技术安全概述

安全概述

本文档适用于在Citrix Cloud上托管的Citrix DaaS(原Citrix Virtual Apps and台式机服务)。此信息包括Citrix Virtual Apps Essentials和Citrix Virtual desktop Essentials。

Citrix Cloud负责为Citrix DaaS环境管理控制平面的操作。控制平面包括交付控制器、管理控制台、SQL数据库、许可证服务器，以及可选的StoreFront和Citrix网关(以前的NetScaler网关)。托管应用程序和桌面的虚拟交付代理(vda)仍然处于客户选择的数据中心(云或本地)的控制之下。这些组件使用名为Citrix cloud Connector的代理连接到云服务。如果客户选择使用Citrix Workspace，他们也可以选择使用Citrix Gateway Service，而不是在他们的数据中心内运行Citrix Gateway。下图说明了Citrix DaaS及其安全边界。

思杰基于云的遵从性

截至2021年1月，Citrix Managed Azure Capacity与各种Citrix DaaS版本和Workspace Premium Plus的使用尚未针对Citrix SOC 2 (Type 1或2)、ISO 27001、HIPAA或其他云合规要求进行评估。参观思杰信托中心了解更多关于思杰云认证的信息，并经常回来查看更新。

数据流

Citrix DaaS不托管vda，因此供应所需的客户应用程序数据和映像始终托管在客户设置中。控制平面可以访问用户名、机器名、应用快捷方式等元数据，限制了控制平面对客户知识产权的访问。

云和客户场所之间的数据流使用端口443上的安全TLS连接。

数据隔离

Citrix DaaS只存储代理和监控客户应用程序和桌面所需的元数据。敏感信息(包括图像、用户配置文件和其他应用程序数据)保留在客户内部或其公共云供应商的订阅中。

服务版本

Citrix DaaS的功能因版本而异。例如，Citrix Virtual Apps Essentials只支持Citrix Gateway服务和Citrix Workspace服务。请查阅该产品文档，了解有关支持的特性的更多信息。

ICA安全

Citrix DaaS为确保ICA流量的传输提供了几种选择。以下是可用的选项:

• 基本的加密:默认设置。
• SecureICA:允许使用RC5(128位)加密会话数据。
• VDA TLS /迪泰:允许使用TLS/DTLS使用网络级加密。
• 对接协议:仅在使用Citrix网关服务时可用。当使用Rendezvous协议时，ICA会话使用TLS/DTLS进行端到端加密。

基本的加密

使用基本加密时，流量加密如下图所示。

SecureICA

使用SecureICA时，流量被加密，如下图所示。

注意:

当使用HTML5的工作区应用程序时，不支持SecureICA。

VDA TLS /迪泰

使用VDA TLS/DTLS加密时，流量加密如下图所示。

注意:

当使用没有交会的网关服务时，VDA和云连接器之间的流量不是TLS加密的，因为云连接器不支持使用网络级加密连接到VDA。

更多的资源

有关ICA安全选项以及如何配置这些选项的详细信息，请参见:

• SecureICA:安全策略设置
• VDA TLS /迪泰:传输层安全
• 对接协议:对接协议

凭证处理

Citrix DaaS处理四种类型的凭据:

• 用户凭据:当使用客户管理的StoreFront时，云连接器使用AES-256加密和为每次启动生成的随机一次性密钥加密用户凭据。密钥永远不会传递到云中，而只返回到Citrix Workspace应用程序。然后，Citrix Workspace应用程序将此密钥传递给VDA，以在会话启动期间解密用户密码，以获得单点登录体验。流程如下图所示。

  默认情况下，用户凭据不会跨不受信任的域边界转发。如果VDA和StoreFront安装在一个域中，并且不同域中的用户试图连接VDA，则登录尝试失败，除非在域之间建立信任。您可以使用DaaS PowerShell SDK禁用此行为并允许凭据在不受信任的域之间转发。有关更多信息，请参见Set-Brokersite．

  

• 管理员凭据:管理员根据Citrix Cloud进行身份验证。身份验证生成一次性签名的JSON Web令牌(JWT)，它使管理员能够访问Citrix DaaS。
• 虚拟化环境密码:需要密码认证的本地虚拟化环境具有管理员生成的密码，该密码直接加密存储在云中的SQL数据库中。Citrix管理对等密钥，以确保hypervisor凭据仅对经过身份验证的进程可用。
• Active Directory (AD)凭据:机器创建服务使用云连接器在客户的AD中创建机器帐户。由于Cloud Connector的机器帐户只有对AD的读访问权限，因此每次机器创建或删除操作都会提示管理员输入凭据。这些凭证仅存储在内存中，并且仅用于单个供应事件。

部署注意事项

Citrix建议用户查阅已发布的最佳实践文档，以便在其环境中部署Citrix Gateway应用程序和vda。

Citrix Cloud Connector网络接入要求

Citrix云连接器只需要端口443到internet的出站流量，并且可以托管在HTTP代理之后。

• Citrix Cloud对HTTPS使用的通信是TLS。(见弃用TLS版本.）
• 在内部网络中，云连接器需要访问Citrix DaaS的以下内容:
  • vda:端口80，包括入站和出站。如果使用Citrix Gateway服务，则加1494和2598入站
  • StoreFront服务器:端口80入站。
  • Citrix网关，如果配置为STA:端口80入站。
  • Active Directory域控制器
  • 管理程序:仅限出站。看到Citrix Technologies使用的通信端口针对特定端口。

vda和Cloud connector之间的流量使用Kerberos消息级安全性进行加密。

Customer-managed店面

客户管理的StoreFront为部署架构提供了更大的安全配置选项和灵活性，包括在本地维护用户凭据的能力。StoreFront可以托管在Citrix网关后面，以提供安全的远程访问，强制多因素身份验证，并添加其他安全特性。

Citrix网关服务

使用Citrix Gateway服务可以避免在客户数据中心内部署Citrix Gateway。

有关详情，请参阅Citrix网关服务．

云连接器和思杰云之间的所有TLS连接都是从云连接器向思杰云发起的。防火墙绑定端口不需要映射。

XML的信任

中提供此设置完整配置>设置>启用XML信任默认情况下是禁用的。或者，您可以使用Citrix DaaS Remote PowerShell SDK来管理XML信任。

XML信任适用于以下部署:

• 一个本地店面。
• 一种不需要密码的订阅者(用户)身份验证技术。此类技术的示例包括域直通、智能卡、SAML和Veridium解决方案。

启用XML信任允许用户成功地进行身份验证，然后启动应用程序。云连接器信任从StoreFront发送的凭据。只有当您在Citrix Cloud Connectors和StoreFront之间进行了安全通信(使用防火墙、IPsec或其他安全建议)时，才启用XML信任。

默认情况下禁用此设置。

使用Citrix DaaS Remote PowerShell SDK来管理XML信任。

• 要检查XML信任当前值，请运行Get-BrokerSite并检查的值TrustRequestsSentToTheXMLServicePort．
• 要启用XML信任，请运行Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
• 要禁用XML信任，请运行Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false

强制HTTPS或HTTP流量

要通过XML服务强制HTTPS或HTTP通信，请在每个云连接器上配置以下注册表值集之一。

配置设置后，在每个云连接器上重新启动远程代理提供程序服务。

在HKLM \ Software \ Citrix \ DesktopServer \：

• 强制HTTPS(忽略HTTP)流量:设置XmlServicesEnableSsl来1,XmlServicesEnableNonSsl来0．
• 强制HTTP(忽略HTTPS)流量:设置XmlServicesEnableNonSsl来1,XmlServicesEnableSsl来0．

弃用TLS版本

为了提高Citrix DaaS的安全性，自2019年3月15日起，Citrix开始阻止任何基于传输层安全(TLS) 1.0和1.1的通信。

所有从思杰云连接器到思杰云服务的连接都需要TLS 1.2。

为确保从用户设备成功连接到Citrix Workspace，已安装的Citrix Receiver版本必须等于或高于以下版本。

接收机	版本
窗户	4.2.1000
Mac	12.0
Linux	13.2
安卓	3.7
iOS	7.0
Chrome / HTML5	最新版本(浏览器必须支持TLS 1.2)

升级到最新版本的Citrix Receiver，请执行//m.giftsix.com/products/receiver/．

或者，升级到Citrix Workspace应用程序，它使用TLS 1.2。要下载Citrix Workspace应用程序，请转到//m.giftsix.com/downloads/workspace-app/．

如果您必须继续使用TLS 1.0或1.1(例如，使用基于早期Linux版本Receiver的瘦客户机)，请在您的资源位置安装StoreFront。然后，让所有的Citrix receiver指向它。

更多的信息

以下资源包含安全信息:

• Citrix Managed Azure的技术安全概述．

• 思杰安全网站．

• 安全性和合规性信息:安全与合规中心包含安全公告，可以帮助您了解相关信息。该中心还拥有关于标准和认证的文档，这些对于维护安全和合规的IT环境非常重要。

• Citrix云平台安全部署指南:本指南概述了使用Citrix Cloud时的安全最佳实践，并介绍了Citrix Cloud收集和管理的信息。本指南还包含有关Citrix Cloud Connector的全面信息的链接。

• 系统及连通性要求．

• 安全注意事项和最佳实践．
• 智能卡．
• 传输层安全性(TLS)．

注意:

本文档旨在向读者介绍和概述Citrix Cloud的安全功能;并界定思杰与客户在确保思杰云部署安全方面的责任分工。本文不打算作为Citrix Cloud或其任何组件或服务的配置和管理指导手册。