技术安全性概述
安全性概述
本文档适用于 Citrix Cloud 中托管的所有 Citrix Virtual Apps and Desktops 服务,包括 Citrix Virtual Apps Essentials 和 Citrix Virtual Desktops Essentials。
Citrix Cloud 管理 Citrix Virtual Apps and Desktops 环境的控制平面操作。这包括 Delivery Controller、管理控制台、SQL 数据库、许可证服务器以及(可选)StoreFront 和 Citrix Gateway(以前称为 NetScaler Gateway)。托管应用程序和桌面的 Virtual Delivery Agent (VDA) 在客户选择的数据中心(云或本地)中仍处于客户的控制之下。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。如果客户选择使用 Citrix Workspace,则同时会选择使用 Citrix Gateway 服务来代替在其数据中心中运行 Citrix Gateway。下图说明了服务及其安全边界。
数据流
由于云服务托管的组件不包括 VDA,因此,置备所需的客户应用程序数据和黄金映像将始终在客户设置中托管。控制平面有权访问元数据,例如用户名、计算机名称和应用程序快捷方式,但限制从控制平面访问客户的知识产权。
云与客户本地之间的数据流动使用安全的 TLS 连接通过端口 443 进行。
数据隔离
Citrix Virtual Apps and Desktops 服务仅存储代理和监视客户的应用程序和桌面所需的元数据。敏感信息(包括主映像、用户配置文件和其他应用程序数据)仍保留在客户本地,或者保留在其通过公有云供应商订阅的云中。
服务版本
Citrix Virtual Apps and Desktops 服务的功能因版本而异。例如,Citrix Virtual Apps Essentials 仅支持 Citrix Gateway 服务和 Citrix Workspace。请查阅产品文档,了解与支持的功能有关的更多信息。
凭据处理
此服务处理四种类型的凭据:
- 用户凭据:使用客户管理的 StoreFront 时,用户凭据将使用 AES-256 加密方法以及为每次启动生成的随机一次性密钥通过 Citrix Cloud Connector 进行加密。此密钥永远不会传递到云,并且仅返回到 Citrix Workspace 应用程序。此密钥随后由 Citrix Workspace 应用程序直接传递到 VDA,以在会话启动过程中解密用户密码,从而实现单点登录体验。整个流程如下图所示。
- 管理员凭据:管理员针对 Citrix Cloud 进行身份验证,而 Citrix Cloud 使用 Citrix Online 开发的登录系统。这将生成一个一次性签名的 JSON Web 令牌 (JWT),管理员通过该令牌将能够访问 Citrix Virtual Apps and Desktops 服务。
- 虚拟机管理程序密码:需要密码进行身份验证的本地虚拟机管理程序具有管理员生成的、直接存储并在云中的 SQL 数据库中加密的密码。对等密钥由 Citrix 进行管理,以确保虚拟机管理程序仅对通过了身份验证的进程可用。
- Active Directory (AD) 凭据:Machine Creation Services 使用 Connector 在客户的 AD 中创建计算机帐户。由于 Connector 的计算机帐户仅对 AD 具有读取访问权限,因此,每次执行计算机创建或删除操作时,系统都会提示管理员输入凭据。这些凭据仅存储在内存中,并且仅用于单个置备事件。
部署注意事项
Citrix 建议用户查阅已发布的最佳做法文档,了解在其环境中部署 Citrix Gateway 应用程序和 VDA 的相关信息。与本地 StoreFront 部署和网络连接有关的其他注意事项如下:
Citrix Cloud Connector 网络访问要求
Citrix Cloud Connector 仅需要传输至 Internet 的端口 443 出站流量,并且可能托管在 HTTP 代理后面。
- 在 Citrix Cloud 中为 HTTPS 使用的通信为 TLS 1.0、1.1 或 1.2。(请参阅下面的弃用 TLS 版本,了解正在进行的更改。)
- 在内部网络中,Connector 需要访问以下组件才能使用 Citrix Virtual Apps and Desktops 服务:
- VDA(端口 80,入站和出站)以及 1494 和 2598 入站(如果使用 Citrix Gateway 服务)
- StoreFront 服务器(端口 80,入站)
- Citrix Gateway,如果配置为 STA(端口 80,入站)
- Active Directory 域控制器
- 虚拟机管理程序(仅限出站;请参阅 CTX-101810],获取特定的端口)
VDA 与 Cloud Connector 之间的流量使用 Kerberos 消息级安全性进行加密。
客户管理的 StoreFront
客户管理的 StoreFront 为部署体系结构提供更多安全配置选项以及更大的灵活性,包括本地维护用户凭据的功能。StoreFront 可以托管在 Citrix Gateway 后面,以提供安全的远程访问、执行多重身份验证以及添加其他安全功能。
Citrix Gateway 服务和 Citrix Workspace
如果使用 Citrix Gateway 服务,则不需要再在客户数据中心中部署 Citrix Gateway。要使用 Citrix Gateway 服务,必须使用从 Citrix Cloud 提供的 StoreFront 服务。使用 Citrix Gateway 服务时的数据流如下图所示。
注意:
本图显示的是逻辑数据流。Cloud Connector 与 Citrix Cloud 之间的所有 TLS 连接都从 Cloud Connector 启动到 Citrix Cloud。不需要任何入站防火墙端口映射。
XML 信任
XML 信任设置适用于使用以下对象的部署:
- 本地 StoreFront。
- 不需要密码的订阅者(用户)身份验证技术。此类技术的示例包括域直通、智能卡、SAML 和 Veridium 解决方案。
启用 XML 信任设置允许用户成功进行身份验证,然后启动应用程序。Cloud Connector 信任从 StoreFront 发送的凭据。仅当您已保护 Citrix Cloud Connector 与 StoreFront 之间的通信(使用防火墙、IPsec 或其他安全建议)时,才启用此设置。
默认情况下,禁用此设置。
使用 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 管理 XML 信任设置。
- 要检查 XML 信任设置的当前值,请运行
Get-BrokerSite并检查TrustRequestsSentToTheXMLServicePort的值。 - 要启用 XML 信任,请运行
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true - 要禁用 XML 信任,请运行
et-BrokerSite -TrustRequestsSentToTheXmlServicePort $false
弃用 TLS 版本
为了提高 Citrix Virtual Apps and Desktops 服务的安全性,Citrix 已自 2019 年 3 月 15 日起开始阻止通过传输层安全性 (TLS) 1.0 和 1.1 进行的任何通信。
重要:
请参阅 CTX247067,了解有关受影响的所有 Citrix Cloud 服务的最新的综合性指导。
升级到最新的 Citrix Receiver 或 Citrix Workspace 应用程序
为确保从用户端点设备成功连接到 Citrix Workspace,安装的 Citrix Receiver 版本必须等于或高于下面列出的支持 TLS 1.2 的版本。
| Receiver | 版本 |
|---|---|
| Windows | 4.2.1000 |
| Mac | 12.0 |
| Linux | 13.2 |
| Android | 3.7 |
| iOS | 7.0 |
| Chrome/HTML5 | 最新版本(浏览器必须支持 TLS 1.2) |
要升级到最新的 Citrix Receiver 版本,请转到 https://www.citrix.com/products/receiver/。
或者,也可以升级到我们的使用 TLS 1.2 的新 Citrix Workspace 应用程序。了解详情。要下载 Citrix Workspace 应用程序,请转到 https://www.citrix.com/downloads/workspace-app/。
如果您需要继续使用 TLS 1.0 或 TLS 1.1
如果您需要继续使用 TLS 1.0 或 1.1(例如,如果您使用的是基于较早版本的 Receiver for Linux 的瘦客户端),请在资源位置中安装 StoreFront,并让所有 Citrix Receiver 指向该 StoreFront。
预配
从 Citrix Cloud Connector 到 Citrix Cloud 服务的所有连接都需要 TLS 1.2。Citrix Provisioning 和 Machine Creation Services 默认情况下允许建立 TLS 1.0、1.1 和 TLS 1.2 连接(无需任何操作),直到今年晚些时候才会更改为仅适用 TLS 1.2。
可选:如果您的安全策略要求严格执行 TLS 1.2 连接,请在每个 Citrix Cloud Connector 上按 CTX247067 中所述进行注册表设置更改。
更多信息
有关更多安全信息,请参阅以下资源:
注意:
本文档的目的是向读者提供 Citrix Cloud 的安全功能的简介和概述,以及针对确保 Citrix Cloud 安全来定义 Citrix 与客户之间的职责划分。其目的不是用作 Citrix Cloud 或其任何组件或服务的配置和管理指导手册。