Citrix DaaS

技术安全性概述

安全性概述

本文档适用于 Citrix Cloud 中托管的 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)。此信息包括 Citrix Virtual Apps Essentials 和 Citrix Virtual Desktops Essentials。

Citrix Cloud 管理 Citrix DaaS 环境的控制平面操作。控制面板包括 Delivery Controller、管理控制台、SQL 数据库、许可证服务器以及(可选)StoreFront 和 Citrix Gateway(以前称为 NetScaler Gateway)。托管应用程序和桌面的 Virtual Delivery Agent (VDA) 在客户选择的数据中心(云或本地)中仍处于客户的控制之下。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。如果客户选择使用 Citrix Workspace,则同时可以选择使用 Citrix Gateway 服务来代替在其数据中心中运行 Citrix Gateway。下图说明了 Citrix DaaS 及其安全边界。

服务安全边界示意图

基于 Citrix Cloud 的合规性

截至 2021 年 1 月,尚未针对 Citrix SOC 2(类型 1 或 2)、ISO 27001、HIPAA 或其他云合规性要求评估 Citrix 托管 Azure 容量与各种 Citrix DaaS 版本以及 Workspace Premium Plus 的使用情况。请访问 Citrix Trust Center 了解有关 Citrix Cloud 身份验证的详细信息,并经常返回查看以获取更新。

数据流

Citrix DaaS 不托管 VDA,因此,预配所需的客户应用程序数据和映像将始终在客户设置中托管。控制平面有权访问元数据,例如用户名、计算机名称和应用程序快捷方式,但限制从控制平面访问客户的知识产权。

云与客户本地之间的数据流动使用安全的 TLS 连接通过端口 443 进行。

数据隔离

Citrix DaaS 仅存储代理和监视客户应用程序和桌面所需的元数据。敏感信息(包括映像、用户配置文件和其他应用程序数据)仍保留在客户本地,或者保留在其公有云供应商的订阅中。

服务版本

Citrix DaaS 的功能因版本而异。例如,Citrix Virtual Apps Essentials 仅支持 Citrix Gateway 服务和 Citrix Workspace。请查阅产品文档,了解与支持的功能有关的更多信息。

ICA 安全

Citrix DaaS 提供了多种选项来保护传输中的 ICA 流量。下面是可用的选项:

  • 基本加密: 默认设置。
  • SecureICA: 允许使用 RC5(128 位)加密对会话数据进行加密。
  • VDA TLS/DTL: 允许使用使用 TLS/DTL 的网络级加密。
  • 汇聚协议: 仅在使用 Citrix Gateway 服务时可用。使用汇聚协议时,ICA 会话使用 TLS/DTL 进行端到端加密。

基本加密

使用基本加密时,将对流量进行加密,如下图所示。

使用基本加密时的流量加密

SecureICA

使用 SecureICA 时,流量将被加密,如下图所示。

使用 SecureICA 的流量加密

注意:

使用适用于 HTML5 的 Workspace 应用程序时,不支持 SecureICA。

VDA TLS/DTL

使用 VDA TLS/DTL 加密时,流量将被加密,如下图所示。

使用 TLS/DTLS 时的流量加密

注意:

在没有汇聚的情况下使用网关服务时,VDA 与 Cloud Connector 之间的流量不会进行 TLS 加密,因为 Cloud Connector 不支持使用网络级加密连接到 VDA。

更多资源

有关 ICA 安全选项以及如何配置这些选项的详细信息,请参阅:

凭据处理

Citrix DaaS 处理四种类型的凭据:

  • 用户凭据:当用户使用其 Active Directory 用户名和密码向 Workspace 或 StoreFront 进行身份验证时,这些凭据会被存储以提供对 VDA 的单点登录。使用客户管理的 StoreFront 时,它们通常在发送到 DaaS 之前由连接器加密,有关详细信息,请参阅通过 StoreFront 访问客户端
  • 管理员凭据:管理员针对 Citrix Cloud 进行身份验证。身份验证将生成一个一次性签名的 JSON Web 令牌 (JWT),管理员通过该令牌将能够访问 Citrix DaaS。
  • 虚拟机管理程序密码:需要密码进行身份验证的本地虚拟机管理程序具有管理员生成的、在云中的 SQL 数据库中直接存储并加密的密码。Citrix 负责管理对等密钥,以确保虚拟机管理程序仅对通过了身份验证的进程可用。
  • Active Directory (AD) 凭据:Machine Creation Services 使用 Cloud Connector 在客户的 AD 中创建计算机帐户。由于 Cloud Connector 的计算机帐户仅对 AD 具有读取访问权限,因此,每次执行计算机创建或删除操作时,系统都会提示管理员输入凭据。这些凭据仅存储在内存中,并且仅用于单个预配事件。

部署注意事项

Citrix 建议用户查阅已发布的最佳做法文档,了解在其环境中部署 Citrix Gateway 应用程序和 VDA 的相关信息。

Cloud Connector

与 Citrix Cloud 通信

从 Citrix Cloud Connector 到 DaaS 和其他 Citrix Cloud 服务的所有连接都使用带有 TLS 1.2 的 HTTPS。

适用于 XML Service 和 STA 的 HTTPS

如果您使用本地 StoreFront 或 NetScaler Gateway,建议您在连接器上启用 HTTPS 并禁用 HTTP。有关详细信息,请参阅 HTTPS 配置

网络访问要求

除了 入站和出站端口配置中描述的端口外,Cloud Connector 还有以下网络访问要求:

  • Citrix Cloud Connector 仅需要传输至 Internet 的端口 443 出站流量,并且可以托管在 HTTP 代理后面。
  • 在内部网络中,Cloud Connector 需要访问以下组件才能使用 Citrix DaaS:
    • VDA:端口 80,入站和出站,以及 1494 和 2598 入站(如果使用 Citrix Gateway 服务)
    • StoreFront 服务器:如果使用 HTTPS(推荐)入站端口 443,如果使用 HTTP,则使用端口 80(不推荐)。
    • Citrix Gateways,如果配置为 STA:如果使用 HTTPS(推荐)入站端口 443(推荐),如果使用 HTTP,则使用端口 80(不推荐)。
    • Active Directory 域控制器
    • 虚拟机管理程序:仅限出站。有关特定端口,请参阅Citrix 技术使用的通信端口

VDA 与 Cloud Connector 之间的流量使用 Kerberos 消息级安全性进行加密。

安全密钥

您可以使用安全密钥来确保只有经过授权的 StoreFront 服务器和 Citrix Gateway 设备才能通过 Cloud Connector 连接到 DaaS。如果您启用了 XML 信任,这一点尤其重要。

客户访问权限

您可以通过 Citrix 托管的 Workspace 提供客户访问权限,也可以通过托管自己的 StoreFront 部署来提供客户访问权限。

用户可以使用 Citrix Workspace 应用程序或 Web 浏览器连接到 Workspace 或 StoreFront。有关 Citrix Workspace 应用程序的安全建议,请参阅每个平台的文档

通过工作区访问客户端

Citrix Workspace 是一项 Citrix 托管服务,它使客户应用程序无需任何内部基础架构即可访问 DaaS 资源。有关 Citrix Workspace 应用程序的支持版本和其他要求,请参阅 Workspace 系统要求。有关安全的信息,请参阅 Citrix Workspace 安全概述

通过 StoreFront 访问客户

作为 Workspace 的替代方案,您可以通过在本地环境中部署 Citrix StoreFront 来提供客户访问权限。这为部署架构提供了更大的安全配置选项和灵活性,包括在本地维护用户凭据的能力。StoreFront 服务器可以托管在 Citrix Gateway 后面,以提供安全的远程访问、强制执行多因素身份验证和添加其他安全功能。有关详细信息,请参阅保护您的 StoreFront 部署

用户凭据

如果用户使用其活动目录凭据向 StoreFront 进行了身份验证,则当用户启动应用程序时,StoreFront 会将凭据传递给 Cloud Connector。默认情况下,Cloud Connector 使用 AES-256 加密和每次启动时随机生成的一次性密钥对用户凭据进行加密。此密钥永远不会传递到云,并且仅返回到 Citrix Workspace 应用程序。Citrix Workspace 应用程序之后会将此密钥传递到 VDA,以在会话启动过程中解密用户密码,从而实现单点登录体验。下图显示了该流程。

显示密码流程的示意图

必须在客户端、网关、StoreFront 和连接器之间配置 HTTPS,以确保密码在网络内始终处于加密状态。

在默认行为下,由于 Citrix Cloud 无权访问凭据,因此它无法将凭据转发给其他 Cloud Connector 或 Connector 设备进行验证。如果您在没有信任关系的情况下使用多个域名,则这是必需的。您可以禁用此行为并允许将凭据上载到 Citrix Cloud,以便它可以将其转发到其他 Cloud Connector 和 Connector Appliance 进行验证。要对此进行配置,请使用带 参数 CredentialForwardingToCloudAllowed 的 DaaS PowerShell SDK cmdlet Set-Brokersite

使用 HTTPS 连接到 Cloud Connector

建议您将 StoreFront 配置为使用 HTTPS 连接到 Cloud Connector,以确保所有通信都经过加密。这要求您已为 XML Service 和 STA 启用 HTTPS。要将 StoreFront 配置为使用 HTTPS 进行连接,请参阅添加 Citrix 桌面即服务的资源源添加 Citrix Gateway 设备

XML 信任

默认情况下,当 StoreFront 连接到 DaaS 进行枚举和启动等操作时,StoreFront 必须通过用户的 Active Directory 凭据,以便 DaaS 可以对用户进行身份验证并检查用户的组成员资格。但是,当使用其他验证方法(例如域直通、智能卡或 SAML)时,StoreFront 没有活动目录密码。在这种情况下,必须启用“XML 信任”。启用 XML 信任后,DaaS 允许 StoreFront 在不验证用户密码的情况下代表用户执行操作,例如枚举和启动应用程序。在启用 XML 信任之前,使用安全密钥或其他机制(例如防火墙或 IPsec)来确保只有可信的 StoreFront 服务器才能连接到 Cloud Connector。

要在 Studio 中启用 XML 信任,请前往“设置”,然后打开“启用 XML 信任”。

要使用 Citrix DaaS SDK 检查 XML 信任的当前值,请运行 Get-BrokerSite 并检查 TrustRequestsSentToTheXMLServicePort 的值。

要使用 Citrix DaaS SDK 启用或禁用 XML 信任,请运行带参数 TrustRequestsSentToTheXMLServicePortSet-BrokerSite

Citrix Gateway 服务

如果使用 Citrix Gateway 服务,则不需要再在客户数据中心中部署 Citrix Gateway。

有关详细信息,请参阅 Citrix Gateway 服务

Cloud Connector 与 Citrix Cloud 之间的所有 TLS 连接都从 Cloud Connector 启动到 Citrix Cloud。不需要任何入站防火墙端口映射。

本地 NetScaler Gateway

您可以使用本地 NetScaler Gateway 来提供对资源的访问。网关必须能够访问 Cloud Connector 才能兑换 STA 票据。建议您将网关配置为使用 HTTPS 连接到 Cloud Connector,请参阅 XML Service 和 STA 的 HTTPS。如果您启用了安全密钥,则必须将网关配置为包含密钥。

更多信息

以下资源包含安全信息:

注意:

本文档的目的是向读者提供 Citrix Cloud 的安全功能的简介和概述,以及针对确保 Citrix Cloud 安全来定义 Citrix 与客户之间的职责划分。其目的不是用作 Citrix Cloud 或其任何组件或服务的配置和管理指导手册。