Leitfaden zur sicheren Bereitstellung für die Citrix Cloud-Plattform
Der Leitfaden zur sicheren Bereitstellung von Citrix Cloud gibt eine Übersicht über bewährte Verfahren zur sicheren Verwendung von Citrix Cloud und beschreibt, welche Daten von Citrix Cloud erfasst und verwaltet werden.
Informationen zur technischen Sicherheit für Services
Die folgenden Artikel enthalten weitere Informationen zur Datensicherheit in Citrix Cloud Services:
- Analytics – Technische Sicherheit
- Endpoint Management – Technische Sicherheit
- Remote Browser Isolation – Technische Sicherheit
- Citrix DaaS — Technische Sicherheit — Überblick
- Citrix DaaS Standard für Azure — Technische Sicherheit — Überblick
Hinweise für Administratoren
- Verwenden Sie sichere Kennwörter und ändern Sie diese regelmäßig.
- Alle Administratoren innerhalb eines Kundenkontos können andere Administratoren hinzufügen und entfernen. Stellen Sie sicher, dass nur vertrauenswürdige Administratoren auf Citrix Cloud zugreifen können.
- Administratoren eines Kunden erhalten standardmäßig vollen Zugriff auf alle Services. Einige Services bieten die Möglichkeit, den Zugriff eines Administrators zu beschränken. Weitere Informationen hierzu finden Sie in der Dokumentation für den Service.
- Die zweistufige Authentifizierung von Citrix Cloud-Administratoren erfolgt anhand des standardmäßigen Citrix Identitätsanbieters. Wenn Administratoren sich für Citrix Cloud registrieren oder zu einem Citrix Cloud-Konto eingeladen werden, müssen sie sich für die Multifaktorauthentifizierung registrieren. Wenn ein Kunde Microsoft Azure zum Authentifizieren von Citrix Cloud-Administratoren verwendet, kann die Multifaktorauthentifizierung gemäß den Erläuterungen unter Konfigurieren von Azure AD Multi-Factor Authentication-Einstellungen auf der Microsoft-Website konfiguriert werden.
- Standardmäßig werden Administratorsitzungen in Citrix Cloud nach 72 Stunden Inaktivität, unabhängig von der Konsolenaktivität, automatisch beendet. Dieses Timeout kann nicht geändert werden.
- Administratorkonten können mit maximal 100 Kundenkonten verknüpft werden. Wenn ein Administrator mehr als 100 Kundenkonten verwalten muss, muss er ein separates Administratorkonto mit einer anderen E-Mail-Adresse erstellen, um die zusätzlichen Kundenkonten zu verwalten. Alternativ können Sie den Administrator aus Kundenkonten entfernen, die er nicht mehr verwalten muss.
Kennwort-Compliance
Citrix Cloud fordert Administratoren auf, ihre Kennwörter zu ändern, wenn eine der folgenden Bedingungen erfüllt ist:
- Das aktuelle Kennwort wurde seit über 60 Tagen nicht zur Anmeldung verwendet.
- Das aktuelle Kennwort ist in einer bekannten Datenbank mit gefährdeten Kennwörtern aufgeführt.
Neue Kennwörter müssen alle der folgenden Kriterien erfüllen:
- Mindestens 8 Zeichen lang (maximal 128 Zeichen)
- Mindestens ein Groß- und Kleinbuchstabe
- Mindestens eine Ziffer
- Enthält mindestens ein Sonderzeichen: ! @ # $ % ^ * ? + = -
Regeln zum Ändern von Kennwörtern:
- Das aktuelle Kennwort kann nicht als neues Kennwort verwendet werden.
- Die vorherigen 5 Kennwörter können nicht erneut verwendet werden.
- Das neue Kennwort darf nicht dem Benutzernamen des Kontos ähneln.
- Das neue Kennwort darf nicht in einer bekannten Datenbank mit gefährdeten Kennwörtern aufgeführt sein. Citrix Cloud prüft anhand einer von https://haveibeenpwned.com/ bereitgestellten Liste, ob neue Kennwörter gegen diese Bedingung verstoßen.
Verschlüsselung und Schlüsselverwaltung
In der Citrix Cloud-Steuerungsebene werden keine vertraulichen Kundeninformationen gespeichert. Stattdessen ruft Citrix Cloud Informationen wie Administratorkennwörter bei Bedarf ab (wobei der Administrator explizit zur Eingabe aufgefordert wird).
Für ruhende Daten werden zur Verschlüsselung des Citrix Cloud-Speichers Schlüssel verwendet, die AES-256-Bit oder höher sind. Diese Schlüssel werden von Citrix verwaltet.
Für Daten im Übertragungsprozess (Data-in-Flight) verwendet Citrix branchenübliches TLS 1.2 mit den stärksten Verschlüsselungssammlungen. Kunden haben keinen Einfluss auf das verwendete TLS-Zertifikat, da Citrix Cloud auf der Citrix-eigenen Domäne cloud.com gehostet wird. Für den Zugriff auf Citrix Cloud müssen Kunden einen TLS 1.2-kompatiblen Browser mit zulässigen Verschlüsselungssammlungen verwenden.
Die folgenden starken Verschlüsselungen werden empfohlen: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Weitere Informationen zum Datenschutz in Citrix Cloud Services finden Sie auf der Citrix-Website unter Citrix Cloud Services Data Protection Overview.
Weitere Informationen zur Verschlüsselung und Schlüsselverwaltung in jedem Cloudservice finden Sie in der Dokumentation zum Service.
Weitere Informationen zur TLS 1.2-Konfiguration finden Sie in den folgenden Artikeln:
- Erzwingen der Verwendung von TLS 1.2 auf Clientcomputern: CTX245765, Fehlermeldung “Die zugrundeliegende Verbindung wurde geschlossen: Unerwarteter Fehler beim Senden.” beim Abfragen des OData-Endpunkts des Überwachungsdiensts
- Aktualisieren und Konfigurieren des .NET-Frameworks zur Unterstützung von TLS 1.2 auf der Microsoft Docs-Website.
Datenhoheit
Die Citrix Cloud-Steuerungsebene wird in den USA, in der Europäischen Union und in Australien gehostet. Kunden haben keine Kontrolle darüber.
Der Kunde besitzt und verwaltet die Ressourcenstandorte, die er mit Citrix Cloud verwendet. Ressourcenstandorte können nach Wunsch in jedem Datencenter oder Standort, in der Cloud oder in einer geografischen Region erstellt werden. Alle wichtigen Geschäftsdaten (z. B. Dokumente, Kalkulationstabellen usw.) sind in den Ressourcenstandorten gespeichert und unter Kundenkontrolle.
Andere Services haben u. U. eine Option, wie Sie Daten in anderen Regionen speichern können. Lesen Sie auch die Geografischen Überlegungen und die Technische Übersicht über die Sicherheit für jeden Service am Anfang dieses Artikels.
Einsicht in Sicherheitsfragen
Die Website status.cloud.com bietet Transparenz in Sicherheitsfragen, die sich dauerhaft auf den Kunden auswirken. Die Site protokolliert Status- und Betriebszeitinformationen. Eine Option zum Abonnieren von Updates für die Plattform oder für einzelne Services ist vorhanden.
Citrix Cloud Connector
Installieren des Cloud Connectors
Aus Sicherheits- und Leistungsgründen empfiehlt Citrix, die Cloud Connector-Software nicht auf einem Domänencontroller zu installieren.
Citrix empfiehlt zudem dringend, dass Maschinen, auf denen der Cloud Connector installiert ist, sich im privaten Netzwerk des Kunden und nicht in der DMZ befinden. Die Netzwerk- und Systemanforderungen des Cloud Connectors sowie Anweisungen für die Installation finden Sie unter Citrix Cloud Connector.
Konfigurieren des Cloud Connectors
Der Kunde ist dafür verantwortlich, die Maschinen, auf denen der Cloud Connector installiert ist, mit Windows-Sicherheitsupdates zu aktualisieren.
Kunden können Antivirensoftware zusammen mit dem Cloud Connector verwenden. Citrix verwendet McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8 für Tests. Citrix unterstützt Kunden, die andere branchenübliche Antivirenprodukte verwenden.
Citrix empfiehlt dringend, im Active Directory (AD) des Kunden das Maschinenkonto des Cloud Connectors auf schreibgeschützten Zugriff zu beschränken. Dies ist die Standardkonfiguration in Active Directory. Kunden können auch die AD-Protokollierung und -Überwachung im Maschinenkonto des Cloud Connectors aktivieren, um den Zugriff auf Active Directory zu überwachen.
Anmeldung an der Maschine, die Cloud Connector hostet
Der Cloud Connector ermöglicht die Übertragung sensibler Daten an andere Plattformkomponenten in Citrix Cloud und speichert außerdem folgende vertraulichen Informationen:
- Dienstschlüssel für die Kommunikation mit Citrix Cloud
- Hypervisor-Dienst-Anmeldeinformationen für die Energieverwaltung in Citrix DaaS (früher Citrix Virtual Apps and Desktops Service)
Diese vertraulichen Informationen werden mit der Data Protection API (DPAPI) auf dem Windows-Server mit dem Cloud Connector verschlüsselt. Citrix empfiehlt dringend, nur den ranghöchsten Administratoren das Anmelden an den Cloud Connector-Maschinen zu erlauben (z. B. für Wartungsvorgänge). Zur allgemeinen Verwaltung eines Citrix Produkts ist es nicht erforderlich, dass ein Administrator sich an diesen Maschinen anmeldet. Der Cloud Connector wird in dieser Hinsicht selbstverwaltet.
Erlauben Sie Endbenutzern nicht, sich an Cloud Connector-Maschinen anzumelden.
Installieren anderer Software auf Cloud Connector-Maschinen
Kunden können Antivirensoftware und Hypervisortools (bei Installation auf einer virtuellen Maschine) auf Cloud Connector-Maschinen installieren. Citrix empfiehlt jedoch, dass Kunden keine weitere Software auf diesen Maschinen installieren. Andere Software kann mögliche Sicherheitslücken schaffen und die Sicherheit der gesamten Citrix Cloud-Lösung gefährden.
Konfiguration von eingehenden und ausgehenden Ports
Für den Cloud Connector muss der ausgehende Port 443 geöffnet sein und Zugriff auf das Internet bieten. Citrix empfiehlt dringend, dass der Cloud Connector keine eingehenden Ports hat, auf die über das Internet zugegriffen werden kann.
Kunden können den Cloud Connector hinter einem Webproxy platzieren, um seine ausgehende Internetkommunikation zu überwachen. Der Webproxy muss jedoch eine SSL/TLS-verschlüsselte Kommunikation unterstützen.
Der Cloud Connector kann andere ausgehende Ports mit Internetzugriff haben. Wenn andere Ports zur Verfügung stehen, kann der Cloud Connector darüber die Netzwerkbandbreite und Leistung optimieren.
Innerhalb des internen Netzwerks muss der Cloud Connector eine Vielzahl eingehender und ausgehender Ports geöffnet haben. Die folgende Tabelle enthält die erforderliche Grundkonfiguration geöffneter Ports.
| Clientport | Serverport | Service |
|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time |
| 49152 -65535/TCP | 135/TCP | RPC-Endpunktzuordnung |
| 49152 -65535/TCP | 464/TCP/UDP | Kerberos-Kennwortänderung |
| 49152 -65535/TCP | 49152-65535/TCP | RPC für LSA, SAM, Netlogon (*) |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152 -65535/TCP | 3268/TCP | LDAP GC |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152 -65535/TCP | 49152 -65535/TCP | FRS RPC (*) |
| 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP | SMB |
Der Cloud Connector verwendet die LDAP-Signatur und -versiegelung, um Verbindungen zum Domänencontroller zu sichern. Dies bedeutet, dass LDAP über SSL (LDAPS) nicht erforderlich ist. Weitere Informationen zur LDAP-Signatur finden Sie unter How to enable LDAP signing in Windows Server und Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing.
Jeder in Citrix Cloud verwendete Service erweitert die Liste der erforderlichen geöffneten Ports. Weitere Informationen finden Sie in folgenden Ressourcen:
- Technischer Überblick über die Sicherheit für jeden Service (siehe Liste am Anfang dieses Artikels)
- Anforderungen an die Internetkonnektivität für Citrix Cloud Services
- Anforderungen an den Konsolendienstport
- Portanforderungen für Endpoint Management
Überwachung der ausgehenden Kommunikation
Der Cloud Connector verwendet Port 443 für die ausgehende Internetkommunikation mit Citrix Cloud-Servern und mit Microsoft Azure Service Bus-Servern.
Der Cloud Connector kommuniziert mit Domänencontrollern im lokalen Netzwerk, die sich in der gleichen Active Directory-Gesamtstruktur wie die Maschinen mit dem Cloud Connector befinden.
Im Normalbetrieb kommuniziert der Cloud Connector nur mit Domänencontrollern in Domänen, die auf der Seite Identitäts- und Zugriffsverwaltung von Citrix Cloud nicht deaktiviert sind.
Jeder Service in Citrix Cloud erweitert die Liste der Server und internen Ressourcen, die der Cloud Connector im Rahmen des Normalbetriebs kontaktieren kann. Kunden können nicht steuern, welche Daten vom Cloud Connector an Citrix gesendet werden. Weitere Informationen über interne Ressourcen und Daten, die von Services an Citrix gesendet werden, finden Sie in den folgenden Ressourcen:
- Technischer Überblick über die Sicherheit für jeden Service (siehe Liste am Anfang dieses Artikels)
- Anforderungen an die Internetkonnektivität für Citrix Cloud Services
Anzeigen von Cloud Connector-Protokollen
Alle Informationen, die für einen Administrator relevant sind oder eine Aktion erfordern, sind im Windows-Ereignisprotokoll auf der Cloud Connector-Maschine verfügbar.
Sie finden die Installationsprotokolle für den Cloud Connector in folgenden Verzeichnissen:
- %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
- %windir%\Temp\CitrixLogs\CloudServicesSetup
Protokolle der Daten, die vom Cloud Connector an die Cloud gesendet werden, sind hier gespeichert: %ProgramData%\Citrix\WorkspaceCloud\Logs.
Wenn Protokolle im Verzeichnis WorkspaceCloud\Logs eine bestimmte Größe überschritten haben, werden sie gelöscht. Administratoren können diesen Schwellenwert durch Anpassen des folgenden Registrierungsschlüssels steuern: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes.
SSL/TLS-Konfiguration
Auf dem Windows Server mit dem Cloud Connector müssen die unter Verschlüsselung und Schlüsselverwaltung aufgeführten Verschlüsselungssammlungen aktiviert sein.
Der Cloud Connector muss der Zertifizierungsstelle (ZS) vertrauen, die von SSL/TLS-Zertifikaten von Citrix Cloud und SSL/TLS-Zertifikaten von Microsoft Azure Service Bus verwendet wird. Citrix und Microsoft können Zertifikate und Zertifizierungsstellen zukünftig ändern, sie verwenden jedoch stets Zertifizierungsstellen, die in der Windows-Standardliste vertrauenswürdiger Herausgeber aufgeführt sind.
Jeder Service in Citrix Cloud kann unterschiedliche Anforderungen an die SSL-Konfiguration stellen. Weitere Informationen finden Sie im Technischen Überblick über die Sicherheit für jeden Service (siehe Liste am Anfang dieses Artikels).
Sicherheitskonformität
Zur Gewährleistung der Sicherheitskonformität ist der Cloud Connector selbstverwaltet. Deaktivieren Sie keine Neustarts und definieren Sie keine anderen Einschränkungen auf dem Cloud Connector. Diese Aktionen verhindern, dass der Cloud Connector bei kritischen Updates aktualisiert wird.
Es ist nicht Aufgabe des Kunden, auf Sicherheitsrisiken zu reagieren. Der Cloud Connector wendet automatisch alle Sicherheitsfixes an.
Citrix Connector Appliance für Cloudservices
Installieren des Connectorgeräts
die Connector Appliance wird auf Ihrem Hypervisor gehostet. Der Hypervisor muss sich in Ihrem privaten Netzwerk befinden und darf nicht in der DMZ sein.
Stellen Sie sicher, dass sich die Connector Appliance hinter einer Firewall befindet, die den Zugriff standardmäßig blockiert. Verwenden Sie eine Positivliste, um nur erwarteten Datenverkehr vom Connectorgerät zuzulassen.
Stellen Sie sicher, dass aktuelle Sicherheitsupdates auf den Hypervisoren installiert sind, die Ihr Connectorgerät hosten.
Die Netzwerk- und Systemanforderungen für die Connector Appliance sowie Anweisungen für die Installation finden Sie unter Connector Appliance for Cloud Services.
Anmelden beim Hypervisor, der ein Connectorgerät hostet
Das Connector-Gerät enthält einen Dienstschlüssel für die Kommunikation mit Citrix Cloud. Nur die ranghöchsten Administratoren dürfen sich an dem Hypervisor anmelden, der die Connector Appliance hostet (z. B. für Wartungsvorgänge). Zur allgemeinen Verwaltung eines Citrix Produkts ist es nicht erforderlich, dass ein Administrator sich an diesen Hypervisoren anmeldet. Die Connector Appliance ist selbstverwaltet.
Konfiguration von eingehenden und ausgehenden Ports
Für die Connector Appliance muss der ausgehende Port 443 geöffnet sein und Zugriff auf das Internet bieten. Citrix empfiehlt dringend, dass die Connector Appliance keine eingehenden Ports hat, auf die über das Internet zugegriffen werden kann.
Platzieren Sie die Connector Appliance hinter einem Webproxy, um seine ausgehende Internetkommunikation zu überwachen. Der Webproxy muss jedoch eine SSL/TLS-verschlüsselte Kommunikation unterstützen.
Die Connector Appliance kann andere ausgehende Ports mit Internetzugriff haben. Wenn andere Ports zur Verfügung stehen, kann die Connector Appliance darüber die Netzwerkbandbreite und Leistung optimieren.
Innerhalb des internen Netzwerks muss die Connector Appliance eine Vielzahl eingehender und ausgehender Ports geöffnet haben. Die folgende Tabelle enthält die erforderliche Grundkonfiguration geöffneter Ports.
| Verbindungsrichtung | Port des Connectorgeräts | Externer Port | Service |
|---|---|---|---|
| Eingehend | 443/TCP | Beliebig | Lokale Weboberfläche |
| Ausgehend | 49152-65535/UDP | 123/UDP | NTP |
| Ausgehend | 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| Ausgehend | 67/UDP | 68/UDP | DHCP und Broadcast |
| Ausgehend | 49152 -65535/UDP | 123/UDP | W32Time |
| Ausgehend | 49152 -65535/TCP | 464/TCP/UDP | Kerberos-Kennwortänderung |
| Ausgehend | 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| Ausgehend | 49152 -65535/TCP | 3268/TCP | LDAP GC |
| Ausgehend | 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| Ausgehend | 49152 -65535/TCP/UDP | 445/TCP | SMB |
| Ausgehend | 137/UDP | 137/UDP | NetBIOS-Namensdienst |
| Ausgehend | 138/UDP | 138/UDP | NetBIOS-Datagramm |
| Ausgehend | 139/TCP | 139/TCP | NetBIOS-Sitzung |
Jeder in Citrix Cloud verwendete Service erweitert die Liste der erforderlichen geöffneten Ports. Weitere Informationen finden Sie in folgenden Ressourcen:
- Technischer Überblick über die Sicherheit für jeden Service (siehe Liste am Anfang dieses Artikels)
- Anforderungen an System und Konnektivität für Citrix Cloud Services
Überwachung der ausgehenden Kommunikation
Die Connector Appliance verwendet Port 443 für die ausgehende Internetkommunikation mit Citrix Cloud-Servern.
Jeder Service in Citrix Cloud erweitert die Liste der Server und internen Ressourcen, die die Connector Appliance im Rahmen des Normalbetriebs kontaktieren kann. Kunden können zudem nicht steuern, welche Daten vom Connectorgerät an Citrix gesendet werden. Weitere Informationen über interne Ressourcen und Daten, die von Services an Citrix gesendet werden, finden Sie in den folgenden Ressourcen:
- Technischer Überblick über die Sicherheit für jeden Service (siehe Liste am Anfang dieses Artikels)
- Anforderungen an System und Konnektivität für Citrix Cloud Services
Anzeigen von Connectorgerät-Protokollen
Sie können einen Diagnosebericht für Ihr Connectorgerät herunterladen, der verschiedene Protokolldateien enthält. Weitere Informationen zum Abrufen dieses Berichts finden Sie unter Connectorgerät für Cloudservices.
SSL/TLS-Konfiguration
die Connector Appliance benötigt keine spezielle SSL/TLS-Konfiguration.
Die Connector Appliance muss der Zertifizierungsstelle (ZS) vertrauen, die von SSL/TLS-Zertifikaten von Citrix Cloud verwendet wird. Citrix kann Zertifikate und Zertifizierungsstellen in Zukunft ändern. Verwenden Sie jedoch stets Zertifizierungsstellen, denen die Connector Appliance vertraut.
Jeder Service in Citrix Cloud kann unterschiedliche Anforderungen an die SSL-Konfiguration stellen. Weitere Informationen finden Sie im Technischen Überblick über die Sicherheit für jeden Service (siehe Liste am Anfang dieses Artikels).
Sicherheitskonformität
Um die Sicherheitskonformität zu gewährleisten, wird die Connector Appliance selbstverwaltet, und Sie können sich nicht über die Konsole anmelden.
Es ist nicht Ihre Aufgabe, auf Sicherheitsrisiken des Connectors zu reagieren. Die Connector Appliance wendet automatisch alle Sicherheitsfixes an.
Stellen Sie sicher, dass aktuelle Sicherheitsupdates auf den Hypervisoren installiert sind, die Ihr Connectorgerät hosten.
Wir empfehlen, im Active Directory (AD) das Maschinenkonto des Connectorgeräts auf schreibgeschützten Zugriff zu beschränken. Dies ist die Standardkonfiguration in Active Directory. Kunden können auch die AD-Protokollierung und -Überwachung im Maschinenkonto des Connectorgeräts aktivieren, um den Zugriff auf Active Directory zu überwachen.
Hinweise zum Umgang mit gefährdeten Konten
- Überwachen Sie die Liste der Administratoren in Citrix Cloud und entfernen Sie Administratoren, die nicht vertrauenswürdig sind.
- Deaktivieren Sie alle gefährdeten Konten im Active Directory des Unternehmens.
- Fordern Sie Citrix auf, die geheimen Autorisierungsinformationen zu wechseln, die für alle Cloud Connectors des Kunden gespeichert sind. Ergreifen Sie je nach Schweregrad des Verstoßes die folgenden Maßnahmen:
- Niedriges Risiko: Citrix kann die Geheimnisse im Laufe der Zeit wechseln. Die Cloud Connectors funktionieren weiterhin normal. Die alten Autorisierungsgeheimnisse werden innerhalb von 2-4 Wochen ungültig. Überwachen Sie in dieser Zeit den Cloud Connector, um sicherzustellen, dass es nicht zu unerwarteten Vorgängen kommt.
- Dauerhaft hohes Risiko: Citrix kann alle alten Geheimnisse widerrufen. Vorhandene Cloud Connectors werden funktionsunfähig. Zur Wiederaufnahme des Normalbetriebs müssen Kunden den Cloud Connector auf allen betroffenen Maschinen deinstallieren und neu installieren.