Panoramica sulla sicurezza tecnica per Citrix Managed Azure
Nota:
Da luglio 2023, Microsoft ha rinominato Azure Active Directory (Azure AD) in Microsoft Entra ID. Nel presente documento, qualsiasi riferimento ad Azure Active Directory, Azure AD o AAD fa ora riferimento a Microsoft Entra ID.
Il diagramma seguente mostra i componenti di una distribuzione Citrix DaaS (in precedenza servizio Citrix Virtual Apps and Desktops) che utilizza Citrix Managed Azure. In questo esempio viene usata una connessione di peering reti virtuali.
Con Citrix Managed Azure, i Virtual Delivery Agent (VDA) del cliente che distribuiscono desktop e app, oltre a Citrix Cloud Connectors, vengono distribuiti in una sottoscrizione Azure e in un tenant gestiti da Citrix.
Conformità basata su cloud Citrix
A partire da gennaio 2021, l’uso di Citrix Managed Azure Capacity con varie edizioni di Citrix DaaS e Workspace Premium Plus non è stato valutato per Citrix SOC 2 (Tipo 1 o 2), ISO 27001, HIPAA o altri requisiti di conformità al cloud. Visita il Centro protezione Citrix per ulteriori informazioni sulle certificazioni Citrix Cloud e controlla frequentemente gli aggiornamenti.
Responsabilità di Citrix
Citrix Cloud Connectors per cataloghi non appartenenti a un dominio
Quando si utilizza una sottoscrizione di Citrix Managed Azure, Citrix DaaS distribuisce almeno due Cloud Connector in ogni posizione della risorsa. Alcuni cataloghi possono condividere una posizione della risorsa se si trovano nella stessa area di altri cataloghi per lo stesso cliente.
Citrix è responsabile delle seguenti operazioni di sicurezza sui Cloud Connector del catalogo non aggiunti a un dominio:
- Applicazione degli aggiornamenti del sistema operativo e delle patch di sicurezza
- Installazione e manutenzione del software antivirus
- Applicazione degli aggiornamenti software di Cloud Connector
I clienti non hanno accesso ai Cloud Connector. Pertanto, Citrix è interamente responsabile delle prestazioni dei Cloud Connector del catalogo non appartenenti a un dominio.
Sottoscrizione di Azure e Azure Active Directory
Citrix è responsabile della sicurezza della sottoscrizione di Azure e di Azure Active Directory (AAD) create per il cliente. Citrix garantisce l’isolamento dei tenant, in modo che ogni cliente abbia la propria sottoscrizione Azure e AAD e venga impedita la comunicazione incrociata tra i diversi tenant. Citrix limita inoltre l’accesso ad AAD solo al personale operativo di Citrix DaaS e Citrix. L’accesso da parte di Citrix alla sottoscrizione Azure di ogni cliente viene controllato.
I clienti che utilizzano cataloghi non appartenenti a un dominio possono utilizzare AAD gestito da Citrix come mezzo di autenticazione per Citrix Workspace. Per questi clienti, Citrix crea account utente con privilegi limitati nell’AAD gestito da Citrix. Tuttavia, né gli utenti né gli amministratori dei clienti possono eseguire alcuna azione sull’AAD gestito da Citrix. Se questi clienti scelgono di utilizzare il proprio AAD, sono interamente responsabili della sua sicurezza.
Reti e infrastrutture virtuali
All’interno della sottoscrizione Citrix Managed Azure del cliente, Citrix crea reti virtuali per isolare le posizioni delle risorse. All’interno di queste reti, Citrix crea macchine virtuali per VDA, Cloud Connector e macchine per la creazione di immagini, oltre ad account di archiviazione, Key Vault e altre risorse di Azure. Citrix, in collaborazione con Microsoft, è responsabile della sicurezza delle reti virtuali, inclusi i firewall di rete virtuale.
Citrix garantisce che i criteri predefiniti del firewall di Azure (gruppi di sicurezza di rete) siano configurati per limitare l’accesso alle interfacce di rete nel peering di reti virtuali. In genere, questo controlla il traffico in entrata verso VDA e Cloud Connector. Per maggiori dettagli, vedere:
I clienti non possono modificare questa policy firewall predefinita, ma possono implementare regole firewall aggiuntive sulle macchine VDA create da Citrix; Ad esempio, per limitare parzialmente il traffico in uscita. I clienti che installano client di reti private virtuali o altri software in grado di aggirare le regole del firewall su macchine VDA create da Citrix sono responsabili di eventuali rischi per la sicurezza che potrebbero derivarne.
Quando si utilizza l’Image Builder in Citrix DaaS per creare e personalizzare una nuova immagine del computer, le porte 3389-3390 vengono aperte temporaneamente nella rete virtuale gestita da Citrix, in modo che il cliente possa eseguire RDP al computer contenente la nuova immagine del computer per personalizzarla.
Responsabilità di Citrix quando si usano le connessioni peering di Azure VNet
Per consentire ai VDA in Citrix DaaS di contattare controller di dominio locali, condivisioni file o altre risorse intranet, Citrix DaaS fornisce un flusso di lavoro di peering reti virtuali come opzione di connettività. La rete virtuale gestita da Citrix del cliente è sottoposta a peering con una rete virtuale di Azure gestita dal cliente. La rete virtuale gestita dal cliente può abilitare la connettività con le risorse locali del cliente usando la soluzione di connettività da cloud a locale scelta dal cliente, ad esempio Azure ExpressRoute o tunnel IPsec.
La responsabilità di Citrix per il peering di reti virtuali è limitata al supporto del flusso di lavoro e della configurazione delle risorse di Azure correlate per stabilire una relazione di peering tra Citrix e le reti virtuali gestite dal cliente.
Criteri del firewall per le connessioni di peering di reti virtuali di Azure
Citrix apre o chiude le porte seguenti per il traffico in entrata e in uscita che utilizza una connessione peering VNet.
Rete virtuale gestita da Citrix con macchine non appartenenti a un dominio
- Regole in entrata
- Consentire le porte 80, 443, 1494 e 2598 in ingresso dai VDA ai Cloud Connector e dai Cloud Connector ai VDA.
- Consentire le porte 49152-65535 in entrata verso i VDA da un intervallo IP utilizzato dalla funzione di shadowing del monitor. Vedere Porte di comunicazione utilizzate da Citrix Technologies.
- Nega tutti gli altri in entrata. Ciò include il traffico all’interno della rete virtuale da VDA a VDA e da VDA a Cloud Connector.
- Regole in uscita
- Consenti tutto il traffico in uscita.
Rete virtuale gestita da Citrix con computer aggiunti a un dominio
- Regole in entrata:
- Consentire le porte 80, 443, 1494 e 2598 in ingresso dai VDA ai Cloud Connector e dai Cloud Connector ai VDA.
- Consentire le porte 49152-65535 in entrata verso i VDA da un intervallo IP utilizzato dalla funzione di shadowing del monitor. Vedere Porte di comunicazione utilizzate da Citrix Technologies.
- Nega tutti gli altri in entrata. Ciò include il traffico all’interno della rete virtuale da VDA a VDA e da VDA a Cloud Connector.
- Regole in uscita
- Consenti tutto il traffico in uscita.
Rete virtuale gestita dal cliente con computer aggiunti a un dominio
- Spetta al cliente configurare correttamente la propria rete virtuale. Ciò include l’apertura delle seguenti porte per l’aggiunta al dominio.
- Regole in entrata:
- Consenti l’ingresso su 443, 1494, 2598 dai loro IP client per i lanci interni.
- Consentire l’ingresso su 53, 88, 123, 135-139, 389, 445, 636 da Citrix VNet (intervallo IP specificato dal cliente).
- Consenti l’ingresso sulle porte aperte con una configurazione proxy.
- Altre regole create dal cliente.
- Regole in uscita:
- Consentire l’uscita su 443, 1494, 2598 verso la rete virtuale Citrix (intervallo IP specificato dal cliente) per gli avvii interni.
- Altre regole create dal cliente.
Accesso all’infrastruttura
Citrix può accedere all’infrastruttura gestita da Citrix del cliente (Cloud Connectors) per eseguire determinate attività amministrative come la raccolta dei registri (incluso il Visualizzatore eventi di Windows) e il riavvio dei servizi senza avvisare il cliente. Citrix è responsabile dell’esecuzione di queste attività in modo sicuro e protetto e con un impatto minimo sul cliente. Citrix è inoltre responsabile di garantire che tutti i file di registro vengano recuperati, trasportati e gestiti in modo sicuro e protetto. In questo modo non è possibile accedere ai VDA dei clienti.
Backup per cataloghi non appartenenti a un dominio
Citrix non è responsabile dell’esecuzione di backup di cataloghi non appartenenti a un dominio.
Backup per le immagini del computer
Citrix è responsabile del backup di tutte le immagini del computer caricate su Citrix DaaS, incluse le immagini create con il generatore di immagini. Citrix utilizza l’archiviazione con ridondanza locale per queste immagini.
Bastioni per i cataloghi non appartenenti a un dominio
Il personale operativo di Citrix ha la possibilità di creare un bastione, se necessario, per accedere alla sottoscrizione di Azure gestita da Citrix del cliente per la diagnosi e la riparazione dei problemi dei clienti, potenzialmente prima che il cliente venga a conoscenza di un problema. Citrix non richiede il consenso del cliente per creare un bastione. Quando Citrix crea il bastione, crea una password complessa generata in modo casuale per il bastione e limita l’accesso RDP agli indirizzi IP NAT Citrix. Quando il bastione non è più necessario, Citrix lo elimina e la password non è più valida. Il bastione (e le relative regole di accesso RDP) vengono eliminati al termine dell’operazione. Citrix può accedere solo ai Cloud Connector non aggiunti al dominio del cliente con il bastion. Citrix non dispone della password per accedere ai VDA non appartenenti a un dominio o ai Cloud Connector e ai VDA aggiunti a un dominio.
Criteri del firewall quando si utilizzano gli strumenti di risoluzione dei problemi
Quando un cliente richiede la creazione di un computer bastion per la risoluzione dei problemi, vengono apportate le modifiche seguenti al gruppo di sicurezza alla rete virtuale gestita da Citrix:
- Consentire temporaneamente 3389 in ingresso dall’intervallo IP specificato dal cliente al bastione.
- Consentire temporaneamente l’ingresso di 3389 dall’indirizzo IP di base a qualsiasi indirizzo nella rete virtuale (VDA e Cloud Connector).
- Continuare a bloccare l’accesso RDP tra i Cloud Connector, i VDA e altri VDA.
Quando un cliente abilita l’accesso RDP per la risoluzione dei problemi, vengono apportate le seguenti modifiche al gruppo di sicurezza alla rete virtuale gestita da Citrix:
- Consentire temporaneamente l’ingresso di 3389 dall’intervallo IP specificato dal cliente a qualsiasi indirizzo nella rete virtuale (VDA e Cloud Connector).
- Continuare a bloccare l’accesso RDP tra i Cloud Connector, i VDA e altri VDA.
Sottoscrizioni gestite dal cliente
Per le sottoscrizioni gestite dal cliente, Citrix aderisce alle responsabilità di cui sopra durante la distribuzione delle risorse di Azure. Dopo la distribuzione, tutto quanto sopra ricade sotto la responsabilità del cliente, perché il cliente è il proprietario della sottoscrizione di Azure.
Responsabilità del cliente
VDA e immagini della macchina
Il cliente è responsabile di tutti gli aspetti del software installato sulle macchine VDA, tra cui:
- Aggiornamenti del sistema operativo e patch di sicurezza
- Antivirus e antimalware
- Aggiornamenti software VDA e patch di sicurezza
- Regole aggiuntive del firewall software (in particolare il traffico in uscita)
- Segui Citrix Considerazioni sulla sicurezza e best practice
Citrix fornisce un’immagine preparata che è intesa come punto di partenza. I clienti possono utilizzare questa immagine per scopi di prova o dimostrativi o come base per costruire la propria immagine della macchina. Citrix non garantisce la sicurezza di questa immagine preparata. Citrix tenterà di mantenere aggiornati il sistema operativo e il software VDA sull’immagine preparata e abiliterà Windows Defender su queste immagini.
Responsabilità del cliente quando si usa il peering di reti virtuali
Il cliente deve aprire tutte le porte specificate in Rete virtuale gestita dal cliente con computer aggiunti a un dominio.
Quando il peering reti virtuali è configurato, il cliente è responsabile della sicurezza della propria rete virtuale e della relativa connettività alle risorse locali. Il cliente è inoltre responsabile della sicurezza del traffico in ingresso dalla rete virtuale con peering gestita da Citrix. Citrix non intraprende alcuna azione per bloccare il traffico dalla rete virtuale gestita da Citrix alle risorse locali del cliente.
I clienti hanno a disposizione le seguenti opzioni per limitare il traffico in entrata:
- Assegnare alla rete virtuale gestita da Citrix un blocco IP che non è in uso altrove nella rete locale del cliente o nella rete virtuale connessa gestita dal cliente. Questa operazione è necessaria per il peering di reti virtuali.
- Aggiungere gruppi di sicurezza di rete e firewall di Azure nella rete virtuale e nella rete locale del cliente per bloccare o limitare il traffico dal blocco IP gestito da Citrix.
- Implementa misure come sistemi di prevenzione delle intrusioni, firewall software e motori di analisi comportamentale nella rete virtuale del cliente e nella rete locale, mirando al blocco IP gestito da Citrix.
Procura
Il cliente può scegliere se utilizzare un proxy per il traffico in uscita dal VDA. Se viene utilizzato un proxy, il cliente è responsabile di:
- Configurazione delle impostazioni proxy sull’immagine della macchina VDA o, se il VDA è aggiunto a un dominio, utilizzando Criteri di gruppo di Active Directory.
- Manutenzione e sicurezza del proxy.
I proxy non possono essere utilizzati con Citrix Cloud Connectors o altre infrastrutture gestite da Citrix.
Resilienza del catalogo
Citrix offre tre tipi di cataloghi con diversi livelli di resilienza:
- Statico: Ogni utente è assegnato a un singolo VDA. Questo tipo di catalogo non offre disponibilità elevata. Se il VDA di un utente si interrompe, sarà necessario posizionarlo su uno nuovo per il ripristino. Azure offre un contratto di servizio del 99,5% per le macchine virtuali a istanza singola. Il cliente può comunque eseguire il backup del profilo utente, ma tutte le personalizzazioni apportate al VDA (come l’installazione di programmi o la configurazione di Windows) andranno perse.
- Aleatorio: Ogni utente viene assegnato in modo casuale a un VDA del server al momento dell’avvio. Questo tipo di catalogo offre un’elevata disponibilità tramite ridondanza. Se un VDA non funziona, nessuna informazione viene persa perché il profilo dell’utente risiede altrove.
- Windows 10 multisessione: Questo tipo di catalogo funziona allo stesso modo del tipo casuale, ma utilizza VDA per workstation Windows 10 anziché VDA per server.
Backup per cataloghi aggiunti a un dominio
Se il cliente usa cataloghi aggiunti a un dominio con un peering di reti virtuali, il cliente è responsabile del backup dei profili utente. Citrix consiglia ai clienti di configurare le condivisioni di file locali e di impostare le policy su Active Directory o VDA per estrarre i profili utente da queste condivisioni di file. Il cliente è responsabile del backup e della disponibilità di queste condivisioni di file.
Ripristino di emergenza
In caso di perdita di dati di Azure, Citrix recupererà il maggior numero possibile di risorse nella sottoscrizione di Azure gestita da Citrix. Citrix tenterà di ripristinare i connettori cloud e i VDA. Se Citrix non riesce a recuperare questi elementi, i clienti sono responsabili della creazione di un nuovo catalogo. Citrix presuppone che venga eseguito il backup delle immagini delle macchine e che i clienti abbiano eseguito il backup dei propri profili utente, consentendo la ricompilazione del catalogo.
In caso di perdita di un’intera area di Azure, il cliente è responsabile della ricompilazione della rete virtuale gestita dal cliente in una nuova area e della creazione di un nuovo peering di reti virtuali all’interno di Citrix DaaS.
Responsabilità condivise tra Citrix e i clienti
Citrix Cloud Connector per cataloghi aggiunti a un dominio
Citrix DaaS distribuisce almeno due Cloud Connector in ogni posizione delle risorse. Alcuni cataloghi possono condividere una posizione delle risorse se si trovano nella stessa area, peering reti virtuali e dominio di altri cataloghi per lo stesso cliente. Citrix configura i Cloud Connector aggiunti al dominio del cliente per le seguenti impostazioni di sicurezza predefinite sull’immagine:
- Aggiornamenti del sistema operativo e patch di sicurezza
- Software antivirus
- Aggiornamenti software Cloud Connector
I clienti normalmente non hanno accesso ai Cloud Connector. Tuttavia, possono acquisire l’accesso utilizzando la procedura di risoluzione dei problemi del catalogo e l’accesso con le credenziali di dominio. Il cliente è responsabile di eventuali modifiche apportate al momento dell’accesso tramite il bastione.
I clienti hanno anche il controllo sui Cloud Connector aggiunti al dominio tramite Criteri di gruppo di Active Directory. Il cliente è responsabile di garantire che i criteri di gruppo applicabili al Cloud Connector siano sicuri e ragionevoli. Ad esempio, se il cliente sceglie di disabilitare gli aggiornamenti del sistema operativo utilizzando Criteri di gruppo, il cliente è responsabile dell’esecuzione degli aggiornamenti del sistema operativo sui Cloud Connector. Il cliente può anche scegliere di utilizzare Criteri di gruppo per applicare una sicurezza più rigorosa rispetto alle impostazioni predefinite di Cloud Connector, ad esempio installando un software antivirus diverso. In generale, Citrix consiglia ai clienti di inserire Cloud Connectors nella propria unità organizzativa di Active Directory senza criteri, in quanto ciò garantirà che le impostazioni predefinite utilizzate da Citrix possano essere applicate senza problemi.
Risoluzione dei problemi
Nel caso in cui il cliente riscontri problemi con il catalogo in Citrix DaaS, sono disponibili due opzioni per la risoluzione dei problemi: l’utilizzo dei bastioni e l’abilitazione dell’accesso RDP. Entrambe le opzioni introducono rischi per la sicurezza del cliente. Il cliente deve comprendere e acconsentire ad assumersi questo rischio prima di utilizzare queste opzioni.
Citrix è responsabile dell’apertura e della chiusura delle porte necessarie per eseguire le operazioni di risoluzione dei problemi e della limitazione delle macchine a cui è possibile accedere durante queste operazioni.
Con l’accesso ai bastioni o RDP, l’utente attivo che esegue l’operazione è responsabile della sicurezza dei computer a cui si accede. Se il cliente accede al VDA o al Cloud Connector tramite RDP e contrae accidentalmente un virus, il cliente è responsabile. Se il personale di supporto Citrix accede a queste macchine, è responsabilità di tale personale eseguire le operazioni in sicurezza. La responsabilità per eventuali vulnerabilità esposte da qualsiasi persona che accede al bastione o ad altre macchine nella distribuzione (ad esempio, la responsabilità del cliente di aggiungere intervalli IP all’elenco consentiti, la responsabilità di Citrix di implementare correttamente gli intervalli IP) è trattata altrove in questo documento.
In entrambi gli scenari, Citrix è responsabile della corretta creazione delle eccezioni del firewall per consentire il traffico RDP. Citrix è inoltre responsabile della revoca di queste eccezioni dopo che il cliente ha eliminato il bastione o terminato l’accesso RDP tramite Citrix DaaS.
Bastioni
Citrix può creare bastioni nella rete virtuale gestita da Citrix del cliente all’interno della sottoscrizione gestita da Citrix del cliente per diagnosticare e risolvere i problemi, in modo proattivo (senza notifica al cliente) o in risposta a un problema sollevato dal cliente. Il bastione è una macchina a cui il cliente può accedere tramite RDP e quindi utilizzare per accedere ai VDA e (per i cataloghi aggiunti a un dominio) ai Cloud Connector tramite RDP per raccogliere registri, riavviare i servizi o eseguire altre attività amministrative. Per impostazione predefinita, la creazione di un bastion apre una regola del firewall esterno per consentire il traffico RDP da un intervallo di indirizzi IP specificato dal cliente al computer bastion. Apre anche una regola del firewall interno per consentire l’accesso ai Cloud Connector e ai VDA tramite RDP. L’apertura di queste regole rappresenta un grande rischio per la sicurezza.
Il cliente è responsabile di fornire una password complessa utilizzata per l’account Windows locale. Il cliente è inoltre responsabile della fornitura di un intervallo di indirizzi IP esterni che consenta l’accesso RDP al bastione. Se il cliente sceglie di non fornire un intervallo IP (consentendo a chiunque di tentare l’accesso RDP), il cliente è responsabile di qualsiasi tentativo di accesso da parte di indirizzi IP dannosi.
Il cliente è inoltre responsabile dell’eliminazione del bastione al termine della risoluzione dei problemi. L’host bastion espone una superficie di attacco aggiuntiva, quindi Citrix spegne automaticamente la macchina otto (8) ore dopo l’accensione. Tuttavia, Citrix non elimina mai automaticamente un bastione. Se il cliente sceglie di utilizzare il bastione per un periodo di tempo prolungato, è responsabile dell’applicazione di patch e dell’aggiornamento. Citrix consiglia di utilizzare un bastione solo per alcuni giorni prima di eliminarlo. Se il cliente desidera un bastione aggiornato, può eliminare quello attuale e quindi creare un nuovo bastione, che eseguirà il provisioning di una nuova macchina con le patch di sicurezza più recenti.
Accesso RDP
Per i cataloghi aggiunti a un dominio, se il peering della rete virtuale del cliente è funzionante, il cliente può abilitare l’accesso RDP dalla rete virtuale con peering alla rete virtuale gestita da Citrix. Se il cliente utilizza questa opzione, è responsabile dell’accesso ai VDA e ai connettori cloud tramite il peering VNet. Gli intervalli di indirizzi IP di origine possono essere specificati in modo che l’accesso RDP possa essere ulteriormente limitato, anche all’interno della rete interna del cliente. Il cliente dovrà utilizzare le credenziali di dominio per accedere a queste macchine. Se il cliente collabora con il supporto Citrix per risolvere un problema, potrebbe essere necessario condividere queste credenziali con il personale di supporto. Dopo che il problema è stato risolto, il cliente è responsabile della disabilitazione dell’accesso RDP. Mantenere aperto l’accesso RDP dalla rete in peering o locale del cliente rappresenta un rischio per la sicurezza.
Credenziali di dominio
Se il cliente sceglie di utilizzare un catalogo aggiunto a un dominio, è responsabile di fornire a Citrix DaaS un account di dominio (nome utente e password) con le autorizzazioni per aggiungere le macchine al dominio. Quando fornisce le credenziali di dominio, il cliente è responsabile del rispetto dei seguenti principi di sicurezza:
- Controllabili: L’account deve essere creato in modo specifico per l’utilizzo di Citrix DaaS, in modo che sia facile verificare l’uso dell’account.
- Ambito: L’account richiede solo le autorizzazioni per aggiungere computer a un dominio. Non deve essere un amministratore di dominio completo.
- Sicuro: L’account deve essere inserito con una password complessa.
Citrix è responsabile dell’archiviazione sicura di questo account di dominio in un Azure Key Vault nella sottoscrizione di Azure gestita da Citrix del cliente. L’account viene recuperato solo se un’operazione richiede la password dell’account di dominio.
Ulteriori informazioni
Per informazioni correlate, consultare:
- Guida all’implementazione sicura per Citrix Cloud Platform: Informazioni sulla sicurezza per la piattaforma Citrix Cloud.
- Panoramica tecnica sulla sicurezza: Informazioni di sicurezza per Citrix DaaS
- Notifiche di terze parti