Sicherung von Citrix DaaS für Azure
In diesem Artikel erläutern wir, wie Sie Ihre Citrix-Bereitstellung in Azure sichern. In den Abschnitten wird erläutert, wie die von Microsoft und Citrix empfohlenen Best Practices und detaillierten Konfigurationen implementiert werden. Wir bieten auch Hinweise dazu, welche Microsoft Azure- und Citrix-Sicherheitsdienste für die Sicherung Ihrer Citrix-Bereitstellung geeignet sind.
Im ersten Abschnitt wird die Azure-Sicherheit vorgestellt, in der wir die wichtigsten Themen Verwaltung, Azure Active Directory, Netzwerk, Datenschutz und Azure-Richtlinie diskutieren. Der nächste Abschnitt konzentriert sich auf den Zugriff auf Ressourcen aus Citrix Cloud und enthält die Mindestrollenberechtigungen, die für die Verwaltung der Hostingverbindung und des Maschinenkatalogs. Im letzten Abschnitt finden Sie Anleitungen zu den Azure- und Citrix-Diensten, die den besten Schutz für Ihre Citrix-Bereitstellung bieten.
Dieses Dokument setzt ein Verständnis von Microsoft Azure und Citrix auf administrativer Ebene voraus. Um den Lesern zu helfen, die möglicherweise nicht mit allen von uns diskutierten Konzepten vertraut sind, fügen wir hilfreiche Erklärungen bei.
Sicherheit für Microsoft Azure
Da Microsoft Azure viele Dienste umfasst, erfordert die Sicherheit in Azure einen breiteren Ansatz. Wir beginnen damit, jeden der Dienste am Zugangspunkt zu sichern. Dieser Abschnitt enthält Anleitungen zum Sichern der Dienste auf der Grundlage von Empfehlungen von Microsoft und Citrix.
Im Abschnitt Azure-Administration wird das Sichern der Umgebung mithilfe der Identitäts- und Zugriffsverwaltung (IAM) und der rollenbasierten Zugriffssteuerung (RBAC) innerhalb eines Azure-Kontos behandelt. Im Abschnitt Azure Active Directory (AAD) wird die Authentifizierung und die Verwendung von bedingtem Zugriff zum Schutz Ihrer Citrix-Ressourcen erläutert. Der Abschnitt Netzwerk listet Ports und Protokolle auf, die von Citrix Cloud verwendet werden, und es wird erläutert, wie private Endpunkte verhindern, dass Ihr Netzwerkverkehr das öffentliche Internet durchquert. Im Abschnitt Speichersicherheit werden Datenverschlüsselung und Backups behandelt, während im Abschnitt Azure-Richtlinie Richtlinien zum Sichern des Kontos empfohlen werden. Schließlich werden im letzten Abschnitt die unschätzbaren Vorteile der Verwendung von Azure Tag and Security Center in Ihrer Citrix-Bereitstellung erläutert.
Empfehlungen zur Azure-Administration
Azure Identity and Access Management (IAM) ist ein von Microsoft verwalteter Identitätsdienst, der Authentifizierungs-, Autorisierungs- und Überwachungsdienste für Azure-Ressourcen bereitstellt. Azure IAM steuert den Zugriff und die Berechtigungen für die Azure-Ressourcen und muss so gehärtet wie möglich sein. Azure IAM ist die erste Verteidigungslinie, da der gesamte Zugriff auf Azure-Ressourcen über IAM gewährt wird. Wir beginnen mit der Diskussion des Konzepts der rollenbasierten Zugriffssteuerung, gefolgt davon, wie diese Rollen auf die Azure-Ressourcen innerhalb eines Kontos angewendet werden.
Rollenbasierte Zugriffskontrollkonzepte
Die rollenbasierte Zugriffskontrolle (RBAC) von Azure ist ein Autorisierungssystem, das eine fein abgestimmte Zugriffsverwaltung für Azure-Ressourcen bietet. Es empfiehlt sich, Zugriff auf eine Ressource über eine Azure RBAC-Rolle zu gewähren, die einer Gruppe zugewiesen ist. Die Benutzer werden dann für den Zugriff in die Gruppe aufgenommen. Azure RBAC umfasst über 70 integrierte Rollen mit Unterstützung für benutzerdefinierte Rollen. Eine Rolle ist eine Sammlung von Berechtigungen wie Lesen, Schreiben und Löschen, die auf eine Ressource angewendet und einem Sicherheitsprinzipal zugewiesen werden. Ein Sicherheitsprinzipal kann ein Benutzer, eine Gruppe, eine verwaltete Identität oder ein Dienstprinzipal (Azure-Anwendung) sein.
Die vier grundlegenden Azure-Rollen sind: Besitzer, Mitwirkender, Leser und Benutzerzugriffsadministrator.
| **Besitzer**: | Dem Serviceadministrator und den Co-Administratoren wird im Rahmen des Abonnements die Eigentümerrolle zugewiesen. Besitzer erhalten vollen Zugriff auf alle Ressourcen und können den Zugriff an andere delegieren. Allen Ressourcentypen ist mindestens ein Besitzer zugewiesen. | | Mitwirkender: | Entitäten, denen eine Mitwirkende Rolle zugewiesen ist, können alle Arten von Azure-Ressourcen erstellen und verwalten. Mitwirkende haben die Möglichkeit, einen neuen Mandanten in Azure Active Directory zu erstellen, wenn sie dem Konto zugewiesen sind. Mitwirkende können anderen keinen Zugriff gewähren. Alle Ressourcentypen unterstützen eine Mitwirkende Rolle. | | Leser: | Die Leserrolle gewährt der Ressource die Berechtigung zur Entitätsansicht (schreibgeschützt). Alle Ressourcentypen unterstützen die Leserrolle. | | Benutzerzugriffsadministrator: | Die Administratorrolle für den Benutzerzugriff gewährt der Entität die Möglichkeit, den Benutzerzugriff auf Azure-Ressourcen zu verwalten. |
Rollen können durch einen Geltungsbereich eingeschränkt werden. Ein Bereich ist ein definierter Satz von Ressourcen, in dem der Sicherheitsprinzipal agieren kann. Geltungsbereiche können auf vier Ebenen begrenzt werden: die einzelne Ressource, eine Ressourcengruppe, ein Abonnement oder eine Verwaltungsgruppe.
Der Zugriff auf die Ressource wird durch Erstellen einer Rollenzuweisung gewährt, bei der eine Rollendefinition an einen Sicherheitsprinzipal angehängt wird. Der Widerruf des Zugriffs wird abgeschlossen, indem die Rollenzuweisung entfernt wird Wenn verschachtelte Gruppen in der Rollenzuweisung verwendet werden, erhalten die Mitglieder in den verschachtelten Gruppen ebenfalls die Rollenzuweisung. Wenn Mitglieder mit mehreren Gruppen verknüpft sind, sind die Berechtigungen kumulativ und verweigerte Zuweisungen werden sofort zum Zeitpunkt der Evaluierung gesperrt. Kumulative Berechtigungen gelten sowohl für Aktionen als auch nicht für Aktionen und gelten für alle Gruppen.
Abonnements
Azure-Abonnements werden verwendet, um den Zugriff auf Azure-Ressourcen zu Jedes Abonnement ist nur mit einem Azure-Konto verknüpft, und dieses Konto zahlt die mit einem Abonnement verbundenen Gebühren. Jedes Abonnement ist mit einem Azure AD-Verzeichnis verknüpft. Ein Azure-Abonnement ist eine Grenze für Verwaltung, Sicherheit, Skalierung und Richtlinien.
Tipp
Sowohl Citrix als auch Microsoft empfehlen, die Citrix-Ressourcen nach Möglichkeit in eigenen Abonnements zu platzieren.
Abonnements ermöglichen letztendlich die Kontrolle darüber, wie Azure-Ressourcen organisiert, abgerufen und abgerechnet werden. Abonnements haben zwei Rollen, die Zugriff auf alle Ressourcen im Abonnement gewähren: Dienstadministrator und Co-Administrator.
Dienstadministrator: Die Rolle “Dienstadministrator” ist standardmäßig dem E-Mail-Konto zugewiesen, das zum Erstellen des Azure-Abonnements verwendet wird. Der Dienstadministrator hat denselben Zugriff wie die Rolle “Eigentümer” im Abonnementbereich. Nur der Kontoadministrator kann den Dienstadministrator in ein anderes E-Mail-Konto ändern. Der Dienstadministrator hat vollen Zugriff auf das Azure-Portal und es kann nur ein Dienstadministratorkonto pro Abonnement existieren. Der Dienstadministrator verfügt über die folgenden Berechtigungen:
-
Dienste im Azure-Portal verwalten
-
Kündigen Sie das Abonnement
-
Weisen Sie Benutzer der Co-Administrator-Rolle zu
Co-Administrator: Diese Rolle hat denselben Zugriff wie die Rolle Eigentümer im Abonnementbereich. Jedes Abonnement kann bis zu 200 Co-Administratoren haben, und diesen Administratoren werden die folgenden Berechtigungen und Einschränkungen erteilt:
-
Gleiche Zugriffsrechte wie der Service-Administrator
-
Kann Benutzer der Co-Administrator-Rolle zuweisen
-
Zuordnung von Abonnements zu Azure-Verzeichnissen kann nicht geändert werden
-
Der Dienstadministrator kann nicht geändert werden
Ressourcengruppen
Ressourcengruppen sind logische Container, die Sie verwenden, um verwandte Ressourcen in einem Abonnement zu gruppieren. Jede Ressource kann nur in einer Ressourcengruppe existieren. Ressourcengruppen ermöglichen eine detailliertere Gruppierung innerhalb eines Abonnements. Ressourcengruppen werden häufig verwendet, um eine Sammlung von Assets darzustellen, die zur Unterstützung eines Workloads, einer Anwendung oder einer bestimmten Funktion innerhalb eines Abonnements erforderlich sind. In der Regel teilen sich die Ressourcen innerhalb einer Ressourcengruppe denselben Lebenszyklus. Ressourcengruppen bieten auch eine Möglichkeit, detaillierte Berechtigungen auf eine Reihe von Ressourcen in Azure anzuwenden.
HINWEIS:
Citrix-Maschinenkataloge werden bei der Erstellung des Maschinenkatalogs mit ihren Ressourcengruppen verknüpft. Bei Änderungen an den Ressourcengruppen müssen die Maschinenkataloge gelöscht und neu erstellt werden.
Management-Gruppen
Verwaltungsgruppen sind logische Container, die Sie für ein oder mehrere Abonnements verwenden und die auf Azure-Kontoebene konfiguriert sind. Sie können eine Hierarchie von Verwaltungsgruppen, Abonnements, Ressourcengruppen und Ressourcen definieren, um den Zugriff effizient zu verwalten. Verwaltungsgruppen werden hauptsächlich für die Einhaltung von Azure-Richtlinien verwendet und sind stark auf Vererbung angewiesen, um die Verwaltung zu rationalisieren.
Tipp
Microsoft und Citrix empfehlen, alle Abonnements, die Citrix-Ressourcen enthalten, einer Verwaltungsgruppe auf Azure-Kontoebene zuzuordnen.
Empfehlungen für Azure Active Directory
Azure Active Directory (Azure AD) ist der Identitätsanbieter für Microsoft 365, das Azure-Portal und viele andere Anwendungen. Azure AD ist keine cloudbasierte Implementierung von Active Directory (AD), kann jedoch über Azure AD Connect mit Ihrer on-premises Domäne synchronisiert werden. Dieser Abschnitt enthält die Sicherheitsempfehlungen für Citrix mit Azure AD. Zu den Empfehlungen gehören Authentifizierung, Protokollierung, bedingter Zugriff und Azure AD Connect-Konfigurationen.
Multi-Faktor-Authentifizierung
Azure AD unterstützt mehrere Multi-Faktor-Authentifizierungsmethoden (MFA). Zu den unterstützten Methoden gehören FIDO2-Sicherheitsschlüssel, Microsoft Authenticator, Textnachrichten und zertifikatbasierte Authentifizierungen. Sowohl die Textnachricht- als auch die zertifikatbasierte Authentifizierung befinden sich derzeit in der Vorschau. Aktivieren Sie für optimale Sicherheit den Microsoft Authenticator für die Verwendung von MFA, da er für die allgemeine Version verfügbar ist. Aktivieren Sie außerdem die Option Textnachricht, sobald sie für die allgemeine Version verfügbar ist, um sekundäre Authentifizierungsmethoden für Azure AD-Benutzer bereitzustellen. Aktivieren Sie MFA für alle administrativen Benutzerkonten. Wenn Azure AD Premium bereitgestellt wird, empfiehlt es sich, MFA für alle Benutzer zu aktivieren.
Log-in-Protokolle
Überwachen Sie die Azure AD-Benutzeranmeldeprotokolle auf fehlgeschlagene Anmeldungen und alle Anmeldungen von unerwarteten Speicherorten. Die Überwachung kann von einer einfachen wöchentlichen Überprüfung durch Administratoren bis hin zu einer automatisierten Lösung reichen, die Azure Monitor verwendet. Azure Monitor and Alerting kann Administratoren eine E-Mail senden, wenn verdächtige Bedingungen auftreten. Achten Sie darauf, sowohl interaktive als auch nicht interaktive Anmeldungen zu überwachen.
Bedingter Azure AD-Zugriff
Azure AD unterstützt die Verwendung von bedingtem Zugriff, um Benutzer daran zu hindern, sich basierend auf Standort oder Gruppenmitgliedschaft zu authentifizieren. Bedingter Zugriff kann verwendet werden, um zu verhindern, dass ein Standort oder eine IP-Adresse auf Ihre Citrix-Ressourcen zugreift. Verwenden Sie bedingten Zugriff, um Datenverkehr zu blockieren, der nicht von Orten stammt, an denen Sie Benutzer erwarten. Wenn Sie beispielsweise keinen Verkehr von außerhalb Ihres Landes erwarten, verwenden Sie den bedingten Zugriff, um nur Verbindungen zuzulassen, die aus Ihrem Land stammen.
Der “Just in Time” -Zugriff (JIT) verhindert den gesamten eingehenden Netzwerkverkehr zu einer virtuellen Maschine (VM), außer wenn jemand eine Verbindung zur VM herstellen muss. Mit JIT öffnet sich das Verbindungsfenster nur für einige Minuten, wenn es vom Benutzer angefordert wird. Dieses Verhalten ähnelt der Art und Weise, wie Citrix eingehende Verbindungen zu einem Host vorübergehend zulässt. Wenn ein Benutzer eine Verbindung mit Citrix herstellt, lässt der Virtual Delivery Agent (VDA) eingehende Verbindungen nur für einige Minuten zu, während der Benutzer eine Verbindung herstellt. Sowohl Microsoft als auch Citrix empfehlen, den JIT-Zugriff auf Azure-Infrastruktur-VMs zu aktivieren, um die Wahrscheinlichkeit zu verringern, dass nicht autorisierte Benutzer eine Verbindung zu
Azure AD Connect
Wie bereits erwähnt, kann Azure AD über Azure AD Connect mit Ihrer on-premises Active Directory-Domäne synchronisiert werden. Die Synchronisierung Ihrer on-premises Domäne mit Azure AD bietet eine nahtlosere Endbenutzererfahrung für Ihre Citrix-Bereitstellung. Benutzer können eine einzige Anmeldung sowohl für in der Cloud gehostete als auch für on-premises Ressourcen verwalten.
Azure AD Connect kann Benutzerobjekte und die zugehörigen Attribute aus einem on-premises Active Directory mit Azure Active Directory synchronisieren. Wenn Sie Azure AD Connect verwenden, folgen Sie diesen Leitlinien, um die beste Sicherheit zu gewährleisten.
-
Aktiviere die Kennwort-Hash-Synchronisierung Der Hash ist erforderlich, um zu verhindern, dass das tatsächliche Kennwort des Benutzers in Azure AD gespeichert wird.
-
Synchronisieren Sie niemals Konten mit hohen Berechtigungen, wie Unternehmens- oder Domänenadministratoren, mit Azure AD. Standardmäßig ist dieser Filter für AD Connect aktiviert und soll jede Kompromittierung eines Azure-Kontos davor schützen, auch die on-premises Rechenzentren zu gefährden.
-
Verwenden Sie nach Möglichkeit Azure AD-Konten für die Authentifizierung. Dieser Ansatz reduziert den Verwaltungsaufwand.
Empfehlungen zur Netzwerksicherheit
Network Access Control (NAC) bietet eine Möglichkeit, die Konnektivität zwischen bestimmten Geräten oder Subnetzen innerhalb eines virtuellen Netzwerks einzuschränken. Das Ziel von NAC ist es, den Zugriff auf eine VM oder einen Dienst nur auf zugelassene Benutzer oder Geräte zu beschränken. Die Zugriffskontrolle basiert auf Entscheidungen, Verbindungen auf mehreren verschiedenen Layer innerhalb von Azure zuzulassen oder zu verweigern. Dieser Abschnitt behandelt alle Beschränkungs- und Sicherheitsempfehlungen zum Schutz Ihrer Citrix-Bereitstellung in der Azure-Cloud.
Firewalls und Sicherheitsgruppen
Einer der besten Schutzmaßnahmen für Ihre Citrix Cloud-Umgebung besteht darin, den gesamten eingehenden und ausgehenden Zugriff auf die Citrix Ressourcen streng zu kontrollieren. Konfigurieren Sie die Zugriffskontrolle mithilfe von Azure Network Security Groups (NSGs) und Firewalls. Mit Azure NSGs können Sie eingehenden und ausgehenden Datenverkehr zulassen oder verweigern, indem Sie die fünf Tupel definieren: Quell-IP, Ziel-IP, Quellport, Zielport und Protokoll. Firewalls können für fast alle netzwerkbasierten Dienste aktiviert werden.
Die NSGs sind statusbehaftet, sodass Rückverkehr zulässig ist und auf eine VM, ein Subnetz oder beides angewendet werden kann. Wenn sowohl Subnetz- als auch VM-NSGs vorhanden sind, werden die Subnetz-NSGs zuerst für eingehenden Datenverkehr und die VM-NSGs zuerst für ausgehenden Datenverkehr angewendet. Standardmäßig ist der gesamte Datenverkehr innerhalb eines VNet zwischen Hosts zulässig, zusammen mit dem gesamten eingehenden Datenverkehr von einem Load Balancer. Standardmäßig ist nur ausgehender Internetverkehr zulässig, und jeder andere ausgehende Datenverkehr wird verweigert.
Verwenden Sie NSGs, um den Datenverkehr in der Citrix Cloud-Umgebung auf den erwarteten Datenverkehr zu beschränken. Dieser Ansatz kann die potenziellen Angriffsvektoren einschränken und die Sicherheit für die Bereitstellung erheblich erhöhen. Tabelle 1 Erforderliche Ports und Protokolle für Citrix Cloud enthält die erforderlichen Netzwerkports und -protokolle für Ihre Citrix-Bereitstellung. Diese Tabelle listet nur die Ports auf, die für die Citrix-Infrastruktur verwendet werden, und enthält nicht die von Ihren Anwendungen verwendeten Ports. Konfigurieren Sie diese Ports in der NSG, die die virtuellen Maschinen von Citrix schützen.
| Quelle | Ziel | Protokoll | Port | Zweck |
|---|---|---|---|---|
| Cloud Connectors | *.digicert.com | HTTP | 80 | Prüfung auf Zertifikatsperre |
| Cloud Connectors | *.digicert.com | HTTPs | 443 | Prüfung auf Zertifikatsperre |
| Cloud Connectors | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt | HTTPS | 443 | Prüfung auf Zertifikatsperre |
| Cloud Connectors | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.cert | HTTPS | 443 | Prüfung auf Zertifikatsperre |
| Cloud Connectors | Cloud Connectors | TCP | 80 | Kommunikation zwischen Controllern |
| Cloud Connectors | Cloud Connectors | TCP | 89 | Lokaler Host-Cache |
| Cloud Connectors | Cloud Connectors | TCP | 9095 | Orchestrierungs-Service |
| Cloud Connectors | Cloud Connectors | TCP/UDP | 1494 | ICA/HDX-Protokoll (EDT erfordert UDP) |
| Cloud Connectors | Virtual Delivery Agent | TCP/UDP | 2598 | Sitzungszuverlässigkeit (EDT erfordert UDP) |
| Cloud Connectors | Virtual Delivery Agent | TCP | 80(bidir) | Erkennung von Anwendungen und Leistung |
| Virtual Delivery Agent | Gateway Service | TCP | 443 | Rendezvousprotokoll |
| Virtual Delivery Agent | Gateway Service | TCP | 443 | EDT UDP über 443 an Gateway-Dienst |
| Virtual Delivery Agent | *.nssvc.net, *.c.nssv.net, *.g.nssv.net | TCP/UDP | 443 | Gateway-Dienst-Domänen/Subdomains |
| Citrix Provisioning Services | Cloud Connectors | HTTPS | 443 | Integration von Citrix Cloud Studio |
| Citrix Lizenzserver | Citrix Cloud | HTTPS | 443 | Integration der Citrix Cloud-Lizenzierung |
| CVAD Remote PowerShell SDK | Citrix Cloud | HTTPS | 443 | Jedes System, auf dem Remote-PSH über SDK ausgeführt wird |
| WEM Agent | WEM Dienst | HTTPS | 443 | Kommunikation zwischen Agent und Service |
| WEM Agent | Cloud Connectors | TCP | 443 | Verkehr bei der Registrierung |
Sicherheitsgruppen für Anwendungen
Erstellen Sie Anwendungssicherheitsgruppen (ASGs), um die Verwaltung der Citrix Ressourcen im gesamten Unternehmen zu vereinfachen. ASGs ermöglichen die Quell-/Zieldefinition basierend auf einer Bezeichnung und nicht auf einer IP (Internet Protocol) oder Netzwerkadresse. ASGs können für Workloads definiert und dann als Teil von NSGs zum Filtern von Workloads verwendet werden. ASGs können sowohl den Ost-West-Verkehr zwischen Workloads als auch den Nord-Süd-Verkehr zwischen Ihren Rechenzentren und Azure filtern. Die ASGs ermöglichen es Ihnen, Ihr Netzwerk weiter zu segmentieren und den Datenverkehr zwischen Anwendungsgruppen in großem Maßstab zu isolieren. Zum Beispiel das Erstellen einer Anwendungsgruppe für Datenbankserver, die mit den Anwendungsservern, aber nicht mit Webservern kommuniziert.
Azure-Servicetags
Azure Servicetags sind Moniker, die Azure einer Gruppe von IP-Adressen gibt, die einen Azure-Dienst darstellen. Microsoft verwaltet die IP-Adressen, die mit den Servicetags verknüpft sind. Servicetags können anstelle von IP-Adressen in NSGs verwendet werden, um den Zugriff auf eine Reihe dynamischer Ressourcen zu steuern. Sie können beispielsweise Datenverkehr zum Servicetag Storage zulassen, das Zugriff auf alle Azure Storage-IP-Adressen gewährt, oder Sie können ihn auf Speicher-IP-Adressen in den West-USA mit dem Servicetag Storage.WestUSbeschränken.
Servicetags enthalten einige Nutzungsbeschränkungen in Bezug auf Richtung, regionale Einschränkungen oder die Verwendung mit der Azure-Firewall. Eine vollständige Liste der Servicetags und ihrer Verwendungsregeln finden Sie auf der Microsoft-Website unter Servicetags für virtuelle Netzwerke.
Remote-Management-Protokoll
Für die Remoteverwaltung von Citrix Infrastrukturhosts, auf denen Windows ausgeführt wird, ist das Remotedesktopprotokoll (RDP) von Microsoft das bequemste Protokoll. Der Standardport für RDP ist TCP 3389. Ändern Sie diesen Port jedoch, wenn die virtuelle Maschine eingehenden Zugriff aus dem Internet zulässt. Mit dem Internet verbundene Windows-Server, bei denen Port 3389 geöffnet ist, werden innerhalb von 24 Stunden nach der Verbindung mit dem Internet angegriffen. Der folgende Windows-Registrierungsschlüssel steuert die Nummer des eingehenden Listening-Ports für RDP-Sitzungen. Verwenden Sie diesen Registrierungsschlüssel, um die Nummer des Listening-Ports auf einen höheren Port als 10000 zu ändern:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp: PortNumber REG_DWORD
Das Ändern der RDP-Portnummer wird in Kombination mit der JIT-Zugriffsempfehlung zuvor außergewöhnlich schwieriger.
Öffentliche IP-Adressen
Wenn Sie Ihre eigenen virtuellen VPX-Appliances mit Citrix Application Delivery Controller (ADC) verwenden, verwenden diese wahrscheinlich eine öffentliche IP-Adresse auf dem Azure Load Balancer. In einigen Bereitstellungen wird die öffentliche IP-Adresse direkt auf den Appliances selbst festgelegt, um eingehende Verbindungen für die Citrix Farm zu akzeptieren. Abgesehen von diesen ADC-Konfigurationen sind keine öffentlichen IP-Adressen für die Citrix-Bereitstellung erforderlich. Citrix Cloud verwaltet die Citrix Cloud Connectors und aktualisiert sie bei Bedarf. Öffentliche IP-Adressen werden für die Cloud Connectors nicht benötigt, da sie alle ausgehenden Verbindungen initiieren.
Ausgehender Internetzugang
Wie bereits erwähnt, müssen die Citrix Cloud Connectors über ausgehende Konnektivität verfügen, um die Citrix Cloud-Infrastruktur zu erreichen. Die Konnektivität wird verwendet, um ihre Updates und die Schnittstelle zwischen Citrix Cloud und Ihrer Azure Citrix-Bereitstellung zu erhalten. Andere Citrix-Infrastrukturen benötigen möglicherweise ausgehenden Zugriff für Wartungsupdates oder Benutzerzugriff.
Private Endpunkte
Private Endpunkte werden verwendet, um die Kommunikation zwischen Azure-Diensten zu verbessern, indem Routen über das öffentliche Internet eliminiert werden. Private Endpunkte steuern die Route des Datenverkehrs über das Netzwerk. Ein privater Azure-Endpunkt ist eine Netzwerkschnittstelle, die sich sicher mit einem Azure-Dienst verbindet. Der private Endpunkt verwendet eine IP-Adresse in Ihrem virtuellen Netzwerk (VNet). Der Endpunkt leitet dann Datenverkehr direkt von Ihrem VNet über das Microsoft Azure-Backbone-Netzwerk an den Azure-Dienst weiter. Die Verwendung des Microsoft Azure-Backbones verhindert, dass der Datenverkehr das öffentliche Internet durchquert. Private Endpunkte sind von Natur aus sicherer, da der Datenverkehr nicht dem Internet ausgesetzt ist, wo er potenziell kompromittiert werden kann. Sie können beispielsweise einen privaten Endpunkt vom Citrix Host-Subnetz zum Azure Files-Speicherkontonetzwerk erstellen und öffentliche Endpunkte vermeiden.
Citrix empfiehlt, private Endpunkte für die folgenden Azure-Dienste zu erstellen:
-
Azure Blog Storage
-
Azure Files
-
Azure Automation
-
Azure Batch
-
Azure Managed Disks
-
Azure Key Vault
-
Azure Backup
-
Azure Monitor
Best Practices für Netzwerke
Standardmäßig gibt es keine Zugriffskontrollen zwischen den verschiedenen Subnetzen innerhalb eines Azure VNet. Microsoft und Citrix empfehlen einen Zero-Trust-Ansatz innerhalb von Azure. Der Zero-Trust-Ansatz bedeutet, dass eine uneingeschränkte Kommunikation unter der Annahme, dass interner Datenverkehr vertrauenswürdig ist, nicht zulässig ist. Verwenden Sie stattdessen eine “Deny All” -Methode. Erlauben Sie nur “vertrauenswürdige” Kommunikation von Geräten, Standorten und Benutzern, die den Zugriff benötigen. Die folgenden Anleitungen können Ihre Citrix-Netzwerksicherheit erheblich erhöhen:
-
NSGs verwenden, um den Datenfluss zwischen Subnetzen zu steuern, die Citrix-Ressourcen hosten
-
Bedingten AD-Zugriff verwenden, um Zugriff basierend auf Standort, Identität, Gerät oder Sicherheitsstufe zu gewähren
-
Just-in-Time-Zugriff auf Citrix Infrastruktur-VMs konfigurieren
-
Citrix-Infrastruktur in einem eigenen Subnetz behalten
-
Citrix VDA-VMs in ihren eigenen Subnetzen behalten
-
Netzwerkverbindungen von außerhalb von Azure zu einer beliebigen Ressource sollten über eine verschlüsselte VPN-Verbindung (Virtual Private Network) erfolgen. VPNs können Point-to-Site (P2S), Site-to-Site (S2S) oder eine sichere ExpressRoute-Verbindung sein.
-
Stellen Sie Azure-VMs niemals direkt dem Internet zur Verfügung. Falls verfügbar, aktivieren Sie den JIT-Zugriff und ändern Sie die Standardports für eingehende Verbindungen.
-
Anstelle des standardmäßigen unverschlüsselten HTTP-Protokolls für die Kommunikation benötigen Sie Protokolle mit Verschlüsselung, um Daten während der Übertragung zu schützen. Protokolle wie HTTPS mit TLS 1.2 oder Citrix Gateway, das ICA/HDX innerhalb von HTTPS tunnelt, werden empfohlen.
-
Stellen Sie Azure native Netzwerksicherheits-Appliances bereit, die den Datenverkehr über die OSI-Schichten (Open Systems Interconnect) hinweg scannen können. Implementieren Sie benutzerdefiniertes Routing (UDR), um den Verkehr durch diese Appliances zu leiten
-
Aktivieren Sie den DDoS-Schutz (Distributed Denial of Service) zusammen mit IDS- (Intrusion Detection) und IPS-Systemen (Intrusion Prevention) in Ihrem Umkreisnetzwerk. Ihr Umkreisnetzwerk befindet sich zwischen dem Internet und Ihren in Azure gehosteten Citrix Ressourcen.
Empfehlungen zur Speichersicherheit
Dieser Abschnitt enthält Empfehlungen zur Erhöhung der Sicherheit und des Schutzes Ihrer in Azure Storage gespeicherten Daten. Wir diskutieren die integrierten Schutzmaßnahmen und geben Empfehlungen zur Verbesserung dieser Schutzmaßnahmen. Nutzen Sie die Empfehlungen, um die Verfügbarkeit Ihrer Daten zu erhöhen und die potenziellen Angriffsvektoren gegen sie zu verringern.
Azure-Datenschutz
Azure Storage speichert mehrere Kopien von Daten, sodass sie sowohl vor geplanten als auch vor ungeplanten Ereignissen geschützt sind. Zu diesen Ereignissen gehören Hardwareausfälle, Stromausfälle und Naturkatastrophen. Jede Azure-Region ist mit einer anderen Azure-Region gekoppelt. Microsoft repliziert den Speicher automatisch zwischen Regionspaaren. Wenn Microsoft in einer Region einen Notfall ausruft, stehen die in der gekoppelten Region gespeicherten Daten zur Verfügung. Die Auswahl von Speicherkonten steuert auch die Datenredundanz. Die Auswahl des Kontotyps umfasst das Speichern von Daten nur innerhalb der Region oder das Replizieren dieser Daten über Regionen hinweg. Citrix empfiehlt, wichtige Infrastruktur-VMs wie Domänencontroller mit regionsübergreifendem Speicher zu konfigurieren.
Backups
Die meisten Citrix Server in der Umgebung sind Virtual Delivery Agents (VDA), die für die Bereitstellung entweder auf Machine Creation Services (MCS) oder Provisioning Services (PVS) angewiesen sind. Sowohl MCS- als auch PVS-Maschinen verwenden ein goldenes Masterimage als Vorlage. Verwenden Sie für diese Hosts Snapshots eines Golden Images als Quelle für die Maschinenvorlage. Rollbacks können problemlos für jede Version eines Datenträger-Snapshots durchgeführt werden. Auf den anderen Servern in der Citrix-Infrastruktur sollte Azure Backup aktiviert sein oder in Azure Site Recovery eingerichtet sein. Wählen Sie bei Verwendung von Azure Site Recovery die gekoppelte Microsoft-Region als Zielspeicherort aus. Wenn sich die ASR-Ziele in der gekoppelten Region befinden und Microsoft einen Notfall deklariert, sind Ihre replizierten Speicherkonten auch in dieser Region vorhanden.
Verschlüsselung im Ruhezustand
Azure verschlüsselt automatisch den gesamten Speicher im Ruhezustand mithilfe der serverseitigen Verschlüsselung (SSE), die eine 256-Bit-Blockchiffre des Advanced Encryption Standard (AES) verwendet. Sie können vom Kunden verwaltete Schlüssel (CMKs) verwenden, um Ihre Daten zu verschlüsseln und diese Schlüssel im Azure Key Vault zu speichern. Die Verwendung von CMKs bietet die Möglichkeit, Daten bei Bedarf schnell kryptoschreddern zu können, indem das CMK zerstört wird.
Verwaltete Datenträger
Citrix empfiehlt die Verwendung verwalteter Datenträger. Bei verwalteten Datenträgern steuert Azure automatisch die Datenträgerplatzierung, sodass die virtuellen Datenträger jeden einzelnen Ausfallpunkt vermeiden. Bei nicht verwalteten Datenträgern sind Sie dafür verantwortlich, sie in Speicherkonten zu platzieren und die Datenwiederherstellungspläne zu verwalten.
Zugriffssteuerungslisten
Mit Zugriffskontrolllisten (ACLs) können Sie den Zugriff auf eine Datei oder ein Verzeichnis detailliert steuern. ACLs gelten für alle Benutzer, Gruppen, verwalteten Identitäten oder Dienstprinzipale, die in Azure AD zu finden sind. Bei Verwendung eines Shared Key- oder Shared Access Signature (SAS) -Tokens ist kein Sicherheitsprinzipal vorhanden. Daher gelten ACLs nicht für den Zugriff, der gewährt wird, wenn auf den Speicher über einen Schlüssel oder Token zugegriffen wird. ACLs bestehen aus einfachen Berechtigungen Lesen (R), Schreiben (W) und Ausführen (X). Sie können ACLs verwenden, um den Zugriff auf Azure-Speicherdateien oder -ordner einzuschränken und unbeabsichtigten Zugriff auf einen Container, eine Datei oder ein Verzeichnis zu verhindern. Citrix empfiehlt, den Zugriff über ACLs für die Daten immer auf eine geeignete Zielgruppe festzulegen, um die Vertraulichkeit zu wahren.
Empfehlungen für Azure Policy
Azure Policy ist eine Statusverwaltungs-Engine, die Azure-Ressourceneigenschaften aktiv auswertet. Die Azure-Richtlinie stellt sicher, dass der Status einer Ressource den Geschäftsregeln entspricht. Azure Policy kann Aktionen blockieren, selbst wenn Benutzer über Berechtigungen zum Ausführen dieser Aktionen verfügen. Azure-Richtlinien gelten auf Abonnementebene und darunter. Tabelle 2 Empfohlene Azure-Richtlinien für Citrix-Bereitstellungen enthält eine Liste der empfohlenen Azure-Richtlinien. Aktivieren Sie diese Richtlinien auf Kontoebene und wenden Sie sie auf Abonnements an, die Citrix Ressourcen enthalten.
| Name der Richtlinie | Beschreibung |
|---|---|
| Bei Azure Automation-Konto sollte die lokale Authentifizierungsmethode deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden erhöht die Sicherheit, indem sichergestellt wird, dass Azure Automation-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung |
| Verwaltete Azure Active Directory Domain Services sollten den Modus “Nur TLS 1.2” | Verwenden Sie den Modus “Nur TLS 1.2” für Ihre verwalteten Domains. Standardmäßig ermöglichen Azure AD Domain Services die Verwendung von Verschlüsselungen wie NTLM v1 und TLS v1. Diese Verschlüsselungen können für einige Legacy-Anwendungen erforderlich sein. Wenn Sie sie jedoch nicht benötigen, sind die Chiffren schwach und können deaktiviert werden. Wenn der Modus “Nur TLS 1.2” aktiviert ist, schlägt jeder Client fehl, der eine Anforderung stellt, die TLS 1.2 nicht verwendet. |
| Windows-Computer sollten nur lokale Konten haben, die erlaubt sind | Erfordert, dass die Voraussetzungen für den Richtlinienzuweisungsbereich bereitgestellt werden. Einzelheiten finden Sie unter https://aka.ms/gcpol. Diese Definition wird unter Windows Server 2012 oder 2012 R2 nicht unterstützt. Die Verwaltung von Benutzerkonten mit Azure Active Directory ist eine bewährte Methode für die Verwaltung von Identitäten. Durch die Reduzierung lokaler Computerkonten wird die Verbreitung von Identitäten verhindert, die außerhalb eines zentralen Systems verwaltet werden. Maschinen sind nicht konform, wenn lokale Benutzerkonten vorhanden sind, die aktiviert und nicht im Richtlinienparameter aufgeführt sind. |
| Log Analytics-Arbeitsbereiche sollten nicht auf Azure Active Directory basierende Aufnahme blockieren. | Erzwingen Sie die Protokollaufnahme, um Azure Active Directory-Authentifizierung zu erfordern Dieser Schutz verhindert, dass Angreifer nicht authentifizierte Protokolle manipulieren, was zu fehlerhaftem Status, falschen Warnungen und falschen Protokollen führen kann, die im System gespeichert sind. |
| VPN-Gateways sollten nur die Azure Active Directory (Azure AD) -Authentifizierung für Point-to-Site-Benutzer verwenden | Das Deaktivieren lokaler Authentifizierungsmethoden erhöht die Sicherheit, indem sichergestellt wird, dass VPN-Gateways nur Azure Active Directory-Identitäten für die Authentifizierung verwenden. |
| Für MFA sollten Konten mit Schreibrechten für Ihr Abonnement aktiviert sein | Die Multi-Faktor-Authentifizierung (MFA) sollte für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Verletzung von Konten oder Ressourcen zu verhindern. |
| MFA sollte für Konten mit Besitzerberechtigungen für Ihr Abonnement aktiviert sein | Die Multi-Faktor-Authentifizierung (MFA) sollte für alle Abonnementkonten mit Eigentümerberechtigungen aktiviert sein, um eine Verletzung von Konten oder Ressourcen zu verhindern. |
| MFA sollte für Konten mit Leseberechtigungen für Ihr Abonnement aktiviert sein | Die Multi-Faktor-Authentifizierung (MFA) sollte für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Verletzung von Konten oder Ressourcen zu verhindern. |
| Ein Azure Active Directory-Administrator sollte für SQL-Server bereitgestellt werden | Überprüfen Sie die Bereitstellung eines Azure Active Directory-Administrators für Ihren SQL-Server, um die Azure AD-Authentifizierung zu aktivieren Die Azure AD-Authentifizierung ermöglicht eine vereinfachte Berechtigungsverwaltung und zentralisierte Identitätsverwaltung von Datenbankbenutzern und anderen Microsoft-Diensten. |
| Erfordert ein Tag und seinen Wert für Ressourcengruppen | Erzwingt ein erforderliches Tag und seinen Wert für Ressourcengruppen. |
| Benötigen Sie ein Tag und seinen Wert für Ressourcen | Erzwingt ein erforderliches Tag und seinen Wert. Gilt nicht für Ressourcengruppen. |
Azure Tag-Empfehlungen
Ein Tag ist eine Funktion, mit der bestimmte Schlüssel- und Wertepaare als Metadaten zu Ressourcen zugewiesen werden können. Ein Tag besteht aus einem Namen und einem Wert. Bei Tag-Namen wird nicht zwischen Groß- und Kleinschreibung unterschieden, während bei Tag-Werten die Groß- Alle Citrix-Ressourcen sollten mindestens mit den folgenden Tags versehen sein:
Besitzer: [Eigentümerorganisation oder Abteilung] E-Mail: [E-Mail oder Verteilerliste, um Kontakt aufzunehmen, falls etwas mit der Ressource nicht stimmt] Umgebung: [Produktion, Vorproduktion, Entwicklung, Test, Sandbox]
Azure-Tags sind eine leistungsstarke Möglichkeit, Ihre Citrix-Ressourcen in der Umgebung zu organisieren, zu durchsuchen und Berichte zu erstellen. Sie können beispielsweise den Kostenanalysebericht verwenden, um Kosten nach Bereich basierend auf einer Ressourcengruppe oder einem Ressourcen-Tag anzuzeigen.
Empfehlungen des Sicherheitscenters
Das Sicherheitscenter überwacht automatisch alle Abonnements im Azure-Konto auf Sicherheitslücken. Überprüfen Sie diese Empfehlungen monatlich und setzen Sie alle Empfehlungen mit hohem oder mittlerem Schweregrad so schnell wie möglich um.
Citrix Cloud-Rollen
Dieser Abschnitt enthält detaillierte Anleitungen zum Einrichten der für Citrix Cloud erforderlichen Azure RBAC-Rollen. Auf Citrix-Ressourcen in Azure kann über die Konsole, Azure CLI, Azure PowerShell und Rest API zugegriffen werden. Azure RBAC ist ein Autorisierungssystem, das auf Azure Resource Manager (ARM) aufbaut und eine fein abgestimmte Zugriffsverwaltung für Azure-Ressourcen ermöglicht.
In einigen Bereitstellungen ist das Gewähren des Zugriffs auf Citrix Cloud mithilfe der weitreichenden Mitwirkenden akzeptabel, insbesondere wenn Citrix-Ressourcen über ein eigenes Abonnement verfügen. In der Regel besteht der beste Ansatz zur Sicherung Ihrer Citrix-Bereitstellung jedoch darin, die Rollen auf die minimal erforderlichen Berechtigungen zu beschränken. Wir diskutieren, wie Ressourcengruppen, App-Registrierungen und Rollen in Citrix Cloud integriert werden. Wir bieten Ihnen auch benutzerdefinierte Rollen, die einfach direkt in Ihr Azure AD importiert werden können.
Verwendung von Ressourcengruppen
Alle Citrix Ressourcen sollten in Ressourcengruppen enthalten sein, die für die Citrix-Bereitstellung reserviert sind. Wenn alle Citrix-bezogenen Ressourcen in einer Ressourcengruppe vorhanden sind, können die RBAC-Richtlinien problemlos auf Ressourcengruppenebene angewendet werden.
Für die sicherste Umgebung müssen mindestens zwei Ressourcengruppen erstellt werden:
Citrix_Infrastructure, das alle Citrix-Infrastrukturkomponenten enthält, einschließlich Cloud Connectors und Master-Image-VMs. In der Regel reicht eine Ressourcengruppe pro Abonnement für die Infrastruktur aus.
Citrix_MachineCatalog, der die virtuellen Citrix VDA-Maschinen enthält. Da der MCS-Assistent standardmäßig fragt, ob eine neue Ressourcengruppe für den Maschinenkatalog erstellt werden soll, verfügen Sie in der Regel über mehrere Ressourcengruppen. In den meisten Citrix-Bereitstellungen sind mehrere Maschinenkataloge vorhanden.
App-Registrierungen
Bei einer App-Registrierung wird eine unidirektionale Vertrauensbeziehung zwischen Ihrem Citrix Cloud-Konto und Azure erstellt, sodass Citrix Cloud Azure vertraut. Während des Vorgangs wird ein Azure Service Principal-Konto für Citrix Cloud erstellt. Citrix Cloud verwendet dieses Konto für alle Azure-Aktionen über die Hosting-Verbindung. Die Hosting-Verbindung wird in der Citrix Cloud-Konsole konfiguriert. Die Hosting-Verbindung verbindet Citrix Cloud über die Cloud Connectors mit einem Ressourcenstandort in Azure.
Sie müssen dem Dienstprinzipal Zugriff auf die Ressourcengruppen gewähren, die Citrix Ressourcen enthalten. Die Sicherheitslage des Unternehmens bestimmt die beste Methode, um diesen Zugriff zu gewähren. Sie können entweder auf Teilnehmerebene Zugriff auf das Abonnement gewähren oder eine benutzerdefinierte Rolle für den Dienstprinzipal erstellen.
Beim Erstellen des Dienstprinzipals legen Sie die folgenden Werte fest:
-
URL umleiten Aktivieren Sie diese Option und setzen Sie sie auf Web mit dem Wert https://citrix.cloud.com.
-
Für API-Berechtigungen ist die delegierte Berechtigung von user_impersonation erforderlich, die in der Windows Azure Services Management-API unter der Registerkarte APIs, die meine Organisation verwendet, ausgewählt wurde.
-
Für Certifications & Secrets muss ein neues Client Secret erstellt werden und die empfohlene Ablaufzeit beträgt ein Jahr. Beachten Sie, dass dieses Zertifikat im Rahmen Ihres Zeitplans für die Rotation von Sicherheitsschlüsseln aktualisiert werden muss.
Sie benötigen sowohl die Anwendungs-ID (Client) als auch den Client SecretKey-Wert aus der App-Registrierung, um die Hosting-Verbindung in Citrix Cloud zu konfigurieren.
Unternehmens-Anwendungen
Je nachdem, wie Ihre Citrix Cloud und Azure AD konfiguriert sind, werden eine oder mehrere Unternehmensanwendungen in Ihrem Azure AD-Mandanten erstellt. Diese Konten ermöglichen Citrix Cloud den Zugriff auf Daten, die in Ihrem Azure AD-Mandanten gespeichert sind. Tabelle 3 Citrix Cloud Enterprise-Anwendungen in Azure AD listet die Anwendungs-IDs und ihren Zweck auf.
| Anwendungs-ID für Unternehmen | Zweck |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | Standardverbindung zwischen Azure AD und Citrix Cloud |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Einladungen und Logins von Administratoren |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | Workspace-Abonnentenanmeldung |
| 5c913119-2257-4316-9994-5e8f3832265b | Standardverbindung zwischen Azure AD und Citrix Cloud mit Citrix Endpoint Management |
| e067934c-b52d-4e92-b1ca-70700bd1124e | Legacy-Verbindung zwischen Azure AD und Citrix Cloud mit Citrix Endpoint Management |
Jede Enterprise-Anwendung gewährt Citrix Cloud-spezifische Berechtigungen für Microsoft Graph oder die Windows Azure Active Directory-API. Beispielsweise gewährt die Workspace-Abonnentenanmeldung User.Read-Berechtigungen für beide APIs, sodass sich Benutzer anmelden und ihr Profil lesen können. Weitere Informationen zu den erteilten Berechtigungen finden Sie hier.
Integrierte Rollen verwenden
Die integrierte Rolle des Mitwirkenden enthält den umfassendsten Berechtigungssatz und funktioniert gut, wenn sie Diensthauptkonten auf Abonnementebene zugewiesen wird. Das Erteilen von Teilnehmerberechtigungen auf Abonnementebene erfordert ein globales Azure AD-Administratorkonto. Nach der Erteilung fordert Azure bei der ersten Verbindung von Citrix Cloud zu Azure AD zur Eingabe der erforderlichen Berechtigungen auf. Alle Konten, die während der Erstellung der Hostverbindung für die Authentifizierung verwendet werden, müssen mindestens Co-Administratoren des Abonnements sein. Mit dieser Berechtigungsstufe kann Citrix Cloud alle erforderlichen Objekte ohne Einschränkung erstellen. In der Regel wird dieser Ansatz verwendet, wenn das gesamte Abonnement für Citrix-Ressourcen reserviert ist.
In einigen Umgebungen können Dienstprinzipale nicht über Teilnehmerberechtigungen auf Abonnementebene verfügen. Citrix hat eine alternative Lösung bereitgestellt, die als Narrow Scope-Dienstprinzip bezeichnet wird. Bei einem Dienstprinzipal mit engem Umfang schließt der globale Azure AD-Administrator die Anwendungsregistrierung manuell ab. Anschließend erteilt ein Abonnementadministrator dem Dienstprinzipalkonto manuell die entsprechenden Berechtigungen. Dienstprinzipale mit engem Geltungsbereich verfügen nicht über Teilnehmerberechtigungen für das gesamte Abonnement. Ihre Teilnehmerberechtigungen sind vielmehr auf die Ressourcengruppen, Netzwerke und Images beschränkt, die für die Verwaltung der Maschinenkataloge erforderlich sind. Der Dienstprinzipal mit engem Geltungsbereich erfordert die folgenden Teilnehmerberechtigungen.
-
Vorab erstellte Ressourcengruppe: Mitwirkender virtueller Maschinen, Mitwirkender des Speicherkontos und Mitwirkender Datenträger
-
Virtuelles Netzwerk: Mitwirkender virtuellen Maschine
-
Speicherkonto: Mitwirkender virtuellen Maschine
Benutzerdefinierte Rollen verwenden
Die Dienstprinzipale von Narrow Scope gewähren, obwohl ihr Umfang begrenzt ist, immer noch die umfassenden Contributor-Berechtigungen, was für sicherheitssensible Umgebungen immer noch nicht akzeptabel ist. Citrix hat zwei benutzerdefinierte Rollen entwickelt, mit denen dem Dienstprinzipal nur die erforderlichen Berechtigungen erteilt werden können. Die Citrix Host-Rolle gewährt Zugriff für die zu erstellende Hostverbindung, während die Citrix-Maschinenkatalog-Rolle Zugriff zum Erstellen der Citrix-Workloads gewährt.
Citrix Host-Rolle
Hier ist der JSON für die Citrix Host-Rolle mit den Mindestberechtigungen, die für die Verwendung der Hosting-Verbindung erforderlich sind. Wenn für das Maschinenkatalog-Masterimage nur Snapshots oder Datenträger verwendet werden, kann die nicht verwendete Aktion aus der Liste “Aktionen” entfernt werden.
Abbildung 1 Citrix-Host-Rolle (JSON)
{
“id”: “”,
“properties”: {
“roleName”: “Citrix_Hosting_Connection”,
“description”: “Mindestberechtigungen zum Erstellen einer Hosting-Verbindung. Ressourcengruppen zuweisen, die Citrix Infrastructure enthalten, wie Cloud Connectors, Masterimages oder virtuelle Netzwerkressourcen”,
“assignableScopes”: [
”/”
],
“permissions”: [
{
“actions”: [
“Microsoft.Resources/subscriptions/resourceGroups/read”,
“Microsoft.Compute/snapshots/read”
“Microsoft.Compute/disks/read”,
“Microsoft.Network/virtualNetworks/read”,
“Microsoft.Network/virtualNetworks/subnets/join/action”
],
“notActions”: [],
“dataActions”: [],
“notDataActions”: []
}
]
}
}
Die benutzerdefinierte Rolle Citrix_Hosting_Connection wird den Citrix_Infrastructure-Ressourcengruppen zugewiesen, die über Cloud Connector-, Masterimage- oder virtuelle Netzwerkressourcen verfügen. Dieser JSON kann direkt in Ihre benutzerdefinierte Azure AD-Rolle kopiert und eingefügt werden.
Citrix Maschinenkatalogrolle
Hier ist der JSON für die Rolle “Citrix Maschinenkatalog”, der vom Citrix Maschinenkatalog-Assistenten verwendet Diese Rolle bietet die Mindestberechtigungen, die zum Erstellen der Citrix Ressourcen in Azure erforderlich sind:
Abbildung 2 Citrix Machine Catalog-Rolle (JSON)
{
“id”: “”,
“properties”: {
“roleName”: “Citrix_Machine_Catalog”,
“description”: “Mindestberechtigungen zum Erstellen eines Maschinenkatalogs. Weisen Sie Ressourcengruppen zu, die Citrix Workload-Server enthalten, auf denen der Virtual Delivery Agent ausgeführt wird.”,
“assignableScopes”: [
”/”
],
“permissions”: [
{
“actions”: [
“Microsoft.Resources/subscriptions/resourceGroups/read”,
“Microsoft.Storage/storageAccounts/listkeys/action”,
“Microsoft.Storage/storageAccounts/read”,
“Microsoft.Storage/storageAccounts/write”,
“Microsoft.Network/networkSecurityGroups/write”,
“Microsoft.Compute/virtualMachines/write”,
“Microsoft.Compute/virtualMachines/start/action”,
“Microsoft.Compute/virtualMachines/restart/action”,
“Microsoft.Compute/virtualMachines/read”,
“Microsoft.Compute/virtualMachines/powerOff/action”,
“Microsoft.Compute/virtualMachines/performMaintenance/action”,
“Microsoft.Compute/virtualMachines/deallocate/action”,
“Microsoft.Compute/virtualMachines/delete”,
“Microsoft.Compute/virtualMachines/convertToManagedDisks/action”,
“Microsoft.Compute/virtualMachines/capture/action”,
“Microsoft.Compute/snapshots/endGetAccess/action”,
“Microsoft.Compute/snapshots/beginGetAccess/action”,
“Microsoft.Compute/snapshots/delete”,
“Microsoft.Compute/snapshots/write”,
“Microsoft.Compute/snapshots/read”,
“Microsoft.Compute/disks/endGetAccess/action”,
“Microsoft.Compute/disks/delete”,
“Microsoft.Compute/disks/beginGetAccess/action”,
“Microsoft.Compute/disks/write”,
“Microsoft.Network/networkSecurityGroups/read”,
“Microsoft.Network/networkInterfaces/delete”,
“Microsoft.Network/networkInterfaces/join/action”,
“Microsoft.Network/networkInterfaces/write”,
“Microsoft.Network/networkInterfaces/read”,
“Microsoft.Storage/storageAccounts/listServiceSas/action”,
“Microsoft.Storage/storageAccounts/listAccountSas/action”,
“Microsoft.Storage/storageAccounts/delete”,
“Microsoft.Compute/disks/read”,
“Microsoft.Resources/subscriptions/resourceGroups/delete”,
“Microsoft.Resources/subscriptions/resourceGroups/write”,
“Microsoft.Network/virtualNetworks/subnets/join/action”,
“Microsoft.Network/virtualNetworks/subnets/read”,
“Microsoft.Network/virtualNetworks/read”,
“Microsoft.Network/networkSecurityGroups/join/action”
],
“notActions”: [],
“dataActions”: [],
“notDataActions”: []
}
]
}
}
Die benutzerdefinierte Rolle Citrix_Machine_Catalog wird den Citrix_MachineCatalog-Ressourcengruppen zugewiesen, die die virtuellen Citrix VDA-Maschinen enthalten. Dieser JSON kann direkt in Ihre benutzerdefinierte Azure AD-Rolle kopiert und eingefügt werden.
Überwachung der Sicherheit
Microsoft und Citrix bieten beide sicherheitsbasierte Dienste an, mit denen Sie vor Sicherheitsereignissen gewarnt werden können, die Ihre Aufmerksamkeit erfordern. Dieser Abschnitt ist nicht dazu gedacht, einen vollständigen Einblick in die Verwendung dieser Dienste zu geben. Stattdessen listet der Abschnitt die empfohlenen Dienste auf und zeigt, wie ihre Funktionen zur Verbesserung Ihrer Sicherheit verwendet werden können. Weitere Informationen finden Sie im Dokument Überwachen einer Citrix-Bereitstellung in Azure .
Microsoft Defender für Cloud
Defender for Cloud ist ein Dienst, der Funktionen kombiniert, die zuvor in Azure Security Center und Azure Defender gefunden wurden. Dieser Service bewertet kontinuierlich Ihre Azure-Ressourcen und liefert eine Gesamtbewertung, die die Sicherheitslage Ihrer Bereitstellungen angibt. Defender for Cloud bietet direkte Anleitungen zur Lösung aller vom Dienst identifizierten Probleme. Die Empfehlungen stammen aus dem Azure Security Benchmark, einem Azure-spezifischen Richtlinienpaket, das von Microsoft verfasst wurde.
Sentinel
Microsoft Sentinel ist sowohl ein Security Information and Event Management (SIEM) als auch ein Security Orchestration, Automation and Response (SOAR) -System. Sentinel wurde als Cloud-nativer Dienst konzipiert und gebaut. Mithilfe ausgeklügelter künstlicher Intelligenz überwacht Sentinel kontinuierlich alle Inhaltsquellen und sucht nach verdächtigen Aktivitäten. Sentinel bietet einen zentralen Ort für die Erfassung und Überwachung von Daten in großem Maßstab über Agenten und Datenkonnektoren. Sicherheitsvorfälle werden durch ausgelöste Warnungen und automatische Reaktionen auf häufig auftretende Aufgaben verfolgt. Sentinel kann über mehrere Clouds hinweg und mit Ihrer on-premises Infrastruktur betrieben werden, was es ideal für hybride Citrix-Umgebungen macht.
Microsoft Sentinel unterstützt Datenkonnektoren von einer Vielzahl von Anbietern. Zu diesen Anbietern gehören Sicherheits-, Netzwerk- und Anwendungsanbieter. Die Installation dieser Datenconnectors ist in Ihrer Citrix-Umgebung hilfreich.
Datenverkehrsanalyse von Azure Network Watcher
Obwohl Citrix so konzipiert ist, dass es sicher ist, sind Benutzer immer noch ein schwaches Glied und die Anmeldeinformationen können kompromittiert werden. Wenn Sie Citrix in Azure ausführen, ist eine der besten Möglichkeiten, den Zugriff auf Ihre Anwendungen und Daten zu sichern, die Überwachung des Netzwerkverkehrs. Traffic Analytics wurde entwickelt, um Ihnen relevante Informationen bereitzustellen, indem die Verkehrsflüsse im Netzwerk analysiert werden. Durch die Kombination von Rohflussprotokollen mit Kenntnissen der Netzwerktopologie kann Traffic Analytics einen umfassenden Überblick über die Netzwerkkommunikation bieten. Die Berichte enthalten die aktivsten Hosts oder Host-Paare, die am häufigsten verwendeten Protokolle, blockierten Datenverkehr, offene Ports, nicht autorisierte Netzwerke und die Verteilung des Datenverkehrs.
Citrix Analytics
Citrix Analytics ist ein Cloud-basierter Dienst, der Daten von Citrix-Benutzern über Geräte, Netzwerke und Anwendungen hinweg aggregiert. Der einzige Zweck von Citrix Analytics besteht darin, Beziehungen und Trends zu identifizieren, die zu umsetzbaren Erkenntnissen führen können. Analytics stützt sich auf integrierte Algorithmen für maschinelles Lernen (ML), um Verhaltensanomalien zu finden, die auf Probleme mit Citrix-Benutzern hinweisen können. Citrix Analytics arbeitet mit Drittanbietern, einschließlich Microsoft, zusammen, um Daten für die Analyse zu sammeln.
Citrix Analytics for Security konzentriert sich auf das Benutzer- und Anwendungsverhalten. Das Sicherheitsanalysemodul sucht in erster Linie nach Insider-Bedrohungen oder externem bösartigem Verhalten. Citrix Analytics lässt sich in die folgenden Citrix- und Microsoft-Produkte integrieren:
- Citrix Virtual Apps and Desktops
- Citrix Application Delivery Controller (NetScaler)
- Citrix Secure Workspace Access (Zugriffskontrolle)
- Citrix Gateway
- Citrix Content Collaboration
- Citrix Endpoint Management
- Citrix Secure Browser
- Microsoft Graph Security
- Microsoft Active Directory
Daten können in jeden SIEM-Dienst integriert werden, der Kafka-Themen oder Logstash-basierte Datenkonnektoren unterstützt, wie Microsoft Sentinel. Daten können auch in einem kommagetrennten Format (CSV) exportiert werden, um sie auf anderen Systemen zu analysieren.
Referenzen
https://docs.microsoft.com/en-us/azure/architecture/framework/security/overview
https://docs.microsoft.com/en-us/azure/role-based-access-control/overview
https://docs.microsoft.com/en-us/azure/virtual-network/network-security-groups-overview
https://docs.microsoft.com/en-us/azure/security/fundamentals/network-best-practices
https://azure.microsoft.com/fr-fr/blog/applicationsecuritygroups/
https://docs.microsoft.com/en-us/azure/virtual-network/service-tags-overview
https://docs.microsoft.com/en-us/azure/private-link/availability
https://docs.citrix.com/en-us/tech-zone/design/reference-architectures/gdpr.html
https://docs.citrix.com/en-us/tech-zone/build/tech-papers/antivirus-best-practices.html
https://docs.citrix.com/en-us/tech-zone/build/tech-papers/networking-tls-best-practices.html
https://docs.citrix.com/en-us/tech-zone/learn/tech-insights/federated-authentication-service.html
https://docs.citrix.com/en-us/tech-zone/learn/tech-insights/virtual-apps-and-desktops-service.html
https://docs.citrix.com/en-us/tech-zone/build/tech-papers/citrix-communication-ports.html
https://docs.citrix.com/en-us/citrix-gateway-service/hdx-edt-support-for-gateway-service.html