指南de déploiement sécurisé pour la plate-forme Citrix Cloud
Le Guide de déploiement sécurisé de Citrix Cloud fournit une vue d’ensemble des建议zh matière de sécurité lors de l’use de Citrix Cloud et décrit les information recueillies et gérées par Citrix Cloud。
Citrix Cloud:
- Vue d’ensemble de la sécurité技术分析
- Vue d 'ensemble de la sécurité端点管理技术
- Vue d 'ensemble de la sécurité技术安全浏览器
- Vue d 'ensemble de la sécurité技术共享文件
- Vue d 'ensemble de la sécurité技术的虚拟应用程序和桌面
- Vue d 'ensemble de la sécurité技术虚拟应用程序和桌面标准倒Azure
计划de controle
管理人员的指示
- 利用过去堡垒和变化régulièrement。
- 所有的管理人员都是由他们自己负责的。请您放心accès à思杰云。
- Les administrateurs d 'un client ont, par défaut, un accès完成à tous Les服务。某些服务渗透de restreindre l 'accès d 'un管理员。提供信息,咨询查单服务。
- L’authentication à deux facteurs pour les administrateurs est assurée grâce à L 'intégration de Citrix Cloud avec Azure Active Directory。
- pardéfaut, Citrix Cloud会见了自动fin aux sessions d ' administrator après 60分钟d 'inactivité。Ce délai d 'expiration de 60分钟ne peut pas être modifié。Inactif会议授权complètement不活跃的行政管理人员和行政代理façon avec la console Citrix Cloud。ActiviteFait référence à action告诉我们导航界面图形,sélection d’options配置,注册修改apportées à la configuration ou l’attente d 'entrée en vigueur d’une修改。
Conformité des mots de passe
Citrix云邀请管理人员à修饰语leurs mots de passe si leur mot de passe actuel date de plus de 60日。过去的新事物répondre à tous Les critères追求者:
- Au moins 12 caractères
- 包括,au monens, une,大写字母,une,小写字母
- 包括冷面包
- 包括au moins un caractère spécial: !@ # $ % ^ * ?+ = -
Règles de modify des mots de passe:
- Au moins un caractère du mot de passe actuel doit être modifié。我的过去是什么意思être utilisé我的过去是什么意思。
- Les 24 mots de past précédents ne peuvent pas être réutilisés。
- 我们的新时代已经过去了être我们的新时代已经开始了。
密码和问题des clés
Le plan de contrôle ne stockke pas les information sensibles du client。Citrix Cloud récupère les information telles que les mots de passe administrator sur demande unique (en effecant un demande explite à l 'administrateur)。我有一个pas de données au repos sensibles ou cryptées,你有一个donc pas besoin de gérer les clés。
倾注les données en vol, Citrix使用标准TLS 1.2 avec les套房的chiffure les和puissantes。Les clients ne peuvent pas contrôler le certificat TLS utilisé, car Citrix Cloud est hébergé sur le domaine cloud.com appartenant à Citrix。Pour accéder à Citrix Cloud, les clients doivent utiliser un navigator compatible TLS 1.2 et avoir configuré des suites de chiffment acceptées。
- Si le云连接器est installé基于Windows Server 2016或Windows Server 2019, les chiffants forts suivt recommandés: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Si le Cloud Connector est installé在Windows Server 2012 R2上,les chiffesforforsont pas pas, les chiffessuivent être utilisés: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
咨询文件spécifique à查查服务加上détails sur le chiffment et la gestdes clés au sein de查查服务。
Souverainete des数据
Le plan de contrôle Citrix Cloud est hébergé aux États-Unis, dans l 'Union Européenne et en Australie。Les clients ne peuvent pas le gérer。
Le client possède et gère les emplacements de resources qu 'il使用avec Citrix Cloud。Un emplacement de resources peut être créé dans Un datacenter, Un cloud, Un emplacement où une zone géographique choisis par le client。données stratégiques de l ' enterprise(文件、计算等);stockées dans les emplacements de resources et contrôlées par le client。
倾内容协作,咨询les资源suivantes倾加上d '信息sur l 'emplacement sur level les données sont stockées:
- 文档内容合作
- 问题fréquemment posées sur la sécurité de ShareFile
- Sécurité et conformité de Citrix共享文件
- 评论建筑,建筑,区域,仓库,仓库
D 'autres服务peuvent提案la possibilité de stocker des données dans différentes régions。Consultez les rubriques考虑geographiques欧Vue d 'ensemble de la sécurité技术(répertoriées au début de cet文)倒查服务。
Aperçu des problèmes de sécurité
乐网站网络status.cloud.com在全球范围内自由行动problèmes de sécurité如果联合国的影响持续在客户身上。Ce网站注册l ' état et les information de disponibilité。我有另一种选择,它是由你和我共同承担的à我们的平台提供个人服务。
Citrix云连接器
安装du Cloud连接器
倾注理由的sécurité和性能,Citrix推荐de ne pas安装程序le logiciel云连接器与contrôleur de domain。
Citrix推荐forment que les machines sur lesquelles le logiciel Cloud Connector est installé se trouvent à l 'intérieur du réseau privé du client et non dans la DMZ。倒la配置système和réseau要求和指示关于云连接器的安装,咨询la部分Citrix云连接器.
配置du Cloud连接器
Le client est负责de l 'installation des mises à jour de sécurité de Windows sur les machines sur lesquelles Le Cloud Connector est installé。
让客户端避免使用杀毒软件和云连接器。Citrix效果测试avec McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8。思杰的防病毒标准。
Dans l 'Active Directory (AD) du client, Citrix推荐forment que le compte d 'ordinateur du Cloud Connector soit limité à un accès en lecture seule。Il s 'agit de la configuration par défaut dans Active Directory。En out, le client peut activer la journal et l 'audit AD sur le compte d 'ordinateur du Cloud Connector pour monitiller toute activité d 'accès à AD。
连接à l 'ordinateur hébergeant le云连接器
Le Cloud Connector permet aux information de sécurité sensibles d ' être transmises à d ' autres composants de plate-forme dans les services Citrix Cloud, mais stockke également les information sensibles suivantes:
- Clés de service pour communique avec Citrix Cloud
- Citrix虚拟应用程序和桌面管理程序的信息识别服务
ce信息敏感sont chiffrées à l 'aide de l 'API de protection des données (DPAPI) sur le server Windows hébergeant le Cloud Connector。Citrix推荐forment d 'autoriser uniquement les administrateurs les + privilégiés à se connecter aux machines Cloud Connector(类似的示例,pour réaliser des opérations de maintenance)。En général, il n 'est pas nécessaire qu 'un administreur se connect à ces machines pour gérer des products Citrix。Le Cloud Connector se gère tout seul。
N 'autorisez pas les utilisateurs à se Connector à des machines hébergeant le Cloud Connector。
安装d 'autres logiciels sur des machines云连接器
Les clients peuvent installer des logiciels antivirus et des outils d ' hypervisor (si installés sur une machine virtuelle) sur Les machines sur lesquelles le Cloud Connector est installé。Toutefois, Citrix推荐客户提供设备安装。D 'autres logiciels créent des攻击的可能性和可能réduire la sécurité la solution global ale de Citrix Cloud。
配置端口进入器和分类器
乐云连接器nécessite que Le port sortant 443 soit ouvert avec accès à Internet。思杰推荐云连接器,可通过互联网接入。
Les client peuvent placer le Cloud Connector derrière un proxy Web pour surveiller ses communications Internet sortants。Cependant, le代理Web dotionner快速通信cryptée SSL/TLS。
乐云连接器peut avoir d ' auterports sortant avec accès à互联网。乐云连接器négocie sur une大型游戏的端口倾优化la bande passante et les performance du réseau si d 'autres端口sont disibles。
Le Cloud Connector避免了大型游戏的进入者,而不是dans Le réseau internet。Le tableau cidessous répertorie les ports ouverts requis。
| 港的客户 | 港口du serveur | 服务 |
|---|---|---|
| 49152 -65535 / UDP | 123 / UDP | W32Time |
| 49152 -65535 / TCP | 135 / TCP | 点的映射决定了RPC的终止 |
| 49152 -65535 / TCP | 464 / TCP / UDP | Kerberos的变更 |
| 49152 -65535 / TCP | 49152 - 65535 / TCP | RPC倒LSA, SAM, Netlogon (*) |
| 49152 -65535 / TCP / UDP | 389 / TCP / UDP | LDAP |
| 49152 -65535 / TCP | 636 / TCP | LDAP SSL |
| 49152 -65535 / TCP | 3268 / TCP | LDAP GC |
| 49152 -65535 / TCP | 3269 / TCP | LDAP GC SSL |
| 49152 -65535 / TCP / UDP | 53 / TCP / UDP | DNS |
| 49152 -65535 / TCP | 49152 -65535 / TCP | FRS RPC (*) |
| 49152 -65535 / TCP / UDP | 88 / TCP / UDP | Kerberos |
| 49152 -65535 / TCP / UDP | 445 / TCP | SMB |
Chacun des services utilisés dans Citrix Cloud étend la liste des ports ouvert requis。Pour plus d ' information, veuillez consulter les resources suivantes:
- Vue d 'ensemble de la sécurité技术倒支票服务(répertoriée au début de cet article)
- 因特网的紧急情况倒思杰云服务
- Exigences要求par应用程序交付管理服务en matière de port
- Exigences要求par Endpoint Management en matière de port
Contrôle des communications sortantes
云连接器通过443端口连接Internet, à提供服务器Citrix云提供服务器Microsoft Azure服务总线。
Le Cloud Connector公报avec les contrôleurs de domaine du réseau local se trouvant au sein de la forêt Active Directory sur laquelle résident les machines hébergeant Le Cloud Connector。
En mode de功能正常,le Cloud Connector公报唯一avec les contrôleurs de domain des domaines qui ne sont pas désactivés sur la pageGestion des identités et des accèsCitrix Cloud. de l 'interface utilisateur。
chque service dans le Citrix Cloud étend la list des servers et des resources internet que le Cloud Connector peut contact au cours de ses opérations normales。En oute, les客户ne peuvent pas contrôler les données que le云连接器使者à Citrix。提供信息和服务资源données envoyées à思杰资源咨询:
- Vue d 'ensemble de la sécurité技术倒支票服务(répertoriée au début de cet article)
- 因特网的紧急情况倒思杰云服务
云连接器
提供相关信息,可利用,可管理,可管理的日志événements Windows sur la machine云连接器。
les journaux d 'installation du Cloud Connector dans les répertoires suivants:
- 当地% AppData % \ \ Temp \ CitrixLogs \ CloudServicesSetup
- % % \ Temp \ CitrixLogs \ CloudServicesSetup列出
云连接器特使云数据:%ProgramData%\Citrix\WorkspaceCloud\Logs。
Les journaux du répertoire WorkspaceCloud\Logs sont supprimés lorsqu 'ils dépassent un seuil de taille spécifié。L ' administrator peut contrôler ce seuil de la taille en réglant la valeur de clé de registry pour HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes。
配置SSL / TLS
La configuration du Cloud Connector de base n 'a pas soin d 'une配置SSL/TLS spéciale。
Le Cloud Connector doit faire confc à l 'autorité de certification utilisée par les certificates SSL/TLS de Citrix Cloud et les certificates SSL/TLS de Microsoft Azure Service Bus。Citrix et Microsoft peuvent change les certificates et les autorités de certification à l 'avenir, mais utilisent toujours des autorités de certification qui font partie de la list des éditeurs approuvés Windows标准。
chque service de Citrix Cloud peut avoir différentes exigences de configuration SSL。倒德加样品资料,咨询拉科Vue d 'ensemble de la sécurité技术倒支票服务(répertoriée au début de cet文)。
Conformité aux normes de sécurité
倒保险公司la conformité aux normes de sécurité, le Cloud Connector s 'auto-gère。Ne désactivez pas les redémarrages et Ne placez pas d ' aures限制在云连接器。ce actions empêchent le Cloud Connector de se mettre à jour lorsqu 'il y a une mise à jour comment。
我们的客户最关心的是如何处理这个问题réagir和problèmes de sécurité。乐云连接器贴花自动校正de sécurité。
Citrix提供云服务
安装电器连接器
L 'appliance Connector est hébergée sur un hyperviseur。Cet hypervisor doit se trouver à l 'intérieur de votre réseau privé et non dans la zone DMZ。
Vérifiez que l 'appliance连接器连接块'accès par défaut。应用程序的自动列表,自动化,独特的交通参加,以'连接器。
确保您的管理人员的请求hébergent沃斯电器连接器的请求installés avec des mises à jour de sécurité à jour。
倒la配置système et réseau请提供关于安装器具连接器的说明,咨询la章节云服务的设备连接器.
Connexion à l 'hyperviseur hébergeant une设备连接器
L '家电连接器大陆une clé de服务渗透de communiquer avec Citrix云。Seuls les administrateurs les + privilégiés doivent être en mesure de se connecter à un hyperviseur hébergeant l’appliance连接器(类似的例子,pour effectuer des opérations de maintenance)。En général, il n 'est pas nécessaire qu 'un administreur se connect à ces hyperviseurs pour gérer des products Citrix。L '家电连接器est auto-gérée。
配置端口进入器和分类器
L 'appliance Connector nécessite que le port sortant 443 soit ouvert avec accès à Internet。思杰推荐电子设备连接器,可通过互联网接入。
Vous pouvez placer l 'appliance连接器derrière代理Web pour监视器通信Internet分类器。Cependant, le代理Web dotionner快速通信cryptée SSL/TLS。
L 'appliance连接器peut规避d ' aures端口分类avec accès à互联网。L 'appliance Connector négocie sur une大型游戏的端口倾优化la bande passante et les performance du réseau si d ' auterports sontdisibles。
L '家电连接器不会与大型游戏的入口和入口相比réseau互联网。Le tableau cidessous répertorie les ports ouverts requis。
| 连接方向 | 设备端口连接器 | 港口外面的 | 服务 |
|---|---|---|---|
| Entrante | 443 / TCP | Quelconque | 接口的Web语言环境 |
| Sortante | 49152 - 65535 / UDP | 123 / UDP | 国家结核控制规划 |
| Sortante | 49152 -65535 / TCP / UDP | 53 / TCP / UDP | DNS |
| Sortante | 67 / UDP | 68 / UDP | DHCP和扩散 |
Chacun des services utilisés dans Citrix Cloud étend la liste des ports ouvert requis。Pour plus d ' information, veuillez consulter les resources suivantes:
- Vue d 'ensemble de la sécurité技术倒支票服务(répertoriée au début de cet article)
- 配置要求système和connectivité倒思杰云服务
Contrôle des communications sortantes
L 'appliance连接器通过Internet端口443连接Citrix Cloud服务器。
chque service dans le Citrix Cloud étend la list des servers et des resources internet que l 'appliance连接器peut contact au courde ses opérations normales。En out, les clients ne peuvent pas contrôler les données que l 'appliance连接器使者à Citrix。提供信息和服务资源données envoyées à思杰资源咨询:
- Vue d 'ensemble de la sécurité技术倒支票服务(répertoriée au début de cet article)
- 配置要求système和connectivité倒思杰云服务
连接器
Vous pouvez télécharger unrapport de diagnostic pour votre appliance连接器包含了多种查询日志。倾倒精明的评论获得和谐,报告-vous à la section云服务的设备连接器.
配置SSL / TLS
L 'appliance Connector n 'a pas besoin de configuration SSL/TLS spéciale。
L 'appliance Connector approved L 'autorité de certification utilisée par les certificates SSL/TLS de Citrix Cloud。Citrix peut modifier les certificate et les autorités de certification à l 'avenir, mais toujours utiliser les autorités de certification que l 'appliance连接器批准。
chque service de Citrix Cloud peut avoir différentes exigences de configuration SSL。倒德加样品资料,咨询拉科Vue d 'ensemble de la sécurité技术倒支票服务(répertoriée au début de cet文)。
Conformité aux normes de sécurité
Pour garantir la conformité à la sécurité, l 'appliance Connector s 'auto-gère et vous ne pouvez pas vous Connector via la console。
你有êtes我的爱,我的爱,我的爱,我的爱。L 'appliance连接器贴花自动校正器sécurité。
确保您的管理人员的请求hébergent沃斯电器连接器的请求installés avec des mises à jour de sécurité à jour。
妥协是必然的
- Vérifiez Citrix云及产品管理部门管理人员名单approuvés。
- Désactivez tous les comptes comptes折中dans l ' annual aire活动目录企业。
- Contactez Citrix et demandez-leur d 'alterner les secrets d ' auisation stockés pour tous les Cloud Connector du client。En function de la gravité du problème de sécurité, effectuez les actions suivantes:
- Faible有伤风化的:Citrix peut alterner进步的秘密。Les Cloud Connector continue à functionner normalement。Les ancient secrets d 'autorisation devienent invalides dans un délai de 2 à 4 semaines。监视云连接器挂件的时间由您的保险公司提供opération在出席时最effectuée。
- 低俗的élevé continuu:Citrix peut révoquer tous les ancient secrets。云连接器只存在一个功能。Pour reprendre le功能正常,客户端doit désinstaller et réinstaller le Cloud Connector sur toutes les machines可应用。