Technische Sicherheit

Das folgende Diagramm zeigt die Komponenten in einer Citrix Virtual Apps and Desktops Standard for Azure-Bereitstellung. In diesem Beispiel wird eine VNet-Peering-Verbindung verwendet.

Citrix Virtual Apps and Desktops Standard für Azure-Komponenten und Azure VNet Peer-Verbindung

Mit Citrix Virtual Apps and Desktops Standard for Azure werden die Virtual Delivery Agents (VDAs) des Kunden, die Desktops und Apps sowie Citrix Cloud Connectors bereitstellen, in einem Azure-Abonnement und Mandanten bereitgestellt, den Citrix verwaltet.

Citrix Cloud und Compliance

Stand Januar 2021: Die Verwendung von Citrix Managed Azure-Kapazität mit verschiedenen Editionen von Citrix Virtual Apps and Desktops und Workspace Premium Plus wurde noch nicht gemäß Citrix SOC 2 (Typ 1 oder 2), ISO 27001, HIPAA oder anderen Cloud-Compliance-Anforderungen bewertet. Im Citrix Trust Center finden Sie weitere Informationen zu Citrix Cloud-Zertifizierungen sowie regelmäßig aktualisierte Nachrichten.

Verantwortung für Citrix

Citrix Cloud Connectors für nicht in Domäne verbundene Kataloge

Citrix Virtual Apps and Desktops Standard for Azure stellt mindestens zwei Cloud Connectors an jedem Ressourcenstandort bereit. Einige Kataloge können sich einen Ressourcenstandort teilen, wenn sie sich in der gleichen Region wie andere Kataloge für denselben Kunden befinden.

Citrix ist verantwortlich für die folgenden Sicherheitsvorgänge für Cloud Connectors, die nicht in die Domäne eingebundenen Katalog enthalten sind:

  • Anwenden von Betriebssystemupdates und Sicherheitspatches
  • Installieren und Verwalten von Antivirensoftware
  • Anwenden von Cloud Connector-Softwareupdates

Kunden haben keinen Zugriff auf die Cloud Connectors. Daher ist Citrix vollständig verantwortlich für die Leistung des nicht in der Domäne beigefügten Katalogs Cloud Connectors.

Azure-Abonnement und Azure Active Directory

Citrix ist verantwortlich für die Sicherheit des Azure-Abonnements und des Azure Active Directory (AAD), die für den Kunden erstellt werden. Citrix gewährleistet die Isolierung der Mandanten, sodass jeder Kunde sein eigenes Azure-Abonnement und AAD hat und Cross-Talk zwischen verschiedenen Mandanten verhindert wird. Citrix beschränkt auch den Zugriff auf das AAD auf den Citrix Virtual Apps and Desktops Standard for Azure-Dienst und nur Citrix Betriebspersonal. Der Zugriff von Citrix auf das Azure-Abonnement jedes Kunden wird überwacht.

Kunden, die nicht in Domäne eingebundene Kataloge verwenden, können die von Citrix verwaltete AAD als Authentifizierungsmittel für Citrix Workspace verwenden. Für diese Kunden erstellt Citrix Benutzerkonten mit eingeschränkten Berechtigungen in der von Citrix verwalteten AAD. Weder Benutzer der Kunden noch die Administratoren können jedoch Aktionen für die von Citrix verwaltete AAD ausführen. Wenn sich diese Kunden dafür entscheiden, stattdessen ihre eigene AAD zu verwenden, sind sie vollständig für ihre Sicherheit verantwortlich.

Virtuelle Netzwerke und Infrastruktur

Im Citrix Managed Azure-Abonnement des Kunden erstellt Citrix virtuelle Netzwerke zur Isolierung von Ressourcenstandorten. In diesen Netzwerken erstellt Citrix zusätzlich zu Speicherkonten, Schlüsseltresoren und anderen Azure-Ressourcen virtuelle Maschinen für die VDAs, Cloud Connectors und Image-Builder-Maschinen. Citrix ist in Zusammenarbeit mit Microsoft für die Sicherheit der virtuellen Netzwerke, einschließlich virtueller Netzwerk-Firewalls, verantwortlich.

Citrix stellt sicher, dass die standardmäßige Azure-Firewallrichtlinie (Netzwerksicherheitsgruppen) so konfiguriert ist, dass sie den Zugriff auf Netzwerkschnittstellen in VNet-Peering- und SD-WAN-Verbindungen einschränkt. Im Allgemeinen steuert dies den eingehenden Datenverkehr zu VDAs und Cloud Connectors. Einzelheiten finden Sie in den folgenden Abschnitten:

Kunden können diese Standard-Firewall-Richtlinie nicht ändern, aber möglicherweise zusätzliche Firewallregeln auf von Citrix erstellten VDA-Computern bereitstellen, z. B. um ausgehenden Datenverkehr teilweise einzuschränken. Kunden, die Clients virtueller privater Netzwerke oder andere Software installieren, die Firewallregeln umgehen kann, auf von Citrix erstellten VDA-Computern sind für alle möglicherweise resultierenden Sicherheitsrisiken verantwortlich.

Wenn Sie den Image-Builder in Citrix Virtual Apps and Desktops Standard for Azure zum Erstellen und Anpassen eines neuen Maschinenimages verwenden, werden die Ports 3389-3390 vorübergehend im von Citrix verwalteten VNet geöffnet, sodass der Kunde RDP an den Computer mit dem neuen Maschinenimage rdp kann, um es anzupassen.

Citrix Verantwortung bei Verwendung von Azure VNet-Peering-Verbindungen

Für VDAs in Citrix Virtual Apps and Desktops Standard for Azure, um on-premises Domänencontroller, Dateifreigaben oder andere Intranetressourcen zu kontaktieren, bietet Citrix Virtual Apps and Desktops Standard for Azure einen VNet-Peering-Workflow als Konnektivitätsoption. Das von Citrix verwaltete virtuelle Netzwerk des Kunden verfügt über ein vom Kunden verwaltetes virtuelles Azure-Netzwerk. Das vom Kunden verwaltete virtuelle Netzwerk kann die Konnektivität mit den lokalen Ressourcen des Kunden mithilfe der Cloud-zu-lokalen Konnektivitätslösung nach Wahl des Kunden ermöglichen, z. B. Azure ExpressRoute oder IPsec-Tunnel.

Die Verantwortung von Citrix für VNet-Peering beschränkt sich auf die Unterstützung des Workflows und der zugehörigen Azure-Ressourcenkonfiguration für den Aufbau einer Peering-Beziehung zwischen Citrix und vom Kunden verwalteten VNets.

Firewall-Richtlinie für Azure VNet-Peering-Verbindungen

Citrix öffnet oder schließt die folgenden Ports für ein- und ausgehenden Datenverkehr, der eine VNet-Peering-Verbindung verwendet.

Von Citrix verwaltetes VNet mit nicht in die Domäne eingebundenen Computern
  • Eingehende Regeln
    • Erlauben Sie die Ports 80, 443, 1494 und 2598, die von VDAs zu Cloud Connectors und von Cloud Connectors zu VDAs eingehen.
    • Erlaubt Ports 49152-65535 aus einem IP-Bereich, der von der Monitor-Shadowing-Funktion verwendet wird, an die VDAs eingehend. Siehe Von Citrix-Technologien verwendete Kommunikationsports.
    • Alle anderen eingehenden Verbindungen verweigern. Dies beinhaltet den Intra-VNet-Datenverkehr von VDA zu VDA und VDA zu Cloud Connector.
  • Ausgehende Regeln
    • Lassen Sie den gesamten Datenverkehr ausgehend zu.
Von Citrix verwaltetes VNet mit in Domäne verbundenen Computern
  • Eingehende Regeln:
    • Erlauben Sie die Ports 80, 443, 1494 und 2598, die von den VDAs zu Cloud Connectors und von Cloud Connectors zu VDAs eingehen.
    • Erlaubt Ports 49152-65535 aus einem IP-Bereich, der von der Monitor-Shadowing-Funktion verwendet wird, an die VDAs eingehend. Siehe Von Citrix-Technologien verwendete Kommunikationsports.
    • Alle anderen eingehenden Verbindungen verweigern. Dies beinhaltet den Intra-VNet-Datenverkehr von VDA zu VDA und VDA zu Cloud Connector.
  • Ausgehende Regeln
    • Lassen Sie den gesamten Datenverkehr ausgehend zu.
Vom Kunden verwaltetes VNet mit in Domäne verbundenen Computern
  • Es liegt an dem Kunden, sein VNet korrekt zu konfigurieren. Dies beinhaltet das Öffnen der folgenden Ports für den Domänenbeitritt.
  • Eingehende Regeln:
    • Erlauben Sie Inbound auf 443, 1494, 2598 von ihren Client-IPs für interne Starts.
    • Erlauben Sie eingehend auf 53, 88, 123, 135-139, 389, 445, 636 von Citrix VNet (vom Kunden spezifizierter IP-Bereich).
    • Erlauben Sie eingehende Ports, die mit einer Proxy-Konfiguration geöffnet wurden.
    • Andere Regeln, die vom Kunden erstellt wurden.
  • Ausgehende Regeln:
    • Erlauben Sie Outbound auf 443, 1494, 2598 zum Citrix VNet (vom Kunden spezifizierter IP-Bereich) für interne Starts.
    • Andere Regeln, die vom Kunden erstellt wurden.

Citrix Verantwortung bei Verwendung von SD-WAN-Konnektivität

Citrix unterstützt eine vollautomatische Möglichkeit, virtuelle Citrix SD-WAN-Instanzen bereitzustellen, um die Konnektivität zwischen Citrix Virtual Apps and Desktops Standard for Azure und on-premises Ressourcen zu ermöglichen. Die Citrix SD-WAN-Konnektivität hat eine Reihe von Vorteilen im Vergleich zum VNet-Peering, darunter:

Hohe Zuverlässigkeit und Sicherheit von VDA-zu-Rechenzentrums- und VDA-zu-Branch-Verbindungen (ICA).

  • Beste Endbenutzererfahrung für Büroangestellte mit erweiterten QoS-Funktionen und VoIP-Optimierungen.
  • Integrierte Möglichkeit, den Citrix HDX-Netzwerkverkehr und andere Anwendungsnutzung zu überprüfen, zu priorisieren und über diesen Bericht zu berichten.

Citrix verlangt von Kunden, die die SD-WAN-Konnektivität für Citrix Virtual Apps and Desktops Standard for Azure nutzen möchten, SD-WAN Orchestrator für die Verwaltung ihrer Citrix SD-WAN-Netzwerke verwenden.

Das folgende Diagramm zeigt die hinzugefügten Komponenten in einem Citrix Virtual Apps and Desktops Standard für Azure-Bereitstellung mit SD-WAN-Konnektivität.

Citrix Virtual Apps and Desktops Standard für Azure mit SD-WAN-Konnektivität

Die Citrix SD-WAN-Bereitstellung für Citrix Virtual Apps and Desktops Standard for Azure ähnelt der standardmäßigen Azure-Bereitstellungskonfiguration für Citrix SD-WAN. Weitere Informationen finden Sie unter Bereitstellen der Citrix SD-WAN Standard Edition-Instanz auf Azure. In einer Hochverfügbarkeitskonfiguration wird ein Aktiv-/Standby-Paar von SD-WAN-Instanzen mit Azure-Load Balancern als Gateway zwischen dem Subnetz mit VDAs und Cloud Connectors und dem Internet bereitgestellt. In einer Nicht-HA-Konfiguration wird nur eine einzelne SD-WAN-Instanz als Gateway bereitgestellt. Netzwerkschnittstellen der virtuellen SD-WAN-Appliances werden Adressen aus einem separaten kleinen Adressbereich zugewiesen, der in zwei Subnetze aufgeteilt ist.

Bei der Konfiguration der SD-WAN-Konnektivität nimmt Citrix einige Änderungen an der oben beschriebenen Netzwerkkonfiguration verwalteter Desktops vor. Insbesondere wird der gesamte ausgehende Datenverkehr aus dem VNet, einschließlich des Datenverkehrs zu Internetzielen, durch die Cloud-SD-WAN-Instanz geleitet. Die SD-WAN-Instanz ist auch als DNS-Server für das von Citrix verwaltete VNet konfiguriert.

Der Verwaltungszugriff auf die virtuellen SD-WAN-Instanzen erfordert einen Admin-Login und ein Kennwort. Jeder Instanz von SD-WAN wird ein eindeutiges, zufälliges sicheres Kennwort zugewiesen, das von SD-WAN-Administratoren für die Remote-Anmeldung und Fehlerbehebung über die SD-WAN Orchestrator-Benutzeroberfläche, die Benutzeroberfläche für die Verwaltung der virtuellen Appliance und die CLI verwendet werden kann.

Genau wie andere mandantenspezifische Ressourcen sind virtuelle SD-WAN-Instanzen, die in einem bestimmten Kunden-VNet bereitgestellt werden, vollständig von allen anderen VNets isoliert.

Wenn der Kunde die Citrix SD-WAN-Konnektivität aktiviert, automatisiert Citrix die erste Bereitstellung virtueller SD-WAN-Instanzen, die mit Citrix Virtual Apps and Desktops Standard for Azure verwendet werden, verwaltet zugrunde liegende Azure-Ressourcen (virtuelle Maschinen, Load Balancer usw.) und bietet sichere und effiziente sofort einsatzbereit Standardmäßig für die Erstkonfiguration virtueller SD-WAN-Instanzen und ermöglicht die laufende Wartung und Fehlerbehebung über SD-WAN Orchestrator. Citrix ergreift auch angemessene Maßnahmen, um die SD-WAN-Netzwerkkonfiguration automatisch zu validieren, auf bekannte Sicherheitsrisiken zu prüfen und entsprechende Warnungen über SD-WAN Orchestrator anzuzeigen.

Firewall-Richtlinie für SD-WAN-Verbindungen

Citrix verwendet Azure-Firewall-Richtlinien (Netzwerksicherheitsgruppen) und die Zuweisung öffentlicher IP-Adressen, um den Zugriff auf Netzwerkschnittstellen virtueller SD-WAN-Appliances zu beschränken:

  • Nur WAN- und Verwaltungsschnittstellen werden öffentliche IP-Adressen zugewiesen und ermöglichen ausgehende Konnektivität mit dem Internet.
  • LAN-Schnittstellen, die als Gateways für das von Citrix verwaltete VNet fungieren, dürfen den Netzwerkverkehr nur mit virtuellen Maschinen im selben VNet austauschen.
  • WAN-Schnittstellen beschränken den eingehenden Datenverkehr auf UDP-Port 4980 (wird von Citrix SD-WAN für virtuelle Pfadkonnektivität verwendet) und verweigern ausgehenden Datenverkehr an das VNet.
  • Management-Ports erlauben eingehenden Datenverkehr zu den Ports 443 (HTTPS) und 22 (SSH).
  • HA-Schnittstellen dürfen den Steuerverkehr nur untereinander austauschen.

Zugang zur Infrastruktur

Citrix kann auf die von Citrix verwaltete Infrastruktur (Cloud Connectors) des Kunden zugreifen, um bestimmte administrative Aufgaben wie das Sammeln von Protokollen (einschließlich Windows Event Viewer) und das Neustarten von Diensten auszuführen, ohne den Kunden zu benachrichtigen. Citrix ist dafür verantwortlich, diese Aufgaben sicher und sicher und mit minimalen Auswirkungen auf den Kunden auszuführen. Citrix ist auch dafür verantwortlich, sicherzustellen, dass alle Protokolldateien sicher und sicher abgerufen, transportiert und gehandhabt werden. Auf Kunden-VDAs kann nicht zugegriffen werden.

Backups für nicht in Domäne eingebundene Kataloge

Citrix ist nicht verantwortlich für die Durchführung von Backups von nicht in Domäne verbundenen Katalogen.

Backups für Maschinenimages

Citrix ist dafür verantwortlich, alle Computer-Images zu sichern, die in Citrix Virtual Apps and Desktops Standard for Azure hochgeladen wurden, einschließlich Images, die mit dem Image-Builder erstellt wurden. Citrix verwendet für diese Images lokal redundanten Speicher.

Bastionen für nicht in Domäne eingebundene Kataloge

Citrix Betriebspersonal hat die Möglichkeit, bei Bedarf eine Bastion zu erstellen, um auf das von Citrix verwaltete Azure-Abonnement des Kunden zuzugreifen, um Kundenprobleme zu diagnostizieren und zu beheben, möglicherweise bevor der Kunde ein Problem kennt. Citrix benötigt nicht die Zustimmung des Kunden, eine Bastion zu erstellen. Wenn Citrix die Bastion erstellt, erstellt Citrix ein starkes zufällig generiertes Kennwort für die Bastion und schränkt den RDP-Zugriff auf Citrix NAT-IP-Adressen ein. Wenn die Bastion nicht mehr benötigt wird, verfügt Citrix darüber und das Kennwort ist nicht mehr gültig. Die Bastion (und ihre dazugehörigen RDP-Zugangsregeln) werden nach Abschluss des Vorgangs entsorgt. Citrix kann mit der Bastion nur auf die nicht in der Domäne verbundenen Cloud Connectors des Kunden zugreifen. Citrix verfügt nicht über das Kennwort, um sich bei nicht in der Domäne verbundenen VDAs oder in Domäne eingebundenen Cloud Connectors und VDAs anzumelden.

Firewall-Richtlinie bei Verwendung von Tools zur Fehlerbehebung

Wenn ein Kunde die Erstellung einer Bastionsmaschine zur Fehlerbehebung anfordert, werden die folgenden Änderungen der Sicherheitsgruppe am von Citrix verwalteten VNet vorgenommen:

  • Erlauben Sie vorübergehend 3389 Inbound vom vom Kunden spezifizierten IP-Bereich zur Bastion.
  • Erlauben Sie vorübergehend 3389 eingehende von der Bastions-IP-Adresse an eine beliebige Adresse im VNet (VDAs und Cloud Connectors).
  • Blockieren Sie weiterhin den RDP-Zugriff zwischen den Cloud Connectors, VDAs und anderen VDAs.

Wenn ein Kunde den RDP-Zugriff zur Fehlerbehebung aktiviert, werden die folgenden Änderungen der Sicherheitsgruppe am von Citrix verwalteten VNet vorgenommen:

  • Erlauben Sie vorübergehend 3389 aus dem vom Kunden angegebenen IP-Bereich an eine beliebige Adresse im VNet (VDAs und Cloud Connectors).
  • Blockieren Sie weiterhin den RDP-Zugriff zwischen den Cloud Connectors, VDAs und anderen VDAs.

Vom Kunden verwaltete Abonnements

Bei kundenverwalteten Abonnements hält sich Citrix bei der Bereitstellung der Azure-Ressourcen an die oben genannten Zuständigkeiten. Nach der Bereitstellung fällt alles oben genannte in die Verantwortung des Kunden, da der Kunde Eigentümer des Azure-Abonnements ist.

Vom Kunden verwaltete Abonnements

Verantwortung des Kunden

VDAs und Maschinenimages

Der Kunde ist für alle Aspekte der auf VDA-Computern installierten Software verantwortlich, einschließlich:

  • Betriebssystem-Updates und Sicherheitspatches
  • Antivirus und Antimalware
  • VDA-Softwareupdates und Sicherheitspatches
  • Zusätzliche Software-Firewall-Regeln (insbesondere ausgehender Datenverkehr)
  • Folge Citrix Sicherheitsüberlegungen und Best Practices

Citrix stellt ein vorbereitetes Image bereit, das als Ausgangspunkt gedacht ist. Kunden können dieses Image für Konzeptnachweis oder Demonstrationszwecke oder als Grundlage für die Erstellung eines eigenen Maschinenimage verwenden. Citrix garantiert nicht die Sicherheit dieses vorbereiteten Images. Citrix wird versuchen, das Betriebssystem und die VDA-Software auf dem vorbereiteten Image auf dem neuesten Stand zu halten, und aktiviert Windows Defender für diese Images.

Kundenverantwortung bei der Verwendung von VNet Peering

Der Kunde muss alle in angegebenen Ports öffnen Vom Kunden verwaltetes VNet mit in Domäne verbundenen Computern.

Wenn VNet-Peering konfiguriert ist, ist der Kunde für die Sicherheit seines eigenen virtuellen Netzwerks und seine Konnektivität zu seinen on-premises Ressourcen verantwortlich. Der Kunde ist auch für die Sicherheit des eingehenden Datenverkehrs aus dem von Citrix verwalteten virtuellen Peered-Netzwerk verantwortlich. Citrix ergreift keine Maßnahmen, um den Datenverkehr vom von Citrix verwalteten virtuellen Netzwerk zu den on-premises Ressourcen des Kunden zu blockieren.

Kunden haben folgende Möglichkeiten, eingehenden Datenverkehr einzuschränken:

  • Geben Sie dem von Citrix verwalteten virtuellen Netzwerk einen IP-Block, der an anderer Stelle im On-Premises-Netzwerk des Kunden oder im vom Kunden verwalteten verbundenen virtuellen Netzwerk nicht verwendet wird. Dies ist für VNet-Peering erforderlich.
  • Fügen Sie Azure-Netzwerksicherheitsgruppen und Firewalls im virtuellen Netzwerk und im On-Premises-Netzwerk des Kunden hinzu, um den Datenverkehr aus dem von Citrix verwalteten IP-Block zu blockieren oder einzuschränken.
  • Implementieren Sie Maßnahmen wie Intrusion Prevention-Systeme, Software-Firewalls und Verhaltensanalyse-Engines im virtuellen Netzwerk und im On-Premises-Netzwerk des Kunden und zielen auf den von Citrix verwalteten IP-Block ab.

Kundenverantwortung bei Verwendung von SD-WAN-Konnektivität

Wenn die SD-WAN-Konnektivität konfiguriert ist, haben Kunden die volle Flexibilität, virtuelle SD-WAN-Instanzen zu konfigurieren, die mit Citrix Virtual Apps and Desktops Standard for Azure verwendet werden, entsprechend ihren Netzwerkanforderungen, mit Ausnahme einiger Elemente, die erforderlich sind, um den korrekten Betrieb von SD-WAN in der Citrix- verwaltetes VNet. Zu den Aufgaben des Kunden gehören:

  • Design und Konfiguration von Routing- und Firewallregeln, einschließlich Regeln für DNS und Internetbreakout.
  • Wartung der SD-WAN-Netzwerkkonfiguration.
  • Überwachung des Betriebsstatus des Netzwerks.
  • Rechtzeitige Bereitstellung von Citrix SD-WAN -Softwareupdates oder Sicherheitsupdates. Da alle Instanzen von Citrix SD-WAN in einem Kundennetzwerk dieselbe Version der SD-WAN-Software ausführen müssen, müssen die Bereitstellung aktualisierter Softwareversionen für Citrix Virtual Apps and Desktops Standard für Azure SD-WAN-Instanzen von Kunden gemäß ihren Netzwerkwartungsplänen und -beschränkungen verwaltet werden .

Eine falsche Konfiguration von SD-WAN-Routing-und Firewallregeln oder eine falsche Verwaltung von SD-WAN-Verwaltungskennwörtern können Sicherheitsrisiken sowohl für virtuelle Ressourcen in Citrix Virtual Apps and Desktops Standard für Azure als auch für On-Premises-Ressourcen führen, die über virtuelle Citrix SD-WAN-Pfade erreichbar sind. Ein weiteres mögliches Sicherheitsrisiko besteht darin, die Citrix SD-WAN-Software nicht auf das neueste verfügbare Patch-Release zu aktualisieren. Während SD-WAN Orchestrator und andere Citrix Cloud-Dienste die Möglichkeit bieten, solche Risiken zu beheben, sind Kunden letztendlich dafür verantwortlich, dass virtuelle SD-WAN-Instanzen entsprechend konfiguriert sind.

Proxy

Der Kunde kann wählen, ob er einen Proxy für ausgehenden Datenverkehr vom VDA verwenden möchte. Wenn ein Proxy verwendet wird, ist der Kunde verantwortlich für:

  • Konfigurieren der Proxy-Einstellungen auf dem VDA-Computerimage oder, wenn der VDA einer Domäne beigetreten ist, mithilfe der Active Directory-Gruppenrichtlinie.
  • Wartung und Sicherheit des Proxys.

Proxys dürfen nicht mit Citrix Cloud Connectors oder einer anderen von Citrix verwalteten Infrastruktur verwendet werden.

Ausfallsicherheit des Katalogs

Citrix bietet drei Arten von Katalogen mit unterschiedlicher Ausfallsicherheit:

  • Statisch: Jeder Benutzer ist einem einzelnen VDA zugewiesen. Dieser Katalogtyp bietet keine Hochverfügbarkeit. Wenn der VDA eines Benutzers ausfällt, muss er auf einen neuen gesetzt werden, um sie wiederherzustellen. Azure bietet ein SLA von 99,5% für Einzelinstanz-VMs. Der Kunde kann das Benutzerprofil weiterhin sichern, aber alle am VDA vorgenommenen Anpassungen (z. B. das Installieren von Programmen oder das Konfigurieren von Windows) gehen verloren.
  • Zufällig: Jeder Benutzer wird zum Startzeitpunkt einem Server-VDA zufällig zugewiesen. Dieser Katalogtyp bietet eine hohe Verfügbarkeit über Redundanz. Wenn ein VDA ausfällt, gehen keine Informationen verloren, da sich das Profil des Benutzers an anderer Stelle befindet.
  • Windows 10-Multisession: Dieser Katalogtyp funktioniert auf die gleiche Weise wie der Zufallstyp, verwendet jedoch Windows 10-Workstation-VDAs anstelle von Server-VDAs.

Backups für in Domäne eingebundene Kataloge

Wenn der Kunde in Domäne verbundene Kataloge mit VNet-Peering verwendet, ist der Kunde für die Sicherung seiner Benutzerprofile verantwortlich. Citrix empfiehlt Kunden, on-premises Dateifreigaben zu konfigurieren und Richtlinien für ihr Active Directory oder VDAs festzulegen, um Benutzerprofile aus diesen Dateifreigaben abzurufen. Der Kunde ist für die Backup und Verfügbarkeit dieser Dateifreigaben verantwortlich.

Notfallwiederherstellung

Im Falle eines Azure-Datenverlustes wird Citrix so viele Ressourcen wie möglich im von Citrix verwalteten Azure-Abonnement wiederherstellen. Citrix wird versuchen, die Cloud Connectors und VDAs wiederherzustellen. Wenn Citrix diese Elemente nicht wiederhergestellt hat, sind Kunden für das Erstellen eines neuen Katalogs verantwortlich. Citrix geht davon aus, dass Maschinenimages gesichert werden und dass Kunden ihre Benutzerprofile gesichert haben, wodurch der Katalog neu erstellt werden kann.

Im Falle des Verlustes einer gesamten Azure-Region ist der Kunde dafür verantwortlich, sein vom Kunden verwaltetes virtuelles Netzwerk in einer neuen Region neu aufzubauen und ein neues VNet-Peering oder eine neue SD-WAN-Instanz innerhalb von Citrix Virtual Apps and Desktops Standard for Azure zu erstellen.

Gemeinsame Verantwortlichkeiten von Citrix und Kunden

Citrix Cloud Connector für in Domäne verbundene Kataloge

Citrix Virtual Apps and Desktops Standard for Azure stellt mindestens zwei Cloud Connectors an jedem Ressourcenstandort bereit. Einige Kataloge können sich einen Ressourcenstandort teilen, wenn sie sich in derselben Region, VNet-Peering und Domäne wie andere Kataloge für denselben Kunden befinden. Citrix konfiguriert die in die Domäne eingebundenen Cloud Connectors des Kunden für die folgenden Standardsicherheitseinstellungen für das Image:

  • Betriebssystem-Updates und Sicherheitspatches
  • Antivirensoftware
  • Cloud Connector Softwareupdates

Kunden haben normalerweise keinen Zugriff auf die Cloud Connectors. Sie können jedoch Zugriff erhalten, indem sie Schritte zur Fehlerbehebung im Katalog verwenden und sich mit Domänenanmeldeinformationen anmelden. Der Kunde ist verantwortlich für alle Änderungen, die er bei der Anmeldung über die Bastion vornehmen.

Kunden haben auch die Kontrolle über die in der Domäne verbundenen Cloud Connectors durch Active Directory-Gruppenrichtlinien. Der Kunde ist dafür verantwortlich, dass die Gruppenrichtlinien, die für den Cloud Connector gelten, sicher und vernünftig sind. Wenn sich der Kunde beispielsweise dafür entscheidet, Betriebssystemaktualisierungen mithilfe von Gruppenrichtlinien zu deaktivieren, ist der Kunde für die Durchführung von Betriebssystemaktualisierungen an den Cloud Connectors verantwortlich. Der Kunde kann auch die Gruppenrichtlinie verwenden, um eine strengere Sicherheit als die Cloud Connector-Standardeinstellungen durchzusetzen, z. B. durch die Installation einer anderen Antivirensoftware. Im Allgemeinen empfiehlt Citrix Kunden, Cloud Connectors ohne Richtlinien in ihre eigene Active Directory-Organisationseinheit zu integrieren, da dies sicherstellt, dass die Standardeinstellungen von Citrix ohne Probleme angewendet werden können.

Problembehandlung

Für den Fall, dass der Kunde Probleme mit dem Katalog in Citrix Virtual Apps and Desktops Standard for Azure hat, gibt es zwei Möglichkeiten zur Fehlerbehebung: Verwenden von Bastionen und Aktivieren des RDP-Zugriffs. Beide Optionen führen zu Sicherheitsrisiken für den Kunden. Der Kunde muss dieses Risiko verstehen und damit einverstanden sein, bevor er diese Optionen nutzt.

Citrix ist dafür verantwortlich, die erforderlichen Ports für die Durchführung von Fehlerbehebungsvorgängen zu öffnen und zu schließen und einzuschränken, auf welche Computer während dieser Vorgänge zugegriffen werden kann.

Bei Bastionen oder RDP-Zugriff ist der aktive Benutzer, der den Vorgang ausführt, für die Sicherheit der Computer verantwortlich, auf die zugegriffen wird. Wenn der Kunde über RDP auf den VDA oder Cloud Connector zugreift und versehentlich einen Virus infiziert, ist der Kunde verantwortlich. Wenn Citrix Support-Mitarbeiter auf diese Computer zugreifen, liegt es in der Verantwortung dieses Personals, Vorgänge sicher durchzuführen. Die Verantwortung für alle Schwachstellen, die von Personen ausgesetzt sind, die auf die Bastion oder andere Computer in der Bereitstellung zugreift (z. B. die Verantwortung des Kunden, IP-Bereiche hinzuzufügen, um die Liste zuzulassen, Citrix Verantwortung für die korrekte Implementierung von IP-Bereichen) wird an anderer Stelle in diesem Dokument abgedeckt.

In beiden Szenarien ist Citrix dafür verantwortlich, Firewall-Ausnahmen korrekt zu erstellen, um RDP-Datenverkehr zu ermöglichen. Citrix ist auch dafür verantwortlich, diese Ausnahmen zu widerrufen, nachdem der Kunde über die Bastion verfügt oder den RDP-Zugriff über Citrix Virtual Apps and Desktops Standard for Azure beendet hat.

Bastionen

Citrix kann Bastionen im Citrix verwalteten virtuellen Netzwerk des Kunden innerhalb des von Citrix verwalteten Abonnements des Kunden erstellen, um Probleme entweder proaktiv (ohne Kundenbenachrichtigung) oder als Reaktion auf ein vom Kunden aufgeworfenes Problem zu diagnostizieren und zu beheben. Die Bastion ist eine Maschine, auf die der Kunde über RDP zugreifen und dann über RDP auf die VDAs und (für Domänenkataloge) Cloud Connectors zugreifen kann, um Protokolle zu sammeln, Dienste neu zu starten oder andere administrative Aufgaben auszuführen. Standardmäßig öffnet das Erstellen einer Bastion eine externe Firewallregel, um RDP-Datenverkehr von einem vom Kunden spezifizierten Bereich von IP-Adressen zum Bastions-Computer zuzulassen. Es öffnet auch eine interne Firewallregel, um den Zugriff auf die Cloud Connectors und VDAs über RDP zu ermöglichen. Die Eröffnung dieser Regeln birgt ein großes Sicherheitsrisiko.

Der Kunde ist dafür verantwortlich, ein sicheres Kennwort anzugeben, das für das lokale Windows-Konto verwendet wird. Der Kunde ist auch dafür verantwortlich, einen externen IP-Adressbereich bereitzustellen, der RDP-Zugriff auf die Bastion ermöglicht. Wenn der Kunde sich dafür entscheidet, keinen IP-Bereich bereitzustellen (der es jedem ermöglicht, RDP-Zugriff zu versuchen), ist der Kunde für jeden Zugriff verantwortlich, der durch bösartige IP-Adressen versucht wird.

Der Kunde ist auch dafür verantwortlich, die Bastion zu löschen, nachdem die Fehlerbehebung abgeschlossen ist. Der Bastions-Host legt zusätzliche Angriffsfläche frei, sodass Citrix den Computer acht (8) Stunden nach dem Einschalten automatisch herunterfährt. Citrix löscht jedoch nie automatisch eine Bastion. Wenn der Kunde sich dafür entscheidet, die Bastion über einen längeren Zeitraum zu verwenden, ist er für das Patchen und Aktualisieren verantwortlich. Citrix empfiehlt, eine Bastion nur mehrere Tage lang zu verwenden, bevor sie gelöscht wird. Wenn der Kunde eine aktuelle Bastion wünscht, kann er seine aktuelle Bastion löschen und dann eine neue Bastion erstellen, die eine neue Maschine mit den neuesten Sicherheitspatches bereitstellt.

RDP-Zugriff

Wenn der VNet-Peering des Kunden bei Domänen verbundenen Katalogen funktionsfähig ist, kann der Kunde den RDP-Zugriff von seinem Peered-VNet auf sein von Citrix verwaltetes VNet ermöglichen. Wenn der Kunde diese Option verwendet, ist der Kunde für den Zugriff auf die VDAs und Cloud Connectors über das VNet-Peering verantwortlich. Quell-IP-Adressbereiche können angegeben werden, sodass der RDP-Zugriff auch innerhalb des internen Netzwerks des Kunden weiter eingeschränkt werden kann. Der Kunde muss Domänenanmeldeinformationen verwenden, um sich bei diesen Computern anzumelden. Wenn der Kunde mit dem Citrix Support zusammenarbeitet, um ein Problem zu beheben, muss der Kunde diese Anmeldeinformationen möglicherweise an Support-Mitarbeiter weitergeben. Nachdem das Problem behoben wurde, ist der Kunde für die Deaktivierung des RDP-Zugriffs verantwortlich. Das Öffnen des RDP-Zugriffs über das Peered- oder On-Premises-Netzwerk des Kunden stellt ein Sicherheitsrisiko dar.

Anmeldeinformationen für

Wenn sich der Kunde für die Verwendung eines Domänenkatalogs entscheidet, ist der Kunde dafür verantwortlich, Citrix Virtual Apps and Desktops Standard für Azure ein Domänenkonto (Benutzername und Kennwort) mit Berechtigungen zur Verfügung zu stellen, um Computer mit der Domäne zu verbinden. Bei der Bereitstellung von Domain-Anmeldeinformationen ist der Kunde für die Einhaltung der folgenden Sicherheitsprinzipien verantwortlich:

  • Überprüfbar: Das Konto sollte speziell für Citrix Virtual Apps and Desktops Standard für Azure-Nutzung erstellt werden, damit es einfach ist, zu überprüfen, wofür das Konto verwendet wird.
  • Bereich: Das Konto benötigt nur Berechtigungen, um Computer mit einer Domäne zu verbinden. Es sollte kein vollständiger Domänenadministrator sein.
  • Sicher: Ein sicheres Kennwort sollte auf dem Konto platziert werden.

Citrix ist verantwortlich für die sichere Speicherung dieses Domänenkontos in einem Azure Key Vault im von Citrix verwalteten Azure-Abonnement des Kunden. Das Konto wird nur abgerufen, wenn ein Vorgang das Kennwort für das Domänenkonto benötigt.

Weitere Informationen

Weitere Informationen finden Sie unter:

Technische Sicherheit