Citrix DaaS

Panoramica sulla sicurezza tecnica

Panoramica sulla sicurezza

Questo documento si applica a Citrix DaaS (in precedenza chiamato servizio Citrix Virtual Apps and Desktops) ospitato in Citrix Cloud. Queste informazioni includono Citrix Virtual Apps Essentials e Citrix Virtual Desktops Essentials.

Citrix Cloud gestisce il funzionamento del piano di controllo per gli ambienti Citrix DaaS. Il piano di controllo include i Delivery Controller, le console di gestione, il database SQL, il server delle licenze e, facoltativamente, StoreFront e Citrix Gateway (in precedenza chiamato NetScaler Gateway). I Virtual Delivery Agent (VDA) che ospitano le app e i desktop rimangono sotto il controllo del cliente nel data center di sua scelta, cloud o locale. Questi componenti sono collegati al servizio cloud tramite un agente chiamato Citrix Cloud Connector. Se i clienti scelgono di utilizzare Citrix Workspace, possono anche scegliere di utilizzare il servizio Citrix Gateway invece di eseguire Citrix Gateway all’interno del proprio data center. Il seguente diagramma illustra Citrix DaaS e i suoi limiti di sicurezza.

Immagine dei limiti di sicurezza del servizio

Conformità basata su cloud Citrix

A partire da gennaio 2021, l’utilizzo di Citrix Managed Azure Capacity con varie edizioni di Citrix DaaS e Workspace Premium Plus non è stato valutato per Citrix SOC 2 (Tipo 1 o 2), ISO 27001, HIPAA o altri requisiti di conformità cloud. Visitare il Citrix Trust Center per ulteriori informazioni sulle certificazioni Citrix Cloud e controllare frequentemente gli aggiornamenti.

Flusso di dati

Citrix DaaS non ospita i VDA, pertanto i dati e le immagini delle applicazioni del cliente richiesti per il provisioning sono sempre ospitati nella configurazione del cliente. Il piano di controllo ha accesso ai metadati, come nomi utente, nomi di macchine e collegamenti alle applicazioni, limitando l’accesso alla proprietà intellettuale del cliente dal piano di controllo.

Il flusso di dati tra il cloud e la sede del cliente utilizza connessioni TLS sicure sulla porta 443.

Isolamento dei dati

Citrix DaaS memorizza solo i metadati necessari per l’intermediazione e il monitoraggio delle applicazioni e dei desktop del cliente. Le informazioni sensibili, tra cui immagini, profili utente e altri dati delle applicazioni, rimangono nella sede del cliente o nella sottoscrizione con un fornitore di cloud pubblico.

Versioni del servizio

Le funzionalità di Citrix DaaS variano a seconda dell’edizione. Ad esempio, Citrix Virtual Apps Essentials supporta solo il servizio Citrix Gateway e Citrix Workspace. Consulta la documentazione del prodotto per ulteriori informazioni sulle funzionalità supportate.

Sicurezza ICA

Citrix DaaS offre diverse opzioni per proteggere il traffico ICA in transito. Di seguito sono riportate le opzioni disponibili:

  • Crittografia di base: impostazione predefinita.
  • SecureICA: consente di crittografare i dati delle sessioni utilizzando la crittografia RC5 (128 bit).
  • VDA TLS/DTLS: consente di utilizzare la crittografia a livello di rete utilizzando TLS/DTLS.
  • Protocollo Rendezvous: disponibile solo quando si utilizza il servizio Citrix Gateway. Quando si utilizza il protocollo Rendezvous, le sessioni ICA vengono crittografate end-to-end utilizzando TLS/DTLS.

Crittografia di base

Quando si utilizza la crittografia di base, il traffico viene crittografato come illustrato nella figura seguente.

Crittografia del traffico utilizzando la crittografia di base

SecureICA

Quando si utilizza SecureICA, il traffico viene crittografato come illustrato nella figura seguente.

Crittografia del traffico con SecureICA

Nota:

SecureICA non è supportato quando si utilizza l’app Workspace per HTML5.

VDA TLS/DTLS

Quando si utilizza la crittografia VDA TLS/DTLS, il traffico viene crittografato come illustrato nella figura seguente.

Crittografia del traffico quando si utilizza TLS/DTLS

Nota:

Quando si utilizza il servizio Gateway senza Rendezvous, il traffico tra VDA e Cloud Connector non è crittografato tramite TLS, poiché il Cloud Connector non supporta la connessione al VDA con crittografia a livello di rete.

Altre risorse

Per ulteriori informazioni sulle opzioni di sicurezza ICA e su come configurarle, vedere:

Gestione delle credenziali

Citrix DaaS gestisce quattro tipi di credenziali:

  • Credenziali utente: quando si utilizza uno StoreFront gestito dal cliente, Cloud Connector crittografa le credenziali utente utilizzando la crittografia AES-256 e una chiave casuale monouso generata per ogni avvio. La chiave non viene mai trasferita al cloud e viene restituita solo all’app Citrix Workspace. L’app Citrix Workspace trasferisce quindi questa chiave al VDA per decrittografare la password utente durante l’avvio della sessione per un’esperienza Single Sign-On. Il flusso è illustrato nella figura riportata di seguito.

    Per impostazione predefinita, le credenziali utente non vengono inoltrate attraverso confini di domini non attendibili. Se un VDA e StoreFront sono installati in un dominio e un utente che si trova in un dominio diverso tenta di connettersi al VDA, il tentativo di accesso fallisce a meno che non venga stabilita l’attendibilità tra i domini. È possibile disabilitare questo comportamento e consentire l’inoltro delle credenziali tra domini non attendibili utilizzando l’SDK PowerShell per DaaS. Per ulteriori informazioni, vedere Set-Brokersite.

    Immagine della figura di flusso

  • Credenziali dell’amministratore: gli amministratori si autenticano con Citrix Cloud. L’autenticazione genera un JSON Web Token (JWT) firmato una tantum che fornisce all’amministratore l’accesso a Citrix DaaS.
  • Password dell’hypervisor: gli hypervisor on-premise che richiedono una password per l’autenticazione dispongono di una password generata dall’amministratore che è direttamente archiviata e crittografata nel database SQL nel cloud. Citrix gestisce le chiavi peer per garantire che le credenziali dell’hypervisor siano disponibili solo per i processi autenticati.
  • Credenziali di Active Directory (AD): Machine Creation Services utilizza Cloud Connector per la creazione di account delle macchine nell’AD di un cliente. Poiché l’account della macchina di Cloud Connector dispone solo dell’accesso in lettura ad AD, all’amministratore vengono richieste le credenziali per ogni operazione di creazione o eliminazione di macchine. Queste credenziali vengono archiviate solo nella memoria e vengono conservate solo per un singolo evento di provisioning.

Considerazioni sulla distribuzione

Citrix consiglia agli utenti di consultare la documentazione sulle procedure consigliate pubblicata per la distribuzione di applicazioni Citrix Gateway e VDA nei propri ambienti.

Requisiti di accesso alla rete di Citrix Cloud Connector

I Citrix Cloud Connector richiedono solo il traffico in uscita della porta 443 verso Internet e possono essere ospitati dietro un proxy HTTP.

  • La comunicazione utilizzata in Citrix Cloud per HTTPS è TLS (vedere Deprecazione delle versioni TLS).
  • Nell’ambito della rete interna, il Cloud Connector deve accedere a quanto segue per Citrix DaaS:
    • VDA: porta 80, sia in entrata che in uscita, oltre alle porte 1494 e 2598 in entrata se si utilizza il servizio Citrix Gateway
    • Server StoreFront: porta 80 in entrata.
    • Citrix Gateway, se configurati come STA: porta 80 in entrata.
    • Controller di dominio di Active Directory
    • Hypervisor: solo in uscita. Vedere Porte di comunicazione utilizzate da Citrix Technologies per le porte specifiche.

Il traffico tra i VDA e i Cloud Connector viene crittografato utilizzando la sicurezza Kerberos a livello di messaggio.

StoreFront gestito dal cliente

Uno StoreFront gestito dal cliente offre maggiori opzioni di configurazione di sicurezza e flessibilità per l’architettura di distribuzione, inclusa la possibilità di mantenere le credenziali utente in locale. Lo StoreFront può essere ospitato dietro Citrix Gateway per fornire un accesso remoto sicuro, applicare l’autenticazione a più fattori e aggiungere altre funzionalità di sicurezza.

Servizio Citrix Gateway

L’utilizzo del servizio Citrix Gateway evita la necessità di implementare Citrix Gateway nei data center dei clienti.

Per ulteriori informazioni, vedere Servizio Citrix Gateway.

Tutte le connessioni TLS tra Cloud Connector e Citrix Cloud vengono avviate da Cloud Connector a Citrix Cloud. Non è richiesta la mappatura delle porte del firewall in entrata.

Attendibilità XML

Questa impostazione è disponibile in Full Configuration > Settings > Enable XML trust (Configurazione completa > Impostazioni > Abilita attendibilità XML) ed è disattivata per impostazione predefinita. In alternativa, è possibile utilizzare Citrix DaaS Remote PowerShell SDK per gestire l’attendibilità XML.

L’attendibilità XML si applica alle distribuzioni che utilizzano:

  • StoreFront locale.
  • Tecnologia di autenticazione degli abbonati (utenti) che non richiede password. Esempi di tali tecnologie sono le soluzioni mediante pass-through di dominio, smart card, SAML e Veridium.

L’abilitazione dell’impostazione di attendibilità XML consente agli utenti di autenticare e quindi avviare correttamente le applicazioni. Cloud Connector considera attendibili le credenziali inviate da StoreFront. Attivare l’attendibilità XML solo quando sono state protette le comunicazioni tra i Citrix Cloud Connector e StoreFront (utilizzando firewall, IPsec o altri sistemi di protezione consigliati).

Questa impostazione è disabilitata per impostazione predefinita.

Utilizzare l’SDK Remote PowerShell Citrix DaaS per gestire l’attendibilità XML.

  • Per verificare il valore corrente dell’attendibilità XML, eseguire Get-BrokerSite ed esaminare il valore di TrustRequestsSentToTheXMLServicePort.
  • Per abilitare l’attendibilità XML, eseguire Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
  • Per disattivare l’attendibilità XML, eseguire Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false

Applicare il traffico HTTPS o HTTP

Per applicare il traffico HTTPS o HTTP tramite il servizio XML, configurare uno dei seguenti set di valori del Registro di sistema su ciascuno dei Cloud Connector.

Dopo aver configurato le impostazioni, riavviare il servizio Remote Broker Provider su ciascun Cloud Connector.

In HKLM\Software\Citrix\DesktopServer\:

  • Per applicare il traffico HTTPS (ignorare HTTP): impostare XmlServicesEnableSsl su 1 e XmlServicesEnableNonSsl su 0.
  • Per applicare il traffico HTTP (ignorare HTTPS): impostare XmlServicesEnableNonSsl su 1 e XmlServicesEnableSsl su 0.

Deprecazione delle versioni TLS

Per migliorare la sicurezza di Citrix DaaS, Citrix ha iniziato a bloccare qualsiasi comunicazione su Transport Layer Security (TLS) 1.0 e 1.1 a partire dal 15 marzo 2019.

Tutte le connessioni ai servizi Citrix Cloud da Citrix Cloud Connector richiedono TLS 1.2.

Per garantire la corretta connessione a Citrix Workspace dai dispositivi degli utenti, la versione installata di Citrix Receiver deve essere uguale o più recente rispetto alle versioni successive.

Receiver Versione
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0
Chrome/HTML5 Più recente (il browser deve supportare TLS 1.2)

Per eseguire l’aggiornamento alla versione più recente di Citrix Receiver, andare alla pagina https://www.citrix.com/products/receiver/.

In alternativa, eseguire l’aggiornamento all’app Citrix Workspace, che utilizza TLS 1.2. Per scaricare l’app Citrix Workspace, andare alla pagina https://www.citrix.com/downloads/workspace-app/.

Se è necessario continuare a utilizzare TLS 1.0 o 1.1 (ad esempio, con un thin client basato su una versione precedente di Receiver per Linux), installare uno StoreFront nella posizione risorsa. Quindi, fare in modo che tutti i Citrix Receiver puntino a esso.

Ulteriori informazioni

Le seguenti risorse contengono informazioni sulla sicurezza:

Nota:

Questo documento ha lo scopo di fornire al lettore un’introduzione e una panoramica delle funzionalità di sicurezza di Citrix Cloud e di definire la divisione di responsabilità tra Citrix e i clienti per quanto riguarda la sicurezza della distribuzione di Citrix Cloud. Non è destinato a fungere da manuale con linee guida per la configurazione e amministrazione per Citrix Cloud o per uno qualsiasi dei relativi componenti o servizi.