Technische Sicherheit im Überblick

Das folgende Diagramm zeigt die Komponenten in einer Citrix Managed Desktops Bereitstellung.

Citrix Managed Desktops Komponenten

Mit Citrix Managed Desktops werden die Virtual Delivery Agents (VDAs) des Kunden, die Desktops und Apps bereitstellen, sowie die Citrix Cloud Connectors in einem Azure-Abonnement und -Mandanten bereitgestellt, den Citrix verwaltet.

Citrix Zuständigkeit

Citrix Cloud Connectors für Kataloge ohne Domäne

Citrix Managed Desktops stellen mindestens zwei Cloud Connectors an jedem Ressourcenstandort bereit. Einige Kataloge können einen Ressourcenstandort gemeinsam nutzen, wenn sie sich in derselben Region befinden wie andere Kataloge für denselben Kunden.

Citrix ist für die folgenden Sicherheitsvorgänge auf nicht domänenverbundenen Katalog Cloud Connectors verantwortlich:

  • Anwenden von Betriebssystemupdates und Sicherheitspatches
  • Installieren und Verwalten von Antivirensoftware
  • Anwenden von Cloud Connector -Softwareupdates

Kunden haben keinen Zugriff auf die Cloud Connectors. Daher ist Citrix vollständig verantwortlich für die Leistung des nicht domänenverbundenen Katalogs Cloud Connectors.

Azure-Abonnement und Azure Active Directory

Citrix ist für die Sicherheit des Azure-Abonnements und Azure Active Directory (AAD) verantwortlich, die für den Kunden erstellt werden. Citrix stellt die Tenant-Isolation sicher, sodass jeder Kunde sein eigenes Azure-Abonnement und AAD hat, und Cross-Talk zwischen verschiedenen Mandanten wird verhindert. Citrix schränkt den Zugriff auf AAD auch nur auf den Citrix Managed Desktops Dienst und Citrix Operations Personal ein. Der Zugriff von Citrix auf das Azure-Abonnement jedes Kunden wird überwacht.

Kunden, die Kataloge ohne Domäne verwenden, können den von Citrix verwalteten AAD als Authentifizierungsmittel für Citrix Workspace verwenden. Für diese Kunden erstellt Citrix Benutzerkonten mit eingeschränkten Berechtigungen im von Citrix verwalteten AAD. Weder die Benutzer noch Administratoren können jedoch Aktionen auf dem von Citrix verwalteten AAD ausführen. Wenn diese Kunden stattdessen ihren eigenen AAD verwenden, sind sie für ihre Sicherheit vollständig verantwortlich.

Virtuelle Netzwerke und Infrastruktur

Im Citrix verwalteten Azure-Abonnement des Kunden erstellt Citrix virtuelle Netzwerke zum Isolieren von Ressourcenstandorten. In diesen Netzwerken erstellt Citrix neben Speicherkonten, Schlüsseldepots und anderen Azure-Ressourcen virtuelle Maschinen für die VDAs, Cloud Connectors und Image-Builder-Maschinen. Citrix ist in Partnerschaft mit Microsoft für die Sicherheit der virtuellen Netzwerke verantwortlich, einschließlich virtueller Netzwerk-Firewalls.

Citrix stellt sicher, dass die standardmäßige Azure-Firewallrichtlinie so konfiguriert ist, dass der gesamte eingehende Datenverkehr zu VDAs und Cloud Connectors verhindert wird, mit Ausnahme der Ports 80, 443, 1494 und 2598 für bidirektionalen Datenverkehr zwischen VDAs und Cloud Connectors. Die standardmäßige Azure-Firewallrichtlinie erlaubt auch den gesamten ausgehenden Datenverkehr. Kunden können diese Standard-Firewallrichtlinie nicht ändern, können jedoch zusätzliche Firewallregeln auf von Citrix erstellten VDA-Maschinen bereitstellen, um beispielsweise ausgehenden Datenverkehr teilweise zu beschränken. Kunden, die virtuelle private Netzwerkclients oder andere Software installieren, die Firewallregeln umgehen kann, auf von Citrix erstellten VDA-Maschinen sind für etwaige Sicherheitsrisiken verantwortlich.

VNet-Peering

Damit VDAs in Citrix Managed Desktops lokale Domänencontroller, Dateifreigaben oder andere Intranetressourcen kontaktieren können, stellt Citrix Managed Desktops einen VNet-Peering-Workflow als Konnektivitätsoption bereit. Das von Citrix verwaltete virtuelle Netzwerk des Kunden wird mit einem vom Kunden verwalteten virtuellen Azure-Netzwerk verbunden. Das vom Kunden verwaltete virtuelle Netzwerk kann die Konnektivität mit den lokalen Ressourcen des Kunden mithilfe der Cloud-zu-lokalen Konnektivitätslösung nach Wahl des Kunden ermöglichen, z. B. Azure ExpressRoute oder IPSec-Tunnel.

Die Citrix Zuständigkeit für VNet-Peering beschränkt sich auf die Unterstützung des Workflows und der zugehörigen Azure-Ressourcenkonfiguration zum Herstellen einer Peering-Beziehung zwischen Citrix und vom Kunden verwalteten VNETs.

SD-WAN-Konnektivität

Citrix unterstützt eine vollautomatische Methode zur Bereitstellung virtueller Citrix SD-WAN Instanzen, um die Konnektivität zwischen Citrix Managed Desktops und lokalen Ressourcen zu ermöglichen. Citrix SD-WAN Konnektivität hat im Vergleich zum VNet-Peering eine Reihe von Vorteilen, darunter:

Hohe Zuverlässigkeit und Sicherheit von VDA-zu-Datacenter- und VDA-zu-Branch-Verbindungen (ICA).

  • Beste Benutzererfahrung für Büroangestellte mit erweiterten QoS-Funktionen und VoIP-Optimierungen.
  • Integrierte Möglichkeit zur Prüfung, Priorisierung und Berichterstattung über den Citrix HDX-Netzwerkverkehr und andere Anwendungsauslastung.

Citrix erfordert, dass Kunden, die die SD-WAN-Konnektivität für Citrix Managed Desktops nutzen möchten, SD-WAN Orchestrator für die Verwaltung ihrer Citrix SD-WAN Netzwerke verwenden.

Das folgende Diagramm zeigt die hinzugefügten Komponenten in einer Citrix Managed Desktops Bereitstellung mit SD-WAN-Konnektivität.

Citrix Managed Desktops mit SD-WAN-Konnektivität

Die Citrix SD-WAN-Bereitstellung für Citrix Managed Desktops ähnelt der standardmäßigen Azure-Bereitstellungskonfiguration für Citrix SD-WAN. Weitere Informationen finden Sie unter Bereitstellen der Citrix SD-WAN Standard Edition-Instanz in Azure. In einer Hochverfügbarkeitskonfiguration wird ein aktives/Standby-Paar von SD-WAN-Instanzen mit Azure-Load Balancern als Gateway zwischen dem Subnetz, das VDAs und Cloud Connectors enthält, und dem Internet bereitgestellt. In einer Nicht-HA-Konfiguration wird nur eine einzelne SD-WAN-Instanz als Gateway bereitgestellt. Netzwerkschnittstellen der virtuellen SD-WAN-Appliances werden Adressen aus einem separaten kleinen Adressbereich zugewiesen, der in zwei Subnetze aufgeteilt ist.

Bei der Konfiguration der SD-WAN-Konnektivität nimmt Citrix einige Änderungen an der oben beschriebenen Netzwerkkonfiguration verwalteter Desktops vor. Insbesondere wird der gesamte ausgehende Datenverkehr aus dem von Citrix verwalteten VNet, einschließlich des Datenverkehrs zu Internetzielen, über die Cloud SD-WAN-Instanz geleitet. Die SD-WAN-Instanz ist auch als DNS-Server für das von Citrix verwaltete VNET konfiguriert.

Citrix verwendet Azure-Firewallrichtlinien (Netzwerksicherheitsgruppen) und öffentliche IP-Adresszuweisung, um den Zugriff auf Netzwerkschnittstellen virtueller SD-WAN-Appliances zu beschränken:

  • Nur WAN- und Verwaltungsschnittstellen werden öffentliche IP-Adressen zugewiesen und ermöglichen ausgehende Konnektivität mit dem Internet.
  • LAN-Schnittstellen, die als Gateways für das von Citrix verwaltete VNet fungieren, dürfen nur Netzwerkverkehr mit virtuellen Maschinen auf demselben VNet austauschen.
  • WAN-Schnittstellen beschränken eingehenden Datenverkehr auf den UDP-Port 4980 (verwendet von Citrix SD-WAN für virtuelle Pfadkonnektivität) und verweigern ausgehenden Datenverkehr zum VNet.
  • Management-Ports ermöglichen eingehenden Datenverkehr zu den Ports 443 (HTTPS) und 22 (SSH).
  • HA-Schnittstellen dürfen nur den Steuerverkehr untereinander austauschen.

Der Verwaltungszugriff auf die virtuellen SD-WAN-Instanzen erfordert eine Administratoranmeldung und ein Kennwort. Jeder SD-WAN-Instanz wird ein eindeutiges, zufällig sicheres Kennwort zugewiesen, das von SD-WAN-Administratoren für die Remoteanmeldung und Fehlerbehebung über die SD-WAN Orchestrator Benutzeroberfläche, die Verwaltungsschnittstelle der virtuellen Appliance und die CLI verwendet werden kann.

Wie andere mandantenspezifische Ressourcen sind virtuelle SD-WAN-Instanzen, die in einem bestimmten Kunden-VNet bereitgestellt werden, vollständig von allen anderen VNETs isoliert.

Wenn der Kunde die Citrix SD-WAN Konnektivität aktiviert, automatisiert Citrix die anfängliche Bereitstellung virtueller SD-WAN-Instanzen, die mit Citrix Managed Desktops verwendet werden, verwaltet die zugrunde liegenden Azure-Ressourcen (virtuelle Maschinen, Lastausgleichsdienste usw.), bietet sichere und effiziente Standardeinstellungen für die anfänglichen -Konfiguration virtueller SD-WAN-Instanzen und ermöglicht die laufende Wartung und Fehlerbehebung über SD-WAN Orchestrator. Citrix ergreift auch angemessene Maßnahmen, um die automatische Validierung der SD-WAN-Netzwerkkonfiguration durchzuführen, auf bekannte Sicherheitsrisiken zu überprüfen und entsprechende Warnungen über SD-WAN Orchestrator anzuzeigen.

Zugang zur Infrastruktur

Citrix kann auf die von Citrix verwaltete Infrastruktur (Cloud Connectors) des Kunden zugreifen, um bestimmte administrative Aufgaben wie das Sammeln von Protokollen (einschließlich der Windows-Ereignisanzeige) und das Neustarten von Diensten ohne Benachrichtigung des Kunden auszuführen. Citrix ist für die sichere und sichere Ausführung dieser Aufgaben und mit minimalen Auswirkungen auf den Kunden verantwortlich. Citrix ist auch dafür verantwortlich, dass alle Protokolldateien sicher und sicher abgerufen, transportiert und verarbeitet werden. Auf Kunden-VDAs kann auf diese Weise nicht zugegriffen werden.

Sicherungen für nicht domänengebundene Kataloge

Citrix ist nicht für die Durchführung von Sicherungen von Katalogen, die nicht in die Domäne eingebunden sind, verantwortlich.

Backups für Master-Images

Citrix ist für die Sicherung aller Master-Images verantwortlich, die auf Citrix Managed Desktops hochgeladen wurden, einschließlich Images, die mit dem Image-Generator erstellt wurden. Citrix verwendet lokal redundanten Speicher für diese Images.

Bastionen für nicht domaingebundene Kataloge

Citrix Betriebspersonal haben die Möglichkeit, bei Bedarf eine Bastion zu erstellen, um auf das von Citrix verwaltete Azure-Abonnement des Kunden zuzugreifen, um Kundenprobleme zu diagnostizieren und zu beheben, möglicherweise bevor der Kunde ein Problem kennt. Citrix benötigt nicht die Zustimmung des Kunden, eine Bastion zu erstellen. Wenn Citrix die Bastion erstellt, erstellt Citrix ein starkes zufällig generiertes Kennwort für die Bastion und schränkt den RDP-Zugriff auf Citrix NAT-IP-Adressen ein. Wenn die Bastion nicht mehr benötigt wird, verfügt Citrix über diese und das Passwort ist nicht mehr gültig. Die Bastion (und die zugehörigen RDP-Zugriffsregeln) werden nach Abschluss der Operation entsorgt. Citrix kann mit der Bastion nur auf die Cloud Connectors des Kunden zugreifen, die nicht in die Domäne eingebunden sind. Citrix verfügt nicht über das Kennwort, um sich bei VDAs ohne Domäne oder in der Domäne verbundenen Cloud Connectors und VDAs anzumelden.

Vom Kunden verwaltete Abonnements

Bei kundenverwalteten Abonnements hält Citrix bei der Bereitstellung der Azure-Ressourcen die oben genannten Verantwortlichkeiten ein. Nach der Bereitstellung fällt alles oben in die Verantwortung des Kunden, da der Kunde Eigentümer des Azure-Abonnements ist.

Vom Kunden verwaltete Abonnements

Kundenverantwortung

VDAs und Master-Images

Der Kunde ist für alle Aspekte der auf VDA-Maschinen installierten Software verantwortlich, einschließlich:

  • Betriebssystem-Updates und Sicherheits-Patches
  • Antivirus und Antischadsoftware
  • VDA-Softwareupdates und Sicherheitspatches
  • Zusätzliche Software-Firewall-Regeln (insbesondere ausgehender Datenverkehr)

Citrix stellt ein vorbereitetes Image bereit, das als Ausgangspunkt gedacht ist. Kunden können dieses Bild für Proof-of-of-Concept oder Demonstrationszwecke oder als Basis für die Erstellung eines eigenen Masterimages verwenden. Citrix garantiert nicht die Sicherheit dieses vorbereiteten Abbilds. Citrix versucht, das Betriebssystem und die VDA-Software auf dem vorbereiteten Image auf dem neuesten Stand zu halten und Windows Defender für diese Images zu aktivieren.

VNet-Peering

Wenn VNet-Peering konfiguriert ist, ist der Kunde für die Sicherheit seines eigenen virtuellen Netzwerks und seine Konnektivität mit seinen lokalen Ressourcen verantwortlich. Der Kunde ist auch für die Sicherheit des eingehenden Datenverkehrs aus dem von Citrix verwalteten Peered-virtuellen Netzwerk verantwortlich. Citrix ergreift keine Maßnahmen, um den Datenverkehr vom von Citrix verwalteten virtuellen Netzwerk zu den lokalen Ressourcen des Kunden zu blockieren.

Kunden haben die folgenden Optionen, um eingehenden Datenverkehr zu beschränken:

  • Verteilen Sie dem von Citrix verwalteten virtuellen Netzwerk einen IP-Block, der an anderer Stelle im lokalen Netzwerk des Kunden oder im vom Kunden verwalteten virtuellen Netzwerk nicht verwendet wird. Dies ist für VNet-Peering erforderlich.
  • Fügen Sie Azure-Netzwerksicherheitsgruppen und -Firewalls im virtuellen Netzwerk und im lokalen Netzwerk des Kunden hinzu, um den Datenverkehr aus dem von Citrix verwalteten IP-Block zu blockieren oder zu beschränken.
  • Stellen Sie Maßnahmen wie Intrusion Prevention Systeme, Software-Firewalls und Verhaltensanalyse-Engines im virtuellen Netzwerk und lokalen Netzwerk des Kunden bereit und richten Sie sich an den von Citrix verwalteten IP-Block.

SD-WAN-Konnektivität

Bei der Konfiguration der SD-WAN-Konnektivität haben Kunden die volle Flexibilität, virtuelle SD-WAN-Instanzen, die mit Citrix Managed Desktops verwendet werden, entsprechend ihren Netzwerkanforderungen zu konfigurieren, mit Ausnahme einiger Elemente, die erforderlich sind, um den ordnungsgemäßen Betrieb von SD-WAN im Citrix verwalteten VNet sicherzustellen. Zu den Aufgaben des Kunden gehören:

  • Entwurf und Konfiguration von Routing- und Firewallregeln, einschließlich Regeln für DNS- und Internetdatenverkehr.
  • Wartung der SD-WAN-Netzwerkkonfiguration.
  • Überwachung des Betriebszustands des Netzes.
  • Rechtzeitige Bereitstellung von Citrix SD-WAN -Softwareupdates oder Sicherheitsupdates. Da alle Instanzen von Citrix SD-WAN in einem Kundennetzwerk dieselbe Version der SD-WAN-Software ausführen müssen, müssen die Bereitstellungen aktueller Softwareversionen für CMD SD-WAN-Instanzen von Kunden entsprechend ihren Netzwerkwartungszeitplänen und -beschränkungen verwaltet werden.

Falsche Konfiguration von SD-WAN-Routing- und Firewallregeln oder Missmanagement von SD-WAN-Verwaltungskennwörtern kann zu Sicherheitsrisiken für virtuelle Ressourcen in Citrix Managed Desktops und lokale Ressourcen führen, die über virtuelle Citrix SD-WAN -Pfade erreichbar sind. Ein weiteres mögliches Sicherheitsrisiko besteht darin, dass die Citrix SD-WAN -Software nicht auf die neueste verfügbare Patch-Version aktualisiert wird. Während SD-WAN Orchestrator und andere Citrix Cloud-Dienste die Mittel zur Bewältigung solcher Risiken bieten, sind die Kunden letztlich dafür verantwortlich, dass virtuelle SD-WAN-Instanzen ordnungsgemäß konfiguriert werden.

Proxyserver

Der Kunde kann wählen, ob ein Proxy für ausgehenden Datenverkehr vom VDA verwendet werden soll. Wenn ein Proxy verwendet wird, ist der Kunde verantwortlich für:

  • Konfigurieren der Proxyeinstellungen auf dem VDA-Masterimage oder, wenn der VDA einer Domäne beigetreten ist, mithilfe der Active Directory Gruppenrichtlinie.
  • Wartung und Sicherheit des Proxys.

Proxys sind nicht für die Verwendung mit Citrix Cloud Connectors oder einer anderen von Citrix verwalteten Infrastruktur zulässig.

Katalog-Ausfallsicherheit

Citrix bietet drei Arten von Katalogen mit unterschiedlichen Ausfallgraden:

  • Statisch: Jeder Benutzer wird einem einzelnen VDA zugewiesen. Dieser Katalogtyp bietet keine hohe Verfügbarkeit. Wenn der VDA eines Benutzers ausfällt, muss er auf einen neuen gestellt werden, um ihn wiederherzustellen. Azure bietet eine SLA von 99,5% für Einzelinstanz-VMs. Der Kunde kann das Benutzerprofil weiterhin sichern, aber alle am VDA vorgenommenen Anpassungen (z. B. das Installieren von Programmen oder das Konfigurieren von Windows) gehen verloren.
  • Zufällig: Jeder Benutzer wird beim Start einem Server-VDA zufällig zugewiesen. Dieser Katalogtyp bietet eine hohe Verfügbarkeit über Redundanz. Wenn ein VDA ausfällt, gehen keine Informationen verloren, da sich das Profil des Benutzers an anderer Stelle befindet.
  • Windows 10-Multisession: Dieser Katalogtyp funktioniert wie der zufällige Typ, verwendet jedoch Windows 10-Workstation-VDAs anstelle von Server-VDAs.

Backups für in Domänen eingebundene Kataloge

Wenn der Kunde Domain-Kataloge mit einem VNet-Peering verwendet, ist der Kunde für die Sicherung seiner Benutzerprofile verantwortlich. Citrix empfiehlt Kunden, lokale Dateifreigaben zu konfigurieren und Richtlinien in ihren Active Directory oder VDAs festzulegen, um Benutzerprofile aus diesen Dateifreigaben zu ziehen. Der Kunde ist für die Sicherung und Verfügbarkeit dieser Dateifreigaben verantwortlich.

Disaster Recovery

Im Falle eines Azure-Datenverlustes stellt Citrix so viele Ressourcen im Citrix verwalteten Azure-Abonnement wie möglich wieder her. Citrix versucht, die Cloud Connectors und VDAs wiederherzustellen. Wenn Citrix die Wiederherstellung dieser Elemente nicht erfolgreich ist, sind Kunden für die Erstellung eines neuen Katalogs verantwortlich. Citrix geht davon aus, dass Master-Images gesichert werden und dass Kunden ihre Benutzerprofile gesichert haben, sodass der Katalog neu erstellt werden kann.

Im Falle des Verlustes einer gesamten Azure-Region ist der Kunde dafür verantwortlich, sein vom Kunden verwaltetes virtuelles Netzwerk in einer neuen Region neu aufzubauen und ein neues VNet-Peering oder eine neue SD-WAN-Instanz innerhalb von Citrix Managed Desktops zu erstellen.

Gemeinsame Zuständigkeiten von Citrix und Kunden

Citrix Cloud Connector für domänenverknüpfte Kataloge

Citrix Managed Desktops stellen mindestens zwei Cloud Connectors an jedem Ressourcenstandort bereit. Einige Kataloge können einen Ressourcenstandort gemeinsam nutzen, wenn sie sich in derselben Region, VNet-Peering und Domäne befinden wie andere Kataloge für denselben Kunden. Citrix konfiguriert die in der Domäne des Kunden eingebundenen Cloud Connectors für die folgenden Standardsicherheitseinstellungen auf dem Image:

  • Betriebssystem-Updates und Sicherheits-Patches
  • Antivirensoftware
  • Cloud Connector -Softwareupdates

Kunden haben normalerweise keinen Zugriff auf die Cloud Connectors. Sie können jedoch Zugriff erhalten, indem Sie Schritte zur Katalogproblembehandlung und die Anmeldung mit Domänenanmeldeinformationen verwenden. Der Kunde ist für alle Änderungen verantwortlich, die er bei der Anmeldung durch die Bastion vornimmt.

Kunden haben auch die Kontrolle über die in die Domäne eingebundenen Cloud Connectors über Active Directory Gruppenrichtlinien. Der Kunde ist dafür verantwortlich, dass die für den Cloud Connector geltenden Gruppenrichtlinien sicher und sinnvoll sind. Wenn der Kunde beispielsweise Betriebssystemaktualisierungen mithilfe von Gruppenrichtlinien deaktivieren möchte, ist der Kunde für die Durchführung von Betriebssystemaktualisierungen auf den Cloud Connectors verantwortlich. Der Kunde kann auch Gruppenrichtlinien verwenden, um strengere Sicherheit als die Standardeinstellungen des Cloud Connector zu erzwingen, z. B. durch die Installation einer anderen Antivirensoftware. Im Allgemeinen empfiehlt Citrix Kunden, Cloud Connectors ohne Richtlinien in ihre eigene Active Directory Organisationseinheit zu integrieren, da dadurch sichergestellt wird, dass die von Citrix verwendeten Standardwerte problemlos angewendet werden können.

Problembehandlung

Für den Fall, dass der Kunde Probleme mit dem Katalog in Citrix Managed Desktops hat, gibt es zwei Möglichkeiten zur Fehlerbehebung: Verwenden von Bastionen und Aktivieren des RDP-Zugriffs. Beide Optionen führen Sicherheitsrisiken für den Kunden ein. Der Kunde muss dieses Risiko verstehen und einwilligen, bevor er diese Optionen nutzt.

Citrix ist verantwortlich für das Öffnen und Schließen der erforderlichen Ports für die Durchführung von Fehlerbehebungsvorgängen und die Einschränkung, auf welche Maschinen während dieser Vorgänge zugegriffen werden kann.

Bei Bastionen oder RDP-Zugriff ist der aktive Benutzer, der den Vorgang durchführt, für die Sicherheit der Maschinen verantwortlich, auf die zugegriffen wird. Wenn der Kunde über RDP auf den VDA oder den Cloud Connector zugreift und versehentlich einen Virus abschließt, ist der Kunde verantwortlich. Wenn das Citrix Support-Personal auf diese Maschinen zugreift, liegt es in der Verantwortung dieses Personals, Vorgänge sicher durchzuführen. Die Verantwortung für alle Schwachstellen, die von einer Person, die auf die Bastion oder auf andere Maschinen in der Bereitstellung zugreift (z. B. Kundenverantwortung für IP-Bereiche auf Whitelist, Citrix Verantwortung für die korrekte Implementierung von IP-Bereichen) ausgesetzt sind, wird an anderer Stelle in diesem Dokument behandelt.

In beiden Szenarien ist Citrix dafür verantwortlich, Firewall-Ausnahmen korrekt zu erstellen, um RDP-Datenverkehr zu ermöglichen. Citrix ist auch dafür verantwortlich, diese Ausnahmen zu widerrufen, nachdem der Kunde über die Bastion verfügt oder RDP-Zugriff über Citrix Managed Desktops beendet hat.

Bastionen

Citrix kann Bastionen im von Citrix verwalteten virtuellen Netzwerk des Kunden innerhalb des von Citrix verwalteten Abonnements des Kunden erstellen, um Probleme proaktiv (ohne Kundenbenachrichtigung) zu diagnostizieren und zu beheben. Die Bastion ist eine Maschine, auf die der Kunde über RDP zugreifen kann und dann über RDP auf die VDAs und (für domänenverknüpfte Kataloge) Cloud Connectors zugreifen kann, um Protokolle zu sammeln, Dienste neu zu starten oder andere administrative Aufgaben auszuführen. Standardmäßig wird beim Erstellen einer Bastion eine externe Firewallregel geöffnet, um RDP-Datenverkehr von einem vom Kunden angegebenen IP-Adressbereich auf den Bastioncomputer zuzulassen. Außerdem wird eine interne Firewallregel geöffnet, um den Zugriff auf die Cloud Connectors und VDAs über RDP zu ermöglichen. Das Öffnen dieser Regeln stellt ein großes Sicherheitsrisiko dar.

Der Kunde ist dafür verantwortlich, ein sicheres Kennwort für das lokale Windows-Konto bereitzustellen. Der Kunde ist auch für die Bereitstellung eines externen IP-Adressbereichs verantwortlich, der RDP-Zugriff auf die Bastion ermöglicht. Wenn der Kunde sich dafür entscheidet, keinen IP-Bereich bereitzustellen (der es jedem erlaubt, RDP-Zugriff zu versuchen), ist der Kunde für jeden Zugriff verantwortlich, der durch bösartige IP-Adressen versucht wird.

Der Kunde ist auch für die Löschung der Bastion nach Abschluss der Fehlerbehebung verantwortlich. Der Bastion-Host macht zusätzliche Angriffsfläche verfügbar, sodass Citrix die Maschine acht (8) Stunden nach dem Einschalten automatisch herunterfährt. Citrix löscht jedoch niemals automatisch eine Bastion. Wenn der Kunde die Bastion für einen längeren Zeitraum nutzen möchte, ist er für das Patchen und Aktualisieren verantwortlich. Citrix empfiehlt, eine Bastion nur für mehrere Tage zu verwenden, bevor sie gelöscht wird. Wenn der Kunde eine aktuelle Bastion wünscht, kann er seine aktuelle Bastion löschen und dann eine neue Bastion erstellen, die eine neue Maschine mit den neuesten Sicherheits-Patches bereitstellt.

RDP-Zugriff

Wenn das VNet-Peering des Kunden in Domänen eingebunden ist, kann der Kunde RDP-Zugriff von seinem Peered-VNet auf sein von Citrix verwaltetes VNet ermöglichen. Wenn der Kunde diese Option verwendet, ist der Kunde für den Zugriff auf die VDAs und Cloud Connectors über das VNet-Peering verantwortlich. Quell-IP-Adressbereiche können angegeben werden, so dass der RDP-Zugriff auch innerhalb des internen Netzwerks des Kunden weiter eingeschränkt werden kann. Der Kunde muss Domänenanmeldeinformationen verwenden, um sich bei diesen Computern anzumelden. Wenn der Kunde mit dem Citrix Support arbeitet, um ein Problem zu beheben, muss der Kunde diese Anmeldeinformationen möglicherweise an das Support-Personal weitergeben. Nachdem das Problem behoben wurde, ist der Kunde für die Deaktivierung des RDP-Zugriffs verantwortlich. Das Öffnen des RDP-Zugriffs über das Peered-Netzwerk oder das lokale Netzwerk des Kunden stellt ein Sicherheitsrisiko dar.

Domänenanmeldeinformationen

Wenn der Kunde einen in die Domäne eingebundenen Katalog verwendet, ist der Kunde dafür verantwortlich, Citrix Managed Desktops ein Domänenkonto (Benutzername und Kennwort) mit Berechtigungen zum Verbinden von Maschinen zur Domäne bereitzustellen. Bei der Bereitstellung von Domänenanmeldeinformationen ist der Kunde für die Einhaltung der folgenden Sicherheitsprinzipien verantwortlich:

  • Überprüfbar: Das Konto sollte speziell für die Verwendung von Citrix Managed Desktops erstellt werden, damit die Verwendung des Kontos einfach überprüft werden kann.
  • Geltungsbereich: Für das Konto sind nur Berechtigungen erforderlich, um Computer mit einer Domäne zu verbinden. Es sollte kein vollständiger Domänenadministrator sein.
  • Sicher: Ein starkes Passwort sollte auf dem Konto platziert werden.

Citrix ist für die sichere Speicherung dieses Domänenkontos in einem Azure Key Vault im Citrix verwalteten Azure-Abonnement des Kunden verantwortlich. Das Konto wird nur abgerufen, wenn für einen Vorgang das Domänenkontokennwort erforderlich ist.

Weitere Informationen

Weitere Informationen finden Sie unter: