Leitfaden zur sicheren Bereitstellung für die Citrix Cloud-Plattform
Der Leitfaden zur sicheren Bereitstellung von Citrix Cloud gibt eine Übersicht über bewährte Verfahren zur sicheren Verwendung von Citrix Cloud und beschreibt, welche Daten von Citrix Cloud erfasst und verwaltet werden.
Folgende Artikel liefern ähnliche Informationen für andere Services in Citrix Cloud:
- Virtual Apps and Desktops Service – Technische Sicherheit
- Endpoint Management – Technische Sicherheit
- Smart Tools – Technische Sicherheit
- ShareFile - Technische Sicherheit
- Secure Browser Service - Technische Sicherheit
Steuerungsebene
Hinweise für Administratoren
- Verwenden Sie sichere Kennwörter und ändern Sie diese regelmäßig.
- Alle Administratoren innerhalb eines Kundenkontos können andere Administratoren hinzufügen und entfernen. Stellen Sie sicher, dass nur vertrauenswürdige Administratoren auf Citrix Cloud zugreifen können.
- Administratoren eines Kunden erhalten standardmäßig vollen Zugriff auf alle Services. Einige Services bieten die Möglichkeit, den Zugriff eines Administrators zu beschränken. Weitere Informationen hierzu finden Sie in der Dokumentation für den Service.
- Die zweistufige Authentifizierung für Administratoren wird durch Integration von Citrix Cloud in Azure Active Directory erreicht.
Verschlüsselung und Schlüsselverwaltung
In der Steuerungsebene werden keine vertraulichen Kundeninformationen gespeichert. Stattdessen ruft Citrix Cloud Informationen wie Administratorkennwörter bei Bedarf ab (wobei der Administrator explizit zur Eingabe aufgefordert wird). Es liegen keine ruhenden Daten vor, die vertraulich oder verschlüsselt sind, sodass eine Schlüsselverwaltung nicht erforderlich ist.
Für Daten im Übertragungsprozess (Data-in-Flight) verwendet Citrix branchenübliches TLS 1.2 mit den stärksten Verschlüsselungssammlungen. Kunden haben keinen Einfluss auf das verwendete TLS-Zertifikat, da Citrix Cloud auf der Citrix-eigenen Domäne cloud.com gehostet wird. Für einen Zugriff auf Citrix Cloud müssen Kunden einen Browser verwenden, der für TLS 1.2 mit starken Verschlüsselungssammlungen geeignet ist.
Weitere Informationen zur Verschlüsselung und Schlüsselverwaltung in jedem Service finden Sie in der Dokumentation zum Service.
Datenhoheit
Die Citrix Cloud-Steuerungsebene wird in den USA und in der Europäischen Union gehostet. Kunden haben keine Kontrolle darüber.
Der Kunde besitzt und verwaltet die Ressourcenstandorte, die er mit Citrix Cloud verwendet. Ressourcenstandorte können nach Wunsch in jedem Datencenter oder Standort, in der Cloud oder in einer geografischen Region erstellt werden. Alle wichtigen Geschäftsdaten (z. B. Dokumente, Kalkulationstabellen usw.) sind in den Ressourcenstandorten gespeichert und unter Kundenkontrolle.
Die folgenden Ressourcen enthalten Informationen, wie Sie in Content Collaboration den Speicherort Ihrer Daten festlegen:
- Content Collaboration Service-Dokumentation
- Häufig gestellte Fragen zur Sicherheit in ShareFile
- Sicherheit und Compliance in Citrix ShareFile
- ShareFile StorageZones
Andere Services haben u. U. eine Option, wie Sie Daten in anderen Regionen speichern können. Lesen Sie auch für jeden Service die Geografischen Überlegungen und die Informationen über Technische Sicherheit (siehe Liste am Anfang dieses Kapitels).
Überwachungs- und Änderungskontrolle
Es gibt derzeit keine für Kunden sichtbare Überwachungs- oder Änderungskontrolle in der Benutzeroberfläche oder den APIs von Citrix Cloud.
Citrix bietet umfangreiche interne Überwachungsinformationen. Kunden wird empfohlen, sich bei Fragen innerhalb von 30 Tagen an Citrix wenden. Citrix ermittelt dann anhand der Überwachungsprotokolle, welcher Administrator den Vorgang an welchem Tag und über welche IP-Adresse ausgeführt hat.
Einsicht in Sicherheitsfragen
Die Website status.cloud.com bietet Transparenz in Sicherheitsfragen, die sich dauerhaft auf den Kunden auswirken. Die Site protokolliert Status- und Betriebszeitinformationen. Eine Option zum Abonnieren von Updates für die Plattform oder für einzelne Services ist vorhanden.
Citrix Cloud Connector
Installieren des Cloud Connectors
Aus Sicherheits- und Leistungsgründen empfiehlt Citrix, die Cloud Connector-Software nicht auf einem Domänencontroller zu installieren.
Die Maschinen, auf denen der Cloud Connector installiert ist, sollten zudem im privaten Netzwerk des Kunden und nicht in der DMZ sein. Die Netzwerk- und Systemanforderungen des Cloud Connectors sowie Anweisungen für die Installation finden Sie unter Citrix Cloud Connector.
Konfigurieren des Cloud Connectors
Der Kunde ist dafür verantwortlich, die Maschinen, auf denen der Cloud Connector installiert ist, mit Windows-Sicherheitsupdates zu aktualisieren.
Kunden können Antivirensoftware zusammen mit dem Cloud Connector verwenden. Citrix verwendet McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8 für Tests. Citrix unterstützt Kunden, die andere branchenübliche Antivirenprodukte verwenden.
Beschränken Sie im Active Directory (AD) des Kunden das Maschinenkonto des Cloud Connectors auf schreibgeschützten Zugriff. Dies ist die Standardkonfiguration in Active Directory. Kunden können zusätzlich die AD-Protokollierung und -Überwachung im Maschinenkonto des Cloud Connectors aktivieren, um den Zugriff auf Active Directory zu überwachen.
Anmeldung an der Maschine mit installiertem Cloud Connector
Der Cloud Connector enthält vertrauliche Sicherheitsinformationen, z. B. Administratorkennwörter. Nur die ranghöchsten Administratoren sollten in der Lage sein, sich an den Hostmaschinen des Cloud Connectors anzumelden (z. B. für Wartungsvorgänge). Zur allgemeinen Verwaltung eines Citrix Produkts ist es nicht erforderlich, dass ein Administrator sich an diesen Maschinen anmeldet. Der Cloud Connector wird in dieser Hinsicht selbstverwaltet.
Erlauben Sie Endbenutzern nicht, sich an Cloud Connector-Maschinen anzumelden.
Installieren zusätzlicher Software auf Cloud Connector-Maschinen
Kunden können Antivirensoftware und Hypervisortools (bei Installation auf einer virtuellen Maschine) auf Cloud Connector-Maschinen installieren. Es wird jedoch empfohlen, dass Kunden keine weitere Software auf diesen Maschinen installieren. Andere Software kann zusätzliche Sicherheitslücken schaffen und die Sicherheit der gesamten Citrix Cloud-Lösung gefährden.
Konfiguration von eingehenden und ausgehenden Ports
Für den Cloud Connector muss der ausgehende Port 443 geöffnet sein und Zugriff auf das Internet bieten. Der Cloud Connector sollte keine eingehenden Ports haben, auf die über das Internet zugegriffen werden kann.
Kunden können den Cloud Connector hinter einem Webproxy platzieren, um seine ausgehende Internetkommunikation zu überwachen. Der Webproxy muss jedoch SSL/TLS-Verschlüsselung für seine Kommunikation verwenden.
Der Cloud Connector kann zusätzliche ausgehende Ports mit Internetzugriff haben. Wenn zusätzliche Ports zur Verfügung stehen, kann der Cloud Connector darüber die Netzwerkbandbreite und Leistung optimieren.
Innerhalb des internen Netzwerks muss der Cloud Connector eine Vielzahl eingehender und ausgehender Ports geöffnet haben. Die folgende Tabelle enthält die erforderliche Grundkonfiguration geöffneter Ports.
| Clientport | Serverport | Service |
|---|---|---|
| 49152 - 65535/UDP | 123/UDP | W32Time |
| 49152 - 65535/TCP | 135/TCP | RPC-Endpunktzuordnung |
| 49152 - 65535/TCP | 464/TCP/UDP | Kerberos-Kennwortänderung |
| 49152 - 65535/TCP | 49152 - 65535/TCP | RPC für LSA, SAM, Netlogon (*) |
| 49152 - 65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152 - 65535/TCP | 636/TCP | LDAP SSL |
| 49152 - 65535/TCP | 3268/TCP | LDAP GC |
| 49152 - 65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152 - 65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152 - 65535/TCP | 49152 - 65535/TCP | FRS RPC (*) |
| 49152 - 65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 - 65535/TCP/UDP | 445/TCP | SMB |
Jeder in Citrix Cloud verwendete Service erweitert die Liste der erforderlichen geöffneten Ports. Weitere Informationen finden Sie in folgenden Ressourcen:
- Technische Sicherheit für die verschiedenen Services (siehe Liste am Anfang dieses Artikels)
- Anforderungen an die Internetkonnektivität für Citrix Cloud Services
- Portanforderungen für den Application Delivery Management Service
- Portanforderungen für Endpoint Management
Überwachung der ausgehenden Kommunikation
Der Cloud Connector verwendet Port 443 für die ausgehende Internetkommunikation mit Citrix Cloud-Servern und mit Microsoft Azure Service Bus-Servern.
Der Cloud Connector kommuniziert mit Domänencontrollern im lokalen Netzwerk, die sich in der gleichen Active Directory-Gesamtstruktur wie die Maschinen mit dem Cloud Connector befinden.
Im Normalbetrieb kommuniziert der Cloud Connector nur mit Domänencontrollern in Domänen, die unter Use for subscriptions auf der Seite Identitäts- und Zugriffsverwaltung von Citrix Cloud aufgelistet sind.
Bei der Auswahl der Domänen für Use for subscriptions kommuniziert der Cloud Connector mit Domänencontrollern in allen Domänen der Active Directory-Gesamtstruktur, wo sich die Maschinen mit dem Cloud Connector befinden.
Jeder Service in Citrix Cloud erweitert die Liste der Server und internen Ressourcen, die der Cloud Connector im Rahmen des Normalbetriebs kontaktieren kann. Kunden können nicht steuern, welche Daten vom Cloud Connector an Citrix gesendet werden. Weitere Informationen über interne Ressourcen und Daten, die von Services an Citrix gesendet werden, finden Sie in den folgenden Ressourcen:
- Technische Sicherheit für die verschiedenen Services (siehe Liste am Anfang dieses Artikels)
- Anforderungen an die Internetkonnektivität für Citrix Cloud Services
Anzeigen von Cloud Connector-Protokollen
Alle Informationen, die für einen Administrator relevant sind oder eine Aktion erfordern, sind im Windows-Ereignisprotokoll auf der Cloud Connector-Maschine verfügbar.
Sie finden die Installationsprotokolle für den Cloud Connector in folgenden Verzeichnissen:
- %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
- %windir%\Temp\CitrixLogs\CloudServicesSetup
Protokolle der Daten, die vom Cloud Connector an die Cloud gesendet werden, sind hier gespeichert: %Programme%\Citrix\WorkspaceCloud\Logs.
Wenn Protokolle im Verzeichnis “WorkspaceCloud\Logs” eine bestimmte Größe überschritten haben, werden sie gelöscht. Administratoren können diesen Schwellenwert durch Anpassen des folgenden Registrierungsschlüssels steuern: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes.
SSL/TLS-Konfiguration
Die Grundkonfiguration für den Cloud Connector benötigt keine spezielle SSL/TLS-Konfiguration.
Der Cloud Connector muss der Zertifizierungsstelle (CA) vertrauen, die von SSL/TLS-Zertifikaten von Citrix Cloud und von SSL/TLS-Zertifikaten von Microsoft Azure Service Bus verwendet wird. Citrix und Microsoft können Zertifikate und Zertifizierungsstellen zukünftig ändern, sie werden jedoch stets Zertifizierungsstellen verwenden, die in der Windows-Standardliste vertrauenswürdiger Herausgeber aufgeführt sind.
Jeder Service in Citrix Cloud kann unterschiedliche Anforderungen an die SSL-Konfiguration stellen. Weitere Informationen finden Sie für die verschiedenen Services unter den Informationen über Technische Sicherheit (siehe Liste am Anfang dieses Artikels).
Sicherheitskonformität
Zur Gewährleistung der Sicherheitskonformität ist der Cloud Connector selbstverwaltet. Deaktivieren Sie keine Neustarts und definieren Sie keine anderen Einschränkungen auf dem Cloud Connector. Diese Aktionen verhindern, dass der Cloud Connector bei kritischen Updates aktualisiert wird.
Es ist nicht Aufgabe des Kunden, auf Sicherheitsrisiken zu reagieren. Der Cloud Connector wendet automatisch alle Sicherheitsfixes an.
Hinweise zum Umgang mit gefährdeten Konten
- Überwachen Sie die Liste der Administratoren in Citrix Cloud und entfernen Sie Administratoren, die nicht vertrauenswürdig sind.
- Deaktivieren Sie alle gefährdeten Konten im Active Directory des Unternehmens.
- Fordern Sie Citrix auf, die geheimen Autorisierungsinformationen zu wechseln, die für alle Cloud Connectors des Kunden gespeichert sind. Führen Sie je nach Schweregrad der Sicherheitsverletzung folgende Aktionen aus:
- Niedriges Risiko: Citrix kann die Geheimnisse im Laufe der Zeit wechseln. Die Cloud Connectors funktionieren weiterhin normal. Die alten Autorisierungsgeheimnisse werden innerhalb von 2-4 Wochen ungültig. Überwachen Sie in dieser Zeit den Cloud Connector, um sicherzustellen, dass es nicht zu unerwarteten Vorgängen kommt.
- Dauerhaft hohes Risiko: Citrix kann alle alten Geheimnisse widerrufen. Vorhandene Cloud Connectors werden funktionsunfähig. Zur Wiederaufnahme des Normalbetriebs müssen Kunden den Cloud Connector auf allen betroffenen Maschinen deinstallieren und neu installieren.