技术安全概述
本文适用于托管在Citrix Cloud中的Citrix Workspace Microapps服务。
在开始部署Citrix Workspace Microapps服务之前,请检查Citrix云平台安全部署指南.
安全概述
Microapps平台集成到Workspace中,并使用现有的身份管理。OAuth是写入SaaS应用程序的主要身份验证机制。存储一个特定于Credential Wallet中的每个用户的saas提供的用户访问令牌,以支持用户操作的高效用户体验。
该组件使用名为Citrix cloud Connector的代理连接到云服务。下图说明了该服务及其安全边界。
凭证处理
该服务为应用程序集成处理以下类型的凭据:
- 基本用户凭证
- OAuth
- OAuth2
一般安全概述
微应用模板应用和集成是“按原样”提供的。连接器指南中描述的所有数据、字段和实体都从源记录系统(SOR)中整体提取并传输到Microapps缓存。目前模板是不可配置的。
微应用程序存储了来自综合记录系统的数据缓存。对于HTTP集成,数据的范围完全可以由客户在设置配置时进行配置,并且可以随时更改。
系统帐户用于使用记录API的目标系统为缓存检索数据。系统帐户通常要求对所有使用Microapps的用户的Microapps所需的所有数据具有只读访问权。
除了个人用户账户的OAuth令牌外,服务账户的凭据用于写操作,由Microapps使用Azure Key Vault支持的服务安全存储。
Microapps还存储为用户生成的所有通知卡。除了这些卡片的内容外,触发这些通知的事件也可以由管理员配置。
记录用户与系统的交互。日志数据不包含任何系统记录数据或机密。
内容存储在设置Citrix Cloud帐户时选择的区域中。目前可在美国、欧盟和亚太/S地区(亚太南部)使用。
客户内容和日志完全存储在Citrix平台中,第三方无法使用。
microapp的数据备份用于恢复,存储时间为两周。
微应用程序的数据在授权终止后保留30天。超过宽限期后,所有资源将被删除。
数据
数据没有显式显示,只有实体属性和集成表。
这些数据显示在两个地方:
在Microapps的管理/构建器页面(以及工作区)
与记录相关的数据可以显示在提要卡中(作为定义的变量)。这些定义在微应用程序构建器中。微应用程序可以根据管理员的定义定义为导出所有数据。
例子:如果有人同步或添加个人信息(可能是PII),并设置显示所有记录和字段。预定义模板是根据安全最佳实践构造的,并以不显示敏感数据的方式提供。
注意:
创建集成需要客户组织中的Administrator(或同等的)特权。Microapps提供了工具,这取决于客户/管理员如何根据客户的需求尽可能安全地使用这些工具。
个人身份信息(PII)
个人身份信息(PII)的指定取决于地理、业务、安全和遵从性方面的考虑。PII是一个由管理员/客户决定的问题,因为每个公司/客户在自己的组织中对什么是“敏感”有不同的定义。
个人身份信息根据不同的地理位置而变化,但可以包括姓名、社会安全/国家保险号码、生物识别记录、身份证号、身体、生理、心理、经济、文化或社会身份的特定因素,或与其他数据相结合的信息,可以识别一个人。
就一般最佳实践而言,在处理数据时应考虑以下几点。
- 确定应用程序集成存储的PII
- 找到PII存储的所有位置
- 根据敏感性对PII进行分类
PII识别
PII可以包含银行详细信息和登录信息。政府机构存储的PII包括社会安全号码、地址、护照详细信息和许可证号码。
PII存储位置
PII可以存在于一系列不同的位置,如文件服务器、云服务、员工笔记本电脑、门户等,包括:
数据使用:员工在工作中使用的数据。
静态数据:这是存储或存档在硬盘驱动器、数据库、笔记本电脑、Sharepoint和web服务器等位置的数据。
动态数据:这是从一个位置转移到另一个位置的数据。例如,数据从本地存储设备移动到云服务器,或者通过电子邮件在员工和业务合作伙伴之间移动。
PII敏感性的分类
PII必须根据其敏感性进行分类。这是PII保护的一个重要部分。考虑数据是否为:
识别:PII数据有多独特?如果一条记录可以单独识别一个人,这是数据高度敏感的标志。
结合数据:尝试识别两个或两个以上的数据片段,当它们组合在一起时,可以识别一个独特的个体。
合规:根据您工作的组织类型,PII有各种各样的法规和标准。您可能需要遵守的法规包括:支付卡行业数据安全标准(PCI DSS)、通用数据保护法规(GDPR)或HIPAA。
有关GDPR和Citrix的更多信息,请参见Citrix GDPR常见问题解答.
读访问
Microapps平台从缓存中读取数据。缓存在存储级别上是静止加密的,由云供应商提供。源系统中READ访问不可用。在Microapps平台上进行审计。
写访问
使用写api。如果服务不允许写api,我们就退回到服务帐户。在所有情况下,写访问都是可审计的,并且归属于源系统中的用户。
数据流
由于由云服务托管的组件不包括vda,因此提供所需的客户应用程序数据和黄金映像总是托管在客户设置中。控制平面可以访问元数据,例如用户名、机器名和应用程序快捷方式,限制从控制平面访问客户的知识产权。
云和客户场所之间的数据流动使用端口443上的安全传输层安全(TLS)连接。
Citrix Cloud Connector网络接入要求
Citrix Cloud Connectors只需要到internet的端口443出站流量,并且可以托管在HTTP代理后面。
Citrix Cloud中用于HTTPS的通信是TLS 1.0、1.1或1.2。(有关正在进行的更改,请参阅TLS版本的弃用。)
IP白名单配置
您可能需要配置第三方服务提供者,例如Salesforce,使用指定的IP地址,微应用程序服务从这些IP地址访问它们的api。microapps服务从下面列出的范围内的一个外部IP地址发出请求。根据您的微应用服务区域配置您的第三方提供商。确保为美国和欧盟地区配置了列出的范围。
如果您确实配置了指定的IP,我们建议将其收藏起来并定期查看本文,以便了解将来可能添加或删除的IP范围和地址。
美国地区(32地址):
- 20.57.83.64/28
- 20.57.83.192/28
欧盟地区(32地址):
- 20.86.245.144/28
- 20.86.245.160/28
AP-S地区(16个地址):
- 20.205.243.64/28
安全最佳实践
注意:
您的组织可能需要满足特定的安全标准以满足监管要求。本文档不涉及此主题,因为此类安全标准会随时间变化。有关安全标准和Citrix产品的最新信息,请咨询Citrix安全.
为了确保您已经检查了所有的安全注意事项:
- 只授予用户他们需要的功能
- 检查您的组织的最低安全准则
- 使用加密通信(HTTPS),最低Transport Layer Security (TLS) 1.2
- 检查您的费率限制
- 使用最低权限的系统帐户获取数据(批量读取)
- 考虑一下,一旦同步不运行,您必须保留数据多长时间
- 在生产中使用公共api
- OAuth2是此SaaS服务的首选身份验证协议
- 总是使用OAuth2进行回写
- 保持集成的更新。验证它工作,并且外部api没有改变
下一步该去哪里
有关类似Citrix Cloud服务的更多安全信息和安全指南,请参阅以下参考资料:
注意:
本文档旨在向读者介绍和概述Citrix Cloud的安全功能;明确思杰和客户之间的责任分工,确保思杰云部署的安全。它不打算作为Citrix Cloud或其任何组件或服务的配置和管理指导手册。