citrix 基于云的合规性
访问 Citrix 信任中心 有关 Citrix Cloud 认证的更多信息,请经常回来查看更新。
注意:
尚未针对 Citrix SOC 2(类型 1 或 2)、ISO 27001、HIPAA 或其他云合规性要求评估将 Citrix 托管 Azure 容量与各种 Citrix DaaS 版本和通用混合多云一起使用。
数据流
Citrix DaaS 不托管 VDA,因此配置所需的客户应用程序数据和映像始终托管在客户设置中。 控制层面可以访问元数据,例如用户名、机器名称和应用程序快捷方式,从而限制从控制层面访问客户的知识产权。
云和客户本地之间的数据流使用端口 443 上的安全 TLS 连接。
数据隔离
Citrix DaaS 仅存储代理和监控客户的应用程序和桌面所需的元数据。 敏感信息(包括图像、用户配置文件和其他应用程序数据)仍保留在客户本地或其公有云供应商的订阅中。
服务版本
Citrix DaaS 的功能因版本而异。 例如,Citrix Virtual Apps Essentials 仅支持 Citrix Gateway 服务和 Citrix Workspace。 请参阅该产品文档以了解有关支持功能的更多信息。
ICA 安全
Citrix DaaS 提供了多种选项来保护传输中的 ICA 流量。 以下是可用的选项:
- 基本加密: 默认设置。
- 安全ICA: 允许使用 RC5(128 位)加密来加密会话数据。
- VDA TLS/DTLS: 允许使用 TLS/DTLS 进行网络级加密。
- Rendezvous 协议: 仅在使用 Citrix Gateway 服务时可用。 使用 Rendezvous 协议时,ICA 会话使用 TLS/DTLS 进行端到端加密。
基本加密
使用基本加密时,将对流量进行加密,如下图所示。
安全 ICA
使用 SecureICA 时,流量将被加密,如下图所示。
注意:
使用适用于 HTML5 的 Workspace 应用程序时,不支持 SecureICA。
VDA TLS/DTLS
使用 VDA TLS/DTLS 加密时,将对流量进行加密,如下图所示。
注意:
在没有 Rendezvous 的情况下使用网关服务时,VDA 和 Cloud Connector 之间的流量不会进行 TLS 加密,因为 Cloud Connector 不支持使用网络级加密连接到 VDA。
更多资源
有关 ICA 安全选项及其配置方法的更多信息,请参阅:
- 安全ICA: 安全策略设置
- VDA TLS/DTLS: 传输层安全性
- Rendezvous 协议: Rendezvous 协议
凭据处理
Citrix DaaS 处理四种类型的凭据:
- 用户凭据:当用户使用其 Active Directory 用户名和密码向 Workspace 或 StoreFront 进行身份验证时,将存储这些信息以提供对 VDA 的单点登录。 使用客户管理的 StoreFront 时,这些内容通常在发送到 DaaS 之前由连接器加密,有关更多信息,请参阅 通过 StoreFront 进行客户端访问.
- 管理员凭据: 管理员对 Citrix Cloud 进行身份验证。 身份验证会生成一个一次性签名的 JSON Web 令牌 (JWT),该令牌授予管理员对 Citrix DaaS 的访问权限。
- 虚拟机管理程序密码:需要密码进行身份验证的本地虚拟机管理程序具有管理员生成的密码,该密码直接加密存储在云中的 SQL 数据库中。 Citrix 管理对等密钥以确保虚拟机管理程序凭据仅可用于经过身份验证的进程。
- Active Directory (AD) 凭据:Machine Creation Services 使用 Cloud Connector 在客户的 AD 中创建计算机帐户。 由于 Cloud Connector 的计算机帐户仅具有对 AD 的读取访问权限,因此系统会提示管理员输入每个计算机创建或删除操作的凭据。 这些凭证仅存储在内存中,并且仅针对单个预置事件保留。
部署注意事项
Citrix 建议用户查阅已发布的最佳实践文档,以在其环境中部署 Citrix Gateway 应用程序和 VDA。
云连接器
与 Citrix Cloud 通信
从 Citrix Cloud Connector 到 DaaS 和其他 Citrix Cloud 服务的所有连接都使用带有 TLS 1.2 的 HTTPS。
用于 XML 服务和 STA 的 HTTPS
如果您使用本地 StoreFront 或 NetScaler Gateway,建议您在连接器上启用 HTTPS 并禁用 HTTP。 有关更多信息,请参阅 HTTPS 配置.
网络访问要求
除了 入站和出站端口配置中,Cloud Connector 具有以下网络访问要求:
- Citrix Cloud Connector 只需要端口 443 出站流量到 Internet,并且可以托管在 HTTP 代理后面。
- 在内部网络中,Cloud Connector 需要访问 Citrix DaaS 的以下内容:
- VDA:端口 80,入站和出站。 如果使用 Citrix Gateway 服务,则加上 1494 和 2598 入站
- StoreFront 服务器:如果使用 HTTPS(推荐),则为端口 443 入站,如果使用 HTTP(不推荐),则为端口 80。
- Citrix Gateway(如果配置为 STA):端口 443 入站(如果使用 HTTPS)(推荐)或端口 80(如果使用 HTTP)(不推荐)。
- Active Directory 域控制器
- 虚拟机管理程序:仅限出站。 看 Citrix Technologies 使用的通信端口 对于特定端口。
VDA 和 Cloud Connector 之间的流量使用 Kerberos 消息级安全性进行加密。
安全密钥
您可以使用 安全密钥 以确保只有经过授权的 StoreFront 服务器和 Citrix Gateway 设备才能通过 Cloud Connector 连接到 DaaS。 如果您启用了 XML 信任.
客户端访问
您可以通过任一 Citrix 托管提供客户端访问权限 工作 或者通过托管您自己的 店面 部署。
用户可以使用 Citrix Workspace 应用程序或 Web 浏览器连接到 Workspace 或 StoreFront。 有关 Citrix Workspace 应用程序的安全建议,请参阅 文档 对于每个平台。
通过 Workspace 访问客户端
Citrix 工作区 是一项 Citrix 托管服务,使客户端应用程序无需任何本地基础架构即可访问 DaaS 资源。 有关 Citrix Workspace 应用程序支持的版本和其他要求,请参阅 Workspace 系统要求. 有关安全性的信息,请参阅 Citrix Workspace 安全概述.
通过 StoreFront 进行客户端访问
作为 Workspace 的替代方案,您可以通过部署 Citrix StoreFront 在您的本地环境中。 这为部署架构提供了更大的安全配置选项和灵活性,包括在本地维护用户凭证的能力。 StoreFront 服务器可以托管在 Citrix Gateway 后面,以提供安全的远程访问、强制实施多重身份验证并添加其他安全功能。 有关更多信息,请参阅 保护您的 StoreFront 部署.
用户凭证
如果用户使用其 Active Directory 凭据向 StoreFront 进行身份验证,则当用户启动应用程序时,StoreFront 会将凭据传递给 Cloud Connector。 默认情况下,Cloud Connector 使用 AES 加密和为每次启动生成的随机一次性密钥来加密用户凭据。 密钥永远不会传递到云中,而只会返回到 Citrix Workspace 应用程序。 然后,Citrix Workspace 应用程序将此密钥传递给 VDA,以便在会话启动期间解密用户密码,以获得单点登录体验。 流程如下图所示。
请务必在客户端、网关、店面和连接器之间配置 HTTPS,以确保密码在网络内始终加密。
在默认行为下,由于 Citrix Cloud 无权访问凭据,因此无法将凭据转发到其他 Cloud Connector 或 Connector 设备进行验证。 如果您使用多个域而没有信任关系,则这是必需的。 您可以禁用此行为并允许将凭据上传到 Citrix Cloud,以便它可以将其转发到其他 Cloud Connector 和 Connector 设备进行验证。 要配置此 cmdlet,请使用 DaaS PowerShell SDK cmdlet Set-Brokersite with 参数 CredentialForwardingToCloudAllowed
.
使用 HTTPS 连接到 Cloud Connector
建议您将 StoreFront 配置为使用 HTTPS 连接到 Cloud Connector,以确保所有通信都已加密。 这要求您已启用 用于 XML 服务和 STA 的 HTTPS. 要将 StoreFront 配置为使用 HTTPS 进行连接,请参阅 为 Citrix Desktops as a Service 添加资源源 和 添加 Citrix Gateway 设备.
XML 信任
默认情况下,当 StoreFront 连接到 DaaS 以执行枚举和启动等操作时,StoreFront 必须传递用户的 Active Directory 凭据,以便 DaaS 可以对用户进行身份验证并检查用户的组成员身份。 但是,当使用其他身份验证方法(如域直通、智能卡或 SAML)时,StoreFront 没有 Active Directory 密码。 在这种情况下,您必须启用 “XML Trust”。 启用 XML 信任后,DaaS 允许 StoreFront 代表用户执行操作,例如枚举和启动应用程序,而无需验证用户的密码。 在启用 XML 信任之前,请使用 安全密钥 或其他机制(如防火墙或 IPsec)来确保只有受信任的 StoreFront 服务器才能连接到 Cloud Connector。
要在 Studio 中启用 XML 信任,请转到 设置 并打开 启用 XML 信任.
要使用 Citrix DaaS SDK 检查 XML 信任当前值,请运行 Get-BrokerSite 并检查 TrustRequestsSentToTheXMLServicePort
.
要使用 Citrix DaaS SDK 启用或禁用 XML 信任,请运行 Set-BrokerSite with 参数 TrustRequestsSentToTheXMLServicePort
.
Citrix Gateway 服务
使用 Citrix Gateway 服务无需在客户数据中心内部署 Citrix Gateway。
有关详细信息,请参阅 Citrix Gateway 服务.
Cloud Connector 和 Citrix Cloud 之间的所有 TLS 连接都是从 Cloud Connector 到 Citrix Cloud 的启动。 不需要入站防火墙端口映射。
本地 NetScaler 网关
您可以使用本地 NetScaler 网关提供对资源的访问。 网关必须能够访问 Cloud Connector 才能兑换 STA 票证。 建议您将网关配置为使用 HTTPS 连接到 Cloud Connector,请参阅 用于 XML 服务和 STA 的 HTTPS. 如果您已启用 安全密钥 然后,您必须将网关配置为包含密钥。
更多信息
以下资源包含安全信息:
-
Citrix 信任中心:信任中心包含有关标准和认证的文档,这些标准和认证对于维护安全合规的 IT 环境非常重要。
-
Citrix Cloud 平台的安全部署指南:本指南概述了使用 Citrix Cloud 时的安全最佳实践,并介绍了 Citrix Cloud 收集和管理的信息。 本指南还包含指向有关 Citrix Cloud Connector 的全面信息的链接。
注意:
本文档旨在为读者提供 Citrix Cloud 安全功能的介绍和概述;并定义 Citrix 与客户之间在保护 Citrix Cloud 部署方面的责任划分。 它不用作 Citrix Cloud 或其任何组件或服务的配置和管理指导手册。
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.