Citrix Cloud

Leitfaden zur sicheren Bereitstellung für die Citrix Cloud-Plattform

Der Leitfaden zur sicheren Bereitstellung von Citrix Cloud gibt eine Übersicht über bewährte Verfahren zur sicheren Verwendung von Citrix Cloud und beschreibt, welche Daten von Citrix Cloud erfasst und verwaltet werden.

Folgende Artikel liefern ähnliche Informationen für andere Services in Citrix Cloud:

Steuerungsebene

Hinweise für Administratoren

  • Verwenden Sie sichere Kennwörter und ändern Sie diese regelmäßig.
  • Alle Administratoren innerhalb eines Kundenkontos können andere Administratoren hinzufügen und entfernen. Stellen Sie sicher, dass nur vertrauenswürdige Administratoren auf Citrix Cloud zugreifen können.
  • Administratoren eines Kunden erhalten standardmäßig vollen Zugriff auf alle Services. Einige Services bieten die Möglichkeit, den Zugriff eines Administrators zu beschränken. Weitere Informationen hierzu finden Sie in der Dokumentation für den Service.
  • Die zweistufige Authentifizierung für Administratoren wird durch Integration von Citrix Cloud in Azure Active Directory erreicht.
  • Standardmäßig werden Administratorsitzungen in Citrix Cloud nach 60 Minuten Inaktivität automatisch beendet. Diese Timeoutzeit von 60 Minuten kann nicht geändert werden. Inaktiv bedeutet, dass die Sitzung vollständig im Leerlauf ist und der Administrator in keiner Weise mit der Citrix Cloud-Konsole interagiert. Aktivität bezieht sich auf Aktionen wie das Navigieren in der grafischen Benutzeroberfläche, das Auswählen von Konfigurationsoptionen, das Speichern von Konfigurationsänderungen oder das Warten auf die Umsetzung einer Änderung.

Kennwort-Compliance

Citrix Cloud fordert Administratoren auf, ihr Kennwort zu ändern, wenn ihr aktuelles Kennwort älter als 60 Tage ist. Neue Kennwörter müssen alle der folgenden Kriterien erfüllen:

  • Mindestens 12 Zeichen
  • Mindestens ein Groß- und Kleinbuchstabe
  • Mindestens eine Ziffer
  • Mindestens ein Sonderzeichen wie ! @ # $% ^ *? + = -

Regeln zum Ändern von Kennwörtern:

  • Es muss mindestens ein Zeichen im aktuellen Kennwort geändert werden. Das aktuelle Kennwort kann nicht als neues Kennwort verwendet werden.
  • Die vorherigen 24 Kennwörter können nicht erneut verwendet werden.
  • Das neue Kennwort muss mindestens einen Tag gültig sein, bevor Citrix Cloud gestattet, dass Sie es erneut ändern.

Verschlüsselung und Schlüsselverwaltung

In der Steuerungsebene werden keine vertraulichen Kundeninformationen gespeichert. Stattdessen ruft Citrix Cloud Informationen wie Administratorkennwörter bei Bedarf ab (wobei der Administrator explizit zur Eingabe aufgefordert wird). Es liegen keine ruhenden Daten vor, die vertraulich oder verschlüsselt sind, sodass eine Schlüsselverwaltung nicht erforderlich ist.

Für Daten im Übertragungsprozess (Data-in-Flight) verwendet Citrix branchenübliches TLS 1.2 mit den stärksten Verschlüsselungssammlungen. Kunden haben keinen Einfluss auf das verwendete TLS-Zertifikat, da Citrix Cloud auf der Citrix-eigenen Domäne cloud.com gehostet wird. Für einen Zugriff auf Citrix Cloud müssen Kunden einen Browser verwenden, der für TLS 1.2 mit starken Verschlüsselungssammlungen geeignet ist.

Weitere Informationen zur Verschlüsselung und Schlüsselverwaltung in jedem Service finden Sie in der Dokumentation zum Service.

Datenhoheit

Die Citrix Cloud-Steuerungsebene wird in den USA, in der Europäischen Union und in Australien gehostet. Kunden haben keine Kontrolle darüber.

Der Kunde besitzt und verwaltet die Ressourcenstandorte, die er mit Citrix Cloud verwendet. Ressourcenstandorte können nach Wunsch in jedem Datencenter oder Standort, in der Cloud oder in einer geografischen Region erstellt werden. Alle wichtigen Geschäftsdaten (z. B. Dokumente, Kalkulationstabellen usw.) sind in den Ressourcenstandorten gespeichert und unter Kundenkontrolle.

Die folgenden Ressourcen enthalten Informationen, wie Sie in Content Collaboration den Speicherort Ihrer Daten festlegen:

Andere Services haben u. U. eine Option, wie Sie Daten in anderen Regionen speichern können. Lesen Sie auch für jeden Service Geografische Überlegungen und Informationen zur technischen Sicherheit (siehe Liste am Anfang dieses Kapitels).

Einsicht in Sicherheitsfragen

Die Website status.cloud.com bietet Transparenz in Sicherheitsfragen, die sich dauerhaft auf den Kunden auswirken. Die Site protokolliert Status- und Betriebszeitinformationen. Eine Option zum Abonnieren von Updates für die Plattform oder für einzelne Services ist vorhanden.

Citrix Cloud Connector

Installieren des Cloud Connectors

Aus Sicherheits- und Leistungsgründen empfiehlt Citrix, die Cloud Connector-Software nicht auf einem Domänencontroller zu installieren.

Citrix empfiehlt zudem dringend, dass Maschinen, auf denen der Cloud Connector installiert ist, sich im privaten Netzwerk des Kunden und nicht in der DMZ befinden. Die Netzwerk- und Systemanforderungen des Cloud Connectors sowie Anweisungen für die Installation finden Sie unter Citrix Cloud Connector.

Konfigurieren des Cloud Connectors

Der Kunde ist dafür verantwortlich, die Maschinen, auf denen der Cloud Connector installiert ist, mit Windows-Sicherheitsupdates zu aktualisieren.

Kunden können Antivirensoftware zusammen mit dem Cloud Connector verwenden. Citrix verwendet McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8 für Tests. Citrix unterstützt Kunden, die andere branchenübliche Antivirenprodukte verwenden.

Citrix empfiehlt dringend, im Active Directory (AD) des Kunden das Maschinenkonto des Cloud Connectors auf schreibgeschützten Zugriff zu beschränken. Dies ist die Standardkonfiguration in Active Directory. Kunden können auch die AD-Protokollierung und -Überwachung im Maschinenkonto des Cloud Connectors aktivieren, um den Zugriff auf Active Directory zu überwachen.

Anmeldung an der Maschine mit installiertem Cloud Connector

Der Cloud Connector enthält vertrauliche Sicherheitsinformationen, z. B. Administratorkennwörter. Citrix empfiehlt dringend, nur den ranghöchsten Administratoren das Anmelden an den Hostmaschinen des Cloud Connectors zu erlauben (z. B. für Wartungsvorgänge). Zur allgemeinen Verwaltung eines Citrix Produkts ist es nicht erforderlich, dass ein Administrator sich an diesen Maschinen anmeldet. Der Cloud Connector wird in dieser Hinsicht selbstverwaltet.

Erlauben Sie Endbenutzern nicht, sich an Cloud Connector-Maschinen anzumelden.

Installieren anderer Software auf Cloud Connector-Maschinen

Kunden können Antivirensoftware und Hypervisortools (bei Installation auf einer virtuellen Maschine) auf Cloud Connector-Maschinen installieren. Citrix empfiehlt jedoch, dass Kunden keine weitere Software auf diesen Maschinen installieren. Andere Software kann mögliche Sicherheitslücken schaffen und die Sicherheit der gesamten Citrix Cloud-Lösung gefährden.

Konfiguration von eingehenden und ausgehenden Ports

Für den Cloud Connector muss der ausgehende Port 443 geöffnet sein und Zugriff auf das Internet bieten. Citrix empfiehlt dringend, dass der Cloud Connector keine eingehenden Ports hat, auf die über das Internet zugegriffen werden kann.

Kunden können den Cloud Connector hinter einem Webproxy platzieren, um seine ausgehende Internetkommunikation zu überwachen. Der Webproxy muss jedoch eine SSL/TLS-verschlüsselte Kommunikation unterstützen.

Der Cloud Connector kann andere ausgehende Ports mit Internetzugriff haben. Wenn andere Ports zur Verfügung stehen, kann der Cloud Connector darüber die Netzwerkbandbreite und Leistung optimieren.

Innerhalb des internen Netzwerks muss der Cloud Connector eine Vielzahl eingehender und ausgehender Ports geöffnet haben. Die folgende Tabelle enthält die erforderliche Grundkonfiguration geöffneter Ports.

Clientport Serverport Service
49152 -65535/UDP 123/UDP W32Time
49152 - 65535/TCP 135/TCP RPC-Endpunktzuordnung
49152 - 65535/TCP 464/TCP/UDP Kerberos-Kennwortänderung
49152 - 65535/TCP 49152-65535/TCP RPC für LSA, SAM, Netlogon (*)
49152 - 65535/TCP/UDP 389/TCP/UDP LDAP
49152 - 65535/TCP 636/TCP LDAP SSL
49152 - 65535/TCP 3268/TCP LDAP GC
49152 - 65535/TCP 3269/TCP LDAP GC SSL
53, 49152 - 65535/TCP/UDP 53/TCP/UDP DNS
49152 - 65535/TCP 49152 - 65535/TCP FRS RPC (*)
49152 - 65535/TCP/UDP 88/TCP/UDP Kerberos
49152 - 65535/TCP/UDP 445/TCP SMB

Jeder in Citrix Cloud verwendete Service erweitert die Liste der erforderlichen geöffneten Ports. Weitere Informationen finden Sie in folgenden Ressourcen:

Überwachung der ausgehenden Kommunikation

Der Cloud Connector verwendet Port 443 für die ausgehende Internetkommunikation mit Citrix Cloud-Servern und mit Microsoft Azure Service Bus-Servern.

Der Cloud Connector kommuniziert mit Domänencontrollern im lokalen Netzwerk, die sich in der gleichen Active Directory-Gesamtstruktur wie die Maschinen mit dem Cloud Connector befinden.

Im Normalbetrieb kommuniziert der Cloud Connector nur mit Domänencontrollern in Domänen, die unter Use for subscriptions auf der Seite Identitäts- und Zugriffsverwaltung von Citrix Cloud aufgelistet sind.

Bei der Auswahl der Domänen für Use for subscriptions kommuniziert der Cloud Connector mit Domänencontrollern in allen Domänen der Active Directory-Gesamtstruktur, wo sich die Maschinen mit dem Cloud Connector befinden.

Jeder Service in Citrix Cloud erweitert die Liste der Server und internen Ressourcen, die der Cloud Connector im Rahmen des Normalbetriebs kontaktieren kann. Kunden können nicht steuern, welche Daten vom Cloud Connector an Citrix gesendet werden. Weitere Informationen über interne Ressourcen und Daten, die von Services an Citrix gesendet werden, finden Sie in den folgenden Ressourcen:

Anzeigen von Cloud Connector-Protokollen

Alle Informationen, die für einen Administrator relevant sind oder eine Aktion erfordern, sind im Windows-Ereignisprotokoll auf der Cloud Connector-Maschine verfügbar.

Sie finden die Installationsprotokolle für den Cloud Connector in folgenden Verzeichnissen:

  • %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
  • %windir%\Temp\CitrixLogs\CloudServicesSetup

Protokolle der Daten, die vom Cloud Connector an die Cloud gesendet werden, sind hier gespeichert: %ProgramData%\Citrix\WorkspaceCloud\Logs.

Wenn Protokolle im Verzeichnis “WorkspaceCloud\Logs” eine bestimmte Größe überschritten haben, werden sie gelöscht. Administratoren können diesen Schwellenwert durch Anpassen des folgenden Registrierungsschlüssels steuern: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes.

SSL/TLS-Konfiguration

Die Grundkonfiguration für den Cloud Connector benötigt keine spezielle SSL/TLS-Konfiguration.

Der Cloud Connector muss der Zertifizierungsstelle (CA) vertrauen, die von SSL/TLS-Zertifikaten von Citrix Cloud und von SSL/TLS-Zertifikaten von Microsoft Azure Service Bus verwendet wird. Citrix und Microsoft können Zertifikate und Zertifizierungsstellen zukünftig ändern, sie verwenden jedoch stets Zertifizierungsstellen, die in der Windows-Standardliste vertrauenswürdiger Herausgeber aufgeführt sind.

Jeder Service in Citrix Cloud kann unterschiedliche Anforderungen an die SSL-Konfiguration stellen. Weitere Informationen finden Sie für die verschiedenen Services unter Informationen zur technischen Sicherheit (siehe Liste am Anfang dieses Artikels).

Sicherheitskonformität

Zur Gewährleistung der Sicherheitskonformität ist der Cloud Connector selbstverwaltet. Deaktivieren Sie keine Neustarts und definieren Sie keine anderen Einschränkungen auf dem Cloud Connector. Diese Aktionen verhindern, dass der Cloud Connector bei kritischen Updates aktualisiert wird.

Es ist nicht Aufgabe des Kunden, auf Sicherheitsrisiken zu reagieren. Der Cloud Connector wendet automatisch alle Sicherheitsfixes an.

Citrix Connectorgerät für Cloudservices

Installieren des Connectorgeräts

Das Connectorgerät wird auf Ihrem Hypervisor gehostet. Der Hypervisor muss sich in Ihrem privaten Netzwerk befinden und darf nicht in der DMZ sein.

Stellen Sie sicher, dass sich das Connectorgerät hinter einer Firewall befindet, die den Zugriff standardmäßig blockiert. Verwenden Sie eine Positivliste, um nur erwarteten Datenverkehr vom Connectorgerät zuzulassen.

Stellen Sie sicher, dass aktuelle Sicherheitsupdates auf den Hypervisoren installiert sind, die Ihr Connectorgerät hosten.

Die Netzwerk- und Systemanforderungen für das Connectorgerät sowie Anweisungen für die Installation finden Sie unter Connectorgerät für Cloudservices.

Anmelden beim Hypervisor, der ein Connectorgerät hostet

Das Connectorgerät enthält vertrauliche Sicherheitsinformationen, z. B. Administratorkennwörter. Nur die ranghöchsten Administratoren dürfen sich an dem Hypervisor mit dem Connectorgerät anmelden (z. B. für Wartungsvorgänge). Zur allgemeinen Verwaltung eines Citrix Produkts ist es nicht erforderlich, dass ein Administrator sich an diesen Hypervisoren anmeldet. Das Connectorgerät wird selbstverwaltet.

Konfiguration von eingehenden und ausgehenden Ports

Für das Connectorgerät muss der ausgehende Port 443 geöffnet sein und Zugriff auf das Internet bieten. Citrix empfiehlt dringend, dass das Connectorgerät keine eingehenden Ports hat, auf die über das Internet zugegriffen werden kann.

Platzieren Sie das Connectorgerät hinter einem Webproxy, um seine ausgehende Internetkommunikation zu überwachen. Der Webproxy muss jedoch eine SSL/TLS-verschlüsselte Kommunikation unterstützen.

Das Connectorgerät kann andere ausgehende Ports mit Internetzugriff haben. Wenn andere Ports zur Verfügung stehen, kann das Connectorgerät darüber die Netzwerkbandbreite und Leistung optimieren.

Innerhalb des internen Netzwerks muss das Connectorgerät eine Vielzahl eingehender und ausgehender Ports geöffnet haben. Die folgende Tabelle enthält die erforderliche Grundkonfiguration geöffneter Ports.

Verbindungsrichtung Port des Connectorgeräts Externer Port Service
Eingehend 443/TCP Beliebig Lokale Weboberfläche
Ausgehend 49152-65535/UDP 123/UDP NTP
Ausgehend 53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
Ausgehend 67/UDP 68/UDP DHCP und Broadcast

Jeder in Citrix Cloud verwendete Service erweitert die Liste der erforderlichen geöffneten Ports. Weitere Informationen finden Sie in folgenden Ressourcen:

Überwachung der ausgehenden Kommunikation

Das Connectorgerät verwendet Port 443 für die ausgehende Internetkommunikation mit Citrix Cloud-Servern.

Jeder Service in Citrix Cloud erweitert die Liste der Server und internen Ressourcen, die das Connectorgerät im Rahmen des Normalbetriebs kontaktieren kann. Kunden können zudem nicht steuern, welche Daten vom Connectorgerät an Citrix gesendet werden. Weitere Informationen über interne Ressourcen und Daten, die von Services an Citrix gesendet werden, finden Sie in den folgenden Ressourcen:

Anzeigen von Connectorgerät-Protokollen

Sie können einen Diagnosebericht für Ihr Connectorgerät herunterladen, der verschiedene Protokolldateien enthält. Weitere Hinweise zum Abrufen dieses Berichts finden Sie unter Connectorgerät für Cloudservices.

SSL/TLS-Konfiguration

Das Connectorgerät benötigt keine spezielle SSL/TLS-Konfiguration.

Das Connectorgerät muss der Zertifizierungsstelle (ZS) vertrauen, die von SSL/TLS-Zertifikaten von Citrix Cloud verwendet wird. Citrix kann Zertifikate und Zertifizierungsstellen in Zukunft ändern. Verwenden Sie jedoch stets Zertifizierungsstellen, denen das Connectorgerät vertraut.

Jeder Service in Citrix Cloud kann unterschiedliche Anforderungen an die SSL-Konfiguration stellen. Weitere Informationen finden Sie für die verschiedenen Services unter Informationen zur technischen Sicherheit (siehe Liste am Anfang dieses Artikels).

Sicherheitskonformität

Um die Sicherheitskonformität zu gewährleisten, wird das Connectorgerät selbstverwaltet, und Sie können sich nicht über die Konsole anmelden.

Es ist nicht Ihre Aufgabe, auf Sicherheitsrisiken des Connectors zu reagieren. Das Connectorgerät wendet automatisch alle Sicherheitsfixes an.

Stellen Sie sicher, dass aktuelle Sicherheitsupdates auf den Hypervisoren installiert sind, die Ihr Connectorgerät hosten.

Hinweise zum Umgang mit gefährdeten Konten

  • Überwachen Sie die Liste der Administratoren in Citrix Cloud und entfernen Sie Administratoren, die nicht vertrauenswürdig sind.
  • Deaktivieren Sie alle gefährdeten Konten im Active Directory des Unternehmens.
  • Fordern Sie Citrix auf, die geheimen Autorisierungsinformationen zu wechseln, die für alle Cloud Connectors des Kunden gespeichert sind. Führen Sie je nach Schweregrad der Sicherheitsverletzung folgende Aktionen aus:
    • Niedriges Risiko: Citrix kann die Geheimnisse im Laufe der Zeit wechseln. Die Cloud Connectors funktionieren weiterhin normal. Die alten Autorisierungsgeheimnisse werden innerhalb von 2-4 Wochen ungültig. Überwachen Sie in dieser Zeit den Cloud Connector, um sicherzustellen, dass es nicht zu unerwarteten Vorgängen kommt.
    • Dauerhaft hohes Risiko: Citrix kann alle alten Geheimnisse widerrufen. Vorhandene Cloud Connectors werden funktionsunfähig. Zur Wiederaufnahme des Normalbetriebs müssen Kunden den Cloud Connector auf allen betroffenen Maschinen deinstallieren und neu installieren.

Leitfaden zur sicheren Bereitstellung für die Citrix Cloud-Plattform