技术安全性概述
安全性概述
本文档适用于 Citrix Cloud 中托管的 Citrix Virtual Apps and Desktops 服务。这包括 Citrix Virtual Apps Essentials 和 Citrix Virtual Desktops Essentials。
Citrix Cloud 管理 Citrix Virtual Apps and Desktops 环境的控制平面操作。这包括 Delivery Controller、管理控制台、SQL 数据库、许可证服务器以及(可选)StoreFront 和 Citrix Gateway(以前称为 NetScaler Gateway)。托管应用程序和桌面的 Virtual Delivery Agent (VDA) 在客户选择的数据中心(云或本地)中仍处于客户的控制之下。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。如果客户选择使用 Citrix Workspace,则同时可以选择使用 Citrix Gateway 服务来代替在其数据中心中运行 Citrix Gateway。下图说明了服务及其安全边界。
基于 Citrix Cloud 的合规性
截至 2021 年 1 月,尚未针对 Citrix SOC 2(类型 1 或 2)、ISO 27001、HIPAA 或其他云合规性要求评估 Citrix 托管 Azure 容量与各种 Citrix Virtual Apps and Desktops 服务版本以及 Workspace Premium Plus 的使用情况。请访问 Citrix Trust Center 了解有关 Citrix Cloud 认证的详细信息,并经常返回查看以获取更新。
数据流
VDA 不由服务托管,因此,预配所需的客户应用程序数据和映像将始终在客户设置中托管。控制平面有权访问元数据,例如用户名、计算机名称和应用程序快捷方式,但限制从控制平面访问客户的知识产权。
云与客户本地之间的数据流动使用安全的 TLS 连接通过端口 443 进行。
数据隔离
Citrix Virtual Apps and Desktops 服务仅存储代理和监视客户的应用程序和桌面所需的元数据。敏感信息(包括映像、用户配置文件和其他应用程序数据)仍保留在客户本地,或者保留在其通过公有云供应商订阅的云中。
服务版本
Citrix Virtual Apps and Desktops 服务的功能因版本而异。例如,Citrix Virtual Apps Essentials 仅支持 Citrix Gateway 服务和 Citrix Workspace。请查阅产品文档,了解与支持的功能有关的更多信息。
ICA 安全
Citrix Virtual Apps and Desktops 服务提供了多种选项来保护传输中的 ICA 流量。下面是可用的选项:
- 基本加密: 默认设置。
- SecureICA: 允许使用 RC5(128 位)加密对会话数据进行加密。
- VDA TLS/DTL: 允许使用使用 TLS/DTL 的网络级加密。
- 汇聚协议: 仅在使用 Citrix Gateway 服务时可用。使用汇聚协议时,ICA 会话使用 TLS/DTL 进行端到端加密。
基本加密
使用基本加密时,将对流量进行加密,如下图所示。
SecureICA
使用 SecureICA 时,流量将被加密,如下图所示。
注意:
使用适用于 HTML5 或 Chrome OS 的 Workspace 应用程序时,不支持 SecureICA。
VDA TLS/DTL
使用 VDA TLS/DTL 加密时,流量将被加密,如下图所示。
注意:
在没有汇聚的情况下使用网关服务时,VDA 与 Cloud Connector 之间的流量不会进行 TLS 加密,因为 Cloud Connector 不支持使用网络级加密连接到 VDA。
更多资源
有关 ICA 安全选项以及如何配置这些选项的详细信息,请参阅:
凭据处理
此服务处理四种类型的凭据:
- 用户凭据:使用客户管理的 StoreFront 时,Cloud Connector 使用使用 AES-256 加密方法以及为每次启动生成的随机一次性密钥加密用户凭据。此密钥永远不会传递到云,并且仅返回到 Citrix Workspace 应用程序。Citrix Workspace 应用程序之后会将此密钥传递到 VDA,以在会话启动过程中解密用户密码,从而实现单点登录体验。下图显示了该流程。
- 管理员凭据:管理员针对 Citrix Cloud 进行身份验证。这将生成一个一次性签名的 JSON Web 令牌 (JWT),管理员通过该令牌将能够访问 Citrix Virtual Apps and Desktops 服务。
- 虚拟机管理程序密码:需要密码进行身份验证的本地虚拟机管理程序具有管理员生成的、直接存储并在云中的 SQL 数据库中加密的密码。对等密钥由 Citrix 进行管理,以确保虚拟机管理程序仅对通过了身份验证的进程可用。
- Active Directory (AD) 凭据:Machine Creation Services 使用 Cloud Connector 在客户的 AD 中创建计算机帐户。由于 Cloud Connector 的计算机帐户仅对 AD 具有读取访问权限,因此,每次执行计算机创建或删除操作时,系统都会提示管理员输入凭据。这些凭据仅存储在内存中,并且仅用于单个预配事件。
部署注意事项
Citrix 建议用户查阅已发布的最佳做法文档,了解在其环境中部署 Citrix Gateway 应用程序和 VDA 的相关信息。
Citrix Cloud Connector 网络访问要求
Citrix Cloud Connector 仅需要传输至 Internet 的端口 443 出站流量,并且可以托管在 HTTP 代理后面。
- 在 Citrix Cloud 中为 HTTPS 使用的通信为 TLS。(请参阅弃用 TLS 版本。)
- 在内部网络中,Cloud Connector 需要访问以下组件才能使用 Citrix Virtual Apps and Desktops 服务:
- VDA:端口 80,入站和出站,以及 1494 和 2598 入站(如果使用 Citrix Gateway 服务)
- StoreFront 服务器:端口 80,入站。
- Citrix Gateway,如果配置为 STA:端口 80,入站。
- Active Directory 域控制器
- 虚拟机管理程序:仅限出站。有关特定端口,请参阅Citrix 技术使用的通信端口。
VDA 与 Cloud Connector 之间的流量使用 Kerberos 消息级安全性进行加密。
客户管理的 StoreFront
客户管理的 StoreFront 为部署体系结构提供更多安全配置选项以及更大的灵活性,包括本地维护用户凭据的功能。StoreFront 可以托管在 Citrix Gateway 后面,以提供安全的远程访问、执行多重身份验证以及添加其他安全功能。
Citrix Gateway 服务
如果使用 Citrix Gateway 服务,则不需要再在客户数据中心中部署 Citrix Gateway。
有关详细信息,请参阅 Citrix Gateway 服务。
Cloud Connector 与 Citrix Cloud 之间的所有 TLS 连接都从 Cloud Connector 启动到 Citrix Cloud。不需要任何入站防火墙端口映射。
XML 信任
XML 信任设置适用于使用以下对象的部署:
- 本地 StoreFront。
- 不需要密码的订阅者(用户)身份验证技术。此类技术的示例包括域直通、智能卡、SAML 和 Veridium 解决方案。
启用 XML 信任设置允许用户成功进行身份验证,然后启动应用程序。Cloud Connector 信任从 StoreFront 发送的凭据。仅当您已保护 Citrix Cloud Connector 与StoreFront 之间的通信(使用防火墙、IPsec 或其他安全建议)时,才启用此设置。
默认情况下,禁用此设置。
使用 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 管理 XML 信任设置。
- 要检查 XML 信任设置的当前值,请运行
Get-BrokerSite并检查TrustRequestsSentToTheXMLServicePort的值。 - 要启用 XML 信任,请运行
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true - 要禁用 XML 信任,请运行
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false
强制传输 HTTPS 或 HTTP 流量
要通过 XML Service 强制传输 HTTPS 或 HTTP 流量,请在每个 Cloud Connector 上配置以下注册表值集之一。
配置设置后,在每个 Cloud Connector 上重新启动 Broker Service 和 Remote Broker Provider Service。
在 HKLM\Software\Citrix\DesktopServer\ 中:
- 要强制传输 HTTPS(忽略 HTTP)流量,请执行以下操作:将
XmlServicesEnableSsl设置为1,将XmlServicesEnableNonSsl设置为0。 - 要强制传输 HTTP(忽略 HTTPS)流量,请执行以下操作:将
XmlServicesEnableNonSsl设置为1,将XmlServicesEnableSsl设置为0。
弃用 TLS 版本
为了提高 Citrix Virtual Apps and Desktops 服务的安全性,Citrix 已自 2019 年 3 月 15 日起开始阻止通过传输层安全性 (TLS) 1.0 和 1.1 进行的任何通信。
从 Citrix Cloud Connector 到 Citrix Cloud 服务的所有连接都需要 TLS 1.2。
为确保从用户终端设备成功连接到 Citrix Workspace,已安装的 Citrix Receiver 版本必须等于或高于下表中列出的版本。
| Receiver | 版本 |
|---|---|
| Windows | 4.2.1000 |
| Mac | 12.0 |
| Linux | 13.2 |
| Android | 3.7 |
| iOS | 7.0 |
| Chrome/HTML5 | 最新版本(浏览器必须支持 TLS 1.2) |
要升级到最新的 Citrix Receiver 版本,请转到 https://www.citrix.com/products/receiver/。
或者,升级到使用 TLS 1.2 的 Citrix Workspace 应用程序。要下载 Citrix Workspace 应用程序,请转到 https://www.citrix.com/downloads/workspace-app/。
如果您必须继续使用 TLS 1.0 或 1.1(例如,使用基于较早版本的 Receiver for Linux 的瘦客户端),请在您的资源位置中安装 StoreFront,并让所有 Citrix Receiver 指向该 StoreFront。
更多信息
以下资源包含安全信息:
-
安全性和合规性信息:安全性和合规性中心包含安全公告,可帮助您随时了解最新消息。该中心还包含关于标准和认证的文档,这些标准和认证对维护安全、合规的 IT 环境非常重要。
-
《适用于 Citrix Cloud 平台的安全部署指南》:本指南概述了使用 Citrix Cloud 时的安全性最佳做法并介绍了 Citrix Cloud 收集和管理的信息。本指南还包含指向有关 Citrix Cloud Connector 的综合性信息的链接。
- 安全注意事项和最佳做法。
- 智能卡。
- 传输层安全性 (TLS)。
注意:
本文档的目的是向读者提供 Citrix Cloud 的安全功能的简介和概述,以及针对确保 Citrix Cloud 安全来定义 Citrix 与客户之间的职责划分。其目的不是用作 Citrix Cloud 或其任何组件或服务的配置和管理指导手册。