Leitfaden zur sicheren Bereitstellung für die Citrix Cloud-Plattform
Der Leitfaden zur sicheren Bereitstellung von Citrix Cloud gibt eine Übersicht über bewährte Verfahren zur sicheren Verwendung von Citrix Cloud und beschreibt, welche Daten von Citrix Cloud erfasst und verwaltet werden.
Folgende Artikel liefern ähnliche Informationen für andere Services in Citrix Cloud:
- Analytics – Technische Sicherheit
- Endpoint Management – Technische Sicherheit
- Secure Browser – Technische Sicherheit
- ShareFile - Technische Sicherheit
- Überblick über die technische Sicherheit bei Virtual Apps and Desktops
- Überblick über die technische Sicherheit bei Virtual Apps and Desktops Standard für Azure
Steuerungsebene
Hinweise für Administratoren
- Verwenden Sie sichere Kennwörter und ändern Sie diese regelmäßig.
- Alle Administratoren innerhalb eines Kundenkontos können andere Administratoren hinzufügen und entfernen. Stellen Sie sicher, dass nur vertrauenswürdige Administratoren auf Citrix Cloud zugreifen können.
- Administratoren eines Kunden erhalten standardmäßig vollen Zugriff auf alle Services. Einige Services bieten die Möglichkeit, den Zugriff eines Administrators zu beschränken. Weitere Informationen hierzu finden Sie in der Dokumentation für den Service.
- Die zweistufige Authentifizierung für Administratoren wird durch Integration von Citrix Cloud in Azure Active Directory erreicht.
- Standardmäßig werden Administratorsitzungen in Citrix Cloud nach 60 Minuten Inaktivität automatisch beendet. Diese Timeoutzeit von 60 Minuten kann nicht geändert werden. Inaktiv bedeutet, dass die Sitzung vollständig im Leerlauf ist und der Administrator in keiner Weise mit der Citrix Cloud-Konsole interagiert. Aktivität bezieht sich auf Aktionen wie das Navigieren in der grafischen Benutzeroberfläche, das Auswählen von Konfigurationsoptionen, das Speichern von Konfigurationsänderungen oder das Warten auf die Umsetzung einer Änderung.
Kennwort-Compliance
Citrix Cloud fordert Administratoren auf, ihr Kennwort zu ändern, wenn ihr aktuelles Kennwort älter als 60 Tage ist. Neue Kennwörter müssen alle der folgenden Kriterien erfüllen:
- Mindestens 12 Zeichen
- Mindestens ein Groß- und Kleinbuchstabe
- Mindestens eine Ziffer
- Mindestens ein Sonderzeichen wie ! @ # $% ^ *? + = -
Regeln zum Ändern von Kennwörtern:
- Es muss mindestens ein Zeichen im aktuellen Kennwort geändert werden. Das aktuelle Kennwort kann nicht als neues Kennwort verwendet werden.
- Die vorherigen 24 Kennwörter können nicht erneut verwendet werden.
- Das neue Kennwort muss mindestens einen Tag gültig sein, bevor Citrix Cloud gestattet, dass Sie es erneut ändern.
Verschlüsselung und Schlüsselverwaltung
In der Steuerungsebene werden keine vertraulichen Kundeninformationen gespeichert. Stattdessen ruft Citrix Cloud Informationen wie Administratorkennwörter bei Bedarf ab (wobei der Administrator explizit zur Eingabe aufgefordert wird). Es liegen keine ruhenden Daten vor, die vertraulich oder verschlüsselt sind, sodass eine Schlüsselverwaltung nicht erforderlich ist.
Für Daten im Übertragungsprozess (Data-in-Flight) verwendet Citrix branchenübliches TLS 1.2 mit den stärksten Verschlüsselungssammlungen. Kunden haben keinen Einfluss auf das verwendete TLS-Zertifikat, da Citrix Cloud auf der Citrix-eigenen Domäne cloud.com gehostet wird. Für den Zugriff auf Citrix Cloud müssen Kunden einen TLS 1.2-kompatiblen Browser mit zulässigen Verschlüsselungssammlungen verwenden.
- Wenn der Cloud Connector unter Windows Server 2016 oder Windows Server 2019 installiert ist, werden die folgenden starken Verschlüsselungssammlungen empfohlen: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Wenn der Cloud Connector unter Windows Server 2012 R2 installiert ist, sind die starken Verschlüsselungssammlungen nicht verfügbar und es muss folgende Verschlüsselungssammlung verwendet werden: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Weitere Informationen zur Verschlüsselung und Schlüsselverwaltung in jedem Service finden Sie in der Dokumentation zum Service.
Datenhoheit
Die Citrix Cloud-Steuerungsebene wird in den USA, in der Europäischen Union und in Australien gehostet. Kunden haben keine Kontrolle darüber.
Der Kunde besitzt und verwaltet die Ressourcenstandorte, die er mit Citrix Cloud verwendet. Ressourcenstandorte können nach Wunsch in jedem Datencenter oder Standort, in der Cloud oder in einer geografischen Region erstellt werden. Alle wichtigen Geschäftsdaten (z. B. Dokumente, Kalkulationstabellen usw.) sind in den Ressourcenstandorten gespeichert und unter Kundenkontrolle.
Die folgenden Ressourcen enthalten Informationen, wie Sie in Content Collaboration den Speicherort Ihrer Daten festlegen:
- Content Collaboration Dokumentation zu diesem Service
- Häufig gestellte Fragen zur Sicherheit in ShareFile
- Sicherheit und Compliance in Citrix ShareFile
- Implementieren von Speicherzonen für die On-Premises-Speicherung
Andere Services haben u. U. eine Option, wie Sie Daten in anderen Regionen speichern können. Lesen Sie auch für jeden Service Geografische Überlegungen und Informationen zur technischen Sicherheit (siehe Liste am Anfang dieses Kapitels).
Einsicht in Sicherheitsfragen
Die Website status.cloud.com bietet Transparenz in Sicherheitsfragen, die sich dauerhaft auf den Kunden auswirken. Die Site protokolliert Status- und Betriebszeitinformationen. Eine Option zum Abonnieren von Updates für die Plattform oder für einzelne Services ist vorhanden.
Citrix Cloud Connector
Installieren des Cloud Connectors
Aus Sicherheits- und Leistungsgründen empfiehlt Citrix, die Cloud Connector-Software nicht auf einem Domänencontroller zu installieren.
Citrix empfiehlt zudem dringend, dass Maschinen, auf denen der Cloud Connector installiert ist, sich im privaten Netzwerk des Kunden und nicht in der DMZ befinden. Die Netzwerk- und Systemanforderungen des Cloud Connectors sowie Anweisungen für die Installation finden Sie unter Citrix Cloud Connector.
Konfigurieren des Cloud Connectors
Der Kunde ist dafür verantwortlich, die Maschinen, auf denen der Cloud Connector installiert ist, mit Windows-Sicherheitsupdates zu aktualisieren.
Kunden können Antivirensoftware zusammen mit dem Cloud Connector verwenden. Citrix verwendet McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8 für Tests. Citrix unterstützt Kunden, die andere branchenübliche Antivirenprodukte verwenden.
Citrix empfiehlt dringend, im Active Directory (AD) des Kunden das Maschinenkonto des Cloud Connectors auf schreibgeschützten Zugriff zu beschränken. Dies ist die Standardkonfiguration in Active Directory. Kunden können auch die AD-Protokollierung und -Überwachung im Maschinenkonto des Cloud Connectors aktivieren, um den Zugriff auf Active Directory zu überwachen.
Anmeldung an der Maschine mit installiertem Cloud Connector
Der Cloud Connector ermöglicht die Übertragung sensibler Daten an andere Plattformkomponenten in Citrix Cloud und speichert außerdem folgende vertraulichen Informationen:
- Dienstschlüssel für die Kommunikation mit Citrix Cloud
- Hypervisor-Dienst-Anmeldeinformationen für die Energieverwaltung in Citrix Virtual Apps and Desktops
Diese vertraulichen Informationen werden mit der Data Protection API (DPAPI) auf dem Windows-Server mit dem Cloud Connector verschlüsselt. Citrix empfiehlt dringend, nur den ranghöchsten Administratoren das Anmelden an den Cloud Connector-Maschinen zu erlauben (z. B. für Wartungsvorgänge). Zur allgemeinen Verwaltung eines Citrix Produkts ist es nicht erforderlich, dass ein Administrator sich an diesen Maschinen anmeldet. Der Cloud Connector wird in dieser Hinsicht selbstverwaltet.
Erlauben Sie Endbenutzern nicht, sich an Cloud Connector-Maschinen anzumelden.
Installieren anderer Software auf Cloud Connector-Maschinen
Kunden können Antivirensoftware und Hypervisortools (bei Installation auf einer virtuellen Maschine) auf Cloud Connector-Maschinen installieren. Citrix empfiehlt jedoch, dass Kunden keine weitere Software auf diesen Maschinen installieren. Andere Software kann mögliche Sicherheitslücken schaffen und die Sicherheit der gesamten Citrix Cloud-Lösung gefährden.
Konfiguration von eingehenden und ausgehenden Ports
Für den Cloud Connector muss der ausgehende Port 443 geöffnet sein und Zugriff auf das Internet bieten. Citrix empfiehlt dringend, dass der Cloud Connector keine eingehenden Ports hat, auf die über das Internet zugegriffen werden kann.
Kunden können den Cloud Connector hinter einem Webproxy platzieren, um seine ausgehende Internetkommunikation zu überwachen. Der Webproxy muss jedoch eine SSL/TLS-verschlüsselte Kommunikation unterstützen.
Der Cloud Connector kann andere ausgehende Ports mit Internetzugriff haben. Wenn andere Ports zur Verfügung stehen, kann der Cloud Connector darüber die Netzwerkbandbreite und Leistung optimieren.
Innerhalb des internen Netzwerks muss der Cloud Connector eine Vielzahl eingehender und ausgehender Ports geöffnet haben. Die folgende Tabelle enthält die erforderliche Grundkonfiguration geöffneter Ports.
| Clientport | Serverport | Service |
|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time |
| 49152 - 65535/TCP | 135/TCP | RPC-Endpunktzuordnung |
| 49152 - 65535/TCP | 464/TCP/UDP | Kerberos-Kennwortänderung |
| 49152 - 65535/TCP | 49152-65535/TCP | RPC für LSA, SAM, Netlogon (*) |
| 49152 - 65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152 - 65535/TCP | 636/TCP | LDAP SSL |
| 49152 - 65535/TCP | 3268/TCP | LDAP GC |
| 49152 - 65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152 - 65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152 - 65535/TCP | 49152 - 65535/TCP | FRS RPC (*) |
| 49152 - 65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 - 65535/TCP/UDP | 445/TCP | SMB |
Jeder in Citrix Cloud verwendete Service erweitert die Liste der erforderlichen geöffneten Ports. Weitere Informationen finden Sie in folgenden Ressourcen:
- Informationen zur technischen Sicherheit für die verschiedenen Services (siehe Liste am Anfang dieses Artikels)
- Anforderungen an die Internetkonnektivität für Citrix Cloud Services
- Portanforderungen für den Application Delivery Management Service
- Portanforderungen für Endpoint Management
Überwachung der ausgehenden Kommunikation
Der Cloud Connector verwendet Port 443 für die ausgehende Internetkommunikation mit Citrix Cloud-Servern und mit Microsoft Azure Service Bus-Servern.
Der Cloud Connector kommuniziert mit Domänencontrollern im lokalen Netzwerk, die sich in der gleichen Active Directory-Gesamtstruktur wie die Maschinen mit dem Cloud Connector befinden.
Im Normalbetrieb kommuniziert der Cloud Connector nur mit Domänencontrollern in Domänen, die auf der Seite Identitäts- und Zugriffsverwaltung von Citrix Cloud nicht deaktiviert sind.
Jeder Service in Citrix Cloud erweitert die Liste der Server und internen Ressourcen, die der Cloud Connector im Rahmen des Normalbetriebs kontaktieren kann. Kunden können nicht steuern, welche Daten vom Cloud Connector an Citrix gesendet werden. Weitere Informationen über interne Ressourcen und Daten, die von Services an Citrix gesendet werden, finden Sie in den folgenden Ressourcen:
- Informationen zur technischen Sicherheit für die verschiedenen Services (siehe Liste am Anfang dieses Artikels)
- Anforderungen an die Internetkonnektivität für Citrix Cloud Services
Anzeigen von Cloud Connector-Protokollen
Alle Informationen, die für einen Administrator relevant sind oder eine Aktion erfordern, sind im Windows-Ereignisprotokoll auf der Cloud Connector-Maschine verfügbar.
Sie finden die Installationsprotokolle für den Cloud Connector in folgenden Verzeichnissen:
- %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
- %windir%\Temp\CitrixLogs\CloudServicesSetup
Protokolle der Daten, die vom Cloud Connector an die Cloud gesendet werden, sind hier gespeichert: %ProgramData%\Citrix\WorkspaceCloud\Logs.
Wenn Protokolle im Verzeichnis “WorkspaceCloud\Logs” eine bestimmte Größe überschritten haben, werden sie gelöscht. Administratoren können diesen Schwellenwert durch Anpassen des folgenden Registrierungsschlüssels steuern: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes.
SSL/TLS-Konfiguration
Die Grundkonfiguration für den Cloud Connector benötigt keine spezielle SSL/TLS-Konfiguration.
Der Cloud Connector muss der Zertifizierungsstelle (CA) vertrauen, die von SSL/TLS-Zertifikaten von Citrix Cloud und von SSL/TLS-Zertifikaten von Microsoft Azure Service Bus verwendet wird. Citrix und Microsoft können Zertifikate und Zertifizierungsstellen zukünftig ändern, sie verwenden jedoch stets Zertifizierungsstellen, die in der Windows-Standardliste vertrauenswürdiger Herausgeber aufgeführt sind.
Jeder Service in Citrix Cloud kann unterschiedliche Anforderungen an die SSL-Konfiguration stellen. Weitere Informationen finden Sie für die verschiedenen Services unter Informationen zur technischen Sicherheit (siehe Liste am Anfang dieses Artikels).
Sicherheitskonformität
Zur Gewährleistung der Sicherheitskonformität ist der Cloud Connector selbstverwaltet. Deaktivieren Sie keine Neustarts und definieren Sie keine anderen Einschränkungen auf dem Cloud Connector. Diese Aktionen verhindern, dass der Cloud Connector bei kritischen Updates aktualisiert wird.
Es ist nicht Aufgabe des Kunden, auf Sicherheitsrisiken zu reagieren. Der Cloud Connector wendet automatisch alle Sicherheitsfixes an.
Citrix Connectorgerät für Cloudservices
Installieren des Connectorgeräts
Das Connectorgerät wird auf Ihrem Hypervisor gehostet. Der Hypervisor muss sich in Ihrem privaten Netzwerk befinden und darf nicht in der DMZ sein.
Stellen Sie sicher, dass sich das Connectorgerät hinter einer Firewall befindet, die den Zugriff standardmäßig blockiert. Verwenden Sie eine Positivliste, um nur erwarteten Datenverkehr vom Connectorgerät zuzulassen.
Stellen Sie sicher, dass aktuelle Sicherheitsupdates auf den Hypervisoren installiert sind, die Ihr Connectorgerät hosten.
Die Netzwerk- und Systemanforderungen für das Connectorgerät sowie Anweisungen für die Installation finden Sie unter Connectorgerät für Cloudservices.
Anmelden beim Hypervisor, der ein Connectorgerät hostet
Das Connector-Gerät enthält einen Dienstschlüssel für die Kommunikation mit Citrix Cloud. Nur die ranghöchsten Administratoren dürfen sich an dem Hypervisor mit dem Connectorgerät anmelden (z. B. für Wartungsvorgänge). Zur allgemeinen Verwaltung eines Citrix Produkts ist es nicht erforderlich, dass ein Administrator sich an diesen Hypervisoren anmeldet. Das Connectorgerät wird selbstverwaltet.
Konfiguration von eingehenden und ausgehenden Ports
Für das Connectorgerät muss der ausgehende Port 443 geöffnet sein und Zugriff auf das Internet bieten. Citrix empfiehlt dringend, dass das Connectorgerät keine eingehenden Ports hat, auf die über das Internet zugegriffen werden kann.
Platzieren Sie das Connectorgerät hinter einem Webproxy, um seine ausgehende Internetkommunikation zu überwachen. Der Webproxy muss jedoch eine SSL/TLS-verschlüsselte Kommunikation unterstützen.
Das Connectorgerät kann andere ausgehende Ports mit Internetzugriff haben. Wenn andere Ports zur Verfügung stehen, kann das Connectorgerät darüber die Netzwerkbandbreite und Leistung optimieren.
Innerhalb des internen Netzwerks muss das Connectorgerät eine Vielzahl eingehender und ausgehender Ports geöffnet haben. Die folgende Tabelle enthält die erforderliche Grundkonfiguration geöffneter Ports.
| Verbindungsrichtung | Port des Connectorgeräts | Externer Port | Service |
|---|---|---|---|
| Eingehend | 443/TCP | Beliebig | Lokale Weboberfläche |
| Ausgehend | 49152-65535/UDP | 123/UDP | NTP |
| Ausgehend | 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| Ausgehend | 67/UDP | 68/UDP | DHCP und Broadcast |
Jeder in Citrix Cloud verwendete Service erweitert die Liste der erforderlichen geöffneten Ports. Weitere Informationen finden Sie in folgenden Ressourcen:
- Informationen zur technischen Sicherheit für die verschiedenen Services (siehe Liste am Anfang dieses Artikels)
- Anforderungen an System und Konnektivität für Citrix Cloud Services
Überwachung der ausgehenden Kommunikation
Das Connectorgerät verwendet Port 443 für die ausgehende Internetkommunikation mit Citrix Cloud-Servern.
Jeder Service in Citrix Cloud erweitert die Liste der Server und internen Ressourcen, die das Connectorgerät im Rahmen des Normalbetriebs kontaktieren kann. Kunden können zudem nicht steuern, welche Daten vom Connectorgerät an Citrix gesendet werden. Weitere Informationen über interne Ressourcen und Daten, die von Services an Citrix gesendet werden, finden Sie in den folgenden Ressourcen:
- Informationen zur technischen Sicherheit für die verschiedenen Services (siehe Liste am Anfang dieses Artikels)
- Anforderungen an System und Konnektivität für Citrix Cloud Services
Anzeigen von Connectorgerät-Protokollen
Sie können einen Diagnosebericht für Ihr Connectorgerät herunterladen, der verschiedene Protokolldateien enthält. Weitere Hinweise zum Abrufen dieses Berichts finden Sie unter Connectorgerät für Cloudservices.
SSL/TLS-Konfiguration
Das Connectorgerät benötigt keine spezielle SSL/TLS-Konfiguration.
Das Connectorgerät muss der Zertifizierungsstelle (ZS) vertrauen, die von SSL/TLS-Zertifikaten von Citrix Cloud verwendet wird. Citrix kann Zertifikate und Zertifizierungsstellen in Zukunft ändern. Verwenden Sie jedoch stets Zertifizierungsstellen, denen das Connectorgerät vertraut.
Jeder Service in Citrix Cloud kann unterschiedliche Anforderungen an die SSL-Konfiguration stellen. Weitere Informationen finden Sie für die verschiedenen Services unter Informationen zur technischen Sicherheit (siehe Liste am Anfang dieses Artikels).
Sicherheitskonformität
Um die Sicherheitskonformität zu gewährleisten, wird das Connectorgerät selbstverwaltet, und Sie können sich nicht über die Konsole anmelden.
Es ist nicht Ihre Aufgabe, auf Sicherheitsrisiken des Connectors zu reagieren. Das Connectorgerät wendet automatisch alle Sicherheitsfixes an.
Stellen Sie sicher, dass aktuelle Sicherheitsupdates auf den Hypervisoren installiert sind, die Ihr Connectorgerät hosten.
Hinweise zum Umgang mit gefährdeten Konten
- Überwachen Sie die Liste der Administratoren in Citrix Cloud und entfernen Sie Administratoren, die nicht vertrauenswürdig sind.
- Deaktivieren Sie alle gefährdeten Konten im Active Directory des Unternehmens.
- Fordern Sie Citrix auf, die geheimen Autorisierungsinformationen zu wechseln, die für alle Cloud Connectors des Kunden gespeichert sind. Führen Sie je nach Schweregrad der Sicherheitsverletzung folgende Aktionen aus:
- Niedriges Risiko: Citrix kann die Geheimnisse im Laufe der Zeit wechseln. Die Cloud Connectors funktionieren weiterhin normal. Die alten Autorisierungsgeheimnisse werden innerhalb von 2-4 Wochen ungültig. Überwachen Sie in dieser Zeit den Cloud Connector, um sicherzustellen, dass es nicht zu unerwarteten Vorgängen kommt.
- Dauerhaft hohes Risiko: Citrix kann alle alten Geheimnisse widerrufen. Vorhandene Cloud Connectors werden funktionsunfähig. Zur Wiederaufnahme des Normalbetriebs müssen Kunden den Cloud Connector auf allen betroffenen Maschinen deinstallieren und neu installieren.