Guía de implementación segura para la plataforma Citrix Cloud™
La Guía de implementación segura para Citrix Cloud ofrece una descripción general de las mejores prácticas de seguridad al usar Citrix Cloud y describe la información que Citrix Cloud recopila y administra.
-
Resúmenes de seguridad técnica para servicios
-
Consulta los siguientes artículos para obtener más información sobre la seguridad de los datos en los servicios en la nube de Citrix:
- Resumen de seguridad técnica de Analytics
- Resumen de seguridad técnica de Endpoint Management
- Resumen de seguridad técnica de Remote Browser Isolation
- Resumen de seguridad técnica de Citrix DaaS
-
Resumen de seguridad técnica de Citrix DaaS Standard para Azure
-
Orientación para administradores
- Usa contraseñas seguras y cámbialas regularmente.
- Todos los administradores de una cuenta de cliente pueden agregar y quitar a otros administradores. Asegúrate de que solo los administradores de confianza tengan acceso a Citrix Cloud.
- Los administradores de un cliente tienen, de forma predeterminada, acceso total a todos los servicios. Algunos servicios ofrecen la capacidad de restringir el acceso de un administrador. Consulta la documentación de cada servicio para obtener más información.
- La autenticación de dos factores para los administradores de Citrix Cloud se logra mediante el proveedor de identidades predeterminado de Citrix. Cuando los administradores se registran en Citrix Cloud o son invitados a una cuenta de Citrix Cloud, se les exige que se inscriban en la autenticación multifactor (MFA). Si un cliente usa Microsoft Azure para autenticar a los administradores de Citrix Cloud, la autenticación multifactor se puede configurar como se describe en Configurar los ajustes de autenticación multifactor de Azure AD en el sitio web de Microsoft.
- De forma predeterminada, Citrix Cloud finaliza automáticamente las sesiones de administrador después de 72 horas, independientemente de la actividad de la consola. Este tiempo de espera no se puede cambiar.
-
Las cuentas de administrador se pueden asociar con un máximo de 100 cuentas de cliente. Si un administrador necesita gestionar más de 100 cuentas de cliente, debe crear una cuenta de administrador separada con una dirección de correo electrónico diferente para gestionar las cuentas de cliente adicionales. Alternativamente, se le puede quitar como administrador de las cuentas de cliente que ya no necesite gestionar.
-
Cumplimiento de contraseñas
Citrix Cloud solicita a los administradores que cambien sus contraseñas si se cumple una de las siguientes condiciones:
- La contraseña actual no se ha usado para iniciar sesión durante más de 60 días.
- La contraseña actual ha sido incluida en una base de datos conocida de contraseñas comprometidas.
Las nuevas contraseñas deben cumplir todos los siguientes criterios:
- Al menos 8 caracteres de longitud (128 caracteres como máximo)
- Incluye al menos una letra mayúscula y una minúscula
- Incluye al menos un número
- Incluye al menos un carácter especial: ! @ # $ % ^ * ? + = -
Reglas para cambiar contraseñas:
- La contraseña actual no se puede usar como nueva contraseña.
- Las 5 contraseñas anteriores no se pueden reutilizar.
- La nueva contraseña no puede ser similar al nombre de usuario de la cuenta.
- La nueva contraseña no debe figurar en una base de datos conocida de contraseñas comprometidas. Citrix Cloud usa una lista proporcionada por https://haveibeenpwned.com/ para determinar si las nuevas contraseñas infringen esta condición.
Cifrado y gestión de claves
El plano de control de Citrix Cloud no almacena información confidencial del cliente. En su lugar, Citrix Cloud recupera información como las contraseñas de administrador bajo demanda (solicitando al administrador de forma explícita).
Para los datos en reposo, el almacenamiento de Citrix Cloud se cifra usando claves AES-256 bits o superiores. Estas claves son gestionadas por Citrix.
Para los datos en tránsito, Citrix usa TLS 1.2 estándar de la industria con los conjuntos de cifrado más seguros. Los clientes no pueden controlar el certificado TLS en uso, ya que Citrix Cloud está alojado en el dominio cloud.com, propiedad de Citrix. Para acceder a Citrix Cloud, los clientes deben usar un navegador compatible con TLS 1.2 y deben tener configurados conjuntos de cifrado aceptados.
Se recomiendan los siguientes cifrados seguros: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Nota:
Aunque TLS 1.2 es obligatorio, algunos servicios pueden negociar TLS 1.3 para mejorar la seguridad y el rendimiento. Se recomienda a los clientes que permitan que sus clientes negocien tanto TLS 1.2 como TLS 1.3. Se recomiendan los siguientes cifrados seguros:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Para obtener más información sobre cómo se protegen los datos de los servicios de Citrix Cloud, consulta Descripción general de la protección de datos de los servicios de Citrix Cloud en el sitio web de Citrix.
Para obtener más información sobre el cifrado y la gestión de claves en cada servicio en la nube, consulta la documentación del servicio.
Soberanía de datos
El plano de control de Citrix Cloud está alojado en Estados Unidos, la Unión Europea y Australia. Los clientes no tienen control sobre esto.
El cliente posee y gestiona las ubicaciones de recursos que usa con Citrix Cloud. Se puede crear una ubicación de recursos en cualquier centro de datos, nube, ubicación o área geográfica que el cliente desee. Todos los datos empresariales críticos (como documentos, hojas de cálculo, etc.) se almacenan en ubicaciones de recursos y están bajo el control del cliente.
Otros servicios pueden tener una opción para almacenar datos en diferentes regiones. Consulta el tema Consideraciones geográficas o los Resúmenes de seguridad técnica (enumerados al principio de este artículo) para cada servicio.
Visibilidad de problemas de seguridad
El sitio web status.cloud.com ofrece transparencia sobre los problemas de seguridad que afectan continuamente al cliente. El sitio registra información de estado y tiempo de actividad. Existe la opción de suscribirse para recibir actualizaciones de la plataforma o de servicios individuales.
Citrix Cloud Connector™
Instalación del Cloud Connector
Por motivos de seguridad y rendimiento, Citrix® recomienda que no instales el software de Cloud Connector en un controlador de dominio.
Además, Citrix recomienda encarecidamente que las máquinas en las que está instalado el software de Cloud Connector estén dentro de la red privada del cliente y no en la DMZ. Para conocer los requisitos de red y del sistema, y las instrucciones para instalar el Cloud Connector, consulta Citrix Cloud Connector.
-
Configuración del Cloud Connector
- Eres responsable de mantener las máquinas en las que está instalado el Cloud Connector actualizadas con las actualizaciones de seguridad de Windows.
Puedes usar un antivirus junto con el Cloud Connector. Citrix ofrece asistencia a los clientes que usan productos antivirus estándar del sector.
En el Active Directory (AD) del cliente, Citrix recomienda encarecidamente que la cuenta de máquina del Cloud Connector esté restringida a acceso de solo lectura. Esta es la configuración predeterminada en Active Directory. Además, puedes habilitar el registro y la auditoría de AD en la cuenta de máquina del Cloud Connector para supervisar cualquier actividad de acceso a AD.
El Cloud Connector permite que la información de seguridad confidencial pase a otros componentes de la plataforma en los servicios de Citrix Cloud, pero también almacena la siguiente información confidencial:
- Claves de servicio para comunicarse con Citrix Cloud
- Credenciales de servicio del hipervisor para la administración de energía en Citrix DaaS (anteriormente, servicio Citrix Virtual Apps and Desktops™)
Esta información confidencial se cifra mediante la API de protección de datos (DPAPI) en el servidor Windows que aloja el Cloud Connector. Citrix recomienda encarecidamente permitir que solo los administradores con mayores privilegios inicien sesión en las máquinas de Cloud Connector (por ejemplo, para realizar operaciones de mantenimiento). En general, no es necesario que un administrador inicie sesión en estas máquinas para administrar ningún producto de Citrix. El Cloud Connector se autogestiona en ese aspecto.
No permitas que los usuarios finales inicien sesión en las máquinas que alojan el Cloud Connector.
Instalación de otro software en las máquinas de Cloud Connector
Puedes instalar software antivirus y herramientas de hipervisor (si están instaladas en una máquina virtual) en las máquinas donde está instalado el Cloud Connector. Sin embargo, Citrix recomienda que no instales ningún otro software en estas máquinas. Otro software crea posibles vectores de ataque de seguridad y podría reducir la seguridad de la solución general de Citrix Cloud.
Configuración de puertos de entrada y salida
El Cloud Connector requiere que el puerto de salida 443 esté abierto con acceso a Internet. Citrix recomienda encarecidamente que el Cloud Connector no tenga puertos de entrada accesibles desde Internet.
Puedes ubicar el Cloud Connector detrás de un proxy web para supervisar sus comunicaciones salientes de Internet. Sin embargo, el proxy web debe ser compatible con la comunicación cifrada SSL/TLS.
El Cloud Connector podría tener otros puertos de salida con acceso a Internet. El Cloud Connector negocia a través de una amplia gama de puertos para optimizar el ancho de banda y el rendimiento de la red si hay otros puertos disponibles.
El Cloud Connector debe tener una amplia gama de puertos de entrada y salida abiertos dentro de la red interna. La siguiente tabla enumera el conjunto base de puertos abiertos necesarios.
| Puerto de cliente | Puerto de servidor | Servicio |
|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time |
| 49152 -65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 49152 -65535/TCP | 464/TCP/UDP | Kerberos password change |
| 49152 -65535/TCP | 49152-65535/TCP | RPC for LSA, SAM, Netlogon (*) |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152 -65535/TCP | 3268/TCP | LDAP GC |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152 -65535/TCP | 49152 -65535/TCP | FRS RPC (*) |
| 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP | SMB |
El Cloud Connector usa la firma y el sellado LDAP para proteger las conexiones al controlador de dominio. Esto significa que LDAP a través de SSL (LDAPS) no es necesario. Para obtener más información sobre la firma LDAP, consulta Cómo habilitar la firma LDAP en Windows Server y Guía de Microsoft para habilitar el enlace de canal LDAP y la firma LDAP.
Cada uno de los servicios usados en Citrix Cloud amplía la lista de puertos abiertos necesarios. Para obtener más información, consulta los siguientes recursos:
- Descripciones generales de seguridad técnica para cada servicio (enumerados al principio de este artículo)
- Requisitos de conectividad a Internet para los servicios de Citrix Cloud
- Requisitos de puertos del servicio de consola
- Requisitos de puertos de Endpoint Management
Supervisión de la comunicación saliente
El Cloud Connector se comunica con Internet a través del puerto 443, tanto con los servidores de Citrix Cloud como con los servidores de Microsoft Azure Service Bus.
- El Cloud Connector se comunica con los controladores de dominio de la red local que se encuentran dentro del bosque de Active Directory donde residen las máquinas que alojan el Cloud Connector.
Durante el funcionamiento normal, el Cloud Connector solo se comunica con los controladores de dominio en los dominios que no están deshabilitados en la página Identidad y administración de acceso de la interfaz de usuario de Citrix Cloud.
Cada servicio dentro de Citrix Cloud amplía la lista de servidores y recursos internos con los que el Cloud Connector podría ponerse en contacto durante las operaciones normales. Además, los clientes no pueden controlar los datos que el Cloud Connector envía a Citrix. Para obtener más información sobre los recursos internos de los servicios y los datos enviados a Citrix, consulta los siguientes recursos:
- Descripciones generales de seguridad técnica para cada servicio (enumerados al principio de este artículo)
- Requisitos de conectividad a Internet para los servicios de Citrix Cloud
Visualización de los registros del Cloud Connector
Cualquier información relevante o procesable para un administrador está disponible en el Registro de eventos de Windows en la máquina del Cloud Connector.
-
Consulta los registros de instalación del Cloud Connector en los siguientes directorios:
- %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
- %windir%\Temp\CitrixLogs\CloudServicesSetup
Los registros de lo que el Cloud Connector envía a la nube se encuentran en %ProgramData%\Citrix\WorkspaceCloud\Logs.
Los registros del directorio WorkspaceCloud\Logs se eliminan cuando superan un umbral de tamaño especificado. El administrador puede controlar este umbral de tamaño ajustando el valor de la clave de registro para HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes.
Configuración SSL/TLS
El servidor Windows que aloja el Cloud Connector debe tener habilitados los cifrados detallados en Cifrado y administración de claves.
El Cloud Connector debe confiar en la autoridad de certificación (CA) que utilizan los certificados SSL/TLS de Citrix Cloud y los certificados SSL/TLS de Microsoft Azure Service Bus. Citrix y Microsoft podrían cambiar los certificados y las CA en el futuro, pero siempre usarán CA que formen parte de la lista estándar de editores de confianza de Windows.
Cada servicio dentro de Citrix Cloud podría tener diferentes requisitos de configuración SSL. Para obtener más información, consulta las Descripciones generales de seguridad técnica para cada servicio (enumerados al principio de este artículo).
Cumplimiento de seguridad
Para garantizar el cumplimiento de la seguridad, el Cloud Connector se autogestiona. No deshabilites los reinicios ni impongas otras restricciones al Cloud Connector. Estas acciones impiden que el Cloud Connector se actualice cuando hay una actualización crítica.
No se requiere que el cliente realice ninguna otra acción para reaccionar ante problemas de seguridad. El Cloud Connector aplica automáticamente cualquier corrección de seguridad.
Citrix Connector™ Appliance para servicios en la nube
Instalación del Connector Appliance
El Connector Appliance se aloja en un hipervisor. Este hipervisor debe estar dentro de tu red privada y no en la DMZ.
Asegúrate de que el Connector Appliance esté dentro de un firewall que bloquee el acceso de forma predeterminada. Usa una lista de permitidos para permitir solo el tráfico esperado del Connector Appliance.
Asegúrate de que los hipervisores que alojan tus Connector Appliances estén instalados con las actualizaciones de seguridad más recientes.
Para conocer los requisitos de red y del sistema, y las instrucciones para instalar el Connector Appliance, consulta Connector Appliance para servicios en la nube.
Inicio de sesión en el hipervisor que aloja un Connector Appliance
El Connector Appliance contiene una clave de servicio para comunicarse con Citrix Cloud. Permite que solo los administradores con mayores privilegios inicien sesión en un hipervisor que aloje el Connector Appliance (por ejemplo, para realizar operaciones de mantenimiento). En general, no es necesario que un administrador inicie sesión en estos hipervisores para administrar ningún producto de Citrix. El Connector Appliance se autogestiona.
Configuración de puertos de entrada y salida
El Connector Appliance requiere que el puerto de salida 443 esté abierto con acceso a Internet. Citrix recomienda encarecidamente que el Connector Appliance no tenga puertos de entrada accesibles desde Internet.
Puedes ubicar el Connector Appliance detrás de un proxy web para supervisar sus comunicaciones de salida a Internet. Sin embargo, el proxy web debe ser compatible con la comunicación cifrada SSL/TLS.
El Connector Appliance podría tener otros puertos de salida con acceso a Internet. El Connector Appliance negocia a través de una amplia gama de puertos para optimizar el ancho de banda de la red y el rendimiento si hay otros puertos disponibles.
El Connector Appliance debe tener una amplia gama de puertos de entrada y salida abiertos dentro de la red interna. La siguiente tabla enumera el conjunto base de puertos abiertos necesarios.
| Dirección de conexión | Puerto del Connector Appliance | Puerto externo | Servicio |
|---|---|---|---|
| Entrada | 443/TCP | Cualquiera | Interfaz de usuario web local |
| Salida | 49152-65535/UDP | 123/UDP | NTP |
| Salida | 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| Salida | 67/UDP | 68/UDP | DHCP y difusión |
| Salida | 49152 -65535/UDP | 123/UDP | W32Time |
| Salida | 49152 -65535/TCP | 464/TCP/UDP | Cambio de contraseña de Kerberos |
| Salida | 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| Salida | 49152 -65535/TCP | 3268/TCP | LDAP GC |
| Salida | 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| Salida | 49152 -65535/TCP/UDP | 445/TCP | SMB |
| Salida | 137/UDP | 137/UDP | Servicio de nombres NetBIOS |
| Salida | 138/UDP | 138/UDP | Datagrama NetBIOS |
| Salida | 139/TCP | 139/TCP | Sesión NetBIOS |
Cada uno de los servicios utilizados en Citrix Cloud amplía la lista de puertos abiertos necesarios. Para obtener más información, consulta los siguientes recursos:
- Descripciones generales de seguridad técnica para cada servicio (enumerados al principio de este artículo)
- Requisitos del sistema y de conectividad para los servicios de Citrix Cloud
Supervisión de la comunicación de salida
El Connector Appliance se comunica con Internet a través del puerto 443 con los servidores de Citrix Cloud.
Cada servicio de Citrix Cloud amplía la lista de servidores y recursos internos con los que el Connector Appliance podría ponerse en contacto durante las operaciones normales. Además, los clientes no pueden controlar los datos que el Connector Appliance envía a Citrix. Para obtener más información sobre los recursos internos de los servicios y los datos enviados a Citrix, consulta los siguientes recursos:
- Descripciones generales de seguridad técnica para cada servicio (enumerados al principio de este artículo)
- Requisitos del sistema y de conectividad para los servicios de Citrix Cloud
Visualización de los registros del Connector Appliance
Puedes descargar un informe de diagnóstico para tu Connector Appliance que incluye varios archivos de registro. Para obtener más información sobre cómo obtener este informe, consulta Connector Appliance para servicios en la nube.
Configuración de SSL/TLS
El Connector Appliance no necesita ninguna configuración especial de SSL/TLS.
El Connector Appliance confía en la autoridad de certificación (CA) utilizada por los certificados SSL/TLS de Citrix Cloud. Citrix podría cambiar los certificados y las CA en el futuro, pero siempre utiliza CA en las que confía el Connector Appliance.
Cada servicio de Citrix Cloud podría tener diferentes requisitos de configuración SSL. Para obtener más información, consulta las Descripciones generales de seguridad técnica para cada servicio (enumeradas al principio de este artículo).
Cumplimiento de seguridad
Para garantizar el cumplimiento de la seguridad, el Connector Appliance se autogestiona y no puedes iniciar sesión en él a través de la consola.
No es necesario que realices ninguna otra acción para reaccionar ante problemas de seguridad del conector. El Connector Appliance aplica automáticamente cualquier corrección de seguridad.
Asegúrate de que los hipervisores que alojan tus Connector Appliances tengan instaladas las actualizaciones de seguridad más recientes.
En tu Active Directory (AD), te recomendamos que la cuenta de máquina del Connector Appliance esté restringida a acceso de solo lectura. Esta es la configuración predeterminada en Active Directory. Además, el cliente puede habilitar el registro y la auditoría de AD en la cuenta de máquina del Connector Appliance para supervisar cualquier actividad de acceso a AD.
Orientación para gestionar cuentas comprometidas
- Audita la lista de administradores en Citrix Cloud y quita a los que no sean de confianza.
- Deshabilita cualquier cuenta comprometida dentro del Active Directory de tu empresa.
- Ponte en contacto con Citrix y solicita la rotación de los secretos de autorización almacenados para todos los Cloud Connectors del cliente. Según la gravedad de la infracción, realiza las siguientes acciones:
- Riesgo bajo: Citrix puede rotar los secretos con el tiempo. Los Cloud Connectors seguirán funcionando con normalidad. Los antiguos secretos de autorización dejarán de ser válidos en 2-4 semanas. Supervisa el Cloud Connector durante este tiempo para asegurarte de que no haya operaciones inesperadas.
- Riesgo alto continuo: Citrix puede revocar todos los secretos antiguos. Los Cloud Connectors existentes dejarán de funcionar. Para reanudar el funcionamiento normal, el cliente debe desinstalar y volver a instalar el Cloud Connector en todas las máquinas aplicables.
En este artículo
- Resúmenes de seguridad técnica para servicios
- Orientación para administradores
- Cumplimiento de contraseñas
- Cifrado y gestión de claves
- Soberanía de datos
- Visibilidad de problemas de seguridad
- Citrix Cloud Connector™
- Citrix Connector™ Appliance para servicios en la nube
- Orientación para gestionar cuentas comprometidas