Technische Sicherheit

Das folgende Diagramm zeigt die Komponenten in einer Citrix Virtual Apps and Desktops Standard für Azure-Bereitstellung. In diesem Beispiel wird eine VNet-Peering-Verbindung verwendet.

Citrix Virtual Apps and Desktops Standard für Azure-Komponenten und Azure VNet-Peer-Verbindung

Mit Citrix Virtual Apps and Desktops Standard für Azure werden die Virtual Delivery Agents (VDAs) des Kunden, die Desktops und Apps bereitstellen, sowie Citrix Cloud Connectors in einem von Citrix verwalteten Azure-Abonnement und -Mandanten bereitgestellt.

Citrix Zuständigkeit

Citrix Cloud Connectors für Kataloge ohne Domäne

Citrix Virtual Apps and Desktops Standard für Azure stellt mindestens zwei Cloud Connectors an jedem Ressourcenstandort bereit. Einige Kataloge können einen Ressourcenstandort gemeinsam nutzen, wenn sie sich in derselben Region befinden wie andere Kataloge für denselben Kunden.

Citrix ist für die folgenden Sicherheitsvorgänge auf nicht domänenverbundenen Katalog Cloud Connectors verantwortlich:

  • Anwenden von Betriebssystemupdates und Sicherheitspatches
  • Installieren und Verwalten von Antivirensoftware
  • Anwenden von Cloud Connector -Softwareupdates

Kunden haben keinen Zugriff auf die Cloud Connectors. Daher ist Citrix vollständig verantwortlich für die Leistung des nicht domänenverbundenen Katalogs Cloud Connectors.

Azure-Abonnement und Azure Active Directory

Citrix ist für die Sicherheit des Azure-Abonnements und Azure Active Directory (AAD) verantwortlich, die für den Kunden erstellt werden. Citrix stellt die Tenant-Isolation sicher, sodass jeder Kunde sein eigenes Azure-Abonnement und AAD hat, und Cross-Talk zwischen verschiedenen Mandanten wird verhindert. Citrix beschränkt den Zugriff auf die AAD auch nur auf den Citrix Virtual Apps and Desktops Standard für Azure-Dienst und Citrix Betriebspersonal. Der Zugriff von Citrix auf das Azure-Abonnement jedes Kunden wird überwacht.

Kunden, die Kataloge ohne Domäne verwenden, können den von Citrix verwalteten AAD als Authentifizierungsmittel für Citrix Workspace verwenden. Für diese Kunden erstellt Citrix Benutzerkonten mit eingeschränkten Berechtigungen im von Citrix verwalteten AAD. Weder die Benutzer noch Administratoren können jedoch Aktionen auf dem von Citrix verwalteten AAD ausführen. Wenn diese Kunden stattdessen ihren eigenen AAD verwenden, sind sie für ihre Sicherheit vollständig verantwortlich.

Virtuelle Netzwerke und Infrastruktur

Im Citrix verwalteten Azure-Abonnement des Kunden erstellt Citrix virtuelle Netzwerke zum Isolieren von Ressourcenstandorten. In diesen Netzwerken erstellt Citrix neben Speicherkonten, Schlüsseldepots und anderen Azure-Ressourcen virtuelle Maschinen für die VDAs, Cloud Connectors und Image-Builder-Maschinen. Citrix ist in Partnerschaft mit Microsoft für die Sicherheit der virtuellen Netzwerke verantwortlich, einschließlich virtueller Netzwerk-Firewalls.

Citrix stellt sicher, dass die standardmäßige Azure-Firewallrichtlinie (Netzwerksicherheitsgruppen) so konfiguriert ist, dass der Zugriff auf Netzwerkschnittstellen in VNet-Peering- und SD-WAN-Verbindungen eingeschränkt wird. Im Allgemeinen steuert dies den eingehenden Datenverkehr zu VDAs und Cloud Connectors. Einzelheiten finden Sie in den folgenden Abschnitten:

Kunden können diese Standard-Firewallrichtlinie nicht ändern, können jedoch zusätzliche Firewallregeln auf von Citrix erstellten VDA-Maschinen bereitstellen, um beispielsweise ausgehenden Datenverkehr teilweise zu beschränken. Kunden, die virtuelle private Netzwerkclients oder andere Software installieren, die Firewallregeln umgehen kann, auf von Citrix erstellten VDA-Maschinen sind für etwaige Sicherheitsrisiken verantwortlich.

Wenn Sie den Image-Builder in Citrix Virtual Apps and Desktops Standard für Azure zum Erstellen und Anpassen eines neuen Masterimages verwenden, werden die Ports 3389-3390 vorübergehend im von Citrix verwalteten VNet geöffnet, sodass der Kunde RDP an den Computer mit dem neuen Masterimage anpassen kann.

Citrix Zuständigkeit bei Verwendung von Azure VNet-Peering-Verbindungen

Damit VDAs in Citrix Virtual Apps and Desktops Standard für Azure lokale Domänencontroller, Dateifreigaben oder andere Intranetressourcen kontaktieren können, stellt Citrix Virtual Apps and Desktops Standard für Azure einen VNet-Peering-Workflow als Konnektivitätsoption bereit. Das von Citrix verwaltete virtuelle Netzwerk des Kunden wird mit einem vom Kunden verwalteten virtuellen Azure-Netzwerk verbunden. Das vom Kunden verwaltete virtuelle Netzwerk kann die Konnektivität mit den lokalen Ressourcen des Kunden mithilfe der Cloud-zu-lokalen Konnektivitätslösung nach Wahl des Kunden ermöglichen, z. B. Azure ExpressRoute oder IPSec-Tunnel.

Die Citrix Zuständigkeit für VNet-Peering beschränkt sich auf die Unterstützung des Workflows und der zugehörigen Azure-Ressourcenkonfiguration zum Herstellen einer Peering-Beziehung zwischen Citrix und vom Kunden verwalteten VNets.

Firewallrichtlinie für Azure VNet-Peering-Verbindungen

Citrix öffnet oder schließt die folgenden Ports für eingehenden und ausgehenden Datenverkehr, der eine VNet-Peering-Verbindung verwendet.

Citrix-verwaltetes VNet mit nicht domänenverbundenen Maschinen
  • Eingangsregeln
    • Zulassen Sie die Ports 80, 443, 1494 und 2598, die von VDAs an Cloud Connectors und von Cloud Connectors zu VDAs eingehen.
    • Erlauben Sie Ports 49152-65535 aus einem IP-Bereich, der von der Monitorschattenfunktion verwendet wird, an die VDAs eingehend. Siehe CTX101810.
    • Alle anderen eingehenden Nachrichten ablehnen. Dazu gehören interner VNet-Datenverkehr von VDA zu VDA und VDA zu Cloud Connector.
  • Ausgehende Regeln
    • Zulassen des gesamten ausgehenden Datenverkehrs.
Citrix verwaltetes VNet mit domänenverbundenen Computern
  • Eingangsregeln:
    • Zulassen Sie die Ports 80, 443, 1494 und 2598, die von den VDAs an Cloud Connectors und von Cloud Connectors zu VDAs eingehend sind.
    • Erlauben Sie Ports 49152-65535 aus einem IP-Bereich, der von der Monitorschattenfunktion verwendet wird, an die VDAs eingehend. Siehe CTX101810.
    • Alle anderen eingehenden Nachrichten ablehnen. Dazu gehören interner VNet-Datenverkehr von VDA zu VDA und VDA zu Cloud Connector.
  • Ausgehende Regeln
    • Zulassen des gesamten ausgehenden Datenverkehrs.
Vom Kunden verwaltetes VNet mit domänenverbundenen Maschinen
  • Es liegt an dem Kunden, sein VNet korrekt zu konfigurieren. Dies schließt das Öffnen der folgenden Ports für den Domänenbeitritt ein.
  • Eingangsregeln:
    • Erlauben Sie eingehend auf 443, 1494, 2598 von ihren Client-IPs für interne Starts.
    • Erlauben Sie eingehende auf 53, 88, 123, 135-139, 389, 445, 636 von Citrix VNet (vom Kunden spezifizierter IP-Bereich).
    • Eingehende Ports zulassen, die mit einer Proxy-Konfiguration geöffnet wurden.
    • Andere Regeln, die vom Kunden erstellt wurden.
  • Ausgehende Regeln:
    • Erlauben Sie ausgehend auf 443, 1494, 2598 an das Citrix VNet (vom Kunden spezifizierter IP-Bereich) für interne Starts.
    • Andere Regeln, die vom Kunden erstellt wurden.

Citrix Zuständigkeit bei Verwendung der SD-WAN-Konnektivität

Citrix unterstützt eine vollautomatische Bereitstellung virtueller Citrix SD-WAN Instanzen, um die Konnektivität zwischen Citrix Virtual Apps and Desktops Standard für Azure und lokalen Ressourcen zu ermöglichen. Citrix SD-WAN Konnektivität hat im Vergleich zum VNet-Peering eine Reihe von Vorteilen, darunter:

Hohe Zuverlässigkeit und Sicherheit von VDA-zu-Datacenter- und VDA-zu-Branch-Verbindungen (ICA).

  • Beste Benutzererfahrung für Büroangestellte mit erweiterten QoS-Funktionen und VoIP-Optimierungen.
  • Integrierte Möglichkeit zur Prüfung, Priorisierung und Berichterstattung über den Citrix HDX-Netzwerkverkehr und andere Anwendungsauslastung.

Citrix verlangt von Kunden, die die Vorteile der SD-WAN-Konnektivität für Citrix Virtual Apps and Desktops Standard für Azure nutzen möchten, dass sie SD-WAN Orchestrator für die Verwaltung ihrer Citrix SD-WAN Netzwerke verwenden.

Das folgende Diagramm zeigt die hinzugefügten Komponenten in einer Citrix Virtual Apps and Desktops Standard für Azure-Bereitstellung mit SD-WAN-Konnektivität.

Citrix Virtual Apps and Desktops Standard für Azure mit SD-WAN-Konnektivität

Die Citrix SD-WAN-Bereitstellung für Citrix Virtual Apps and Desktops Standard für Azure ähnelt der standardmäßigen Azure-Bereitstellungskonfiguration für Citrix SD-WAN. Weitere Informationen finden Sie unter Bereitstellen der Citrix SD-WAN Standard Edition-Instanz in Azure. In einer Hochverfügbarkeitskonfiguration wird ein aktives/Standby-Paar von SD-WAN-Instanzen mit Azure-Load Balancer als Gateway zwischen dem Subnetz, das VDAs und Cloud Connectors enthält, und dem Internet bereitgestellt. In einer Nicht-HA-Konfiguration wird nur eine einzelne SD-WAN-Instanz als Gateway bereitgestellt. Netzwerkschnittstellen der virtuellen SD-WAN-Appliances werden Adressen aus einem separaten kleinen Adressbereich zugewiesen, der in zwei Subnetze aufgeteilt ist.

Bei der Konfiguration der SD-WAN-Konnektivität nimmt Citrix einige Änderungen an der oben beschriebenen Netzwerkkonfiguration verwalteter Desktops vor. Insbesondere wird der gesamte ausgehende Datenverkehr aus dem von Citrix verwalteten VNet, einschließlich des Datenverkehrs zu Internetzielen, über die Cloud SD-WAN-Instanz geleitet. Die SD-WAN-Instanz ist auch als DNS-Server für das von Citrix verwaltete VNet konfiguriert.

Der Verwaltungszugriff auf die virtuellen SD-WAN-Instanzen erfordert eine Administratoranmeldung und ein Kennwort. Jeder SD-WAN-Instanz wird ein eindeutiges, zufällig sicheres Kennwort zugewiesen, das von SD-WAN-Administratoren für die Remoteanmeldung und Fehlerbehebung über die SD-WAN Orchestrator Benutzeroberfläche, die Verwaltungsschnittstelle der virtuellen Appliance und die CLI verwendet werden kann.

Wie andere mandantenspezifische Ressourcen sind virtuelle SD-WAN-Instanzen, die in einem bestimmten Kunden-VNet bereitgestellt werden, vollständig von allen anderen VNets isoliert.

Wenn der Kunde die Citrix SD-WAN Konnektivität aktiviert, automatisiert Citrix die anfängliche Bereitstellung virtueller SD-WAN-Instanzen, die mit Citrix Virtual Apps and Desktops Standard für Azure verwendet werden, verwaltet zugrunde liegende Azure-Ressourcen (virtuelle Maschinen, Lastausgleichsdienste usw.), bietet sichere und effiziente sofort einsatzbereite Standardeinstellungen für die Erstkonfiguration virtueller SD-WAN-Instanzen und ermöglicht die laufende Wartung und Fehlerbehebung über SD-WAN Orchestrator. Citrix ergreift auch angemessene Maßnahmen, um die automatische Validierung der SD-WAN-Netzwerkkonfiguration durchzuführen, auf bekannte Sicherheitsrisiken zu überprüfen und entsprechende Warnungen über SD-WAN Orchestrator anzuzeigen.

Firewall-Richtlinie für SD-WAN-Verbindungen

Citrix verwendet Azure-Firewallrichtlinien (Netzwerksicherheitsgruppen) und öffentliche IP-Adresszuweisung, um den Zugriff auf Netzwerkschnittstellen virtueller SD-WAN-Appliances zu beschränken:

  • Nur WAN- und Verwaltungsschnittstellen werden öffentliche IP-Adressen zugewiesen und ermöglichen ausgehende Konnektivität mit dem Internet.
  • LAN-Schnittstellen, die als Gateways für das von Citrix verwaltete VNet fungieren, dürfen nur Netzwerkverkehr mit virtuellen Maschinen auf demselben VNet austauschen.
  • WAN-Schnittstellen beschränken eingehenden Datenverkehr auf den UDP-Port 4980 (verwendet von Citrix SD-WAN für virtuelle Pfadkonnektivität) und verweigern ausgehenden Datenverkehr zum VNet.
  • Management-Ports ermöglichen eingehenden Datenverkehr zu den Ports 443 (HTTPS) und 22 (SSH).
  • HA-Schnittstellen dürfen nur den Steuerverkehr untereinander austauschen.

Zugang zur Infrastruktur

Citrix kann auf die von Citrix verwaltete Infrastruktur (Cloud Connectors) des Kunden zugreifen, um bestimmte administrative Aufgaben wie das Sammeln von Protokollen (einschließlich der Windows-Ereignisanzeige) und das Neustarten von Diensten ohne Benachrichtigung des Kunden auszuführen. Citrix ist für die sichere und sichere Ausführung dieser Aufgaben und mit minimalen Auswirkungen auf den Kunden verantwortlich. Citrix ist auch dafür verantwortlich, dass alle Protokolldateien sicher und sicher abgerufen, transportiert und verarbeitet werden. Auf Kunden-VDAs kann auf diese Weise nicht zugegriffen werden.

Sicherungen für nicht domänengebundene Kataloge

Citrix ist nicht für die Durchführung von Sicherungen von Katalogen, die nicht in die Domäne eingebunden sind, verantwortlich.

Backups für Masterimages

Citrix ist für die Sicherung aller Masterimages verantwortlich, die auf Citrix Virtual Apps and Desktops Standard for Azure hochgeladen wurden, einschließlich der mit dem Imagegenerator erstellten Images. Citrix verwendet lokal redundanten Speicher für diese Images.

Bastionen für nicht domaingebundene Kataloge

Citrix Betriebspersonal haben die Möglichkeit, bei Bedarf eine Bastion zu erstellen, um auf das von Citrix verwaltete Azure-Abonnement des Kunden zuzugreifen, um Kundenprobleme zu diagnostizieren und zu beheben, möglicherweise bevor der Kunde ein Problem kennt. Citrix benötigt nicht die Zustimmung des Kunden, eine Bastion zu erstellen. Wenn Citrix die Bastion erstellt, erstellt Citrix ein starkes zufällig generiertes Kennwort für die Bastion und schränkt den RDP-Zugriff auf Citrix NAT-IP-Adressen ein. Wenn die Bastion nicht mehr benötigt wird, verfügt Citrix über diese und das Kennwort ist nicht mehr gültig. Die Bastion (und die zugehörigen RDP-Zugriffsregeln) werden nach Abschluss der Operation entsorgt. Citrix kann mit der Bastion nur auf die Cloud Connectors des Kunden zugreifen, die nicht in die Domäne eingebunden sind. Citrix verfügt nicht über das Kennwort, um sich bei VDAs ohne Domäne oder in der Domäne verbundenen Cloud Connectors und VDAs anzumelden.

Firewall-Richtlinie bei Verwendung von Tools zur Fehlerbehebung

Wenn ein Kunde die Erstellung einer Bastionmaschine zur Fehlerbehebung anfordert, werden die folgenden Sicherheitsgruppenänderungen am von Citrix verwalteten VNet vorgenommen:

  • Vorübergehend erlauben 3389 eingehende aus dem kundenspezifischen IP-Bereich an die Bastion.
  • Vorübergehend erlauben 3389 eingehende von der Bastion IP-Adresse an eine beliebige Adresse im VNet (VDAs und Cloud Connectors).
  • Blockieren Sie weiterhin den RDP-Zugriff zwischen den Cloud Connectors, VDAs und anderen VDAs.

Wenn ein Kunde RDP-Zugriff zur Fehlerbehebung aktiviert, werden die folgenden Sicherheitsgruppenänderungen am von Citrix verwalteten VNet vorgenommen:

  • Zulassen Sie vorübergehend 3389 eingehend aus dem vom Kunden angegebenen IP-Bereich an eine beliebige Adresse im VNet (VDAs und Cloud Connectors).
  • Blockieren Sie weiterhin den RDP-Zugriff zwischen den Cloud Connectors, VDAs und anderen VDAs.

Vom Kunden verwaltete Abonnements

Bei kundenverwalteten Abonnements hält Citrix bei der Bereitstellung der Azure-Ressourcen die oben genannten Verantwortlichkeiten ein. Nach der Bereitstellung fällt alles oben in die Verantwortung des Kunden, da der Kunde Eigentümer des Azure-Abonnements ist.

Vom Kunden verwaltete Abonnements

Kundenverantwortung

VDAs und Masterimages

Der Kunde ist für alle Aspekte der auf VDA-Maschinen installierten Software verantwortlich, einschließlich:

  • Betriebssystem-Updates und Sicherheits-Patches
  • Antivirus und Antischadsoftware
  • VDA-Softwareupdates und Sicherheitspatches
  • Zusätzliche Software-Firewall-Regeln (insbesondere ausgehender Datenverkehr)
  • Folgen Sie Sicherheitsüberlegungen und Best Practices von Citrix

Citrix stellt ein vorbereitetes Image bereit, das als Ausgangspunkt gedacht ist. Kunden können dieses Image für Proof-of-of-Concept oder Demonstrationszwecke oder als Basis für die Erstellung eines eigenen Masterimages verwenden. Citrix garantiert nicht die Sicherheit dieses vorbereiteten Images. Citrix versucht, das Betriebssystem und die VDA-Software auf dem vorbereiteten Image auf dem neuesten Stand zu halten und Windows Defender für diese Images zu aktivieren.

Kundenverantwortung bei Verwendung von VNet-Peering

Der Kunde muss alle Ports öffnen, die in Vom Kunden verwaltetes VNet mit domänenverbundenen Maschinen angegeben sind.

Wenn VNet-Peering konfiguriert ist, ist der Kunde für die Sicherheit seines eigenen virtuellen Netzwerks und seine Konnektivität mit seinen lokalen Ressourcen verantwortlich. Der Kunde ist auch für die Sicherheit des eingehenden Datenverkehrs aus dem von Citrix verwalteten Peered-virtuellen Netzwerk verantwortlich. Citrix ergreift keine Maßnahmen, um den Datenverkehr vom von Citrix verwalteten virtuellen Netzwerk zu den lokalen Ressourcen des Kunden zu blockieren.

Kunden haben die folgenden Optionen, um eingehenden Datenverkehr zu beschränken:

  • Verteilen Sie dem von Citrix verwalteten virtuellen Netzwerk einen IP-Block, der an anderer Stelle im lokalen Netzwerk des Kunden oder im vom Kunden verwalteten virtuellen Netzwerk nicht verwendet wird. Dies ist für VNet-Peering erforderlich.
  • Fügen Sie Azure-Netzwerksicherheitsgruppen und -Firewalls im virtuellen Netzwerk und im lokalen Netzwerk des Kunden hinzu, um den Datenverkehr aus dem von Citrix verwalteten IP-Block zu blockieren oder zu beschränken.
  • Stellen Sie Maßnahmen wie Intrusion Prevention Systeme, Software-Firewalls und Verhaltensanalyse-Engines im virtuellen Netzwerk und lokalen Netzwerk des Kunden bereit und richten Sie sich an den von Citrix verwalteten IP-Block.

Kundenverantwortung bei Verwendung von SD-WAN-Konnektivität

Wenn die SD-WAN-Konnektivität konfiguriert ist, haben Kunden volle Flexibilität, virtuelle SD-WAN-Instanzen, die mit Citrix Virtual Apps and Desktops Standard für Azure verwendet werden, entsprechend ihren Netzwerkanforderungen zu konfigurieren, mit Ausnahme einiger Elemente, die erforderlich sind, um den korrekten Betrieb von SD-WAN in der Citrix-verwaltetes VNet. Zu den Aufgaben des Kunden gehören:

  • Entwurf und Konfiguration von Routing- und Firewallregeln, einschließlich Regeln für DNS- und Internetdatenverkehr.
  • Wartung der SD-WAN-Netzwerkkonfiguration.
  • Überwachung des Betriebszustands des Netzes.
  • Rechtzeitige Bereitstellung von Citrix SD-WAN -Softwareupdates oder Sicherheitsupdates. Da alle Instanzen von Citrix SD-WAN in einem Kundennetzwerk dieselbe Version der SD-WAN-Software ausführen müssen, müssen Bereitstellungen aktualisierter Softwareversionen für Citrix Virtual Apps and Desktops Standard für Azure SD-WAN-Instanzen von Kunden gemäß ihren Netzwerkwartungsplänen und -beschränkungen verwaltet werden..

Falsche Konfiguration von SD-WAN-Routing- und Firewallregeln oder falsche Verwaltung von SD-WAN-Verwaltungskennwörtern kann zu Sicherheitsrisiken sowohl für virtuelle Ressourcen in Citrix Virtual Apps and Desktops Standard für Azure als auch für lokale Ressourcen führen, die über virtuelle Citrix SD-WAN -Pfaden erreichbar sind. Ein weiteres mögliches Sicherheitsrisiko besteht darin, dass die Citrix SD-WAN -Software nicht auf die neueste verfügbare Patch-Version aktualisiert wird. Während SD-WAN Orchestrator und andere Citrix Cloud-Dienste die Mittel zur Bewältigung solcher Risiken bieten, sind die Kunden letztlich dafür verantwortlich, dass virtuelle SD-WAN-Instanzen ordnungsgemäß konfiguriert werden.

Proxyserver

Der Kunde kann wählen, ob ein Proxy für ausgehenden Datenverkehr vom VDA verwendet werden soll. Wenn ein Proxy verwendet wird, ist der Kunde verantwortlich für:

  • Konfigurieren der Proxyeinstellungen auf dem VDA-Masterimage oder, wenn der VDA einer Domäne beigetreten ist, mithilfe der Active Directory Gruppenrichtlinie.
  • Wartung und Sicherheit des Proxys.

Proxys sind nicht für die Verwendung mit Citrix Cloud Connectors oder einer anderen von Citrix verwalteten Infrastruktur zulässig.

Katalog-Ausfallsicherheit

Citrix bietet drei Arten von Katalogen mit unterschiedlichen Ausfallgraden:

  • Statisch: Jeder Benutzer wird einem einzelnen VDA zugewiesen. Dieser Katalogtyp bietet keine hohe Verfügbarkeit. Wenn der VDA eines Benutzers ausfällt, muss er auf einen neuen gestellt werden, um ihn wiederherzustellen. Azure bietet eine SLA von 99,5% für Einzelinstanz-VMs. Der Kunde kann das Benutzerprofil weiterhin sichern, aber alle am VDA vorgenommenen Anpassungen (z. B. das Installieren von Programmen oder das Konfigurieren von Windows) gehen verloren.
  • Zufällig: Jeder Benutzer wird beim Start einem Server-VDA zufällig zugewiesen. Dieser Katalogtyp bietet eine hohe Verfügbarkeit über Redundanz. Wenn ein VDA ausfällt, gehen keine Informationen verloren, da sich das Profil des Benutzers an anderer Stelle befindet.
  • Windows 10-Multisession: Dieser Katalogtyp funktioniert wie der zufällige Typ, verwendet jedoch Windows 10-Workstation-VDAs anstelle von Server-VDAs.

Backups für in Domänen eingebundene Kataloge

Wenn der Kunde Domain-Kataloge mit einem VNet-Peering verwendet, ist der Kunde für die Sicherung seiner Benutzerprofile verantwortlich. Citrix empfiehlt Kunden, lokale Dateifreigaben zu konfigurieren und Richtlinien in ihren Active Directory oder VDAs festzulegen, um Benutzerprofile aus diesen Dateifreigaben zu ziehen. Der Kunde ist für die Sicherung und Verfügbarkeit dieser Dateifreigaben verantwortlich.

Notfallwiederherstellung

Im Falle eines Azure-Datenverlustes stellt Citrix so viele Ressourcen im Citrix verwalteten Azure-Abonnement wie möglich wieder her. Citrix versucht, die Cloud Connectors und VDAs wiederherzustellen. Wenn Citrix die Wiederherstellung dieser Elemente nicht erfolgreich ist, sind Kunden für die Erstellung eines neuen Katalogs verantwortlich. Citrix geht davon aus, dass Masterimages gesichert werden und dass Kunden ihre Benutzerprofile gesichert haben, sodass der Katalog neu erstellt werden kann.

Im Falle des Verlustes einer gesamten Azure-Region ist der Kunde dafür verantwortlich, sein vom Kunden verwaltetes virtuelles Netzwerk in einer neuen Region neu aufzubauen und ein neues VNet-Peering oder eine neue SD-WAN-Instanz in Citrix Virtual Apps and Desktops Standard für Azure zu erstellen.

Gemeinsame Zuständigkeiten von Citrix und Kunden

Citrix Cloud Connector für domänenverknüpfte Kataloge

Citrix Virtual Apps and Desktops Standard für Azure stellt mindestens zwei Cloud Connectors an jedem Ressourcenstandort bereit. Einige Kataloge können einen Ressourcenstandort gemeinsam nutzen, wenn sie sich in derselben Region, VNet-Peering und Domäne befinden wie andere Kataloge für denselben Kunden. Citrix konfiguriert die in der Domäne des Kunden eingebundenen Cloud Connectors für die folgenden Standardsicherheitseinstellungen auf dem Image:

  • Betriebssystem-Updates und Sicherheits-Patches
  • Antivirensoftware
  • Cloud Connector -Softwareupdates

Kunden haben normalerweise keinen Zugriff auf die Cloud Connectors. Sie können jedoch Zugriff erhalten, indem Sie Schritte zur Katalogproblembehandlung und die Anmeldung mit Domänenanmeldeinformationen verwenden. Der Kunde ist für alle Änderungen verantwortlich, die er bei der Anmeldung durch die Bastion vornimmt.

Kunden haben auch die Kontrolle über die in die Domäne eingebundenen Cloud Connectors über Active Directory Gruppenrichtlinien. Der Kunde ist dafür verantwortlich, dass die für den Cloud Connector geltenden Gruppenrichtlinien sicher und sinnvoll sind. Wenn der Kunde beispielsweise Betriebssystemaktualisierungen mithilfe von Gruppenrichtlinien deaktivieren möchte, ist der Kunde für die Durchführung von Betriebssystemaktualisierungen auf den Cloud Connectors verantwortlich. Der Kunde kann auch Gruppenrichtlinien verwenden, um strengere Sicherheit als die Standardeinstellungen des Cloud Connector zu erzwingen, z. B. durch die Installation einer anderen Antivirensoftware. Im Allgemeinen empfiehlt Citrix Kunden, Cloud Connectors ohne Richtlinien in ihre eigene Active Directory Organisationseinheit zu integrieren, da dadurch sichergestellt wird, dass die von Citrix verwendeten Standardwerte problemlos angewendet werden können.

Problembehandlung

Für den Fall, dass der Kunde Probleme mit dem Katalog in Citrix Virtual Apps and Desktops Standard für Azure hat, gibt es zwei Möglichkeiten zur Problembehandlung: Verwenden von Bastions und Aktivieren des RDP-Zugriffs. Beide Optionen führen Sicherheitsrisiken für den Kunden ein. Der Kunde muss dieses Risiko verstehen und einwilligen, bevor er diese Optionen nutzt.

Citrix ist verantwortlich für das Öffnen und Schließen der erforderlichen Ports für die Durchführung von Fehlerbehebungsvorgängen und die Einschränkung, auf welche Maschinen während dieser Vorgänge zugegriffen werden kann.

Bei Bastionen oder RDP-Zugriff ist der aktive Benutzer, der den Vorgang durchführt, für die Sicherheit der Maschinen verantwortlich, auf die zugegriffen wird. Wenn der Kunde über RDP auf den VDA oder den Cloud Connector zugreift und versehentlich einen Virus abschließt, ist der Kunde verantwortlich. Wenn das Citrix Support-Personal auf diese Maschinen zugreift, liegt es in der Verantwortung dieses Personals, Vorgänge sicher durchzuführen. Die Verantwortung für alle Sicherheitsanfälligkeiten, die von Personen, die auf die Bastion oder andere Computer in der Bereitstellung zugreifen (z. B. Kundenverantwortung für das Hinzufügen von IP-Bereichen zur Zulassungsliste, Citrix Zuständigkeit für die korrekte Implementierung von IP-Bereichen), wird an anderer Stelle in diesem Dokument behandelt.

In beiden Szenarien ist Citrix dafür verantwortlich, Firewall-Ausnahmen korrekt zu erstellen, um RDP-Datenverkehr zu ermöglichen. Citrix ist auch dafür verantwortlich, diese Ausnahmen zu widerrufen, nachdem der Kunde die Bastion entsorgt oder den RDP-Zugriff über Citrix Virtual Apps and Desktops Standard für Azure beendet hat.

Bastionen

Citrix kann Bastionen im von Citrix verwalteten virtuellen Netzwerk des Kunden innerhalb des von Citrix verwalteten Abonnements des Kunden erstellen, um Probleme proaktiv (ohne Kundenbenachrichtigung) zu diagnostizieren und zu beheben. Die Bastion ist eine Maschine, auf die der Kunde über RDP zugreifen kann und dann über RDP auf die VDAs und (für domänenverknüpfte Kataloge) Cloud Connectors zugreifen kann, um Protokolle zu sammeln, Dienste neu zu starten oder andere administrative Aufgaben auszuführen. Standardmäßig wird beim Erstellen einer Bastion eine externe Firewallregel geöffnet, um RDP-Datenverkehr von einem vom Kunden angegebenen IP-Adressbereich auf den Bastioncomputer zuzulassen. Außerdem wird eine interne Firewallregel geöffnet, um den Zugriff auf die Cloud Connectors und VDAs über RDP zu ermöglichen. Das Öffnen dieser Regeln stellt ein großes Sicherheitsrisiko dar.

Der Kunde ist dafür verantwortlich, ein sicheres Kennwort für das lokale Windows-Konto bereitzustellen. Der Kunde ist auch für die Bereitstellung eines externen IP-Adressbereichs verantwortlich, der RDP-Zugriff auf die Bastion ermöglicht. Wenn der Kunde sich dafür entscheidet, keinen IP-Bereich bereitzustellen (der es jedem erlaubt, RDP-Zugriff zu versuchen), ist der Kunde für jeden Zugriff verantwortlich, der durch bösartige IP-Adressen versucht wird.

Der Kunde ist auch für die Löschung der Bastion nach Abschluss der Fehlerbehebung verantwortlich. Der Bastion-Host macht zusätzliche Angriffsfläche verfügbar, sodass Citrix die Maschine acht (8) Stunden nach dem Einschalten automatisch herunterfährt. Citrix löscht jedoch niemals automatisch eine Bastion. Wenn der Kunde die Bastion für einen längeren Zeitraum nutzen möchte, ist er für das Patchen und Aktualisieren verantwortlich. Citrix empfiehlt, eine Bastion nur für mehrere Tage zu verwenden, bevor sie gelöscht wird. Wenn der Kunde eine aktuelle Bastion wünscht, kann er seine aktuelle Bastion löschen und dann eine neue Bastion erstellen, die eine neue Maschine mit den neuesten Sicherheits-Patches bereitstellt.

RDP-Zugriff

Wenn das VNet-Peering des Kunden in Domänen eingebunden ist, kann der Kunde RDP-Zugriff von seinem Peered-VNet auf sein von Citrix verwaltetes VNet ermöglichen. Wenn der Kunde diese Option verwendet, ist der Kunde für den Zugriff auf die VDAs und Cloud Connectors über das VNet-Peering verantwortlich. Quell-IP-Adressbereiche können angegeben werden, so dass der RDP-Zugriff auch innerhalb des internen Netzwerks des Kunden weiter eingeschränkt werden kann. Der Kunde muss Domänenanmeldeinformationen verwenden, um sich bei diesen Computern anzumelden. Wenn der Kunde mit dem Citrix Support arbeitet, um ein Problem zu beheben, muss der Kunde diese Anmeldeinformationen möglicherweise an das Support-Personal weitergeben. Nachdem das Problem behoben wurde, ist der Kunde für die Deaktivierung des RDP-Zugriffs verantwortlich. Das Öffnen des RDP-Zugriffs über das Peered-Netzwerk oder das lokale Netzwerk des Kunden stellt ein Sicherheitsrisiko dar.

Domänenanmeldeinformationen

Wenn sich der Kunde für die Verwendung eines in der Domäne eingebundenen Katalogs entscheidet, ist der Kunde dafür verantwortlich, Citrix Virtual Apps and Desktops Standard für Azure ein Domänenkonto (Benutzername und Kennwort) mit Berechtigungen zum Beitreten von Maschinen zur Domäne bereitzustellen. Bei der Bereitstellung von Domänenanmeldeinformationen ist der Kunde für die Einhaltung der folgenden Sicherheitsprinzipien verantwortlich:

  • Überprüfbar: Das Konto sollte speziell für die Verwendung von Citrix Virtual Apps and Desktops Standard for Azure erstellt werden, damit Sie einfach überprüfen können, wofür das Konto verwendet wird.
  • Geltungsbereich: Für das Konto sind nur Berechtigungen erforderlich, um Computer mit einer Domäne zu verbinden. Es sollte kein vollständiger Domänenadministrator sein.
  • Sicher: Ein starkes Kennwort sollte auf dem Konto platziert werden.

Citrix ist für die sichere Speicherung dieses Domänenkontos in einem Azure Key Vault im Citrix verwalteten Azure-Abonnement des Kunden verantwortlich. Das Konto wird nur abgerufen, wenn für einen Vorgang das Domänenkontokennwort erforderlich ist.

Mehr Informationen

Weitere Informationen finden Sie unter:

Technische Sicherheit