Distribuzione sicura di Director
Questo articolo evidenzia le aree che potrebbero avere un impatto sulla sicurezza del sistema durante la distribuzione e la configurazione di Director.
Configurare Microsoft Internet Information Services (IIS)
È possibile configurare Director con una configurazione IIS limitata.
Limiti di riciclo del pool di applicazioni
È possibile impostare i seguenti limiti di riciclo del pool di applicazioni:
- Virtual Memory Limit: 4,294,967,295
- Private Memory Limit: La dimensione della memoria fisica del server StoreFront™
- Request Limit: 4,000,000,000
Estensioni dei nomi di file
È possibile disabilitare le estensioni di nomi di file non elencate.
Director richiede queste estensioni di nomi di file nel filtro delle richieste:
- .aspx
- .css
- .html
- .js
- .png
- .svc
- .gif
- .json
- .woff
- .woff2
- .ttf
Director richiede i seguenti verbi HTTP nel filtro delle richieste. È possibile disabilitare i verbi non elencati.
- GET
- POST
- HEAD
Director non richiede:
- Filtri ISAPI
- Estensioni ISAPI
- Programmi CGI
- Programmi FastCGI
Importante:
- Director richiede Full Trust. Non impostare il livello di attendibilità .NET globale su Alto o inferiore.
- Director mantiene un pool di applicazioni separato. Per modificare le impostazioni di Director, selezionare il sito di Director e modificare.
Configurare i diritti utente
Quando Director è installato, ai suoi pool di applicazioni vengono concessi i seguenti diritti:
- Diritto di accesso Accesso come servizio
- Privilegi Regola quote di memoria per un processo, Genera audit di sicurezza e Sostituisci un token a livello di processo
I diritti e i privilegi menzionati sono un comportamento di installazione normale quando vengono creati i pool di applicazioni.
Non è necessario modificare questi diritti utente. Questi privilegi non sono utilizzati da Director e vengono automaticamente disabilitati.
Comunicazioni di Director
In un ambiente di produzione, utilizzare i protocolli IPsec (Internet Protocol security) o HTTPS per proteggere i dati che transitano tra Director e i server.
IPsec è un insieme di estensioni standard al protocollo Internet che fornisce comunicazioni autenticate e crittografate con integrità dei dati e protezione da replay. Poiché IPsec è un set di protocolli a livello di rete, i protocolli di livello superiore possono utilizzarlo senza modifiche. HTTPS utilizza i protocolli TLS (Transport Layer Security) per fornire una crittografia dei dati robusta.
Nota:
- Citrix® raccomanda vivamente di limitare l’accesso alla console di Director all’interno della rete intranet.
- Citrix raccomanda vivamente di non abilitare connessioni non protette a Director in un ambiente di produzione.
- Le comunicazioni sicure da Director richiedono una configurazione separata per ogni connessione.
- Il protocollo SSL non è consigliato. Utilizzare invece il protocollo TLS, più sicuro.
- Proteggere le comunicazioni con Citrix ADC utilizzando TLS, non IPsec.
Per proteggere le comunicazioni tra Director e i server Citrix Virtual Apps and Desktops (per il monitoraggio e i report), fare riferimento a Sicurezza dell’accesso ai dati.
Per proteggere le comunicazioni tra Director e Citrix ADC (per Citrix Insight), fare riferimento a Configurare l’analisi di rete.
Per proteggere le comunicazioni tra Director e il server licenze, fare riferimento a Proteggere la console di amministrazione delle licenze.
Separazione della sicurezza di Director
È possibile distribuire qualsiasi applicazione web nello stesso dominio web (nome di dominio e porta) di Director. Tuttavia, eventuali rischi per la sicurezza in tali applicazioni web possono potenzialmente ridurre la sicurezza della distribuzione di Director. Laddove sia richiesto un maggiore grado di separazione della sicurezza, Citrix raccomanda di distribuire Director in un dominio web separato.