Citrix DaaS

Panoramica sulla sicurezza tecnica

Panoramica sulla sicurezza

Questo documento si applica a Citrix DaaS (in precedenza servizio Citrix Virtual Apps and Desktops) ospitato in Citrix Cloud. Queste informazioni includono Citrix Virtual Apps Essentials e Citrix Virtual Desktops Essentials.

Citrix Cloud gestisce il funzionamento del piano di controllo per gli ambienti Citrix DaaS. Il piano di controllo include i Delivery Controller, le console di gestione, il database SQL, il server delle licenze e, facoltativamente, StoreFront e Citrix Gateway (in precedenza NetScaler Gateway). I Virtual Delivery Agent (VDA) che ospitano le app e i desktop rimangono sotto il controllo del cliente nel data center di sua scelta, cloud o on-premise. Questi componenti sono connessi al servizio cloud utilizzando un agente chiamato Citrix Cloud Connector. Se i clienti scelgono di utilizzare Citrix Workspace, possono anche scegliere di utilizzare il servizio Citrix Gateway invece di eseguire Citrix Gateway all’interno del proprio data center. Il diagramma seguente illustra Citrix DaaS e i relativi limiti di sicurezza.

Immagine dei limiti di sicurezza del servizio

Conformità basata su cloud Citrix

Visita il Centro protezione Citrix per ulteriori informazioni sulle certificazioni Citrix Cloud e controlla frequentemente gli aggiornamenti.

Nota:

L’uso di Citrix Managed Azure Capacity con varie edizioni di Citrix DaaS e Universal Hybrid Multi-Cloud non è stato valutato per Citrix SOC 2 (Tipo 1 o 2), ISO 27001, HIPAA o altri requisiti di conformità al cloud.

Flusso di dati

Citrix DaaS non ospita i VDA, pertanto i dati e le immagini dell’applicazione del cliente necessari per il provisioning sono sempre ospitati nella configurazione del cliente. Il piano di controllo ha accesso ai metadati, come i nomi utente, i nomi dei computer e i collegamenti alle applicazioni, limitando l’accesso alla proprietà intellettuale del cliente dal piano di controllo.

Il flusso di dati tra il cloud e la sede del cliente utilizza connessioni TLS sicure sulla porta 443.

Isolamento dei dati

Citrix DaaS memorizza solo i metadati necessari per il brokering e il monitoraggio delle applicazioni e dei desktop del cliente. Le informazioni riservate, tra cui immagini, profili utente e altri dati dell’applicazione, rimangono presso la sede del cliente o nell’abbonamento del fornitore del cloud pubblico.

Edizioni del servizio

Le funzionalità di Citrix DaaS variano in base all’edizione. Ad esempio, Citrix Virtual Apps Essentials supporta solo il servizio Citrix Gateway e Citrix Workspace. Consulta la documentazione del prodotto per saperne di più sulle funzionalità supportate.

Sicurezza ICA

Citrix DaaS offre diverse opzioni per proteggere il traffico ICA in transito. Di seguito sono riportate le opzioni disponibili:

  • Crittografia di base: L’impostazione predefinita.
  • SecureICA: Consente di crittografare i dati della sessione utilizzando la crittografia RC5 (128 bit).
  • VDA TLS/DTLS: Consente l’utilizzo della crittografia a livello di rete tramite TLS/DTLS.
  • Protocollo di rendezvous: Disponibile solo quando si utilizza il servizio Citrix Gateway. Quando si utilizza il protocollo Rendezvous, le sessioni ICA vengono crittografate end-to-end utilizzando TLS/DTLS.

Crittografia di base

Quando si utilizza la crittografia di base, il traffico viene crittografato come illustrato nell’immagine seguente.

Crittografia del traffico quando si utilizza la crittografia di base

SicuroICA

Quando si utilizza SecureICA, il traffico viene crittografato come mostrato nel grafico seguente.

Crittografia del traffico con SecureICA

Nota:

SecureICA non è supportato quando si utilizza l’app Workspace per HTML5.

VDA TLS/DTLS

Quando si utilizza la crittografia TLS/DTLS VDA, il traffico viene crittografato come mostrato nell’immagine seguente.

Crittografia del traffico quando si utilizza TLS/DTLS

Nota:

Quando si utilizza il servizio gateway senza Rendezvous, il traffico tra il VDA e il connettore cloud non è crittografato TLS, perché il connettore cloud non supporta la connessione al VDA con crittografia a livello di rete.

Ulteriori risorse

Per ulteriori informazioni sulle opzioni di sicurezza ICA e su come configurarle, vedere:

Gestione delle credenziali

Citrix DaaS gestisce quattro tipi di credenziali:

  • Credenziali utente: quando gli utenti eseguono l’autenticazione a Workspace o StoreFront utilizzando il nome utente e la password di Active Directory, queste vengono memorizzate per fornire l’accesso Single Sign-On ai VDA. Quando si utilizza StoreFront gestito dal cliente, questi vengono in genere crittografati dal connettore prima dell’invio a DaaS, per ulteriori informazioni vedere Accesso client tramite StoreFront.
  • Credenziali amministratore: gli amministratori eseguono l’autenticazione su Citrix Cloud. L’autenticazione genera un token JSON Web Token (JWT) firmato una sola volta che consente all’amministratore di accedere a Citrix DaaS.
  • Password dell’hypervisor: gli hypervisor locali che richiedono una password per l’autenticazione hanno una password generata dall’amministratore che viene archiviata direttamente crittografata nel database SQL nel cloud. Citrix gestisce le chiavi peer per garantire che le credenziali dell’hypervisor siano disponibili solo per i processi autenticati.
  • Credenziali Active Directory (AD): Machine Creation Services utilizza Cloud Connector per la creazione di account computer in AD di un cliente. Poiché l’account del computer di Cloud Connector dispone solo dell’accesso in lettura ad AD, all’amministratore vengono richieste le credenziali per ogni operazione di creazione o eliminazione del computer. Queste credenziali vengono archiviate solo in memoria e vengono conservate solo per un singolo evento di provisioning.

Considerazioni sulla distribuzione

Citrix consiglia agli utenti di consultare la documentazione pubblicata sulle best practice per la distribuzione di applicazioni Citrix Gateway e VDA all’interno dei propri ambienti.

Connettori cloud

Comunicazione con Citrix Cloud

Tutte le connessioni da Citrix Cloud Connectors a DaaS e ad altri servizi Citrix Cloud utilizzano HTTPS con TLS 1.2.

HTTPS per il servizio XML e STA

Se si utilizzano gateway StoreFront o NetScaler locali, si consiglia di abilitare HTTPS e disabilitare HTTP sul connettore. Per ulteriori informazioni, vedere Configurazione HTTPS.

Requisiti di accesso alla rete

Oltre alle porte descritte all’indirizzo Configurazione delle porte in entrata e in uscita, i Cloud Connector hanno i seguenti requisiti di accesso alla rete:

  • I Citrix Cloud Connector richiedono solo il traffico in uscita della porta 443 verso Internet e possono essere ospitati dietro un proxy HTTP.
  • All’interno della rete interna, il Cloud Connector deve accedere a quanto segue per Citrix DaaS:
    • VDA: porta 80, sia in entrata che in uscita. più 1494 e 2598 in entrata se si utilizza il servizio Citrix Gateway
    • Server StoreFront: porta 443 in entrata se si utilizza HTTPS (consigliato) o porta 80 se si utilizza HTTP (non consigliato).
    • Citrix Gateways, se configurato come STA: porta 443 in entrata se si utilizza HTTPS (consigliato) o porta 80 se si utilizza HTTP (non consigliato).
    • Controller di dominio Active Directory
    • Hypervisor: solo in uscita. Vedere Porte di comunicazione utilizzate da Citrix Technologies per porte specifiche.

Il traffico tra i VDA e i Cloud Connector viene crittografato utilizzando la sicurezza a livello di messaggio Kerberos.

Chiavi di sicurezza

È possibile utilizzare Chiavi di sicurezza per garantire che solo i server StoreFront autorizzati e le appliance Citrix Gateway siano in grado di connettersi a DaaS tramite i connettori cloud. Ciò è particolarmente importante se è stata attivata Attendibilità XML.

Accesso client

È possibile fornire l’accesso client tramite Citrix hosted Workspace o ospitando il tuo Facciata spiegamento.

Gli utenti possono connettersi a Workspace o StoreFront utilizzando l’app Citrix Workspace o un browser Web. Per consigli sulla sicurezza per l’app Citrix Workspace, vedere la documentazione per ogni piattaforma.

Accesso client tramite Workspace

Area di lavoro Citrix è un servizio gestito di Citrix che consente alle applicazioni client di accedere alle risorse DaaS senza bisogno di alcuna infrastruttura on-premise. Per le versioni supportate dell’app Citrix Workspace e altri requisiti, vedere Requisiti di sistema dell’area di lavoro. Per informazioni sulla sicurezza, vedere Panoramica della sicurezza di Citrix Workspace.

Accesso client tramite StoreFront

In alternativa a Workspace, è possibile fornire l’accesso client distribuendo Citrix StoreFront nell’ambiente locale. Ciò offre maggiori opzioni di configurazione della sicurezza e flessibilità per l’architettura di distribuzione, inclusa la possibilità di mantenere le credenziali utente in locale. Il server StoreFront può essere ospitato dietro un Citrix Gateway per fornire un accesso remoto sicuro, applicare l’autenticazione a più fattori e aggiungere altre funzionalità di sicurezza. Per ulteriori informazioni, vedere Proteggi la tua distribuzione StoreFront.

Credenziali utente

Se l’utente ha eseguito l’autenticazione a StoreFront con le proprie credenziali di Active Directory, quando un utente avvia un’applicazione, StoreFront passa le credenziali a Cloud Connector. Per impostazione predefinita, Cloud Connector crittografa le credenziali utente utilizzando la crittografia AES e una chiave casuale una tantum generata per ogni avvio. La chiave non viene mai passata al cloud e restituita solo all’app Citrix Workspace. L’app Citrix Workspace passa quindi questa chiave al VDA per decrittografare la password dell’utente durante l’avvio della sessione per un’esperienza Single Sign-On. Il flusso è illustrato nella figura riportata di seguito.

Diagramma che mostra il flusso delle password

È importante configurare HTTPS tra il client, il gateway, la vetrina e il connettore per garantire che la password sia sempre crittografata all’interno della rete.

Con il comportamento predefinito, poiché Citrix Cloud non ha accesso alle credenziali, non è in grado di inoltrare le credenziali ad altri Cloud Connector o Connector Appliance per la convalida. Questa operazione è necessaria se si utilizzano più domini senza relazioni di trust. È possibile disabilitare questo comportamento e consentire il caricamento delle credenziali nel cloud Citrix in modo che possa inoltrarle ad altri connettori cloud e appliance connettore per la convalida. Per configurare questa opzione, usare il cmdlet DaaS PowerShell SDK Set-Brokersite con parametro CredentialForwardingToCloudAllowed.

Connessione ai connettori cloud tramite HTTPS

Si consiglia di configurare StoreFront per la connessione ai Cloud Connector tramite HTTPS per garantire che tutte le comunicazioni siano crittografate. Ciò richiede che tu abbia abilitato HTTPS per il servizio XML e STA. Per configurare StoreFront per la connessione tramite HTTPS, vedere Aggiungere feed di risorse per Citrix Desktops as a Service e Aggiungere l’appliance Citrix Gateway.

Attendibilità XML

Per impostazione predefinita, quando StoreFront si connette a DaaS per azioni come l’enumerazione e l’avvio, StoreFront deve passare attraverso le credenziali di Active Directory dell’utente in modo che DaaS possa autenticare l’utente e controllare l’appartenenza al gruppo dell’utente. Tuttavia, quando si utilizzano altri metodi di autenticazione come il pass-through del dominio, le smart card o SAML, StoreFront non dispone della password di Active Directory. In questo caso è necessario abilitare “XML Trust”. Con l’attendibilità XML abilitata, DaaS consente a StoreFront di eseguire azioni per conto di un utente, come l’enumerazione e l’avvio di applicazioni senza convalidare la password dell’utente. Prima di abilitare l’attendibilità XML, utilizzare Chiavi di sicurezza o un altro meccanismo, ad esempio firewall o IPsec, per garantire che solo i server StoreFront attendibili siano in grado di connettersi ai Cloud Connector.

Per abilitare l’attendibilità XML in Studio, vai a Impostazioni e accendi Abilita attendibilità XML.

Per utilizzare Citrix DaaS SDK per controllare il valore corrente dell’attendibilità XML, eseguire Get-BrokerSite e ispezionare il valore di TrustRequestsSentToTheXMLServicePort.

Per utilizzare Citrix DaaS SDK per abilitare o disabilitare l’attendibilità XML, eseguire Set-BrokerSite con parametro TrustRequestsSentToTheXMLServicePort.

Servizio Citrix Gateway

L’utilizzo del servizio Citrix Gateway evita la necessità di implementare Citrix Gateway all’interno dei data center dei clienti.

Per i dettagli, vedere Servizio Citrix Gateway.

Tutte le connessioni TLS tra Cloud Connector e Citrix Cloud vengono avviate da Cloud Connector a Citrix Cloud. Non è necessario alcun mapping delle porte del firewall in ingresso.

Gateway NetScaler on-premise

È possibile utilizzare un gateway NetScaler on-premise per fornire l’accesso alle risorse. Il gateway deve essere in grado di raggiungere i connettori cloud per riscattare i ticket STA. Si consiglia di configurare il gateway per la connessione ai Cloud Connector tramite HTTPS, vedere HTTPS per il servizio XML e STA. Se hai abilitato Chiavi di sicurezza È quindi necessario configurare il gateway in modo che includa le chiavi.

Ulteriori informazioni

Le risorse seguenti contengono informazioni sulla sicurezza:

Nota:

Questo documento ha lo scopo di fornire al lettore un’introduzione e una panoramica delle funzionalità di sicurezza di Citrix Cloud; e definire la divisione delle responsabilità tra Citrix e i clienti per quanto riguarda la sicurezza dell’implementazione di Citrix Cloud. Non è destinato a fungere da manuale di guida alla configurazione e all’amministrazione di Citrix Cloud o di qualsiasi suo componente o servizio.