Citrix Cloud

Guía de implementación segura para la plataforma Citrix Cloud

La Guía de implementación segura para Citrix Cloud ofrece una visión general de las prácticas recomendadas al utilizar Citrix Cloud, y describe la información que Citrix Cloud recopila y administra.

Los siguientes artículos ofrecen información similar para otros servicios de Citrix Cloud:

Plano de control

Instrucciones para administradores

  • Use contraseñas seguras y cámbielas con regularidad.
  • Todos los administradores de una cuenta de cliente pueden agregar y quitar otros administradores. Solo los administradores de confianza deben tener acceso a Citrix Cloud.
  • Los administradores de un cliente tienen, de forma predeterminada, acceso completo a todos los servicios. Algunos servicios ofrecen la posibilidad de restringir el acceso de un administrador. Para obtener más información, consulte la documentación de cada servicio.
  • La autenticación de dos factores para los administradores se logra mediante la integración de Citrix Cloud con Azure Active Directory.
  • De forma predeterminada, Citrix Cloud finaliza automáticamente las sesiones de administrador después de 60 minutos de inactividad. Este tiempo de espera de 60 minutos no se puede cambiar. Inactivo significa que la sesión está completamente inactiva y que el administrador no interactúa con la consola de Citrix Cloud de ninguna manera. Actividad hace referencia a acciones como navegar por la interfaz gráfica, seleccionar opciones de configuración, guardar cambios de configuración o esperar a que surta efecto un cambio.

Cumplimiento de normas para las contraseñas

Citrix Cloud solicita a los administradores que cambien sus contraseñas si su contraseña actual tiene más de 60 días de antigüedad. Las nuevas contraseñas deben cumplir todos los criterios siguientes:

  • Al menos 12 caracteres de longitud
  • Incluir al menos una letra mayúscula y una minúscula
  • Incluir al menos un número
  • Incluir al menos un carácter especial: ! @ # $ % ^ * ? + = -

Reglas para cambiar contraseñas:

  • Debe cambiarse al menos un carácter de la contraseña actual. La contraseña actual no se puede utilizar como la nueva contraseña.
  • No se puede volver a usar ninguna de las 24 contraseñas anteriores.
  • La nueva contraseña debe estar en vigor durante al menos un día antes de que Citrix Cloud permita volver a cambiarla.

Cifrado y administración de claves

El plano de control no almacena información confidencial de los clientes. En su lugar, Citrix Cloud obtiene la información (tal como las contraseñas de administrador) a demanda (pidiéndoselo explícitamente al administrador). No hay datos “Data at Rest” confidenciales ni cifrados, por lo que no es necesario administrar claves.

Para los datos en proceso, Citrix utiliza los estándares TLS 1.2 del sector con los conjuntos de cifrado más robustos. Los clientes no pueden controlar el certificado TLS que se usa, ya que Citrix Cloud está alojado en el dominio cloud.com, que es propiedad de Citrix. Para acceder a Citrix Cloud, los clientes deben utilizar un explorador que funcione con TLS 1.2 y admita conjuntos de cifrado seguros.

Consulte la documentación de cada servicio para obtener más información sobre el cifrado y la administración de claves de cada servicio.

Soberanía de los datos

El plano de control de Citrix Cloud está alojado en los Estados Unidos de América, en la Unión Europea y en Australia. Los clientes no tienen control sobre ello.

El cliente posee y administra las ubicaciones de recursos que utiliza con Citrix Cloud. Las ubicaciones de recursos pueden crearse en cualquier centro de datos, infraestructura de nube, ubicación o región geográfica que desee el cliente. Todos los datos importantes de la empresa (por ejemplo, documentos, hojas de cálculo, etc.) se almacenan en las ubicaciones de recursos y están bajo el control del cliente.

En el caso de Content Collaboration, consulte los siguientes recursos para obtener información sobre cómo controlar dónde residen los datos:

Otros servicios pueden tener una opción para almacenar datos en diferentes regiones. Consulte el tema Consideraciones geográficas o la información técnica general sobre la seguridad (se indican al comienzo de este artículo) para cada servicio.

Detección de problemas de seguridad

El sitio web status.cloud.com permite ver con claridad los problemas de seguridad que tienen un impacto constante en el cliente. El sitio registra información del estado y del tiempo de actividad. Existe la opción de suscribirse a actualizaciones de la plataforma o de servicios individuales.

Citrix Cloud Connector

Instalar Cloud Connector

Por razones de seguridad y rendimiento, Citrix recomienda no instalar el software de Cloud Connector en un controlador de dominio.

Además, Citrix recomienda encarecidamente que las máquinas donde se ha instalado el software de Cloud Connector estén dentro de la red privada del cliente, no en la zona desmilitarizada (DMZ). Para ver las instrucciones de instalación de Cloud Connector y los requisitos de sistema y de red, consulte Citrix Cloud Connector.

Configurar Cloud Connector

El cliente es el responsable de mantener las máquinas donde está instalado Cloud Connector al día con las actualizaciones de seguridad de Windows necesarias.

Los clientes pueden usar un antivirus junto a Cloud Connector. Citrix realiza pruebas con McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8. Citrix ofrece asistencia a los clientes que utilicen otros productos antivirus estándares del sector.

En el Active Directory (AD) del cliente, Citrix recomienda encarecidamente que la cuenta de la máquina de Cloud Connector tenga restricción de acceso de solo lectura. Esta es la configuración predeterminada en Active Directory. Asimismo, el cliente puede habilitar la captura de registros y auditoría de AD en la cuenta de la máquina de Cloud Connector para supervisar toda la actividad de acceso de AD.

Iniciar sesión en la máquina que aloja Cloud Connector

Cloud Connector contiene información de seguridad confidencial como, por ejemplo, las contraseñas administrativas. Citrix recomienda encarecidamente permitir únicamente el inicio de sesión en las máquinas que alojan Cloud Connector a los administradores con privilegios superiores (por ejemplo, para realizar operaciones de mantenimiento). En general, un administrador no necesita iniciar sesión en estas máquinas para administrar los productos Citrix. En ese sentido, Cloud Connector se autoadministra.

No permita que los usuarios finales inicien sesión en las máquinas que alojan Cloud Connector.

Instalar otro software en máquinas de Cloud Connector

Los clientes pueden instalar software antivirus y herramientas de hipervisor (si se ha instalado en una máquina virtual) en las máquinas donde está instalado Cloud Connector. No obstante, Citrix recomienda a los clientes no instalar ningún otro software en esas máquinas. Cualquier otro software puede crear vectores de ataque de seguridad y puede reducir la seguridad global de la solución Citrix Cloud.

Configurar puertos de entrada y salida

Cloud Connector requiere que el puerto de salida 443 esté abierto con acceso a Internet. Citrix recomienda encarecidamente que Cloud Connector no tenga puertos de entrada accesibles desde Internet.

Los clientes pueden ubicar Cloud Connector detrás de un proxy Web para supervisar sus comunicaciones salientes de Internet. No obstante, ese proxy Web debe admitir comunicación cifrada por SSL/TLS.

Cloud Connector puede tener otros puertos de salida con acceso a Internet. Cloud Connector negocia en una amplia gama de puertos para optimizar el ancho de banda y el rendimiento de la red si hay otros puertos disponibles.

Cloud Connector debe tener una amplia gama de puertos de entrada y salida abiertos dentro de la red interna. En la siguiente tabla, se muestra el conjunto de base de puertos abiertos necesarios.

Puerto del cliente Puerto del servidor Servicio
49152 -65535/UDP 123/UDP W32Time
49152-65535/TCP 135/TCP Asignador de extremos de RPC
49152-65535/TCP 464/TCP/UDP Cambio de contraseña de Kerberos
49152-65535/TCP 49152-65535/TCP RPC para LSA, SAM, Netlogon (*)
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152-65535/TCP 636/TCP LDAP SSL
49152-65535/TCP 3268/TCP LDAP GC
49152-65535/TCP 3269/TCP LDAP GC SSL
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/TCP 49152-65535/TCP FRS RPC (*)
49152-65535/TCP/UDP 88/TCP/UDP Kerberos
49152-65535/TCP/UDP 445/TCP SMB

Cada uno de los servicios utilizados dentro de Citrix Cloud ampliará la lista de los puertos abiertos necesarios. Para obtener más información, consulte los recursos siguientes:

Supervisar la comunicación de salida

Cloud Connector se comunica con el exterior vía Internet por el puerto 443; se conecta tanto a servidores Citrix Cloud como a servidores Microsoft Azure Service Bus.

Cloud Connector se comunica con los controladores de dominio en la red local que están dentro del bosque de Active Directory donde residen las máquinas que alojan Cloud Connector.

Durante el funcionamiento normal, Cloud Connector solo se comunica con los controladores de dominio de los dominios que se pueden Usar para suscripciones (opción que puede seleccionar en la página Administración de acceso e identidad en la interfaz de usuario de Citrix Cloud).

Al seleccionar los dominios que se configuran para Usar para suscripciones, Cloud Connector se comunica con los controladores de dominio de todos los dominios del bosque de Active Directory donde residen las máquinas que alojan Cloud Connector.

Cada servicio de Citrix Cloud ampliará la lista de servidores y recursos internos con los que Cloud Connector puede ponerse en contacto durante las operaciones habituales. Además, los clientes no pueden controlar los datos que Cloud Connector envía a Citrix. Para obtener más información acerca de los recursos internos de los servicios y los datos que se envían a Citrix, consulte lo siguiente:

Ver los registros de Cloud Connector

Toda información relevante o acción asociada a un administrador está disponible en el Registro de eventos de Windows de la máquina de Cloud Connector.

Revise los registros de instalación para Cloud Connector en los siguientes directorios:

  • %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
  • %windir%\Temp\CitrixLogs\CloudServicesSetup

Los registros de lo que Cloud Connector envía a la nube se encuentran en: %ProgramData%\Citrix\WorkspaceCloud\Logs

Los registros del directorio “WorkspaceCloud\Logs” se eliminan cuando superan el tamaño especificado. El administrador puede controlar este tamaño máximo ajustando el valor de clave de Registro HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes.

Configuración de SSL/TLS

La configuración básica de Cloud Connector no necesita ninguna configuración especial de SSL/TLS.

Cloud Connector debe confiar en la entidad de certificación (CA) de los certificados SSL/TLS de Citrix Cloud y los certificados SSL/TLS de Microsoft Azure Service Bus. Citrix y Microsoft pueden cambiar los certificados y las entidades de certificación en el futuro, pero siempre usan entidades de certificación que constan en la lista de publicadores de confianza estándar de Windows.

Cada servicio de Citrix Cloud podría presentar requisitos diferentes de configuración de SSL. Para obtener más información, consulte la información técnica general sobre la seguridad de cada servicio (indicada al comienzo de este artículo).

Cumplimiento de directrices de seguridad

Para garantizar el cumplimiento de las directrices de seguridad, Cloud Connector se autoadministra. No inhabilite los reinicios de sistema ni ponga otras restricciones a Cloud Connector. Esas acciones impedirían que Cloud Connector se actualice cuando haya una actualización importante.

El cliente no necesita tomar ninguna otra medida para reaccionar frente a los problemas de seguridad que surjan. Cloud Connector aplica automáticamente las correcciones de seguridad.

Dispositivo Citrix Connector para Cloud Services

Instalar el dispositivo Connector

El dispositivo Connector está alojado en un hipervisor. Este hipervisor debe estar en su red privada y no en la zona desmilitarizada.

Compruebe que el dispositivo Connector esté dentro de un firewall que bloquea el acceso de forma predeterminada. Utilice una lista de permitidos para permitir solamente el tráfico esperado procedente del dispositivo Connector.

Compruebe que los hipervisores que alojan los dispositivos Connector están instalados con las actualizaciones de seguridad más recientes.

Para ver las instrucciones de instalación del dispositivo Connector y los requisitos de sistema y de red, consulte Dispositivo Connector para Cloud Services.

Iniciar sesión en el hipervisor que aloja un dispositivo Connector

El dispositivo Connector contiene información confidencial de seguridad, como, por ejemplo, contraseñas administrativas. Solamente debe permitir que los administradores con privilegios superiores inicien sesión en un hipervisor que aloje el dispositivo Connector (por ejemplo, para realizar operaciones de mantenimiento). En general, un administrador no necesita iniciar sesión en estos hipervisores para administrar los productos Citrix. El dispositivo Connector se administra automáticamente.

Configurar puertos de entrada y salida

El dispositivo Connector requiere que el puerto de salida 443 esté abierto con acceso a Internet. Citrix recomienda encarecidamente que el dispositivo Connector no tenga puertos de entrada accesibles desde Internet.

Puede ubicar el dispositivo Connector detrás de un proxy web para supervisar sus comunicaciones salientes de Internet. No obstante, ese proxy Web debe admitir comunicación cifrada por SSL/TLS.

El dispositivo Connector puede tener otros puertos de salida con acceso a Internet. El dispositivo Connector negocia en una amplia gama de puertos para optimizar el ancho de banda y el rendimiento de la red si hay otros puertos disponibles.

El dispositivo Connector debe tener una amplia gama de puertos de entrada y salida abiertos dentro de la red interna. En la siguiente tabla, se muestra el conjunto de base de puertos abiertos necesarios.

Dirección de la conexión Puerto del dispositivo Connector Puerto externo Servicio
Entrante 443/TCP Cualquiera IU web local
Saliente 49152-65535/UDP 123/UDP NTP
Saliente 53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
Saliente 67/UDP 68/UDP DHCP y difusión

Cada uno de los servicios utilizados dentro de Citrix Cloud ampliará la lista de los puertos abiertos necesarios. Para obtener más información, consulte los recursos siguientes:

Supervisar la comunicación de salida

El dispositivo Connector se comunica con el exterior vía Internet por el puerto 443 con los servidores de Citrix Cloud.

Cada servicio de Citrix Cloud ampliará la lista de servidores y recursos internos con los que el dispositivo Connector puede ponerse en contacto durante las operaciones habituales. Además, los clientes no pueden controlar los datos que el dispositivo Connector envía a Citrix. Para obtener más información acerca de los recursos internos de los servicios y los datos que se envían a Citrix, consulte lo siguiente:

Ver los registros del dispositivo Connector

Puede descargar un informe de diagnóstico sobre el dispositivo Connector que incluye varios archivos de registro. Para obtener más información sobre cómo obtener este informe, consulte Dispositivo Connector para Cloud Services.

Configuración de SSL/TLS

El dispositivo Connector no necesita ninguna configuración especial de SSL/TLS.

El dispositivo Connector confía en la entidad de certificación (CA) utilizada por los certificados SSL/TLS de Citrix Cloud. Es posible que, en el futuro, Citrix cambie certificados y entidades de certificación, pero siempre utilizará entidades en las que el dispositivo Connector confía.

Cada servicio de Citrix Cloud podría presentar requisitos diferentes de configuración de SSL. Para obtener más información, consulte la información técnica general sobre la seguridad de cada servicio (indicada al comienzo de este artículo).

Cumplimiento de directrices de seguridad

Para garantizar el cumplimiento de directrices de seguridad, el dispositivo Connector se autoadministra y usted no puede iniciar sesión en él a través de la consola.

No es necesario tomar ninguna otra medida para reaccionar frente a los problemas de seguridad del conector. El dispositivo Connector aplica automáticamente las correcciones de seguridad.

Compruebe que los hipervisores que alojan los dispositivos Connector están instalados con las actualizaciones de seguridad más recientes.

Instrucciones para la gestión de cuentas en situación de riesgo

  • Audite la lista de administradores de Citrix Cloud y quite los que no sean de confianza.
  • Inhabilite las cuentas en peligro que haya en el directorio Active Directory de su empresa.
  • Póngase en contacto con Citrix y solicite rotar los secretos de autorización almacenados para todos los Cloud Connectors del cliente. Según la gravedad de la infracción, realice lo siguiente:
    • Riesgo leve: Citrix puede rotar los secretos con regularidad. Los Cloud Connectors siguen funcionando normalmente. Los secretos de autorización antiguos dejan de ser válidos entre 2 y 4 semanas después. Supervise Cloud Connector durante este tiempo para asegurarse de que no haya operaciones inesperadas.
    • Riesgo serio continuo: Citrix puede revocar todos los secretos antiguos. Los Cloud Connectors existentes ya no funcionarán. Para reanudar el funcionamiento normal, el cliente debe desinstalar y volver a instalar Cloud Connector en todas las máquinas afectadas.

Guía de implementación segura para la plataforma Citrix Cloud