Citrix DaaS
感谢您提供反馈

这篇文章已经过机器翻译.放弃

技术安全性概述

安全性概述

本文档适用于 Citrix Cloud 中托管的 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)。 此信息包括 Citrix Virtual Apps Essentials 和 Citrix Virtual Desktops Essentials。

Citrix Cloud 管理 Citrix DaaS 环境的控制平面的运行。 控制平面包括 Delivery Controller、管理控制台、SQL 数据库、许可证服务器,以及可选的 StoreFront 和 Citrix Gateway(以前称为 NetScaler Gateway)。 托管应用程序和桌面的 Virtual Delivery Agent (VDA) 仍由客户在他们选择的数据中心(云或本地)进行控制。 这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。 如果客户选择使用 Citrix Workspace,他们还可以选择使用 Citrix Gateway 服务,而不是在其数据中心内运行 Citrix Gateway。 下图说明了 Citrix DaaS 及其安全边界。

“服务安全边界”图像

Citrix 基于云的合规性

访问 Citrix 信任中心 有关 Citrix Cloud 认证的更多信息,请经常回来查看更新。

注意:

尚未针对 Citrix SOC 2(类型 1 或 2)、ISO 27001、HIPAA 或其他云合规性要求评估将 Citrix 托管 Azure 容量与各种 Citrix DaaS 版本和通用混合多云一起使用。

数据流

Citrix DaaS 不托管 VDA,因此配置所需的客户应用程序数据和映像始终托管在客户设置中。 控制层面可以访问元数据,例如用户名、机器名称和应用程序快捷方式,从而限制从控制层面访问客户的知识产权。

云和客户本地之间的数据流使用端口 443 上的安全 TLS 连接。

数据隔离

Citrix DaaS 仅存储代理和监控客户的应用程序和桌面所需的元数据。 敏感信息(包括图像、用户配置文件和其他应用程序数据)仍保留在客户本地或其公有云供应商的订阅中。

服务版本

Citrix DaaS 的功能因版本而异。 例如,Citrix Virtual Apps Essentials 仅支持 Citrix Gateway 服务和 Citrix Workspace。 请参阅该产品文档以了解有关支持功能的更多信息。

ICA 安全

Citrix DaaS 提供了多种选项来保护传输中的 ICA 流量。 以下是可用的选项:

  • 基本加密: 默认设置。
  • 安全ICA: 允许使用 RC5(128 位)加密来加密会话数据。
  • VDA TLS/DTLS: 允许使用 TLS/DTLS 进行网络级加密。
  • Rendezvous 协议: 仅在使用 Citrix Gateway 服务时可用。 使用 Rendezvous 协议时,ICA 会话使用 TLS/DTLS 进行端到端加密。

基本加密

使用基本加密时,将对流量进行加密,如下图所示。

使用基本加密时的流量加密

安全 ICA

使用 SecureICA 时,流量将被加密,如下图所示。

使用 SecureICA 时的流量加密

注意:

使用适用于 HTML5 的 Workspace 应用程序时,不支持 SecureICA。

VDA TLS/DTLS

使用 VDA TLS/DTLS 加密时,将对流量进行加密,如下图所示。

使用 TLS/DTLS 时的流量加密

注意:

在没有 Rendezvous 的情况下使用网关服务时,VDA 和 Cloud Connector 之间的流量不会进行 TLS 加密,因为 Cloud Connector 不支持使用网络级加密连接到 VDA。

更多资源

有关 ICA 安全选项及其配置方法的更多信息,请参阅:

凭据处理

Citrix DaaS 处理四种类型的凭据:

  • 用户凭据:当用户使用其 Active Directory 用户名和密码向 Workspace 或 StoreFront 进行身份验证时,将存储这些信息以提供对 VDA 的单点登录。 使用客户管理的 StoreFront 时,这些内容通常在发送到 DaaS 之前由连接器加密,有关更多信息,请参阅 通过 StoreFront 进行客户端访问.
  • 管理员凭据: 管理员对 Citrix Cloud 进行身份验证。 身份验证会生成一个一次性签名的 JSON Web 令牌 (JWT),该令牌授予管理员对 Citrix DaaS 的访问权限。
  • 虚拟机管理程序密码:需要密码进行身份验证的本地虚拟机管理程序具有管理员生成的密码,该密码直接加密存储在云中的 SQL 数据库中。 Citrix 管理对等密钥以确保虚拟机管理程序凭据仅可用于经过身份验证的进程。
  • Active Directory (AD) 凭据:Machine Creation Services 使用 Cloud Connector 在客户的 AD 中创建计算机帐户。 由于 Cloud Connector 的计算机帐户仅具有对 AD 的读取访问权限,因此系统会提示管理员输入每个计算机创建或删除操作的凭据。 这些凭证仅存储在内存中,并且仅针对单个预置事件保留。

部署注意事项

Citrix 建议用户查阅已发布的最佳实践文档,以在其环境中部署 Citrix Gateway 应用程序和 VDA。

云连接器

与 Citrix Cloud 通信

从 Citrix Cloud Connector 到 DaaS 和其他 Citrix Cloud 服务的所有连接都使用带有 TLS 1.2 的 HTTPS。

用于 XML 服务和 STA 的 HTTPS

如果您使用本地 StoreFront 或 NetScaler Gateway,建议您在连接器上启用 HTTPS 并禁用 HTTP。 有关更多信息,请参阅 HTTPS 配置.

网络访问要求

除了 入站和出站端口配置中,Cloud Connector 具有以下网络访问要求:

  • Citrix Cloud Connector 只需要端口 443 出站流量到 Internet,并且可以托管在 HTTP 代理后面。
  • 在内部网络中,Cloud Connector 需要访问 Citrix DaaS 的以下内容:
    • VDA:端口 80,入站和出站。 如果使用 Citrix Gateway 服务,则加上 1494 和 2598 入站
    • StoreFront 服务器:如果使用 HTTPS(推荐),则为端口 443 入站,如果使用 HTTP(不推荐),则为端口 80。
    • Citrix Gateway(如果配置为 STA):端口 443 入站(如果使用 HTTPS)(推荐)或端口 80(如果使用 HTTP)(不推荐)。
    • Active Directory 域控制器
    • 虚拟机管理程序:仅限出站。 看 Citrix Technologies 使用的通信端口 对于特定端口。

VDA 和 Cloud Connector 之间的流量使用 Kerberos 消息级安全性进行加密。

安全密钥

您可以使用 安全密钥 以确保只有经过授权的 StoreFront 服务器和 Citrix Gateway 设备才能通过 Cloud Connector 连接到 DaaS。 如果您启用了 XML 信任.

客户端访问

您可以通过任一 Citrix 托管提供客户端访问权限 工作 或者通过托管您自己的 店面 部署。

用户可以使用 Citrix Workspace 应用程序或 Web 浏览器连接到 Workspace 或 StoreFront。 有关 Citrix Workspace 应用程序的安全建议,请参阅 文档 对于每个平台。

通过 Workspace 访问客户端

Citrix 工作区 是一项 Citrix 托管服务,使客户端应用程序无需任何本地基础架构即可访问 DaaS 资源。 有关 Citrix Workspace 应用程序支持的版本和其他要求,请参阅 Workspace 系统要求. 有关安全性的信息,请参阅 Citrix Workspace 安全概述.

通过 StoreFront 进行客户端访问

作为 Workspace 的替代方案,您可以通过部署 Citrix StoreFront 在您的本地环境中。 这为部署架构提供了更大的安全配置选项和灵活性,包括在本地维护用户凭证的能力。 StoreFront 服务器可以托管在 Citrix Gateway 后面,以提供安全的远程访问、强制实施多重身份验证并添加其他安全功能。 有关更多信息,请参阅 保护您的 StoreFront 部署.

用户凭证

如果用户使用其 Active Directory 凭据向 StoreFront 进行身份验证,则当用户启动应用程序时,StoreFront 会将凭据传递给 Cloud Connector。 默认情况下,Cloud Connector 使用 AES 加密和为每次启动生成的随机一次性密钥来加密用户凭据。 密钥永远不会传递到云中,而只会返回到 Citrix Workspace 应用程序。 然后,Citrix Workspace 应用程序将此密钥传递给 VDA,以便在会话启动期间解密用户密码,以获得单点登录体验。 流程如下图所示。

显示密码流程的图表

请务必在客户端、网关、店面和连接器之间配置 HTTPS,以确保密码在网络内始终加密。

在默认行为下,由于 Citrix Cloud 无权访问凭据,因此无法将凭据转发到其他 Cloud Connector 或 Connector 设备进行验证。 如果您使用多个域而没有信任关系,则这是必需的。 您可以禁用此行为并允许将凭据上传到 Citrix Cloud,以便它可以将其转发到其他 Cloud Connector 和 Connector 设备进行验证。 要配置此 cmdlet,请使用 DaaS PowerShell SDK cmdlet Set-Brokersite with 参数 CredentialForwardingToCloudAllowed.

使用 HTTPS 连接到 Cloud Connector

建议您将 StoreFront 配置为使用 HTTPS 连接到 Cloud Connector,以确保所有通信都已加密。 这要求您已启用 用于 XML 服务和 STA 的 HTTPS. 要将 StoreFront 配置为使用 HTTPS 进行连接,请参阅 为 Citrix Desktops as a Service 添加资源源添加 Citrix Gateway 设备.

XML 信任

默认情况下,当 StoreFront 连接到 DaaS 以执行枚举和启动等操作时,StoreFront 必须传递用户的 Active Directory 凭据,以便 DaaS 可以对用户进行身份验证并检查用户的组成员身份。 但是,当使用其他身份验证方法(如域直通、智能卡或 SAML)时,StoreFront 没有 Active Directory 密码。 在这种情况下,您必须启用 “XML Trust”。 启用 XML 信任后,DaaS 允许 StoreFront 代表用户执行操作,例如枚举和启动应用程序,而无需验证用户的密码。 在启用 XML 信任之前,请使用 安全密钥 或其他机制(如防火墙或 IPsec)来确保只有受信任的 StoreFront 服务器才能连接到 Cloud Connector。

要在 Studio 中启用 XML 信任,请转到 设置 并打开 启用 XML 信任.

要使用 Citrix DaaS SDK 检查 XML 信任当前值,请运行 Get-BrokerSite 并检查 TrustRequestsSentToTheXMLServicePort.

要使用 Citrix DaaS SDK 启用或禁用 XML 信任,请运行 Set-BrokerSite with 参数 TrustRequestsSentToTheXMLServicePort.

Citrix Gateway 服务

使用 Citrix Gateway 服务无需在客户数据中心内部署 Citrix Gateway。

有关详细信息,请参阅 Citrix Gateway 服务.

Cloud Connector 和 Citrix Cloud 之间的所有 TLS 连接都是从 Cloud Connector 到 Citrix Cloud 的启动。 不需要入站防火墙端口映射。

本地 NetScaler 网关

您可以使用本地 NetScaler 网关提供对资源的访问。 网关必须能够访问 Cloud Connector 才能兑换 STA 票证。 建议您将网关配置为使用 HTTPS 连接到 Cloud Connector,请参阅 用于 XML 服务和 STA 的 HTTPS. 如果您已启用 安全密钥 然后,您必须将网关配置为包含密钥。

更多信息

以下资源包含安全信息:

注意:

本文档旨在为读者提供 Citrix Cloud 安全功能的介绍和概述;并定义 Citrix 与客户之间在保护 Citrix Cloud 部署方面的责任划分。 它不用作 Citrix Cloud 或其任何组件或服务的配置和管理指导手册。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。