Citrix云政府安全部署指南
《Citrix云政府安全部署指南》概述了使用Citrix云政府时的安全最佳实践,并描述了Citrix收集和管理的信息。
的虚拟应用程序和桌面服务技术安全概述为虚拟应用程序和桌面服务提供类似信息。
注意:在本文中,术语客户指在美国使用Citrix云政府的政府机构和客户。
控制平面
指导管理员
- 使用强大的密码,并定期更改密码。
- 客户帐户内的所有管理员都可以添加和删除其他管理员。确保只有受信任的管理员可以访问Citrix云政府。
- 默认情况下,客户的管理员可以完全访问所有服务。有些服务提供了限制管理员访问的功能。有关更多信息,请参阅每个服务文档。
- 管理员的双因素身份验证是通过Citrix Cloud Government与Azure Active Directory的集成实现的。
加密和密钥管理
控制平面不存储客户敏感信息。相反,Citrix Cloud Government按需(通过明确地询问管理员)检索诸如管理员密码之类的信息。没有敏感或加密的静止数据;因此,不需要管理任何密钥。
对于飞行中的数据,Citrix使用具有最强密码套件的行业标准TLS 1.2。客户无法控制正在使用的TLS证书,因为Citrix Cloud Government托管在Citrix拥有的Cloud.us域上。要访问Citrix Cloud Government,客户必须使用具有强大密码套件的TLS 1.2浏览器。
有关每个服务中的加密和密钥管理的详细信息,请参阅每个服务文档。
数据主权
Citrix云政府控制平面位于美国。客户对此没有控制权。
客户拥有并管理他们在Citrix Cloud Government中使用的资源位置。资源位置可以在客户希望的任何数据中心、云、位置或地理区域中创建。所有关键业务数据(如文档、电子表格等)都存储在资源位置,并处于客户的控制之下。
审核和变更控制
目前在Citrix云政府用户界面或api中还没有客户可见的审计或变更控制。
思杰拥有丰富的内部审计信息。如果客户有疑问,建议在30天内联系思杰。Citrix将审查审计日志,以确定执行操作的管理员、执行操作的日期、与操作关联的IP地址,等等。
Citrix云连接器
安装
出于安全和性能考虑,Citrix建议客户不要在域控制器上安装Cloud Connector软件。
此外,安装了Cloud Connector软件的机器应该位于客户的私有网络中,而不是DMZ中。有关Cloud Connector的网络和系统要求以及安装说明,请参见创建资源位置.
配置
客户负责在安装了云连接器的机器上保持最新的Windows安全更新。
客户可以在使用云连接器的同时使用防病毒。Citrix使用McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8进行测试。思杰将支持使用其他行业标准影音产品的客户。
在客户的Active Directory (AD)中,云连接器的计算机帐户应该被限制为只读访问。这是Active Directory中的默认配置。此外,客户可以在Cloud Connector的机器帐户上启用AD日志记录和审计,以监视任何AD访问活动。
登录到托管云连接器的计算机
云连接器包含敏感的安全信息,如管理密码。只有最有特权的管理员才能登录到托管云连接器的计算机(例如,执行维护操作)。通常,管理员无需登录到这些机器来管理任何Citrix产品。云连接器在这方面是自我管理的。
不允许最终用户登录到托管云连接器的计算机。
在云连接器机器上安装其他软件
客户可以在安装云连接器的计算机上安装防病毒软件和虚拟机监控程序工具(如果安装在虚拟机上)。但是,Citrix建议客户不要在这些机器上安装任何其他软件。其他软件会产生其他可能的安全攻击向量,并可能降低整个Citrix云政府解决方案的安全性。
入站和出站端口配置
云连接器需要打开出站端口443以访问互联网。云连接器不应具有可从Internet访问的入站端口。
客户可以在web代理后面定位云连接器,以监控其出站的互联网通信。然而,web代理必须使用SSL/TLS加密通信。
云连接器可能有访问Internet的额外出站端口。云连接器将跨广泛的端口进行协商,以优化网络带宽和性能,如果有额外的端口可用。
Cloud Connector必须在内部网络中打开广泛的入站和出站端口。下表列出了所需的基本开放端口集。
| 客户端端口(年代) | 服务器端口 | 服务 |
|---|---|---|
| 49152 -65535 / UDP | 123 / UDP | W32时间 |
| 49152 -65535 / TCP | 135 / TCP | RPC端点映射器 |
| 49152 -65535 / TCP | 464 / TCP / UDP | Kerberos密码更改 |
| 49152 -65535 / TCP | 49152 - 65535 / TCP | RPC for LSA, SAM, Netlogon (*) |
| 49152-65535/TCP/UDP | 389 / TCP / UDP | LDAP |
| 49152 -65535 / TCP | 636 / TCP | LDAP SSL |
| 49152 -65535 / TCP | 3268 / TCP | LDAP GC |
| 49152 -65535 / TCP | 3269 / TCP | LDAP GC SSL |
| 49152 -65535 / TCP / UDP | 53 / TCP / UDP | 域名服务器 |
| 49152 -65535 / TCP | 49152 -65535 / TCP | FRS RPC (*) |
| 49152-65535/TCP/UDP | 88 / TCP / UDP | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | 中小企业 |
Citrix Cloud Government中使用的每个服务都将扩展所需的开放端口列表。欲了解更多信息,请参考Citrix云政府的连接要求.
监控出站通信
云连接器通过端口443与Internet进行出站通信,同时与Citrix云政府服务器和Microsoft Azure服务总线服务器通信。
云连接器与托管云连接器的计算机所在的Active Directory林中的本地网络上的域控制器通信。
在正常操作期间,云连接器仅与以下列域中的域控制器通信:用于订阅上身份与访问管理在Citrix云政府用户界面。
选择要配置为的域用于订阅,云连接器与托管云连接器的计算机所在的Active Directory林中所有域中的域控制器通信。
Citrix云政府中的每个服务扩展了云连接器在正常操作过程中可能接触的服务器和内部资源列表。此外,客户无法控制Cloud Connector发送给Citrix的数据。有关服务的内部资源和发送给Citrix的数据的更多信息,请参阅连接要求.
查看云连接器日志
与管理员相关的或可操作的任何信息都可以在云连接器机器上的Windows事件日志中获得。
在以下目录查看Cloud Connector的安装日志:
- %AppData%\Local\Temp\Citrix日志\CloudServicesSetup
- % % \ Temp \ CitrixLogs \ CloudServicesSetup列出
云连接器发送到云的日志可在%ProgramData%\Citrix\WorkspaceCloud\Logs中找到。
当WorkspaceCloud\ logs目录中的日志超过指定的大小阈值时,它们将被删除。管理员可以通过调整HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\ maximumlogspacemabytes的注册表项值来控制这个大小阈值。
SSL/TLS配置
基本云连接器配置不需要任何特殊的SSL/TLS配置。
云连接器必须信任Citrix云政府SSL/TLS证书和Microsoft Azure服务总线SSL/TLS证书所使用的证书颁发机构(CA)。Citrix和Microsoft将来可能会更改证书和ca,但将始终使用作为标准Windows受信任发布者列表一部分的ca。
Citrix云政府中的每个服务可能有不同的SSL配置需求。有关更多信息,请参阅每个服务的技术安全概述(列在本文开头)。
连接器更新
当Citrix软件更新可用时,Cloud Connector将自行管理。请勿禁用重新启动或对云连接器施加其他限制。这些操作可防止云连接器在发生关键更新时自行更新。
客户无需采取任何其他措施来应对安全问题。Cloud Connector会自动为Citrix软件应用任何安全修复和更新。
处理泄露帐户的指导
- 审核Citrix Cloud Government中的管理员列表,并删除任何不受信任的管理员。
- 禁用您公司活动目录中的任何被泄露的帐户。
- 联系Citrix,请求轮换存储在所有客户云连接器上的授权秘密。根据严重程度,采取以下措施:
- 低风险:思杰可以随着时间的推移轮换这些秘密。云连接器将继续正常工作。旧的授权秘密将在2-4周内失效。在此期间监视云连接器,以确保没有意外操作。
- 持续的高风险:思杰可以撤销所有旧秘密。现有的云连接器将不再工作。为了恢复正常操作,客户必须卸载并在所有适用的机器上重新安装云连接器。