Leitfaden zur sicheren Bereitstellung für die Citrix云平台
Der Leitfaden zur sicheren beritstellung von Citrix Cloud gibt eine Übersicht über bewährte Verfahren zur sicheren Verwendung von Citrix Cloud und beschreibt, welche Daten von Citrix Cloud erfasth und verwaltet werden。
信息zur技术chen Sicherheit für服务
Citrix云服务的信息和数据:
- 分析技术- Sicherheit
- 端点管理-技术
- 安全浏览器-技术的Sicherheit
- ShareFile - Technische Sicherheit
- Überblick über die technische Sicherheit bei虚拟应用程序和桌面
- Überblick über die technische Sicherheit bei虚拟应用程序和桌面标准für Azure
Hinweise für Administratoren
- Verwenden Sie sichere Kennwörter和ändern Sie diese regelmäßig。
- Alle Administratoren innerhalb eines Kundenkontos können andere Administratoren hinzufügen und entfernen。Stellen Sie sicher, dass nur vertrauenswürdige Citrix Cloud zugreifen管理员können。
- 管理员eines Kunden erhalten standardmäßig vollen Zugriff auf alle服务。Einige Services bieten die Möglichkeit, den Zugriff eines Administrators zbeschränken。Weitere Informationen hierzu finden Sie in der documentation für den Service。
- Die zweistufige Authentifizierung für Administratoren wund durch在Azure活动目录中集成Citrix云erreicht。
- Standardmäßig werden Administratorsitzungen in Citrix Cloud nach 60分钟Inaktivität automatisch beendet。Diese Timeoutzeit von 60分钟kann晚上geändert werden。Inaktivbedeutet, dass die Sitzung vollständig im Leerlauf und under keiner Weise mit der Citrix Cloud-Konsole interagert管理员。Aktivitat我的名字是:“我的名字是我的名字”Benutzeroberfläche,“我的名字是我的名字”Auswählen,“我的名字是我的名字”Konfigurationsänderungen。
Kennwort-Compliance
Citrix Cloud fordert管理办事处,ihre Kennwörter zu ändern, wenn eine der folgenden Bedingungen erfüllt ist:
- Das aktuelle Kennwort wurde seit über 60 Tagen nicht zur Anmeldung verwendet。
- Das aktuelle Kennwort ist in einer bekannten Datenbank mit gefährdeten Kennwörtern aufgeführt。
Neue Kennwörter müssen allle der folgenden kriiterien erfüllen:
- Mindestens 8泽辰郎(最大128泽辰)
- Mindestens in Groß- und Kleinbuchstabe
- Mindestens eine Ziffer
- Mindestens ein Sonderzeichen wie !@ # $% ^ *?+ = -
Regeln zum Ändern von Kennwörtern:
- 阿克图埃尔,肯艾特,肯艾特,肯艾特,肯艾特,肯艾特。
- Die vorherigen 5 Kennwörter können nicht erneut verwendet werden。
- Das neue Kennwort darf nicht dem Benutzernamen des Kontos ähneln。
- Das neue Kennwort darf nicht in einer bekannten Datenbank mit gefährdeten Kennwörtern aufgeführt sein。思杰云prüft anhand einer vonhttps://haveibeenpwned.com/bereitgestellten Liste, ob neue Kennwörter gegen diese Bedingung verstoßen。
Verschlüsselung和Schlüsselverwaltung
在云的Citrix - steuerungsebene werden keine vertraulichen Kundeninformationen gespeichert。Stattdessen ruft Citrix Cloud Informationen wie Administratorkennwörter bei Bedarf ab (wobei der Administrator explizit zur Eingabe aufgefordert ward)。我们的祖国,我们的祖国,我们的祖国,我们的祖国verschlüsselt我们的祖国,我们的祖国,我们的祖国Schlüsselverwaltung我们的祖国。
Für Daten im Übertragungsprozess(数据在飞行中)verwendet Citrix branchenübliches TLS 1.2 mit den stärksten Verschlüsselungssammlungen。Kunden habenkeinen Einfluss auf das verwendete tl - zertifikat, da Citrix Cloud auf der Citrix-eigenen Domäne cloud.com gehostet狂野。Für den Zugriff auf Citrix Cloud müssen Kunden einen TLS 1.2-kompatiblen Browser mit zulässigen Verschlüsselungssammlungen verwenden。
- Wenn Sie von Windows Server 2016, Windows Server 2019 oder Windows Server 2022 auf die Citrix Cloud-Steuerebene zugreifen, werden die folgenden starken Verschlüsselungssammlungen empfohlen: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Wenn Sie von Windows Server 2012 R2 auf die Citrix Cloud-Steuerebene zugreifen, sind die starken Verschlüsselungssammlungen nicht verfügbar, sodass die folgenden verwendet werden müssen: TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, tls_dhe_rsa_with_aes_256_gcm_sha256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Weitere Informationen zur Verschlüsselung und Schlüsselverwaltung in jedem Cloudservice finden Sie in der documentation zum Service。
Weitere Informationen zur TLS 1.2-Konfiguration finden Sie inden folgenden Artikeln:
- Erzwingen der Verwendung von TLS 1.2 auf客户端计算机:CTX245765“Die zugrundeliegende verindung wurde geschlossen: Unerwarteter Fehler beim Senden。beim Abfragen des OData-Endpunkts des Überwachungsdiensts
- Konfigurieren von ShareFile StorageZones Controller für TLS 1.2:CTX209211, Konfigurieren von StorageZone Controller für eingehende TLS v1.2-Verbindungen
- Aktualisieren und Konfigurieren des . net frameworks zur Unterstützung von TLS 1.2在微软文档网站。
Datenhoheit
Die Citrix Cloud-Steuerungsebene在den USA,在der Europäischen Union和在Australien gehostet。昆登哈本凯恩Kontrolle darüber。
自然资源,Citrix云。资源标准orte können nach Wunsch in jedem Datencenter oder Standort, in der Cloud oder in einer geografischen erstellt werden。allle wichtigen Geschäftsdaten (z. B. Dokumente, Kalkulationstabellen usw.)在den resourcenstandorten gespeichert和under Kundenkontrolle。
信息资源与信息内容协作信息资源与信息资源
- 〇内容协作服务Dokumentation
- Häufig gestellte Fragen zur Sicherheit in ShareFile
- Citrix ShareFile中的Sicherheit und Compliance
- 实现者von Speicherzonen für die on -前提- speicherung
安德雷服务habenu . u. eine Option, wie Sie Daten in anderen Regionen speichern können。Lesen Sie auch会死Geografischen Uberlegungen和死技术Übersicht über die Sicherheitfür jeeden Service am Anfang dieses Artikels。
爱因斯坦在《Sicherheitsfragen》
死的网站status.cloud.combietet Transparenz in Sicherheitsfragen, die sich dauerhaft auf den Kunden auswirken。Die Site protokolliert Status and betriebzeitinformationen。Eine Option zum Abonnieren von更新für die platform oder für einzelne Services ist vorhanden。
Citrix云连接器
安装云连接器
Aus Sicherheits- und Leistungsgründen empfiehlt Citrix, die Cloud Connector-Software nicht auf einem Domänencontroller zu installieren。
Citrix empfiehlt zudem dringend, dass Maschinen, auf denen der Cloud连接器安装器,这是私有的Netzwerk des Kunden und nicht in der DMZ befinden。Die Netzwerk- und Systemanforderungen des Cloud Connectors sowie Anweisungen für Die Installation finden Sie unterCitrix云连接器.
Konfigurieren des Cloud Connectors
Der Kunde ist dafür verantwortlich, die Maschinen, auf denen Der Cloud Connector installiert ist, mit Windows-Sicherheitsupdates zu aktualisieren。
昆登können Antivirensoftware zusammen mit dem云连接器verwenden。Citrix verwendet McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8 für测试。Citrix unterstützt昆登,die andere branchenübliche Antivirenprodukte verwenden。
Citrix empfiehlt dringend, im Active Directory (AD) des Kunden das Maschinenkonto des Cloud Connectors auf schreibgeschützten Zugriff zu beschränken。在Active Directory中不支持标准配置。昆登können auch die AD-Protokollierung und -Überwachung im Maschinenkonto des Cloud Connectors aktivieren, um den Zugriff auf Active Directory zu überwachen。
Anmeldung an der Maschine mit安装云连接器
Der Cloud Connector ermöglicht die Übertragung sensibler Daten an andere Plattformkomponenten in Citrix Cloud und speichert außerdem folgende vertraulichen Informationen:
- Dienstschlüssel für die Kommunikation mit Citrix Cloud
- Hypervisor-Dienst-Anmeldeinformationen für die Energieverwaltung in Citrix Virtual Apps and desktop
Diese vertraulichen信息数据库数据保护API (DPAPI) auf dem Windows-Server mit dem云连接器verschlüsselt。Citrix empfiehlt dringend, nur den ranghöchsten Administratoren das Anmelden an den Cloud Connector-Maschinen zu erlauben (z. B. für Wartungsvorgänge)。Zur allgemeinen Verwaltung eines Citrix products是一家专业生产和销售产品的公司。Der云连接器在柴油柴油Hinsicht selbstverwaltet。
Erlauben Sie Endbenutzern nicht,这是一个云连接器。
Installieren anderer软件auf云连接器- maschinen
Kunden können Antivirensoftware und Hypervisortools (bei Installation auf einer virtuellen Maschine) auf Cloud Connector-Maschinen installieren。Citrix empfiehlt jedoch, dass Kunden keine weitere Software auf diesen Maschinen installeren。Andere Software kann mögliche Sicherheitslücken schaffen und die Sicherheit der gesamten Citrix Cloud-Lösung gefährden。
Konfiguration von eingehenden und ausgehenden Ports
Für den云连接器muss der ausgehende端口443 geöffnet sein und Zugriff auf das Internet bieten。Citrix empfiehlt dringend, dass der Cloud Connector keine eingehenden Ports hat, auf die über das Internet zugegriffen werden kann。
Kunden können den Cloud Connector hinter einem Webproxy platzieren, um seine ausgehende internetkommuniation zu überwachen。Der Webproxy muss jedoch eine SSL/TLS-verschlüsselte Kommunikation unterstützen。
Der云连接器kann andere ausgehende端口mit Internetzugriff haben。Wenn andere端口zur Verfügung stehen, kann der云连接器darüber die Netzwerkbandbreite und Leistung optimieren。
Innerhalb des internen Netzwerks muss der云连接器eine Vielzahl eingehender und ausgehender端口geöffnet haben。Die folgende Tabelle enthält Die erforderliche Grundkonfiguration geöffneter Ports。
| Clientport | Serverport | 服务 |
|---|---|---|
| 49152 -65535 / UDP | 123 / UDP | W32Time |
| 49152 - 65535/ tcp | 135 / TCP | RPC-Endpunktzuordnung |
| 49152 - 65535/ tcp | 464 / TCP / UDP | Kerberos-Kennwortanderung |
| 49152 - 65535/ tcp | 49152 - 65535 / TCP | RPC für LSA, SAM, Netlogon (*) |
| 49152 - 65535/ tcp / udp | 389 / TCP / UDP | LDAP |
| 49152 - 65535/ tcp | 636 / TCP | LDAP SSL |
| 49152 - 65535/ tcp | 3268 / TCP | LDAP GC |
| 49152 - 65535/ tcp | 3269 / TCP | Ldap gc SSL |
| 53,49152 - 65535/ tcp / udp | 53 / TCP / UDP | DNS |
| 49152 - 65535/ tcp | 49152 - 65535/ tcp | FRS RPC (*) |
| 49152 - 65535/ tcp / udp | 88 / TCP / UDP | Kerberos |
| 49152 - 65535/ tcp / udp | 445 / TCP | SMB |
Jeder in Citrix Cloud verwendete Service erweitert die Liste der erforderlichen geöffneten端口。Weitere Informationen finden Sie in folgenden resources:
- 技术员Überblick über die Sicherheitfür jeeden Service (sihe Liste am Anfang dieses Artikels)
- Anforderungen an die Internetkonnektivitätfür思杰云服务
- Portanforderungen für den应用程序交付管理服务
- Portanforderungen für端点管理
Überwachung der ausgehenden Kommunikation
Der云连接器verwendet端口443 für die ausgehende internetkommuniation mit Citrix Cloud- servern und mit Microsoft Azure Service Bus-Servern。
Der Cloud Connector kommuniziert mit Domänencontrollern im lokalen Netzwerk, die sich in Der gleichen Active Directory-Gesamtstruktur wie die Maschinen mit Cloud Connector befinden。
我是云连接器Domänencontrollern在Domänen, die auf der SeiteIdentitäts- und Zugriffsverwaltung云夜deaktiviert信德。
Citrix云的Jeder服务是服务器和资源列表,云连接器是Rahmen des Normalbetriebs kontaktieren kann。昆登können nicht steuern, welche Daten vom Cloud Connector an Citrix gesendet werden。Weitere信息中心über互联网资源与数据中心,服务中心,信息中心资源:
- 技术员Überblick über die Sicherheitfür jeeden Service (sihe Liste am Anfang dieses Artikels)
- Anforderungen an die Internetkonnektivitätfür思杰云服务
云连接器-原科隆
Alle Informationen, die für einen管理员相关信息的Aktion erfordern, add im Windows-Ereignisprotokoll auf der Cloud Connector-Maschine verfügbar。
Sie finden die Installationsprotokolle für den Cloud Connector in folgenden Verzeichnissen:
- 当地% AppData % \ \ Temp \ CitrixLogs \ CloudServicesSetup
- % % \ Temp \ CitrixLogs \ CloudServicesSetup列出
协议数据,die vom云连接器一个die Cloud gesendet werden, sind hier gespeichert: %ProgramData%\Citrix\WorkspaceCloud\Logs。
Wenn Protokolle im Verzeichnis " WorkspaceCloud\Logs " eine bestimmte Größe überschritten haben, werden sie gelöscht。管理员können diesen Schwellenwert durch Anpassen des folgenden Registrierungsschlüssels steuern: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes。
SSL / TLS-Konfiguration
Auf dem Windows Server mit dem云连接器müssen die underVerschlüsselung和Schlüsselverwaltungaufgeführten Verschlüsselungssammlungen aktiviert sein。
Der Cloud Connector musder Zertifizierungsstelle (ZS) vertrauen, die von SSL/TLS-Zertifikaten von Citrix Cloud和SSL/TLS-Zertifikaten von Microsoft Azure服务总线verwendet。Citrix和微软können Zertifikate和Zertifizierungsstellen zukünftig ändern, sie verwenden jedoch stets Zertifizierungsstellen, die in der windows - standardlist vertrauenswürdiger Herausgeber aufgeführt sind。
Jeder服务在Citrix Cloud kann unterschiedliche Anforderungen an die SSL-Konfiguration stellen。Weitere Informationen finden Sie imTechnischen Überblick über die Sicherheitfür jeeden Service (sihe Liste am Anfang dieses Artikels)。
Sicherheitskonformitat
Zur Gewährleistung der Sicherheitskonformität ist der云连接器selbstverwaltet。Deaktivieren Sie keine Neustarts und definieren Sie keine anderen Einschränkungen auf dem云连接器。Diese Aktionen verhindern, dass der Cloud Connector bei kritischen更新aktualisiert野生。
这是我的名字,我的名字。Der Cloud连接器可以自动完成和sicherheitfix一样的工作。
Citrix Connectorgerät für Cloudservices
Installieren des Connectorgeräts
Das Connectorgerät wild auf Ihrem Hypervisor gehostet。Der Hypervisor必须在Ihrem私有Netzwerk找到和darf nicht在DMZ sein。
Stellen Sie sicher, dass sich das Connectorgerät hinter einer Firewall befindet, die den Zugriff standardmäßig blockiert。Verwenden Sie eine positive liste, um nur erwarteten Datenverkehr vom Connectorgerät zuzulassen。
Stellen Sie sicher, dass aktuelle Sicherheitsupdates auf den Hypervisoren installiert sind, die Ihr Connectorgerät hosten。
模具网和系统的安装环境für das Connectorgerät sowie Anweisungen für模具安装环境用于云服务的连接器设备.
Anmelden beim Hypervisor, der in Connectorgerät hostet
Das Connector-Gerät enthält einen Dienstschlüssel für die Kommunikation mit Citrix Cloud。Nur die ranghöchsten管理员dürfen sich an dem Hypervisor dem Connectorgerät anmelden (z. B. für Wartungsvorgänge)。Zur allgemeinen Verwaltung eines Citrix products ist es nicht erforderlich, dass in Administrator sich an diesen hypervisor anmeldet。Das Connectorgerät wild selbstverwaltet。
Konfiguration von eingehenden und ausgehenden Ports
Für das Connectorgerät muss der ausgehende端口443 geöffnet sein und Zugriff auf das Internet bieten。Citrix empfiehlt dringend, dass das Connectorgerät keine eingehenden Ports hat, auf die über das Internet zugegriffen werden kann。
Platzieren Sie das Connectorgerät hinter einem Webproxy, um seine ausgehende internetkommuniation zu überwachen。Der Webproxy muss jedoch eine SSL/TLS-verschlüsselte Kommunikation unterstützen。
Das Connectorgerät kann andere ausgehende Ports mit Internetzugriff haben。温安安德雷港口Verfügung stehen,康达Connectorgerät darüber我的自由和自由。
Innerhalb des internen Netzwerks muss das Connectorgerät eine Vielzahl eingehender und ausgehender Ports geöffnet haben。Die folgende Tabelle enthält Die erforderliche Grundkonfiguration geöffneter Ports。
| Verbindungsrichtung | 端口Connectorgeräts | 外面的港口 | 服务 |
|---|---|---|---|
| Eingehend | 443 / TCP | Beliebig | Lokale Weboberflache |
| Ausgehend | 49152 - 65535 / UDP | 123 / UDP | 国家结核控制规划 |
| Ausgehend | 53, 49152 - 65535 / TCP / UDP | 53 / TCP / UDP | DNS |
| Ausgehend | 67 / UDP | 68 / UDP | DHCP与广播 |
Jeder in Citrix Cloud verwendete Service erweitert die Liste der erforderlichen geöffneten端口。Weitere Informationen finden Sie in folgenden resources:
- 技术员Überblick über die Sicherheitfür jeeden Service (sihe Liste am Anfang dieses Artikels)
- Anforderungen an System und Konnektivitätfür思杰云服务
Überwachung der ausgehenden Kommunikation
Das Connectorgerät verwendet端口443 für die ausgehende internetkommuniation mit Citrix云服务器。
Jeder Service in Citrix Cloud erweitert die Liste der Server und internen resources, die das Connectorgerät im Rahmen des Normalbetriebs kontaktieren kann。Kunden können zudem nicht steuern, welche Daten vom Connectorgerät an Citrix gesendet werden。Weitere信息中心über互联网资源与数据中心,服务中心,信息中心资源:
- 技术员Überblick über die Sicherheitfür jeeden Service (sihe Liste am Anfang dieses Artikels)
- Anforderungen an System und Konnektivitätfür思杰云服务
冯安泽根Connectorgerät-Protokollen
Sie können einen诊断bericht für Ihr Connectorgerät herunterladen, der verschiedene Protokolldateien enthält。我知道,我知道,我知道,我知道Connectorgerät für Cloudservices.
SSL / TLS-Konfiguration
Das Connectorgerät benötigt keine spezielle SSL/ tls配置。
Das Connectorgerät muss der Zertifizierungsstelle (ZS) vertrauen, die von SSL/TLS-Zertifikaten von Citrix Cloud verwendet狂野。Citrix kann Zertifikate und Zertifizierungsstellen in Zukunft ändern。Verwenden Sie jedoch stets Zertifizierungsstellen, denen das Connectorgerät vertraut。
Jeder服务在Citrix Cloud kann unterschiedliche Anforderungen an die SSL-Konfiguration stellen。Weitere Informationen finden Sie imTechnischen Überblick über die Sicherheitfür jeeden Service (sihe Liste am Anfang dieses Artikels)。
Sicherheitskonformitat
嗯die Sicherheitskonformität zu gewährleisten, ward das Connectorgerät selbstverwaltet, und Sie können sich nicht über die Konsole anmelden。
这是我的爱,是我的爱,是我的爱。Das Connectorgerät wendet automatisch alle sicherheits fix。
Stellen Sie sicher, dass aktuelle Sicherheitsupdates auf den Hypervisoren installiert sind, die Ihr Connectorgerät hosten。
Hinweise zum Umgang mit gefährdeten Konten
- Überwachen你死在Citrix云的管理员和entfernen的管理员,死在vertrauenswürdig sind。
- Deaktivieren Sie alle gefährdeten Konten im Active Directory des Unternehmens。
- Fordern Sie Citrix auf, die geheimen autorisierunginformationationen zwechseln, die für allle Cloud Connectors des Kunden gespeichert sind。Ergreifen Sie je nach Schweregrad des Verstoßes die folgenden Maßnahmen:
- Niedriges Risiko:Citrix kann die Geheimnisse im Laufe der Zeit wechseln。Die Cloud Connectors funktionieren weiterhin normal。德国Autorisierungsgeheimnisse werden innerhalb von 2-4 - Wochen ungültig。Überwachen你在柴油Zeit den云连接器,um sicherzustellen, dass es nicht zu unerwarteten Vorgängen kommt。
- Dauerhaft hohes Risiko:Citrix kann alle alten Geheimnisse widerrufen。Vorhandene云连接器werden funktionsunfähig。Zur Wiederaufnahme des Normalbetriebs müssen昆登登云连接器auf allen betroffenen Maschinen deinstallieren und neu installieren。