Citrix DaaS

Visão geral técnica de segurança do Citrix Managed Azure

Observação:

Desde julho de 2023, a Microsoft renomeou o Azure Active Directory (Azure AD) para Microsoft Entra ID. Neste documento, qualquer referência ao Azure Active Directory, Azure AD ou AAD agora se refere à ID do Microsoft Entra.

O diagrama a seguir mostra os componentes em uma implantação do Citrix DaaS (antigo serviço Citrix Virtual Apps and Desktops) que usa o Citrix Managed Azure. Este exemplo usa uma conexão de emparelhamento VNet.

Componentes do Citrix DaaS e conexão de peer VNet do Azure

Com o Citrix Managed Azure, os Virtual Delivery Agents (VDAs) do cliente que fornecem desktops e aplicativos, além do Citrix Cloud Connectors, são implantados em uma assinatura e locatário do Azure gerenciados pela Citrix.

Conformidade baseada em nuvem da Citrix

A partir de janeiro de 2021, o uso do Citrix Managed Azure Capacity com várias edições do Citrix DaaS e do Workspace Premium Plus não foi avaliado para Citrix SOC 2 (Tipo 1 ou 2), ISO 27001, HIPAA ou outros requisitos de conformidade de nuvem. Visite o Central de Confiança da Citrix para obter mais informações sobre as certificações do Citrix Cloud e verifique com frequência as atualizações.

Responsabilidade Citrix

Citrix Cloud Connectors para catálogos não ingressados no domínio

Ao usar uma assinatura do Citrix Managed Azure, o Citrix DaaS implanta pelo menos dois Cloud Connectors em cada local de recurso. Alguns catálogos podem compartilhar um local de recurso se estiverem na mesma região que outros catálogos do mesmo cliente.

A Citrix é responsável pelas seguintes operações de segurança em Cloud Connectors de catálogo não ingressados no domínio:

  • Aplicando atualizações do sistema operacional e patches de segurança
  • Instalando e mantendo software antivírus
  • Aplicando atualizações de software do Cloud Connector

Os clientes não têm acesso aos Cloud Connectors. Portanto, a Citrix é totalmente responsável pelo desempenho dos Cloud Connectors de catálogo não ingressados no domínio.

Assinatura do Azure e Azure Active Directory

A Citrix é responsável pela segurança da assinatura do Azure e do Azure Active Directory (AAD) criados para o cliente. A Citrix garante o isolamento do locatário, para que cada cliente tenha sua própria assinatura do Azure e AAD, e a conversa cruzada entre diferentes locatários é evitada. A Citrix também restringe o acesso ao AAD apenas ao pessoal de operações do Citrix DaaS e da Citrix. O acesso da Citrix à assinatura do Azure de cada cliente é auditado.

Os clientes que empregam catálogos não ingressados no domínio podem usar o AAD gerenciado pela Citrix como meio de autenticação para o Citrix Workspace. Para esses clientes, a Citrix cria contas de usuário de privilégio limitado no AAD gerenciado pela Citrix. No entanto, nem os usuários nem administradores dos clientes podem executar nenhuma ação no AAD gerenciado pela Citrix. Se esses clientes optarem por usar seu próprio AAD, eles serão totalmente responsáveis por sua segurança.

Redes virtuais e infraestrutura

Na assinatura do Citrix Managed Azure do cliente, a Citrix cria redes virtuais para isolar locais de recursos. Nessas redes, a Citrix cria máquinas virtuais para VDAs, Cloud Connectors e máquinas de criação de imagens, além de contas de armazenamento, Key Vaults e outros recursos do Azure. A Citrix, em parceria com a Microsoft, é responsável pela segurança das redes virtuais, incluindo firewalls de rede virtual.

A Citrix garante que a política de firewall padrão do Azure (grupos de segurança de rede) esteja configurada para limitar o acesso a adaptadores de rede no emparelhamento VNet. Geralmente, isso controla o tráfego de entrada para VDAs e Cloud Connectors. Para obter detalhes, consulte:

Os clientes não podem alterar essa política de firewall padrão, mas podem implantar regras de firewall adicionais em máquinas VDA criadas pela Citrix; por exemplo, para restringir parcialmente o tráfego de saída. Os clientes que instalam clientes de rede privada virtual ou outro software capaz de contornar as regras de firewall em máquinas VDA criadas pela Citrix são responsáveis por quaisquer riscos de segurança que possam resultar.

Ao usar o construtor de imagens no Citrix DaaS para criar e personalizar uma nova imagem de máquina, as portas 3389-3390 são abertas temporariamente na VNet gerenciada pela Citrix, para que o cliente possa fazer RDP para a máquina que contém a nova imagem de máquina, para personalizá-la.

Responsabilidade da Citrix ao usar conexões de emparelhamento VNet do Azure

Para que os VDAs no Citrix DaaS entrem em contato com controladores de domínio locais, compartilhamentos de arquivos ou outros recursos da intranet, o Citrix DaaS fornece um fluxo de trabalho de emparelhamento VNet como uma opção de conectividade. A rede virtual gerenciada pela Citrix do cliente é emparelhada com uma rede virtual do Azure gerenciada pelo cliente. A rede virtual gerenciada pelo cliente pode habilitar a conectividade com os recursos locais do cliente usando a solução de conectividade de nuvem para local de escolha do cliente, como Azure ExpressRoute ou túneis IPsec.

A responsabilidade da Citrix pelo emparelhamento de VNet é limitada ao suporte ao fluxo de trabalho e à configuração de recursos do Azure relacionada para estabelecer a relação de emparelhamento entre a Citrix e as VNets gerenciadas pelo cliente.

Política de firewall para conexões de emparelhamento VNet do Azure

A Citrix abre ou fecha as portas a seguir para o tráfego de entrada e saída que usa uma conexão de emparelhamento VNet.

VNet gerenciada pela Citrix com máquinas não ingressadas no domínio
  • Regras de entrada
    • Permita que as portas 80, 443, 1494 e 2598 entrem de VDAs para Cloud Connectors e de Cloud Connectors para VDAs.
    • Permita que as portas 49152-65535 entrem para os VDAs de um intervalo de IP usado pelo recurso de sombreamento do monitor. Ver Portas de comunicação usadas pela Citrix Technologies.
    • Negar todas as outras entradas. Isso inclui o tráfego intra-VNet do VDA para o VDA e do VDA para o Cloud Connector.
  • Regras de saída
    • Permitir todo o tráfego de saída.
VNet gerenciada pela Citrix com máquinas ingressadas no domínio
  • Regras de entrada:
    • Permita que as portas 80, 443, 1494 e 2598 entrem dos VDAs para os Cloud Connectors e dos Cloud Connectors para os VDAs.
    • Permita que as portas 49152-65535 entrem para os VDAs de um intervalo de IP usado pelo recurso de sombreamento do monitor. Ver Portas de comunicação usadas pela Citrix Technologies.
    • Negar todas as outras entradas. Isso inclui o tráfego intra-VNet do VDA para o VDA e do VDA para o Cloud Connector.
  • Regras de saída
    • Permitir todo o tráfego de saída.
VNet gerenciada pelo cliente com computadores ingressados no domínio
  • Cabe ao cliente configurar sua VNet corretamente. Isso inclui abrir as seguintes portas para ingresso no domínio.
  • Regras de entrada:
    • Permitir entrada em 443, 1494, 2598 de seus IPs de cliente para inicializações internas.
    • Permitir entrada em 53, 88, 123, 135-139, 389, 445, 636 da Citrix VNet (intervalo de IP especificado pelo cliente).
    • Permitir entrada em portas abertas com uma configuração de proxy.
    • Outras regras criadas pelo cliente.
  • Regras de saída:
    • Permita a saída em 443, 1494, 2598 para a VNet Citrix (intervalo de IP especificado pelo cliente) para inicializações internas.
    • Outras regras criadas pelo cliente.

Acesso à infraestrutura

A Citrix pode acessar a infraestrutura gerenciada pela Citrix do cliente (Cloud Connectors) para executar determinadas tarefas administrativas, como coletar logs (incluindo o Visualizador de Eventos do Windows) e reiniciar serviços sem notificar o cliente. A Citrix é responsável por executar essas tarefas com segurança e impacto mínimo para o cliente. A Citrix também é responsável por garantir que todos os arquivos de log sejam recuperados, transportados e tratados com segurança. Os VDAs do cliente não podem ser acessados dessa maneira.

Backups para catálogos não ingressados no domínio

A Citrix não é responsável por realizar backups de catálogos não ingressados no domínio.

Backups para imagens de máquina

A Citrix é responsável por fazer backup de todas as imagens de máquina carregadas no Citrix DaaS, incluindo imagens criadas com o construtor de imagens. A Citrix usa armazenamento com redundância local para essas imagens.

Bastions para catálogos não ingressados no domínio

A equipe de operações da Citrix tem a capacidade de criar um bastião, se necessário, para acessar a assinatura do Azure gerenciada pela Citrix do cliente para diagnosticar e reparar problemas do cliente, potencialmente antes que o cliente esteja ciente de um problema. A Citrix não exige o consentimento do cliente para criar um bastião. Quando a Citrix cria o bastion, a Citrix cria uma senha forte gerada aleatoriamente para o bastion e restringe o acesso RDP aos endereços IP NAT da Citrix. Quando o bastion não é mais necessário, a Citrix o descarta e a senha não é mais válida. O bastião (e suas regras de acesso RDP que o acompanham) são descartados quando a operação é concluída. A Citrix pode acessar apenas os Cloud Connectors não ingressados no domínio do cliente com o bastião. A Citrix não tem a senha para fazer login em VDAs não ingressados no domínio ou Cloud Connectors e VDAs ingressados no domínio.

Política de firewall ao usar ferramentas de solução de problemas

Quando um cliente solicita a criação de uma máquina bastion para solução de problemas, as seguintes modificações de grupo de segurança são feitas na VNet gerenciada pela Citrix:

  • Permita temporariamente a entrada 3389 do intervalo de IP especificado pelo cliente para o bastião.
  • Permitir temporariamente a entrada 3389 do endereço IP do bastião para qualquer endereço na VNet (VDAs e Cloud Connectors).
  • Continue bloqueando o acesso RDP entre os Cloud Connectors, VDAs e outros VDAs.

Quando um cliente habilita o acesso RDP para solução de problemas, as seguintes modificações do grupo de segurança são feitas na VNet gerenciada pela Citrix:

  • Permita temporariamente a entrada 3389 do intervalo de IP especificado pelo cliente para qualquer endereço na VNet (VDAs e Cloud Connectors).
  • Continue bloqueando o acesso RDP entre os Cloud Connectors, VDAs e outros VDAs.

Assinaturas gerenciadas pelo cliente

Para assinaturas gerenciadas pelo cliente, a Citrix adere às responsabilidades acima durante a implantação dos recursos do Azure. Após a implantação, tudo acima é de responsabilidade do cliente, pois o cliente é o proprietário da assinatura do Azure.

Assinaturas gerenciadas pelo cliente

Responsabilidade do cliente

VDAs e imagens de máquina

O cliente é responsável por todos os aspectos do software instalado nas máquinas VDA, incluindo:

  • Atualizações do sistema operacional e patches de segurança
  • Antivírus e antimalware
  • Atualizações de software e patches de segurança do VDA
  • Regras adicionais de firewall de software (especialmente tráfego de saída)
  • Siga a Citrix Considerações de segurança e práticas recomendadas

A Citrix fornece uma imagem preparada que se destina a ser um ponto de partida. Os clientes podem usar essa imagem para fins de prova de conceito ou demonstração ou como base para criar sua própria imagem de máquina. A Citrix não garante a segurança desta imagem preparada. A Citrix tentará manter o sistema operacional e o software VDA na imagem preparada atualizados e habilitará o Windows Defender nessas imagens.

Responsabilidade do cliente ao usar o emparelhamento VNet

O cliente deve abrir todas as portas especificadas em VNet gerenciada pelo cliente com computadores ingressados no domínio.

Quando o emparelhamento VNet é configurado, o cliente é responsável pela segurança de sua própria rede virtual e sua conectividade com seus recursos locais. O cliente também é responsável pela segurança do tráfego de entrada da rede virtual emparelhada gerenciada pela Citrix. A Citrix não executa nenhuma ação para bloquear o tráfego da rede virtual gerenciada pela Citrix para os recursos locais do cliente.

Os clientes têm as seguintes opções para restringir o tráfego de entrada:

  • Dê à rede virtual gerenciada pela Citrix um bloco IP que não esteja em uso em outro lugar na rede local do cliente ou na rede virtual conectada gerenciada pelo cliente. Isso é necessário para o emparelhamento VNet.
  • Adicione grupos de segurança de rede e firewalls do Azure na rede virtual e na rede local do cliente para bloquear ou restringir o tráfego do bloco de IP gerenciado pela Citrix.
  • Implante medidas como sistemas de prevenção de intrusão, firewalls de software e mecanismos de análise comportamental na rede virtual e na rede local do cliente, visando o bloco de IP gerenciado pela Citrix.

Procuração

O cliente pode escolher se deseja usar um proxy para o tráfego de saída do VDA. Se um proxy for usado, o cliente é responsável por:

  • Definir as configurações de proxy na imagem de máquina do VDA ou, se o VDA estiver associado a um domínio, usando a Política de Grupo do Active Directory.
  • Manutenção e segurança do proxy.

Os proxies não são permitidos para uso com o Citrix Cloud Connectors ou outra infraestrutura gerenciada pela Citrix.

A Citrix fornece três tipos de catálogos com diferentes níveis de resiliência:

  • Estático: Cada usuário é atribuído a um único VDA. Esse tipo de catálogo não fornece alta disponibilidade. Se o VDA de um usuário cair, ele terá que ser colocado em um novo para se recuperar. O Azure fornece um SLA de 99,5% para VMs de instância única. O cliente ainda pode fazer backup do perfil do usuário, mas todas as personalizações feitas no VDA (como instalar programas ou configurar o Windows) serão perdidas.
  • Aleatório: Cada usuário é atribuído aleatoriamente a um VDA de servidor no momento da inicialização. Esse tipo de catálogo fornece alta disponibilidade por meio de redundância. Se um VDA ficar inativo, nenhuma informação será perdida porque o perfil do usuário reside em outro lugar.
  • Multissessão do Windows 10: Esse tipo de catálogo opera da mesma maneira que o tipo aleatório, mas usa VDAs de estação de trabalho do Windows 10 em vez de VDAs de servidor.

Backups para catálogos ingressados no domínio

Se o cliente usar catálogos ingressados no domínio com um emparelhamento VNet, o cliente será responsável por fazer backup de seus perfis de usuário. A Citrix recomenda que os clientes configurem compartilhamentos de arquivos locais e definam políticas em seus Active Directory ou VDAs para extrair perfis de usuário desses compartilhamentos de arquivos. O cliente é responsável pelo backup e disponibilidade desses compartilhamentos de arquivos.

Recuperação de desastres

Em caso de perda de dados do Azure, a Citrix recuperará o maior número possível de recursos na assinatura do Azure gerenciada pela Citrix. A Citrix tentará recuperar os Cloud Connectors e VDAs. Se a Citrix não conseguir recuperar esses itens, os clientes serão responsáveis por criar um novo catálogo. A Citrix pressupõe que as imagens da máquina são copiadas e que os clientes fizeram backup de seus perfis de usuário, permitindo que o catálogo seja reconstruído.

No caso da perda de uma região inteira do Azure, o cliente é responsável por recriar sua rede virtual gerenciada pelo cliente em uma nova região e criar um novo emparelhamento VNet no Citrix DaaS.

Responsabilidades compartilhadas da Citrix e do cliente

Citrix Cloud Connector para catálogos ingressados no domínio

O Citrix DaaS implanta pelo menos dois Cloud Connectors em cada local de recurso. Alguns catálogos podem compartilhar um local de recurso se estiverem na mesma região, emparelhamento VNet e domínio que outros catálogos para o mesmo cliente. A Citrix configura os Cloud Connectors ingressados no domínio do cliente para as seguintes configurações de segurança padrão na imagem:

  • Atualizações do sistema operacional e patches de segurança
  • Software antivírus
  • Atualizações de software do Cloud Connector

Normalmente, os clientes não têm acesso aos Cloud Connectors. No entanto, eles podem adquirir acesso usando as etapas de solução de problemas do catálogo e fazendo login com credenciais de domínio. O cliente é responsável por todas as alterações feitas ao fazer login por meio do bastion.

Os clientes também têm controle sobre os Cloud Connectors ingressados no domínio por meio da Política de Grupo do Active Directory. O cliente é responsável por garantir que as políticas de grupo que se aplicam ao Cloud Connector sejam seguras e sensatas. Por exemplo, se o cliente optar por desabilitar as atualizações do sistema operacional usando a Política de Grupo, o cliente será responsável por executar atualizações do sistema operacional nos Cloud Connectors. O cliente também pode optar por usar a Política de Grupo para impor uma segurança mais rígida do que os padrões do Cloud Connector, como instalar um software antivírus diferente. Em geral, a Citrix recomenda que os clientes coloquem os Cloud Connectors em sua própria unidade organizacional do Active Directory sem políticas, pois isso garantirá que os padrões usados pela Citrix possam ser aplicados sem problemas.

Solução de problemas

Caso o cliente tenha problemas com o catálogo no Citrix DaaS, há duas opções para solução de problemas: usar bastiões e habilitar o acesso RDP. Ambas as opções introduzem riscos de segurança para o cliente. O cliente deve entender e consentir em assumir esse risco antes de usar essas opções.

A Citrix é responsável por abrir e fechar as portas necessárias para realizar operações de solução de problemas e restringir quais máquinas podem ser acessadas durante essas operações.

Com acesso a bastiões ou RDP, o usuário ativo que executa a operação é responsável pela segurança das máquinas que estão sendo acessadas. Se o cliente acessar o VDA ou o Cloud Connector por meio do RDP e acidentalmente contrair um vírus, o cliente será responsável. Se a equipe de suporte da Citrix acessar essas máquinas, é responsabilidade dessa equipe realizar as operações com segurança. A responsabilidade por quaisquer vulnerabilidades expostas por qualquer pessoa que acesse o bastion ou outras máquinas na implantação (por exemplo, responsabilidade do cliente de adicionar intervalos de IP à lista de permissões, responsabilidade da Citrix de implementar intervalos de IP corretamente) é abordada em outra parte deste documento.

Em ambos os cenários, a Citrix é responsável por criar corretamente exceções de firewall para permitir o tráfego RDP. A Citrix também é responsável por revogar essas exceções depois que o cliente descartar o bastion ou encerrar o acesso RDP por meio do Citrix DaaS.

Bastiões

A Citrix pode criar bastiões na rede virtual gerenciada pela Citrix do cliente dentro da assinatura gerenciada pela Citrix do cliente para diagnosticar e reparar problemas, seja de forma proativa (sem notificação do cliente) ou em resposta a um problema levantado pelo cliente. O bastion é uma máquina que o cliente pode acessar por meio do RDP e, em seguida, usar para acessar os VDAs e (para catálogos ingressados no domínio) Cloud Connectors por meio do RDP para coletar logs, reiniciar serviços ou executar outras tarefas administrativas. Por padrão, a criação de um bastião abre uma regra de firewall externa para permitir o tráfego RDP de um intervalo de endereços IP especificado pelo cliente para o computador bastião. Ele também abre uma regra de firewall interna para permitir o acesso aos Cloud Connectors e VDAs por meio do RDP. A abertura dessas regras representa um grande risco de segurança.

O cliente é responsável por fornecer uma senha forte usada para a conta local do Windows. O cliente também é responsável por fornecer um intervalo de endereços IP externos que permita o acesso RDP ao bastião. Se o cliente optar por não fornecer um intervalo de IP (permitindo que qualquer pessoa tente acessar o RDP), o cliente será responsável por qualquer tentativa de acesso por endereços IP mal-intencionados.

O cliente também é responsável por excluir o bastion após a conclusão da solução de problemas. O host bastião expõe uma superfície de ataque adicional, de modo que a Citrix desliga automaticamente a máquina oito (8) horas após ser ligada. No entanto, a Citrix nunca exclui automaticamente um bastião. Se o cliente optar por usar o bastion por um longo período de tempo, ele será responsável por corrigi-lo e atualizá-lo. A Citrix recomenda que um bastion seja usado apenas por vários dias antes de excluí-lo. Se o cliente quiser um bastion atualizado, ele poderá excluir o atual e criar um novo bastion, que provisionará uma nova máquina com os patches de segurança mais recentes.

Acesso RDP

Para catálogos ingressados no domínio, se o emparelhamento de VNet do cliente estiver funcional, o cliente poderá habilitar o acesso RDP de sua VNet emparelhada para sua VNet gerenciada pela Citrix. Se o cliente usar essa opção, ele será responsável por acessar os VDAs e os Cloud Connectors por meio do emparelhamento de VNet. Os intervalos de endereços IP de origem podem ser especificados para que o acesso RDP possa ser restrito ainda mais, mesmo dentro da rede interna do cliente. O cliente precisará usar credenciais de domínio para fazer login nessas máquinas. Se o cliente estiver trabalhando com o Citrix Support para resolver um problema, talvez seja necessário compartilhar essas credenciais com a equipe de suporte. Depois que o problema for resolvido, o cliente será responsável por desabilitar o acesso RDP. Manter o acesso RDP aberto a partir da rede local ou emparelhada do cliente representa um risco de segurança.

Credenciais de domínio

Se o cliente optar por usar um catálogo ingressado no domínio, ele será responsável por fornecer ao Citrix DaaS uma conta de domínio (nome de usuário e senha) com permissões para ingressar máquinas no domínio. Ao fornecer credenciais de domínio, o cliente é responsável por aderir aos seguintes princípios de segurança:

  • Auditável: A conta deve ser criada especificamente para o uso do Citrix DaaS, para que seja fácil auditar para que a conta é usada.
  • Escopo: A conta requer apenas permissões para ingressar computadores em um domínio. Não deve ser um administrador de domínio completo.
  • Seguro: Uma senha forte deve ser colocada na conta.

A Citrix é responsável pelo armazenamento seguro dessa conta de domínio em um Azure Key Vault na assinatura do Azure gerenciada pela Citrix do cliente. A conta será recuperada somente se uma operação exigir a senha da conta de domínio.

Mais informações

Para obter informações relacionadas, consulte:

Visão geral técnica de segurança do Citrix Managed Azure