Danke für das Feedback

Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)

Technische Sicherheitsübersicht

Das folgende Diagramm zeigt die Komponenten in einer Citrix DaaS Standard-Bereitstellung für Azure (früher Citrix Virtual Apps and Desktops Standard für Azure). In diesem Beispiel wird eine VNet-Peering-Verbindung verwendet.

Citrix DaaS für Azure-Komponenten und Azure VNet-Peer-Verbindung

Mit Citrix DaaS für Azure werden die Virtual Delivery Agents (VDAs) des Kunden, die Desktops und Apps bereitstellen, sowie Citrix Cloud Connectors in einem Azure-Abonnement und -Mandanten bereitgestellt, den Citrix verwaltet.

NOTIZ:

Dieser Artikel bietet einen Überblick über die Sicherheitsanforderungen für Kunden, die Citrix DaaS für Azure mit einem Citrix Managed Azure-Abonnement bereitstellen. Einen architektonischen Überblick über die Bereitstellung von Citrix DaaS für Azure mit einem vom Kunden verwalteten Azure-Abonnement, einschließlich Sicherheitsinformationen, finden Sie unter Referenzarchitektur: Virtual Apps and Desktops Service – Azure.

Citrix Cloud-basierte Compliance

Stand Januar 2021 wurde die Verwendung von Citrix Managed Azure Capacity mit verschiedenen Citrix DaaS-Editionen und Workspace Premium Plus nicht auf Citrix SOC 2 (Typ 1 oder 2), ISO 27001, HIPAA oder andere Cloud-Compliance-Anforderungen geprüft. Weitere Informationen zu Citrix Cloud-Zertifizierungen finden Sie im Citrix Trust Center . Schauen Sie regelmäßig vorbei, um sich über Updates zu informieren.

Verantwortung von Citrix

Citrix Cloud Connectors für nicht in die Domäne eingebundene Kataloge

Citrix DaaS für Azure stellt an jedem Ressourcenstandort mindestens zwei Cloud Connectors bereit. Einige Kataloge nutzen möglicherweise denselben Ressourcenstandort, wenn sie sich in derselben Region wie andere Kataloge für denselben Kunden befinden.

Citrix ist für die folgenden Sicherheitsvorgänge auf nicht in die Domäne eingebundenen Katalog-Cloud Connectors verantwortlich:

  • Anwenden von Betriebssystem-Updates und Sicherheitspatches
  • Installieren und Warten von Antivirensoftware
  • Anwenden von Cloud Connector-Softwareupdates

Kunden haben keinen Zugriff auf die Cloud Connectors. Daher ist Citrix vollständig für die Leistung der nicht in die Domäne eingebundenen Katalog-Cloud Connectors verantwortlich.

Azure-Abonnement und Azure Active Directory

Citrix ist für die Sicherheit des für den Kunden erstellten Azure-Abonnements und des Azure Active Directory (AAD) verantwortlich. Citrix stellt die Mandantenisolierung sicher, sodass jeder Kunde über sein eigenes Azure-Abonnement und AAD verfügt und eine gegenseitige Kommunikation zwischen verschiedenen Mandanten verhindert wird. Citrix beschränkt den Zugriff auf AAD außerdem auf Citrix DaaS für Azure und Citrix-Betriebspersonal. Der Zugriff von Citrix auf das Azure-Abonnement jedes Kunden wird geprüft.

Kunden, die nicht in eine Domäne eingebundene Kataloge verwenden, können das von Citrix verwaltete AAD als Authentifizierungsmittel für Citrix Workspace verwenden. Für diese Kunden erstellt Citrix Benutzerkonten mit eingeschränkten Berechtigungen im von Citrix verwalteten AAD. Allerdings können weder Kundenbenutzer noch Administratoren Aktionen auf dem von Citrix verwalteten AAD ausführen. Wenn diese Kunden sich stattdessen für die Verwendung ihres eigenen AAD entscheiden, liegen die alleinige Verantwortung für dessen Sicherheit bei ihnen.

Virtuelle Netzwerke und Infrastruktur

Im Rahmen des Citrix Managed Azure-Abonnements des Kunden erstellt Citrix virtuelle Netzwerke zur Isolierung von Ressourcenstandorten. Innerhalb dieser Netzwerke erstellt Citrix neben Speicherkonten, Key Vaults und anderen Azure-Ressourcen auch virtuelle Maschinen für die VDAs, Cloud Connectors und Image Builder-Maschinen. Citrix ist in Partnerschaft mit Microsoft für die Sicherheit der virtuellen Netzwerke, einschließlich der virtuellen Netzwerk-Firewalls, verantwortlich.

Citrix stellt sicher, dass die standardmäßige Azure-Firewallrichtlinie (Netzwerksicherheitsgruppen) so konfiguriert ist, dass der Zugriff auf Netzwerkschnittstellen in VNet-Peering-Verbindungen eingeschränkt ist. Im Allgemeinen steuert dies den eingehenden Datenverkehr zu VDAs und Cloud Connectors. Einzelheiten finden Sie unter:

Kunden können diese Standard-Firewall-Richtlinie nicht ändern, können aber zusätzliche Firewall-Regeln auf von Citrix erstellten VDA-Maschinen bereitstellen, um beispielsweise den ausgehenden Datenverkehr teilweise einzuschränken. Kunden, die auf von Citrix erstellten VDA-Maschinen virtuelle private Netzwerkclients oder andere Software installieren, mit der Firewall-Regeln umgangen werden können, sind für alle daraus resultierenden Sicherheitsrisiken verantwortlich.

Wenn Sie den Image Builder in Citrix DaaS für Azure verwenden, um ein neues Maschinenimage zu erstellen und anzupassen, werden die Ports 3389-3390 im von Citrix verwalteten VNet vorübergehend geöffnet, sodass der Kunde per RDP auf die Maschine mit dem neuen Maschinenimage zugreifen kann, um es anzupassen.

Verantwortung von Citrix bei der Verwendung von Azure VNet-Peeringverbindungen

Damit VDAs in Citrix DaaS für Azure lokale Domänencontroller, Dateifreigaben oder andere Intranetressourcen kontaktieren können, bietet Citrix DaaS für Azure einen VNet-Peering-Workflow als Konnektivitätsoption. Das von Citrix verwaltete virtuelle Netzwerk des Kunden ist mit einem vom Kunden verwalteten virtuellen Azure-Netzwerk verbunden. Das vom Kunden verwaltete virtuelle Netzwerk kann die Konnektivität mit den lokalen Ressourcen des Kunden mithilfe der Cloud-zu-lokalen Konnektivitätslösung seiner Wahl ermöglichen, beispielsweise Azure ExpressRoute oder iPsec-Tunnel.

Die Verantwortung von Citrix für VNet-Peering beschränkt sich auf die Unterstützung des Workflows und der zugehörigen Azure-Ressourcenkonfiguration zum Herstellen einer Peering-Beziehung zwischen Citrix und vom Kunden verwalteten VNets.

Firewallrichtlinie für Azure VNet-Peeringverbindungen

Citrix öffnet oder schließt die folgenden Ports für eingehenden und ausgehenden Datenverkehr, der eine VNet-Peering-Verbindung verwendet.

Von Citrix verwaltetes VNet mit nicht in die Domäne eingebundenen Maschinen
  • Eingehende Regeln
    • Erlauben Sie die Ports 80, 443, 1494 und 2598 eingehend von VDAs zu Cloud Connectors und von Cloud Connectors zu VDAs.
    • Erlauben Sie den Ports 49152-65535 eingehenden Datenverkehr zu den VDAs aus einem IP-Bereich, der von der Monitor-Shadowing-Funktion verwendet wird. Siehe Von Citrix-Technologien verwendete Kommunikationsports.
    • Alle anderen eingehenden Verbindungen ablehnen. Dies umfasst den Intra-VNet-Datenverkehr von VDA zu VDA und von VDA zu Cloud Connector.
  • Ausgangsregeln
    • Lassen Sie den gesamten ausgehenden Datenverkehr zu.
Von Citrix verwaltetes VNet mit in die Domäne eingebundenen Maschinen
  • Eingehende Regeln:
    • Erlauben Sie die Ports 80, 443, 1494 und 2598 eingehend von den VDAs zu Cloud Connectors und von Cloud Connectors zu VDAs.
    • Erlauben Sie den Ports 49152-65535 eingehenden Datenverkehr zu den VDAs aus einem IP-Bereich, der von der Monitor-Shadowing-Funktion verwendet wird. Siehe Von Citrix-Technologien verwendete Kommunikationsports.
    • Alle anderen eingehenden Verbindungen ablehnen. Dies umfasst den Intra-VNet-Datenverkehr von VDA zu VDA und von VDA zu Cloud Connector.
  • Ausgangsregeln
    • Lassen Sie den gesamten ausgehenden Datenverkehr zu.
Vom Kunden verwaltetes VNet mit in die Domäne eingebundenen Computern
  • Es liegt in der Verantwortung des Kunden, sein VNet richtig zu konfigurieren. Hierzu gehört das Öffnen der folgenden Ports für den Domänenbeitritt.
  • Eingehende Regeln:
    • Erlauben Sie für interne Starts eingehenden Datenverkehr über 443, 1494 und 2598 von ihren Client-IPs.
    • Erlauben Sie eingehenden Datenverkehr über 53, 88, 123, 135-139, 389, 445, 636 vom Citrix VNet (IP-Bereich vom Kunden angegeben).
    • Erlauben Sie eingehenden Datenverkehr über Ports, die mit einer Proxy-Konfiguration geöffnet wurden.
    • Andere vom Kunden erstellte Regeln.
  • Ausgangsregeln:
    • Erlauben Sie für interne Starts ausgehenden Datenverkehr über 443, 1494 und 2598 zum Citrix VNet (IP-Bereich vom Kunden angegeben).
    • Andere vom Kunden erstellte Regeln.

Zugang zur Infrastruktur

Citrix kann auf die von Citrix verwaltete Infrastruktur (Cloud Connectors) des Kunden zugreifen, um bestimmte Verwaltungsaufgaben auszuführen, wie z. B. das Sammeln von Protokollen (einschließlich der Windows-Ereignisanzeige) und das Neustarten von Diensten, ohne den Kunden zu benachrichtigen. Citrix ist dafür verantwortlich, diese Aufgaben sicher und mit minimalen Auswirkungen auf den Kunden auszuführen. Citrix ist außerdem dafür verantwortlich, dass alle Protokolldateien sicher abgerufen, transportiert und verarbeitet werden. Auf Kunden-VDAs kann auf diese Weise nicht zugegriffen werden.

Backups für nicht in die Domäne eingebundene Kataloge

Citrix ist nicht für die Durchführung von Backups von Katalogen verantwortlich, die nicht einer Domäne angehören.

Backups für Maschinenabbilder

Citrix ist für die Sicherung aller auf Citrix DaaS für Azure hochgeladenen Maschinenabbilder verantwortlich, einschließlich der mit dem Image Builder erstellten Abbilder. Citrix verwendet für diese Images lokal redundanten Speicher.

Bastionen für nicht in Domänen eingebundene Kataloge

Das Betriebspersonal von Citrix kann bei Bedarf eine Bastion erstellen, um auf das von Citrix verwaltete Azure-Abonnement des Kunden zuzugreifen und Kundenprobleme zu diagnostizieren und zu beheben, möglicherweise bevor der Kunde von einem Problem Kenntnis erlangt. Zum Erstellen einer Bastion ist für Citrix keine Zustimmung des Kunden erforderlich. Wenn Citrix die Bastion erstellt, erstellt Citrix ein starkes, zufällig generiertes Kennwort für die Bastion und beschränkt den RDP-Zugriff auf Citrix NAT-IP-Adressen. Wenn die Bastion nicht mehr benötigt wird, entsorgt Citrix sie und das Kennwort ist nicht mehr gültig. Die Bastion (und die dazugehörigen RDP-Zugriffsregeln) werden gelöscht, wenn der Vorgang abgeschlossen ist. Citrix kann mit der Bastion nur auf die nicht der Domäne angehörenden Cloud Connectors des Kunden zugreifen. Citrix verfügt nicht über das Kennwort für die Anmeldung bei nicht einer Domäne angehörenden VDAs oder bei einer Domäne angehörenden Cloud Connectors und VDAs.

Firewall-Richtlinie bei Verwendung von Tools zur Fehlerbehebung

Wenn ein Kunde zur Fehlerbehebung die Erstellung einer Bastion-Maschine anfordert, werden die folgenden Sicherheitsgruppenänderungen am von Citrix verwalteten VNet vorgenommen:

  • Erlauben Sie vorübergehend 3389 eingehenden Datenverkehr vom kundenseitig angegebenen IP-Bereich zur Bastion.
  • Erlauben Sie vorübergehend 3389 eingehenden Datenverkehr von der Bastion-IP-Adresse zu jeder Adresse im VNet (VDAs und Cloud Connectors).
  • Blockieren Sie weiterhin den RDP-Zugriff zwischen den Cloud Connectors, VDAs und anderen VDAs.

Wenn ein Kunde den RDP-Zugriff zur Fehlerbehebung aktiviert, werden die folgenden Sicherheitsgruppenänderungen am von Citrix verwalteten VNet vorgenommen:

  • Erlauben Sie vorübergehend 3389 eingehenden Datenverkehr vom vom Kunden angegebenen IP-Bereich an jede Adresse im VNet (VDAs und Cloud Connectors).
  • Blockieren Sie weiterhin den RDP-Zugriff zwischen den Cloud Connectors, VDAs und anderen VDAs.

Vom Kunden verwaltete Abonnements

Bei vom Kunden verwalteten Abonnements hält Citrix bei der Bereitstellung der Azure-Ressourcen die oben genannten Verantwortlichkeiten ein. Nach der Bereitstellung liegt die Verantwortung für alles oben genannte beim Kunden, da dieser Eigentümer des Azure-Abonnements ist.

Vom Kunden verwaltete Abonnements

Kundenverantwortung

VDAs und Maschinenabbilder

Der Kunde ist für alle Aspekte der auf VDA-Maschinen installierten Software verantwortlich, einschließlich:

  • Betriebssystem-Updates und Sicherheitspatches
  • Antivirus und Antimalware
  • VDA-Softwareupdates und Sicherheitspatches
  • Zusätzliche Software-Firewall-Regeln (insbesondere für ausgehenden Datenverkehr)
  • Befolgen Sie die Sicherheitsüberlegungen und Best Practices von Citrix

Citrix stellt ein vorbereitetes Image bereit, das als Ausgangspunkt gedacht ist. Kunden können dieses Image für Proof-of-Concept- oder Demonstrationszwecke oder als Grundlage für die Erstellung ihres eigenen Maschinenimages verwenden. Citrix garantiert nicht die Sicherheit dieses vorbereiteten Images. Citrix versucht, das Betriebssystem und die VDA-Software auf dem vorbereiteten Image auf dem neuesten Stand zu halten und aktiviert Windows Defender auf diesen Images.

Verantwortung des Kunden bei Verwendung von VNet-Peering

Der Kunde muss alle in (vom Kunden verwaltetes VNet mit in die Domäne eingebundenen Maschinen) angegebenen Ports öffnen.

Wenn VNet-Peering konfiguriert ist, ist der Kunde für die Sicherheit seines eigenen virtuellen Netzwerks und dessen Konnektivität mit seinen lokalen Ressourcen verantwortlich. Der Kunde ist auch für die Sicherheit des eingehenden Datenverkehrs aus dem von Citrix verwalteten virtuellen Peering-Netzwerk verantwortlich. Citrix ergreift keine Maßnahmen, um den Datenverkehr vom von Citrix verwalteten virtuellen Netzwerk zu den lokalen Ressourcen des Kunden zu blockieren.

Kunden haben folgende Möglichkeiten, den eingehenden Datenverkehr einzuschränken:

  • Weisen Sie dem von Citrix verwalteten virtuellen Netzwerk einen IP-Block zu, der an keiner anderen Stelle im lokalen Netzwerk des Kunden oder im vom Kunden verwalteten verbundenen virtuellen Netzwerk verwendet wird. Dies ist für VNet-Peering erforderlich.
  • Fügen Sie im virtuellen Netzwerk und im lokalen Netzwerk des Kunden Azure-Netzwerksicherheitsgruppen und Firewalls hinzu, um den Datenverkehr aus dem von Citrix verwalteten IP-Block zu blockieren oder einzuschränken.
  • Setzen Sie Maßnahmen wie Intrusion Prevention-Systeme, Software-Firewalls und Verhaltensanalyse-Engines im virtuellen Netzwerk und im lokalen Netzwerk des Kunden ein und zielen Sie dabei auf den von Citrix verwalteten IP-Block ab.

Proxy

Der Kunde kann wählen, ob er für den ausgehenden Datenverkehr vom VDA einen Proxy verwenden möchte. Bei Verwendung eines Proxys ist der Kunde verantwortlich für:

  • Konfigurieren der Proxy-Einstellungen auf dem VDA-Maschinenimage oder, wenn der VDA einer Domäne angehört, mithilfe der Active Directory-Gruppenrichtlinie.
  • Wartung und Sicherheit des Proxys.

Die Verwendung von Proxys mit Citrix Cloud Connectors oder anderer von Citrix verwalteter Infrastruktur ist nicht zulässig.

Katalogausfallsicherheit

Citrix bietet drei Katalogtypen mit unterschiedlichen Ausfallsicherheitsgraden:

  • Statisch: Jeder Benutzer ist einem einzelnen VDA zugewiesen. Dieser Katalogtyp bietet keine hohe Verfügbarkeit. Wenn der VDA eines Benutzers ausfällt, muss er zur Wiederherstellung auf einen neuen platziert werden. Azure bietet ein SLA von 99,5 % für Einzelinstanz-VMs. Der Kunde kann das Benutzerprofil zwar weiterhin sichern, allerdings gehen sämtliche am VDA vorgenommenen Anpassungen (wie etwa die Installation von Programmen oder die Konfiguration von Windows) verloren.
  • Zufällig: Jeder Benutzer wird beim Start zufällig einem Server-VDA zugewiesen. Dieser Katalogtyp bietet hohe Verfügbarkeit durch Redundanz. Wenn ein VDA ausfällt, gehen keine Informationen verloren, da sich das Benutzerprofil woanders befindet.
  • Windows 10 Multisession: Dieser Katalogtyp funktioniert auf die gleiche Weise wie der Zufallstyp, verwendet jedoch Windows 10-Workstation-VDAs anstelle von Server-VDAs.

Sicherungen für in die Domäne eingebundene Kataloge

Wenn der Kunde domänengebundene Kataloge mit VNet-Peering verwendet, ist er für die Sicherung seiner Benutzerprofile verantwortlich. Citrix empfiehlt Kunden, lokale Dateifreigaben zu konfigurieren und Richtlinien für ihr Active Directory oder ihre VDAs festzulegen, um Benutzerprofile aus diesen Dateifreigaben abzurufen. Für die Sicherung und Verfügbarkeit dieser Fileshares ist der Kunde verantwortlich.

Notfallwiederherstellung

Im Falle eines Azure-Datenverlusts stellt Citrix so viele Ressourcen wie möglich im von Citrix verwalteten Azure-Abonnement wieder her. Citrix versucht, die Cloud Connectors und VDAs wiederherzustellen. Wenn Citrix diese Elemente nicht wiederherstellen kann, liegt es in der Verantwortung des Kunden, einen neuen Katalog zu erstellen. Citrix geht davon aus, dass Maschinenabbilder gesichert sind und dass Kunden ihre Benutzerprofile gesichert haben, sodass der Katalog neu erstellt werden kann.

Im Falle des Verlusts einer gesamten Azure-Region ist der Kunde dafür verantwortlich, sein vom Kunden verwaltetes virtuelles Netzwerk in einer neuen Region neu aufzubauen und ein neues VNet-Peering innerhalb von Citrix DaaS für Azure zu erstellen.

Gemeinsame Verantwortung von Citrix und Kunde

Citrix Cloud Connector für domänengebundene Kataloge

Citrix DaaS für Azure stellt an jedem Ressourcenstandort mindestens zwei Cloud Connectors bereit. Einige Kataloge nutzen möglicherweise denselben Ressourcenstandort, wenn sie sich in derselben Region, demselben VNet-Peering und derselben Domäne befinden wie andere Kataloge für denselben Kunden. Citrix konfiguriert die der Domäne des Kunden beigetretenen Cloud Connectors für die folgenden Standardsicherheitseinstellungen im Image:

  • Betriebssystem-Updates und Sicherheitspatches
  • Antivirensoftware
  • Cloud Connector-Softwareupdates

Kunden haben normalerweise keinen Zugriff auf die Cloud Connectors. Sie können jedoch möglicherweise Zugriff erhalten, indem Sie die Schritte zur Katalog-Fehlerbehebung verwenden und sich mit Domänenanmeldeinformationen anmelden. Für alle Änderungen, die der Kunde bei der Anmeldung über die Bastion vornimmt, ist er selbst verantwortlich.

Kunden haben außerdem über die Active Directory-Gruppenrichtlinie Kontrolle über die der Domäne beigetretenen Cloud Connectors. Der Kunde ist dafür verantwortlich, dass die für den Cloud Connector geltenden Gruppenrichtlinien sicher und sinnvoll sind. Wenn der Kunde beispielsweise Betriebssystemupdates mithilfe der Gruppenrichtlinie deaktiviert, liegt es in der Verantwortung des Kunden, Betriebssystemupdates auf den Cloud Connectors durchzuführen. Der Kunde kann außerdem mithilfe der Gruppenrichtlinie eine strengere Sicherheit als die Standardeinstellungen des Cloud Connectors erzwingen, beispielsweise durch die Installation einer anderen Antivirensoftware. Generell empfiehlt Citrix, dass Kunden Cloud Connectors in ihre eigene Active Directory-Organisationseinheit ohne Richtlinien einfügen, da so sichergestellt wird, dass die von Citrix verwendeten Standardeinstellungen problemlos angewendet werden können.

Fehlerbehebung

Für den Fall, dass der Kunde Probleme mit dem Katalog in Citrix DaaS für Azure hat, gibt es zwei Möglichkeiten zur Fehlerbehebung: die Verwendung von Bastionen und die Aktivierung des RDP-Zugriffs. Beide Optionen bergen ein Sicherheitsrisiko für den Kunden. Der Kunde muss sich über dieses Risiko im Klaren sein und sich damit einverstanden erklären, es einzugehen, bevor er diese Optionen nutzt.

Citrix ist dafür verantwortlich, die erforderlichen Ports zum Durchführen von Fehlerbehebungsvorgängen zu öffnen und zu schließen und einzuschränken, auf welche Maschinen während dieser Vorgänge zugegriffen werden kann.

Bei Bastions- oder RDP-Zugriff ist der aktive Benutzer, der den Vorgang ausführt, für die Sicherheit der Maschinen verantwortlich, auf die zugegriffen wird. Wenn der Kunde über RDP auf den VDA oder Cloud Connector zugreift und sich versehentlich einen Virus einfängt, trägt der Kunde die Verantwortung. Wenn Citrix-Supportmitarbeiter auf diese Maschinen zugreifen, liegt es in der Verantwortung dieser Mitarbeiter, die Vorgänge sicher durchzuführen. Die Verantwortung für etwaige Sicherheitslücken, die durch den Zugriff auf die Bastion oder andere Rechner in der Bereitstellung offengelegt werden (z. B. die Verantwortung des Kunden, IP-Bereiche zur Zulassungsliste hinzuzufügen, die Verantwortung von Citrix, IP-Bereiche korrekt zu implementieren), wird an anderer Stelle in diesem Dokument behandelt.

In beiden Szenarien ist Citrix dafür verantwortlich, Firewall-Ausnahmen korrekt zu erstellen, um RDP-Verkehr zuzulassen. Citrix ist auch dafür verantwortlich, diese Ausnahmen aufzuheben, nachdem der Kunde die Bastion entsorgt oder den RDP-Zugriff über Citrix DaaS für Azure beendet.

Bastionen

Citrix kann Bastionen im von Citrix verwalteten virtuellen Netzwerk des Kunden innerhalb des von Citrix verwalteten Abonnements des Kunden erstellen, um Probleme entweder proaktiv (ohne Benachrichtigung des Kunden) oder als Reaktion auf ein vom Kunden gemeldetes Problem zu diagnostizieren und zu beheben. Bei der Bastion handelt es sich um eine Maschine, auf die der Kunde über RDP zugreifen und die er dann verwenden kann, um über RDP auf die VDAs und (für domänenverbundene Kataloge) Cloud Connectors zuzugreifen, um Protokolle zu sammeln, Dienste neu zu starten oder andere Verwaltungsaufgaben auszuführen. Beim Erstellen einer Bastion wird standardmäßig eine externe Firewall-Regel geöffnet, um RDP-Verkehr von einem vom Kunden angegebenen IP-Adressbereich zur Bastion-Maschine zuzulassen. Außerdem wird eine interne Firewall-Regel geöffnet, um den Zugriff auf die Cloud Connectors und VDAs über RDP zu ermöglichen. Das Öffnen dieser Regeln stellt ein großes Sicherheitsrisiko dar.

Der Kunde ist dafür verantwortlich, ein sicheres Kennwort für das lokale Windows-Konto bereitzustellen. Der Kunde ist außerdem dafür verantwortlich, einen externen IP-Adressbereich bereitzustellen, der RDP-Zugriff auf die Bastion ermöglicht. Wenn der Kunde sich dafür entscheidet, keinen IP-Bereich anzugeben (und so jedem den RDP-Zugriff zulässt), ist der Kunde für alle Zugriffsversuche von böswilligen IP-Adressen verantwortlich.

Der Kunde ist außerdem dafür verantwortlich, die Bastion nach Abschluss der Fehlerbehebung zu löschen. Der Bastion-Host bietet zusätzliche Angriffsfläche, daher fährt Citrix die Maschine acht (8) Stunden nach dem Einschalten automatisch herunter. Citrix löscht eine Bastion jedoch niemals automatisch. Wenn der Kunde sich für eine Nutzung der Bastion über einen längeren Zeitraum entscheidet, liegt es in seiner Verantwortung, diese mit Patches und Updates zu versehen. Citrix empfiehlt, eine Bastion nur einige Tage lang zu verwenden, bevor sie gelöscht wird. Wenn der Kunde eine aktuelle Bastion möchte, kann er die aktuelle Bastion löschen und dann eine neue Bastion erstellen, die eine neue Maschine mit den aktuellsten Sicherheitspatches bereitstellt.

RDP-Zugriff

Wenn das VNet-Peering des Kunden für domänengebundene Kataloge funktioniert, kann dieser den RDP-Zugriff von seinem Peering-VNet auf sein von Citrix verwaltetes VNet aktivieren. Wenn der Kunde diese Option nutzt, ist er für den Zugriff auf die VDAs und Cloud Connectors über das VNet-Peering verantwortlich. Quell-IP-Adressbereiche können angegeben werden, sodass der RDP-Zugriff auch innerhalb des internen Netzwerks des Kunden weiter eingeschränkt werden kann. Der Kunde muss Domänenanmeldeinformationen verwenden, um sich bei diesen Maschinen anzumelden. Wenn der Kunde zur Lösung eines Problems mit dem Citrix Support zusammenarbeitet, muss er diese Anmeldeinformationen möglicherweise an das Supportpersonal weitergeben. Nachdem das Problem behoben ist, liegt es in der Verantwortung des Kunden, den RDP-Zugriff zu deaktivieren. Das Offenhalten des RDP-Zugriffs vom Peering- oder lokalen Netzwerk des Kunden stellt ein Sicherheitsrisiko dar.

Domänenanmeldeinformationen

Wenn der Kunde sich für die Verwendung eines einer Domäne angehörenden Katalogs entscheidet, ist er dafür verantwortlich, Citrix DaaS für Azure ein Domänenkonto (Benutzername und Kennwort) mit Berechtigungen zum Anfügen von Maschinen an die Domäne bereitzustellen. Bei der Bereitstellung von Domänenanmeldeinformationen ist der Kunde für die Einhaltung der folgenden Sicherheitsgrundsätze verantwortlich:

  • Überprüfbar: Das Konto sollte speziell für die Nutzung von Citrix DaaS für Azure erstellt werden, damit leicht überprüft werden kann, wofür das Konto verwendet wird.
  • Geltungsbereich: Das Konto benötigt nur Berechtigungen zum Hinzufügen von Computern zu einer Domäne. Es sollte sich nicht um einen vollwertigen Domänenadministrator handeln.
  • Sicher: Für das Konto sollte ein sicheres Passwort festgelegt werden.

Citrix ist für die sichere Speicherung dieses Domänenkontos in einem Azure Key Vault im von Citrix verwalteten Azure-Abonnement des Kunden verantwortlich. Das Konto wird nur abgerufen, wenn für einen Vorgang das Kennwort des Domänenkontos erforderlich ist.

Weitere Informationen

Weitere Informationen finden Sie unter:

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.
Technische Sicherheitsübersicht