Citrix Virtual Apps and Desktops 服务

技术安全性概述

December 1, 2020

贡献者:

C G

安全性概述

本文档适用于 Citrix Cloud 中托管的 Citrix Virtual Apps and Desktops 服务（Azure Standard 版本除外）。这包括 Citrix Virtual Apps Essentials 和 Citrix Virtual Desktops Essentials。（有关适用于 Azure 的 Citrix Virtual Apps and Desktops Standard，请参阅其安全性概述）。）

Citrix Cloud 管理 Citrix Virtual Apps and Desktops 环境的控制平面操作。这包括 Delivery Controller、管理控制台、SQL 数据库、许可证服务器以及（可选）StoreFront 和 Citrix Gateway（以前称为 NetScaler Gateway）。托管应用程序和桌面的 Virtual Delivery Agent (VDA) 在客户选择的数据中心（云或本地）中仍处于客户的控制之下。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。如果客户选择使用 Citrix Workspace，则同时可以选择使用 Citrix Gateway 服务来代替在其数据中心中运行 Citrix Gateway。下图说明了服务及其安全边界。

服务安全边界示意图

数据流

VDA 不由服务托管，因此，预配所需的客户应用程序数据和映像将始终在客户设置中托管。控制平面有权访问元数据，例如用户名、计算机名称和应用程序快捷方式，但限制从控制平面访问客户的知识产权。

云与客户本地之间的数据流动使用安全的 TLS 连接通过端口 443 进行。

数据隔离

Citrix Virtual Apps and Desktops 服务仅存储代理和监视客户的应用程序和桌面所需的元数据。敏感信息（包括主映像、用户配置文件和其他应用程序数据）仍保留在客户本地，或者保留在其通过公有云供应商订阅的云中。

服务版本

Citrix Virtual Apps and Desktops 服务的功能因版本而异。例如，Citrix Virtual Apps Essentials 仅支持 Citrix Gateway 服务和 Citrix Workspace。请查阅产品文档，了解与支持的功能有关的更多信息。

凭据处理

此服务处理四种类型的凭据：

用户凭据：使用客户管理的 StoreFront 时，Cloud Connector 使用使用 AES-256 加密方法以及为每次启动生成的随机一次性密钥加密用户凭据。此密钥永远不会传递到云，并且仅返回到 Citrix Workspace 应用程序。Citrix Workspace 应用程序之后会将此密钥传递到 VDA，以在会话启动过程中解密用户密码，从而实现单点登录体验。该流程如下图所示。

流图示意图

管理员凭据：管理员针对 Citrix Cloud 进行身份验证。这将生成一个一次性签名的 JSON Web 令牌 (JWT)，管理员通过该令牌将能够访问 Citrix Virtual Apps and Desktops 服务。
虚拟机管理程序密码：需要密码进行身份验证的本地虚拟机管理程序具有管理员生成的、直接存储并在云中的 SQL 数据库中加密的密码。对等密钥由 Citrix 进行管理，以确保虚拟机管理程序仅对通过了身份验证的进程可用。
Active Directory (AD) 凭据：Machine Creation Services 使用 Cloud Connector 在客户的 AD 中创建计算机帐户。由于 Cloud Connector 的计算机帐户仅对 AD 具有读取访问权限，因此，每次执行计算机创建或删除操作时，系统都会提示管理员输入凭据。这些凭据仅存储在内存中，并且仅用于单个预配事件。

部署注意事项

Citrix 建议用户查阅已发布的最佳做法文档，了解在其环境中部署 Citrix Gateway 应用程序和 VDA 的相关信息。

Citrix Cloud Connector 网络访问要求

Citrix Cloud Connector 仅需要传输至 Internet 的端口 443 出站流量，并且可以托管在 HTTP 代理后面。

在 Citrix Cloud 中为 HTTPS 使用的通信为 TLS。（请参阅弃用 TLS 版本。）
在内部网络中，Cloud Connector 需要访问以下组件才能使用 Citrix Virtual Apps and Desktops 服务：
- VDA：端口 80，入站和出站，以及 1494 和 2598 入站（如果使用 Citrix Gateway 服务）
- StoreFront 服务器：端口 80，入站。
- Citrix Gateway，如果配置为 STA：端口 80，入站。
- Active Directory 域控制器
- 虚拟机管理程序：仅限出站。有关特定端口，请参阅 Citrix 技术使用的通信端口。

VDA 与 Cloud Connector 之间的流量使用 Kerberos 消息级安全性进行加密。

客户管理的 StoreFront

客户管理的 StoreFront 为部署体系结构提供更多安全配置选项以及更大的灵活性，包括本地维护用户凭据的功能。StoreFront 可以托管在 Citrix Gateway 后面，以提供安全的远程访问、执行多重身份验证以及添加其他安全功能。

Citrix Gateway 服务

如果使用 Citrix Gateway 服务，则不需要再在客户数据中心中部署 Citrix Gateway。

有关详细信息，请参阅Citrix Gateway 服务。

Cloud Connector 与 Citrix Cloud 之间的所有 TLS 连接都从 Cloud Connector 启动到 Citrix Cloud。不需要任何入站防火墙端口映射。

XML 信任

XML 信任设置适用于使用以下对象的部署：

本地 StoreFront。
不需要密码的订阅者（用户）身份验证技术。此类技术的示例包括域直通、智能卡、SAML 和 Veridium 解决方案。

启用 XML 信任设置允许用户成功进行身份验证，然后启动应用程序。Cloud Connector 信任从 StoreFront 发送的凭据。仅当您已保护 Citrix Cloud Connector 与 StoreFront 之间的通信（使用防火墙、IPsec 或其他安全建议）时，才启用此设置。

默认情况下，禁用此设置。

使用 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 管理 XML 信任设置。

要检查 XML 信任设置的当前值，请运行 Get-BrokerSite 并检查 TrustRequestsSentToTheXMLServicePort 的值。
要启用 XML 信任，请运行 Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
要禁用 XML 信任，请运行 Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false

弃用 TLS 版本

为了提高 Citrix Virtual Apps and Desktops 服务的安全性，Citrix 已自 2019 年 3 月 15 日起开始阻止通过传输层安全性 (TLS) 1.0 和 1.1 进行的任何通信。

从 Citrix Cloud Connector 到 Citrix Cloud 服务的所有连接都需要 TLS 1.2。

重要：

CTX247067 包含所有受影响的 Citrix Cloud 服务的最新的完整指南。

升级到最新的 Citrix Receiver 或 Citrix Workspace 应用程序

为确保从用户终端设备成功连接到 Citrix Workspace，已安装的 Citrix Receiver 版本必须等于或高于下表中列出的版本。

Receiver	版本
Windows	4.2.1000
Mac	12.0
Linux	13.2
Android	3.7
iOS	7.0
Chrome/HTML5	最新版本（浏览器必须支持 TLS 1.2）

要升级到最新的 Citrix Receiver 版本，请转到 https://www.citrix.com/products/receiver/。

或者，升级到使用 TLS 1.2 的 Citrix Workspace 应用程序。了解详情。要下载 Citrix Workspace 应用程序，请转到 https://www.citrix.com/downloads/workspace-app/。

如果您必须继续使用 TLS 1.0 或 1.1（例如，使用基于较早版本的 Receiver for Linux 的瘦客户端），请在您的资源位置中安装 StoreFront，并让所有 Citrix Receiver 指向该 StoreFront。