Guía de implementación segura para la plataforma Citrix Cloud

La Guía de implementación segura para Citrix Cloud ofrece una visión general de las prácticas recomendadas al utilizar Citrix Cloud, y describe la información que Citrix Cloud recopila y administra.

Los siguientes artículos ofrecen información similar para otros servicios de Citrix Cloud:

Plano de control

Instrucciones para administradores

  • Use contraseñas seguras y cámbielas con regularidad.
  • Todos los administradores de una cuenta de cliente pueden agregar y quitar otros administradores. Solo los administradores de confianza deben tener acceso a Citrix Cloud.
  • Los administradores de un cliente tienen, de forma predeterminada, acceso completo a todos los servicios. Algunos servicios ofrecen la posibilidad de restringir el acceso de un administrador. Para obtener más información, consulte la documentación de cada servicio.
  • La autenticación de dos factores para los administradores se logra mediante la integración de Citrix Cloud con Azure Active Directory.

Cifrado y administración de claves

El plano de control no almacena información confidencial de los clientes. En lugar de ello, Citrix Cloud obtiene la información (tal como las contraseñas de administrador) a demanda (preguntando explícitamente al administrador). No hay datos “Data at Rest” confidenciales ni cifrados, por lo que no es necesario administrar claves.

Para los datos “Data in Flight”, Citrix utiliza los estándares TLS 1.2 del sector, con los conjuntos de cifrado más sólidos. Los clientes no pueden controlar el certificado TLS que se usa, ya que Citrix Cloud está alojado en el dominio cloud.com, que es propiedad de Citrix. Para acceder a Citrix Cloud, los clientes deben utilizar un explorador que funcione con TLS 1.2 y admita conjuntos de cifrado seguros.

Consulte la documentación de cada servicio para obtener más información sobre el cifrado y la administración de claves de cada servicio.

Soberanía de los datos

El plano de control de Citrix Cloud está alojado en los Estados Unidos de América y en la Unión Europea. Los clientes no tienen control sobre ello.

El cliente posee y administra las ubicaciones de recursos que utiliza con Citrix Cloud. Las ubicaciones de recursos pueden crearse en cualquier centro de datos, infraestructura de nube, ubicación o región geográfica que desee el cliente. Todos los datos importantes de la empresa (por ejemplo, documentos, hojas de cálculo, etc.) se almacenan en las ubicaciones de recursos y están bajo el control del cliente.

En el caso de Content Collaboration, consulte los siguientes recursos para obtener información sobre cómo controlar dónde residen los datos:

Otros servicios pueden tener una opción para almacenar datos en diferentes regiones. Consulte el tema titulado Consideraciones geográficas o los temas de Visión general técnica de la seguridad (indicados al comienzo de este artículo) para cada servicio.

Control de cambios y auditoría

En estos momentos no hay ningún control de cambios ni auditoría disponible en las API o la interfaz de usuario de Citrix Cloud que sea visible para los clientes.

Citrix dispone de amplia información de auditoría interna. Si un cliente tiene un problema, se aconseja que se ponga en contacto con Citrix en un plazo de 30 días. Citrix revisará los registros de auditoría para determinar quién fue el administrador que ejecutó la operación en cuestión, la fecha, la dirección IP asociada con la acción, etcétera.

Detección de problemas de seguridad

El sitio Web status.cloud.com permite ver con claridad los problemas de seguridad que tienen un impacto constante en el cliente. El sitio registra información del estado y del tiempo de actividad. Existe la opción de suscribirse a actualizaciones de la plataforma o de servicios individuales.

Citrix Cloud Connector

Instalar Cloud Connector

Por razones de seguridad y rendimiento, Citrix recomienda no instalar el software de Cloud Connector en un controlador de dominio.

Además, las máquinas donde se ha instalado el software de Cloud Connector deben estar dentro de la red privada del cliente, no en la zona desmilitarizada (DMZ). Para ver las instrucciones de instalación de Cloud Connector y los requisitos de sistema y de red, consulte Citrix Cloud Connector.

Configurar Cloud Connector

El cliente es el responsable de mantener las máquinas donde está instalado Cloud Connector al día con las actualizaciones de seguridad de Windows necesarias.

Los clientes pueden usar un antivirus junto a Cloud Connector. Citrix realiza pruebas con McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8. Citrix ofrecerá asistencia a los clientes que utilicen otros productos antivirus estándares del sector.

En el Active Directory (AD) del cliente, la cuenta de la máquina de Cloud Connector debe tener restricción de acceso de solo lectura. Esta es la configuración predeterminada en Active Directory. Además, el cliente puede habilitar la captura de registros y auditoría de AD en la cuenta de la máquina de Cloud Connector para supervisar toda la actividad de acceso de AD.

Iniciar sesión en la máquina que aloja Cloud Connector

Cloud Connector contiene información de seguridad confidencial como, por ejemplo, las contraseñas administrativas. Solo debe permitirse el inicio de sesión en las máquinas que alojan Cloud Connector a los administradores con privilegios superiores (por ejemplo, para realizar operaciones de mantenimiento). En general, un administrador no necesita iniciar sesión en estas máquinas para administrar los productos Citrix. En ese sentido, Cloud Connector se autoadministra.

No permita que los usuarios finales inicien sesión en las máquinas que alojan Cloud Connector.

Instalar software adicional en máquinas de Cloud Connector

Los clientes pueden instalar software antivirus y herramientas de hipervisor (si se ha instalado en una máquina virtual) en las máquinas donde está instalado Cloud Connector. No obstante, Citrix recomienda a los clientes no instalar ningún otro software en esas máquinas. Cualquier otro software puede crear vectores de ataque de seguridad adicionales y pueden reducir la seguridad global de la solución Citrix Cloud.

Configurar puertos de entrada y salida

Cloud Connector requiere que el puerto de salida 443 esté abierto con acceso a Internet. Cloud Connector no debe tener puertos de entrada accesibles desde Internet.

Los clientes pueden ubicar Cloud Connector detrás de un proxy Web para supervisar sus comunicaciones salientes de Internet. No obstante, ese proxy Web debe funcionar con comunicación cifrada por SSL/TLS.

Cloud Connector puede tener puertos de salida adicionales con acceso a Internet. Cloud Connector negociará en una amplia gama de puertos para optimizar el ancho de banda y el rendimiento de la red si hay puertos adicionales disponibles.

Cloud Connector debe tener una amplia gama de puertos de entrada y salida abiertos dentro de la red interna. En la tabla siguiente se muestra el conjunto de base de puertos abiertos necesarios.

Puerto(s) del cliente Puerto del servidor Servicio
49152 -65535/UDP 123/UDP W32Time
49152 -65535/TCP 135/TCP Asignador de extremos de RPC
49152 -65535/TCP 464/TCP/UDP Cambio de contraseña de Kerberos
49152 -65535/TCP 49152-65535/TCP RPC para LSA, SAM, Netlogon (*)
49152 -65535/TCP/UDP 389/TCP/UDP LDAP
49152 -65535/TCP 636/TCP LDAP SSL
49152 -65535/TCP 3268/TCP LDAP GC
49152 -65535/TCP 3269/TCP LDAP GC SSL
53, 49152 -65535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP 49152 -65535/TCP FRS RPC (*)
49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
49152 -65535/TCP/UDP 445/TCP SMB

Cada uno de los servicios utilizados dentro de Citrix Cloud amplían la lista de los puertos abiertos necesarios. Para obtener más información, consulte los recursos siguientes:

Supervisar la comunicación de salida

Cloud Connector se comunica con el exterior vía Internet por el puerto 443; se conecta tanto a servidores Citrix Cloud como a servidores Microsoft Azure Service Bus.

Cloud Connector se comunica con los controladores de dominio en la red local que están dentro del bosque de Active Directory donde residen las máquinas que alojan Cloud Connector.

Durante el funcionamiento normal, Cloud Connector solo se comunica con los controladores de dominio de los dominios que se pueden Usar para suscripciones (opción que puede seleccionar en la página Administración de acceso e identidad en la interfaz de usuario de Citrix Cloud).

Al seleccionar los dominios que se configuran para Usar para suscripciones, Cloud Connector se comunica con los controladores de dominio de todos los dominios del bosque de Active Directory donde residen las máquinas que alojan Cloud Connector.

Cada servicio de Citrix Cloud ampliará la lista de servidores y recursos internos con los que Cloud Connector puede ponerse en contacto durante las operaciones habituales. Además, los clientes no pueden controlar los datos que Cloud Connector envía a Citrix. Para obtener más información acerca de los recursos internos de los servicios y los datos que se envían a Citrix, consulte lo siguiente:

Ver los registros de Cloud Connector

Toda información relevante o acción asociada a un administrador está disponible en el Registro de eventos de Windows de la máquina de Cloud Connector.

Revise los registros de instalación para Cloud Connector en los siguientes directorios:

  • %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
  • %windir%\Temp\CitrixLogs\CloudServicesSetup

Los registros de lo que Cloud Connector envia a la nube se encuentran en: %ProgramData%\Citrix\WorkspaceCloud\Logs

Los registros del directorio “WorkspaceCloud\Logs” se eliminan cuando superan el tamaño especificado. El administrador puede controlar este tamaño máximo ajustando el valor de clave de Registro HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes.

Configuración de SSL/TLS

La configuración básica de Cloud Connector no necesita ninguna configuración especial de SSL/TLS.

Cloud Connector debe confiar en la entidad de certificación (CA) de los certificados SSL/TLS de Citrix Cloud y los certificados SSL/TLS de Microsoft Azure Service Bus. Citrix y Microsoft pueden cambiar los certificados y las entidades de certificación en el futuro, pero siempre usarán entidades de certificación que constan en la lista de publicadores de confianza estándar de Windows.

Cada servicio de Citrix Cloud puede presentar requisitos diferentes de configuración de SSL. Para obtener más información, consulte los artículos de Visión general técnica de la seguridad para cada servicio (artículos indicados al comienzo de este tema)

Cumplimiento de directrices de seguridad

Para garantizar el cumplimiento de las directrices de seguridad, Cloud Connector se autoadministra. No inhabilite los reinicios de sistema ni ponga otras restricciones a Cloud Connector. Esas acciones impedirían que Cloud Connector se actualice cuando haya una actualización importante.

El cliente no necesita tomar ninguna otra medida para reaccionar frente a los problemas de seguridad que surjan. Cloud Connector aplica automáticamente las correcciones de seguridad.

Instrucciones para la gestión de cuentas en situación de riesgo

  • Audite la lista de administradores de Citrix Cloud y quite los que no sean de confianza.
  • Inhabilite las cuentas en peligro que haya en el directorio Active Directory de su empresa.
  • Póngase en contacto con Citrix y solicite rotar los secretos de autorización almacenados para todos los Cloud Connectors del cliente. Según la gravedad de la infracción, realice lo siguiente:
    • Riesgo leve: Citrix puede rotar los secretos con regularidad. Los Cloud Connectors seguirán funcionando normalmente. Los secretos de autorización antiguos dejarán de ser válidos entre 2 y 4 semanas después. Supervise Cloud Connector durante este tiempo para asegurarse de que no haya operaciones inesperadas.
    • Riesgo serio continuo: Citrix puede revocar todos los secretos antiguos. Los Cloud Connectors existentes ya no funcionarán. Para reanudar el funcionamiento normal, el cliente debe desinstalar y volver a instalar Cloud Connector en todas las máquinas afectadas.

Guía de implementación segura para la plataforma Citrix Cloud