Citrix DaaS

Citrix 托管 Azure 的技术安全性概述

注意:

自 2023 年 7 月起,Microsoft 已将 Azure Active Directory (Azure AD) 重命名为 Microsoft Entra ID。在本文档中,任何提及 Azure Active Directory、Azure AD 或 AAD 的内容现在均指 Microsoft Entra ID。

下图显示了使用 Citrix 托管 Azure 的 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)部署中的组件。此示例使用 vNet 对等连接。

Citrix DaaS 组件和 Azure vNet 对等连接

使用 Citrix 托管 Azure,交付桌面和应用程序的客户的 Virtual Delivery Agent (VDA) 以及 Citrix Cloud Connector 将部署到 Citrix 托管的 Azure 订阅和租户中。

基于 Citrix Cloud 的合规性

截至 2021 年 1 月,尚未针对 Citrix SOC 2(类型 1 或 2)、ISO 27001、HIPAA 或其他云合规性要求评估 Citrix 托管 Azure 容量与各种 Citrix DaaS 版本以及 Workspace Premium Plus 的使用情况。请访问 Citrix Trust Center 了解有关 Citrix Cloud 身份验证的详细信息,并经常返回查看以获取更新。

Citrix 责任

适用于未加入域的目录的 Citrix Cloud Connector

使用 Citrix 托管 Azure 订阅时,Citrix DaaS 在每个资源位置中至少部署两个 Cloud Connector。如果某些目录与同一客户的其他目录位于同一个区域中,这些目录可能会共享资源位置。

Citrix 负责对未加入域的目录 Cloud Connector 执行以下安全操作:

  • 应用操作系统更新和安全补丁
  • 安装和维护防病毒软件
  • 应用 Cloud Connector 软件更新

客户无权访问 Cloud Connector。因此,Citrix 对未加入域的目录 Cloud Connector 的性能负全部责任。

Azure 订阅和 Azure Active Directory

Citrix 负责为客户创建的 Azure 订阅和 Azure Active Directory (AAD) 的安全性。Citrix 确保租户隔离,因此,每个客户都有自己的 Azure 订阅和 AAD,并防止不同租户之间的交谈。Citrix 还限制 AAD 仅访问 Citrix DaaS 和 Citrix 运营人员。Citrix 对每个客户的 Azure 订阅的访问权限都将被审核。

使用未加入域的目录的客户可以使用 Citrix 管理的 AAD 作为 Citrix Workspace 的身份验证手段。对于这些客户,Citrix 在 Citrix 管理的 AAD 中创建有限权限用户帐户。但是,客户的用户和管理员都无法对 Citrix 管理的 AAD 执行任何操作。如果这些客户选择使用自己的 AAD,他们对其安全负全部责任。

虚拟网络和基础架构

在客户的 Citrix 托管 Azure 订阅中,Citrix 创建了用于隔离资源位置的虚拟网络。在这些网络中,Citrix 除了存储帐户、密钥保险库和其他 Azure 资源之外,还为 VDA、Cloud Connector 和映像构建器计算机创建虚拟机。Citrix 与 Microsoft 合作,负责包括虚拟网络防火墙在内的虚拟网络的安全。

Citrix 确保将默认 Azure 防火墙策略(网络安全组)配置为限制对 vNet 对等连接和 SD-WAN 连接中的网络接口的访问。通常,这可控制 VDA 和 Cloud Connector 的传入流量。有关详细信息,请参阅:

客户无法更改此默认防火墙策略,但可以在 Citrix 创建的 VDA 计算机上部署额外的防火墙规则;例如,为了部分限制出站流量。在 Citrix 创建的 VDA 计算机上安装虚拟专用网络客户端或其他能够绕过防火墙规则的软件的客户应对可能产生的任何安全风险负责。

使用 Citrix DaaS 中的映像构建器创建和自定义新计算机映像时,端口 3389-3390 将在 Citrix 托管的 VNet 中暂时打开,以便客户可以 RDP 到包含新计算机映像的计算机以对其进行自定义。

使用 Azure vNet 对等连接时的 Citrix 职责

为了使 Citrix DaaS 中的 VDA 与本地域控制器、文件共享或其他 Intranet 资源联系,Citrix DaaS 提供了 VNet 对等互连工作流作为连接选项。客户的 Citrix 托管虚拟网络与客户管理的 Azure 虚拟网络对等互连。客户管理的虚拟网络可以使用客户选择的云到本地连接解决方案(例如 Azure ExpressRoute 或 IPsec 通道)实现与客户的本地资源的连接。

Citrix 对 VNet 对等互连的责任仅限于支持工作流程和相关 Azure 资源配置,以便在 Citrix 与客户管理的 VNet 之间建立对等互连关系。

Azure vNet 对等连接的防火墙策略

Citrix 为使用 VNet 对等连接的入站和出站流量打开或关闭以下端口。

使用未加入域的计算机的 Citrix 管理的 VNet
  • 入站规则
    • 允许端口 80、443、1494 和 2598 入站从 VDA 到 Cloud Connector,以及从 Cloud Connector 到 VDA 的入站。
    • 允许端口 49152-65535 从监视器重影功能使用的 IP 范围入站到 VDA。请参阅 Citrix 技术使用的通信端口
    • 拒绝所有其他入站。这包括从 VDA 到 VDA 的 VNET 内流量,以及 VDA 到 Cloud Connector 的流量。
  • 出站规则
    • 允许所有流量出站。
使用加入域的计算机的 Citrix 管理的 VNet
  • 入站规则:
    • 允许端口 80、443、1494 和 2598 从 VDA 入站到 Cloud Connector,以及从 Cloud Connector 到 VDA 的入站。
    • 允许端口 49152-65535 从监视器重影功能使用的 IP 范围入站到 VDA。请参阅 Citrix 技术使用的通信端口
    • 拒绝所有其他入站。这包括从 VDA 到 VDA 的 VNET 内流量,以及 VDA 到 Cloud Connector 的流量。
  • 出站规则
    • 允许所有流量出站。
具有加入域的计算机的客户管理的 VNet
  • 客户有责任正确配置他们的 VNet。这包括打开以下端口进行域加入。
  • 入站规则:
    • 允许从客户端 IP 的 443、1494、2598 入站以进行内部启动。
    • 允许来自 Citrix VNet 的 53、88、123、135-139、389、445、636 的入站(由客户指定的 IP 范围)。
    • 允许使用代理配置打开的端口入站。
    • 客户创建的其他规则。
  • 出站规则:
    • 允许在 443、1494、2598 出站到 Citrix VNet(由客户指定的 IP 范围)进行内部启动。
    • 客户创建的其他规则。

使用 SD-WAN 连接时的 Citrix 职责

Citrix 支持一种完全自动部署虚拟 Citrix SD-WAN 实例的方式,以启用 Citrix DaaS 与本地资源之间的连接。与 vNet 对等互连相比,Citrix SD-WAN 连接有多项优势,包括:

VDA 到数据中心和 VDA 到分支机构 (ICA) 连接的高可靠性和安全性。

  • 具有先进的 QoS 功能和 VoIP 优化,为办公室工作人员提供最佳终端用户体验。
  • 内置功能,可以检查、确定优先级和报告 Citrix HDX 网络流量和其他应用程序的使用情况。

Citrix 要求希望利用 Citrix DaaS 的 SD-WAN 连接的客户使用 SD-WAN Orchestrator 来管理其 Citrix SD-WAN 网络。

下图显示了使用 Citrix 托管 Azure 订阅和 SD-WAN 连接的 Citrix DaaS 部署中添加的组件。

具有 SD-WAN 连接的 Citrix DaaS

适用于 Citrix DaaS 的 Citrix SD-WAN 部署与 Citrix SD-WAN 的标准 Azure 部署配置类似。有关详细信息,请参阅在 Azure 上部署 Citrix SD-WAN Standard Edition 实例。在高可用性配置中,带有 Azure 负载平衡器的 SD-WAN 实例的活动/备用对作为包含 VDA 和 Cloud Connector 的子网与 Internet 之间的网关进行部署。在非 HA 配置中,只有一个 SD-WAN 实例作为网关部署。虚拟 SD-WAN 设备的网络接口是从分为两个子网的单独小地址范围中分配的地址。

配置 SD-WAN 连接时,Citrix 对上述托管桌面的网络配置进行了一些更改。特别是,来自 VNet 的所有传出流量(包括到 Internet 目标位置的流量)都是通过云 SD-WAN 实例路由的。SD-WAN 实例还配置为 Citrix 管理的 VNet 的 DNS 服务器。

对虚拟 SD-WAN 实例的管理访问权限需要管理员登录名和密码。SD-WAN 的每个实例都被分配一个独特的随机安全密码,可供 SD-WAN 管理员通过 SD-WAN Orchestrator UI、虚拟设备管理 UI 和 CLI 进行远程登录和故障排除。

与其他租户特定的资源一样,部署在特定客户 VNet 中的虚拟 SD-WAN 实例与所有其他 VNet 完全隔离。

当客户启用 Citrix SD-WAN 连接时,Citrix 会自动执行与 Citrix DaaS 一起使用的虚拟 SD-WAN 实例的初始部署,维护基础 Azure 资源(虚拟机、负载平衡器等),为虚拟 SD-WAN 实例的初始配置提供安全高效的即开即用默认设置,并通过 SD-WAN Orchestrator 启用持续维护和故障排除。Citrix 还采取合理的措施来执行 SD-WAN 网络配置的自动验证、检查已知的安全风险并通过 SD-WAN Orchestrator 显示相应的警报。

SD-WAN 连接的防火墙策略

Citrix 使用 Azure 防火墙策略(网络安全组)和公有 IP 地址分配来限制对虚拟 SD-WAN 设备网络接口的访问:

  • 只有 WAN 和管理界面被分配公有 IP 地址,并允许与 Internet 的出站连接。
  • 作为 Citrix 管理的 VNet 的网关的局域网接口只允许与同一 VNet 上的虚拟机交换网络流量。
  • WAN 接口将入站流量限制为 UDP 端口 4980(Citrix SD-WAN 用于虚拟路径连接),并拒绝向 VNet 的出站流量。
  • 管理端口允许进入端口 443 (HTTPS) 和 22 (SSH) 的入站流量。
  • HA 接口只允许彼此交换控制流量。

访问基础设施

Citrix 可以访问客户的 Citrix 托管基础架构(Cloud Connector)来执行某些管理任务,例如收集日志(包括 Windows 事件查看器)和重新启动服务,而无需通知客户。Citrix 负责安全、安全地执行这些任务,对客户的影响最小。Citrix 还负责确保安全可靠地检索、传输和处理任何日志文件。无法以这种方式访问客户 VDA。

备份未加入域的目录

Citrix 不负责执行未加入域的目录的备份。

计算机映像的备份

Citrix 负责备份上载到 Citrix DaaS 的任何计算机映像,包括使用映像构建器创建的映像。Citrix 为这些映像使用本地冗余存储。

未加入域名的目录的堡垒

如有必要,Citrix 运营人员可以创建堡垒来访问客户的 Citrix 托管 Azure 订阅,以便诊断和修复客户问题,这可能是在客户意识到问题之前。Citrix 不需要客户同意即可创建堡垒。Citrix 创建堡垒时,Citrix 会为堡垒创建一个强大的随机生成的密码,并限制 RDP 对 Citrix NAT IP 地址的访问。当不再需要堡垒时,Citrix 将处置该堡垒,密码不再有效。该堡垒(及其随附的 RDP 访问规则)将在操作完成时处置。Citrix 只能通过堡垒访问客户未加入域的 Cloud Connector。Citrix 没有用于登录未加入域的 VDA 或加入域的 Cloud Connector 和 VDA 的密码。

使用故障排除工具时的防火墙

当客户请求创建堡垒计算机进行故障排除时,将对 Citrix 管理的 VNet 进行以下安全组修改:

  • 暂时允许 3389 次从客户指定的 IP 范围进入堡垒。
  • 暂时允许 3389 次从堡垒 IP 地址入站到 VNet 中的任何地址(VDA 和 Cloud Connector)。
  • 继续阻止 Cloud Connector、VDA 和其他 VDA 之间的 RDP 访问。

当客户启用 RDP 访问以进行故障排除时,将对 Citrix 管理的 VNet 进行以下安全组修改:

  • 暂时允许 3389 次从客户指定的 IP 范围入站到 VNet 中的任何地址(VDA 和 Cloud Connector)。
  • 继续阻止 Cloud Connector、VDA 和其他 VDA 之间的 RDP 访问。

客户管理的订阅

对于客户管理的订阅,Citrix 在部署 Azure 资源期间遵守上述责任。部署之后,以上一切都归客户的责任,因为客户是 Azure 订阅的所有者。

客户管理的订阅

客户责任

VDA 和计算机映像

客户负责 VDA 计算机上安装的软件的所有方面,包括:

  • 操作系统更新和安全修补程序
  • 防病毒和反恶意软件
  • VDA 软件更新和安全补丁
  • 其他软件防火墙规则(尤其是出站流量)
  • 按照 Citrix 安全注意事项和最佳做法进行操作

Citrix 提供了一个准备好的映像,该映像旨在作为起点。客户可以将此映像用于概念验证或演示目的,或者作为构建自己的机器映像的基础。Citrix 不保证此准备好的映像的安全性。Citrix 将尝试使准备好的映像上的操作系统和 VDA 软件保持最新状态,并将在这些映像上启用 Windows Defender。

使用 vNet 对等互连时的客户责任

客户必须打开在具有加入域的计算机的客户管理的 VNet 中指定的所有端口。

配置 VNet 对等互连后,客户负责自己的虚拟网络的安全及其与本地资源的连接。客户还负责来自 Citrix 管理的对等互连虚拟网络的传入流量的安全。Citrix 不采取任何措施来阻止从 Citrix 托管的虚拟网络流向客户本地资源的流量。

客户可以选择以下限制传入流量:

  • 为 Citrix 管理的虚拟网络提供一个 IP 块,该 IP 块不在客户的本地网络或客户管理的连接虚拟网络中的其他地方使用。这对于 vNet 对等互连是必需的。
  • 在客户的虚拟网络和本地网络中添加 Azure 网络安全组和防火墙,以阻止或限制来自 Citrix 管理的 IP 块的流量。
  • 针对 Citrix 管理的 IP 块,在客户的虚拟网络和本地网络中部署诸如入侵防御系统、软件防火墙和行为分析引擎等措施。

使用 SD-WAN 连接时客户的职责

配置 SD-WAN 连接后,客户可以完全灵活地根据其网络要求配置与 Citrix DaaS 一起使用的虚拟 SD-WAN 实例,但为确保在 Citrix 托管的 VNet 中正确运行 SD-WAN 所需的一些因素除外。客户的职责包括:

  • 设计和配置路由和防火墙规则,包括 DNS 和 Internet 流量突破规则。
  • 维护 SD-WAN 网络配置。
  • 监视网络的运行状态。
  • 及时部署 Citrix SD-WAN 软件更新或安全修复。由于客户网络上的所有 Citrix SD-WAN 实例都必须运行同一版本的 SD-WAN 软件,因此,对 Citrix DaaS SD-WAN 实例的更新后的软件版本的部署需要由客户根据其网络维护计划和限制条件来管理。

SD-WAN 路由和防火墙规则配置不正确,或者 SD-WAN 管理密码管理不当,可能会对 Citrix DaaS 中的虚拟资源以及通过 Citrix SD-WAN 虚拟路径访问的本地资源造成安全风险。另一个可能的安全风险来自于没有将 Citrix SD-WAN 软件更新到最新的可用修补程序版本。虽然 SD-WAN Orchestrator 和其他 Citrix Cloud 服务提供了应对此类风险的手段,但客户最终负责确保虚拟 SD-WAN 实例配置得当。

代理

客户可以选择是否使用代理来自 VDA 的出站流量。如果使用代理服务器,客户应负责:

  • 在 VDA 计算机映像上配置代理服务器设置,如果 VDA 已加入域,则使用 Active Directory 组策略。
  • 代理的维护和安全。

不允许代理与 Citrix Cloud Connector 或其他 Citrix 托管的基础架构一起使用。

目录弹性

Citrix 提供了三种类型的目录,具有不同的弹性级别:

  • 静态: 每个用户都被分配给单个 VDA。此目录类型不提供高可用性。如果用户的 VDA 关闭,则必须将他们放在新的 VDA 上才能恢复。Azure 为单实例虚拟机提供 99.5% 的 SLA。客户仍然可以备份用户配置文件,但是对 VDA 所做的任何自定义(例如安装程序或配置 Windows)都将丢失。
  • 随机: 在启动时,每个用户都被随机分配给服务器 VDA。此目录类型通过冗余提供了高可用性。如果 VDA 关闭,则不会丢失任何信息,因为用户的配置文件位于其他位置。
  • Windows 10 多会话: 此目录类型的运行方式与随机类型相同,但使用 Windows 10 工作站 VDA 而不是服务器 VDA。

备份加入域的目录

如果客户使用带有 VNet 对等互连的加入域的目录,则客户负责备份其用户配置文件。Citrix 建议客户配置本地文件共享并在 Active Directory 或 VDA 上设置策略,以便从这些文件共享中提取用户配置文件。客户负责这些文件共享的备份和可用性。

灾难恢复

如果 Azure 数据丢失,Citrix 将尽可能多地恢复 Citrix 托管的 Azure 订阅中的资源。Citrix 将尝试恢复 Cloud Connector 和 VDA。如果 Citrix 无法成功恢复这些项目,则客户应负责创建新目录。Citrix 假定计算机映像已备份,客户已备份其用户配置文件,从而允许重新构建目录。

如果丢失整个 Azure 区域,客户应负责在新区域中重新构建客户管理的虚拟网络,并在 Citrix DaaS 中创建新的 VNet 对等互连或新的 SD-WAN 实例。

Citrix 和客户共享的职责

适用于已加入域的目录的 Citrix Cloud Connector

Citrix DaaS 在每个资源位置中至少部署两个 Cloud Connector。如果某些目录与同一客户的其他目录位于同一区域、VNet 对等互连和域中,这些目录可能会共享资源位置。Citrix 将客户加入域的 Cloud Connector 配置为映像上的以下默认安全设置:

  • 操作系统更新和安全修补程序
  • 防病毒软件
  • Cloud Connector 软件更新

客户通常无法访问 Cloud Connector。但是,他们可以通过使用目录故障排除步骤和使用域凭据登录来获取访问权限。客户对通过堡垒登录时所做的任何更改负责。

客户还可以通过 Active Directory 组策略控制加入域的 Cloud Connector。客户有责任确保适用于 Cloud Connector 的组策略安全和合理。例如,如果客户选择使用组策略禁用操作系统更新,则客户将负责在 Cloud Connector 上执行操作系统更新。客户还可以选择使用组策略来实施比 Cloud Connector 默认设置更严格的安全性,例如安装不同的防病毒软件。一般来说,Citrix 建议客户将 Cloud Connector 放入自己的 Active Directory 组织单位中,而不带任何策略,因为这将确保 Citrix 使用的默认值可以毫无问题地应用。

故障排除

如果客户遇到 Citrix DaaS 中出现目录问题,可以选择两种故障排除方案:使用堡垒和启用 RDP 访问。这两种方案都会给客户带来安全风险。在使用这些选项之前,客户必须了解并同意承担此风险。

Citrix 负责打开和关闭必要的端口以执行故障排除操作,并限制在这些操作期间可以访问哪些计算机。

通过堡垒或 RDP 访问权限,执行操作的活动用户将负责所访问计算机的安全性。如果客户通过 RDP 访问 VDA 或 Cloud Connector 但意外感染了病毒,则由客户负责。如果 Citrix 支持人员访问这些计算机,则这些人员有责任安全执行操作。本文档的其他部分涵盖了对访问堡垒或部署中其他计算机的任何人暴露的任何漏洞的责任(例如,客户有责任添加 IP 范围以允许列表,Citrix 正确实施 IP 范围的责任)。

在这两种情况下,Citrix 都负责正确创建防火墙例外以允许传输 RDP 流量。Citrix 还负责在客户处置堡垒或通过 Citrix DaaS 终止 RDP 访问权限后撤销这些例外情况。

堡垒

Citrix 可能会在客户的 Citrix 托管订阅内在客户的 Citrix 托管虚拟网络中创建堡垒,以主动诊断和修复问题(无需客户通知)或回应客户提出的问题。堡垒是客户可以通过 RDP 访问的计算机,然后通过 RDP 访问 VDA 和(对于加入域的目录)Cloud Connector 来收集日志、重启服务或执行其他管理任务。默认情况下,创建堡垒会打开外部防火墙规则,以允许 RDP 流量从客户指定的 IP 地址范围到堡垒机器。它还打开了内部防火墙规则,允许通过 RDP 访问 Cloud Connector 和 VDA。打开这些规则会带来很大的安全风险。

客户负责提供用于本地 Windows 帐户的强密码。客户还负责提供允许 RDP 访问堡垒的外部 IP 地址范围。如果客户选择不提供 IP 范围(允许任何人尝试 RDP 访问),则客户应对恶意 IP 地址试图的任何访问负责。

客户还负责在故障排除完成后删除堡垒。堡垒主机暴露了额外的攻击面,因此 Citrix 会在计算机打开电源八 (8) 小时后自动关闭计算机。但是,Citrix 永远不会自动删除堡垒。如果客户选择长时间使用堡垒,则他们将负责修补和更新堡垒。Citrix 建议在删除堡垒之前,只能使用几天。如果客户想要最新堡垒,他们可以删除当前堡垒,然后创建一个新堡垒,这将配置一台带有最新安全补丁程序的新机器。

RDP 访问

对于加入域的目录,如果客户的 VNet 对等互连功能正常,则客户可以启用 RDP 从对等互连 VNet 访问其 Citrix 管理的 VNet。如果客户使用此选项,则客户负责通过 VNet 对等互连访问 VDA 和 Cloud Connector。可以指定源 IP 地址范围,以便可以进一步限制 RDP 访问,即使是在客户的内部网络中也是如此。客户需要使用域凭据才能登录这些计算机。如果客户正在与 Citrix Support 合作解决问题,则客户可能需要与支持人员共享这些凭据。问题解决后,客户应负责禁用 RDP 访问权限。保持从客户的对等互连或本地网络开放 RDP 访问会带来安全风险。

域凭据

如果客户选择使用已加入域的目录,客户应负责向 Citrix DaaS 提供域帐户(用户名和密码),并有权将计算机加入域。在提供域凭据时,客户有责任遵守以下安全原则:

  • 可审核: 应专门为 Citrix DaaS 使用情况创建帐户,以便轻松审核帐户的用途。
  • 作用域: 帐户只需要将计算机加入域的权限。它不应该是完整的域管理员。
  • 安全: 应在帐户上放置强密码。

Citrix 负责将此域帐户安全存储在客户的 Citrix 托管 Azure 订阅中的 Azure 密钥保管库中。只有在操作需要域帐户密码时才能检索该帐户。

更多信息

有关相关信息,请参阅:

Citrix 托管 Azure 的技术安全性概述