Citrix Virtual Apps and Desktops 服务

技术安全性概述

安全性概述

本文档适用于 Citrix Cloud 中托管的 Citrix Virtual Apps and Desktops 服务(Azure Standard 版本除外)。这包括 Citrix Virtual Apps Essentials 和 Citrix Virtual Desktops Essentials。(有关适用于 Azure 的 Citrix Virtual Apps and Desktops Standard,请参阅其安全性概述)。)

Citrix Cloud 管理 Citrix Virtual Apps and Desktops 环境的控制平面操作。这包括 Delivery Controller、管理控制台、SQL 数据库、许可证服务器以及(可选)StoreFront 和 Citrix Gateway(以前称为 NetScaler Gateway)。托管应用程序和桌面的 Virtual Delivery Agent (VDA) 在客户选择的数据中心(云或本地)中仍处于客户的控制之下。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。如果客户选择使用 Citrix Workspace,则同时可以选择使用 Citrix Gateway 服务来代替在其数据中心中运行 Citrix Gateway。下图说明了服务及其安全边界。

服务安全边界示意图

基于 Citrix Cloud 的合规性

截至 2021 年 1 月,尚未针对 Citrix SOC 2(类型 1 或 2)、ISO 27001、HIPAA 或其他云合规性要求评估 Citrix 托管 Azure 容量与各种 Citrix Virtual Apps and Desktops 服务版本以及 Workspace Premium Plus 的使用情况。请访问 Citrix Trust Center 了解有关 Citrix Cloud 认证的详细信息,并经常返回查看以获取更新。

数据流

VDA 不由服务托管,因此,预配所需的客户应用程序数据和映像将始终在客户设置中托管。控制平面有权访问元数据,例如用户名、计算机名称和应用程序快捷方式,但限制从控制平面访问客户的知识产权。

云与客户本地之间的数据流动使用安全的 TLS 连接通过端口 443 进行。

数据隔离

Citrix Virtual Apps and Desktops 服务仅存储代理和监视客户的应用程序和桌面所需的元数据。敏感信息(包括主映像、用户配置文件和其他应用程序数据)仍保留在客户本地,或者保留在其通过公有云供应商订阅的云中。

服务版本

Citrix Virtual Apps and Desktops 服务的功能因版本而异。例如,Citrix Virtual Apps Essentials 仅支持 Citrix Gateway 服务和 Citrix Workspace。请查阅产品文档,了解与支持的功能有关的更多信息。

凭据处理

此服务处理四种类型的凭据:

  • 用户凭据:使用客户管理的 StoreFront 时,Cloud Connector 使用使用 AES-256 加密方法以及为每次启动生成的随机一次性密钥加密用户凭据。此密钥永远不会传递到云,并且仅返回到 Citrix Workspace 应用程序。Citrix Workspace 应用程序之后会将此密钥传递到 VDA,以在会话启动过程中解密用户密码,从而实现单点登录体验。该流程如下图所示。

流图示意图

  • 管理员凭据:管理员针对 Citrix Cloud 进行身份验证。这将生成一个一次性签名的 JSON Web 令牌 (JWT),管理员通过该令牌将能够访问 Citrix Virtual Apps and Desktops 服务。
  • 虚拟机管理程序密码:需要密码进行身份验证的本地虚拟机管理程序具有管理员生成的、直接存储并在云中的 SQL 数据库中加密的密码。对等密钥由 Citrix 进行管理,以确保虚拟机管理程序仅对通过了身份验证的进程可用。
  • Active Directory (AD) 凭据:Machine Creation Services 使用 Cloud Connector 在客户的 AD 中创建计算机帐户。由于 Cloud Connector 的计算机帐户仅对 AD 具有读取访问权限,因此,每次执行计算机创建或删除操作时,系统都会提示管理员输入凭据。这些凭据仅存储在内存中,并且仅用于单个预配事件。

部署注意事项

Citrix 建议用户查阅已发布的最佳做法文档,了解在其环境中部署 Citrix Gateway 应用程序和 VDA 的相关信息。

Citrix Cloud Connector 网络访问要求

Citrix Cloud Connector 仅需要传输至 Internet 的端口 443 出站流量,并且可以托管在 HTTP 代理后面。

  • 在 Citrix Cloud 中为 HTTPS 使用的通信为 TLS。(请参阅弃用 TLS 版本。)
  • 在内部网络中,Cloud Connector 需要访问以下组件才能使用 Citrix Virtual Apps and Desktops 服务:
    • VDA:端口 80,入站和出站,以及 1494 和 2598 入站(如果使用 Citrix Gateway 服务)
    • StoreFront 服务器:端口 80,入站。
    • Citrix Gateway,如果配置为 STA:端口 80,入站。
    • Active Directory 域控制器
    • 虚拟机管理程序:仅限出站。有关特定端口,请参阅 Citrix 技术使用的通信端口

VDA 与 Cloud Connector 之间的流量使用 Kerberos 消息级安全性进行加密。

客户管理的 StoreFront

客户管理的 StoreFront 为部署体系结构提供更多安全配置选项以及更大的灵活性,包括本地维护用户凭据的功能。StoreFront 可以托管在 Citrix Gateway 后面,以提供安全的远程访问、执行多重身份验证以及添加其他安全功能。

Citrix Gateway 服务

如果使用 Citrix Gateway 服务,则不需要再在客户数据中心中部署 Citrix Gateway。

有关详细信息,请参阅Citrix Gateway 服务

Cloud Connector 与 Citrix Cloud 之间的所有 TLS 连接都从 Cloud Connector 启动到 Citrix Cloud。不需要任何入站防火墙端口映射。

XML 信任

XML 信任设置适用于使用以下对象的部署:

  • 本地 StoreFront。
  • 不需要密码的订阅者(用户)身份验证技术。此类技术的示例包括域直通、智能卡、SAML 和 Veridium 解决方案。

启用 XML 信任设置允许用户成功进行身份验证,然后启动应用程序。Cloud Connector 信任从 StoreFront 发送的凭据。仅当您已保护 Citrix Cloud Connector 与 StoreFront 之间的通信(使用防火墙、IPsec 或其他安全建议)时,才启用此设置。

默认情况下,禁用此设置。

使用 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 管理 XML 信任设置。

  • 要检查 XML 信任设置的当前值,请运行 Get-BrokerSite 并检查 TrustRequestsSentToTheXMLServicePort 的值。
  • 要启用 XML 信任,请运行 Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
  • 要禁用 XML 信任,请运行 Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false

弃用 TLS 版本

为了提高 Citrix Virtual Apps and Desktops 服务的安全性,Citrix 已自 2019 年 3 月 15 日起开始阻止通过传输层安全性 (TLS) 1.0 和 1.1 进行的任何通信。

从 Citrix Cloud Connector 到 Citrix Cloud 服务的所有连接都需要 TLS 1.2。

重要:

CTX247067 包含所有受影响的 Citrix Cloud 服务的最新的完整指南。

升级到最新的 Citrix Receiver 或 Citrix Workspace 应用程序

为确保从用户终端设备成功连接到 Citrix Workspace,已安装的 Citrix Receiver 版本必须等于或高于下表中列出的版本。

Receiver 版本
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0
Chrome/HTML5 最新版本(浏览器必须支持 TLS 1.2)

要升级到最新的 Citrix Receiver 版本,请转到 https://www.citrix.com/products/receiver/

或者,升级到使用 TLS 1.2 的 Citrix Workspace 应用程序。了解详情。要下载 Citrix Workspace 应用程序,请转到 https://www.citrix.com/downloads/workspace-app/

如果您必须继续使用 TLS 1.0 或 1.1(例如,使用基于较早版本的 Receiver for Linux 的瘦客户端),请在您的资源位置中安装 StoreFront,并让所有 Citrix Receiver 指向该 StoreFront。

更多信息

以下资源包含安全信息:

注意:

本文档的目的是向读者提供 Citrix Cloud 的安全功能的简介和概述,以及针对确保 Citrix Cloud 安全来定义 Citrix 与客户之间的职责划分。其目的不是用作 Citrix Cloud 或其任何组件或服务的配置和管理指导手册。