Citrix云平台安全部署指南
《Citrix Cloud安全部署指南》概述了使用Citrix Cloud时的安全最佳实践,描述了Citrix Cloud收集和管理的信息。
以下文章为Citrix Cloud中的其他服务提供了类似的信息:
控制飞机
指导管理员
- 使用强大的密码,并定期更改密码。
- 客户帐户中的所有管理员都可以添加和删除其他管理员。确保只有受信任的管理员才能访问Citrix云。
- 默认情况下,客户的管理员可以完全访问所有服务。有些服务提供了限制管理员访问的功能。有关更多信息,请参阅每个服务文档。
- 管理员的双因素身份验证是使用Citrix Cloud与Azure Active Directory的集成实现的。
- 默认情况下,Citrix Cloud在60分钟不活动后自动终止管理员会话。此60分钟超时不能更改。不活跃的意味着会话完全空闲,管理员没有以任何方式与Citrix Cloud控制台进行交互。活动指的是诸如导航图形界面、选择配置选项、保存配置更改或等待更改生效等操作。
密码合规
如果当前密码超过60天,则会提示管理员修改密码。新密码必须满足以下所有条件:
- 至少12个字符
- 包括至少一个大写字母和小写字母
- 包括至少一个数字
- 包含至少一个特殊字符:!@ # $ % ^ * ?+ = -
密码修改规则:
- 当前密码中至少有一个字符需要修改。当前密码不能作为新密码使用。
- 以前的24个密码不能重复使用。
- 新密码必须至少在生效一天后,Citrix Cloud才允许再次修改。
加密和密钥管理
控制平面不存储敏感的客户信息。相反,Citrix Cloud可按需检索管理员密码(通过显式提示管理员)的信息。没有数据处于敏感或加密的数据,因此您无需管理任何键。
对于传输中的数据,Citrix使用行业标准tls1.2和最强的密码套件。客户无法控制正在使用的TLS证书,因为Citrix Cloud托管在Citrix拥有的cloud.com域上。要访问Citrix Cloud,客户必须使用支持TLS 1.2的浏览器,并且必须接受配置的密码套件。
- 如果在Windows Server 2016或Windows Server 2019上安装云连接器,推荐使用TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256强密码
- 如果在Windows Server 2012 R2操作系统上安装了Cloud Connector,则没有强加密,需要使用TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
有关在每个服务中的加密和密钥管理的详细信息,请参阅每次服务文档。
数据主权
Citrix云控制飞机位于美国、欧盟和澳大利亚。客户对此没有控制权。
客户拥有并管理他们在Citrix Cloud中使用的资源位置。资源位置可以在客户希望的任何数据中心、云、位置或地理区域中创建。所有关键业务数据(如文档、电子表格等)都存储在资源位置,并处于客户的控制之下。
对于内容协作,请参考以下资源获取有关控制数据驻留位置的信息:
其他服务可以选择将数据存储在不同的区域。查阅地理因素主题或主题技术安全概述(在本文开头列出)针对每项服务。
安全问题的洞察力
网站status.cloud.com提供对客户有持续影响的安全问题的透明度。站点记录状态和正常运行时间信息。可以选择订阅平台或单个服务的更新。
Citrix云连接器
安装云连接器
出于安全和性能考虑,Citrix建议客户不要在域控制器上安装Cloud Connector软件。
此外,Citrix强烈建议安装Cloud Connector软件的机器位于客户的专用网络内,而不是DMZ内。有关网络和系统要求以及安装云连接器的说明,请参阅Citrix云连接器.
配置云连接器
客户负责在安装了云连接器的机器上保持最新的Windows安全更新。
客户可以在使用云连接器的同时使用防病毒。Citrix使用McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8进行测试。思杰支持使用其他行业标准影音产品的客户。
在客户的Active Directory(AD)中,Citrix强烈建议将云连接器的机器帐户限制为只读访问。这是Active Directory中的默认配置。此外,客户还可以在Cloud Connector的机器帐户上启用广告记录和审核,以监控任何广告访问活动。
登录到托管云连接器的计算机
云连接器允许敏感的安全信息传递到Citrix Cloud Services中的其他平台组件,还可以存储以下敏感信息:
- 用于与Citrix云通信的服务密钥
- Citrix虚拟应用程序和桌面中的电源管理程序服务凭据
这些敏感信息是使用承载云连接器的Windows服务器上的数据保护API (DPAPI)加密的。Citrix强烈建议只允许最有特权的管理员登录到云连接器机器(例如,执行维护操作)。一般来说,管理员不需要登录到这些机器来管理任何Citrix产品。云连接器在这方面是自我管理的。
请勿允许最终用户登录托管云连接器的计算机。
在云连接器机器上安装其他软件
客户可以在安装云连接器的计算机上安装防病毒软件和虚拟机监控程序工具(如果安装在虚拟机上)。但是,Citrix建议客户不要在这些机器上安装任何其他软件。其他软件会产生可能的安全攻击向量,并可能降低整个Citrix云解决方案的安全性。
入站和出站端口配置
云连接器需要出站端口443以访问Internet进行打开。Citrix强烈建议云连接器没有从Internet访问的入站端口。
客户可以在web代理后面定位云连接器,以监控其出站的互联网通信。但是,Web代理必须支持SSL / TLS加密通信。
云连接器可能有访问Internet的其他出站端口。如果有其他端口可用,云连接器可以跨广泛的端口进行协商,以优化网络带宽和性能。
云连接器必须在内部网络中开放大量的入站和出站端口。下表列出了所需开放端口的基本集。
| 客户端端口 | 服务器端口 | 服务 |
|---|---|---|
| 49152 -65535 / UDP | 123 / UDP | w32time. |
| 49152 -65535 / TCP | 135 / TCP | RPC端点映射器 |
| 49152 -65535 / TCP | 464 / TCP / UDP | Kerberos密码更改 |
| 49152 -65535 / TCP | 49152 - 65535 / TCP | RPC for LSA, SAM, Netlogon (*) |
| 49152 -65535 / TCP / UDP | 389 / TCP / UDP | LDAP |
| 49152 -65535 / TCP | 636 / TCP | LDAP SSL. |
| 49152 -65535 / TCP | 3268 / TCP | LDAP GC |
| 49152 -65535 / TCP | 3269 / TCP | LDAP GC SSL |
| 49152 -65535 / TCP / UDP | 53 / TCP / UDP | 域名服务器 |
| 49152 -65535 / TCP | 49152 -65535 / TCP | FRS RPC (*) |
| 49152 -65535 / TCP / UDP | 88 / TCP / UDP | Kerberos. |
| 49152 -65535 / TCP / UDP | 445/TCP | 中小企业 |
Citrix Cloud中使用的每个服务都扩展了所需的开放端口列表。有关更多信息,请参阅以下资源:
- 技术安全概述对于每个服务(在本文开头列出)
- 互联网连接要求用于Citrix Cloud服务
- Application Delivery管理服务端口要求
- 端点管理端口要求
监控出站通信
云连接器通过端口443与Internet进行出站通信,同时与Citrix云服务器和Microsoft Azure服务总线服务器通信。
云连接器与本地网络上的域控制器通信,该域控制器位于Active Directory林中的本地网络内,其中托管云连接器驻留的机器。
在正常操作期间,云连接器仅在未禁用的域中使用域中的域控制器进行通信身份与访问管理Citrix云用户界面中的页面。
Citrix Cloud中的每个服务都会扩展云连接器在正常操作期间可以联系的服务器列表和内部资源。此外,客户无法控制云连接器发送到Citrix的数据。有关服务的内部资源和数据发送到Citrix的更多信息,请参阅以下资源:
查看云连接器日志
在Cloud Connector计算机上的Windows事件日志中可以找到与管理员相关或可操作的任何信息。
在以下目录查看Cloud Connector的安装日志:
- %AppData%\Local\Temp\Citrix日志\CloudServicesSetup
- % % \ Temp \ CitrixLogs \ CloudServicesSetup列出
在%programdata%\ citrix \ workspaceCloud \ logs中找到云连接器发送到云的日志。
当WorkspaceCloud\ logs目录中的日志超过指定的大小阈值时,它们将被删除。管理员可以通过调整HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\ maximumlogspacemabytes的注册表项值来控制这个大小阈值。
SSL / TLS配置
基本云连接器配置不需要任何特殊的SSL/TLS配置。
云连接器必须信任Citrix Cloud SSL / TLS证书和Microsoft Azure Service Bus SSL / TLS证书所使用的认证机构(CA)。Citrix和Microsoft将来可能会更改证书和CA,但始终使用属于标准Windows受信任的发布者列表的CAS。
Citrix Cloud中的每个服务可能有不同的SSL配置需求。欲了解更多信息,请查阅技术安全概述对于每个服务(在本文开头列出)。
安全合规
为确保安全合规性,云连接器自动管理。不要禁用重新启动或在云连接器上放置其他限制。这些操作阻止云连接器在存在关键更新时更新自身。
客户不需要采取任何其他行动来对安全问题作出反应。云连接器自动应用任何安全修复程序。
用于云服务的Citrix连接器设备
安装连接器设备
连接器设备托管在虚拟机监控程序上。此虚拟机监控程序必须位于您的专用网络中,而不是DMZ中。
确保Connector Appliance位于默认情况下阻止访问的防火墙内。使用允许列表只允许来自连接器设备的预期流量。
确保托管连接器设备的虚拟机监控程序安装了最新的安全更新。
有关网络和系统要求以及安装连接器设备的说明,请参阅用于云服务的连接器设备.
登录到托管连接器设备的虚拟机监控程序
连接器设备包含用于与Citrix Cloud通信的服务键。只允许最优先的管理员登录到托管连接器设备的虚拟机管理程序(例如,执行维护操作)。通常,管理员不需要登录这些虚拟机管理程序以管理任何Citrix产品。连接器设备是自我管理的。
入站和出站端口配置
Connector Appliance需要打开出站端口443以访问internet。Citrix强烈建议连接器设备不允许从internet访问入站端口。
您可以在Web代理背后找到连接器设备,以监控其出站Internet通信。但是,Web代理必须支持SSL / TLS加密通信。
连接器设备可能有其他可以访问internet的出站端口。如果有其他端口可用,Connector Appliance可跨多种端口进行协商,以优化网络带宽和性能。
Connector Appliance必须在内部网络中开放大量的入站和出站端口。下表列出了所需开放端口的基本集。
| 连接方向 | 连接器设备端口 | 外部端口 | 服务 |
|---|---|---|---|
| 入站 | 443/TCP | 任何 | 本地Web用户界面 |
| 出站 | 49152-65535/UDP | 123 / UDP | NTP |
| 出站 | 53, 49152 - 65535 / TCP / UDP | 53 / TCP / UDP | 域名服务器 |
| 出站 | 67 / UDP | 68 / UDP | DHCP和广播 |
Citrix Cloud中使用的每个服务都扩展了所需的开放端口列表。有关更多信息,请参阅以下资源:
监控出站通信
连接器设备通过端口443与Citrix云服务器进行互联网出站通信。
Citrix Cloud中的每个服务都扩展了Connector设备在正常操作期间可能接触的服务器和内部资源的列表。此外,客户无法控制连接器设备发送到Citrix的数据。有关服务的内部资源和发送到Citrix的数据的更多信息,请参阅以下资源:
查看连接器设备日志
您可以下载连接器设备的诊断报告,其中包括各种日志文件。有关获取此报告的详细信息,请参阅用于云服务的连接器设备.
SSL / TLS配置
连接器设备不需要任何特殊的SSL/TLS配置。
连接器设备信任Citrix云SSL/TLS证书使用的证书颁发机构(CA)。Citrix将来可能会更改证书和CA,但始终使用连接器设备信任的CA。
Citrix Cloud中的每个服务可能有不同的SSL配置需求。欲了解更多信息,请查阅技术安全概述对于每个服务(在本文开头列出)。
安全合规
为了确保安全性,Connector Appliance可以自我管理,您不能通过控制台登录到它。
您不需要采取任何其他操作来响应连接器安全性问题。连接器设备自动应用任何安全补丁。
确保托管连接器设备的虚拟机监控程序安装了最新的安全更新。
处理泄露帐户的指导
- 审核Citrix Cloud中的管理员列表,并删除任何不受信任的管理员。
- 禁用您公司活动目录中的任何被泄露的帐户。
- 联系Citrix,请求轮换存储在所有客户云连接器上的授权秘密。根据严重程度,采取以下措施:
- 低风险:Citrix可以随着时间的推移旋转秘密。云连接器继续正常运行。旧授权秘密在2-4周内无效。在此期间监控云连接器以确保没有意外的操作。
- 持续的高风险:思杰可以撤销所有旧秘密。现有的云连接器将不再工作。为了恢复正常操作,客户必须卸载并在所有适用的机器上重新安装云连接器。