Citrix DaaS

Visão geral da segurança técnica

Visão geral da segurança

Este documento se aplica ao Citrix DaaS (antigo serviço Citrix Virtual Apps and Desktops) hospedado no Citrix Cloud. Essas informações incluem o Citrix Virtual Apps Essentials e o Citrix Virtual Desktops Essentials.

O Citrix Cloud gerencia a operação do plano de controle para ambientes Citrix DaaS. O plano de controle inclui os Delivery Controllers, consoles de gerenciamento, banco de dados SQL, servidor de licenças e, opcionalmente, StoreFront e Citrix Gateway (anteriormente NetScaler Gateway). Os Virtual Delivery Agents (VDAs) que hospedam os aplicativos e desktops permanecem sob o controle do cliente no data center de sua escolha, seja na nuvem ou no local. Esses componentes são conectados ao serviço de nuvem usando um agente chamado Citrix Cloud Connector. Se os clientes optarem por usar o Citrix Workspace, eles também poderão optar por usar o Citrix Gateway Service em vez de executar o Citrix Gateway em seu data center. O diagrama a seguir ilustra o Citrix DaaS e seus limites de segurança.

Imagem de limites de segurança do serviço

Conformidade baseada em nuvem da Citrix

Visite o Central de Confiança da Citrix para obter mais informações sobre as certificações do Citrix Cloud e verifique com frequência as atualizações.

Observação:

O uso do Citrix Managed Azure Capacity com várias edições do Citrix DaaS e Universal Hybrid Multi-Cloud não foi avaliado para Citrix SOC 2 (Tipo 1 ou 2), ISO 27001, HIPAA ou outros requisitos de conformidade de nuvem.

Fluxo de dados

O Citrix DaaS não hospeda os VDAs, portanto, os dados e as imagens do aplicativo do cliente necessários para o provisionamento são sempre hospedados na configuração do cliente. O plano de controle tem acesso a metadados, como nomes de usuário, nomes de máquina e atalhos de aplicativos, restringindo o acesso à propriedade intelectual do cliente a partir do plano de controle.

Os dados que fluem entre a nuvem e as instalações do cliente usam conexões TLS seguras pela porta 443.

Isolamento de dados

O Citrix DaaS armazena apenas os metadados necessários para a intermediação e o monitoramento dos aplicativos e desktops do cliente. Informações confidenciais, incluindo imagens, perfis de usuário e outros dados de aplicativos, permanecem nas instalações do cliente ou na assinatura do fornecedor de nuvem pública.

Edições de serviço

Os recursos do Citrix DaaS variam de acordo com a edição. Por exemplo, o Citrix Virtual Apps Essentials oferece suporte apenas ao serviço Citrix Gateway e ao Citrix Workspace. Consulte a documentação do produto para saber mais sobre os recursos compatíveis.

Segurança ICA

O Citrix DaaS oferece várias opções para proteger o tráfego ICA em trânsito. A seguir estão as opções disponíveis:

  • Criptografia básica: A configuração padrão.
  • SecureICA: Permite criptografar dados de sessão usando criptografia RC5 (128 bits).
  • VDA TLS/DTLS: Permite usar criptografia no nível da rede usando TLS/DTLS.
  • Protocolo de encontro: Disponível somente ao usar o Citrix Gateway Service. Ao usar o protocolo Rendezvous, as sessões ICA são criptografadas de ponta a ponta usando TLS/DTLS.

Criptografia básica

Ao usar a criptografia básica, o tráfego é criptografado conforme mostrado no gráfico a seguir.

Criptografia de tráfego ao usar criptografia básica

SecureICA

Ao usar o SecureICA, o tráfego é criptografado conforme mostrado no gráfico a seguir.

Criptografia de tráfego ao usar o SecureICA

Observação:

O SecureICA não é compatível ao usar o aplicativo Workspace para HTML5.

VDA TLS/DTLS

Ao usar a criptografia VDA TLS/DTLS, o tráfego é criptografado conforme mostrado no gráfico a seguir.

Criptografia de tráfego ao usar TLS/DTLS

Observação:

Ao usar o Gateway Service sem Rendezvous, o tráfego entre o VDA e o Cloud Connector não é criptografado por TLS, pois o Cloud Connector não oferece suporte à conexão com o VDA com criptografia no nível da rede.

Mais recursos

Para obter mais informações sobre as opções de segurança do ICA e como configurá-las, consulte:

Tratamento de credenciais

O Citrix DaaS lida com quatro tipos de credenciais:

  • Credenciais do usuário: quando os usuários se autenticam no Workspace ou no StoreFront usando seu nome de usuário e senha do Active Directory, elas são armazenadas para fornecer logon único aos VDAs. Ao usar o StoreFront gerenciado pelo cliente, eles normalmente são criptografados pelo conector antes de serem enviados para o DaaS, para obter mais informações, consulte Acesso do cliente via StoreFront.
  • Credenciais de administrador: os administradores se autenticam no Citrix Cloud. A autenticação gera um JSON Web Token (JWT) assinado uma única vez que dá ao administrador acesso ao Citrix DaaS.
  • Senhas do hipervisor: os hipervisores locais que exigem uma senha para autenticação têm uma senha gerada pelo administrador que é armazenada diretamente criptografada no banco de dados SQL na nuvem. A Citrix gerencia chaves de pares para garantir que as credenciais do hipervisor estejam disponíveis apenas para processos autenticados.
  • Credenciais do Active Directory (AD): o Machine Creation Services usa o Cloud Connector para criar contas de computador no AD de um cliente. Como a conta do computador do Cloud Connector tem apenas acesso de leitura ao AD, o administrador é solicitado a fornecer credenciais para cada operação de criação ou exclusão do computador. Essas credenciais são armazenadas apenas na memória e são mantidas apenas para um único evento de provisionamento.

Considerações sobre implantação

A Citrix recomenda que os usuários consultem a documentação de práticas recomendadas publicada para implantar aplicativos e VDAs do Citrix Gateway em seus ambientes.

Conectores de nuvem

Comunicação com o Citrix Cloud

Todas as conexões do Citrix Cloud Connectors com o DaaS e outros serviços do Citrix Cloud usam HTTPS com TLS 1.2.

HTTPS para serviço XML e STA

Se você usar o StoreFront local ou NetScaler Gateways, é recomendável habilitar o HTTPS e desabilitar o HTTP no conector. Para obter mais informações, consulte Configuração HTTPS.

Requisitos de acesso à rede

Além das portas descritas em Configuração de portas de entrada e saída, os Cloud Connectors têm os seguintes requisitos de acesso à rede:

  • Os Citrix Cloud Connectors exigem apenas o tráfego de saída da porta 443 para a Internet e podem ser hospedados atrás de um proxy HTTP.
  • Na rede interna, o Cloud Connector precisa acessar o seguinte para o Citrix DaaS:
    • VDAs: Porta 80, de entrada e saída. mais 1494 e 2598 de entrada se estiver usando o serviço Citrix Gateway
    • Servidores StoreFront: porta 443 de entrada se estiver usando HTTPS (recomendado) ou porta 80 se estiver usando HTTP (não recomendado).
    • Citrix Gateways, se configurado como STA: porta 443 de entrada se estiver usando HTTPS (recomendado) ou porta 80 se estiver usando HTTP (não recomendado).
    • Controladores de domínio do Active Directory
    • Hipervisores: somente saída. Ver Portas de comunicação usadas pela Citrix Technologies para portas específicas.

O tráfego entre os VDAs e os Cloud Connectors é criptografado usando a segurança no nível da mensagem Kerberos.

Chaves de segurança

Você pode usar Chaves de segurança para garantir que apenas servidores StoreFront autorizados e dispositivos Citrix Gateway possam se conectar ao DaaS por meio dos conectores de nuvem. Isso é especialmente importante se você ativou Confiança XML.

Acesso do cliente

Você pode fornecer acesso ao cliente por meio de qualquer Citrix hospedado Área de trabalho ou hospedando o seu próprio Loja implantação.

Os usuários podem se conectar ao Workspace ou ao StoreFront usando o aplicativo Citrix Workspace ou um navegador da Web. Para obter recomendações de segurança para o aplicativo Citrix Workspace, consulte o documentação para cada plataforma.

Acesso do cliente via Workspace

Citrix Workspace é um serviço gerenciado da Citrix que permite que aplicativos cliente acessem recursos do DaaS sem precisar de nenhuma infraestrutura local. Para versões compatíveis do aplicativo Citrix Workspace e outros requisitos, consulte Requisitos do sistema do espaço de trabalho. Para obter informações sobre segurança, consulte Visão geral da segurança do Citrix Workspace.

Acesso do cliente via StoreFront

Como alternativa ao Workspace, você pode fornecer acesso de cliente implantando Vitrine Citrix em seu ambiente local. Isso oferece maiores opções de configuração de segurança e flexibilidade para arquitetura de implantação, incluindo a capacidade de manter as credenciais do usuário no local. O servidor StoreFront pode ser hospedado atrás de um Citrix Gateway para fornecer acesso remoto seguro, impor autenticação multifator e adicionar outros recursos de segurança. Para obter mais informações, consulte Proteja sua implantação do StoreFront.

Credenciais do usuário

Se o usuário tiver sido autenticado no StoreFront com suas credenciais do Active Directory, quando um usuário iniciar um aplicativo, o StoreFront passará as credenciais para o Cloud Connector. Por padrão, o Cloud Connector criptografa as credenciais do usuário usando criptografia AES e uma chave única aleatória gerada para cada inicialização. A chave nunca é passada para a nuvem e retornada apenas para o aplicativo Citrix Workspace. O aplicativo Citrix Workspace passa essa chave para o VDA para descriptografar a senha do usuário durante a inicialização da sessão para uma experiência de logon único. O fluxo é mostrado na figura a seguir.

Diagrama mostrando o fluxo de senhas

É importante que você configure o HTTPS entre o cliente, o gateway, a vitrine e o conector para garantir que a senha seja sempre criptografada em sua rede.

Com o comportamento padrão, como o Citrix Cloud não tem acesso às credenciais, ele não pode encaminhar as credenciais para outros Cloud Connectors ou Connector Appliances para validação. Isso será necessário se você usar vários domínios sem relações de confiança. Você pode desativar esse comportamento e permitir que as credenciais sejam carregadas na nuvem Citrix para que ela possa encaminhá-las para outros conectores de nuvem e dispositivos de conector para validação. Para configurar isso, use o cmdlet do SDK do PowerShell do DaaS Set-Brokersite com parâmetro CredentialForwardingToCloudAllowed.

Conectando-se a Cloud Connectors usando HTTPS

É recomendável configurar o StoreFront para se conectar aos Cloud Connectors usando HTTPS para garantir que toda a comunicação seja criptografada. Isso requer que você tenha habilitado HTTPS para serviço XML e STA. Para configurar o StoreFront para se conectar usando HTTPS, consulte Adicionar feeds de recursos para Citrix Desktops as a Service e Adicionar dispositivo Citrix Gateway.

Confiança XML

Por padrão, quando o StoreFront se conecta ao DaaS para ações como enumeração e inicialização, o StoreFront deve passar pelas credenciais do Active Directory do usuário para que o DaaS possa autenticar o usuário e verificar a associação de grupo do usuário. No entanto, ao usar outros métodos de autenticação, como passagem de domínio, cartões inteligentes ou SAML, o StoreFront não tem a senha do Active Directory. Nesse caso, você deve habilitar “XML Trust”. Com a confiança XML habilitada, o DaaS permite que o StoreFront execute ações em nome de um usuário, como enumerar e iniciar aplicativos sem validar a senha do usuário. Antes de habilitar a confiança XML, use Chaves de segurança ou outro mecanismo, como firewalls ou IPsec, para garantir que apenas servidores StoreFront confiáveis possam se conectar aos Cloud Connectors.

Para habilitar a confiança XML no Studio, vá para Configurações e ligue Habilitar confiança XML.

Para usar o Citrix DaaS SDK para verificar o valor atual da confiança XML, execute Get-BrokerSite e inspecionar o valor de TrustRequestsSentToTheXMLServicePort.

Para usar o Citrix DaaS SDK para ativar ou desativar a confiança XML, execute Set-BrokerSite com parâmetro TrustRequestsSentToTheXMLServicePort.

Serviço Citrix Gateway

O uso do serviço Citrix Gateway evita a necessidade de implantar o Citrix Gateway nos data centers do cliente.

Para obter detalhes, consulte Serviço Citrix Gateway.

Todas as conexões TLS entre o Cloud Connector e o Citrix Cloud são iniciadas do Cloud Connector para o Citrix Cloud. Nenhum mapeamento de porta de firewall de entrada é necessário.

Gateway NetScaler local

Você pode usar um gateway NetScaler local para fornecer acesso aos recursos. O Gateway deve ser capaz de acessar conectores de nuvem para resgatar tíquetes STA. É recomendável configurar o gateway para se conectar aos Cloud Connectors usando HTTPS, consulte HTTPS para serviço XML e STA. Se você ativou Chaves de segurança Em seguida, você deve configurar o gateway para incluir as chaves.

Mais informações

Os seguintes recursos contêm informações de segurança:

Observação:

Este documento destina-se a fornecer ao leitor uma introdução e uma visão geral da funcionalidade de segurança do Citrix Cloud; e definir a divisão de responsabilidade entre a Citrix e os clientes em relação à proteção da implantação do Citrix Cloud. Ele não se destina a servir como um manual de orientação de configuração e administração para o Citrix Cloud ou qualquer um de seus componentes ou serviços.