Tech Paper: Bewährte Sicherheitsmethoden für Citrix Virtual Apps and Desktops

Haftungsausschluss: Diese Informationen werden “wie besehen” ohne jegliche Garantie bereitgestellt. Sie dienen nur zu Informationszwecken und können jederzeit im alleinigen Ermessen von Citrix geändert werden.

Einführung

Globale Unternehmen — darunter Gesundheitswesen, Behörden und Finanzdienstleister — verlassen sich auf Citrix Virtual Apps and Desktops (CVAD), um sicheren Remote-Zugriff auf Umgebungen und Anwendungen zu ermöglichen. Bei ordnungsgemäßer Konfiguration kann CVAD Sicherheitsmaßnahmen bieten, die weit über das hinausgehen, was in Unternehmensbetriebssystemen nativ verfügbar ist. Citrix bietet zusätzliche Steuerelemente, die Sie mithilfe von Virtualisierung aktivieren.

In diesem Techpaper werden Empfehlungen und Ressourcen vorgestellt, die Ihnen helfen, eine Sicherheitsbasis für Ihre virtualisierte Umgebung zu schaffen. Wir stellen einige der wichtigsten Sicherheitsverbesserungen vor, die Sie vornehmen können. Probieren Sie Änderungen wie diese immer in einer Test- oder Entwicklungsumgebung aus, bevor Sie Ihre Produktionsumgebung modifizieren. Durch Tests können Sie unerwartete Probleme oder Ergebnisse vermeiden.

Dieses Tech Paper verwendet die traditionelle mehrschichtige Methodik, die von Citrix Professional Services entwickelt wurde:

Mehrschichtiger Ansatz

Im Layermodell von Citrix hat die Sicherheit keine eigene Layer. Jeder Sicherheitsprozess oder jede Sicherheitsfunktion ist zwischen den Layer miteinander verflochten. Es ist wichtig, dass die Sicherheit in der gesamten Infrastruktur abgedeckt ist, einschließlich der sie umgebenden Prozesse.

Muss das Unternehmen bestimmte Sicherheitsstandards erfüllen, um regulatorische Anforderungen zu erfüllen? Dieses Dokument behandelt dieses Thema nicht, da sich solche Sicherheitsstandards im Laufe der Zeit ändern. Aktuelle Informationen zu Sicherheitsstandards und Produkten von Citrix finden Sie unter Sicherheits- und Compliance-Informationen und im Citrix Trust Center.

Benutzer- und Geräteebene

Wie ermöglicht ein Unternehmen seinen Endbenutzern die Verbindung mit virtuellen Desktops? Optionen wie Bring Your Own Device (BYOD) oder von Unternehmen ausgestellte Geräte sind verfügbar. Beide haben ihren eigenen Betriebsaufwand. Das Endpunktbereitstellungsmodell kann viele Auswirkungen auf den Entwurf haben, einschließlich Entscheidungen darüber, welche Features auf den Endpunkt ausgelagert werden können. Ein Benutzer, der eine Verbindung von einem BYOD-Gerät herstellt, hat möglicherweise keinen Zugriff auf die Zwischenablage, die Clientlaufwerkszuordnung (CDM) oder das Drucken. Ein Benutzer, der sich von einem “vertrauenswürdigen” unternehmenseigenen Gerät aus verbindet, kann auf die Zwischenablage und lokale Laufwerke zugreifen. Es gibt keine “Einheitsgröße” für Endpunktgeräte. Endpunkt-Clients müssen basierend auf den Anwendungsfall-, Mobilitäts-, Leistungs-, Kosten- und Sicherheitsanforderungen ausgewählt werden

Geräte-Lockdown

Das Endpunktgerät kann möglicherweise als Angriffsvektor verwendet werden, einschließlich solcher Angriffe wie Keylogger oder Zugangspunkte in das Netzwerk. Der Vorteil bei der Verwendung von Citrix ist die Reduzierung des Eingangspunkts für Maus, Tastatur und Bildschirmaktualisierungen. Benutzer können mehr Funktionen benötigen, z. B. den Zugriff auf lokale Clientlaufwerke, Druckmöglichkeiten und Funktionen für die Zwischenablage. Diese Funktionalität ist mithilfe von Citrix Richtlinien konfigurierbar. Citrix verfügt über die erforderlichen Steuerelemente, um das Risiko von Angriffsvektoren wie Anti-Keylogging und Deaktivierung von Ein- und Ausstiegspunkten zu verringern.

Diese Fragen müssen die IT-Supportteams bei der Bereitstellung von Geräten für die Endbenutzer berücksichtigen.

  • Benötigen Benutzer lokale Administratorberechtigungen für das Gerät?
  • Welche andere Software läuft auf dem Endpunkt? Kann andere Software installiert werden?
  • Hat der Benutzer eine VPN-Fähigkeit?
  • Wer aktualisiert das Gerät in Bezug auf das Betriebssystem- und Anwendungs-Patching?
  • Auf welche Ressourcen kann der Endpunkt zugreifen?
  • Wer hat Zugriff auf den Endpunkt selbst?

Endpoint-Protokollierung

Auch wenn ein Benutzer keine Software auf dem Endpunkt installieren kann, stellen Sie sicher, dass die Protokolle aktiviert und zentral erfasst werden. Mithilfe der Protokolle können Sie nachvollziehen, was bei einer Sicherheitsverletzung passiert ist. Sie können auch forensischen Analysten zur weiteren Überprüfung übergeben werden. Die Protokollierung ist ein entscheidendes Element für jede Umgebung und ihre Sicherheitsüberwachungsprozesse. Es empfiehlt sich auch, alle Protokolle an ein SIEM-System (Security Information and Event Management) weiterzuleiten. Mit diesem Detail können Sie Warnungen für bekannte Angriffsmethoden oder andere wichtige Ereignisse festlegen.

Wie bei jeder Art der Datenerfassung ist es wichtig, Daten nicht nur zu sammeln, sondern auch analysieren zu können. Es ist leicht, von der Menge der gemeldeten Daten überwältigt zu werden. Stellen Sie sicher, dass Sie eine potenzielle Warnung erkennen und darauf reagieren können.

Thin Client Terminals

In vielen Szenarien eignen sich Thin Client-Geräte perfekt für Umgebungen mit hohem Risiko. Thin Clients führen eine spezielle Version eines Betriebssystems aus und verfügen nur über ausreichend Betriebssystem und Anwendung, um eine Verbindung zu einer Citrix-Sitzung herzustellen. In diesem Szenario bietet das Patchen Vorteile. Bei Thin Clients gibt es nur begrenzte Anwendungen, die gepatcht und gewartet werden müssen. Normalerweise haben die Betriebssysteme einen reduzierten Platzbedarf. Da die Geräte über ein vereinfachtes und speziell entwickeltes Betriebssystem verfügen, sind die Daten auf dem Endpunkt begrenzt.

Für Thin-Client-Terminals, auf denen ein vollständiges Betriebssystem ausgeführt wird, ist die Verwendung von Schreibfiltern nützlich, um die Persistenz von Daten zu stoppen. Das Zurücksetzen der Terminals bei einem Neustart verringert die Wahrscheinlichkeit, dass ein Angreifer Daten auf dem Endpunkt speichert, die zur Formulierung eines Angriffs verwendet werden können. Stellen Sie sicher, dass Sie keine Protokolle und andere wichtige Daten zerstören, da diese für spätere forensische Analysen benötigt werden. Thin Client-Terminals haben den zusätzlichen Vorteil, dass sie in der Regel günstiger zu erwerben und zu warten sind als herkömmliche Desktops oder Laptops.

Patchen

Das Patch-Management muss eine der wichtigsten Überlegungen sein, die bei der Auswahl eines Endpunkts berücksichtigt werden müssen. Wie erhält das Unternehmen Sicherheitskorrekturen für die Endpunkte? In den meisten herkömmlichen Windows-Umgebungen verfügen Maschinen über Patches, die über den Windows Services Update Service (WSUS), System Center Configuration Manager (SCCM) oder andere automatisierte Dienste an sie übertragen werden. Diese Services eignen sich hervorragend, wenn die Unternehmens-IT den Endpunkt verwaltet.

Was ist mit BYOD? Wer patcht diese Geräte, um sicherzustellen, dass sie auf dem neuesten Stand sind? Da die Arbeit von zu Hause aus schnell zunimmt, wird das Patchen von Endpunkten komplizierter. Richtlinien müssen mit klaren Verantwortlichkeiten für den Benutzer definiert werden. Die Richtlinie ist erforderlich, um sicherzustellen, dass Benutzer wissen, wie sie ihre Geräte patchen und aktualisieren können. Einfache Benachrichtigungen auf der Anmeldeseite, die darauf hindeuten, dass ein neues Update veröffentlicht wurde und sie so schnell wie möglich gepatcht werden müssen, sind eine Methode. Sie können auch Endpoint Analysis Scans (EPA) auf dem Endpunkt verwenden, um den Zugriff auf die Infrastruktur zu verweigern, sofern dort keine aktuelle Software ausgeführt wird.

Es ist auch wichtig sicherzustellen, dass die Citrix Workspace-App auf dem Endpunkt gepatcht und auf dem neuesten Stand ist. Citrix bietet nicht nur Funktionserweiterungen, sondern auch Sicherheitsupdates in neuen Versionen.

Richtlinien zum App-Schutz

Der Endbenutzer gilt weithin als das schwächste Stück auf der Angriffsfläche einer Organisation. Es ist für Angreifer gängige Praxis geworden, ausgefeilte Methoden zu verwenden, um Benutzer dazu zu bringen, Malware auf ihren Endpunkten zu installieren. Nach der Installation kann die Malware vertrauliche Daten im Hintergrund sammeln und exfiltrieren. Benutzeranmeldeinformationen, sensible Informationen, geistiges Eigentum des Unternehmens oder vertrauliche Daten sind zielgerichtet. Endpunkte werden mit der Zunahme von BYO-Geräten zu einer noch exponierteren Bedrohungsfläche. Und wenn Sie von nicht verwalteten Endpunkten aus auf Unternehmensressourcen zugreifen. Da viele Benutzer von zu Hause aus arbeiten, wird das Risiko für die Organisationen aufgrund der fehlenden Vertrauenswürdigkeit des Endpunktgeräts erhöht.

Durch den Einsatz virtueller Apps und Desktops wurde die Angriffsfläche von Endpunkten stark reduziert. Daten werden zentral in einem Rechenzentrum gespeichert und es ist für den Angreifer viel schwieriger, sie zu stehlen. Die virtuelle Sitzung wird nicht auf dem Endpunkt ausgeführt, und Benutzer haben im Allgemeinen keine Berechtigung, Apps innerhalb der virtuellen Sitzung zu installieren. Die Daten innerhalb der Sitzung sind im Rechenzentrum oder im Cloudressourcenstandort sicher. Ein kompromittierter Endpunkt kann jedoch Sitzungstastenanschläge und Informationen erfassen, die auf dem Endpunkt angezeigt werden. Citrix bietet Administratoren die Möglichkeit, diese Angriffsvektoren mithilfe einer Zusatzfunktion namens App-Schutz zu verhindern. Mit dieser Funktion können CVAD-Administratoren Richtlinien speziell für eine oder mehrere Bereitstellungsgruppen durchsetzen. Wenn Benutzer eine Verbindung zu Sitzungen aus diesen Bereitstellungsgruppen herstellen, wird der Endpunkt des Benutzers entweder Anti-Screen-Capture oder Anti-Keylogging oder beide auf den Endpunkten durchgesetzt.

Weitere Informationen finden Sie in der technischen Übersicht zu den Richtlinien zum Schutz von Apps.

Account-Verwaltung

In der Benutzer- und Geräteschicht wurde ein großer Schwerpunkt auf die Gerätesicherheit gelegt. Dinge wie die Erstellung von Benutzerkonten und Autorisierungsprozesse für die Ressourcenzuweisung müssen zentralisiert und effizient verwaltet werden. Oft werden Konten einfach von Benutzern in ähnlichen Rollen “kopiert”. Es kann das Onboarding beschleunigen, führt jedoch zu Kriechen in Bezug auf Berechtigungen und nicht autorisierte Gruppenmitgliedschaften innerhalb des zentralen Verzeichnisses. Das Kopieren der Berechtigungen eines Benutzers aus einem früheren Konto kann ebenfalls zu einem unbefugten Zugriff auf Daten führen. Idealerweise muss der Datenbesitzer jede Gruppenanfrage autorisieren, bevor er Zugriff erhält.

Stilllegungskonten können einfach sein, wenn sie ordnungsgemäß in HR-Systeme integriert sind. Manchmal müssen Unternehmen Ressourcen von Drittanbietern ein- und ausgehen. Lieferantenkonten und zusätzliche Unterstützung für Stoßzeiten und beim Outsourcing von Geschäften. Wie werden diese Konten außer Betrieb genommen und letztendlich gelöscht? Im besten Fall verfügt das Unternehmen über klar definierte Verfahren für das Onboarding und Offboarding von Vertragsressourcen. Schließen Sie das Offboarding ab, indem Sie das Enddatum auf ein Minimum setzen, deaktivieren Sie das Konto und verschieben Sie es in eine “Holding-OU” innerhalb des Active Directory. Dann muss es gelöscht werden, wenn bestätigt wird, dass die Ressource nicht mehr benötigt wird. Letztlich möchten wir nicht, dass sich Auftragnehmer Monate nach dem Ausscheiden aus dem Unternehmen anmelden.

Zugriffsebene

Innerhalb des Citrix-Designprozesses authentifizieren sich Benutzer auf der Zugriffsebene. Hier werden die notwendigen Richtlinien angewendet und der dynamische kontextbasierte Zugriff bewertet. Die Zugriffsebene wurde mit Blick auf ein hohes Sicherheitsniveau entwickelt und ist von entscheidender Bedeutung.

Im folgenden Abschnitt möchten wir die Hauptaufgaben behandeln, um Ihre Citrix ADC-Bereitstellung besser zu sichern. Es gibt zwei gängige Bereitstellungstypen für Citrix ADCs. Eine Möglichkeit besteht darin, den ADC als Proxy für CVAD-Bereitstellungen zu verwenden. Die andere Möglichkeit besteht darin, dass Load Balancing-Anwendungen sie hochverfügbarer und sicherer machen. Wenn Sie die in diesem Dokument enthaltenen Details befolgen, verringern Sie das Risiko und die Gefährdung von Elementen, mit denen der Citrix ADC interagiert.

Starke Authentifizierung

Eine starke Authentifizierung wird für alle externen Verbindungen zu einem internen System empfohlen. Leider gibt es eine große Anzahl von Benutzernamen und Passwörtern, die von Angreifern durchsucht werden können. Sie stammen aus früheren Verstößen und Lecks mit über 12,3 Milliarden Datensätzen. Diese Zahl erhöht das Risiko eines Verstoßes gegen Ihr Unternehmen, sobald weitere verfügbar werden. Die Wiederverwendung eines Kennworts ist bei fast allen Menschen auf der Welt üblich, und Ihr Unternehmen kann aufgrund der schlechten Kennwortgewohnheiten Ihrer Benutzer gefährdet sein. Ein Benutzername und ein Kennwort dürfen nicht Ihre einzige Verteidigung für Ihre Anwendungen sein. Sie dürfen Personen von Natur aus nicht nur zwei Informationen anvertrauen, die leicht gestohlen werden können. Das Hinzufügen von Multifaktor-Authentifizierung zu allen Anwendungen ist mit dem Workflow des Benutzers nicht immer möglich, wir empfehlen jedoch, sie nach Möglichkeit bereitzustellen, insbesondere für den externen Zugriff.

Weitere Informationen finden Sie in der Produktdokumentation.

HDX-Verschlüsselung

Es ist seit langem ein Standard für die Aktivierung von RC5 — 128 Bit als Sicherheitsverschlüsselung für den HDX/ICA-Stream. Es bietet ein gewisses Maß an Sicherheit im ICA-Stream. Es wird empfohlen, VDA-SSL im ICA-Stream zwischen dem Endpoint und dem VDA zu aktivieren. Aktivieren Sie SSL zwischen dem ADC und dem VDA für eine zusätzliche Verschlüsselungsstufe. Die Konfiguration bindet ein Zertifikat an den Desktop-Dienst. Es verschlüsselt den ICA-Stream nach dem angegebenen Standard des gebundenen Zertifikats. Weitere Informationen zur Durchführung dieses Vorgangs finden Sie unter CTX220062.

SSL/TLS Chiffren

Überprüfen Sie die Transport Layer Security (TLS) -Verschlüsselungen und den SSL-Score für alle externen VIPs (Citrix Gateway). In den letzten Jahren gab es viele Sicherheitslücken in den SSL- und TLS-Protokollen. Stellen Sie sicher, dass Sie alle Best Practices für TLS verwenden, da sie sich ständig ändern. Stellen Sie sicher, dass ältere Protokolle wie SSLv3 und TLS 1.0 und TLS 1.1 deaktiviert sind.

Die Wahl zwischen einem Wildcard- oder SAN-Zertifikat ist ein weiterer Aspekt dieses Prozesses. Wildcards können kostengünstig, aber auch komplizierter sein. Das Ablaufen von Zertifikaten wirkt sich stark auf Bereitstellungen mit einer hohen Anzahl von Hosts aus. Ein SAN-Zertifikat kann jedoch effektiv ein eingeschränkter Platzhalter für nur 2—5 Standorte sein. Alle mit der Möglichkeit, mehr als eine TLD in demselben Zertifikat zu verwenden.

Aktuelle Empfehlungen finden Sie in den Best Practices für Citrix Networking SSL/TLS .

XML verschlüsseln

Stellen Sie sicher, dass Ihr XML-Verkehr vom Delivery Controller oder Cloud Connector zu StoreFront-Servern immer verschlüsselt ist. Damit soll verhindert werden, dass jemand mit einfachem Netzwerkzugriff sieht, was von Benutzern angefordert wird. Für jeden Server sind Zertifikate erforderlich, zusammen mit der Änderung der Konfiguration jedes Servers zur Verwendung des neuen verschlüsselten Ports (standardmäßig Port 443). Weitere Informationen finden Sie in der Produktdokumentation.

Hochsicherheitsempfehlung — Für eine Bereitstellung mit hoher Sicherheit wird empfohlen, nicht standardmäßige Ports zur Verschleierung zu verwenden. Stellen Sie außerdem sicher, dass zwischen den Serverrollen Firewalls für den XML-Verkehr konfiguriert sind, um den Datenverkehr bidirektional zu steuern.

StoreFront-SSL

Wir empfehlen dringend, für jede StoreFront-Bereitstellung eine verschlüsselte Basis-URL zu verwenden. Die Verschlüsselung stellt sicher, dass weder Anmeldeinformationen noch Daten zum Sitzungsstart ein Netzwerk ohne Transportschutz durchlaufen. In den meisten Bereitstellungen kann das Zertifikat von einer internen Zertifizierungsstelle ausgestellt werden. Diese Server befinden sich hinter einer Citrix ADC-Bereitstellung als Teil der ICA-Profileinstellungen für ein Citrix Gateway für externe Geräte. Oder sie befinden sich hinter einer Citrix ADC VIP, auf die normalerweise nur interne Geräte zugreifen. Stellen Sie sicher, dass starke Chiffren und TLS 1.1 oder 1.2 für die Serverkommunikation verwendet werden. Einzelheiten zu diesem Prozess sind in der Microsoft-Dokumentation.

Hochsicherheitsempfehlung — In Bereitstellungen mit hoher Sicherheit empfehlen wir, die ICA-Dateisignierung zu aktivieren, um sicherzustellen, dass die von der Citrix Workspace-App empfangenen Dateien Dieser Prozess wird in der StoreFront-Produktdokumentationbeschrieben.

VDA-Verschlüsselung

Die VDA-Verschlüsselung ist in der Regel eines der letzten Elemente, die zur Erhöhung der Sitzungstransportsicherheit konfiguriert wurden. Die Konfiguration ist auf dem VDA und den Bereitstellungsgruppenobjekten abgeschlossen.

Hochsicherheitsempfehlung — In Hochsicherheitsbereitstellungen empfehlen wir, die VDA-Verschlüsselung zu aktivieren, um den Transport der Citrix-Sitzungsinformationen weiter zu schützen. Die Verwendung eines PowerShell-Skripts ist die einfachste Methode, und der Vorgang wird in der Produktdokumentationbeschrieben.

Physischen Zugriff kontrollieren

Citrix ADC Appliances müssen an einem sicheren Ort mit ausreichender physischer Zugriffskontrolle bereitgestellt werden, um sie vor unbefugtem Zugriff zu schützen. Diese Anforderung gilt für physische Modelle und deren COM-Ports. Sie gilt auch für virtuelle Modelle auf Virtualisierungshosts und den zugehörigen ILO\DRAC-Verbindungen. Weitere Informationen finden Sie in der Citrix ADC-Produktdokumentation — Best Practices für physische Sicherheit.

Standardpasswörter ändern

Ein Standardkennwort zu haben, das der IT-Community bekannt ist, ist ein großes Risiko. Es gibt Netzwerkscanner, die nach Standardanmeldeinformationen suchen können, die in einem bestimmten Netzwerk verwendet werden. Die Effektivität dieser Scanner kann leicht verringert oder sogar eliminiert werden, indem einfach das Standardkennwort geändert wird. Alle Passwörter für Dienstkonten müssen an einem sicheren Ort wie einem Kennwort-Manager gespeichert werden. Die sichere Speicherung aller Passwörter für Dienstkonten ist ein grundlegender Informationssicherheitsstandard. Das Kennwort für jede Rolle und Bereitstellung (HA-Paar) muss eindeutig sein und Anmeldeinformationen dürfen niemals wiederverwendet werden. Weitere Informationen finden Sie in der Citrix ADC-Produktdokumentation - Ändern Sie die Standardkennwörter.

  • nsroot - Ändern Sie die Standardeinstellung, wenn Sie die Erstkonfiguration des Geräts starten. Dieses Konto ermöglicht vollen Administratorzugriff und der Schutz dieses Kennworts muss bei der Bereitstellung dieses Systems oberste Priorität haben. Wenn Sie 2020 ein neues Citrix ADC-System bereitstellen, hat es die Seriennummer der Appliance als Standardkennwort.
    • Erstellen Sie einen zweiten Superuser, der in Notfallszenarien verwendet werden kann, wenn die externe Authentifizierung ausgefallen ist. Verwenden Sie dieses Konto, anstatt das Standardkonto nsroot zu verwenden. Weitere Informationen finden Sie in der Citrix ADC-Produktdokumentation - Erstellen Sie ein alternatives Superuser-Konto
    • SDX-Benutzer müssen außerdem ein Administratorprofil erstellen, um das Standard-Administratorkennwort für jede bereitgestellte VPX-Instanz zu konfigurieren. Wir empfehlen, für jede Instanz ein anderes Admin-Profil zu erstellen. Jedes HA-Paar hat dasselbe Kennwort, ist aber für die anderen Instanzen eindeutig. Weitere Informationen finden Sie im Knowledge-Base-Artikel CTX215678
  • Lights on Management (LOM) — Dieses Konto ist in vielen physischen Citrix ADC-Plattformen üblich. Es ermöglicht den Zugriff auf die Befehlszeile und die Energieverwaltung des Geräts. Es enthält auch Standardkennwörter, die bei der Erstkonfiguration geändert werden müssen, um unbefugten Remote-Zugriff zu verhindern.
  • Key-Encryption-Key (KEK) -Kennwort — Diese Konfiguration verschlüsselt vertrauliche Kennwortbereiche lokal auf jeder Appliance. Weitere Informationen finden Sie im KEK-Kapitel.
  • SVM Admin-Konto — Diese Konto- und Kennwortänderung gilt nur für Citrix ADC SDX-Plattformen. Es hat das Standardkennwort nsroot und verwendet die Seriennummer nicht wie physische Geräte. Das Kennwort muss bei der Erstkonfiguration geändert werden, um unbefugten Remote-Zugriff zu verhindern.

Sicherer NSIP-Verkehr von allen Netzwerkzugriffen

Jedem Gerät in Ihrem Netzwerk muss die Verwaltung Ihrer Citrix ADC Appliances verweigert werden. Ihre Verwaltungs-IP-Adressen müssen sich in einem VLAN befinden, in dem Sie den Ein- und Ausgangsverkehr steuern. Diese Konfiguration stellt sicher, dass nur autorisierte privilegierte Arbeitsstationen oder andere autorisierte Netzwerke zur Verwaltung auf sie zugreifen können. Viele der Sicherheitslücken, die in den letzten 10 Jahren gefunden wurden, hängen mit dem Zugriff auf die NSIPs zusammen. Indem Sie diese IPs kontrolliert sichern, können Sie diesen Angriffsvektor drastisch verringern oder ganz eliminieren. Jedes Mal, wenn Sie den Zugriff auf die Verwaltung eines IT-Systems einschränken, müssen Sie ihn gründlich dokumentieren. Es ist am besten, Pläne für die Geschäftskontinuität zu haben, damit Sie die Auswirkungen klar verstehen.

  • Stellen Sie sicher, dass für Subnetz-IPs (SNIPs) und Mapped IPs (MIPs) keine Verwaltung aktiviert ist. Wenn die Verwaltung aktiviert ist, hat Ihr DMZ-Netzwerk über SNIP oder MIP Zugriff auf die Managementkonsole.
  • Um dies zu überprüfen, navigieren Sie zu Ihrem SNIP oder MIP über HTTP und HTTPS. Navigieren Sie in der Konsole zu System — Netzwerk — IPs und wählen Sie die IP aus. Sie sehen, ob das Kontrollkästchen Verwaltung aktiviert ist.
  • Sie können Access Control Lists auch verwenden, um den Zugriff auf die Verwaltung der ADC-Appliance einzuschränken. Die Beschränkung auf bestimmte Hosts oder Subnetze kann erfolgen, ohne dass die Verwaltungsschnittstelle hinter einer Firewall platziert wird. Weitere Informationen finden Sie in CTX228148 - So sperren Sie Citrix ADC Management Interfaces with ACLs und Citrix ADC Produktdokumentation - Netzwerksicherheit.
  • Wenn Sie Ihre Citrix ADCs hinter einer Firewall platzieren, müssen Sie gemäß den Diensten planen, die die Appliance bereitstellt. Planen Sie auch den Zugriff auf die Verwaltungsoberfläche jedes Geräts. Planen Sie auch unterstützende Wartungs- oder Sicherheitsgeräte wie Citrix Application Delivery Management (ADM) und Citrix Analytics ein. Weitere Informationen finden Sie unter Von Citrix Technologies verwendete Kommunikationsports) und CTX113250 — DMZ-Beispielkonfiguration.
  • In Bereitstellungen mit höherer Sicherheit können Sie auch die Management-Ports von den Standard-HTTP (TCP 80) und HTTPS (TCP 443) ändern. Ändern Sie sie in einen benutzerdefinierten Port, um eine Verschleierung zu erzeugen und die Identifizierung durch typische Scans zu verhindern. Jedes Gerät muss einzeln gewechselt werden. Weitere Informationen finden Sie in der Citrix ADC-Produktdokumentation.
  • Begrenzen Sie den gesamten ausgehenden (ausgehenden) und eingehenden (eingehenden) Datenverkehr aus den Verwaltungsnetzwerken, in denen der Citrix ADC bereitgestellt wird. Keine Einschränkungen bei der Überwachung dieser Verwaltungsnetzwerke erhöhen das Risiko für dieses Gerät. Bei kritischen Geräten wie einem Citrix ADC muss das Management auf bestimmte privilegierte Workstations beschränkt werden, um das Risiko potenzieller Angriffe zu verringern. Kontrollieren Sie den externen Zugriff, um zu verhindern oder zu verhindern, dass Angreifer auf andere Geräte zugreifen Verhindert, dass Angreifer auf Befehlssoftware zugreifen, die außerhalb Ihres Netzwerks gehostet wird.
  • Halten Sie alle NISIPs, LOMs und SVMs sowie Citrix ADC-Management-IPs von anderen Netzwerkgeräten getrennt. Stellen Sie die LOMs je nach Ihren Richtlinienstandards in physische und Out-of-Band-Managementnetzwerke mit anderen ähnlichen Systemen ein. Platzieren Sie die NSIPs und SVMs in einem anderen separaten Netzwerk. Die Verwendung eines VLAN nur für die Citrix ADC Management-IPs kann Ihre Firewall- und ACL-Regeln vereinfachen. Beschränken Sie den internen Zugriff auf eine bevorzugte Workstation und beschränken Sie den externen Zugriff.

Binden Sie Citrix ADC an LDAPS

Wir empfehlen, keine generischen Anmeldekonten für die tägliche Verwaltung zu verwenden. Wenn alle Konfigurationsänderungen von nsroot in einem IT-Team vorgenommen wurden, können Sie nicht nachverfolgen, wer sich angemeldet und eine bestimmte Änderung vorgenommen hat. Sobald das nsroot-Kontenkennwort geändert wurde, sollte das System sofort an LDAPS gebunden werden, um die Nutzung für ein bestimmtes Benutzerkonto zu verfolgen. Dieser Schritt bietet eine delegierte Kontrolle, sodass Sie schreibgeschützte Gruppen für Prüf- und Anwendungsteams erstellen können. Sie können dann bestimmten AD-Gruppen volle Administratorrechte gewähren. Wir raten davon ab, unverschlüsseltes LDAP zu verwenden, da Anmeldeinformationen mit Paketerfassungen gesammelt werden können. Weitere Informationen finden Sie in CTX212422

Wenn Sie an Microsoft Active Directory binden, stellen Sie sicher, dass Sie nur LDAPS als Protokoll verwenden. Stellen Sie außerdem sicher, dass NTLMv2 die einzige Hashing-Methode für Anmeldeinformationen und Netzwerksitzungen ist. Dieser Schritt ist eine Best Practice für die AD-Sicherheit. Es stellt sicher, dass die Anmeldeinformationen während der Übertragung für Authentifizierungsanforderungen und Netzwerksitzungen so geschützt wie möglich sind. Testen Sie diese Konfiguration ordnungsgemäß und überprüfen Sie sie mit älteren Windows-Clients, um Kompatibilitätsprobleme mit älteren Windows-Versionen zu ermitteln.

Wenn Sie an eine externe Authentifizierungsquelle binden, müssen Sie die lokale Authentifizierung für Konten wie deaktivieren nsroot. Aktivieren Sie optional nur bestimmte lokale Konten für die Verwendung der lokalen Authentifizierung. Abhängig von Ihren Bereitstellungsanforderungen kann der eine oder andere Pfad erforderlich sein. Für die meisten Bereitstellungen sind keine lokalen Konten erforderlich. Wenn ein Dienstkonto benötigt wird, können Sie einen LDAP-Benutzer erstellen und delegieren. Dieses Handbuch behandelt die Einrichtung beider Methoden, wobei eine Methode bereitgestellt werden muss.

Protokollierung und Warnmeldungen

Die Praxis von Syslog Forwarding ist entscheidend für die Reaktion auf Vorfälle zusammen mit einer fortgeschritteneren Fehlerbehebung. Diese Protokolle ermöglichen es Ihnen, Anmeldeversuche beim ADC zu sehen. Das Citrix Gateway kann Aktionen ausführen, die auf Richtlinien von Paket- und Systemoperationen basieren, wie zum Beispiel:

  • GeoIP- & BadIP-Blockierung
  • AppQoE-Schutz
  • Aktionen der Responder-Richtlinie

Diese Informationen können für die Behebung von Problemen von unschätzbarem Wert sein. Dieses Detail hilft Ihnen, eine potenzielle aktuelle Angriffssituation zu verstehen. Auf der Grundlage umsetzbarer Daten können Sie ermitteln, wie Sie am besten reagieren können, um Probleme zu lösen, einen Angriff zu stoppen oder abzuwehren. Ohne ein Syslog-Ziel, das auf Ihrem Citrix ADC konfiguriert ist, werden die erforderlichen Protokolle gelöscht, um Platz zu sparen, damit das System betriebsbereit bleibt. Weitere Informationen finden Sie in der Citrix ADC-Produktdokumentation - Protokollierung und Überwachung.

Es gibt viele kostenlose und kostenpflichtige Syslog-Server und -Collectors. Einige werden nach der Anzahl der Nachrichten pro Tag, dem Speicherplatz der Nachrichten berechnet oder es handelt sich lediglich um ein fortlaufendes Abonnement. Diese Lösungen müssen geplant werden, da sie eine beträchtliche Menge an Speicherplatz benötigen. Die Größe Ihres Syslog-Servers oder -Collectors muss auf der Grundlage der Anzahl der Ereignisse anderer kritischer Dienste festgelegt werden. Zu diesen Diensten gehören Active Directory-, Datenbank- und Dateiserver, VDAs und andere Anwendungsserver.

Citrix bietet den Citrix ADM Service als Syslog-Collector an. Citrix ADM kann Ihnen eine gewisse Aufbewahrung außerhalb des Geräts ermöglichen. Citrix ADM ist auch ein großartiges Tool, um diese Protokolle zu durchsuchen und anzuzeigen und die Ereignis-Dashboards zu verwenden. Es gibt viele großartige Standardansichten von Protokolldaten, die Ihnen bei der Fehlerbehebung, beim Anzeigen von Hardware, Authentifizierungsproblemen, Konfigurationsänderungen und vielem mehr helfen. Weitere Informationen finden Sie in der Citrix ADM-Produktdokumentation - Syslog auf Instanzen konfigurieren und Syslog-Meldungen anzeigen und exportieren.

Wir empfehlen dringend, diese Meldungsliste zu verwenden, um Ihre Warnungen basierend auf den von Ihnen verwendeten Funktionen des Citrix ADC zu erstellen. Allein die Aufbewahrung und Durchsuchbarkeit der Protokolle ist für die Fehlerbehebung und Überwachung von Sicherheitsereignissen wertvoll. Es ist wichtig sicherzustellen, dass Sie basierend auf dem Schwellenwert für schlechte Anmeldungen zusammen mit Any Logins, die die nsroot-Standardkonten verwenden, eine Warnung erhalten. Weitere Informationen finden Sie in Developer Docs - Syslog-Nachrichtenreferenz.

Konfigurieren Sie SNMP in Ihrer Überwachungslösung, um sicherzustellen, dass sowohl die Service- als auch die physische Überwachung aktiviert sind. Diese Einstellung gewährleistet den Service und den Betrieb des Geräts. Durch die Konfiguration von E-Mail können Systembenachrichtigungen an das entsprechende Postfach gesendet werden. Mit diesem Schritt können Sie auch über ablaufende Zertifikate und andere Benachrichtigungen informiert werden.

Services zur Überwachung und zum Schutz planen

Wenn Sie sich die Zeit nehmen, um zu planen, welche Dienste auf Ihrem Citrix ADC verwendet werden sollen, können Sie besser verstehen, welche Funktionen auf diese IP-Adressen angewendet werden können. Es ist eine großartige Gelegenheit, um zu überprüfen, ob Sie IP-Adressen zum Testen zugewiesen haben. Überprüfen Sie immer alle Sicherheitseinstellungen einer Test-VIP, bevor Sie den Responder und andere Richtlinien auf Ihre Produktions-VIP anwenden. Für diesen Schritt können mehr DNS-Einträge, SSL-Zertifikate, IP-Adressen und andere Konfigurationen erforderlich sein, damit er funktioniert.

Die drei häufigsten Anwendungsfälle für den Citrix ADC sind Load Balancing, Global Server Load Balancing und Citrix Gateway.

Wir empfehlen, alle geplanten VIPs entweder nach Intern oder Extern zu organisieren. Interne VIPs benötigen möglicherweise nicht alle Sicherheitsfunktionen, die für externe VIPs erforderlich sind. Die Bewertung, welche Länder auf externe Ressourcen zugreifen müssen, ist ein guter Planungsschritt, wenn Sie die GeoIP-Funktionen nutzen möchten. Treffen Sie sich mit Ihrer Geschäftsleitung und den Anwendungsverantwortlichen, um zu erfahren, ob Sie bestimmte Länder einschränken müssen.

Wenn möglich, stellen Sie Citrix ADM bereit, bevor Sie mit den Konfigurationsänderungen beginnen. Citrix ADM kann die Appliances problemlos regelmäßig sichern und bietet zusammen mit Metriken eine bessere Protokollsichtbarkeit. Eine Citrix ADC-Bereitstellung kann um weitere erweiterte Funktionen erweitert werden, um noch mehr Transparenz und Sicherheit zu bieten. Citrix ADM hat zusammen mit Citrix Analytics kostenpflichtige Editionen, die über eine reine Überwachungslösung hinausgehen können. Wir können ein automatisches Sicherheitsreaktionssystem werden.

Standard-SSL-Zertifikate ersetzen

Moderne Browser warnen Sie, dass ein Zertifikat ungültig ist und ein Sicherheitsrisiko darstellt, wenn es sich um Standardzertifikate handelt. Wenn Sie diesen Fehler täglich zugeben, sind Sie anfällig für einen echten Man-in-the-Middle-Angriff. Jemand kann während der Eingabe lesen, was Sie tippen, da er in den TLS-Stream gelangen kann. Das Ersetzen des Zertifikats kann einfach sein, je nachdem, ob Sie Ihre eigene interne Zertifizierungsstelle hosten, einen Drittanbieter-Service (mögliche Kosten verbunden) oder selbstsignierte Zertifikate verwenden. Sobald Sie die Zertifikate aktualisiert haben, muss Ihr Browser dem neuen Zertifikat vertrauen und darf beim Zugriff auf das Gerät keine Fehler verursachen. Sollte jemals wieder ein Zertifikatsfehler auftreten, müssen Sie das Ablaufdatum überprüfen. Es ist möglich, dass es ohne Ihr Wissen ersetzt wurde.

  • NSIP — Das Ändern dieses Zertifikats muss zuerst erfolgen, da hier die gesamte Verwaltung für die Appliance stattfindet. Dieser Vorgang muss auf jeder Appliance abgeschlossen sein. Weitere Informationen finden Sie in CTX122521.
  • LOM — Das Ändern dieser Zertifikate muss das nächste Ziel sein, sobald die NSIP-Managementzertifikate vom Standard geändert wurden. Dieser Vorgang muss auf jeder Appliance abgeschlossen sein. Weitere Informationen finden Sie in der Produktdokumentation.
  • SDX SVM — Wenn Sie ein SDX-Kunde sind, stellen Sie sicher, dass das Standardzertifikat ersetzt wurde. Die SDX SVM wird zusammen mit der Verwaltung der Instanzen selbst zu Ihrer primären Methode für das Appliance-Management. Dieser Vorgang muss auch auf jeder Appliance abgeschlossen sein. Weitere Informationen finden Sie in CTX200284.

Firmware-Aktualisierung

  1. Erstbereitstellung — Verwenden Sie die neueste verfügbare Firmware-Version für jede Citrix ADC-Plattform. Lesen Sie unbedingt die Versionshinweise, um festzustellen, ob es “bekannte Probleme” gibt, die Sie betreffen könnten. Die N-1-Methode wird häufig verwendet, um eine Version gegenüber der neuesten Version zurückzubleiben. Firmware-Updates werden auf jeder Instanz durchgeführt, unabhängig davon, welche Plattform Sie verwenden, ob es sich um eine CPX, MPX, SDX oder VPX handelt.
  2. LOM\ IPMI-Firmware-Updates — Wir empfehlen, dass die Firmware zum Zeitpunkt der Bereitstellung aktualisiert wird. Updates stellen sicher, dass Sie über die neuesten Funktionen und Korrekturen verfügen. Weitere Details finden Sie hier in der Produktdokumentation.
  3. Laufende UpdatesMelden Sie sich für Warnungen für Citrix Security Bulletins und Update-Benachrichtigungen für Citrix ADC, Citrix ADM und Citrix Web Application Firewall an.

Planen Sie, wie oft Sie Ihre Citrix ADCs jedes Jahr aktualisieren. Bereitgestellte Funktionen und IT-Organisationsrichtlinien müssen festlegen, wie Sie diese Updates planen. Wir sehen in der Regel, dass Updates 2-4 Mal pro Jahr veröffentlicht werden. Außerdem mit zwei Funktionsupdates und zwei Updates, die bekannte Probleme und Sicherheitskorrekturen beheben. Es stehen Anleitungen zur Verfügung, die Ihnen helfen, diese Upgrades ohne Serviceunterbrechung zu planen und zu planen. Wird auch auf andere unterstützende Systeme wie Citrix ADM angewendet, da Versionsparität immer empfohlen wird. Erfahren Sie mehr über das Upgrade eines Paares mit hoher Verfügbarkeit.

Datenschutz mit KEK

Durch das Erstellen eines KEK-Schlüsselpaars können Sie weiteren Datenschutz erhalten. Wir empfehlen dringend, diesen Schritt bei jedem Gerät durchzuführen. Das Schlüsselpaar verschlüsselt die Konfiguration in Bereichen mit Schlüsselkennwörtern. Wenn jemand Zugriff auf Ihre Datei ns.conf erhält, kann er daher keine Anmeldeinformationen oder Kennwörter daraus sammeln. Die beiden Schlüsseldateien, die sich im Stammverzeichnis des Ordners \flash\nsconfig\ befinden, müssen als hochsensibel betrachtet werden und entsprechend mit Backups mit angemessener Sicherheit geschützt werden.

Diese Einschränkung bedeutet, dass Migrationen von einer Appliance zur anderen mehr Schritte erfordern. Der KEK-Schlüssel muss der neuen Bereitstellung hinzugefügt werden, bevor Ihre Konfiguration entschlüsselt werden kann. Erfahren Sie mehr über das Erstellen eines Masterschlüssels für den Datenschutz (Suche nach Zeichenfolge KEK).

Ungültige Pakete verwerfen

Viele ungültige Pakete werden täglich an Ihr Citrix ADC-Gerät gesendet. Einige sind harmlos, aber die meisten werden zusammen mit protokollbasierten Angriffen für Fingerabdrücke verwendet. Durch die Aktivierung dieser Funktion werden CPU- und Speicherressourcen auf Ihrem Gerät gespart. Verhindern Sie die meisten bekannten Protokollangriffe, indem Sie kein teilweises oder fehlerhaftes Paket an die Back-End-Anwendung senden, die der ADC proxiert. Dieser Schritt kann sogar potenzielle zukünftige Angriffe blockieren, die auf Paketmanipulation beruhen.

Weitere Informationen finden Sie in der ProduktdokumentationCTX227979 und CTX121149.

Strikte Transportsicherheit über HTTP

Stellen Sie sicher, dass HSTS auf allen SSL-VIPs konfiguriert ist. Das Hauptziel von HTTP Strict Transport Security besteht darin, Anwendungen vor verschiedenen Angriffsmethoden wie Downgrade-Angriffen, Cookie-Hijacking und SSL-Stripping zu schützen. Dies ist vergleichbar mit Ungültige Pakete verwerfen, basiert jedoch sowohl auf HTTP als auch auf HTTPS. Dies basiert auf Standards, die in RFC 6797 mithilfe eines Eintrags im HTTP-Header zu finden sind. Dies fügt allen Anwendungen hinter dem Citrix ADC eine weitere Verteidigungsebene hinzu.

Ressourcenebene

Die Ressourcen, die die Benutzersitzung hosten, können ein höheres Risiko für Kompromisse darstellen. Ein Benutzer, der eine VDI-Sitzung ausführt, ähnelt einem Computer, der mit dem Unternehmensnetzwerk verbunden ist. Durch die Verwendung gut gestalteter Zugriffs- und Kontrollschichten kann das Unternehmen auf Zero-Trust-Modelle umstellen. Mit Zero-Trust wird der Zugriff abhängig von einer bestimmten Gruppe von Variablen dynamisch an die Ressourcen angepasst, die dem Endbenutzer zur Verfügung gestellt werden. Die folgenden Richtlinien bieten ein höheres Maß an Kontrolle beim Schutz der Unternehmenswerte vor Benutzern.

Build Hardening

Das Härten von Betriebssystem-Builds kann komplex und schwer zu erreichen sein. Es geht darum, dass die Kompromisse zwischen Benutzererfahrung, Benutzerfreundlichkeit und Sicherheit ein ausgewogenes Verhältnis bilden. Viele Kunden entscheiden sich für die Einhaltung der Baselines von Center for Internet Security (CIS), um virtuelle Maschinen in unterschiedlichen Rollen abzusichern. Microsoft bietet auch Hardening-Anleitungen für ähnliche Workloads. Es gibt sogar die ADMX-Dateien, die direkt in Gruppenrichtlinien implementiert werden müssen. Wenn Sie sich für diese Route entscheiden, gehen Sie vorsichtig vor. Stellen Sie sicher, dass Sie zuerst gründlich testen, ob die ursprünglichen Richtlinien übermäßig restriktiv sind. Diese Basislinien sind ein guter Ausgangspunkt für das Härten. Sie sollen jedoch nicht für alle Szenarien erschöpfend sein. Der Schlüssel zum Sperren liegt darin, gründlich zu testen und Penetrationstests von Drittanbietern zu fördern. Tests validieren Ihre Sicherheitskontrollen und deren Wirksamkeit gegen die neuesten Angriffsmethoden.

Im Rahmen der Systemhärtung empfahlen wir Administratoren, einige Zeit mit der Optimierung der zugrunde liegenden Betriebssysteme, Dienste und geplanten Aufgaben zu verbringen. Dieser Schritt entfernt alle unnötigen Prozesse aus den zugrunde liegenden Systemen. Es verbessert auch die Reaktionsfähigkeit des Sitzungshosts und bietet dem Endbenutzer eine verbesserte Benutzererfahrung. Citrix stellt das Optimierungstool Citrix Optimizer zur Verfügung, das viele Elemente des Betriebssystems automatisch für Administratoren optimiert. Die Ergebnisse des Citrix Optimizer müssen angepasst werden, um sicherzustellen, dass es keine negativen Auswirkungen auf Ihre Umgebung gibt.

Geplante Tasks

In einigen Fällen müssen wir geplante Aufgaben nutzen, um entweder routinemäßige Wartungsarbeiten durchzuführen oder ein laufendes Problem in der Umgebung zu lösen. Wenn wir geplante Aufgaben nutzen müssen, gibt es einige Empfehlungen, die im Voraus berücksichtigt werden müssen.

Privilegierte Konten — Stellen Sie nach Möglichkeit sicher, dass alle geplanten Aufgaben mit Konten konfiguriert werden, die über die richtigen Berechtigungen für das, was sie tun müssen, verfügen. Das Ausführen von geplanten Aufgaben mit Anmeldeinformationen für den Domänenadministrator wird beispielsweise nicht empfohlen.

Alternativen - Es kann sein, dass eine geplante Aufgabe als “Pflaster” für ein umfassenderes Problem verwendet wird. Gibt es einen besseren Weg, als eine geplante Aufgabe zu verwenden, um das Problem zu beheben. Möglicherweise wird ein vorübergehendes Problem behoben, aber die Ursache der Route behoben, anstatt eine geplante Aufgabe laufen zu lassen. Dies gilt insbesondere für Image-Updates, da die Möglichkeit besteht, dass sie nicht dokumentiert oder in die Build-Prozeduren eingespeist wurden. Es wird in zukünftigen Updates übersehen und möglicherweise weitere Probleme verursachen.

Patches und Updates

Die Sicherstellung, dass IT-Systeme gepatcht und auf dem neuesten Stand sind, ist für alle Software, Betriebssysteme und Hypervisoren gängige Praxis. Die Anbieter sind verpflichtet, sicherzustellen, dass ihre Software gepatcht wird, und lassen keine Sicherheitslücken zu. Einige bieten mehr Stabilität und Funktionsverbesserungen. Fast alle Anbieter haben einen Release-Zeitplan oder -Zyklus für die Anwendung von Patches und Updates auf ihre Software. Es wird empfohlen, dass Kunden lesen und verstehen, was gepatcht wird oder welche neuen Funktionen eingeführt werden. Diese Updates werden häufig über Route-to-Live-Lösungen verarbeitet. Durch ordnungsgemäße Tests können Ausfälle vermieden werden, die durch Änderungen an der Produktionsumgebung verursacht werden.

Anti-Malware

Es wird immer empfohlen, Anti-Malware oder Virenschutz auf allen Servern in der gesamten Infrastruktur bereitzustellen. Antivirus bietet eine gute erste Verteidigungslinie gegen bekannte Malware und viele andere Arten von Viren. Einer der komplexeren Aspekte von Antivirus besteht darin, sicherzustellen, dass die Virendefinitionen regelmäßig aktualisiert werden. Besondere Aufmerksamkeit ist bei nicht-persistenten VDI- oder gehosteten gemeinsam genutzten Workloads erforderlich. Es gibt viele Artikel, in denen beschrieben wird, wie Antivirus-Definitionen auf persistente Laufwerke umgeleitet werden können. Ziel ist es sicherzustellen, dass die Computer in der Antiviren-Management-Suite als einzelne Objekte identifiziert werden. Beachten Sie diese Richtlinien, um sicherzustellen, dass eine Antivirenlösung korrekt bereitgestellt und installiert wird. Anbieter von Antivirenprogrammen haben ihre eigenen empfohlenen Vorgehensweisen für die Bereitstellung ihrer Antimalware-Software. Wir empfehlen, ihre Richtlinien für eine korrekte Integration zu befolgen. Weitere Informationen finden Sie unter Best Practices für Endpunktsicherheit und Virenschutz.

Kontrolle über die Anwendung

Technologien wie AppLocker können schwierig zu implementieren sein, aber sie sind leistungsstarke Tools. Insbesondere im Hinblick auf den Schutz von Servern mit veröffentlichten Anwendungen mit vorhersehbaren Nutzungsmustern. In der Lage sein, die Umgebung granular auf die Ebene der ausführbaren Dateien zu sperren. Es ist von großem Vorteil, klar zu definieren, was laufen kann oder was nicht und von wem. Ganz zu schweigen von den Protokollierungsfunktionen beim Start von Anwendungen. In einer großen Unternehmensumgebung mit mehr als 500 Anwendungen müssen all diese Dinge sorgfältig abgewogen werden.

Windows-Richtlinien

Bei der Anwendung von Windows-Richtlinien auf einen Sitzungshost, unabhängig davon, ob es sich um einen VDI-basierten oder einen serverbasierten Workload handelt, kann dieser zwei wichtige Rollen spielen:

  • Härten des Betriebssystems
  • Die Benutzererfahrung optimieren

Um die Verwaltung von Betriebssystemen zu vereinfachen, müssen diese Richtlinien über die Microsoft-Gruppenrichtlinie angewendet werden. Dies erleichtert den Image-Erstellungsprozess. Wenn die Gruppenrichtlinie nicht verwendet wird, muss eine alternative Methode zur Bereitstellung der Lockdowns gefunden werden. Hardening und Optimierungen, die nicht über Richtlinien bereitgestellt werden können, müssen im Rahmen des Image-Erstellungsprozesses automatisiert werden.

Stellen Sie immer sicher, dass das Betriebssystem gesichert ist, bevor Benutzer darauf zugreifen können. Benutzer dürfen nur die minimale Anzahl von Aufgaben ausführen können, die zur Erfüllung ihrer Rolle erforderlich sind. Alle administrativen Anwendungen müssen gesichert und der Zugriff für allgemeine Benutzer deaktiviert sein. Dieser Schritt reduziert das Risiko, dass ein Benutzer seine Sitzung “ausbrechen” kann. Verhindern Sie, dass Benutzer potenziell Zugriff auf nicht autorisierte Daten erhalten oder böswillige Handlungen innerhalb des Betriebssystems ausführen.

Citrix Richtlinien

Richtlinien können je nach Benutzerzugriffsszenario angewendet werden. Beispiele für Citrix-Sitzungsauswertungen sind das Deaktivieren des Zugriffs auf die Zwischenablage oder die Zuordnung von Clientlaufwerken, falls dies Sie können sogar die unidirektionale Zwischenablage aktivieren, damit Daten in eine Sitzung kopiert werden können, aber nicht aus einer Sitzung heraus. Verschiedene Richtlinien können dabei helfen, den unbefugten Austritt von Daten aus der Systemsitzung zu kontrollieren. Jede Richtlinie muss sorgfältig geplant und verstanden werden.

Viele der Hardening-Konfigurationen, die im Abschnitt System Hardening dieses Artikels besprochen wurden, können in Form von Gruppenrichtlinien angewendet werden. Ermöglicht eine konsistente Anwendung auf allen Servern, die beim Hochfahren angewendet werden, bevor sich der Benutzer anmeldet. Dieser Schritt ermöglicht eine konsistente Benutzererfahrung in der gesamten Infrastruktur. Dies bedeutet weniger Fehlerbehebung und stellt sicher, dass die Sicherheitskontrollen für alle Assets und Benutzer konsistent sind.

Konfigurieren Sie die Bereitstellungsgruppen so, dass sich der VDA abrechnen kann, bevor sich Benutzer anmelden können. Dieser Schritt bietet ausreichend Zeit, um Richtlinien und Lockdowns auf die Sitzung anzuwenden. Es stellt sicher, dass alle Richtlinien auf den Server angewendet wurden, bevor sich der Benutzer anmeldet. Lesen Sie mehr über SettlementPeriodBeforeUse in den Entwickler-Unterlagen

Imageverwaltung

Die ordnungsgemäße Implementierung eines Image-Managementsystems hat sich für Kunden als erhebliche Zeitersparnis erwiesen. Wir unterstützen sowohl Machine Creation Services (MCS) als auch Provisioning Services (PVS). Die Image-Verwaltung bietet enorme Vorteile für Betriebs- und Sicherheitsfunktionen.

Zunächst wird ein Lockdown oder eine Kontrolle in einem Build konsistent auf alle Maschinen angewendet, von denen aus Benutzer auf ihre Ressourcen zugreifen. Das manuelle Bauen einzelner Maschinen ist nicht nur zeitaufwändig, sondern es ist garantiert, dass einige Konfigurationen oder Einstellungen übersehen oder inkonsistent sind. Wenn Sie die Konfiguration einmal festlegen und auf allen Computern bereitstellen, können Sie sicher sein, dass eine Sicherheitsimplementierung auf allen Computern konsistent ist.

Zweitens öffnet der Benutzer während einer Benutzersitzung auf einem VDA andere Anwendungen und Dokumente und greift auf vertrauliche Daten zu. Die Daten werden letztendlich auf dem virtuellen Desktop oder innerhalb der Anwendung zwischengespeichert. Sobald der Benutzer dann abgemeldet ist, werden zweifellos Datenreste zurückgelassen. Durch einen Neustart des Computers und die Rückkehr zum ursprünglichen goldenen Masterimage können Sie sicher sein, dass alle vertraulichen Daten bereinigt werden. Alles ist bereit, damit sich der nächste Benutzer anmelden und mit der Arbeit beginnen kann, ohne das Risiko einzugehen, auf die Daten des vorherigen Benutzers zuzugreifen. Weitere Informationen finden Sie hier Image Management Referenzarchitektur.

Hier sind einige Überlegungen zur Verwaltung von Einzelimages:

  • Beachten Sie die Antiviren-Konfigurationen.
  • Erstellen Sie keine Konten auf einer Vorlage oder einem Image, bevor Machine Creation Services oder Provisioning Services die Möglichkeit haben, das gesamte Image zu kopieren.
  • Planen Sie keine Aufgaben mit gespeicherten privilegierten Domänenkonten.
  • Dienstkonten müssen über ein dediziertes Konto mit den entsprechenden Berechtigungen verfügen.
  • Stellen Sie sicher, dass Sie alle Protokolldateien, Konfigurationsdateien und andere Informationsquellen entfernen, die Angreifer nutzen können, um mehr über Ihre Umgebung zu erfahren.

Die Beibehaltung dieser Sicherheitspraktiken trägt dazu bei, zu verhindern, dass ein Maschinenangriff lokale persistente Dieses Kennwort wird dann verwendet, um sich an gemeinsam genutzten MCS/PVS-Images anderer anzumelden.

Trennung von Arbeitslasten

Das Platzieren von Ressourcen in separaten Silos ist seit langem eine empfohlene Vorgehensweise. Nicht nur auf der Ressourcenebene, sondern auch auf Hardware- und Netzwerkebene Layer auf die wir später in diesem Artikel eingehen. Die Trennung von Arbeitslasten in verschiedene Bereitstellungsgruppen oder Maschinenkataloge hilft nicht bei der Feinabstimmung von Sicherheitsrichtlinien für eine Gruppe von Maschinen. Es wird auch die Auswirkungen einer Sicherheitsverletzung reduzieren. Wenn Sie eine Gruppe von Benutzern mit hohem Risiko haben, die auf Daten mit hoher Auswirkung zugreifen, müssen diese in eine entsprechend konfigurierte separate Umgebung getrennt werden. In der Umgebung müssen viel strengere Richtlinien und Protokollierung angewendet werden. Funktionen wie die Sitzungsaufzeichnung bieten eine zusätzliche Schutzebene beim Zugriff auf diese Daten.

Arbeitslasten können auf verschiedenen Ebenen getrennt werden - Hardwaretrennung (dedizierte Hosts), VM-Trennung oder sogar innerhalb der Betriebssystemtrennung (z. B. App-Maskierung oder strenge NTFS-Regeln). Im Rahmen der Unterteilung der Benutzer in verschiedene Stufen von Risikoprofilen müssen auch die Daten, auf die sie zugreifen, ähnlich behandelt werden. In diesem Schritt werden die richtigen Dateiberechtigungen und Zugriffsregeln auf Daten angewendet.

Mikro-Segmentierung

Ein Konzept, das jetzt mit der Umstellung auf Cloud-gehostete Infrastruktur und Zero-Trust-Architekturen an Bedeutung gewonnen hat. Wenn ein Angreifer erfolgreich Zugriff auf Ressourcen erhalten hat, möchten wir den Schaden begrenzen, den er möglicherweise verursachen könnte. Ob es sich um böswillige Schäden oder Datenlecks handelt.

Daher ist die Workload- und Datentrennung eine gute Vorgehensweise. Dieser Schritt beinhaltet einige Beiträge von Business Analysts (BA), um wichtige Ressourcen und Daten im gesamten Netzwerk hervorzuheben. Im Idealfall kann dann jeder Teil der Daten als hohe, mittlere oder geringe Auswirkungen auf das Unternehmen eingestuft werden, falls auf die Daten zugegriffen wird.

Je nach Auswirkung auf das Unternehmen kann jedes Datensegment unterschiedlich behandelt und voneinander getrennt werden. Beispielsweise kann ein Benutzer, der im Internet surft, ein hohes Risiko darstellen. Dies gilt insbesondere dann, wenn sie Software oder Dokumente herunterladen und in ihrer Sitzung speichern können. Daher würden wir erwägen, kritischere Ressourcen von Benutzeraktivitäten mit höherem Risiko zu isolieren. Das Surfen im Internet und der E-Mail-Zugriff sind getrennt von Daten wie personenbezogenen Daten (PII) oder sogar persönlichen Gesundheitsinformationen (PHI).

Trennen Sie Workloads zwischen Firewalls und steuern Sie, welche Anwendungen und Protokolle diese Netzwerksegmente durchqueren können. Arbeitslasten in Bereichen mit “hohem Risiko” können viel stärker gesperrt sein als “normale” Benutzerzugriffsmaschinen. Der Schlüssel hier ist die Implementierung der erforderlichen Sicherheitskontrollen basierend auf Benutzer- und Datensegmentierung.

Sitzungsaufzeichnung

Die Sitzungsaufzeichnung bietet IT-Teams die Möglichkeit, Videos von dem, was während einer bestimmten Benutzersitzung passiert ist, aufzunehmen und wiederzugeben. Das Video wird in dem Fall verwendet, in dem ein Benutzer etwas Bösartiges in der Umgebung ausgeführt hat. Diese Fähigkeit wird möglicherweise nicht für alle Benutzer benötigt. Sie kann für wichtige Personen, Benutzergruppen oder beim Zugriff auf vertrauliche Anwendungen, Desktops oder Ressourcen aktiviert werden. Aus diesen Aufzeichnungen können viele Erkenntnisse gewonnen werden, die möglicherweise nicht nur mit Windows-Ereignis- und Anwendungsprotokollen möglich sind. Die Videos können in einem Szenario zur Reaktion auf Vorfälle oder bei der Ursachenanalyse hilfreich sein. Diese Funktion ist leistungsstark und muss auf der Grundlage Ihrer Benutzerrichtlinien und Vereinbarungen mit Zustimmung Ihres Rechts- und IT-Teams sorgfältig geprüft werden.

Wasserzeichen

Für Sitzungen, bei denen ein Benutzer auf sensible Daten zugreift, ist ein Wasserzeichen eine große Abschreckung für den Diebstahl der Daten. Vor allem, wenn das Wasserzeichen den Benutzer eindeutig identifizieren kann. Citrix ermöglicht es Administratoren, zu konfigurieren, was angezeigt werden soll. Sie können Folgendes anzeigen:

  • Benutzeranmeldename
  • Client-IP-Adresse
  • VDA-IP-Adresse
  • VDA-Hostname
  • Login-Zeitstempel
  • Angepasster Text.

Da es sich um eine serverseitige Funktion handelt, ist sie für alle Sitzungen anwendbar (nicht nur auf bestimmten Endpunkten). Es ist immun gegen einen Prozessabbruch am Endpunkt durch den Benutzer als Workaround.

Weitere Informationen zum Wasserzeichen von Sitzungen finden Sie in der Produktdokumentation.

Gleichzeitige Verwendung

Ein umstritteneres Thema war die Verwendung von Hosts mit mehreren Sitzungen im Vergleich zu Einzelbenutzer-VDI-Sitzungen. Wenn sich mehrere Benutzer an einem einzigen Server anmelden, kann dies zu Problemen führen. Dies gilt insbesondere dann, wenn ein verärgerter Benutzer Software oder Code ausführen kann, um andere Anmeldeinformationen zu sammeln oder auf andere Benutzerdaten zuzugreifen. Der Betrieb einer soliden virtuellen Desktop-Infrastruktur ist mit zusätzlichen Kosten verbunden, und diese Kompromisse müssen berücksichtigt werden. Bedrohungsmodell-Benutzer und wählen den effizientesten Bereitstellungsmechanismus aus. Entscheiden Sie, ob ein Mehrbenutzer-Sitzungshost oder Einzelbenutzer-Sitzungshost der ideale Pfad ist. Eine Größe passt nicht für alle Benutzer. Führen Sie Benutzerprofile durch, um deren Anforderungen zu verstehen, und wählen Sie dann die beste Bereitstellungsmethode für Workloads für die Benutzergruppen aus.

Virtualisierungsbasierte Sicherheit

Virtualisierungsbasierte Sicherheit (VBS) verwendet einen sicheren Teil des Speichers, um sichere Assets aus der Sitzung zu speichern. Für diese Funktion ist ein Trusted Platform Module (TPM) oder Virtual Trusted Platform Module (vTPM) erforderlich, das auf einer unterstützten Plattform ausgeführt wird, um eine sichere Integration zu ermöglichen. Dies bedeutet, dass selbst wenn Malware erfolgreich im Kernel bereitgestellt wird, die vom Benutzer gespeicherten geheimen Daten geschützt bleiben. Jeder Code, der in der gesicherten Umgebung ausgeführt werden kann, muss von Microsoft signiert werden, was eine zusätzliche Kontrollebene bietet. Microsoft VBS kann sowohl im Windows Desktop- als auch im Server-Betriebssystem aktiviert werden. Microsoft VBS basiert auf einer Reihe von Technologien, die Credential Guard und Application Guard umfassen. Weitere Informationen zur virtualisierungsbasierten Sicherheit finden Sie hier.

Steuerungsebene

Die Kontrollebene ist die Layer der Lösung, die es Administratoren ermöglicht, die Citrix-Umgebung zu verwalten und Benutzern Zugriff auf Ressourcen zu gewähren. Details dazu, wie Ressourcen miteinander kommunizieren können, finden Sie in diesem Abschnitt. Aufgrund der Integration dieser Layer ist es wichtig sicherzustellen, dass Komponenten sicher integriert und kommunizieren können. Das Folgende reduziert die Sicherheitslage der Komponenten.

Verfügbarkeit sicherstellen

Bei der Bereitstellung einer Lösung müssen Komponenten hochverfügbar bereitgestellt werden. Es ist eine schlechte Praxis, Dienste zu haben, die aufgrund einzelner Ausfallpunkte ständig ausfallen. Daher stellt die Verwendung des N+1-Ansatzes für die Kapazität sicher, dass bei Anmelde- und Abmeldestürmen genügend Ressourcen verfügbar sind. Es gibt jedoch ein akzeptables Maß an Komponentenverlust, um die “gute” Benutzererfahrung zu erhalten. Jetzt folgen die meisten Kunden N+1 bei der Planung der Menge an Ressourcen, die verfügbar sein müssen. Je nach tolerierbarem Risiko kann dies jedoch N+2 sein.

Um sicherzustellen, dass genügend Ressourcen zur Verfügung stehen, um die Benutzerlast zu bewältigen, sollten die Komponenten auf dedizierte virtuelle Maschinen getrennt werden. Es ist eine schlechte Praxis, gemeinsam genutzte Komponenten auf virtuellen Maschinen auszuführen, und zwar nicht nur aus Sicht der Leistung, sondern auch aus Sicherheitsgründen. Aus Sicht von Citrix sind die folgenden Hauptkomponenten, aber nicht beschränkt auf:

  • StoreFront
  • Delivery Controller
  • SQL Server
  • Verbundauthentifizierungsdienst
  • Director
  • Lizenzserver
  • Cloud Connectors

Datenflüsse verschlüsseln

Unternehmen setzen auf einen “Zero Trust” -Ansatz für Services in ihren Umgebungen um. Es ist wichtiger denn je, sicherzustellen, dass die gesamte Kommunikation zwischen Komponenten gesichert und nach Möglichkeit sogar authentifiziert wird. Dieser Schritt verringert die Wahrscheinlichkeit, dass Angreifer vertrauliche Informationen lesen können, während sie sich im Netzwerk befinden. Aus Sicht von Citrix beinhaltet dieser Schritt im Wesentlichen das Binden eines Zertifikats an die entsprechenden Dienste von einer privaten oder öffentlichen Public Key-Infrastruktur (PKI).

Hochsicherheitsempfehlung - Bei Hochsicherheitsbereitstellungen legen die festgelegten Standards nahe, dass die Federal Information Processing Standards (FIPS) möglicherweise eingehalten werden müssen. Diese Anforderung beinhaltet Änderungen an virtualisierten Komponenten und bei der Betrachtung von Komponenten wie Citrix ADC. Außerdem sind akkreditierte Hardware-Appliances erforderlich. Citrix Trust Center

Build Hardening

Wie im Abschnitt Resource Layer beschrieben, wird dringend empfohlen, das Betriebssystem und die bereitgestellten Dienste zu schützen. In diesem Schritt werden nicht verwendete Dienste, geplante Aufgaben oder Funktionen deaktiviert. Achten Sie darauf, die Elemente, die zur Reduzierung des Angriffsdienstes auf der Maschine verwendet werden, nicht zu beeinträchtigen. Es gibt Baselines wie die CIS- und Microsoft-Sicherheitsbaselines, die verwendet werden können, um virtuelle Maschinen zu sperren, die in der Umgebung ausgeführt werden. Schließen Sie sowohl die Sitzungsserver ein, die die Benutzersitzungen hosten, als auch die Steuerungsdienste wie Cloud-Konnektoren und unterstützende Infrastruktur. Auf einer Infrastrukturmaschine müssen auch alle Dienste, Funktionen oder geplanten Aufgaben deaktiviert sein, die für den Betrieb des Dienstes nicht erforderlich sind.

Hardening von Dienstkonten

Einige Elemente einer Citrix-Lösung erfordern die Verwendung von Dienstkonten. Dienstkonten ermöglichen automatisierte Funktionen mit einer gewissen Authentifizierungs- und Autorisierungsstufe. Ein Dienstkonto darf nur die erforderliche Aufgabe ausführen dürfen und darf keinen erhöhten Zugriff auf das Netzwerk haben. Für jede automatisierte Funktion müssen Dienstkonten erstellt werden. Dieser Schritt schränkt die Autorisierungselemente inhärent ein und stellt sicher, dass innerhalb des Dienstes kein Kriechen von Berechtigungen auftritt. Wir empfehlen, sicherzustellen, dass die Passwörter für Dienstkonten mindestens einmal jährlich oder häufiger zurückgesetzt werden, basierend auf Ihren Compliance-Anforderungen. Diese Konten und/oder Gruppen müssen sich auch in geschützten Benutzergruppen innerhalb des Active Directory befinden, um zusätzlichen Schutz und Protokollierung zu gewährleisten.

Um Dienstkonten weiter zu schützen, wird außerdem empfohlen, solchen Konten nach Möglichkeit interaktive Anmelderechte zu verweigern, um sicherzustellen, dass das Konto nicht wiederverwendet werden kann, um sich bei einem Netzwerkgerät anzumelden, falls das Kennwort kompromittiert wird.

Stellen Sie sicher, dass sich das Konto nicht interaktiv mit einem Konto im Netzwerk anmelden kann, sei es ein:

  • Benutzerkonto
  • Administratorkonto
  • Service-Konto

Konten sollten regelmäßig überprüft und ihre Berechtigungen überprüft werden, um sicherzustellen, dass das Konto weiterhin benötigt wird. Überprüfen Sie auch, dass im Netzwerk kein zusätzliches “Privilegieren-Creep” stattgefunden hat. Privilege Creeping ist, wenn im Laufe der Zeit zusätzliche Berechtigungen Konten zugewiesen und niemals zurückgezogen werden können. Beispielsweise werden Berechtigungen zur Behebung eines Problems hinzugefügt, aber sie werden niemals überprüft und entfernt. Das Konzept der geringsten Rechte wird nicht eingehalten.

Geringste Berechtigung

Dieses Framework wird auf jedes Konto im Netzwerk angewendet. Durch diesen Schritt wird sichergestellt, dass alle erstellten Konten nur über die erforderlichen Berechtigungen verfügen, um die Rolle auszuführen. Wenn administrativer Zugriff erforderlich ist, müssen Benutzer über separate Konten verfügen, die für die Ausführung administrativer Funktionen verwendet werden. In einem idealen Szenario dürfen Berechtigungen für Konten nur für die Zeit erteilt werden, die für die Ausführung dieser Aufgabe erforderlich ist. Sobald die administrativen Aktionen abgeschlossen sind, müssen alle Berechtigungen, die nicht mehr benötigt werden, entfernt werden.

Kontrolle über die Anwendung

Anwendungssteuerelemente wurden in der Ressourcenebene behandelt. Ein ähnlicher Ansatz kann jedoch für die Kontrollebene gewählt werden. Durch das Zulassen der anwendungsspezifischen ausführbaren Dateien wird die Angriffsfläche auf laufenden Maschinen weiter reduziert. Nicht autorisierte ausführbare Dateien dürfen nicht ausgeführt werden. Dies ist mit administrativem Aufwand verbunden, bietet jedoch eine zusätzliche Kontrollebene. Dieser Schritt muss auf alle bereitgestellten Anwendungen angewendet werden. Bei diesem Ansatz ist zu berücksichtigen, dass Updates, die Fehler ändern, oder ausführbare Dateien, die auf dem System ausgeführt werden, vorab genehmigt werden müssen. Mit diesem Schritt können sie ausgeführt werden, nachdem ein Update durchgeführt wurde.

Host-basierte Firewall

Am häufigsten und wahrscheinlich ist das erste, was Administratoren deaktivieren, die hostbasierte Firewall. Sie kann jedoch für bestimmte Szenarien wie die Fehlerbehebung aktiviert werden. Wenn solche Dienste dauerhaft deaktiviert werden, besteht für die Umwelt ein hohes Risiko für Kompromisse. Die Firewall soll verhindern, dass Angreifer über unbekannte oder falsche Tools oder Anwendungen auf den Server zugreifen können. Stellen Sie sicher, dass die Firewall so konfiguriert ist, dass nicht autorisierte Elemente nicht ausgeführt werden. Sie muss jedoch so konfiguriert werden, dass Anwendungen funktionieren und miteinander kommunizieren können. Wenn Sie den Citrix VDA installieren, werden automatisch die Firewallregeln erstellt, die für die grundlegende VDA-Kommunikation erforderlich sind. Es kann auch die Windows-Remoteunterstützung und die erforderlichen RealTime-Audio-Ports hinzufügen. Testumgebungen sind erforderlich, damit Administratoren die Funktionsweise von Anwendungen klar verstehen können. Mit diesem Schritt können Sie Firewalls und Dienste in der Produktionsumgebung sicher konfigurieren. Vermeiden Sie negative Auswirkungen auf die Anwendung oder das Benutzererlebnis. Für Ports, die für das Funktionieren von Citrix-Umgebungen erforderlich sind, lesen Sie CTX101810.

TLS (Transport Layer Security)

TLS verschlüsselt die Kommunikation zwischen zwei oder mehr Komponenten. Die Authentifizierung, Aufzählung und das Starten einer Sitzung erfordert die Übertragung vertraulicher Informationen. Wenn diese Kommunikation nicht verschlüsselt ist, kann ein Angreifer möglicherweise Benutzeranmeldeinformationen oder andere vertrauliche Daten abrufen. Beim Härten von Umgebungen ist die Aktivierung von TLS eines der ersten Dinge, die getan werden müssen. Beachten Sie beim Aktivieren von TLS die empfohlenen Vorgehensweisen für die Erstellung der privaten Schlüssel. Es gibt viele Artikel über die Schlüsselverwaltung und die Erstellung empfohlener Verfahren für Zertifikate. Wir empfehlen, TLS mindestens für die folgenden Kommunikationen zu aktivieren:

  • STA-Dienst
  • XML-Brokern
  • StoreFront (Basis-URL)
  • ADC-Management-Schnittstelle
  • Gateway
  • Director, wenn es on-premises ausgeführt wird

Hostebene

Jede virtuelle Umgebung besteht aus mehreren Komponenten wie Speicher, Rechenleistung, Hypervisor und Netzwerk. Entwerfen und implementieren Sie diese Komponenten stets mit Sicherheitsfokus. Dies hat erhebliche Auswirkungen auf die kontinuierliche Reduzierung Ihrer Angriffsfläche. Bei Cloud-Diensten sind nicht alle anwendbar, aber die meisten gelten unabhängig davon, wo sich die Ressourcen befinden.

Hardware-Trennung

In der heutigen Cloud-Ära ist das Konzept der Hardwaretrennung für Administratoren weniger besorgniserregend geworden. Außerdem streben immer mehr Unternehmen eine höhere Kapitalrendite an, indem sie sicherstellen, dass die gesamte Hardware vollständig genutzt wird. Bei einigen Cloud-Anbietern ist dies nicht einmal möglich. Mit physischen Infrastrukturen on-premises können Sie Ressourcen jedoch immer noch in einzigartige Hosting-Umgebungen aufteilen. Zu diesen Angriffen gehört Hyper-Jacking, bei dem ein Angreifer über den VM-Toolstack einen Drilldown in eine VM durchführen kann. Dann erhält der Angreifer Zugriff auf den Hypervisor.

Viele der dokumentierten Angriffe sind theoretisch. Die Tatsache, dass sie öffentlich dokumentiert sind, deutet jedoch darauf hin, dass diese Art von Angriff effektiv sein kann. Da dies eine echte Möglichkeit ist, geht es um den Schutz der Daten. Trennen Sie Workloads in eindeutige Cluster und stellen Sie sicher, dass Workloads, die dieselbe Datenklassifizierung hosten, in diesen eindeutigen Clustern beibehalten werden. Wenn ein Angreifer irgendwie in die Hypervisor-Schicht eingebrochen ist, werden höhere Klassifizierungen von Daten nicht beeinträchtigt.

Netzwerk-Trennung

Die Aufteilung von Workloads in einzelne Subnetze, die logisch getrennt sind, kann die Auswirkungen oder die Ausbreitung eines Angriffs drastisch reduzieren. Normalerweise sind diese Subnetz-Layouts der perfekte Ausgangspunkt:

  • Zugriff auf Komponenten. Kleine Subnetzkompromittierung der ADC-IP-Adressen und des Rückruf-Gateways.
  • Citrix-Infrastruktur. Das Citrix Infrastruktursubnetz würde je nach bereitgestellter Infrastruktur Folgendes umfassen: StoreFront, Cloud Connectors/Controller, Director-Server, Citrix ADM.
  • Unterstützende Infrastruktur. Je nachdem, welche Infrastrukturkomponenten benötigt werden, sind diese Dienste Paradebeispiele für die Trennung: SQL-Server, Jump-Server und Lizenzserver. Dies hängt von Ihren Compliance-Anforderungen ab.
  • VDA-Subnetze. Bei der Dimensionierung der VDA-Subnetze gibt es keine richtige oder falsche Antwort. In der Vergangenheit haben wir historische Daten verwendet, um uns bei der Dimensionierung von PVS-Subnetzen zu orientieren. Im Laufe der Zeit haben sich die von PVS empfohlenen Praktiken weiterentwickelt. Zu beachten ist vor allem, dass die Subnetzgröße basierend auf der Anzahl der Benutzer und VDAs und dem Sicherheitskontext, auf den sie zugreifen, zugewiesen werden muss. Durch die Platzierung von Benutzern mit einem ähnlichen Risikoprofil in ein einzelnes Subnetz kann auch sichergestellt werden, dass jedes dieser Subnetze durch eine Firewall getrennt werden kann.

Firewalls

Firewalls sind eines der wichtigsten Elemente bei der Implementierung von Sicherheit in einer Umgebung. Die Implementierung hostbasierter und netzwerkbasierter Firewalls wird einen erheblichen Betriebsaufwand mit sich bringen. Die Implementierung von zwei Ebenen von Firewalls sowohl auf Host-basierter als auch auf Netzwerkebene ermöglicht eine Aufgabentrennung. Dieser Schritt ermöglicht es einer Anwendung, von einem Server zum anderen zu kommunizieren. Alle Firewallregeln müssen gut dokumentiert und deutlich gekennzeichnet sein, welche Rollen oder Funktionen zugewiesen sind. Dieses Detail hilft Ihnen dabei, Genehmigungen für Ausnahmen von Ihren Sicherheits- und Netzwerkteams einzuholen.

Hypervisor-Härtung

Damit ein Hypervisor ordnungsgemäß funktioniert, müssen ein bestimmtes Serviceniveau und bestimmte Prozesse aktiviert werden. Wie in jedem Betriebssystem können viele Dienste auf Hypervisor-Ebene deaktiviert werden, um die Angriffsfläche in der Hypervisor-Tier zu reduzieren. Die Kompromittierung des Hypervisors kann eine Deklaration eines vollständigen Überlaufs durch einen Angreifer sein. Der Angreifer hat Zugriff auf Lesespeicher, CPU-Anweisungen und Steuermaschinen. Wenn ein Angreifer in diese Layer gerät, wäre das eine ernste Angelegenheit.

Gedächtnis-Introspektion

Anbieter bieten jetzt die Möglichkeit, den laufenden Speicher einer virtuellen Maschine zu überprüfen. Die Überwachung dieses aktiven Speicherbereichs bietet einen tieferen Schutz vor einem anspruchsvolleren Angriffsniveau. Besuchen Sie Citrix Ready, um mehr über die Hypervisor-Speicherüberprüfung zu erfahren.

Betriebslayer

Die Betriebsverfahren für den Betrieb einer sicheren Umgebung sind ebenso wichtig wie die technische Konfiguration selbst. Die folgenden Punkte bieten einen guten Start beim Aufbau einer soliden Grundlage für hervorragende Betriebssicherheit.

Schulung der Nutzer

Sorgen Sie für ausreichende Benutzer- und Verwaltungsschulungen. Es fördert gute Sicherheitspraktiken und das Bewusstsein ist eine der am leichtesten abzudeckenden Grundlagen. Ein Beispiel ist die Sicherstellung, dass Benutzer das normale erwartete Verhalten einer Anmeldeseite kennen. Verstehen Sie, welche Details das Support-Personal benötigt. Schulen Sie die Mitarbeiter im Umgang mit Popups und diesen gefürchteten E-Mail-Phishing-Versuchen. Benutzer müssen wissen, wie sie reagieren und wissen, wo und wie sicherheitsrelevante Probleme an die Sicherheitszentren gemeldet werden müssen.

Benutzer-Monitoring

Die Aktivierung einer erweiterten Benutzerüberwachung wie die Aufzeichnung von Benutzersitzungen kann manchmal umstritten sein. Informieren Sie die Benutzer in ihrem Arbeitsvertrag beispielsweise darüber, dass ihre Handlungen in den IT-Systemen zu Prüfungszwecken aufgezeichnet werden können. Sie können ein angemessenes Maß an Deckung für alle rechtlichen Implikationen für Human Resourcing bieten. Umstrittener ist es möglich, Keylogging zu aktivieren. Diese Art von Tools muss mit einiger Vorsicht angegangen werden, da das Potenzial für Probleme besteht. Es hängt davon ab, worauf der Benutzer auf seinen Unternehmenscomputern zugreift. Administratoren können ohne Wissen des Benutzers Benutzernamen oder Passwörter für persönliche E-Mails oder sogar Bankkonten sammeln. Dies muss mit Vorsicht angegangen werden, und die Benutzer haben erneut darüber informiert, dass solche Maßnahmen ergriffen werden.

Protokollierung und Prüfung

Stellen Sie sicher, dass alle Aktionen von IT-Administratoren und Benutzern protokolliert werden. Protokollierung in der gesamten Umgebung aktiviert. Schließt alle in diesem Artikel beschriebenen Layer ein. Sammeln und speichern Sie diese Protokolle für Prüfungszwecke. Bewahren Sie die Protokolle auf, nur für den Fall, dass sie zur Überprüfung benötigt werden, im Falle eines Verstoßes. In diesem Schritt müssen Sie die generierten Protokolle kontinuierlich verwalten und darauf reagieren. Einige Anwendungen bieten einen gewissen Automatisierungsgrad, mit dem Protokolle und Warnungen für Aktionen verarbeitet werden können.

Citrix bietet im Rahmen des Analyseservices eine Cloud-basierte Lösung an. Dieser Dienst ermöglicht die Bewertung von Sicherheitsrisiken eines Benutzers. Basierend auf dem Risiko-Score können Sie Ihren Sicherheitsstatus erhöhen, das Konto trennen oder sogar automatisch sperren. Diese Ereignisse können dann Funktionen als Sitzungsaufzeichnung automatisch aktivieren, wie weiter oben in diesem Artikel beschrieben. Wir können die Citrix-Funktionen deaktivieren und die Sitzung trennen, bis ein Administrator die Aktionen dieses Benutzers überprüfen kann. Security Analytics kann Benutzerverhaltensanalysen und angewandte Sicherheitskontrollen automatisiert miteinander korrelieren. Weitere Informationen finden Sie in der technischen Kurzbeschreibung von Citrix Analytics.

Aufgabentrennung

Stellen Sie sicher, dass gute rollenbasierte Zugriffskontrollmechanismen implementiert werden. Es ist jedoch auch ein großartiger Ansatz, um sicherzustellen, dass kein einzelner Administrator alleine handeln kann, um eine Funktion oder einen Ausgangspunkt zu aktivieren. Implementieren Sie idealerweise eine Aufgabentrennung, um mehrere Administratoren zu zwingen, unabhängig zu handeln, um eine Ein gutes Beispiel ist die Aktivierung von Client Drive Mapping in einer Citrix-Sitzung. Dies kann mithilfe einer Citrix Verwaltungsrichtlinie gesteuert werden, die in Citrix ADC innerhalb einer SmartControl-Richtlinie aktiviert ist. Erfordert zwei separate Änderungen, um die CDM-Funktion zu aktivieren.

Es ist wichtig, zwei Administratoren zu haben, um eine Funktion zu aktivieren. Administratoren müssen auch separate Konten als ihr normales Benutzerkonto haben. Die Administratorkonten dienen nur zur Durchführung administrativer Aufgaben. Dieser Schritt reduziert den Angriffsvektor von Phishing-Angriffen. Wenn ein Administrator seine normalen Benutzeranmeldeinformationen gespeichert hat und diese Anmeldeinformationen über Domänenadministratorberechtigungen verfügen, hat dies erhebliche Auswirkungen auf die Umgebung. Daher kann das normale Benutzerkonto des Administrators dann keine administrativen Aufgaben ausführen. Benutzer dürfen keine globalen Administratorrechte in einem Netzwerk oder einer Domäne haben. Idealerweise muss die Verwendung von rollenbasierten Zugriffskontrollgruppen (RBAC) verwendet werden, um Berechtigungen für administrative Funktionen auf einer detaillierteren Ebene zu erteilen.

Änderungsmanagement

Eines der häufigsten Dinge, die manche Kunden selten in Betracht ziehen, ist die Bedeutung separater Test- und Entwicklungsumgebungen. Diese Umgebungen sind wichtige Elemente für das gründliche Testen von Updates und Änderungen, um zu verstehen, wie sie sich auf die Benutzerumgebung auswirken. Die Infrastrukturen müssen eng mit den Change Control-Prozessen verknüpft sein, um Administratoren zu beauftragen, Änderungen in der Test- und Entwicklungsumgebung vorzunehmen, bevor sie in die Produktion gehen. Beim Testen von Installations- oder Upgrade-Änderungen in Entwicklungsumgebungen ist es ebenso wichtig, das Rollback von Änderungen gründlich zu testen. Auf diese Weise sind die Administratoren mit dem Prozess besser vertraut, müssen sie jemals einen Rollback-Prozess innerhalb der Produktion aufrufen. Gründliche Tests und solide Rollout-Pläne schützen die Produktionsumgebung vor unnötigen Ausfällen. Idealerweise muss ein grober Überblick über die “Live-Schaltung” die folgenden Phasen umfassen:

  • Testen. Eine lose kontrollierte Umgebung und ein Sandbox-Bereich, in dem sich Administratoren mit der aktualisierten Software und den neuen Funktionen vertraut machen können.
  • Vor der Produktion. Die Vorproduktion muss ähnlich wie die Produktion behandelt, durch Änderungskontrolle eng geschützt und mit der Produktion im Gleichschritt gehalten werden. Dies bietet eine starke Sicherheit, dass das Verhalten von Upgrades in der Vorproduktion mit dem der Produktion übereinstimmt, nur in kleinerem Maßstab.
  • Produktion. Die Produktion ist selbstverständlich, ihre Produktion. Nicht autorisierte Änderungen ohne Change Control dürfen nicht zugelassen werden.

Software-Hashes

Es empfiehlt sich, beim Herunterladen von Software von Websites des Anbieters den auf der Download-Seite bereitgestellten Hash zu überprüfen. Dies würde überprüfen, ob die heruntergeladene Datei nicht von einem Gegner manipuliert wurde.

Sicherheitsüberprüfungen

Security Operations ist ein umfassendes Thema und umfasst viele Elemente der Benutzerdokumentation, der rechtlichen Dokumentation und jeder Umgebung. So wichtig die technischen Aspekte einer Infrastruktur sind. Es ist wichtig zu bedenken, dass die unterstützenden Unterlagen, Gesetzmäßigkeiten und IT-Gesundheitschecks, die letztendlich zur “Abzeichnung” der Verwendung oder Speicherung von Daten wie personenbezogenen Daten (PII) oder Payment Card Industry (PCI) führen, von entscheidender Bedeutung sind. Es wird dringend empfohlen, regelmäßige Sicherheitsaudits und Penetrationstests durchzuführen, um Ihre Sicherheitsabläufe und -kontrollen zu überprüfen.

Zusammenfassung

Viele Sicherheitskontrollen werden in den frühen Phasen eines Projekts in eine Umgebung integriert. Die Sicherheitsrisiken entwickeln sich jedoch ständig weiter, und die Überprüfung der vorhandenen Kontrollen und Verfahren ist ein kontinuierlicher Prozess. Sie muss häufig überprüft werden. Alle Bemühungen müssen verstärkt und durch Penetrationstests in der virtualisierten Umgebung insgesamt validiert werden. Dieser Ansatz bietet ein Höchstmaß an Widerstandsfähigkeit gegen einen realen Angriff.

Tech Paper: Bewährte Sicherheitsmethoden für Citrix Virtual Apps and Desktops