技术白皮书：Citrix Virtual Apps and Desktops 的安全最佳做法

免责声明：此信息按“原样”提供，不附带任何形式的保证。它仅供参考，Citrix 可自行决定随时对其进行更改。

简介

包括医疗保健、政府和金融服务在内的全球性组织依靠 Citrix Virtual Apps and Desktops (CVAD) 提供对环境和应用程序的安全远程访问。正确配置后，CVAD 可以提供远远超出企业操作系统本机可用的安全措施。Citrix 提供了额外的控件，您可以通过使用虚拟化来启用这些控件。

本技术白皮书分享了一些建议和资源，可帮助您为虚拟化环境建立安全基准。我们重点介绍您可以进行的一些最重要的安全改进。在修改您的生产环境之前，请务必在测试或开发环境中尝试执行类似的更改。测试可以帮助您避免出现意外的问题或结果。

本技术白皮书使用了 Citrix 专业服务开发的传统分层方法：

在 Citrix 分层模型中，安全性没有自己的层。任何安全流程或安全功能都在各层之间交织在一起。至关重要的是，要在整个基础结构（包括围绕基础结构的流程）中覆盖安全性。

组织是否需要符合特定安全标准才能满足监管要求？本文档不涉及该主题，因为此类安全标准随着时间的推移而发生变化。有关安全标准和 Citrix 产品的最新信息，请访问Security and Compliance Information（安全性和合规性信息）和Citrix Trust Center（Citrix 信任中心）。

用户和设备层

企业如何帮助其最终用户连接到虚拟桌面？可以使用自带设备 (BYOD) 或企业发行的设备等选项。两者都有自己的运营开销。端点交付模型可能具有许多设计意义，包括围绕可以将哪些功能卸载到端点的决策。从 BYOD 设备连接的用户可能无法访问剪贴板、客户端驱动器映射 (CDM) 或打印。从“受信任的”企业拥有的设备连接的用户可以访问剪贴板和本地驱动器。端点设备没有“一刀切”。必须根据用例、移动性、性能、成本和安全性要求来选择端点客户端

设备锁定

端点设备有可能被用作攻击载体，包括诸如键盘记录器或网络入口点之类的攻击。使用 Citrix 的好处是减少了鼠标、键盘和屏幕刷新的入口点。用户可能需要更多功能，例如访问本地客户端驱动器、打印设施和剪贴板功能。该功能可以使用 Citrix 策略进行配置。Citrix 具有降低攻击载体风险的控制措施，例如反键盘记录和禁用任何入口点和出口点。

这些问题都是 IT 支持团队在向最终用户部署设备时要考虑的问题。

• 用户是否需要设备上的本地管理权限？
• 端点设备上正在运行什么其他软件？可以安装其他软件吗？
• 用户是否具有 VPN 功能？
• 谁在根据操作系统和应用程序修补更新设备？
• 端点可以访问哪些资源？
• 谁有权访问端点本身？

端点日志记录

即使用户无法在端点上安装软件，也要确保已启用并集中捕获日志。这些日志可以帮助您了解违规中发生了什么。也可以将其提供给取证分析师进一步审查。日志记录是任何环境及其安全监视过程的关键要素。将所有日志转发到安全信息和事件管理 (SIEM) 系统也是一种不错的做法。此详细信息允许您针对已知的攻击方法或其他关键事件设置警报。

与任何类型的数据收集一样，重要的是不仅要收集数据，还要能够对其进行分析。报告的数据量很容易让人不知所措。请确保您可以检测到潜在警报并做出响应。

瘦客户端终端

在许多情况下，瘦客户端设备非常适合高风险环境。瘦客户端运行专门的操作系统版本，只有足够的操作系统和应用程序来连接到 Citrix 会话。在这种情况下，修补有好处。在瘦客户端中，需要修补和维护的应用程序数量有限。通常情况下，操作系统占用的空间较小。由于设备具有专门构建的简化版操作系统，因此端点上的静态数据有限。

对于运行完整版操作系统的瘦客户端终端，使用写入过滤器来停止数据的持久性非常有用。在重新启动时重置终端可以减少攻击者在端点上保留可用于发起攻击的数据的机会。请确保您没有销毁日志和其他重要数据，因为日后的取证分析需要这些数据。瘦客户端终端的额外好处是，购买和维护通常比传统的台式机或便携式计算机便宜。

修补

修补程序管理必须是选择端点时最重要的考虑因素之一。企业如何将安全修复程序应用到端点？在大多数传统 Windows 环境中，计算机通过 Windows Services Update Service (WSUS)、System Center Configuration Manager (SCCM) 或其他自动化服务向其推送修补程序。如果企业 IT 负责管理端点，这些服务将非常有用。

BYOD 怎么样？谁修补了这些设备以确保它们是最新的？随着在家办公的快速增长，端点修补变得更加复杂。在定义策略时，必须明确用户的责任。需要该策略来确保用户知道如何修补和更新其设备。登录页面上的简单通知提示已发布新更新，需要尽快对其进行修补是一种方法。还可以在端点上使用Endpoint Analysis Scans (EPA)来拒绝对基础结构的访问，除非它们正在运行最新的软件。

同样重要的是要确保 Citrix Workspace 应用程序已在端点上修补并保持最新状态。Citrix 不仅提供功能增强，还提供新版本中的安全修补程序。

应用程序保护策略

最终用户被广泛认为是组织的攻击面上最弱的部分。攻击者使用复杂的方法欺骗用户在其端点上安装恶意软件已成为一种常见的做法。安装后，恶意软件可以无提示收集和泄露敏感数据。 用户的凭据、敏感信息、公司的知识产权或机密数据都是攻击目标。随着 BYO 设备的增加，端点变得更加暴露的维修面。以及从非托管端点访问公司资源时。许多用户在家工作，由于端点设备不可信，组织面临的风险增加。

通过使用虚拟应用程序和桌面，端点的攻击面已大大减小。数据集中存储在数据中心中，攻击者更难窃取数据。虚拟会话未在端点上运行，用户通常没有在虚拟会话中安装应用程序的权限。会话中的数据在数据中心或云资源位置中是安全的。但是，遭到入侵的端点可以捕获会话击键和端点上显示的信息。Citrix 使管理员能够使用名为“应用程序保护”的附加功能来阻止这些攻击载体。该功能使 CVAD 管理员能够专门针对一个或多个交付组强制执行策略。当用户从这些交付组连接到会话时，用户的端点具有反屏幕捕获或反键盘记录功能，或者同时在端点上强制执行两者。

您可以在应用程序保护策略技术简报中找到更多信息。

帐户管理

在用户和设备层，人们一直将重点放在设备安全上。诸如用户帐户创建和资源分配授权流程之类的操作需要集中化和高效管理。很多时候，帐户只是从具有相似角色的用户那里“复制”。它可以加快登录速度，但会在权限和中央目录中未经授权的组成员资格方面造成蠕变。从以前的帐户复制用户的权限也可能会导致对数据的未经授权的访问。理想情况下，数据所有者必须先授权任何组请求，然后才能被允许访问。

如果与 HR 系统正确集成，停用帐户可能很简单。有时，企业需要灵活地从第三方进出资源。供应商帐户，并为繁忙时期和外包业务时提供额外的支持。这些帐户是如何停用并最终被删除的？在最佳情况下，企业已经明确界定了任何合同资源的登录和登出程序。完成登出并将结束日期设置为最小日期，禁用该帐户并移至 Active Directory 中的“持有 OU”。然后，当资源被确认为不再需要时，必须将其删除。最终，我们不希望合同工在离开公司几个月后登录。

访问层

在 Citrix 设计过程中，访问层是用户进行身份验证的位置。访问层应用了必要的策略，并且评估了基于上下文的动态访问。访问层在设计时考虑了很高的安全级别，非常重要。

在接下来的部分中，我们将介绍帮助您更好地保护 Citrix ADC 部署安全的主要任务。Citrix ADC 有两种常见的部署类型。一种方法是使用 ADC 作为 CVAD 部署的代理。另一种方法是让负载平衡应用程序提高其可用性和安全性。遵循本文档中包含的详细信息有助于降低 Citrix ADC 正在与之交互的项目的风险和暴露的风险。

强身份验证

对于与任何内部系统的所有外部连接，建议使用强身份验证。不幸的是，攻击者可以搜索到大量的用户名和密码。它们来自过去的违规和泄漏，有超过 123 亿条记录。随着越来越多的记录可用，这个数字会增加贵公司遭到入侵的风险。 世界上几乎每个人都会重复使用密码，并且由于用户的不良密码习惯，您的业务可能会面临风险。用户名和密码不能作为应用程序的唯一防御措施。 您绝不能天生就信任那些只有两条很容易被窃取的信息的人。在用户的工作流程中，向所有应用程序添加多重身份验证并不总是可行的，但我们建议您尽可能进行部署，尤其是对于外部访问。

可以在产品文档中找到更多信息。

HDX 加密

它早已成为启用 RC5 - 128 位作为 HDX/ICA 流的安全加密的标准。它在 ICA 流上提供一定程度的安全性。我们建议您在端点与 VDA 之间的 ICA 流上启用 VDA SSL。请在 ADC 与 VDA 之间启用 SSL，这是额外的加密级别。该配置将证书绑定到桌面服务。它将 ICA 流加密为绑定证书的给定标准。有关如何执行此过程的详细信息，请阅读CTX220062。

SSL/TLS 密码

验证所有外部 VIP (Citrix Gateway) 的传输层安全性 (TLS) 密码和 SSL 分数。在过去的几年中，SSL 和 TLS 协议中存在许多漏洞。请确保您正在使用所有不断变化的 TLS 最佳做法。请务必禁用 SSLv3、TLS 1.0 和 TLS 1.1 等较旧的协议。

在通配符或 SAN 证书之间进行选择是此过程的另一个方面。通配符可能具有成本效益，但也可能更复杂。证书过期会严重影响具有大量主机的部署。但是，SAN 证书实际上只能是 2-5 个站点的受限通配符。所有这些都可以在同一个证书中使用多个顶级域名。

有关最新建议，请阅读Citrix Networking SSL/TLS 最佳做法。

加密 XML

请确保从 Delivery Controller 或 Cloud Connector 到 StoreFront 服务器的 XML 流量始终处于加密状态。其目的是防止具有简单网络访问权限的人看到用户正在请求的内容。每台服务器都需要证书，同时更改每台服务器的配置以使用新的加密端口（默认情况下为端口 443）。可以在产品文档中找到更多信息。

高安全性建议- 对于高安全性部署，建议使用非标准端口进行模糊处理。还要确保在 XML 流量的服务器角色之间配置了防火墙，以双向控制流量。

StoreFront SSL

对于任何 StoreFront 部署，我们强烈建议使用加密的基本 URL。加密可确保凭据和会话启动数据都不会在没有传输保护的情况下在网络中传播。在大多数部署中，证书可以由内部证书颁发机构颁发。作为外部设备的 Citrix Gateway 的ICA Profile（ICA 配置文件）设置的一部分，这些服务器位于 Citrix ADC 部署后面。或者它们位于通常只能由内部设备访问的 Citrix ADC VIP 后面。请务必使用强密码和 TLS 1.1 或 1.2 进行服务器通信。有关此过程的详细信息在Microsoft 文档中进行了概述。

高安全性建议- 在高安全性部署中，我们建议您启用 ICA 文件签名，以确保 Citrix Workspace 应用程序接收的文件受信任。StoreFront 产品文档中概述了此过程。

VDA加密

VDA加密通常是最后为提高会话传输安全性而配置的项目之一。配置在 VDA 和交付组对象上完成。

高安全性建议- 在高安全性部署中，我们建议您启用 VDA 加密以进一步保护 Citrix 会话信息的传输安全。使用 PowerShell 脚本是最简单的方法，产品文档中概述了该过程。

控制物理访问

Citrix ADC 设备必须部署在具有足够物理访问控制的安全位置，以保护其免受未经授权的访问。此要求适用于物理模型及其 COM 端口。它也适用于虚拟化主机上的虚拟模型及其关联的 ILO\DRAC 连接。请在Citrix ADC 产品文档 - 物理安全最佳做法中查找更多信息。

更改默认密码

拥有任何 IT 社区已知的默认密码都是一个巨大的风险。有些网络扫描程序可以搜索在给定网络上使用的默认凭据。只需更改默认密码，即可轻松降低甚至消除这些扫描程序的有效性。所有服务帐号密码都必须存储在密码管理器等安全位置。安全存储所有服务帐户密码是一项基本的信息安全标准。每个角色和部署（高可用性对）的密码必须是唯一的，并且不得重复使用凭据。请在Citrix ADC 产品文档 - 更改默认密码中查找更多信息。

• nsroot- 请在开始执行设备的初始配置时更改默认值。此帐户允许完全管理访问权限，在部署此系统时，保护此密码必须是头等大事。如果您要在 2020 中部署新的 Citrix ADC 系统，则会将设备的序列号作为默认密码。
  • 请创建第二个超级用户，以便在外部身份验证关闭时在紧急情况下使用。请使用此帐户，而非使用默认的nsroot帐户。请在Citrix ADC 产品文档 - 创建备用超级用户帐户中查找更多信息。
  • SDX 用户还必须创建管理配置文件，以便为每个已预配的 VPX 实例配置默认管理员密码。我们建议您为每个实例创建不同的管理员配置文件。每个高可用性对都有相同的密码，但对其他实例来说是唯一的。请在知识库文章 CTX215678中查找更多信息
• 开灯管理 (Lights on Management, LOM)- 此帐户在许多物理 Citrix ADC 平台中都很常见。它 允许访问设备的命令行和电源管理。它还具有默认密码，必须在初始配置时更改这些密码，以帮助防止未经授权的远程访问。
• 密钥加密密钥 (Key-Encryption-Key, KEK) 密码- 此配置对每个设备上的敏感密码区域进行本地加密。请在 KEK 章节中查找更多信息。
• SVM 管理员帐户- 此帐户和密码更改仅适用于 Citrix ADC SDX 平台。它具有默认nsroot密码，并且不像物理设备那样使用序列号。密码必须在初始配置时进行更改，以帮助防止未经授权的远程访问。

保护来自所有网络访问的 NSIP 流量

必须拒绝网络中的每台设备管理 Citrix ADC 设备的功能。您的管理 IP 地址必须位于控制入口和出口流量的 VLAN 中。此配置可确保只有授权的特权工作站或其他授权的网络才能访问这些地址以进行管理。在过去 10 多年中发现的许多漏洞都与有权访问 NSIP 有关。通过以受控的方式保护这些 IP，您可以大幅减少这种攻击载体或者将其完全消除。无论何时限制对任何 IT 系统的管理的访问，都必须对其进行彻底的记录。 最好制定业务连续性计划，以便清楚地了解其影响。

• 请确保子网 IP (SNIP) 和映射的 IP (MIP) 未启用管理功能。启用管理功能将使您的 DMZ 网络有权通过 SNIP 或 MIP 访问管理控制台。
• 要查看此选项，请浏览您的 SNIP，或者通过 HTTP 和 HTTPS 浏览 MIP。在控制台中，导航到“System”（系统）-“Network”（网络）-“IPs”（IP），选择 IP，然后查看是否选中了管理复选框。
• 还可以使用访问控制列表来限制对 ADC 设备管理的访问。可以在不将管理接口置于防火墙后面的情况下限制特定主机或子网。可以在CTX228148 - How to Lock Down Citrix ADC Management Interfaces with ACLs（CTX228148 - 如何使用 ACL 锁定 Citrix ADC 管理接口） 和Citrix ADC 产品文档 - 网络安全中找到更多信息。
• 如果将 Citrix ADC 置于防火墙后面，则必须根据设备提供的服务进行规划。还要规划对每台设备的管理接口的访问权限。同时，还要规划任何支持的维护或安全设备，例如 Citrix Application Delivery Management (ADM) 和 Citrix Analytics。可以在Citrix 技术使用的通信端口)和CTX113250 - Sample DMZ Configuration（CTX113250 - 示例 DMZ 配置）中找到更多信息。
• 在安全性更高的部署中，您还可以更改默认 HTTP (TCP 80) 和 HTTPS (TCP 443) 的管理端口。请将其更改为自定义端口以创建模糊处理并帮助防止从典型扫描中进行识别。每台设备必须单独更换。可以在Citrix ADC 产品文档中找到更多信息。
• 请限制来自部署了 Citrix ADC 的管理网络的所有出口（出站）和入口（入站）流量。没有任何限制以及对这些管理网络的监视会增加该设备的风险。对于 Citrix ADC 等关键设备，必须将管理限制在特定的特权工作站，以降低潜在攻击的风险。请控制外部访问以阻止或减缓任何攻击者访问其他设备的速度。防止攻击者访问托管在您的网络之外的命令和控制软件。
• 请将所有 NISIP、LOM 和 SVM 以及 Citrix ADC 管理 IP 与其他网络设备分隔开来。根据您的策略标准，请将 LOM 置于物理网络和带外管理网络中，并与其他类似的系统一起使用。请将 NSIP 和 SVM 放置在另一个单独的网络上。请仅将 VLAN 用于 Citrix ADC 管理 IP 可以简化您的防火墙和 ACL 规则。请在内部限制对特权工作站的访问并限制外部访问。

将 Citrix ADC 绑定到 LDAPS

我们不建议使用通用登录帐户进行日常管理。当 IT 团队中的nsroot完成了所有配置更改时，您将无法跟踪谁登录并进行了特定更改。更改nsroot帐户密码后，系统应立即绑定到 LDAPS，以跟踪特定用户帐户的使用情况。此步骤提供委派控制，因此，您可以为审核团队和应用程序团队创建View Only（仅查看）组。然后，您可以允许对特定 AD 组具有完全管理员权限。我们不建议使用未加密的 LDAP 进行绑定，因为，凭据可以通过数据包捕获来收集。您可以在CTX212422中找到更多信息

如果您要绑定到 Microsoft Active Directory，请务必仅使用 LDAPS 作为协议。此外，请确保 NTLMv2 是凭据和网络会话的唯一哈希方法。此步骤是 AD 安全最佳做法。它可确保凭据在传输身份验证请求和网络会话时尽可能受到保护。请正确测试此配置并使用较旧的 Windows 客户端进行验证 - 以确定与旧版 Windows 的兼容性问题。

绑定到任何外部身份验证源时，必须对nsroot等帐户禁用本地身份验证。（可选）仅允许特定的本地帐户使用本地身份验证。根据您的部署要求，可能需要一条路径或另一条路径。大多数部署不需要本地帐户。如果需要服务帐户，则可以创建和委派 LDAP 用户。本指南涵盖了设置两种方法，必须部署一种方法。

日志记录和警报

Syslog 转发的做法对于提供事件响应以及更高级的故障排除至关重要。这些日志允许您查看登录 ADC 的尝试。Citrix Gateway 可以根据数据包和系统操作的策略执行操作，例如：

• GeoIP 和 BadIP 阻止
• AppQoE 保护
• 响应程序策略操作

此信息对于故障排除非常宝贵。此详细信息可帮助您了解当前潜在的攻击情况。它将有助于确定如何根据可操作的数据做出最佳反应，以解决问题、阻止或缓解攻击。如果未在 Citrix ADC 上配置 Syslog 目标，则会删除所需的日志以节省系统保持运行的空间。可以在Citrix ADC 产品文档 - 日志记录和监视中找到更多信息。

有许多免费和付费的 Syslog 服务器和收集器可用。有些是根据每天的消息数量、消息的存储空间来定价的，或者它们只是连续订阅。必须对这些解决方案进行规划，因为它们需要分配相当大的存储空间。您的 Syslog 服务器或收集器的大小必须基于来自其他关键服务的事件数。这些服务包括 Active Directory、数据库和文件服务器、VDA 以及其他应用程序服务器。

Citrix 将 Citrix ADM 服务作为 Syslog 收集器提供。Citrix ADM 可以允许您在设备外保留一些时间。Citrix ADM 也是搜索和查看这些日志以及使用其事件控制板的绝佳工具。日志数据有许多很好的默认视图，可帮助您进行故障排除、查看硬件、身份验证问题、配置更改等。您可以在 Citrix ADM 产品文档在实例上配置 syslog以及查看和导出 syslog 消息中找到更多信息。

我们强烈建议您使用此消息列表根据您正在使用的 Citrix ADC 的功能创建警报。仅保留日志并使其可搜索对于排除故障和审核安全事件非常重要。请务必确保根据错误登录的阈值以及使用默认nsroot帐户的“任意登录”发出警报。您可以在Developer Docs - Syslog Message Reference（开发人员文档 - Syslog 消息参考）中找到更多信息。

在监视解决方案中配置 SNMP，以确保同时启用服务和物理级监视。此设置可确保服务和设备运行。配置电子邮件允许将系统通知发送到相应的邮箱。此步骤还允许您收到证书即将到期的通知和其他通知。

规划要监视和保护的服务

花点时间规划在 Citrix ADC 上使用哪些服务有助于您了解哪些功能可以应用到这些 IP 地址。这是验证是否为您分配了要测试的 IP 的绝佳机会。在将响应程序和其他策略应用到您的生产 VIP 之前，请务必验证测试 VIP 上的所有安全设置。此步骤可能需要更多 DNS 记录、SSL 证书、IP 地址和其他配置才能正常运行。

Citrix ADC 的三种最常见的用例是负载平衡、全局服务器负载平衡和 Citrix Gateway。

我们建议按内部或外部组织所有规划的 VIP。内部 VIP 可能不需要外部 VIP 所必需的所有安全功能。如果您计划使用 GeoIP 功能，则评估哪些国家/地区需要访问外部资源是一个不错的规划步骤。与您的业务领导和应用程序所有者会面，了解您是否需要限制某些国家/地区。

如果可能，请在开始更改配置之前部署 Citrix ADM。Citrix ADM 可以轻松地定期备份设备，并提供更好的日志可见性和指标。可以将其他更高级的功能添加到 Citrix ADC 部署中，以提供更高的可见性和安全性。Citrix ADM 与 Citrix Analytics 一起提供了付费版本，这些版本可能不仅仅是监视解决方案。我们可以成为一个自动安全响应系统。

替换默认 SSL 证书

新式浏览器会警告您证书无效，如果是默认证书，则会带来安全风险。如果您每天都确认此错误，您将很容易受到真正的中间人攻击。有人可以在您键入时读取您键入的内容，因为他们可以进入 TLS 流。更换证书可能很容易，具体取决于您是托管自己的内部证书颁发机构、使用第三方服务（可能存在相关费用）还是自签名证书。更新证书后，您的浏览器必须信任新证书，并且在访问设备时不得出错。如果再次遇到证书错误，则必须检查到期日期。它可能在您不知情的情况下被更换了。

• NSIP- 必须首先更改此证书，因为这是对设备进行所有管理的地方。必须在每台设备上完成此过程。您可以在CTX122521中找到更多信息。
• LOM- NSIP 管理证书从默认值更改后，更改这些证书必须是下一个目标。必须在每台设备上完成此过程。可以在产品文档中找到更多信息。
• SDX SVM- 如果您是 SDX 客户，请确保已替换默认证书。SDX SVM 成为设备管理的主要方法，同时也管理实例本身。还必须在每台设备上完成此过程。您可以在CTX200284中找到更多信息。

固件更新

1. 初始部署- 使用适用于每个 Citrix ADC 平台的最新可用固件版本。请务必查看发行说明，了解是否存在任何可能会影响您的“已知问题”。N-1 方法通常用于保持比最新版本低一个级别的版本。无论您使用的是哪个平台，无论是 CPX、MPX、SDX 还是 VPX，都将在每个实例上进行固件更新。
2. LOM\IPMI 固件更新- 我们建议在部署时更新固件。更新可确保您拥有最新的功能和修复。可以在此处（产品文档）找到更多详细信息。
3. 持续更新- 对于 Citrix 安全公告以及 Citrix ADC、Citrix ADM 和 Citrix Web Application Firewall 的更新通知，请注册以获取警报。

计划您选择每年更新 Citrix ADC 的频率。部署的功能和 IT 组织策略必须决定如何安排这些更新。我们通常会看到每年发布 2-4 次更新。还有两个功能更新以及两个用于解决已知问题和安全修复的更新。有一些指南可帮助您在不中断服务的情况下规划和安排这些升级。也适用于其他支持系统（例如 Citrix ADM），因为始终建议使用版本奇偶校验。了解有关升级高可用性对的更多信息。

使用KEK保护数据

通过创建 KEK 密钥对，您可以获得进一步的数据保护。我们强烈建议在每台设备上执行此步骤。密钥对加密密钥密码相关区域中的配置。如果有人获得了对您的ns.conf文件的访问权限，他们将因此无法从中获取任何凭据或密码。位于\flash\nsconfig\文件夹的根目录的两个密钥文件必须被视为高度敏感文件，必须使用具有适当安全性的备份进行相应的保护。

此处的警告意味着从一台设备迁移到另一台设备需要更多步骤。在解密配置之前，必须将KEK密钥添加到新部署中。了解更多关于如何创建用于数据保护的主密钥的信息（搜索字符串KEK）。

丢弃无效数据包

每天都会向您的 Citrix ADC 设备发送许多无效数据包。有些是良性的，但大多数用于指纹识别目的以及基于协议的攻击。启用此功能可节省设备上的 CPU 和内存资源。请通过不向 ADC 代理的后端应用程序发送部分或错误数据包防止大多数已知协议攻击。此步骤甚至可以阻止未来依赖于数据包操作的潜在攻击。

可以在产品文档、CTX227979和CTX121149中找到更多信息。

HTTP 严格传输安全性

请确保在所有 SSL VIP 上都配置了 HSTS。HTTP 严格传输安全性的主要目标是保护应用程序免受各种攻击方法的侵害，例如降级攻击、cookie 劫持和 SSL 剥离。这与丢弃无效数据包类似，但同时基于 HTTP 和 HTTPS。这是基于在RFC 6797中使用 HTTP 标头中的条目找到的标准。这为 Citrix ADC 背后的任何应用程序增添了另一层防御。

资源层

托管用户会话的资源可能会带来更高的泄露风险。运行 VDI 会话的用户类似于连接到公司网络的计算机。利用精心设计的访问和控制层，企业可以转向零信任模式。使用零信任时，访问权限会根据提供给最终用户的资源进行动态调整，具体取决于一组给定的变量。以下指南在保护企业资产免受用户侵害方面提供了更高级别的控制。

构建强化

强化操作系统构建可能非常复杂且难以实现。它伴随着用户体验、可用性与安全性之间的权衡，所有这些都是一个很好的平衡。许多客户选择遵循 Center for Internet Security (CIS) 的基准来强化不同角色中的虚拟机。Microsoft 还为类似的工作负载提供了强化指南。甚至还有 ADMX 文件可以直接实施到组策略中。如果您选择此路线，请谨慎行事。如果初始策略过于严格，请务必先进行彻底测试。这些基准是强化的良好起点。但是，它们并不意味着对所有情况都是详尽无遗的。锁定的关键是彻底测试并鼓励第三方渗透测试参与。测试可以验证您的安全控制措施及其对抗最新攻击方法的有效性。

作为强化系统的一部分，我们建议管理员花一些时间来优化底层操作系统、服务和计划任务。此步骤将从底层系统中删除任何不必要的进程。它还提高了会话主机的响应能力，并为最终用户提供了改进的用户体验。Citrix 提供了优化器工具Citrix Optimizer，该工具可为管理员自动优化操作系统的许多元素。Citrix Optimizer 的结果需要进行调整，以确保您的环境中没有负面影响。

计划的任务

在某些情况下，我们需要利用计划任务来执行例行维护或解决环境中持续存在的问题。如果我们需要使用计划任务，则需要事先考虑一些建议。

Privileged Accounts（特权帐户）- 在可能的情况下，确保具有执行所需操作的正确权限的帐户配置了所有计划任务。例如，不建议使用域管理员凭据运行计划任务。

Alternatives（替代方案）- 可能是计划任务被用作更广泛问题的“创可贴”。有没有比使用计划任务来解决问题更好的方法。它可能解决了一个临时问题，但要修复路线原因，而不是让计划任务继续运行。对于映像更新尤其如此，因为如果它没有被记录或注入到构建过程中，则有可能会出现这种情况。它将在以后的更新中被遗漏，并可能会导致出现更多问题。

修补和更新

确保 IT 系统得到修补并保持最新状态是所有软件、操作系统和虚拟机管理程序的标准做法。提供商有义务确保其软件已修补并且不允许出现任何安全漏洞。有些提供程序提供更高的稳定性和功能增强。几乎所有供应商都有向其软件应用修补程序和更新的发布时间表或周期。建议客户阅读并了解正在修补的内容或引入的新功能。这些更新通常通过“生存路由”解决方案进行处理。适当的测试有助于避免因生产环境的变化而导致的停机。

反恶意软件

始终建议在整个基础结构的所有服务器上部署防恶意软件或防病毒软件。防病毒确实为抵御已知恶意软件和许多其他类型的病毒提供了良好的第一道防线。防病毒的一个比较复杂的方面是确保定期更新病毒定义。在非持久性 VDI 或托管共享工作负载中需要特别注意。有许多文章详细介绍了将防病毒定义重定向到永久驱动器的方法。目标是确保在防病毒管理套件中将计算机标识为单个对象。请遵循以下指导原则，确保正确部署和安装防病毒解决方案。防病毒供应商将有自己的推荐的部署反恶意软件的做法。我们建议遵循其指导方针以实现正确集成。您可以在端点安全和防病毒最佳做法中阅读更多内容。

应用程序控制

诸如 AppLocker 之类的技术可能很难实施，但它们是强大的工具。尤其是在保护具有可预测使用模式的已发布应用程序的服务器方面。能够将环境精细锁定到可执行文件级别。明确定义哪些应用程序可以运行或不能运行，以及由谁来运行是非常有益的。更不用说应用程序启动期间的日志记录功能了。在安装了 500 多个应用程序的大型企业环境中，所有这些因素都需要仔细考虑。

Windows 策略

将 Windows 策略应用到会话主机时，无论是基于 VDI 的工作负载还是基于服务器的工作负载，它都可以扮演两种主要角色：

• 强化操作系统
• 优化用户体验

必须通过 Microsoft 组策略应用这些策略，才能简化操作系统的管理。这简化了映像创建过程。如果未使用组策略，则必须找到其他方法来执行锁定。无法通过策略交付的强化和优化必须作为映像构建流程的一部分进行自动化。

在用户可以访问操作系统之前，请务必确保操作系统已强化。用户只能执行履行其角色所需的最少数量的任务。必须保护任何基于管理的应用程序，并禁用普通用户的访问权限。此步骤降低了用户“中断”其会话的风险。防止用户在操作系统中可能访问未经授权的数据或执行恶意行为。

Citrix 策略

可以根据用户访问场景应用策略。Citrix 会话评估的示例包括在认为必要时关闭剪贴板访问权限或客户端驱动器映射。甚至启用单向剪贴板以允许将数据复制到会话中，但不能复制到会话之外。有几个策略可以帮助控制未经授权的数据从系统会话中流出。每个策略都需要仔细规划和理解。

本文的系统强化部分中讨论的许多强化配置都可以以组策略的形式应用。允许在用户登录之前在启动时应用的所有服务器上使用一致的应用程序。此步骤允许在整个基础结构中实现一致的用户体验。这意味着减少故障排除，同时确保所有资产和用户的安全控制保持一致。

配置交付组以允许 VDA 在允许用户登录之前进行结算。此步骤为将策略和锁定应用到会话提供了充足的时间。它确保在用户登录之前所有策略都已应用到服务器。在Developers Docs中阅读更多关于 SettlementPeriodBeforeUse 的信息。

映像管理

事实证明，正确实施映像管理系统可以大大节省客户的时间。我们同时支持 Machine Creation Services (MCS) 和 Provisioning Services (PVS)。映像管理为操作和安全功能提供了巨大的益处。

首先，在内部版本中，在用户从中访问其资源的所有计算机上始终如一地应用锁定或控制。手动构建单个计算机不仅耗时，而且几乎可以保证某些配置或设置被遗漏或不一致。只需设置一次配置并将其推广到每台计算机，就可以放心，安全实施在所有计算机上都是一致的。

其次，在 VDA 上的用户会话期间，用户将打开其他应用程序、文档并访问敏感数据。数据最终会缓存在虚拟桌面上或应用程序中。一旦用户注销，无疑会留下残留的数据。重新启动计算机并恢复到原始的黄金主映像可以在一定程度上确保所有敏感数据都被擦除干净。一切准备就绪，下一位用户可以登录并开始工作，而不会有访问先前用户数据的风险。您可以在此处映像管理参考体系结构中找到更多信息。

下面是单映像管理的一些注意事项：

• 注意防病毒配置。
• 在 Machine Creation Services 或 Provisioning Services 有机会复制整个映像之前，不要在模板或映像上创建帐户。
• 请勿使用存储的特权域帐户安排任务。
• 服务帐户必须具有应用相关权限的专用帐户。
• 确保删除攻击者可用来了解您的环境的所有日志文件、配置文件和其他信息源。

维护这些安全措施有助于防止计算机攻击获取本地永久帐户密码。然后使用这些密码登录属于他人的 MCS/PVS 共享映像。

工作负载分离

长期以来，将资源放置在单独的孤岛一直是推荐的做法。不仅在资源层，还包括硬件层和网络层，我们将在本文稍后部分进行介绍。将工作负载分成不同的交付组或计算机目录无助于微调一组计算机的安全策略。它还将减少安全漏洞的影响。如果您有一组高风险用户访问高影响数据，则必须将这些用户分离到适当配置的隔离环境中。环境必须应用更严格的策略和日志记录。会话录制等功能在使用访问此数据时提供了额外的保护层。

工作负载可以在不同的层面上进行分离 - 硬件分离（专用主机）、VM 分离，甚至在操作系统内部分离（例如应用程序屏蔽或严格的 NTFS 规则）。作为将用户划分为不同风险配置文件层的一部分，他们访问的数据也必须得到类似的对待。此步骤涉及对数据应用正确的文件权限和访问规则。

微细分

随着向云托管基础结构和零信任体系结构的迁移，这一概念现在变得更加突出。如果攻击者成功获得了对资源的访问权限，我们希望限制他们可能造成的损坏。无论是恶意损坏还是数据泄露。

因此，工作负载和数据分离是值得遵循的良好做法。此步骤涉及业务分析师 (BA) 的一些意见，以帮助突出显示整个网络中的关键资产和数据。理想情况下，数据的每个部分都可以分为访问数据时对业务的高、中或低影响。

根据对业务的影响，可以用不同的方式处理每个数据段，并将其彼此分开。例如，浏览 Internet 的用户面临的风险可能很高。如果他们能够下载软件或文档并将其保存在会话中，风险尤其高。因此，我们希望考虑将更关键的资源与风险较高的用户活动隔离开来。Web 浏览和电子邮件访问与个人身份信息 (PII) 甚至个人健康信息 (PHI) 等数据是分开的。

请在防火墙之间分隔工作负载，并控制哪些应用程序和协议可以遍历这些网段。“高风险”区域中的工作负载可能比“标准”用户访问计算机锁定得更多。这里的关键是根据用户和数据分段实施必要的安全控制。

Session Recording

Session Recording 使 IT 团队能够录制和重播给定用户会话期间发生的事情的视频。该视频用于用户在环境中进行恶意操作的情况。并非所有用户都需要此功能。它可以为关键个人、用户组启用，也可以在访问敏感应用程序、桌面或资源时启用。从这些录制文件中可以收集到许多要点，而仅使用 Windows 事件和应用程序日志可能无法做到这一点。这些视频对于事件响应场景或根本原因分析很有帮助。此功能非常强大，必须根据您的用户策略以及经法律和 IT 团队批准的协议仔细考虑。

水印

对于有用户访问敏感数据的会话，阻止数据被盗的巨大威慑力是水印。特别是如果水印可以唯一标识用户。Citrix 允许管理员配置要显示的内容。您可以显示：

• 用户登录名
• 客户端 IP 地址
• VDA IP 地址
• VDA 主机名
• 登录时间戳
• 自定义文本。

作为服务器端功能，它适用于所有会话（不仅限于特定端点上）。作为一种解决方法，它不受用户在端点终止进程的影响。

在产品文档中了解有关会话水印的更多信息。

并发使用

一个更具争议的话题是使用多会话主机还是单用户 VDI 会话。让多个用户登录到一台服务器可能会导致出现问题。如果心怀不满的用户可以运行软件或代码来获取其他凭据或访问其他用户数据，则尤其如此。运行稳固的虚拟桌面基础结构确实需要额外付出代价，需要考虑这些权衡。请对用户进行威胁建模，然后选择最有效的传递机制。理想的途径是确定使用多用户会话主机还是单用户会话主机。一种规模并不适合所有用户。请执行用户分析以了解其需求，然后为用户组选择最佳的工作负载交付方法。

基于虚拟化的安全性

基于虚拟化的安全性 (VBS) 使用内存的安全部分来存储会话中的安全资产。此功能要求在受支持的平台上运行可信平台模块 (TPM) 或虚拟可信平台模块 (vTPM) 以提供安全的集成。这意味着即使以某种方式成功地将恶意软件部署到内核中，用户存储的机密数据仍然受到保护。任何可以在安全环境中运行的代码都需要由 Microsoft 签名，从而提供额外的控制层。Microsoft VBS 可以在 Windows 桌面和服务器操作系统中启用。Microsoft VBS 是基于包括凭据保护和应用程序保护在内的一套技术构建而成的。您可以在此处找到有关基于虚拟化的安全性的更多信息。

控制层

控制层是解决方案的一个层，允许管理员管理 Citrix 环境，同时允许用户访问资源。可以在本部分中找到有关使资源能够相互通信的详细信息。由于此层的集成，确保组件可以安全地集成和通信是关键。以下内容降低了组件的安全状态。

确保可用性

在部署任何解决方案时，必须以高度可用的方式部署组件。服务因单点故障而持续中断是不好的做法。因此，对容量使用 N+1 方法可确保在登录和注销高峰期间有足够的可用资源。但是，要保持“良好”的用户体验，组件丢失的程度是可以接受的。现在，大多数客户在规划需要可用的资源量方面都遵循 N+1。但是，根据可承受的风险水平，这可能是 N+2。

此外，为确保有足够的资源来处理用户负载，应将组件分离到专用虚拟机上。在虚拟机上运行共享组件是不好的做法，不仅从性能的角度来看，而且从安全角度来看。从 Citrix 的角度来看，关键组件如下所示，但不限于：

• StoreFront
• Delivery Controller
• SQL Server
• 联合身份验证服务
• Director
• 许可证服务器
• Cloud Connector

加密数据流

企业正在转向“零信任”的跨环境服务方法。现在比以往任何时候都更加重要的是，要确保组件之间的所有通信都得到保护，甚至在可能的情况下进行身份验证。此步骤减少了攻击者在网络中“传输”机密信息时读取机密信息的机会。从 Citrix 的角度来看，此步骤主要涉及从专用或公用公钥基础结构 (PKI) 将证书绑定到相关服务。

高安全性建议- 在高安全性部署中，规定的标准表明可能需要遵守联邦信息处理标准 (FIPS)。此要求涉及对虚拟化组件的更改，以及考虑 Citrix ADC 等组件时的更改。此外， 它还需要经过认证的硬件设备。Citrix Trust Center

构建强化

如资源层部分中所述，强烈建议强化操作系统和部署的服务。此步骤涉及禁用任何未使用的服务、计划任务或功能。请确保不影响用于减少计算机上的攻击服务的元素。有一些基准（例如 CIS 和 Microsoft 安全基准）可用于锁定环境中运行的虚拟机。包括托管用户会话的会话服务器和控制服务（例如云连接器和支持基础结构）。基础结构计算机必须同样禁用服务运行不需要的任何服务、功能或计划任务。

服务帐户强化

Citrix 解决方案的某些元素需要使用服务帐户。服务帐户允许自动化功能通过某种级别的身份验证和授权来发展。必须只允许服务帐户执行所需的任务，并且不得在网络上具有任何提升的访问权限。必须为每项自动功能创建服务帐户。此步骤本质上缩小了授权元素的范围，并确保服务中不会发生任何权限蠕变。我们建议确保服务帐户密码至少每年重置一次，或者根据您的合规性要求更频繁地重置。这些帐户和/或组还必须位于 Active Directory 中受保护的用户组中，以获得额外的保护和日志记录。

为了进一步强化服务帐户，还建议尽可能拒绝此类帐户的交互式登录权限，以确保在密码被盗用时，该帐户不会被重复用于登录网络设备。

请确保该帐户无法与网络上的任何帐户进行交互式登录，无论是：

• 用户帐户
• 管理员帐户
• 服务帐户

应定期对帐户进行审核并验证其权限，以确保仍然需要该帐户。还要检查整个网络中没有额外的“权限蠕变”。权限蠕变是指超时可能会将额外的权限分配给帐户，并且永远不会撤回。例如，添加了用于对问题进行故障排除的权限，但这些权限永远不会被审查和删除。最低权限的概念没有得到遵守。

最小特权

此框架适用于网络上的任何帐户。此步骤将确保创建的所有帐户仅具有执行该角色所需的权限。当需要管理访问权限时，用户必须拥有用于执行管理功能的单独帐户。在理想情况下，只能在执行该任务所需的时间内授予帐户权限。管理操作完成后，必须删除所有不再需要的权限。

应用程序控制

资源层涵盖了应用程序控制。但是，可以对控制层采取类似的方法。允许运行应用程序特定的可执行文件，进一步减小正在运行的计算机上的攻击面。任何未经授权的可执行文件都将不被允许运行。这会带来管理开销，但增加了一层额外的控制。此步骤必须应用到部署的所有应用程序。这种方法的一个考虑因素是，更改系统上运行的文件或可执行文件的更新需要预先批准。此步骤允许其在更新后运行。

基于主机的防火墙

最常见且很可能是管理员禁用的第一个对象为基于主机的防火墙。但是，它可以在某些情况下启用，例如故障排除。永久禁用此类服务会使环境面临很高的危害风险。防火墙旨在阻止攻击者通过未知或虚假的工具或应用程序访问服务器。确保将防火墙配置为阻止任何未经授权的元素运行。但是需要对其进行配置以允许应用程序正常运行和相互通信。安装 Citrix VDA 时，它会自动创建基本 VDA 通信所需的防火墙规则。它还可以添加 Windows 远程协助和所需的实时音频端口。需要测试环境才能让管理员清楚地了解应用程序的运行方式。通过此步骤，您可以放心地在生产环境中配置防火墙和服务。请避免对应用程序或用户体验造成负面影响。有关允许 Citrix 环境正常运行所需的端口，请阅读CTX101810。

传输层安全性

TLS 对两个或多个组件之间的通信进行加密。身份验证、枚举和启动会话需要传输敏感信息。如果这些通信未加密，攻击者可能会检索用户凭据或其他敏感数据。在强化环境时，启用 TLS 是必须做的第一件事。启用 TLS 时，请按照建议的做法创建私钥。有很多关于密钥管理和创建证书推荐做法的文章。我们建议至少为以下通信启用 TLS：

• STA 服务
• XML 代理
• StoreFront（基本 URL）
• ADC 管理接口
• 网关
• 如果在本地运行，则为 Director

主机层

每个虚拟环境都会影响多个组件，例如存储、计算、虚拟机管理程序和网络连接。始终以安全为重点设计和实施这些组件。它会对攻击面持续缩小产生重大影响。对于云服务，并非所有服务都适用，但无论资源位于何处，大多数服务都适用。

硬件分离

在当今的云时代，硬件分离的概念已不再是管理员关注的问题。此外，越来越多的企业希望通过确保所有硬件都得到充分利用来获得更大的投资回报。对于某些云提供商来说，这甚至是不可能的。但是，使用本地物理基础结构，您仍然可以将资源分离到独特的托管环境中。此类攻击包括超级劫持，攻击者可以通过虚拟机工具堆栈深入到虚拟机。然后，攻击者获得对虚拟机管理程序的访问权限。

许多记录在案的攻击都是理论上的。但是，它们被公开记录的事实表明，这种攻击可能是有效的。由于这是现实的可能性，因此又回到了保护数据方面。将工作负载分成不同的群集，并确保托管相同数据分类的工作负载保留在这些唯一的群集中。如果攻击者以某种方式闯入虚拟机管理程序层，则不会危及更高分类的数据。

网络隔离

将工作负载分解为逻辑上分离的单独子网，可以显著减少攻击的影响或扩散。通常情况下，这些子网布局是一个理想的起点：

• 访问组件。小子网危害 ADC IP 地址和回调网关。
• Citrix 基础结构。根据所部署的基础结构，Citrix 基础结构子网将包括以下内容：StoreFront、Cloud Connector/Controller、Director 服务器、Citrix ADM。
• 支持基础结构。根据所需的基础结构组件，这些服务是分离的最佳示例：SQL Server、跳转服务器和许可服务器。这取决于您的合规性需求。
• VDA 子网。调整 VDA 子网的大小时，没有正确或错误的答案。过去，我们使用历史数据来指导我们调整 PVS 子网规模。随着时间的推移，PVS 推荐的实践不断发展。需要注意的主要问题是，必须根据用户和 VDA 的数量以及他们正在访问的安全上下文来分配子网大小。将具有类似风险状况的用户放置在单个子网中还可以确保这些子网中的每个子网都能被防火墙隔开。

防火墙

防火墙是在环境中实施安全的主要要素之一。实施基于主机和基于网络的防火墙将带来巨大的运营开销。从基于主机和网络层面实施两个级别的防火墙将允许职责分离。此步骤允许应用程序从一台服务器与另一台服务器通信。任何防火墙规则都必须妥善记录，并清楚地标明分配了哪些角色或职能。此详细信息将帮助您获得安全和网络团队对例外情况的批准。

虚拟机管理程序强化

要使虚拟机管理程序正常运行，需要启用一定级别的服务和进程。与在任何操作系统中一样，可以禁用许多虚拟机管理程序级别的服务，以减少虚拟机管理程序层的攻击面。入侵虚拟机管理程序可能是攻击者宣称已完全溢出。攻击者可以访问读取内存、CPU 指令和控制计算机。如果攻击者进入这一层，那将是一个严重的问题。

内存自检

供应商现在提供了自检虚拟机运行内存的功能。监视此活动内存空间可提供更深层次的保护，以抵御更复杂的攻击级别。请访问 Citrix Ready，了解有关虚拟机管理程序内存自检的更多信息。

操作层

运行安全环境的操作程序与技术配置本身同样重要。以下内容为打造卓越的运营安全基础提供了良好的开端。

用户培训

请提供足够的用户和管理培训。它促进了良好的安全实践，并且意识是最容易覆盖的基础之一。确保用户知道登录页面的正常预期行为是一个示例。了解支持人员需要哪些详细信息。培训员工如何处理弹出窗口以及那些可怕的电子邮件钓鱼尝试。用户必须知道如何响应，并了解在何处以及如何向安全运营中心报告与安全相关的问题。

用户监视

启用增强的用户监视（例如用户会话录制）有时会引起争议。 例如，在雇佣合同中通知用户，他们在 IT 系统中的操作可能会被录制下来以供审核。您可以为任何人力资源法律影响提供适当级别的保险。更具争议的是，启用键盘记录是可行的。必须谨慎对待这类工具，因为存在潜在的问题。这取决于用户在公司计算机上访问的内容。管理员可以将用户名或密码收集到用户不知道的个人电子邮件甚至银行帐户中。需要谨慎对待这个问题，并再次通知用户正在执行此类操作。

日志记录和审核

请务必记录 IT 管理员和用户的所有操作。在整个环境中启用日志记录。包括本文中描述的所有层。整理并存储这些日志以用于审核。保留日志，以防万一发生违规时需要对其进行审查。此步骤要求您持续管理和处理生成的日志。某些应用程序在其中提供一定程度的自动化，可以处理日志和警报以执行操作。

Citrix 提供基于云的解决方案作为分析服务的一部分。此服务可对用户进行安全风险评分。根据风险评分，您可以提高安全立场，断开连接，甚至自动锁定帐户。然后，这些事件可以自动启用Session Recording功能，如本文前面所述。我们可以禁用 Citrix 功能并断开会话连接，直到管理员可以查看该用户的操作为止。安全分析可以自动将用户行为分析和应用程序的安全控制关联在一起。可以在Citrix Analytics 技术简报中找到更多信息。

职责分离

请务必实施良好的基于角色的访问控制机制。但是，这也是一种很好的方法，可以确保没有一个管理员可以单独开启功能或出口点。理想情况下，实施职责分离，强制多个管理员独立操作以启用某项功能。一个很好的示例是在 Citrix 会话中启用客户端驱动器映射。这可以通过在 SmartControl 策略中使用 Citrix ADC 中启用的 Citrix 管理策略进行控制。需要进行两次单独的更改才能启用 CDM 功能。

让两个管理员启用一项功能非常重要。管理员还必须拥有与普通用户帐户不同的帐户。 管理员帐户仅用于执行管理任务。此步骤减少了网络钓鱼攻击的攻击载体。如果管理员的普通用户凭据被分配，并且这些凭证具有域管理员权限，则会对环境产生重大影响。因此，管理员的普通用户帐户将无法执行管理任务。用户不得具有跨网络或域的全局管理员权限。理想情况下，必须使用基于角色的访问控制 (RBAC) 组，以便在更精细的级别为基于管理的功能提供权限。

更改管理

某些客户很少考虑的一个常见问题是拥有单独的测试和开发环境的重要性。这些环境是彻底测试更新和更改以了解它们如何影响用户环境的关键要素。基础结构必须与更改控制流程紧密关联，以强制管理员在进入生产环境之前在测试和开发环境中进行更改。作为测试开发环境中的安装或升级更改的一部分，彻底测试更改的回滚同样重要。这样，如果管理员需要在生产环境中调用回滚流程，他们就可以更加熟悉该流程。全面的测试和可靠的推出计划可保护生产环境免受不必要的停机影响。理想情况下，“投入使用”的粗略框架必须包括以下阶段：

• 测试。一个控制松散的环境和更多的沙盒区域，管理员可以熟悉更新后的软件和新增功能。
• 预生产。预生产必须与生产类似，受到变更控制的严格保护，并与生产保持同步。这提供了一个强有力的保证，即预生产中的升级行为与生产的升级行为保持一致，只是在较小的规模上。
• 生产。当然，生产就是生产。不得允许在未启用更改控制的情况下进行未经授权的更改。

软件哈希

从供应商 Web 站点下载软件以验证下载页面上提供的哈希值是一种很好的做法。这将验证下载的文件没有被对手篡改。

安全审核

安全操作是一个内容广泛的话题，包括用户文档、法律文档、任何环境的许多元素。任何基础结构的技术方面都是至关重要的。重要的是要记住，最终导致个人身份信息 (PII) 或支付卡行业 (PCI) 等数据的使用或持有“到此为止”的支持文档、合法性和 IT 运行状况检查至关重要。强烈建议您务必定期进行安全审核和渗透测试，以验证您的安全操作和控制措施。

总结

在项目的早期阶段，许多安全控制措施都已集成到环境中。但是，安全风险在不断变化，重新审视现有的控制措施和程序是一个持续的过程。需要经常对其进行审查。所有工作都必须通过针对整个虚拟化环境的渗透测试来加强和验证。这种方法提供了最高级别的弹性，可以抵御现实世界的攻击。