技术安全概述
下图展示了用于Azure部署的Citrix虚拟应用和桌面标准中的组件。本例使用VNet对等连接。
有了针对Azure的Citrix虚拟应用程序和桌面标准,客户提供桌面和应用程序的虚拟交付代理(VDAs),加上Citrix云连接器,就部署到由Citrix管理的Azure订阅和租户中。
Citrix基于云的合规性
截至2021年1月,使用Citrix管理Azure容量与各种Citrix虚拟应用程序和桌面服务版和Workspace Premium Plus的使用尚未评估Citrix SoC 2(类型1或2),ISO 27001,HIPAA或其他云合规性要求.参观Citrix信托中心有关Citrix云认证的更多信息,并经常回来查看更新。
Citrix责任
用于非域连接目录的Citrix云连接器
Citrix Azure虚拟应用和桌面标准在每个资源位置至少部署两个云连接器。如果某些目录与同一客户的其他目录位于同一区域,那么它们可能共享资源位置。
Citrix负责非域加入目录云连接器的以下安全操作:
- 应用操作系统更新和安全补丁
- 安装、维护防病毒软件
- 应用云连接器软件更新
客户无法访问云连接器。因此,Citrix完全负责非域连接目录云连接器的性能。
Azure订阅和Azure Active Directory
Citrix负责为客户创建的Azure订阅和Azure Active Directory (AAD)的安全。Citrix确保了租户隔离,因此每个客户都有自己的Azure订阅和AAD,并且防止不同租户之间的交叉。Citrix还将AAD的访问权限限制在针对Azure服务的Citrix虚拟应用程序和桌面标准以及只有Citrix运营人员才能访问。对Citrix对每个客户Azure订阅的访问进行审计。
使用非域加入目录的客户可以使用Citrix管理的AAD作为Citrix工作区的身份验证手段。对于这些客户,Citrix在其管理的AAD中创建有限特权用户帐户。但是,客户的用户和管理员都不能在citrix管理的AAD上执行任何操作。如果这些客户选择使用他们自己的AAD,他们将对其安全负全部责任。
虚拟网络和基础设施
在客户的Citrix Managed Azure订阅中,Citrix创建虚拟网络来隔离资源位置。在这些网络中,除了存储帐户、密钥库和其他Azure资源外,Citrix还为VDAs、云连接器和映像构建机创建虚拟机。Citrix与微软合作,负责虚拟网络的安全,包括虚拟网络防火墙。
Citrix确保配置了默认的Azure防火墙策略(网络安全组),以限制对VNet对等和SD-WAN连接中的网络接口的访问。通常,这将控制进入VDAs和云连接器的流量。更多细节,请参阅:
客户不能更改此默认防火墙策略,但可以在citrix创建的VDA机器上部署额外的防火墙规则;例如,部分限制出站流量。在citrix创建的VDA机器上安装虚拟专用网络客户端或其他能够绕过防火墙规则的软件的客户要对可能导致的任何安全风险负责。
当使用Citrix Virtual Apps and Desktops Standard for Azure中的映像构建器创建和定制一个新的机器映像时,端口3389-3390会在Citrix管理的VNet中临时打开,这样客户就可以通过RDP访问包含新机器映像的机器,对其进行定制。
使用Azure VNet对等连接时,Citrix的责任
对于用于Azure的Citrix虚拟应用和桌面标准中的VDAs,它可以联系内部域控制器、文件共享或其他内部网资源,Citrix虚拟应用和桌面标准提供了一个VNet对等工作流作为连接选项。客户的citrix管理的虚拟网络与客户管理的Azure虚拟网络相对应。客户管理的虚拟网络可以使用客户选择的云到本地的连接解决方案,如Azure ExpressRoute或iPsec隧道,实现与客户本地资源的连接。
Citrix对VNet对等的责任仅限于支持工作流和相关的Azure资源配置,以便在Citrix和客户管理的VNet之间建立对等关系。
Azure VNet对等连接的防火墙策略
Citrix为使用VNet对等连接的入站和出站流量打开或关闭以下端口。
citrix管理的VNet和非域连接机器
- 入境规则
- 允许端口80、443、1494和2598从VDAs入站到云连接器,并从云连接器入站到VDAs。
- 允许端口49152-65535从Monitor阴影特性使用的IP范围入站到VDAs。看到Citrix Technologies使用的通信端口.
- 否认所有其他入站。这包括从VDA到VDA的vnet流量,以及VDA到云连接器。
- 出站规则
- 允许所有流量出站。
使用域连接机器的citrix管理的VNet
- 入站规则:
- 允许端口80、443、1494和2598从VDAs入站到云连接器,并从云连接器入站到VDAs。
- 允许端口49152-65535从Monitor阴影特性使用的IP范围入站到VDAs。看到Citrix Technologies使用的通信端口.
- 否认所有其他入站。这包括从VDA到VDA的vnet流量,以及VDA到云连接器。
- 出站规则
- 允许所有流量出站。
带有域连接机器的客户管理的VNet
- 正确配置VNet取决于客户。这包括为域加入打开以下端口。
- 入站规则:
- 允许从客户端ip进入443,1494,2598进行内部启动。
- 允许进入53,88,123,135-139,389,445,636从Citrix VNet (IP范围由客户指定)。
- 允许在使用代理配置打开的端口上入站。
- 客户创建的其他规则。
- 出站规则:
- 允许从443,1494,2598到Citrix VNet(由客户指定的IP范围)进行内部启动。
- 客户创建的其他规则。
使用SD-WAN连接时,Citrix的责任
Citrix支持完全自动化的方式部署虚拟Citrix SD-WAN实例,以实现Citrix虚拟应用程序与Azure和本地资源的桌面标准之间的连接。与VNet对等连接相比,Citrix SD-WAN连接有许多优点,包括:
VDA-to-datacenter和VDA-to-branch (ICA)连接的高可靠性和安全性。
- 办公室工作人员的最终用户体验,具有先进的QoS功能和VoIP优化。
- 内置的能力,检查,优先级,并报告Citrix HDX网络流量和其他应用程序使用情况。
Citrix要求那些想要利用SD-WAN连接的Citrix虚拟应用和Azure桌面标准的客户使用SD-WAN Orchestrator来管理他们的Citrix SD-WAN网络。
下图显示了使用SD-WAN连接的Azure部署Citrix虚拟应用和桌面标准中添加的组件。
针对Azure的Citrix虚拟应用和桌面标准的Citrix SD-WAN部署类似于针对Citrix SD-WAN的标准Azure部署配置。有关更多信息,请参见在Azure上部署Citrix SD-WAN标准版实例.在高可用性配置中,一对带有Azure负载均衡器的active/standby SD-WAN实例被部署为包含VDAs和云连接器的子网与Internet之间的网关。在非ha配置中,只有一个SD-WAN实例被部署为网关。虚拟SD-WAN设备的网络接口从分成两个子网的单独的小地址范围分配地址。
在配置SD-WAN连接时,Citrix对上面描述的托管桌面的网络配置做了一些更改。特别是,从VNet发出的所有流量(包括到Internet目的地的流量)都通过云SD-WAN实例路由。SD-WAN实例还被配置为citrix管理的VNet的DNS服务器。
对虚拟SD-WAN实例的管理访问需要管理员登录和密码。SD-WAN的每个实例都分配了一个惟一的随机安全密码,SD-WAN管理员可以使用该密码通过SD-WAN Orchestrator UI、虚拟设备管理UI和CLI进行远程登录和故障排除。
与其他特定租户特定的资源一样,部署在特定客户VNet中的虚拟SD-WAN实例完全从所有其他VNET隔离。
当客户启用Citrix SD-WAN连接时,Citrix将自动初始部署用于Citrix Azure虚拟应用程序和桌面标准的虚拟SD-WAN实例,维护底层Azure资源(虚拟机、负载均衡器等),为虚拟SD-WAN实例的初始配置提供安全和有效的开箱即用默认值,并支持通过SD-WAN Orchestrator进行持续维护和故障排除。Citrix还采取合理的措施,对SD-WAN网络配置执行自动验证,检查已知的安全风险,并通过SD-WAN Orchestrator显示相应的警报。
SD-WAN连接的防火墙策略
Citrix使用Azure防火墙策略(网络安全组)和公共IP地址分配来限制对虚拟SD-WAN设备网络接口的访问:
- 只有广域网和管理接口被分配公网IP地址,并允许出站连接到Internet。
- LAN接口,作为Citrix-Managed VNET的网关,仅允许使用同一VNet上的虚拟机交换网络流量。
- WAN接口将入方向流量限制在UDP端口4980 (Citrix SD-WAN用于虚拟路径连接),并拒绝出方向VNet的流量。
- 管理端口允许流入端口443 (HTTPS)和22 (SSH)。
- HA接口之间只允许交换控制流量。
访问基础架构
Citrix可以访问客户的Citrix管理的基础设施(云连接器)来执行某些管理任务,如收集日志(包括Windows事件查看器)和重新启动服务,而无需通知客户。Citrix负责安全可靠地执行这些任务,并将对客户的影响降到最低。Citrix还负责确保任何日志文件被安全地检索、传输和处理。无法通过这种方式访问客户vda。
用于非域连接目录的备份
Citrix不负责执行非域连接目录的备份。
计算机映像的备份
Citrix负责备份上传到Citrix Azure虚拟应用和桌面标准的所有机器映像,包括用映像构建器创建的映像。Citrix为这些映像使用本地冗余存储。
非域加入目录的堡垒
如果有必要,Citrix运营人员可以创建一个堡垒,访问客户的Citrix管理的Azure订阅,以诊断和修复客户问题,可能在客户意识到问题之前。Citrix创建堡垒不需要客户的同意。当Citrix创建堡垒时,会为堡垒创建一个随机生成的强密码,并限制RDP访问Citrix的NAT IP地址。当堡垒不再需要时,Citrix会处理它,密码也不再有效。当操作完成时,bastion(及其附带的RDP访问规则)将被处理掉。Citrix只能访问客户的非域加入的云连接器。Citrix没有登录未加入域的VDAs或加入域的Cloud Connectors和VDAs的密码。
使用故障排除工具时的防火墙策略
当客户请求创建一个堡垒机进行故障排除时,将对citrix管理的VNet进行以下安全组修改:
- 暂时允许客户指定的IP范围从客户指定的IP范围到营造。
- 暂时允许从堡垒IP地址到VNet (VDAs和云连接器)中的任何地址的3389入站。
- 继续阻止云连接器、VDAs和其他VDAs之间的RDP访问。
当客户启用RDP访问进行故障处理时,会对citrix管理的VNet进行以下安全组修改:
- 临时允许从客户指定的IP范围到VNet中的任何地址的3389入站(VDAs和云连接器)。
- 继续阻止云连接器、VDAs和其他VDAs之间的RDP访问。
Customer-managed订阅
对于客户管理的订阅,Citrix在部署Azure资源期间遵守上述职责。部署之后,上面的一切都由客户负责,因为客户是Azure订阅的所有者。
客户的责任
VDAs和机器映像
客户负责安装在VDA机器上的软件的所有方面,包括:
- 操作系统更新和安全补丁
- 杀毒软件和防病毒
- VDA软件更新和安全补丁
- 其他软件防火墙规则(特别是出站流量)
- 遵循Citrix安全注意事项和最佳实践
Citrix提供了一个准备好的映像作为起点。客户可以将此映像用于概念验证或演示目的,或作为构建自己的机器映像的基础。Citrix不保证这个准备好的映像的安全性。Citrix将尝试保持准备镜像上的操作系统和VDA软件是最新的,并将在这些镜像上启用Windows Defender。
使用VNet对等时客户责任
客户必须打开中指定的所有端口带有域连接机器的客户管理的VNet.
配置VNET窥视时,客户负责自己的虚拟网络的安全性及其与本地资源的连接。客户还负责来自Citrix管理的诊断虚拟网络的传入流量的安全性。Citrix不会采取任何操作来阻止从Citrix管理的虚拟网络到客户的本地资源的流量。
客户有以下选项限制传入流量:
- 给citrix管理的虚拟网络一个IP块,该IP块没有在客户的本地网络或客户管理的连接虚拟网络的其他地方使用。这是VNet对等所必需的。
- 在客户的虚拟网络和内部网络中添加Azure网络安全组和防火墙,以阻止或限制来自citrix管理的IP块的流量。
- 部署在客户虚拟网络和本地网络中的入侵防御系统,软件防火墙和行为分析引擎等措施,针对Citrix-Managed IP块。
使用SD-WAN连接时,客户负责
配置SD-WAN连接时,客户可以完全灵活地配置与Citrix虚拟应用和桌面标准的Virtual SD-WAN实例,根据其网络要求,除了确保正确运行SD的若干元素WAN在Citrix-Managed VNET中。客户职责包括:
- 设计和配置路由和防火墙规则,包括DNS规则和互联网流量突破规则。
- SD-WAN网络配置维护。
- 监控网络的运行状态。
- 及时部署Citrix SD-WAN软件更新或安全补丁。由于客户网络上的所有Citrix SD-WAN实例都必须运行相同版本的SD-WAN软件,因此,将更新的软件版本部署到Citrix Virtual Apps和Azure SD-WAN实例的台式机标准,需要由客户根据他们的网络维护计划和约束进行管理。
SD-WAN路由和防火墙规则配置错误或SD-WAN管理密码管理不当,可能导致Citrix virtual Apps和desktop Standard for Azure中的虚拟资源以及通过Citrix SD-WAN虚拟路径可达的本地资源存在安全风险。另一个可能的安全风险源于没有将Citrix SD-WAN软件更新到最新可用的补丁版本。虽然SD-WAN Orchestrator和其他Citrix云服务提供了解决此类风险的方法,但客户最终要负责确保适当配置虚拟SD-WAN实例。
代理
客户可以选择是否为来自VDA的出站流量使用代理。如果使用代理,客户需负责:
- 在VDA机器映像上配置代理设置,如果VDA加入了域,则使用Active Directory组策略。
- 代理维护和安全。
代理不允许与Citrix云连接器或其他Citrix管理的基础设施一起使用。
目录弹性
Citrix提供了三种具有不同弹性级别的目录:
- 静态的:每个用户被分配给一个VDA。此目录类型不提供高可用性。如果用户的VDA宕机,则必须将其放在新的VDA上才能恢复。Azure为单实例虚拟机提供了99.5%的SLA。客户仍然可以备份用户配置文件,但对VDA所做的任何定制(如安装程序或配置Windows)都将丢失。
- 随机:每个用户在启动时被随机分配到一个服务器VDA。这种目录类型通过冗余提供高可用性。如果VDA关闭,不会丢失任何信息,因为用户的配置文件驻留在其他地方。
- Windows 10多次写入:此目录类型的操作方式与随机类型相同,但使用Windows 10工作站VDAs而不是服务器VDAs。
域连接目录的备份
如果客户使用带有VNet对等的域连接目录,则客户负责备份其用户配置文件。Citrix建议客户配置本地文件共享,并在其Active Directory或VDAs上设置策略,以从这些文件共享中提取用户配置文件。客户负责这些文件共享的备份和可用性。
灾难恢复
在Azure数据丢失的情况下,Citrix将尽可能恢复Citrix管理的Azure订阅中的资源。Citrix将尝试恢复云连接器和VDAs。如果Citrix无法成功恢复这些项目,客户将负责创建一个新的目录。Citrix假设机器映像已经备份,并且客户已经备份了他们的用户配置文件,从而允许重新构建目录。
在整个Azure区域丢失的情况下,客户要负责在一个新的区域重建客户管理的虚拟网络,并在Citrix Azure虚拟应用和桌面标准中创建新的VNet对等或新的SD-WAN实例。
思杰与客户共担责任
Citrix Cloud Connector用于域加入的目录
Citrix Azure虚拟应用和桌面标准在每个资源位置至少部署两个云连接器。如果某些目录与同一客户的其他目录处于相同的区域、VNet对等关系和域,那么它们可能共享资源位置。Citrix将客户的域加入云连接器配置为映像上的以下默认安全设置:
- 操作系统更新和安全补丁
- 防毒软件
- 云连接器软件更新
客户通常不能访问云连接器。但是,它们可以通过使用目录故障排除步骤和使用域凭据登录来获得访问权限。客户负责通过堡垒登录时所做的任何更改。
客户还通过Active Directory组策略控制域加入的云连接器。客户负责确保适用于云连接器的组策略是安全可乐的。例如,如果客户选择使用组策略禁用操作系统更新,则客户负责执行云连接器上的操作系统更新。客户还可以选择使用组策略来强制安全性,而不是云连接器默认值,例如通过安装不同的防病毒软件。通常,Citrix建议客户将云连接器放入自己的Active Directory组织单位,没有策略,因为这将确保在没有问题的情况下可以应用默认的Citrix使用。
故障排除
如果客户在Citrix Virtual Apps和desktop Standard for Azure中遇到目录问题,有两种解决方法:使用bastions和启用RDP访问。这两种选择都会给客户带来安全风险。在使用这些选项之前,客户必须了解并同意承担此风险。
思杰负责打开和关闭必要的端口,以进行故障排除操作,并限制在这些操作期间可以访问哪些机器。
对于bastion或RDP访问,执行操作的活动用户负责被访问的机器的安全。如果客户通过RDP访问VDA或云连接器并意外感染病毒,则由客户负责。如果思杰技术支持人员进入这些机器,这些人员有责任安全操作。在部署过程中,访问堡垒或其他机器的任何人暴露的任何漏洞(例如,客户负责添加允许列表的IP范围,Citrix负责正确实现IP范围)的责任将在本文档的其他地方涵盖。
在这两种场景中,Citrix都负责正确创建防火墙例外以允许RDP流量。在客户通过Citrix虚拟应用程序和Azure桌面标准结束RDP访问后,Citrix还负责撤销这些异常。
堡垒
Citrix可以在客户的Citrix管理的订阅中,在客户的Citrix管理的虚拟网络中创建堡垒,以主动(不通知客户)或响应客户提出的问题来诊断和修复问题。bastion是一台机器,客户可以通过RDP访问它,然后使用它通过RDP访问VDAs和(对于域加入的目录)Cloud Connectors来收集日志、重新启动服务或执行其他管理任务。默认情况下,创建堡垒将打开外部防火墙规则,允许RDP流量从客户指定的IP地址范围到堡垒机器。它还开放了一个内部防火墙规则,允许通过RDP访问云连接器和VDAs。开放这些规则会带来很大的安全风险。
客户负责提供用于本地Windows帐户的强密码。客户还负责提供允许RDP访问堡垒的外部IP地址范围。如果客户选择不提供IP地址范围(允许任何人尝试访问RDP),则任何恶意IP地址的访问都由客户负责。
在故障排除完成后,客户也负责删除堡垒。堡垒主机暴露额外的攻击表面,因此Citrix自动关闭机器8(8)小时后关闭。但是,Citrix从未自动删除了堡垒。如果客户选择长时间使用堡垒,他们负责修补和更新。Citrix建议在删除之前仅使用营业型营造件。如果客户想要一个最新的堡垒,他们可以删除他们的当前一个,然后创建一个新的堡垒,它将提供一个新的机器,其中包含最新的安全补丁。
RDP访问权限
对于域加入目录,如果客户的VNet对等功能正常,客户可以从其对等的VNet访问其citrix管理的VNet。如果客户使用此选项,则客户将负责通过VNet对等访问VDAs和云连接器。可以指定源IP地址范围,因此可以进一步限制RDP访问,甚至在客户的内部网络内。客户将需要使用域凭据登录到这些机器。如果客户正在与Citrix支持部门合作解决某个问题,则客户可能需要与支持人员共享这些凭证。问题解决后,由客户负责禁用RDP访问。保持RDP访问从客户的对等网络或内部网络开放会带来安全风险。
域凭据
如果客户选择使用域加入的目录,则客户负责为Azure域帐户(用户名和密码)提供Citrix虚拟应用程序和桌面标准,其中包含将计算机连接到域的权限。提供域凭据时,客户负责遵守以下安全原则:
- 可审计的:该帐户应该专门为使用Azure的Citrix虚拟应用程序和桌面标准创建,这样就可以很容易地审计帐户的用途。
- 作用域:该帐户只需要将计算机加入域的权限。它不应该是一个完整的域管理员。
- 安全:应该在帐户上设置一个强密码。
在客户由Citrix管理的Azure订阅中,该域帐户将在Azure密钥库中进行安全存储。只有在操作需要域帐户密码时,才会检索该帐户。
更多的信息
有关信息,请参见:
- Citrix云平台安全部署指南: Citrix云平台的安全信息。
- 技术安全概述:Citrix虚拟应用程序和桌面服务的安全信息
- 第三方通知