Citrix Cloud

Guía de implementación segura para la plataforma Citrix Cloud

La Guía de implementación segura para Citrix Cloud ofrece una visión general de las prácticas recomendadas al utilizar Citrix Cloud, y describe la información que Citrix Cloud recopila y administra.

Información técnica general sobre la seguridad para los servicios

Consulte los siguientes artículos para obtener más información sobre la seguridad de los datos en los servicios de Citrix Cloud:

Instrucciones para administradores

  • Use contraseñas seguras y cámbielas con regularidad.
  • Todos los administradores de una cuenta de cliente pueden agregar y quitar otros administradores. Solo los administradores de confianza deben tener acceso a Citrix Cloud.
  • Los administradores de un cliente tienen, de forma predeterminada, acceso completo a todos los servicios. Algunos servicios ofrecen la posibilidad de restringir el acceso de un administrador. Para obtener más información, consulte la documentación de cada servicio.
  • La autenticación de dos factores para los administradores de Citrix Cloud se logra mediante el proveedor de identidades predeterminado de Citrix. Cuando los administradores se registran en Citrix Cloud o se les invita a una cuenta de Citrix Cloud, deben inscribirse en la autenticación de varios factores (MFA). Si un cliente usa Microsoft Azure para autenticar a los administradores de Citrix Cloud, la autenticación de varios factores se puede configurar como se describe en Configuración de Azure AD Multi-Factor Authentication en el sitio web de Microsoft.
  • De forma predeterminada, Citrix Cloud finaliza automáticamente las sesiones de administrador transcurridas 24 horas, independientemente de la actividad de la consola. Este tiempo de espera no se puede cambiar.
  • Las cuentas de administrador pueden estar asociadas a un máximo de 100 cuentas de clientes. Si un administrador necesita administrar más de 100 cuentas de clientes, debe crear una cuenta de administrador independiente con una dirección de correo electrónico diferente para administrar cuentas de clientes adicionales. También se pueden quitar como administrador de las cuentas de clientes que ya no necesiten administrar.

Cumplimiento de normas para las contraseñas

Citrix Cloud solicita a los administradores que cambien sus contraseñas si se da una de las siguientes condiciones:

  • La contraseña actual no se ha utilizado para iniciar sesión durante más de 60 días.
  • La contraseña actual se ha incluido en una base de datos conocida de contraseñas desveladas.

Las nuevas contraseñas deben cumplir todos los criterios siguientes:

  • Longitud mínima de 8 caracteres (128 caracteres como máximo)
  • Incluir al menos una letra mayúscula y una minúscula
  • Incluir al menos un número
  • Incluir al menos un carácter especial: ! @ # $ % ^ * ? + =-

Reglas para cambiar contraseñas:

  • La contraseña actual no se puede utilizar como la nueva contraseña.
  • Las 5 contraseñas anteriores no se pueden reutilizar.
  • La nueva contraseña no puede parecerse al nombre de usuario de la cuenta.
  • La nueva contraseña no debe figurar en una base de datos conocida de contraseñas desveladas. Citrix Cloud utiliza una lista que proporciona https://haveibeenpwned.com/ para determinar si las contraseñas nuevas infringen esta condición.

Cifrado y administración de claves

El plano de control de Citrix Cloud no almacena información confidencial de los clientes. En su lugar, Citrix Cloud obtiene la información (tal como las contraseñas de administrador) a demanda (pidiéndoselo explícitamente al administrador).

Para los datos en reposo, el almacenamiento de Citrix Cloud se cifra mediante claves AES de 256 bits o más. Citrix administra estas claves.

Para los datos en proceso, Citrix utiliza los estándares TLS 1.2 del sector con los conjuntos de cifrado más robustos. Los clientes no pueden controlar el certificado TLS que se usa, ya que Citrix Cloud está alojado en el dominio cloud.com, que es propiedad de Citrix. Para acceder a Citrix Cloud, los clientes deben usar un explorador que funcione con TLS 1.2 y deben haber aceptado conjuntos de cifrado configurados.

  • Si accede al plano de control de Citrix Cloud desde Windows Server 2016, Windows Server 2019 o Windows Server 2022, se recomiendan los siguientes cifrados seguros: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Si accede al plano de control de Citrix Cloud desde Windows Server 2012 R2, los cifrados seguros no están disponibles, por lo que deberán utilizarse los siguientes cifrados: TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Para obtener más información sobre cómo se protegen los datos en los servicios de Citrix Cloud, consulte Citrix Cloud Services Data Protection Overview en el sitio web de Citrix.

Para obtener más información sobre el cifrado y la administración de claves dentro de cada servicio en la nube, consulte la documentación de los correspondientes servicios.

Para obtener más información sobre la configuración de TLS 1.2, consulte los siguientes artículos:

Soberanía de los datos

El plano de control de Citrix Cloud está alojado en los Estados Unidos de América, en la Unión Europea y en Australia. Los clientes no tienen control sobre ello.

El cliente posee y administra las ubicaciones de recursos que utiliza con Citrix Cloud. Las ubicaciones de recursos pueden crearse en cualquier centro de datos, infraestructura de nube, ubicación o región geográfica que quiera el cliente. Todos los datos importantes de la empresa (por ejemplo, documentos, hojas de cálculo, etc.) se almacenan en las ubicaciones de recursos y están bajo el control del cliente.

Otros servicios pueden tener una opción para almacenar datos en diferentes regiones. Consulte el tema titulado Consideraciones geográficas o los temas de Visión general técnica de la seguridad (indicados al comienzo de este artículo) para cada servicio.

Detección de problemas de seguridad

El sitio Web status.cloud.com permite ver con claridad los problemas de seguridad que tienen un impacto constante en el cliente. El sitio registra información del estado y del tiempo de actividad. Existe la opción de suscribirse a actualizaciones de la plataforma o de servicios individuales.

Citrix Cloud Connector

Instalar Cloud Connector

Por razones de seguridad y rendimiento, Citrix recomienda no instalar el software de Cloud Connector en un controlador de dominio.

Además, Citrix recomienda encarecidamente que las máquinas donde se ha instalado el software de Cloud Connector estén dentro de la red privada del cliente, no en la zona desmilitarizada (DMZ). Para ver las instrucciones de instalación de Cloud Connector y los requisitos de sistema y de red, consulte Citrix Cloud Connector.

Configurar Cloud Connector

El cliente es el responsable de mantener las máquinas donde está instalado Cloud Connector al día con las actualizaciones de seguridad de Windows necesarias.

Los clientes pueden usar un antivirus junto a Cloud Connector. Citrix realiza pruebas con McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8. Citrix ofrece asistencia a los clientes que utilicen otros productos antivirus estándares del sector.

En el Active Directory (AD) del cliente, Citrix recomienda encarecidamente que la cuenta de la máquina de Cloud Connector tenga restricción de acceso de solo lectura. Esta es la configuración predeterminada en Active Directory. Asimismo, el cliente puede habilitar la captura de registros y auditoría de AD en la cuenta de la máquina de Cloud Connector para supervisar toda la actividad de acceso de AD.

Iniciar sesión en la máquina que aloja Cloud Connector

Cloud Connector permite que la información confidencial de seguridad pase a otros componentes de la plataforma en los servicios de Citrix Cloud, pero también almacena la siguiente información confidencial:

  • Claves de servicio para comunicarse con Citrix Cloud
  • Credenciales del servicio de hipervisor para la administración de energía en Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service)

Esta información confidencial se cifra mediante la API de protección de datos (DPAPI) en el servidor Windows que aloja Cloud Connector. Citrix recomienda encarecidamente permitir únicamente el inicio de sesión en las máquinas que alojan Cloud Connector a los administradores con privilegios superiores (por ejemplo, para realizar operaciones de mantenimiento). En general, un administrador no necesita iniciar sesión en estas máquinas para administrar los productos Citrix. En ese sentido, Cloud Connector se autoadministra.

No permita que los usuarios finales inicien sesión en las máquinas que alojan Cloud Connector.

Instalar otro software en máquinas de Cloud Connector

Los clientes pueden instalar software antivirus y herramientas de hipervisor (si se ha instalado en una máquina virtual) en las máquinas donde está instalado Cloud Connector. No obstante, Citrix recomienda a los clientes no instalar ningún otro software en esas máquinas. Cualquier otro software puede crear vectores de ataque de seguridad y puede reducir la seguridad global de la solución Citrix Cloud.

Configurar puertos de entrada y salida

Cloud Connector requiere que el puerto de salida 443 esté abierto con acceso a Internet. Citrix recomienda encarecidamente que Cloud Connector no tenga puertos de entrada accesibles desde Internet.

Los clientes pueden ubicar Cloud Connector detrás de un proxy Web para supervisar sus comunicaciones salientes de Internet. No obstante, ese proxy Web debe admitir comunicación cifrada por SSL/TLS.

Cloud Connector puede tener otros puertos de salida con acceso a Internet. Cloud Connector negocia en una amplia gama de puertos para optimizar el ancho de banda y el rendimiento de la red si hay otros puertos disponibles.

Cloud Connector debe tener una amplia gama de puertos de entrada y salida abiertos dentro de la red interna. En la siguiente tabla, se muestra el conjunto de base de puertos abiertos necesarios.

Puerto del cliente Puerto del servidor Servicio
49152 -65535/UDP 123/UDP W32Time
49152 -65535/TCP 135/TCP Asignador de extremos de RPC
49152 -65535/TCP 464/TCP/UDP Cambio de contraseña de Kerberos
49152 -65535/TCP 49152-65535/TCP RPC para LSA, SAM, Netlogon (*)
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152 -65535/TCP 3268/TCP LDAP GC
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP 49152 -65535/TCP FRS RPC (*)
49152-65535/TCP/UDP 88/TCP/UDP Kerberos
49152-65535/TCP/UDP 445/TCP SMB

Cada uno de los servicios utilizados dentro de Citrix Cloud ampliará la lista de los puertos abiertos necesarios. Para obtener más información, consulte los recursos siguientes:

Supervisar la comunicación de salida

Cloud Connector se comunica con el exterior vía Internet por el puerto 443; se conecta tanto a servidores Citrix Cloud como a servidores Microsoft Azure Service Bus.

Cloud Connector se comunica con los controladores de dominio en la red local que están dentro del bosque de Active Directory donde residen las máquinas que alojan Cloud Connector.

Durante el funcionamiento normal, Cloud Connector solo se comunica con los controladores de dominio en los dominios que no están inhabilitados en la página Administración de acceso e identidad de la interfaz de usuario de Citrix Cloud.

Cada servicio de Citrix Cloud ampliará la lista de servidores y recursos internos con los que Cloud Connector puede ponerse en contacto durante las operaciones habituales. Además, los clientes no pueden controlar los datos que Cloud Connector envía a Citrix. Para obtener más información acerca de los recursos internos de los servicios y los datos que se envían a Citrix, consulte lo siguiente:

Ver los registros de Cloud Connector

Toda información relevante o acción asociada a un administrador está disponible en el Registro de eventos de Windows de la máquina de Cloud Connector.

Revise los registros de instalación para Cloud Connector en los siguientes directorios:

  • %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
  • %windir%\Temp\CitrixLogs\CloudServicesSetup

Los registros de lo que Cloud Connector envía a la nube se encuentran en: %ProgramData%\Citrix\WorkspaceCloud\Logs

Los registros del directorio “WorkspaceCloud\Logs” se eliminan cuando superan el tamaño especificado. El administrador puede controlar este tamaño máximo ajustando el valor de clave de Registro HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes.

Configuración de SSL/TLS

El servidor Windows Server que aloja el Cloud Connector debe tener habilitados los cifrados que se indican en Cifrado y administración de claves.

Cloud Connector debe confiar en la entidad de certificación (CA) que utilizan los certificados SSL/TLS de Citrix Cloud y los certificados SSL/TLS de Microsoft Azure Service Bus. Citrix y Microsoft pueden cambiar los certificados y las entidades de certificación en el futuro, pero siempre usan entidades de certificación que constan en la lista de publicadores de confianza estándar de Windows.

Cada servicio de Citrix Cloud podría presentar requisitos diferentes de configuración de SSL. Para obtener más información, consulte los artículos de Visión general técnica de la seguridad para cada servicio (artículos indicados al comienzo de este tema).

Cumplimiento de directrices de seguridad

Para garantizar el cumplimiento de las directrices de seguridad, Cloud Connector se autoadministra. No inhabilite los reinicios de sistema ni ponga otras restricciones a Cloud Connector. Esas acciones impedirían que Cloud Connector se actualice cuando haya una actualización importante.

El cliente no necesita tomar ninguna otra medida para reaccionar frente a los problemas de seguridad que surjan. Cloud Connector aplica automáticamente las correcciones de seguridad.

Dispositivo Citrix Connector para Cloud Services

Instalar el Connector Appliance

El Connector Appliance está alojado en un hipervisor. Este hipervisor debe estar en su red privada y no en la zona desmilitarizada.

Compruebe que el Connector Appliance esté dentro de un firewall que bloquea el acceso de forma predeterminada. Utilice una lista de permitidos para permitir solamente el tráfico esperado procedente del Connector Appliance.

Compruebe que los hipervisores que alojan los Connector Appliances están instalados con las actualizaciones de seguridad más recientes.

Para ver las instrucciones de instalación del Connector Appliance y los requisitos de sistema y de red, consulte Connector Appliance para Cloud Services.

Iniciar sesión en el hipervisor que aloja un Connector Appliance

El Connector Appliance contiene una clave de servicio para comunicarse con Citrix Cloud. Solamente debe permitir que los administradores con privilegios superiores inicien sesión en un hipervisor que aloje el Connector Appliance (por ejemplo, para realizar operaciones de mantenimiento). En general, un administrador no necesita iniciar sesión en estos hipervisores para administrar los productos Citrix. El Connector Appliance se administra automáticamente.

Configurar puertos de entrada y salida

El Connector Appliance requiere que el puerto de salida 443 esté abierto con acceso a Internet. Citrix recomienda encarecidamente que el Connector Appliance no tenga puertos de entrada accesibles desde Internet.

Puede ubicar el Connector Appliance detrás de un proxy web para supervisar sus comunicaciones salientes de Internet. No obstante, ese proxy Web debe admitir comunicación cifrada por SSL/TLS.

El Connector Appliance puede tener otros puertos de salida con acceso a Internet. El Connector Appliance negocia en una amplia gama de puertos para optimizar el ancho de banda y el rendimiento de la red si hay otros puertos disponibles.

El Connector Appliance debe tener una amplia gama de puertos de entrada y salida abiertos dentro de la red interna. En la siguiente tabla, se muestra el conjunto de base de puertos abiertos necesarios.

Dirección de la conexión Puerto del Connector Appliance Puerto externo Servicio
Entrante 443/TCP Cualquiera IU web local
Saliente 49152-65535/UDP 123/UDP NTP
Saliente 53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
Saliente 67/UDP 68/UDP DHCP y difusión
Saliente 49152 -65535/UDP 123/UDP W32Time
Saliente 49152 -65535/TCP 464/TCP/UDP Cambio de contraseña de Kerberos
Saliente 49152-65535/TCP/UDP 389/TCP/UDP LDAP
Saliente 49152 -65535/TCP 3268/TCP LDAP GC
Saliente 49152-65535/TCP/UDP 88/TCP/UDP Kerberos
Saliente 49152-65535/TCP/UDP 445/TCP SMB
Saliente 137/UDP 137/UDP Servicio de nombres de NetBIOS
Saliente 138/UDP 138/UDP Datagrama de NetBIOS
Saliente 139/TCP 139/TCP Sesión de NetBIOS

Cada uno de los servicios utilizados dentro de Citrix Cloud ampliará la lista de los puertos abiertos necesarios. Para obtener más información, consulte los recursos siguientes:

Supervisar la comunicación de salida

El Connector Appliance se comunica con el exterior vía Internet por el puerto 443 con los servidores de Citrix Cloud.

Cada servicio de Citrix Cloud ampliará la lista de servidores y recursos internos con los que el Connector Appliance puede ponerse en contacto durante las operaciones habituales. Además, los clientes no pueden controlar los datos que el Connector Appliance envía a Citrix. Para obtener más información acerca de los recursos internos de los servicios y los datos que se envían a Citrix, consulte lo siguiente:

Ver los registros del Connector Appliance

Puede descargar un informe de diagnóstico sobre el Connector Appliance que incluye varios archivos de registro. Para obtener más información sobre cómo obtener este informe, consulte Connector Appliance para Cloud Services.

Configuración de SSL/TLS

El Connector Appliance no necesita ninguna configuración especial de SSL/TLS.

El Connector Appliance confía en la entidad de certificación (CA) utilizada por los certificados SSL/TLS de Citrix Cloud. Es posible que, en el futuro, Citrix cambie certificados y entidades de certificación, pero siempre utilizará entidades en las que el Connector Appliance confía.

Cada servicio de Citrix Cloud podría presentar requisitos diferentes de configuración de SSL. Para obtener más información, consulte los artículos de Visión general técnica de la seguridad para cada servicio (artículos indicados al comienzo de este tema).

Cumplimiento de directrices de seguridad

Para garantizar el cumplimiento de directrices de seguridad, el Connector Appliance se autoadministra y usted no puede iniciar sesión en él a través de la consola.

No es necesario tomar ninguna otra medida para reaccionar frente a los problemas de seguridad del conector. El Connector Appliance aplica automáticamente las correcciones de seguridad.

Compruebe que los hipervisores que alojan los Connector Appliances están instalados con las actualizaciones de seguridad más recientes.

En su Active Directory (AD), recomendamos que la cuenta de la máquina del Connector Appliance esté restringida al acceso de solo lectura. Esta es la configuración predeterminada en Active Directory. Asimismo, el cliente puede habilitar la captura de registros y auditoría de AD en la cuenta de la máquina del Connector Appliance para supervisar toda la actividad de acceso de AD.

Instrucciones para la gestión de cuentas en situación de riesgo

  • Audite la lista de administradores de Citrix Cloud y quite los que no sean de confianza.
  • Inhabilite las cuentas en peligro que haya en el directorio Active Directory de su empresa.
  • Póngase en contacto con Citrix y solicite rotar los secretos de autorización almacenados para todos los Cloud Connectors del cliente. Según la gravedad de la infracción, realice lo siguiente:
    • Riesgo leve: Citrix puede rotar los secretos con regularidad. Los Cloud Connectors siguen funcionando normalmente. Los secretos de autorización antiguos dejan de ser válidos entre 2 y 4 semanas después. Supervise Cloud Connector durante este tiempo para asegurarse de que no haya operaciones inesperadas.
    • Riesgo serio continuo: Citrix puede revocar todos los secretos antiguos. Los Cloud Connectors existentes ya no funcionarán. Para reanudar el funcionamiento normal, el cliente debe desinstalar y volver a instalar Cloud Connector en todas las máquinas afectadas.
Guía de implementación segura para la plataforma Citrix Cloud