Citrix DaaS

Panoramica tecnica sulla sicurezza per Citrix Managed Azured

Il diagramma seguente mostra i componenti di una distribuzione di Citrix DaaS (in precedenza servizio Citrix Virtual Apps and Desktops) che utilizza Citrix Managed Azure. In questo esempio viene utilizzata una connessione di peering VNet.

Componenti di Citrix DaaS e connessione peer Azure VNet

Con Citrix Managed Azure, i Virtual Delivery Agent (VDA) del cliente che distribuiscono desktop e app, oltre ai Citrix Cloud Connector, vengono distribuiti in una sottoscrizione di Azure e un tenant gestito da Citrix.

Conformità basata su cloud Citrix

A partire da gennaio 2021, l’utilizzo di Citrix Managed Azure Capacity con varie edizioni di Citrix DaaS e Workspace Premium Plus non è stato valutato per Citrix SOC 2 (Tipo 1 o 2), ISO 27001, HIPAA o altri requisiti di conformità cloud. Visitare il Citrix Trust Center per ulteriori informazioni sulle certificazioni Citrix Cloud e controllare frequentemente gli aggiornamenti.

Responsabilità di Citrix

Citrix Cloud Connector per cataloghi non aggiunti a un dominio

Quando si utilizza una sottoscrizione Citrix Managed Azure, Citrix DaaS distribuisce almeno due Cloud Connector in ogni posizione di risorse. Alcuni cataloghi possono condividere una posizione risorsa se si trovano nella stessa area geografica di altri cataloghi per lo stesso cliente.

Citrix è responsabile delle seguenti operazioni di sicurezza su Cloud Connector di cataloghi non aggiunti a un dominio:

  • Applicazione di aggiornamenti del sistema operativo e patch di sicurezza
  • Installazione e manutenzione di software antivirus
  • Applicazione degli aggiornamenti software di Cloud Connector

I clienti non hanno accesso ai Cloud Connettor. Pertanto, Citrix è interamente responsabile delle prestazioni dei Cloud Connector dei cataloghi non aggiunti a un dominio.

Sottoscrizione di Azure e Azure Active Directory

Citrix è responsabile della sicurezza della sottoscrizione di Azure e di Azure Active Directory (AAD) create per il cliente. Citrix garantisce l’isolamento dei tenant, in modo che ogni cliente abbia la propria sottoscrizione di Azure e la propria AAD, evitando così il cross-talk tra tenant diversi. Citrix limita inoltre l’accesso all’AAD solo al personale operativo Citrix DaaS e Citrix. L’accesso di Citrix alla sottoscrizione di Azure di ogni cliente viene verificato.

I clienti che utilizzano cataloghi non aggiunti a un dominio possono utilizzare l’AAD gestita da Citrix come mezzo di autenticazione per Citrix Workspace. Per questi clienti, Citrix crea account utente con privilegi limitati nell’AAD gestita da Citrix. Tuttavia, né gli utenti né gli amministratori dei clienti possono eseguire alcuna azione sull’AAD gestita da Citrix. Se questi clienti scelgono di utilizzare la propria AAD, sono interamente responsabili della sicurezza.

Reti e infrastruttura virtuali

Nell’ambito della sottoscrizione Citrix Managed Azure del cliente, Citrix crea reti virtuali per isolare le posizioni risorse. All’interno di tali reti, Citrix crea macchine virtuali per VDA, Cloud Connector e macchine per la creazione di immagini, oltre agli account di archiviazione, agli insiemi di credenziali delle chiavi e ad altre risorse di Azure. Citrix, in collaborazione con Microsoft, è responsabile della sicurezza delle reti virtuali, inclusi i firewall delle reti virtuali.

Citrix garantisce che il criterio firewall di Azure predefinito (gruppi di sicurezza di rete) sia configurato per limitare l’accesso alle interfacce di rete nel peering VNet e nelle connessioni SD-WAN. In genere, controlla il traffico in entrata verso VDA e Cloud Connector. Per ulteriori informazioni, vedere:

I clienti non possono modificare questo criterio firewall predefinito, ma possono implementare regole firewall aggiuntive sulle macchine VDA create da Citrix, ad esempio per limitare parzialmente il traffico in uscita. I clienti che installano client di reti private virtuali o altro software in grado di aggirare le regole del firewall su macchine VDA create da Citrix sono responsabili di eventuali rischi per la sicurezza che potrebbero insorgere.

Quando si utilizza il generatore di immagini in Citrix DaaS per creare e personalizzare una nuova immagine della macchina, le porte 3389-3390 vengono aperte temporaneamente nella VNet gestita da Citrix, in modo che il cliente possa eseguire RDP sulla macchina contenente la nuova immagine per personalizzarla.

Responsabilità di Citrix nell’utilizzo delle connessioni di peering di Azure VNet

Perché i VDA di Citrix DaaS contattino i controller di dominio, le condivisioni di file o altre risorse intranet locali, Citrix DaaS fornisce un flusso di lavoro di peering VNet come opzione di connettività. La rete virtuale gestita da Citrix del cliente viene sottoposta a peering con una rete virtuale di Azure gestita dal cliente. La rete virtuale gestita dal cliente può abilitare la connettività con le risorse locali del cliente utilizzando la soluzione di connettività dal cloud all’ambiente locale scelta dal cliente, ad esempio Azure ExpressRoute o i tunnel IPSec.

La responsabilità di Citrix per il peering VNet è limitata al supporto del flusso di lavoro e della relativa configurazione delle risorse di Azure per stabilire relazioni di peering tra Citrix e le VNet gestite dal cliente.

Criteri firewall per le connessioni di peering di Azure VNet

Citrix apre o chiude le seguenti porte per il traffico in entrata e in uscita che utilizza una connessione di peering VNet.

VNet gestita da Citrix con macchine non aggiunte a un dominio
  • Regole in entrata
    • Porte in ingresso 80, 443, 1494 e 2598 consentite dai VDA ai Cloud Connector e dai Cloud Connector ai VDA.
    • Porte 49152-65535 in ingresso consentite per i VDA di un intervallo di indirizzi IP utilizzato dalla funzionalità di monitoraggio dello shadowing. Vedere Porte di comunicazione utilizzate da Citrix Technologies.
    • Tutto l’altro traffico in entrata viene negato. Ciò include il traffico intra-VNet da VDA a VDA e da VDA a Cloud Connector.
  • Regole in uscita
    • Tutto il traffico in uscita è consentito.
VNet gestita da Citrix con macchine aggiunte a un dominio
  • Regole in entrata:
    • Porte 80, 443, 1494 e 2598 in ingresso consentite dai VDA ai Cloud Connector e dai Cloud Connector ai VDA.
    • Porte 49152-65535 in ingresso consentite per i VDA di un intervallo di indirizzi IP utilizzato dalla funzionalità di monitoraggio dello shadowing. Vedere Porte di comunicazione utilizzate da Citrix Technologies.
    • Tutto l’altro traffico in entrata viene negato. Ciò include il traffico intra-VNet da VDA a VDA e da VDA a Cloud Connector.
  • Regole in uscita
    • Tutto il traffico in uscita è consentito.
VNet gestita dal cliente con macchine aggiunte a un dominio
  • È responsabilità del cliente configurare correttamente la VNet. Ciò include l’apertura delle seguenti porte per l’aggiunta al dominio.
  • Regole in entrata:
    • Ingresso consentito sulle porte 443, 1494, 2598 dagli IP client per i lanci interni.
    • Ingresso consentito sulle porte 53, 88, 123, 135-139, 389, 445, 636 da Citrix VNet (intervallo di indirizzi IP specificato dal cliente).
    • Ingresso consentito sulle porte aperte con una configurazione proxy.
    • Altre regole create dal cliente.
  • Regole in uscita:
    • Uscita consentita sulle porte 443, 1494, 2598 verso Citrix VNet (intervallo di indirizzi IP specificato dal cliente) per i lanci interni.
    • Altre regole create dal cliente.

Responsabilità di Citrix per l’utilizzo della connettività SD-WAN

Citrix supporta un modo completamente automatizzato di distribuire istanze Citrix SD-WAN virtuali per abilitare la connettività tra Citrix DaaS e le risorse locali. La connettività Citrix SD-WAN presenta diversi vantaggi rispetto al peering VNet, tra cui:

Elevata affidabilità e sicurezza delle connessioni dal VDA al centro dati e dal VDA alla filiale (ICA).

  • La migliore esperienza utente finale per chi lavora in ufficio, con funzionalità QoS avanzate e ottimizzazioni VoIP.
  • Capacità integrata di ispezionare, assegnare priorità e creare report sul traffico di rete Citrix HDX e sull’utilizzo di altre applicazioni.

Citrix richiede ai clienti che desiderano sfruttare la connettività SD-WAN per Citrix DaaS di utilizzare SD-WAN Orchestrator per la gestione delle loro reti Citrix SD-WAN.

Il diagramma seguente mostra i componenti aggiunti in una distribuzione di Citrix DaaS utilizzando una sottoscrizione Citrix Managed Azure e la connettività SD-WAN.

Citrix DaaS con connettività SD-WAN

La distribuzione Citrix SD-WAN per Citrix DaaS è simile alla configurazione di distribuzione standard di Azure per Citrix SD-WAN. Per ulteriori informazioni, vedere Distribuire l’istanza Citrix SD-WAN Standard Edition su Azure. In una configurazione ad alta disponibilità, una coppia attiva/standby di istanze SD-WAN con sistemi di bilanciamento del carico di Azure viene distribuita come gateway tra la subnet contenente i VDA e i Cloud Connector e Internet. In una configurazione non HA, come gateway viene distribuita solo una singola istanza SD-WAN. Alle interfacce di rete delle appliance SD-WAN virtuali vengono assegnati indirizzi da un intervallo di indirizzi ridotto separato suddiviso in due subnet.

Quando si configura la connettività SD-WAN, Citrix apporta alcune modifiche alla configurazione di rete dei desktop gestiti descritta sopra. In particolare, tutto il traffico in uscita dalla VNet, incluso il traffico verso destinazioni Internet, viene instradato attraverso l’istanza cloud SD-WAN. L’istanza SD-WAN è inoltre configurata per essere il server DNS per la VNet gestita da Citrix.

L’accesso in gestione alle istanze SD-WAN virtuali richiede un login e una password amministratore. A ogni istanza di SD-WAN viene assegnata una password sicura univoca e casuale che può essere utilizzata dagli amministratori SD-WAN per l’accesso remoto e la risoluzione dei problemi tramite l’interfaccia utente di SD-WAN Orchestrator, l’interfaccia utente di gestione dell’appliance virtuale e l’interfaccia della riga di comando.

Proprio come altre risorse specifiche del tenant, le istanze SD-WAN virtuali distribuite in una VNet specifica del cliente sono completamente isolate da tutte le altre VNet.

Quando il cliente abilita la connettività Citrix SD-WAN, Citrix automatizza la distribuzione iniziale delle istanze SD-WAN virtuali utilizzate con Citrix DaaS, mantiene le risorse Azure sottostanti (macchine virtuali, bilanciatori del carico e così via), fornisce impostazioni predefinite sicure ed efficienti pronte all’uso per la configurazione iniziale delle istanze SD-WAN virtuali e consente la manutenzione continua e la risoluzione dei problemi tramite SD-WAN Orchestrator. Citrix adotta inoltre misure ragionevoli per eseguire la convalida automatica della configurazione di rete SD-WAN, verificare la presenza di rischi noti per la sicurezza e visualizzare gli avvisi corrispondenti tramite SD-WAN Orchestrator.

Criteri firewall per le connessioni SD-WAN

Citrix utilizza i criteri firewall di Azure (gruppi di sicurezza di rete) e l’assegnazione di indirizzi IP pubblici per limitare l’accesso alle interfacce di rete delle appliance SD-WAN virtuali:

  • Solo alle interfacce WAN e di gestione vengono assegnati indirizzi IP pubblici e tali interfacce consentono la connettività in uscita a Internet.
  • Le interfacce LAN, che fungono da gateway per la VNet gestita da Citrix, possono scambiare traffico di rete solo con macchine virtuali sulla stessa VNet.
  • Le interfacce WAN limitano il traffico in ingresso alla porta UDP 4980 (utilizzata da Citrix SD-WAN per la connettività dei percorsi virtuali) e negano il traffico in uscita verso la VNet.
  • Le porte di gestione consentono il traffico in entrata verso le porte 443 (HTTPS) e 22 (SSH).
  • Le interfacce HA sono consentite solo per lo scambio reciproco del traffico di controllo.

Accesso all’infrastruttura

Citrix può accedere all’infrastruttura gestita da Citrix del cliente (Cloud Connector) per eseguire determinate attività amministrative come la raccolta di registri (incluso il Visualizzatore eventi di Windows) e il riavvio dei servizi senza avvisare il cliente. Citrix è responsabile dell’esecuzione di queste attività in modo sicuro e con un impatto minimo per il cliente. Citrix è inoltre responsabile di garantire che tutti i file di registro vengano recuperati, trasportati e gestiti in modo sicuro e protetto. Non è possibile accedere ai VDA dei clienti in questo modo.

Backup per cataloghi non aggiunti a un dominio

Citrix non è responsabile dell’esecuzione di backup di cataloghi non aggiunti a un dominio.

Backup per immagini delle macchine

Citrix è responsabile del backup di tutte le immagini delle macchine caricate in Citrix DaaS, comprese le immagini create con il generatore di immagini. Citrix utilizza l’archiviazione ridondante locale per queste immagini.

Bastioni per cataloghi non aggiunti a un dominio

Il personale operativo di Citrix ha la possibilità di creare un bastione, se necessario, per accedere alla sottoscrizione di Azure del cliente gestita da Citrix per diagnosticare e risolvere i problemi del cliente, potenzialmente prima che il cliente li riscontri. Citrix non richiede il consenso del cliente per creare un bastione. Quando crea il bastione, Citrix crea una password complessa generata casualmente per il bastione e limita l’accesso RDP agli indirizzi IP NAT di Citrix. Quando il bastione non è più necessario, Citrix lo elimina e la password non è più valida. Il bastione e le relative regole di accesso RDP vengono eliminati al termine dell’operazione. Citrix può accedere solo ai Cloud Connector non aggiunti a un dominio del cliente con il bastione. Citrix non dispone della password per accedere ai VDA non aggiunti a un dominio o ai Cloud Connector e ai VDA aggiunti a un dominio.

Criteri firewall quando si utilizzano strumenti per la risoluzione dei problemi

Quando un cliente richiede la creazione di una macchina bastione per la risoluzione dei problemi, vengono apportate le seguenti modifiche al gruppo di sicurezza nella VNet gestita da Citrix:

  • Viene consentita temporaneamente la porta 3389 in entrata dall’intervallo di indirizzi IP specificato dal cliente verso il bastione.
  • Viene consentita temporaneamente la porta 3389 in entrata dall’indirizzo IP del bastione a qualsiasi indirizzo nella VNet (VDA e Cloud Connector).
  • Si continua a bloccare l’accesso RDP tra i Cloud Connector, i VDA e altri VDA.

Quando un cliente abilita l’accesso RDP per la risoluzione dei problemi, vengono apportate le seguenti modifiche al gruppo di sicurezza nella VNet gestita da Citrix:

  • Viene consentita temporaneamente la porta 3389 in entrata dall’intervallo di indirizzi IP specificato dal cliente a qualsiasi indirizzo nella VNet (VDA e Cloud Connector).
  • Si continua a bloccare l’accesso RDP tra i Cloud Connector, i VDA e altri VDA.

Sottoscrizioni gestite dal cliente

Per le sottoscrizioni gestite dal cliente, Citrix aderisce alle responsabilità di cui sopra durante la distribuzione delle risorse di Azure. Dopo la distribuzione, tutto quanto indicato sopra è di responsabilità del cliente, in quanto è il proprietario della sottoscrizione di Azure.

Sottoscrizioni gestite dal cliente

Responsabilità del cliente

VDA e immagini delle macchine

Il cliente è responsabile di tutti gli aspetti del software installato sulle macchine VDA, tra cui:

  • Aggiornamenti del sistema operativo e patch di sicurezza
  • Antivirus e antimalware
  • Aggiornamenti e patch di sicurezza del software del VDA
  • Regole firewall software aggiuntive (in particolare per il traffico in uscita)
  • Attenersi alle considerazioni sulla sicurezza e alle procedure consigliate di Citrix

Citrix fornisce un’immagine preparata che funge da punto di partenza. I clienti possono utilizzare questa immagine a scopo dimostrativo o come Proof of Concept (POC), oppure come base per creare la propria immagine della macchina. Citrix non garantisce la sicurezza di questa immagine preparata. Citrix tenterà di mantenere aggiornati il sistema operativo e il software del VDA sull’immagine preparata e abiliterà Windows Defender su queste immagini.

Responsabilità del cliente nell’utilizzo del peering VNet

Il cliente deve aprire tutte le porte specificate nella VNet gestita dal cliente con macchine aggiunte a un dominio.

Quando viene configurato il peering VNet, il cliente è responsabile della sicurezza della propria rete virtuale e della connettività alle risorse locali. Il cliente è inoltre responsabile della sicurezza del traffico in entrata dalla rete virtuale con peering gestita da Citrix. Citrix non intraprende alcuna azione per bloccare il traffico dalla rete virtuale gestita da Citrix alle risorse locali del cliente.

I clienti hanno a disposizione le seguenti opzioni per limitare il traffico in entrata:

  • Fornire alla rete virtuale gestita da Citrix un blocco IP che non è utilizzato altrove nella rete locale del cliente o nella rete virtuale connessa gestita dal cliente. Questa operazione è necessaria per il peering VNet.
  • Aggiungere i gruppi di sicurezza e i firewall della rete di Azure nella rete virtuale del cliente e nella rete locale per bloccare o limitare il traffico proveniente dal blocco IP gestito da Citrix.
  • Implementare misure come sistemi di prevenzione delle intrusioni, firewall del software e motori di analisi comportamentale nella rete virtuale del cliente e nella rete locale, mirando al blocco IP gestito da Citrix.

Responsabilità del cliente nell’utilizzo della connettività SD-WAN

Quando la connettività SD-WAN è configurata, i clienti hanno la piena flessibilità di configurare le istanze SD-WAN virtuali utilizzate con Citrix DaaS in base ai loro requisiti di rete, ad eccezione di alcuni elementi necessari per garantire il corretto funzionamento della SD-WAN nella VNet gestita dal cliente. Le responsabilità del cliente includono:

  • Progettazione e configurazione di regole di routing e firewall, incluse le regole per il DNS e il breakout del traffico Internet.
  • Manutenzione della configurazione della rete SD-WAN.
  • Monitoraggio dello stato operativo della rete.
  • Implementazione tempestiva di aggiornamenti software o correzioni di sicurezza di Citrix SD-WAN. Poiché tutte le istanze di Citrix SD-WAN su una rete del cliente devono eseguire la stessa versione del software SD-WAN, le distribuzioni di versioni software aggiornate alle istanze SD-WAN di Citrix DaaS devono essere gestite dai clienti in base ai programmi e ai vincoli di manutenzione della rete.

Una configurazione errata delle regole di routing e firewall SD-WAN o una cattiva gestione delle password di gestione SD-WAN possono comportare rischi per la sicurezza sia per le risorse virtuali in Citrix DaaS, sia per le risorse locali raggiungibili attraverso i percorsi virtuali Citrix SD-WAN. Un altro possibile rischio per la sicurezza deriva dal mancato aggiornamento del software Citrix SD-WAN all’ultima versione di patch disponibile. Mentre SD-WAN Orchestrator e altri servizi Citrix Cloud forniscono i mezzi per affrontare tali rischi, i clienti sono in ultima analisi responsabili di garantire che le istanze SD-WAN virtuali siano configurate in modo appropriato.

Proxy

Il cliente può scegliere se utilizzare un proxy per il traffico in uscita dal VDA. Se viene utilizzato un proxy, il cliente è responsabile di quanto segue:

  • Configurazione delle impostazioni proxy sull’immagine della macchina VDA o, se il VDA è aggiunto a un dominio, utilizzando Criteri di gruppo di Active Directory.
  • Manutenzione e sicurezza del proxy.

Non è consentito utilizzare proxy con Citrix Cloud Connector o altre infrastrutture gestite da Citrix.

Citrix offre tre tipi di cataloghi con diversi livelli di resilienza:

  • Statico: ogni utente è assegnato a un singolo VDA. Questo tipo di catalogo non garantisce un’elevata disponibilità. Se il VDA di un utente non funziona, ne occorrerà uno nuovo per il ripristino. Azure offre un contratto di servizio del 99,5% per le macchine virtuali a istanza singola. Il cliente può comunque eseguire il backup del profilo utente, ma tutte le personalizzazioni apportate al VDA (ad esempio l’installazione di programmi o la configurazione di Windows) andranno perse.
  • Casuale: ogni utente viene assegnato casualmente a un server VDA al momento dell’avvio. Questo tipo di catalogo offre un’elevata disponibilità grazie alla ridondanza. Se un VDA non funziona, nessuna informazione viene persa perché il profilo dell’utente risiede altrove.
  • Multisessione di Windows 10: questo tipo di catalogo funziona allo stesso modo del tipo casuale ma utilizza VDA di workstation Windows 10 anziché VDA del server.

Backup per cataloghi aggiunti a un dominio

Se il cliente utilizza cataloghi aggiunti a un dominio con un peering VNet, è responsabile del backup dei propri profili utente. Citrix consiglia ai clienti di configurare le condivisioni di file locali e di impostare criteri sulla propria Active Directory o sui propri VDA per estrarre i profili utente da queste condivisioni di file. Il cliente è responsabile del backup e della disponibilità di queste condivisioni di file.

Disaster recovery

In caso di perdita di dati di Azure, Citrix recupererà quante più risorse possibili nella sottoscrizione Azure gestita da Citrix. Citrix tenterà di ripristinare i Cloud Connector e i VDA. Se Citrix non riesce a recuperare questi elementi, i clienti sono responsabili della creazione di un nuovo catalogo. Citrix presuppone che venga eseguito il backup delle immagini delle macchine e che i clienti abbiano eseguito il backup dei loro profili utente, consentendo la ricostruzione del catalogo.

In caso di perdita di un’intera area geografica di Azure, il cliente è responsabile della ricostruzione della propria rete virtuale gestita dal cliente in una nuova area geografica e della creazione di un nuovo peering VNet o di una nuova istanza SD-WAN all’interno di Citrix DaaS.

Citrix e le responsabilità condivise con i clienti

Citrix Cloud Connector per cataloghi aggiunti a un dominio

Citrix DaaS implementa almeno due Cloud Connector in ogni posizione di risorse. Alcuni cataloghi possono condividere una posizione risorsa se si trovano nella stessa area geografica, nello stesso peering VNet e nello stesso dominio di altri cataloghi per lo stesso cliente. Citrix configura i Cloud Connector aggiunti a un dominio del cliente per le seguenti impostazioni di sicurezza predefinite nell’immagine:

  • Aggiornamenti del sistema operativo e patch di sicurezza
  • Software antivirus
  • Aggiornamenti software di Cloud Connector

Normalmente i clienti non hanno accesso ai Cloud Connector. Tuttavia, possono acquisire l’accesso utilizzando la procedura di risoluzione dei problemi del catalogo e accedendo con le credenziali di dominio. Il cliente è responsabile di eventuali modifiche apportate al momento dell’accesso tramite il bastione.

I clienti hanno anche il controllo sui Cloud Connector aggiunti a un dominio tramite i Criteri di gruppo di Active Directory. Il cliente è responsabile di garantire che i criteri di gruppo applicabili a Cloud Connector siano sicuri e ragionevoli. Ad esempio, se il cliente sceglie di disabilitare gli aggiornamenti del sistema operativo utilizzando Criteri di gruppo, è responsabile dell’esecuzione degli aggiornamenti del sistema operativo sui Cloud Connector. Il cliente può anche scegliere di utilizzare Criteri di gruppo per applicare una protezione più rigorosa rispetto alle impostazioni predefinite di Cloud Connector, ad esempio installando un software antivirus diverso. In generale, Citrix consiglia ai clienti di posizionare i Cloud Connector nella propria unità organizzativa di Active Directory senza criteri, in quanto ciò garantirà che le impostazioni predefinite utilizzate da Citrix possano essere applicate senza problemi.

Risoluzione dei problemi

Nel caso in cui il cliente riscontri problemi con il catalogo in Citrix DaaS, ci sono due opzioni per la risoluzione dei problemi: utilizzare i bastioni e abilitare l’accesso RDP. Entrambe le opzioni comportano rischi per la sicurezza per il cliente. Il cliente deve comprendere questi rischi e acconsentirvi prima di utilizzare queste opzioni.

Citrix è responsabile dell’apertura e della chiusura delle porte necessarie per eseguire le operazioni di risoluzione dei problemi e della limitazione delle macchine a cui è possibile accedere durante queste operazioni.

Con i bastioni o l’accesso RDP, l’utente attivo che esegue l’operazione è responsabile della sicurezza delle macchine a cui viene effettuato l’accesso. Se il cliente accede a VDA o Cloud Connector tramite RDP e contrae accidentalmente un virus, la responsabilità è sua. Se il personale di supporto Citrix accede a queste macchine, ha la responsabilità di eseguire le operazioni in sicurezza. La responsabilità per eventuali vulnerabilità esposte da qualsiasi persona che accede al bastione o ad altre macchine nella distribuzione (ad esempio, la responsabilità del cliente di aggiungere intervalli di indirizzi IP per all’elenco di elementi consentiti, la responsabilità di Citrix di implementare correttamente gli intervalli di indirizzi IP) è trattata altrove in questo documento.

In entrambi gli scenari, Citrix è responsabile della corretta creazione di eccezioni firewall per consentire il traffico RDP. Citrix è inoltre responsabile della revoca di queste eccezioni dopo che il cliente ha eliminato il bastione o ha terminato l’accesso RDP tramite Citrix DaaS.

Bastioni

Citrix può creare bastioni nella rete virtuale gestita da Citrix del cliente all’interno della sottoscrizione gestita da Citrix del cliente per diagnosticare e risolvere i problemi in modo proattivo (senza notificare il cliente) o in risposta a un problema sollevato dal cliente. Il bastione è una macchina a cui il cliente può accedere tramite RDP e quindi utilizzare per accedere ai VDA e (per i cataloghi aggiunti a un dominio) ai Cloud Connector tramite RDP per raccogliere registri, riavviare servizi o eseguire altre attività amministrative. Per impostazione predefinita, la creazione di un bastione apre una regola del firewall esterno per consentire il traffico RDP da un intervallo di indirizzi IP specificato dal cliente alla macchina bastione. Apre inoltre una regola firewall interna per consentire l’accesso ai Cloud Connector e ai VDA tramite RDP. L’apertura di queste regole comporta un notevole rischio per la sicurezza.

Il cliente ha la responsabilità di fornire una password complessa utilizzata per l’account Windows locale. Il cliente ha inoltre la responsabilità di fornire un intervallo di indirizzi IP esterno che consente l’accesso RDP al bastione. Se il cliente sceglie di non fornire un intervallo di indirizzi IP (consentendo a chiunque di tentare l’accesso RDP), è responsabile di qualsiasi tentativo di accesso tentato da indirizzi IP dannosi.

Il cliente è inoltre responsabile dell’eliminazione del bastione al termine della risoluzione dei problemi. L’host del bastione espone una superficie di attacco aggiuntiva, quindi Citrix spegne automaticamente la macchina otto (8) ore dopo l’accensione. Tuttavia, Citrix non elimina mai automaticamente un bastione. Se il cliente sceglie di utilizzare il bastione per un lungo periodo di tempo, è responsabile dell’applicazione delle patch e dell’aggiornamento. Citrix consiglia di utilizzare un bastione solo per alcuni giorni prima di eliminarlo. Se il cliente desidera un bastione aggiornato, può eliminare quello attuale e quindi crearne uno nuovo, che fornirà una nuova macchina con le ultime patch di sicurezza.

Accesso RDP

Per i cataloghi aggiunti a un dominio, se il peering VNet del cliente è funzionale, il cliente può abilitare l’accesso RDP dalla propria VNet con peering alla VNet gestita da Citrix. Se il cliente utilizza questa opzione, è responsabile dell’accesso ai VDA e ai Cloud Connector tramite il peering VNet. È possibile specificare intervalli di indirizzi IP di origine in modo che l’accesso RDP possa essere ulteriormente limitato, anche nell’ambito della rete interna del cliente. Il cliente dovrà utilizzare le credenziali di dominio per accedere a questi computer. Se il cliente sta collaborando con il supporto Citrix per risolvere un problema, potrebbe dover condividere queste credenziali con il personale di supporto. Dopo aver risolto il problema, il cliente è responsabile della disabilitazione dell’accesso RDP. Mantenere aperto l’accesso RDP dalla rete con peering o on-premise del cliente rappresenta un rischio per la sicurezza.

Credenziali di dominio

Se il cliente sceglie di utilizzare un catalogo aggiunto a un dominio, ha la responsabilità di fornire a Citrix DaaS un account di dominio (nome utente e password) con le autorizzazioni per aggiungere macchine al dominio. Quando fornisce le credenziali di dominio, il cliente è responsabile del rispetto dei seguenti principi di sicurezza:

  • Possibilità di verifica: l’account deve essere creato appositamente per l’utilizzo di Citrix DaaS in modo che sia facile controllare per cosa viene utilizzato.
  • Limitazione dell’ambito: l’account richiede solo le autorizzazioni per aggiungere macchine a un dominio. Non deve essere un amministratore di dominio completo.
  • Sicurezza: è necessario proteggere l’account con una password complessa.

Citrix è responsabile dell’archiviazione sicura di questo account di dominio in un Azure Key Vault nella sottoscrizione di Azure gestita da Citrix del cliente. L’account viene recuperato solo se un’operazione richiede la password dell’account di dominio.

Ulteriori informazioni

Per informazioni correlate, vedere:

Panoramica tecnica sulla sicurezza per Citrix Managed Azured