适用于 Citrix Cloud 平台的安全部署指南
Citrix Cloud 安全部署指南概述了使用 Citrix Cloud 时的安全最佳实践,并描述了 Citrix Cloud 收集和管理的信息。
服务的技术安全概述
有关 Citrix 云服务中数据安全的更多信息,请参阅以下文章:
管理员指南
- 使用强密码并定期更改密码。
- 客户帐户内的所有管理员都可以添加和删除其他管理员。 确保只有受信任的管理员才能访问 Citrix Cloud。
- 默认情况下,客户的管理员拥有所有服务的完全访问权限。 一些服务提供了限制管理员访问的功能。 请参阅每个服务的文档以获取更多信息。
- Citrix Cloud 管理员的双因素身份验证是使用默认 Citrix 身份提供程序实现的。 当管理员注册 Citrix Cloud 或被邀请加入 Citrix Cloud 帐户时,他们需要注册多重身份验证 (MFA)。 如果客户使用 Microsoft Azure 对 Citrix Cloud 管理员进行身份验证,则可以按照 Microsoft 网站上的 配置 Azure AD 多重身份验证设置 中所述配置多重身份验证。
- 默认情况下,无论控制台活动如何,Citrix Cloud 都会在 72 小时后自动终止管理员会话。 此超时时间无法更改。
- 管理员账户最多可与 100 个客户账户关联。 如果管理员需要管理超过 100 个客户帐户,则他们必须创建一个具有不同电子邮件地址的单独管理员帐户来管理其他客户帐户。 或者,也可以将他们从不再需要管理的客户帐户中删除为管理员。
密码合规性
如果存在以下情况之一,Citrix Cloud 会提示管理员更改其密码:
- 当前密码已超过 60 天未用于登录。
- 当前密码已列在已知的泄露密码数据库中。
新密码必须符合以下所有条件:
- 长度至少为 8 个字符(最多 128 个字符)
- 至少包含一个大写字母和一个小写字母
- 至少包含一个数字
- 至少包含一个特殊字符:! @#$%^*? + = -
修改密码规则:
- 当前密码不能用作新密码。
- 前 5 个密码不可重复使用。
- 新密码不能与账户用户名相似。
- 新密码不能列在已知的泄露密码数据库中。 Citrix Cloud 使用 https://haveibeenpwned.com/ 提供的列表来确定新密码是否违反此条件。
加密和密钥管理
Citrix Cloud 控制平面不存储敏感的客户信息。 相反,Citrix Cloud 会按需检索管理员密码等信息(通过明确提示管理员)。
对于静态数据,Citrix Cloud 存储使用 AES-256 位或更高级别的密钥加密。 这些密钥由 Citrix 管理。
对于传输中的数据,Citrix 使用具有最强大密码套件的行业标准 TLS 1.2。 由于 Citrix Cloud 托管在 Citrix 拥有的 cloud.com 域上,因此客户无法控制正在使用的 TLS 证书。 要访问 Citrix Cloud,客户必须使用支持 TLS 1.2 的浏览器,并且必须接受配置的密码套件。
- 如果从 Windows Server 2016、Windows Server 2019 或 Windows Server 2022 访问 Citrix Cloud 控制平面,建议使用以下强密码:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- 如果从 Windows Server 2012 R2 访问 Citrix Cloud 控制平面,则无法使用强密码,因此必须使用以下密码:TLS_DHE_RSA_WITH_AES_256_GCM_SHA384、TLS_DHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
有关如何保护 Citrix Cloud 服务数据的更多信息,请参阅 Citrix 网站上的 Citrix Cloud 服务数据保护概述 。
有关每个云服务中的加密和密钥管理的更多信息,请查阅该服务的文档。
有关 TLS 1.2 配置的更多信息,请参阅以下文章:
- 在客户端计算机上强制使用 TLS 1.2: CTX245765,查询监控服务的 OData 端点时出现错误:“底层连接已关闭:发送时发生意外错误。”
- 更新并配置 .NET Framework 以支持 Microsoft Docs 网站上的 TLS 1.2 。
数据主权
Citrix Cloud 控制平面托管在美国、欧盟和澳大利亚。 客户对此没有控制权。
客户拥有并管理他们在 Citrix Cloud 中使用的资源位置。 可以在客户所需的任何数据中心、云、位置或地理区域中创建资源位置。 所有关键业务数据(如文档、电子表格等)都存储在资源位置并由客户控制。
其他服务可能可以选择将数据存储在不同的区域。 请参阅每项服务的 地理考虑 主题或 技术安全概述 (列于本文开头)。
安全问题洞察
网站 status.cloud.com 提供了对对客户持续影响的安全问题的透明度。 该站点记录状态和正常运行时间信息。 可以选择订阅平台或单项服务的更新。
Citrix Cloud Connector
安装云连接器
出于安全和性能原因,Citrix 建议客户不要在域控制器上安装 Cloud Connector 软件。
此外,Citrix 强烈建议安装 Cloud Connector 软件的机器位于客户的专用网络内,而不是 DMZ 中。 有关安装 Cloud Connector 的网络和系统要求以及说明,请参阅 Citrix Cloud Connector。
配置云连接器
客户负责确保安装了 Cloud Connector 的机器保持最新的 Windows 安全更新。
客户可以与 Cloud Connector 一起使用防病毒软件。 Citrix 使用 McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8 进行测试。 Citrix 支持使用其他行业标准 AV 产品的客户。
在客户的 Active Directory (AD) 中,Citrix 强烈建议将 Cloud Connector 的机器帐户限制为只读访问权限。 这是 Active Directory 中的默认配置。 此外,客户可以在 Cloud Connector 的机器账户上启用 AD 日志记录和审计,以监控任何 AD 访问活动。
登录到托管 Cloud Connector 的计算机
Cloud Connector 允许敏感安全信息传递到 Citrix Cloud 服务中的其他平台组件,但同时存储以下敏感信息:
- 用于与 Citrix Cloud 通信的服务密钥
- Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)中用于电源管理的虚拟机管理程序服务凭据
此敏感信息使用托管云连接器的 Windows 服务器上的数据保护 API (DPAPI) 进行加密。 Citrix 强烈建议只允许最有权限的管理员登录 Cloud Connector 计算机(例如,执行维护操作)。 一般来说,管理员不需要登录这些机器来管理任何 Citrix 产品。 在这方面,云连接器是自我管理的。
不允许最终用户登录到托管 Cloud Connector 的机器。
在 Cloud Connector 机器上安装其他软件
客户可以在安装了 Cloud Connector 的机器上安装防病毒软件和虚拟机管理程序工具(如果安装在虚拟机上)。 但是,Citrix 建议客户不要在这些机器上安装任何其他软件。 其他软件会创建可能的安全攻击媒介,并可能降低整个 Citrix Cloud 解决方案的安全性。
入站和出站端口配置
云连接器要求出站端口 443 处于打开状态并可以访问互联网。 Citrix 强烈建议 Cloud Connector 不要设置可从 Internet 访问的入站端口。
客户可以将云连接器置于 Web 代理后面,以监控其出站 Internet 通信。 但是,Web代理必须支持 SSL/TLS 加密通信。
Cloud Connector 可能有其他可访问 Internet 的出站端口。 如果有其他端口可用,云连接器会跨各种端口进行协商,以优化网络带宽和性能。
云连接器必须在内部网络中开放大量入站和出站端口。 下表列出了所需的基本开放端口集。
| 客户端端口 | 服务器端口 | 服务 |
|---|---|---|
| 49152-65535/UDP | 123/UDP | W32时间 |
| 49152-65535/TCP | 135/TCP | RPC 端点映射器 |
| 49152-65535/TCP | 464/TCP/UDP | Kerberos 密码更改 |
| 49152-65535/TCP | 49152-65535/TCP | 用于 LSA、SAM、Netlogon 的 RPC (*) |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 53,49152 -65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
| 49152 -65535/TCP/UDP | 88/TCP/UDP | 凯尔伯罗斯 |
| 49152 -65535/TCP/UDP | 445/TCP | 中小企业 |
Cloud Connector 使用 LDAP 签名和密封来保护与域控制器的连接。 这意味着不需要 LDAP over SSL(LDAPS)。 有关 LDAP 签名的更多信息,请参阅 如何在 Windows Server 中启用 LDAP 签名 和 有关启用 LDAP 通道绑定和 LDAP 签名的 Microsoft 指南。
Citrix Cloud 中使用的每个服务都扩展了所需的开放端口列表。 欲了解更多信息,请查阅以下资源:
监控出站通信
Cloud Connector 通过端口 443 与 Internet 进行出站通信,包括与 Citrix Cloud 服务器和 Microsoft Azure Service Bus 服务器进行通信。
Cloud Connector 与本地网络上的域控制器进行通信,这些域控制器位于托管 Cloud Connector 的计算机所在的 Active Directory 林内。
在正常运行期间,Cloud Connector 仅与 Citrix Cloud 用户界面中 身份和访问管理 页面上未禁用的域中的域控制器进行通信。
Citrix Cloud 中的每项服务都会扩展 Cloud Connector 在正常操作期间可能联系的服务器和内部资源列表。 此外,客户无法控制 Cloud Connector 发送给 Citrix 的数据。 有关服务内部资源和发送到 Citrix 的数据的更多信息,请查阅以下资源:
查看 Cloud Connector 日志
任何与管理员相关或可操作的信息都可以在 Cloud Connector 机器上的 Windows 事件日志中找到。
在以下目录中查看 Cloud Connector 的安装日志:
- %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
- %windir%\Temp\CitrixLogs\CloudServicesSetup
云连接器发送到云的日志位于 %ProgramData%\Citrix\WorkspaceCloud\Logs。
当 WorkspaceCloud\Logs 目录中的日志超过指定的大小阈值时,将被删除。 管理员可以通过调整 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes 的注册表项值来控制此大小阈值。
SSL/TLS 配置
托管云连接器的 Windows Server 必须启用 加密和密钥管理 中详述的密码。
Cloud Connector 必须信任 Citrix Cloud SSL/TLS 证书和 Microsoft Azure Service Bus SSL/TLS 证书使用的证书颁发机构 (CA)。 Citrix 和 Microsoft 将来可能会更改证书和 CA,但始终使用属于标准 Windows 受信任发布者列表的 CA。
Citrix Cloud 中的每项服务可能有不同的 SSL 配置要求。 有关更多信息,请查阅每项服务的 技术安全概述 (本文开头列出)。
安全合规性
为了确保安全合规性,云连接器实行自我管理。 请勿禁用重启或对云连接器施加其他限制。 这些操作可防止 Cloud Connector 在有关键更新时自行更新。
客户无需采取任何其他措施来应对安全问题。 云连接器会自动应用任何安全修复。
适用于云服务的 Citrix Connector 设备
安装连接器设备
Connector Appliance 托管在虚拟机管理程序上。 该虚拟机管理程序必须位于您的私有网络内,而不是在 DMZ 中。
确保连接器设备位于默认阻止访问的防火墙内。 使用允许列表仅允许来自连接器设备的预期流量。
确保托管 Connector Appliance 的虚拟机管理程序安装了最新的安全更新。
有关安装 Connector Appliance 的网络和系统要求以及说明,请参阅 Connector Appliance for Cloud Services。
登录到托管 Connector Appliance 的虚拟机管理程序
Connector Appliance 包含用于与 Citrix Cloud 通信的服务密钥。 仅允许最有权限的管理员登录到托管 Connector Appliance 的虚拟机管理程序(例如,执行维护操作)。 一般来说,管理员无需登录这些虚拟机管理程序来管理任何 Citrix 产品。 连接器设备是自我管理的。
入站和出站端口配置
Connector Appliance 要求出站端口 443 保持开放并可以访问互联网。 Citrix 强烈建议 Connector Appliance 不要设置可从 Internet 访问的入站端口。
您可以将连接器设备放置在 Web 代理后面,以监控其出站互联网通信。 但是,Web代理必须支持 SSL/TLS 加密通信。
连接器设备可能有其他可访问互联网的出站端口。 如果有其他端口可用,Connector Appliance 会跨各种端口进行协商,以优化网络带宽和性能。
连接器设备必须在内部网络中开放大量入站和出站端口。 下表列出了所需的基本开放端口集。
| 连接方向 | 连接器设备端口 | 外部端口 | 服务 |
|---|---|---|---|
| 入站 | 443/TCP | 任何 | 本地 Web 用户界面 |
| 出站 | 49152-65535/UDP | 123/UDP | NTP |
| 出站 | 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 出站 | 67/UDP | 68/UDP | DHCP 和广播 |
| 出站 | 49152-65535/UDP | 123/UDP | W32时间 |
| 出站 | 49152-65535/TCP | 464/TCP/UDP | Kerberos 密码更改 |
| 出站 | 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 出站 | 49152-65535/TCP | 3268/TCP | LDAP GC |
| 出站 | 49152 -65535/TCP/UDP | 88/TCP/UDP | 凯尔伯罗斯 |
| 出站 | 49152 -65535/TCP/UDP | 445/TCP | 中小企业 |
| 出站 | 137/UDP | 137/UDP | NetBIOS 名称服务 |
| 出站 | 138/UDP | 138/UDP | NetBIOS 数据报 |
| 出站 | 139/TCP | 139/TCP | NetBIOS 会话 |
Citrix Cloud 中使用的每个服务都扩展了所需的开放端口列表。 欲了解更多信息,请查阅以下资源:
- 每项服务的技术安全概述 (列于本文开头)
- Citrix Cloud 服务的系统和连接要求
监控出站通信
连接器设备通过端口 443 与 Citrix Cloud 服务器进行出站通信。
Citrix Cloud 中的每项服务都会扩展 Connector Appliance 在正常运行期间可能联系的服务器和内部资源列表。 此外,客户无法控制 Connector Appliance 发送给 Citrix 的数据。 有关服务内部资源和发送到 Citrix 的数据的更多信息,请查阅以下资源:
- 每项服务的技术安全概述 (列于本文开头)
- Citrix Cloud 服务的系统和连接要求
查看连接器设备日志
您可以下载包含各种日志文件的连接器设备诊断报告。 有关获取此报告的更多信息,请参阅 Connector Appliance for Cloud Services。
SSL/TLS 配置
Connector Appliance 不需要任何特殊的 SSL/TLS 配置。
Connector Appliance 信任 Citrix Cloud SSL/TLS 证书使用的证书颁发机构 (CA)。 Citrix 将来可能会更改证书和 CA,但始终使用 Connector Appliance 信任的 CA。
Citrix Cloud 中的每项服务可能有不同的 SSL 配置要求。 有关更多信息,请查阅每项服务的 技术安全概述 (本文开头列出)。
安全合规性
为了确保安全合规性,Connector Appliance 实行自我管理,您无法通过控制台登录。
您不需要采取任何其他措施来应对连接器安全问题。 Connector Appliance 会自动应用任何安全修复。
确保托管 Connector Appliance 的虚拟机管理程序安装了最新的安全更新。
在您的 Active Directory (AD) 中,我们建议将 Connector Appliance 机器帐户限制为只读访问权限。 这是 Active Directory 中的默认配置。 此外,客户可以在 Connector Appliance 机器账户上启用 AD 日志记录和审计,以监控任何 AD 访问活动。
处理被盗账户的指南
- 审核 Citrix Cloud 中的管理员列表并删除任何不受信任的管理员。
- 禁用公司 Active Directory 中所有受到损害的帐户。
- 联系 Citrix 并请求轮换为所有客户云连接器存储的授权机密。 根据违规的严重程度,采取以下措施:
- 低风险: Citrix 可以随着时间的推移轮换秘密。 云连接器继续正常运行。 旧的授权秘密将在2至4周内失效。 在此期间监控 Cloud Connector,以确保没有意外操作。
- 持续的高风险: Citrix 可以撤销所有旧机密。 现有的云连接器将不再起作用。 要恢复正常运行,客户必须在所有适用的机器上卸载并重新安装云连接器。