技术安全概述

安全概述

本文档适用于在Citrix Cloud中托管的Citrix Virtual Apps和desktop services。这包括Citrix虚拟应用程序要领和Citrix虚拟桌面要领。

Citrix Cloud管理Citrix虚拟应用程序和桌面环境的控制平面的操作。这包括递送控制器，管理控制台，SQL数据库，许可证服务器和可选择的店面和Citrix网关（以前的NetScaler网关）。托管应用程序和桌面的虚拟交付代理（VDA）仍在客户控制中，在其选择的数据中心，无论是云还是本地。使用称为Citrix云连接器的代理连接这些组件与云服务连接。如果客户选择使用Citrix Workspace，它们也可以选择使用Citrix Gateway服务，而不是在其数据中心内运行Citrix Gateway。下图说明了服务及其安全边界。

Citrix云合规

截至2021年1月，针对Citrix SOC 2 (Type 1或2)、ISO 27001、HIPAA或其他云合规要求，Citrix管理Azure容量与各种Citrix虚拟应用和台式机服务版本以及Workspace Premium Plus的使用尚未进行评估。参观Citrix信托中心有关Citrix Cloud认证的更多信息，并经常检查更新。

数据流

vda不是由服务托管的，因此供应所需的客户应用程序数据和映像总是托管在客户设置中。控制平面可以访问用户名、机器名、应用快捷方式等元数据，限制了从控制平面访问客户知识产权的权限。

在云和客户端之间流动的数据使用Secure TLS在端口443上连接。

数据隔离

Citrix Virtual Apps和Desktops Service仅存储经纪和监控客户的应用程序和桌面所需的元数据。敏感信息，包括图像，用户配置文件和其他应用程序数据在客户场所或与公共云供应商的订阅中仍然存在。

服务版本

Citrix虚拟应用程序和桌面服务的功能因版本而异。例如，Citrix Virtual Apps Essentials仅支持Citrix Gateway服务和Citrix Workspace。请咨询产品文档以了解有关支持功能的更多信息。

ICA安全

Citrix Virtual Apps和Desktops Service提供了多种选项，可在运输中保护ICA流量。以下是可用的选项：

• 基本的加密:默认设置。
• SecureICA:允许使用RC5（128位）加密加密会话数据。
• VDA TLS / DTL：允许使用TLS / DTL使用网络级加密。
• Rendezvous协议：仅在使用Citrix网关服务时可用。当使用Rendezvous协议时，ICA会话使用TLS/DTLS进行端到端加密。

基本的加密

使用基本加密时，流量加密如下图所示。

Secureica.

使用SecureICA时，流量加密如下图所示。

笔记：

使用HTML5或Chrome OS的工作区应用程序时不支持SecureICA。

VDA TLS /迪泰

使用VDA TLS / DTLS加密时，流量被加密，如下图所示。

笔记：

使用Gateway服务而无需集合，VDA和云连接器之间的流量不是加密的TLS，因为云连接器不支持与网络级加密连接到VDA。

更多资源

有关ICA安全选项以及如何配置它们的详细信息，请参阅：

• SecureICA:安全策略设置
• VDA TLS / DTL：传输层安全
• Rendezvous协议：共同议定书

凭证处理

该服务处理四种类型的凭据:

• 用户凭证:当使用客户管理的StoreFront时，Cloud Connector使用AES-256加密和为每次启动生成的随机一次性密钥对用户凭证进行加密。密钥不会被传递到云中，只会返回到Citrix Workspace应用程序。然后，Citrix Workspace应用程序将此密钥传递给VDA，在会话启动期间为单点登录体验解密用户密码。流程如下图所示。

• 管理员凭据:管理员根据Citrix Cloud进行身份验证。这将生成一个一次性签名的JSON Web令牌(JWT)，使管理员能够访问Citrix虚拟应用程序和桌面服务。
• Hypervisor密码:需要密码进行身份验证的本地Hypervisor有一个由管理员生成的密码，直接加密存储在云中的SQL数据库中。对等密钥由Citrix管理，以确保管理程序凭据仅对经过身份验证的进程可用。
• AD凭据:机器创建服务使用云连接器在客户的AD中创建机器帐户。因为Cloud Connector的机器帐户只有对AD的读访问权限，所以每次机器创建或删除操作都会提示管理员输入凭据。这些凭证仅存储在内存中，并且仅为单个供应事件保存。

部署注意事项

Citrix建议用户参考已发布的最佳实践文档，以便在其环境中部署Citrix Gateway应用程序和VDAs。

Citrix Cloud Connector网络接入要求

Citrix Cloud Connectors只需要在Internet到Internet的端口443出站流量，并且可以在HTTP代理后面托管。

• 用于HTTPS的Citrix Cloud中使用的通信是TLS。（看TLS版本的弃用。）
• 在内部网络中，云连接器需要访问Citrix虚拟应用程序和桌面服务:
  • VDAs:端口80，入站和出站。加上1494和2598入站，如果使用Citrix Gateway服务
  • StoreFront服务器：端口80入站。
  • Citrix网关，如果配置为STA：端口80入站。
  • Active Directory域控制器
  • 虚拟机监控程序:出站。看到Citrix Technologies使用的通信端口对于特定端口。

VDAs和云连接器之间的通信使用Kerberos消息级安全性进行加密。

Customer-managed店面

客户管理的StoreFront为部署体系结构提供了更大的安全性配置选项和灵活性，包括在现场维护用户凭据的能力。StoreFront可以驻留在Citrix Gateway后面，以提供安全的远程访问、执行多因素身份验证并添加其他安全特性。

Citrix网关服务

使用Citrix Gateway服务可以避免在客户数据中心部署Citrix Gateway。

有关详细信息，请参阅Citrix网关服务。

云连接器与Citrix Cloud之间的所有TLS连接都是从云连接器到Citrix Cloud发起的。不需要防火墙端口映射。

XML的信任

XML信任设置适用于以下部署:

• 一个本地的店面。
• 订户（用户）身份验证技术，不需要密码。这种技术的示例是域通过，智能卡，SAML和veridium解决方案。

启用XML信任设置允许用户成功地进行身份验证并启动应用程序。云连接器信任从StoreFront发送的凭据。只有当您已经确保了Citrix云连接器和StoreFront之间的通信安全(使用防火墙、IPsec或其他安全建议)时，才能启用此设置。

此设置在默认情况下是禁用的。

使用Citrix Virtual Apps和Desktops远程PowerShell SDK管理XML信任设置。

• 检查XML信任设置的当前值，运行Get-Brokersite.并检查其价值TrustRequestsSentToTheXMLServicePort。
• 启用XML信任，运行Set-BrokerSite -TrustRequestsSentToTheXmlServicePort真正的美元
• 禁用XML信任，运行Set-BrokerSite -TrustRequestsSentToTheXmlServicePort假美元

强制执行HTTPS或HTTP流量

要通过XML服务强制HTTPS或HTTP流量，请在每个云连接器上配置以下注册表值集之一。

配置设置后，在每个云连接器上重新启动代理服务和远程代理提供程序服务。

在HKLM \ Software \ Citrix \ Desktopserver \：

• 强制HTTPS(忽略HTTP)流量:设置XmlServicesEnableSsl到1,XmlServicesEnableNonSsl到0.。
• 强制执行HTTP（IGNORE HTTPS）流量：SETXmlServicesEnableNonSsl到1,XmlServicesEnableSsl到0.。

TLS版本的弃用

为了提高Citrix虚拟应用程序和桌面服务的安全性，截至2019年3月15日，Citrix开始阻止通过传输层安全（TLS）1.0和1.1的任何通信。

来自Citrix Cloud Connectors的Citrix Cloud Services的所有连接都需要TLS 1.2。

为了确保从用户终端设备成功连接到Citrix Workspace，已安装的Citrix Receiver版本必须等于或更新于下表中列出的版本。

接收者	版本
视窗	4.2.1000
Mac	12.0
Linux	13.2
安卓	3．7
iOS.	7.0
Chrome / HTML5	最新（浏览器必须支持TLS 1.2）

要升级到最新的Citrix Receiver版本，请转至//m.giftsix.com/products/receiver/。

或者，升级到Citrix Workspace应用程序，使用TLS 1.2。要下载Citrix Workspace应用程序，请转至//m.giftsix.com/downloads/workspace-app/。

如果必须继续使用TLS 1.0或1.1(例如，使用基于早期Linux版本Receiver的瘦客户机)，那么在资源位置安装一个StoreFront，并让所有的Citrix接收器指向它。

更多信息

以下资源包含安全信息：

• Citrix Managed Azure的技术安全概述。

• Citrix安全网站。

• 安全和合规信息：安全性和合规中心包含安全公告，可以帮助您了解情况。该中心还有关于标准和认证的文档，这在维护安全和符合IT环境方面很重要。

• Citrix云平台的安全部署指南：本指南概述了使用Citrix Cloud时安全最佳实践的概述，并描述Citrix Cloud收集和管理信息。本指南还包含有关Citrix云连接器的全面信息的链接。

• 系统和连通性要求。

• 安全注意事项和最佳实践。
• 智能卡。
• 传输层安全性（TLS）。

笔记：

本文档旨在为读者提供Citrix Cloud安全功能的介绍和概述;定义在确保Citrix云部署安全方面，Citrix和客户之间的责任分工。本手册不打算作为Citrix Cloud或其任何组件或服务的配置和管理指导手册。