技术安全概述

下图展示了用于Azure部署的Citrix虚拟应用和桌面标准中的组件。本例使用VNet对等连接。

使用Citrix虚拟应用程序和Azure的桌面标准，提供桌面和应用程序的客户的虚拟交付代理（VDA）以及Citrix Cloud Connectors的Azure订阅和Citrix管理的租户。

Citrix基于云的合规性

截至2021年1月，使用Citrix管理Azure容量的Citrix Virtual Apps和Workspace Premium Plus的使用尚未为Citrix SoC 2（类型1或2），ISO 27001，HIPAA或其他云合规性要求进行评估。参观Citrix Trust Center.有关Citrix Cloud认证的更多信息，并经常检查更新。

Citrix责任

Citrix云连接器，用于非域加入目录

Citrix Azure虚拟应用和桌面标准在每个资源位置至少部署两个云连接器。某些目录可以共享资源位置，如果它们与同一客户的其他目录相同。

思杰负责对非加入域的目录云连接器下面的安全操作：

• 应用操作系统更新和安全修补程序
• 安装和维护防病毒软件
• 应用云连接器软件更新

客户无法访问云连接器。因此，Citrix完全负责非域连接目录云连接器的性能。

Azure订阅和Azure Active Directory

Citrix负责为客户创建的Azure订阅和Azure Active Directory（AAD）的安全性。Citrix确保租户隔离，因此每个客户都有自己的Azure订阅和AAD，并防止了不同租户之间的串扰。Citrix还限制了AAD到Citrix虚拟应用程序和桌面标准的AAD用于Azure服务和Citrix操作人员。Citrix访问每个客户的Azure订阅都会受到审核。

使用非加入域的目录的客户可以使用Citrix管理AAD作为工作区的Citrix认证的手段。对于这些客户，思杰会在思杰管理AAD有限权限的用户帐户。然而，无论是客户的用户，也管理员能够执行在Citrix管理AAD的任何行动。如果这些客户选择使用自己的AAD相反，他们是它的安全负全部责任。

虚拟网络和基础架构

在客户的Citrix Managed Azure订阅中，Citrix创建虚拟网络来隔离资源位置。在这些网络中，除了存储帐户、密钥库和其他Azure资源外，Citrix还为VDAs、云连接器和映像构建机创建虚拟机。Citrix与微软合作，负责虚拟网络的安全，包括虚拟网络防火墙。

Citrix可确保默认的Azure防火墙策略（网络安全组）配置为限制对VNet对等和SD-WAN连接中的网络接口的访问。通常，这控制了传入的流量到VDA和云连接器。有关详细信息，请参阅：

• 为天青互联星空等连接防火墙策略
• SD-WAN连接的防火墙策略

客户无法更改此默认防火墙策略，但可以在Citrix创建的VDA机器上部署其他防火墙规则;例如，部分限制传出流量。在Citrix-Created VDA计算机上安装虚拟专用网络客户端或能够绕过防火墙规则的其他软件的客户负责可能导致的任何安全风险。

在Citrix虚拟应用程序和桌面标准中使用Image Builder进行Azure创建和自定义新的机器图像时，端口3389-3390暂时打开Citrix-Managed VNet中，以便客户可以将RDP转到包含新机器的机器图像，自定义它。

使用Azure VNet对等连接时，Citrix的责任

对于用于Azure的Citrix虚拟应用和桌面标准中的VDAs，它可以联系内部域控制器、文件共享或其他内部网资源，Citrix虚拟应用和桌面标准提供了一个VNet对等工作流作为连接选项。客户的citrix管理的虚拟网络与客户管理的Azure虚拟网络相对应。客户管理的虚拟网络可以使用客户选择的云到本地的连接解决方案，如Azure ExpressRoute或iPsec隧道，实现与客户本地资源的连接。

Citrix对VNet窥视的责任仅限于支持工作流程和相关的Azure资源配置，以建立Citrix和客户管理的VNets之间的识别关系。

为天青互联星空等连接防火墙策略

思杰打开或关闭对于使用互联星空对等连接入站和出站流量以下端口。

思杰管理互联星空与非加入域的计算机

• 入境规则
  • 允许端口80、443、1494和2598从VDAs入站到云连接器，并从云连接器入站到VDAs。
  • 允许端口49152-65535从Monitor阴影特性使用的IP范围入站到VDAs。看到Citrix Technologies使用的通信端口。
  • 否认所有其他入境。这包括从VDA到VDA的VENT流量，以及VDA到云连接器。
• 出站规则
  • 允许所有出站通信。

Citrix-Managed VNet，带域加入的机器

• 入境规则：
  • 允许端口80、443、1494和2598从VDAs入站到云连接器，并从云连接器入站到VDAs。
  • 允许端口49152-65535从Monitor阴影特性使用的IP范围入站到VDAs。看到Citrix Technologies使用的通信端口。
  • 否认所有其他入境。这包括从VDA到VDA的VENT流量，以及VDA到云连接器。
• 出站规则
  • 允许所有出站通信。

客户管理的VNet，带域加入的机器

• 它是由客户正确地配置自己的互联星空。这包括打开以下端口加入域。
• 入境规则：
  • 允许从客户IPS的443,1494,2598的入站进行内部启动。
  • 允许从Citrix VNET的53,88,123,135-139,389,445,636的入站（客户指定的IP范围）。
  • 允许在使用代理配置打开的端口上入站。
  • 客户创建的其他规则。
• 出站规则:
  • 允许从443,1494,2598到Citrix VNet(由客户指定的IP范围)进行内部启动。
  • 客户创建的其他规则。

使用SD-WAN连接时Citrix责任

Citrix支持完全自动化的方式部署虚拟Citrix SD-WAN实例，以实现Citrix虚拟应用程序与Azure和本地资源的桌面标准之间的连接。与VNet对等连接相比，Citrix SD-WAN连接有许多优点，包括:

高可靠性和VDA到数据中心和VDA - 转移（ICA）连接的安全性。

• 办公室工作人员的最终用户体验，具有先进的QoS功能和VoIP优化。
• 内置能力检查，优先级，并报告Citrix HDX网络流量和其他应用程序使用情况。

Citrix需要希望利用Citrix虚拟应用程序和桌面标准的SD-WAN连接的客户来使用SD-WAN Orchestrator来管理他们的Citrix SD-WAN网络。

下图显示了使用SD-WAN连接的Azure部署Citrix虚拟应用和桌面标准中添加的组件。

针对Azure的Citrix虚拟应用和桌面标准的Citrix SD-WAN部署类似于针对Citrix SD-WAN的标准Azure部署配置。有关更多信息，请参见部署思杰SD-WAN标准版实例在Azure上。在高可用性配置中，活动/备用对SD-WAN天青负载平衡器的实例被部署为因特网含VDAS和云连接器子网之间的网关，和。在非HA配置中，只有一个SD-WAN实例被部署为网关。虚拟SD-WAN设备的网络接口从一个单独的小地址范围分割分配的地址分为两个子网。

配置SD-WAN连接时，Citrix对上述托管桌面的网络配置进行了一些更改。特别是，来自VNET的所有传输流量，包括到互联网目标的流量，通过云SD-WAN实例路由。SD-WAN实例还被配置为是Citrix-Managed VNet的DNS服务器。

管理访问虚拟SD-WAN实例需要管理员登录和密码。SD-WAN的每个实例都被分配了一个唯一的随机安全密码，可由SD-WAN管理员使用SD-WAN Orchestrator UI，虚拟设备管理UI和CLI进行故障排除。

就像其他租户特定的资源一样，部署在特定客户VNet中的虚拟SD-WAN实例完全从所有其他VNETS隔离。

当客户启用Citrix SD-WAN连接时，Citrix自动执行Citrix虚拟应用和Azure桌面标准使用的虚拟SD-WAN实例的初始部署，维护底层Azure资源（虚拟机，负载均衡器等），提供安全和高效的框外默认为虚拟SD-WAN实例的初始配置，并通过SD-WAN Orchestrator实现持续的维护和故障排除。Citrix还采用合理的措施来执行SD-WAN网络配置的自动验证，检查已知安全风险，并通过SD-WAN Orchestrator显示相应的警报。

SD-WAN连接的防火墙策略

Citrix使用Azure防火墙策略(网络安全组)和公共IP地址分配来限制对虚拟SD-WAN设备网络接口的访问:

• 只有WAN和管理接口分配公网IP地址，并允许出站连接到Internet。
• LAN接口，作为Citrix-Managed VNET的网关，只允许使用同一VNet上的虚拟机交换网络流量。
• WAN接口将入方向流量限制在UDP端口4980 (Citrix SD-WAN用于虚拟路径连接)，并拒绝出方向VNet的流量。
• 管理端口允许向端口443（HTTPS）和22（SSH）的入站流量。
• HA接口只允许互相交换控制流量。

访问基础架构

Citrix可以访问客户的Citrix管理的基础设施(云连接器)来执行某些管理任务，如收集日志(包括Windows事件查看器)和重新启动服务，而无需通知客户。Citrix负责安全可靠地执行这些任务，并将对客户的影响降到最低。Citrix还负责确保任何日志文件被安全地检索、传输和处理。无法通过这种方式访问客户vda。

用于非域连接目录的备份

Citrix不负责执行非域加入目录的备份。

为备份机映像

Citrix负责备份上传到Citrix虚拟应用程序和Azure的桌面标准的任何机器图像，包括使用Image Builder创建的图像。Citrix为这些图像使用本地冗余存储。

非域加入目录的堡垒

思杰操作人员有，创建一个堡垒必要时可访问客户的思杰管理Azure订阅的诊断和修复客户问题，可能以前的客户已经意识到了问题的能力。思杰不需要经客户同意建立一个堡垒。思杰创建堡垒，思杰创建堡垒和限制RDP访问思杰NAT IP地址的强随机生成的密码。当不再需要堡垒，思杰的其配置和密码将不再有效。堡垒（和其伴随的RDP访问规则）配置在操作完成时的。思杰与堡垒，只能访问客户的非加入域的云连接器。思杰没有登录到非加入域的VDAS或加入域的云连接器和VDAS密码。

使用故障排除工具时的防火墙策略

当客户请求创建用于故障排除的堡机时，将对Citrix-Managed VNET进行以下安全组修改：

• 暂时允许从客户指定的IP范围内允许3389入站到堡垒。
• 暂时允许从堡垒IP地址到VNet (VDAs和云连接器)中的任何地址的3389入站。
• 继续阻止云连接器、VDAs和其他VDAs之间的RDP访问。

当客户启用RDP访问进行故障排除时，将对Citrix-Managed VNET进行以下安全组修改：

• 临时允许从客户指定的IP范围到VNet中的任何地址的3389入站(VDAs和云连接器)。
• 继续阻止云连接器、VDAs和其他VDAs之间的RDP访问。

Customer-managed订阅

对于客户管理的订阅，Citrix在部署Azure资源期间遵循上述职责。在部署之后，以上的一切都归功于客户的责任，因为客户是Azure订阅的所有者。

客户的责任

VDAs和机器映像

客户负责安装在VDA机器上的软件的所有方面，包括:

• 操作系统更新和安全补丁
• 防病毒和反恶意软件
• VDA软件更新和安全补丁
• 其他软件防火墙规则（特别是出站流量）
• 遵循Citrix安全考虑和最佳实践

Citrix提供了一种旨在作为起点的准备的图像。客户可以使用此图片来验证概念或演示目的或作为构建自己机器图像的基础。Citrix不保证此准备好图像的安全性。Citrix将尝试在准备好的图像上保持操作系统和VDA软件最新，并将在这些图像上启用Windows Defender。

使用VNet对等时客户责任

客户必须打开中指定的所有端口客户管理的VNet，带域加入的机器。

配置VNET窥视时，客户负责自己的虚拟网络的安全性及其与本地资源的连接。客户还负责来自Citrix管理的诊断虚拟网络的传入流量的安全性。Citrix不会采取任何操作来阻止从Citrix管理的虚拟网络到客户的本地资源的流量。

客户有以下内容限制传入流量：

• 给citrix管理的虚拟网络一个IP块，该IP块没有在客户的本地网络或客户管理的连接虚拟网络的其他地方使用。这是VNet对等所必需的。
• 添加Azure的网络安全组和防火墙客户的虚拟网络和本地网络阻塞或从Citrix管理IP块限制流量。
• 部署客户虚拟网络和本地网络中的入侵防御系统，软件防火墙和行为分析引擎等措施，针对Citrix-Managed IP块。

使用SD-WAN连接时的客户责任

当SD-WAN连接配置，客户有充分的灵活性配置虚拟SD-WAN根据自己的网络需求与Citrix虚拟应用和桌面标准用于天青，有几个要素的异常情况下，需要确保SD-的正确操作WAN在Citrix管理的VNet中。客户职责包括：

• 路由和防火墙规则的设计和配置，包括DNS和Internet流量突破的规则。
• SD-WAN网络配置维护。
• 监控网络的运行状态。
• 思杰SD-WAN软件更新或安全修补程序及时部署。由于客户网络上的Citrix SD-WAN的所有实例都必须运行同一版本的SD-WAN软件，更新软件版本的Citrix虚拟应用和桌面标准的部署Azure的SD-WAN情况下需要根据由客户来管理自己的网络维护计划和约束。

SD-WAN路由和防火墙规则的配置不正确或SD-WAN管理密码的管理不当，可能会导致Citrix虚拟应用程序和Azure中的桌面标准中的虚拟资源的安全风险，以及通过Citrix SD-WAN可访问的本地资源虚拟路径。另一种可能的安全风险源于未更新Citrix SD-WAN软件到最新的可用修补程序版本。虽然SD-WAN Orchestrator和其他Citrix Cloud服务提供了解决此类风险的方法，但客户最终负责确保适当配置虚拟SD-WAN实例。

代理

客户可以选择是否为来自VDA的出站流量使用代理。如果使用代理，客户需负责:

• 配置VDA计算机图像上的代理设置，或者如果VDA使用Active Directory组策略连接到域。
• 代理的维护和安全性。

代理不允许与Citrix云连接器或其他Citrix管理的基础设施一起使用。

目录弹性

Citrix提供三种类型的目录，具有不同水平的弹性：

• 静态的:每个用户都被分配给单个VDA。此目录类型不提供高可用性。如果用户的VDA下降，他们将不得不被放置在一个新的恢复。Azure提供了单一实例的虚拟机99.5％的SLA。客户还可以备份用户的个人资料，但对VDA所做的任何自定义（如安装程序或配置Windows）都将丢失。
• 随机的：每个用户在启动时被随机分配到一个服务器VDA。这种目录类型通过冗余提供高可用性。如果VDA关闭，不会丢失任何信息，因为用户的配置文件驻留在其他地方。
• Windows 10多次次数：此目录类型以与随机类型相同的方式操作，但使用Windows 10 Workstation VDA而不是服务器VDAS。

备份加入域的目录

如果客户使用具有VNet凝视的域加入的目录，则客户负责备份其用户配置文件。Citrix建议客户在其Active Directory或VDA上配置本地文件共享，并在其活动目录或VDA上设置策略，以从这些文件共享中提取用户配置文件。客户负责这些文件共享的备份和可用性。

灾难恢复

在Azure数据丢失的情况下，Citrix将尽可能多地恢复Citrix管理的Azure订阅中的许多资源。Citrix将尝试恢复云连接器和VDA。如果Citrix恢复这些项目不成功，则客户负责创建新目录。Citrix假定机器图像备份，客户已备份其用户配置文件，允许重建目录。

如果丢失整个Azure区域，客户负责将其客户管理的虚拟网络重建在新区域中，并在Citrix虚拟应用程序和桌面标准中创建新的VNet凝视或新的SD-WAN实例为Azure。

Citrix和客户共享责任

Citrix Cloud Connector用于域加入目录

Citrix Azure虚拟应用和桌面标准在每个资源位置至少部署两个云连接器。如果某些目录与同一客户的其他目录处于相同的区域、VNet对等关系和域，那么它们可能共享资源位置。Citrix将客户的域加入云连接器配置为映像上的以下默认安全设置:

• 操作系统更新和安全补丁
• 防毒软件
• 云连接器软件更新

客户通常不会访问到云连接器。然而，他们可以通过使用目录故障排除步骤，并与域凭据登录获取访问。客户负责通过堡垒登录时，他们所做的任何更改。

客户还通过Active Directory组策略来控制域加入的云连接器。客户负责确保适用于云连接器的组策略是安全可乐的。例如，如果客户选择使用组策略禁用操作系统更新，则客户负责执行云连接器上的操作系统更新。客户还可以选择使用组策略来强制安全性，而不是云连接器默认值，例如通过安装不同的防病毒软件。通常，Citrix建议客户将云连接器放入自己的Active Directory组织单位，没有策略，因为这将确保可以在没有问题的情况下应用默认的Citrix使用。

故障排除

如果客户在Citrix Virtual Apps和desktop Standard for Azure中遇到目录问题，有两种解决方法:使用bastions和启用RDP访问。这两种选择都会给客户带来安全风险。在使用这些选项之前，客户必须了解并同意承担此风险。

Citrix负责打开和关闭必要的端口以执行故障排除操作，并限制在这些操作期间可以访问哪种机器。

使用Bastions或RDP访问权限，执行操作的活动用户负责访问正在访问的计算机的安全性。如果客户通过RDP访问VDA或云连接器，并且不小心收缩病毒，客户负责。如果Citrix支持人员访问这些机器，那么这些人员责任安全执行操作。在部署中访问堡垒或其他机器的任何人都公开的任何漏洞的责任（例如，在本文档中的其他地方覆盖了允许列表的客户责任，以允许列表，将Citrix执行IP范围）。

在这两种场景中，Citrix都负责正确创建防火墙例外以允许RDP流量。在客户通过Citrix虚拟应用程序和Azure桌面标准结束RDP访问后，Citrix还负责撤销这些异常。

堡垒

Citrix可以在客户的Citrix-Managed订阅中创建客户的Citrix管理的虚拟网络中的堡垒，以诊断和修复问题，主动（没有客户通知）或以响应客户提出的问题。堡垒是客户可以通过RDP访问的机器，然后用于通过RDP访问VDA和（对于域加入的目录）云连接器来收集日志，重新启动服务或执行其他管理任务。默认情况下，创建Bastion打开外部防火墙规则，以允许从客户指定的IP地址范围到堡机的RDP流量。它还打开内部防火墙规则，以允许通过RDP访问云连接器和VDA。打开这些规则会带来大量的安全风险。

客户负责提供用于本地Windows帐户的强密码。客户还负责提供允许RDP访问堡垒的外部IP地址范围。如果客户选择不提供IP地址范围(允许任何人尝试访问RDP)，则任何恶意IP地址的访问都由客户负责。

故障排除完成后，客户还负责删除营业堡垒。堡垒主机暴露额外的攻击表面，因此Citrix自动关闭机器8（8）小时后关闭。但是，Citrix从未自动删除了堡垒。如果客户选择在长时间使用堡垒，他们负责修补和更新。Citrix建议在删除它之前仅使用几天的植物。如果客户想要最新的堡垒，他们可以删除当前的营业，然后创建一个新的堡垒，这将提供一个带有最新安全补丁的新机器。

RDP访问权限

对于域加入目录，如果客户的VNet对等功能正常，客户可以从其对等的VNet访问其citrix管理的VNet。如果客户使用此选项，则客户将负责通过VNet对等访问VDAs和云连接器。可以指定源IP地址范围，因此可以进一步限制RDP访问，甚至在客户的内部网络内。客户将需要使用域凭据登录到这些机器。如果客户正在与Citrix支持部门合作解决某个问题，则客户可能需要与支持人员共享这些凭证。问题解决后，由客户负责禁用RDP访问。保持RDP访问从客户的对等网络或内部网络开放会带来安全风险。

域凭证

如果客户选择使用域加入的目录，则客户负责为Azure A域帐户（用户名和密码）提供Citrix虚拟应用程序和桌面标准，其中包含将计算机连接到域的权限。提供域凭据时，客户负责遵守以下安全原则：

• 可审计：应专门为Citrix虚拟应用程序和桌面标准创建帐户，用于Azure使用，以便允许审核该帐户的使用情况。
• 作用域：该帐户只需要将计算机加入域的权限。它不应该是一个完整的域管理员。
• 安全:应将强密码放在帐户上。

在客户由Citrix管理的Azure订阅中，该域帐户将在Azure密钥库中进行安全存储。只有在操作需要域帐户密码时，才会检索该帐户。

更多信息

有关相关信息，请参见：

• Citrix云平台安全部署指南：针对Citrix云平台的安全性信息。
• 技术安全概述：Citrix虚拟应用程序和桌面服务的安全信息
• 第三方通知