-
-
Citrix 托管 Azure 的技术安全性概述
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Citrix 托管 Azure 的技术安全性概述
注意:
自 2023 年 7 月起,Microsoft 已将 Azure Active Directory (Azure AD) 重命名为 Microsoft Entra ID。 在本文档中,任何提及 Azure Active Directory、Azure AD 或 AAD 的内容现在均指 Microsoft Entra ID。
下图显示了使用 Citrix 托管 Azure 的 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)部署中的组件。 此示例使用 VNet 对等连接。
借助 Citrix 托管 Azure,客户交付桌面和应用程序的虚拟交付代理 (VDA) 以及 Citrix Cloud Connector 将部署到 Citrix 管理的 Azure 订阅和租户中。
Citrix 基于云的合规性
截至 2021 年 1 月,尚未针对 Citrix SOC 2(类型 1 或 2)、ISO 27001、HIPAA 或其他云合规性要求评估将 Citrix 托管 Azure 容量与各种 Citrix DaaS 版本和 Workspace Premium Plus 结合使用的情况。 访问 Citrix 信任中心 有关 Citrix Cloud 认证的更多信息,请经常回来查看更新。
Citrix 责任
适用于未加入域的目录的 Citrix Cloud Connector
使用 Citrix 托管 Azure 订阅时,Citrix DaaS 在每个资源位置至少部署两个 Cloud Connector。 如果某些目录与同一客户的其他目录位于同一区域,则它们可能会共享资源位置。
Citrix 负责对未加入域的目录 Cloud Connector 执行以下安全操作:
- 应用操作系统更新和安全补丁
- 安装和维护防病毒软件
- 应用 Cloud Connector 软件更新
客户无权访问 Cloud Connector。 因此,Citrix 对未加入域的目录 Cloud Connector 的性能负全部责任。
Azure 订阅和 Azure Active Directory
Citrix 负责为客户创建的 Azure 订阅和 Azure Active Directory (AAD) 的安全性。 Citrix 确保租户隔离,因此每个客户都有自己的 Azure 订阅和 AAD,并防止不同租户之间的串扰。 Citrix 还将对 AAD 的访问限制为仅 Citrix DaaS 和 Citrix 操作人员。 Citrix 对每个客户的 Azure 订阅的访问都会经过审核。
使用未加入域的目录的客户可以使用 Citrix 管理的 AAD 作为 Citrix Workspace 的身份验证方式。 对于这些客户,Citrix 在 Citrix 管理的 AAD 中创建有限权限的用户帐户。 但是,客户的用户和管理员都无法对 Citrix 托管的 AAD 执行任何操作。 如果这些客户选择改用自己的 AAD,则他们对其安全性负全部责任。
虚拟网络和基础设施
在客户的 Citrix 托管 Azure 订阅中,Citrix 会创建用于隔离资源位置的虚拟网络。 在这些网络中,除了存储帐户、Key Vault 和其他 Azure 资源外,Citrix 还为 VDA、Cloud Connector 和映像生成器计算机创建虚拟机。 Citrix 与 Microsoft 合作,负责虚拟网络的安全,包括虚拟网络防火墙。
Citrix 确保将默认 Azure 防火墙策略(网络安全组)配置为限制对 VNet 对等互连中网络接口的访问。 通常,这会控制到 VDA 和 Cloud Connector 的传入流量。 有关详细信息,请参阅:
客户无法更改此默认防火墙策略,但可以在 Citrix 创建的 VDA 计算机上部署其他防火墙规则;例如,部分限制传出流量。 在 Citrix 创建的 VDA 计算机上安装虚拟专用网络客户端或其他能够绕过防火墙规则的软件的客户应对可能导致的任何安全风险负责。
使用 Citrix DaaS 中的映像生成器创建和自定义新的计算机映像时,端口 3389-3390 将在 Citrix 管理的 VNet 中临时打开,以便客户可以 RDP 连接到包含新计算机映像的计算机,以对其进行自定义。
使用 Azure VNet 对等连接时的 Citrix 责任
为了使 Citrix DaaS 中的 VDA 能够联系本地域控制器、文件共享或其他 Intranet 资源,Citrix DaaS 提供了 VNet 对等工作流作为连接选项。 客户的 Citrix 管理的虚拟网络与客户管理的 Azure 虚拟网络对等。 客户管理的虚拟网络可以使用客户选择的云到本地连接解决方案(例如 Azure ExpressRoute 或 IPsec 隧道)实现与客户本地资源的连接。
Citrix 对 VNet 对等的责任仅限于支持工作流和相关的 Azure 资源配置,以便在 Citrix 与客户管理的 VNet 之间建立对等关系。
Azure VNet 对等连接的防火墙策略
Citrix 为使用 VNet 对等连接的入站和出站流量打开或关闭以下端口。
具有未加入域的计算机的 Citrix 托管 VNet
- 入站规则
- 允许端口 80、443、1494 和 2598 从 VDA 到 Cloud Connector,以及从 Cloud Connector 到 VDA 的入站。
- 允许端口 49152-65535 从监视器重影功能使用的 IP 范围入站到 VDA。 看 Citrix Technologies 使用的通信端口.
- 拒绝所有其他入站。 这包括从 VDA 到 VDA 以及 VDA 到 Cloud Connector 的 VNet 内流量。
- 出站规则
- 允许所有出站流量。
具有已加入域的计算机的 Citrix 托管 VNet
- 入站规则:
- 允许端口 80、443、1494 和 2598 从 VDA 入站到 Cloud Connector,以及从 Cloud Connector 入站到 VDA。
- 允许端口 49152-65535 从监视器重影功能使用的 IP 范围入站到 VDA。 看 Citrix Technologies 使用的通信端口.
- 拒绝所有其他入站。 这包括从 VDA 到 VDA 以及 VDA 到 Cloud Connector 的 VNet 内流量。
- 出站规则
- 允许所有出站流量。
具有已加入域的计算机的客户管理的 VNet
- 客户需要正确配置其 VNet。 这包括打开以下端口以加入域。
- 入站规则:
- 允许 443、1494、2598 从其客户端 IP 入站以进行内部启动。
- 允许从 Citrix VNet(客户指定的 IP 范围)在 53、88、123、135-139、389、445、636 上入站。
- 允许在使用代理配置打开的端口上进行入站操作。
- 客户创建的其他规则。
- 出站规则:
- 允许在 443、1494、2598 上出站到 Citrix VNet(客户指定的 IP 范围)以进行内部启动。
- 客户创建的其他规则。
访问基础设施
Citrix 可能会访问客户的 Citrix 托管基础架构 (Cloud Connector) 以执行某些管理任务,例如收集日志(包括 Windows 事件查看器)和重新启动服务,而无需通知客户。 Citrix 负责安全可靠地执行这些任务,并将对客户的影响降至最低。 Citrix 还负责确保安全可靠地检索、传输和处理任何日志文件。 无法以这种方式访问客户 VDA。
未加入域的目录的备份
Citrix 不负责对未加入域的目录执行备份。
计算机映像的备份
Citrix 负责备份上传到 Citrix DaaS 的任何计算机映像,包括使用映像生成器创建的映像。 Citrix 对这些映像使用本地冗余存储。
未加入域的目录的堡垒
Citrix 操作人员能够在必要时创建一个堡垒,以访问客户的 Citrix 托管的 Azure 订阅,以便在客户意识到问题之前诊断和修复客户问题。 Citrix 不需要客户同意即可创建堡垒。 当 Citrix 创建堡垒时,Citrix 会为堡垒创建一个随机生成的强密码,并限制 RDP 对 Citrix NAT IP 地址的访问。 当不再需要堡垒时,Citrix 会将其丢弃,并且密码不再有效。 操作完成后,将释放堡垒(及其随附的 RDP 访问规则)。 Citrix 只能通过堡垒访问客户未加入域的 Cloud Connector。 Citrix 没有用于登录未加入域的 VDA 或加入域的 Cloud Connector 和 VDA 的密码。
使用故障排除工具时的防火墙策略
当客户请求创建堡垒计算机进行故障排除时,将对 Citrix 管理的 VNet 进行以下安全组修改:
- 暂时允许 3389 从客户指定的 IP 范围入站到堡垒。
- 暂时允许从堡垒 IP 地址到 VNet 中的任何地址(VDA 和 Cloud Connector)的 3389 入站。
- 继续阻止 Cloud Connector、VDA 和其他 VDA 之间的 RDP 访问。
当客户启用 RDP 访问以进行故障排除时,将对 Citrix 管理的 VNet 进行以下安全组修改:
- 暂时允许 3389 从客户指定的 IP 范围入站到 VNet 中的任何地址(VDA 和 Cloud Connector)。
- 继续阻止 Cloud Connector、VDA 和其他 VDA 之间的 RDP 访问。
客户管理的订阅
对于客户管理的订阅,Citrix 在部署 Azure 资源期间遵守上述责任。 部署后,上述所有内容都由客户负责,因为客户是 Azure 订阅的所有者。
客户责任
VDA 和计算机映像
客户负责 VDA 计算机上安装的软件的所有方面,包括:
- 操作系统更新和安全补丁
- 防病毒和反恶意软件
- VDA 软件更新和安全补丁
- 其他软件防火墙规则(尤其是出站流量)
- 关注 Citrix 安全注意事项和最佳实践
Citrix 提供了一个准备好的映像,作为起点。 客户可以将此映像用于概念验证或演示目的,或用作构建自己的机器映像的基础。 Citrix 不保证此准备好的映像的安全性。 Citrix 将尝试使准备好的映像上的操作系统和 VDA 软件保持最新状态,并将在这些映像上启用 Windows Defender。
使用 VNet 对等互连时的客户责任
客户必须打开 具有已加入域的计算机的客户管理的 VNet.
配置 VNet 对等互连后,客户负责自己的虚拟网络及其与本地资源的连接的安全性。 客户还负责来自 Citrix 管理的对等虚拟网络的传入流量的安全性。 Citrix 不会采取任何措施来阻止从 Citrix 托管的虚拟网络到客户本地资源的流量。
客户有以下选项来限制传入流量:
- 为 Citrix 管理的虚拟网络提供一个 IP 块,该 IP 块未在客户的本地网络或客户管理的已连接虚拟网络中的其他位置使用。 这是 VNet 对等互连所必需的。
- 在客户的虚拟网络和本地网络中添加 Azure 网络安全组和防火墙,以阻止或限制来自 Citrix 管理的 IP 块的流量。
- 在客户的虚拟网络和本地网络中部署入侵防御系统、软件防火墙和行为分析引擎等措施,以 Citrix 管理的 IP 块为目标。
代理
客户可以选择是否对来自 VDA 的出站流量使用代理。 如果使用代理,客户负责:
- 在 VDA 计算机映像上配置代理设置,或者,如果 VDA 已加入域,则使用 Active Directory 组策略。
- 代理的维护和安全。
不允许将代理与 Citrix Cloud Connector 或其他 Citrix 管理的基础架构一起使用。
目录弹性
Citrix 提供三种类型的目录,具有不同的弹性级别:
- 静态的: 每个用户都分配给一个 VDA。 此目录类型不提供高可用性。 如果用户的 VDA 出现故障,则必须将其放置在新 VDA 上才能恢复。 Azure 为单实例 VM 提供 99.5% 的 SLA。 客户仍然可以备份用户配置文件,但对 VDA 所做的任何自定义(例如安装程序或配置 Windows)都将丢失。
- 随机: 每个用户在启动时都会随机分配到服务器 VDA。 此目录类型通过冗余提供高可用性。 如果 VDA 出现故障,则不会丢失任何信息,因为用户的配置文件位于其他位置。
- Windows 10 多会话: 此目录类型的运行方式与随机类型相同,但使用 Windows 10 工作站 VDA 而不是服务器 VDA。
已加入域的目录的备份
如果客户将已加入域的目录与 VNet 对等互连一起使用,则客户负责备份其用户配置文件。 Citrix 建议客户配置本地文件共享,并在其 Active Directory 或 VDA 上设置策略,以便从这些文件共享中提取用户配置文件。 客户负责这些文件共享的备份和可用性。
灾难恢复
如果 Azure 数据丢失,Citrix 将恢复 Citrix 管理的 Azure 订阅中的尽可能多的资源。 Citrix 将尝试恢复 Cloud Connector 和 VDA。 如果 Citrix 无法成功恢复这些项目,则客户负责创建新目录。 Citrix 假定已备份计算机映像,并且客户已备份其用户配置文件,从而允许重新构建目录。
如果丢失整个 Azure 区域,客户负责在新区域重建其客户管理的虚拟网络,并在 Citrix DaaS 中创建新的 VNet 对等连接。
Citrix 和客户共担责任
适用于已加入域的目录的 Citrix Cloud Connector
Citrix DaaS 在每个资源位置至少部署两个 Cloud Connector。 如果某些目录与同一客户的其他目录位于同一区域、VNet 对等互连和域中,则它们可能会共享资源位置。 Citrix 为映像上的以下默认安全设置配置客户的已加入域的 Cloud Connector:
- 操作系统更新和安全补丁
- 防病毒软件
- Cloud Connector 软件更新
客户通常无权访问 Cloud Connector。 但是,他们可以通过使用目录故障排除步骤并使用域凭证登录来获取访问权限。 客户对他们在通过堡垒登录时所做的任何更改负责。
客户还可以通过 Active Directory 组策略控制已加入域的 Cloud Connector。 客户负责确保适用于 Cloud Connector 的组策略是安全合理的。 例如,如果客户选择使用组策略禁用操作系统更新,则客户负责在 Cloud Connector 上执行操作系统更新。 客户还可以选择使用组策略来实施比 Cloud Connector 默认值更严格的安全性,例如安装不同的防病毒软件。 通常,Citrix 建议客户将 Cloud Connector 放入自己的 Active Directory 组织单位中,无需任何策略,因为这将确保可以毫无问题地应用 Citrix 使用的默认值。
故障排除
如果客户在 Citrix DaaS 中遇到目录问题,则有两种故障排除选项:使用堡垒和启用 RDP 访问。 这两个选项都会给客户带来安全风险。 在使用这些选项之前,客户必须了解并同意承担此风险。
Citrix 负责打开和关闭执行故障排除操作所需的端口,并限制在这些操作期间可以访问的计算机。
使用堡垒或 RDP 访问时,执行该操作的活动用户负责正在访问的计算机的安全性。 如果客户通过 RDP 访问 VDA 或 Cloud Connector 并意外感染了病毒,则客户应负责。 如果 Citrix 支持人员访问这些计算机,则这些人员有责任安全地执行操作。 本文档的其他部分介绍了对访问堡垒或部署中其他计算机的任何人暴露的任何漏洞的责任(例如,客户负责将 IP 范围添加到允许列表、Citrix 负责正确实施 IP 范围)。
在这两种情况下,Citrix 都负责正确创建防火墙例外以允许 RDP 流量。 Citrix 还负责在客户处置堡垒或通过 Citrix DaaS 终止 RDP 访问后撤销这些例外。
堡垒
Citrix 可能会在客户的 Citrix 托管订阅内的客户的 Citrix 托管虚拟网络中创建堡垒,以主动(无需客户通知)或响应客户提出的问题来诊断和修复问题。 堡垒是客户可以通过 RDP 访问的计算机,然后用于通过 RDP 访问 VDA 和(对于加入域的目录)Cloud Connector,以收集日志、重新启动服务或执行其他管理任务。 默认情况下,创建堡垒会打开一个外部防火墙规则,以允许从客户指定的 IP 地址范围到堡垒计算机的 RDP 流量。 它还会打开一个内部防火墙规则,以允许通过 RDP 访问 Cloud Connector 和 VDA。 打开这些规则会带来很大的安全风险。
客户负责提供用于本地 Windows 帐户的强密码。 客户还负责提供允许 RDP 访问堡垒的外部 IP 地址范围。 如果客户选择不提供 IP 范围(允许任何人尝试 RDP 访问),则客户应对恶意 IP 地址尝试的任何访问负责。
客户还负责在故障排除完成后删除堡垒。 堡垒主机会暴露额外的攻击面,因此 Citrix 会在计算机开机八 (8) 小时后自动关闭计算机。 但是,Citrix 永远不会自动删除堡垒。 如果客户选择长时间使用堡垒,则他们负责修补和更新堡垒。 Citrix 建议在删除堡垒之前仅使用堡垒几天。 如果客户需要最新的堡垒,他们可以删除当前的堡垒,然后创建一个新堡垒,这将为新机器预置最新的安全补丁。
RDP 访问
对于已加入域的目录,如果客户的 VNet 对等连接正常运行,则客户可以启用从其对等 VNet 到 Citrix 管理的 VNet 的 RDP 访问。 如果客户使用此选项,则客户负责通过 VNet 对等连接访问 VDA 和 Cloud Connector。 可以指定源 IP 地址范围,以便进一步限制 RDP 访问,即使在客户的内部网络中也是如此。 客户需要使用域凭证登录这些计算机。 如果客户正在与 Citrix 支持部门合作解决问题,则可能需要与支持人员共享这些凭据。 问题解决后,客户负责禁用 RDP 访问。 从客户的对等网络或本地网络保持 RDP 访问开放会带来安全风险。
域凭证
如果客户选择使用已加入域的目录,则客户负责向 Citrix DaaS 提供具有将计算机加入域的权限的域帐户(用户名和密码)。 在提供域凭证时,客户有责任遵守以下安全原则:
- 可审计: 应专门为 Citrix DaaS 使用创建该帐户,以便于审核该帐户的用途。
- 范围: 该帐户只需要将计算机加入域的权限。 它不应是完全域管理员。
- 安全: 应在帐户上设置强密码。
Citrix 负责将此域帐户安全存储在客户的 Citrix 管理的 Azure 订阅的 Azure Key Vault 中。 仅当操作需要域帐户密码时,才会检索该帐户。
更多信息
有关相关信息,请参阅:
- Citrix Cloud 平台的安全部署指南:Citrix Cloud 平台的安全信息。
- 技术安全概述:Citrix DaaS 的安全信息
- 第三方通知
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.