Product Documentation

XenApp 部署的安全注意事项

Dec 10, 2015

本文将讨论适用于 Citrix XenApp 6.5 for Microsoft Windows Server 2008 R2 的安全标准。 这些主题提供了适用于 XenApp 部署的标准概述,并介绍了确保跨 XenApp 部署示例集进行通信的安全问题。 更多关于各安全功能的详细信息,请参阅相关产品或组件文档。

在大型组织中(特别是在政府环境中)部署 XenApp 时,安全标准是重要的考虑因素。 例如,美国和其他地方的许多政府机构都会指定首选安全标准或要求应用程序符合联邦信息处理标准 (Federal Information Processing Standards, FIPS) 140。 这些主题将讨论与此类环境相关的常见问题。

XenApp 6.5 安全标准的新增内容

6.5 版本修改了多种 XenApp 功能,以便符合新的 FIPS 140 准则(2010 版)。

  • SHA-256 哈希算法 -
    • Citrix Streaming Profiler 现在在配置文件中创建了每个文件的 SHA-256 值。 启用与旧版脱机插件 6.0.x 的向后兼容功能后,脱机插件可以验证包含 SHA-256 和 SHA-1 哈希值的配置文件的完整性。 有关详细信息,请参阅支持旧版插件
    • SmartAuditor 现在创建了所保存会话的 SHA-256 值。 为实现向后兼容功能,如果会话的完整性校验和是使用 SHA-256 或 SHA-1 计算的,则 SmartAuditor 播放器可以验证此类会话的完整性。
  • 2048 位 RSA 键 -
    • IMA 加密功能现在创建了 2048 位 RSA 键。
    • 此类键中包含大小和算法信息,可以由支持 IMA 加密功能的任何 XenApp 版本进行导入。
    • 只有在执行全新安装过程中或手动更改时才会生成 IMA 加密 RSA 键。 如果在一台服务器上替换了 RSA 键,则必须在所有服务器上替换该键。 因此,不存在因混合场而引发的问题。
    • 应用程序流技术推送支持包含 2048 位 RSA 键的证书。

服务器场

服务器场是指能够作为单个实体(从 Delivery Services 控制台)管理的 XenApp 服务器的集合。 一台服务器可以仅属于一个场,但一个场可以包含来自多个域的服务器。 服务器场的设计必须在两个目标之间实现平衡:
  • 向用户提供可能的最快应用程序访问速度
  • 实现所需的集中管理和网络安全性程度

Independent Computing Architecture (ICA)

XenApp 通过 Citrix 开发的 Independent Computing Architecture (ICA) 向本地用户和远程用户提供基于服务器的计算。 ICA 是服务器和客户端设备在 XenApp 环境中交换数据时使用的通信协议。 ICA 已优化,增强了此交换的交付和性能,甚至在低带宽连接条件下也能实现。

由于应用程序在服务器上运行,因此,XenApp 将解释应用程序的显示数据,并使用 ICA 协议将此数据(在标准网络协议上)发送到用户的客户端设备上运行的 Citrix Receiver 软件。 用户在键盘上键入或移动并单击鼠标时,Citrix Receiver 软件会将生成的数据发送到服务器上运行的应用程序以进行处理。

ICA 需要的客户端工作站功能最少,并且包括错误检测和恢复、加密以及数据压缩。

注意:HDX Flash 重定向技术可能会在独立的 TCP 连接中在 ICA 协议外部通过流技术推送 Flash 内容。 有关详细信息,请参阅配置 HDX MediaStream Flash 重定向

Web Interface

在包括 Web Interface 的 XenApp 部署中,请为运行 Web Interface 的服务器与运行 Web 浏览器(和 Citrix Receiver 软件)的客户端设备之间的通信使用 HTTPS。

SSL Relay 和 Secure Gateway

在 XenApp 部署中,管理员可以使用以下组件配置加密:

  • SSL Relay - 集成到 XenApp 中的一个组件
  • Secure Gateway - XenApp 安装介质中提供的一个独立组件

有关详细信息,请参阅 SSL/TLS 协议

虚拟通道

下表显示了可以对 XenApp 使用哪些 Citrix Independent Computing Architecture (ICA) 虚拟通道或虚拟通道的组合进行身份验证,或者用于应用程序签名和加密方法。

注意:下表仅适用于 XenApp,不适用于 Citrix Single Sign-On。
  核心 ICA 协议(无虚拟通道) 智能卡虚拟通道 Kerberos 虚拟通道
智能卡身份验证   * *
生物1身份验证     *
密码身份验证 *   *
应用程序签名/加密   *  
1 需要对第三方设备进行生物身份验证。

其他安全功能

可以将以下产品与 XenApp 结合使用以提供额外的安全性。 示例部署中不包括这些额外的安全措施。

使用 SecureICA 的 ICA 加密

使用 SecureICA 的 ICA 加密集成在 XenApp 中。 通过 SecureICA,您可以使用高达 128 位的加密来保护在 XenApp 服务器与用户的客户端设备之间发送的信息。 但请注意,SecureICA 不使用 FIPS 140 兼容算法,这一点非常重要。 如果这会带来问题,请将 XenApp 服务器和插件配置为避免使用 SecureICA。

使用 RSA SecurID 的 Web Interface 身份验证

可以使用第三方产品 RSA SecurID 作为 Internet Information Services 上运行的 Web Interface 的身份验证方法。 如果启用了 RSA SecurID,用户必须使用其凭据(用户名、密码和域)以及 SecurID 通行码进行登录。 该通行码的组成方式为 PIN 后跟令牌代码(用户的 RSA SecurID 令牌上显示的数字)。

RSA SecurID 支持 XenApp 和 Citrix Single Sign-On 上的身份验证。

使用 SafeWord 的 Web Interface 身份验证

可以使用第三方产品 Aladdin SafeWord 作为 Internet Information Services 上运行的 Web Interface 的身份验证方法。 如果启用了 SafeWord,用户必须使用其凭据(用户名、密码和域)以及 SafeWord 通行码进行登录。 该通行码是由用户的 SafeWord 令牌上显示的代码组成的,代码可以后跟 PIN。

SafeWord 支持 XenApp 上的身份验证,但不支持 Single Sign-On 上的身份验证。