Documentación de productos
Citrix DaaS para Azure
Ver PDF
Gracias por los comentarios

Este artículo ha sido traducido automáticamente. (Aviso legal)

  Leer en inglés

Descripción general de la seguridad técnica

February 11, 2025
Contribución de: 
C

El siguiente diagrama muestra los componentes de una implementación de Citrix DaaS Standard para Azure (anteriormente Citrix Virtual Apps and Desktops Standard para Azure). Este ejemplo utiliza una conexión de emparejamiento de VNet.

Citrix DaaS para componentes de Azure y conexión entre pares de Azure VNet

Con Citrix DaaS para Azure, los agentes de entrega virtual (VDA) del cliente que entregan escritorios y aplicaciones, además de los conectores de Citrix Cloud, se implementan en una suscripción y un inquilino de Azure que administra Citrix.

NOTA:

Este artículo proporciona una descripción general de los requisitos de seguridad para los clientes que implementan Citrix DaaS para Azure mediante una suscripción de Citrix Managed Azure. Para obtener una descripción general de la arquitectura de una implementación de Citrix DaaS para Azure mediante una suscripción de Azure administrada por el cliente, incluida la información de seguridad, consulte Arquitectura de referencia: Servicio de aplicaciones y escritorios virtuales - Azure.

Cumplimiento basado en la nube de Citrix

A partir de enero de 2021, no se ha evaluado el uso de Citrix Managed Azure Capacity con varias ediciones de Citrix DaaS y Workspace Premium Plus para Citrix SOC 2 (Tipo 1 o 2), ISO 27001, HIPAA u otros requisitos de cumplimiento de la nube. Visite el Centro de confianza de Citrix para obtener más información sobre las certificaciones de Citrix Cloud y vuelva a consultarlo con frecuencia para obtener actualizaciones.

Responsabilidad de Citrix

Conectores de Citrix Cloud para catálogos que no pertenecen a un dominio

Citrix DaaS para Azure implementa al menos dos Cloud Connectors en cada ubicación de recursos. Algunos catálogos pueden compartir una ubicación de recursos si están en la misma región que otros catálogos para el mismo cliente.

Citrix es responsable de las siguientes operaciones de seguridad en los conectores de nube de catálogos no unidos a un dominio:

  • Aplicación de actualizaciones del sistema operativo y parches de seguridad
  • Instalación y mantenimiento de software antivirus
  • Aplicación de actualizaciones de software de Cloud Connector

Los clientes no tienen acceso a los conectores de nube. Por lo tanto, Citrix es completamente responsable del rendimiento de los conectores de nube del catálogo no unido a un dominio.

Suscripción de Azure y Azure Active Directory

Citrix es responsable de la seguridad de la suscripción de Azure y de Azure Active Directory (AAD) que se crean para el cliente. Citrix garantiza el aislamiento de los inquilinos, de modo que cada cliente tiene su propia suscripción de Azure y AAD, y se evita la comunicación cruzada entre diferentes inquilinos. Citrix también restringe el acceso al AAD únicamente al personal de operaciones de Citrix DaaS para Azure y Citrix. Se audita el acceso de Citrix a la suscripción de Azure de cada cliente.

Los clientes que emplean catálogos que no pertenecen a un dominio pueden usar el AAD administrado por Citrix como medio de autenticación para Citrix Workspace. Para estos clientes, Citrix crea cuentas de usuario con privilegios limitados en el AAD administrado por Citrix. Sin embargo, ni los usuarios ni los administradores de los clientes pueden ejecutar ninguna acción en el AAD administrado por Citrix. Si estos clientes eligen utilizar su propio AAD, serán totalmente responsables de su seguridad.

Redes e infraestructuras virtuales

Dentro de la suscripción de Citrix Managed Azure del cliente, Citrix crea redes virtuales para aislar ubicaciones de recursos. Dentro de esas redes, Citrix crea máquinas virtuales para los VDA, los conectores de nube y las máquinas de creación de imágenes, además de cuentas de almacenamiento, Key Vaults y otros recursos de Azure. Citrix, en asociación con Microsoft, es responsable de la seguridad de las redes virtuales, incluidos los firewalls de redes virtuales.

Citrix garantiza que la política de firewall de Azure predeterminada (grupos de seguridad de red) esté configurada para limitar el acceso a las interfaces de red en las conexiones de emparejamiento de VNet. Generalmente, esto controla el tráfico entrante a los VDA y a los conectores de nube. Para más detalles, consulte:

Los clientes no pueden cambiar esta política de firewall predeterminada, pero pueden implementar reglas de firewall adicionales en máquinas VDA creadas por Citrix; por ejemplo, para restringir parcialmente el tráfico saliente. Los clientes que instalan clientes de red privada virtual u otro software capaz de eludir las reglas del firewall en máquinas VDA creadas por Citrix son responsables de cualquier riesgo de seguridad que pueda surgir.

Al usar el generador de imágenes en Citrix DaaS para Azure para crear y personalizar una nueva imagen de máquina, los puertos 3389-3390 se abren temporalmente en la red virtual administrada por Citrix, de modo que el cliente pueda conectarse mediante RDP a la máquina que contiene la nueva imagen de máquina para personalizarla.

Responsabilidad de Citrix al utilizar conexiones de emparejamiento de Azure VNet

Para que los VDA en Citrix DaaS para Azure se comuniquen con controladores de dominio locales, recursos compartidos de archivos u otros recursos de intranet, Citrix DaaS para Azure proporciona un flujo de trabajo de emparejamiento de VNet como opción de conectividad. La red virtual administrada por Citrix del cliente está emparejada con una red virtual de Azure administrada por el cliente. La red virtual administrada por el cliente puede habilitar la conectividad con los recursos locales del cliente mediante la solución de conectividad de nube a local que elija el cliente, como Azure ExpressRoute o túneles iPsec.

La responsabilidad de Citrix por el emparejamiento de redes virtuales se limita a respaldar el flujo de trabajo y la configuración de recursos de Azure relacionados para establecer una relación de emparejamiento entre Citrix y las redes virtuales administradas por el cliente.

Política de firewall para conexiones entre redes virtuales de Azure

Citrix abre o cierra los siguientes puertos para el tráfico entrante y saliente que utiliza una conexión de emparejamiento de VNet.

VNet administrada por Citrix con máquinas que no pertenecen a un dominio
  • Reglas de entrada
    • Permitir los puertos 80, 443, 1494 y 2598 entrantes desde VDA a Cloud Connectors, y desde Cloud Connectors a VDA.
    • Permitir los puertos 49152-65535 entrantes a los VDA desde un rango de IP utilizado por la función de seguimiento del monitor. Consulte Puertos de comunicaciones utilizados por Citrix Technologies.
    • Denegar cualquier otra entrada. Esto incluye el tráfico intra-VNet de VDA a VDA y de VDA a Cloud Connector.
  • Reglas de salida
    • Permitir todo el tráfico saliente.
VNet administrada por Citrix con máquinas unidas al dominio
  • Reglas de entrada:
    • Permitir los puertos 80, 443, 1494 y 2598 entrantes desde los VDA a los Cloud Connectors, y desde los Cloud Connectors a los VDA.
    • Permitir los puertos 49152-65535 entrantes a los VDA desde un rango de IP utilizado por la función de seguimiento del monitor. Consulte Puertos de comunicaciones utilizados por Citrix Technologies.
    • Denegar cualquier otra entrada. Esto incluye el tráfico intra-VNet de VDA a VDA y de VDA a Cloud Connector.
  • Reglas de salida
    • Permitir todo el tráfico saliente.
VNet administrada por el cliente con máquinas unidas al dominio
  • Depende del cliente configurar correctamente su VNet. Esto incluye la apertura de los siguientes puertos para unirse al dominio.
  • Reglas de entrada:
    • Permitir llamadas entrantes a 443, 1494, 2598 desde sus IP de cliente para lanzamientos internos.
    • Permitir entrada en 53, 88, 123, 135-139, 389, 445, 636 desde Citrix VNet (rango de IP especificado por el cliente).
    • Permitir entrada en puertos abiertos con una configuración de proxy.
    • Otras reglas creadas por el cliente.
  • Reglas de salida:
    • Permitir salida en 443, 1494, 2598 a Citrix VNet (rango de IP especificado por el cliente) para lanzamientos internos.
    • Otras reglas creadas por el cliente.

Acceso a la infraestructura

Citrix puede acceder a la infraestructura administrada por Citrix del cliente (Cloud Connectors) para realizar ciertas tareas administrativas, como recopilar registros (incluido el Visor de eventos de Windows) y reiniciar servicios sin notificar al cliente. Citrix es responsable de ejecutar estas tareas de forma segura y con un impacto mínimo para el cliente. Citrix también es responsable de garantizar que todos los archivos de registro se recuperen, transporten y manipulen de forma segura. No se puede acceder a los VDA del cliente de esta manera.

Copias de seguridad para catálogos que no pertenecen a un dominio

Citrix no es responsable de realizar copias de seguridad de catálogos que no pertenezcan a un dominio.

Copias de seguridad de imágenes de máquinas

Citrix es responsable de realizar copias de seguridad de todas las imágenes de máquinas cargadas en Citrix DaaS para Azure, incluidas las imágenes creadas con el generador de imágenes. Citrix utiliza almacenamiento redundante local para estas imágenes.

Bastiones para catálogos no pertenecientes a dominios

El personal de operaciones de Citrix tiene la capacidad de crear un bastión, si es necesario, para acceder a la suscripción de Azure administrada por Citrix del cliente para diagnosticar y reparar problemas del cliente, potencialmente antes de que el cliente se dé cuenta de un problema. Citrix no requiere el consentimiento del cliente para crear un bastión. Cuando Citrix crea el bastión, crea una contraseña segura generada aleatoriamente para el bastión y restringe el acceso RDP a las direcciones IP NAT de Citrix. Cuando el bastión ya no es necesario, Citrix lo elimina y la contraseña ya no es válida. El bastión (y las reglas de acceso RDP que lo acompañan) se eliminan cuando se completa la operación. Citrix solo puede acceder a los Cloud Connectors del cliente que no están unidos al dominio con el bastión. Citrix no tiene la contraseña para iniciar sesión en VDA no unidos a un dominio o en Cloud Connectors y VDA unidos a un dominio.

Política de firewall al utilizar herramientas de resolución de problemas

Cuando un cliente solicita la creación de una máquina bastión para solucionar problemas, se realizan las siguientes modificaciones del grupo de seguridad en la red virtual administrada por Citrix:

  • Permitir temporalmente la entrada 3389 desde el rango de IP especificado por el cliente al bastión.
  • Permitir temporalmente la entrada 3389 desde la dirección IP del bastión a cualquier dirección en la VNet (VDA y conectores en la nube).
  • Continúe bloqueando el acceso RDP entre los conectores de nube, los VDA y otros VDA.

Cuando un cliente habilita el acceso RDP para solucionar problemas, se realizan las siguientes modificaciones del grupo de seguridad en la red virtual administrada por Citrix:

  • Permitir temporalmente la entrada 3389 desde el rango de IP especificado por el cliente a cualquier dirección en la VNet (VDA y conectores en la nube).
  • Continúe bloqueando el acceso RDP entre los conectores de nube, los VDA y otros VDA.

Suscripciones gestionadas por el cliente

Para las suscripciones administradas por el cliente, Citrix cumple con las responsabilidades anteriores durante la implementación de los recursos de Azure. Después de la implementación, todo lo anterior queda bajo la responsabilidad del cliente, porque este es el propietario de la suscripción de Azure.

Suscripciones gestionadas por el cliente

Responsabilidad del cliente

VDA e imágenes de máquinas

El cliente es responsable de todos los aspectos del software instalado en las máquinas VDA, incluidos:

  • Actualizaciones del sistema operativo y parches de seguridad
  • Antivirus y antimalware
  • Actualizaciones de software y parches de seguridad de VDA
  • Reglas de firewall de software adicionales (especialmente tráfico saliente)
  • Siga las consideraciones de seguridad y las mejores prácticas de Citrix

Citrix proporciona una imagen preparada que está pensada como punto de partida. Los clientes pueden utilizar esta imagen para fines de prueba de concepto o demostración o como base para crear su propia imagen de máquina. Citrix no garantiza la seguridad de esta imagen preparada. Citrix intentará mantener actualizados el sistema operativo y el software VDA en la imagen preparada y habilitará Windows Defender en estas imágenes.

Responsabilidad del cliente al utilizar peering de VNet

El cliente debe abrir todos los puertos especificados en VNet administrada por el cliente con máquinas unidas al dominio.

Cuando se configura el peering de VNet, el cliente es responsable de la seguridad de su propia red virtual y su conectividad con sus recursos locales. El cliente también es responsable de la seguridad del tráfico entrante de la red virtual administrada por Citrix. Citrix no realiza ninguna acción para bloquear el tráfico de la red virtual administrada por Citrix a los recursos locales del cliente.

Los clientes tienen las siguientes opciones para restringir el tráfico entrante:

  • Asigne a la red virtual administrada por Citrix un bloque de IP que no esté en uso en ninguna otra parte de la red local del cliente o de la red virtual conectada administrada por el cliente. Esto es necesario para el peering de VNet.
  • Agregue grupos de seguridad de red y firewalls de Azure en la red virtual y la red local del cliente para bloquear o restringir el tráfico del bloque de IP administrado por Citrix.
  • Implementar medidas como sistemas de prevención de intrusiones, firewalls de software y motores de análisis de comportamiento en la red virtual y la red local del cliente, apuntando al bloque de IP administrado por Citrix.

Apoderado

El cliente puede elegir si desea utilizar un proxy para el tráfico saliente desde el VDA. Si se utiliza un proxy, el cliente es responsable de:

  • Configurar los ajustes del proxy en la imagen de la máquina VDA o, si el VDA está unido a un dominio, mediante la Política de grupo de Active Directory.
  • Mantenimiento y seguridad del proxy.

No se permite el uso de servidores proxy con Citrix Cloud Connectors u otra infraestructura administrada por Citrix.

Citrix ofrece tres tipos de catálogos con diferentes niveles de resiliencia:

  • Estático: A cada usuario se le asigna un único VDA. Este tipo de catálogo no proporciona alta disponibilidad. Si el VDA de un usuario deja de funcionar, será necesario colocarlo en uno nuevo para recuperarlo. Azure ofrece un SLA del 99,5 % para máquinas virtuales de instancia única. El cliente aún puede realizar una copia de seguridad del perfil de usuario, pero se perderán todas las personalizaciones realizadas en el VDA (como instalar programas o configurar Windows).
  • Aleatorio: Cada usuario se asigna aleatoriamente a un servidor VDA en el momento del lanzamiento. Este tipo de catálogo proporciona alta disponibilidad mediante redundancia. Si un VDA deja de funcionar, no se pierde información porque el perfil del usuario reside en otro lugar.
  • Multisesión de Windows 10: Este tipo de catálogo funciona de la misma manera que el tipo aleatorio, pero utiliza VDA de estación de trabajo de Windows 10 en lugar de VDA de servidor.

Copias de seguridad para catálogos unidos a dominios

Si el cliente utiliza catálogos unidos a un dominio con un emparejamiento de VNet, el cliente es responsable de realizar una copia de seguridad de sus perfiles de usuario. Citrix recomienda que los clientes configuren recursos compartidos de archivos locales y establezcan políticas en su Active Directory o VDA para extraer perfiles de usuario de estos recursos compartidos de archivos. El cliente es responsable de la copia de seguridad y la disponibilidad de estos recursos compartidos de archivos.

Recuperación de desastres

En caso de pérdida de datos de Azure, Citrix recuperará tantos recursos como sea posible en la suscripción de Azure administrada por Citrix. Citrix intentará recuperar los Cloud Connectors y los VDA. Si Citrix no logra recuperar estos elementos, los clientes serán responsables de crear un nuevo catálogo. Citrix asume que se realizan copias de seguridad de las imágenes de las máquinas y que los clientes han realizado copias de seguridad de sus perfiles de usuario, lo que permite reconstruir el catálogo.

En caso de pérdida de una región completa de Azure, el cliente es responsable de reconstruir su red virtual administrada por el cliente en una nueva región y crear un nuevo emparejamiento de VNet dentro de Citrix DaaS para Azure.

Citrix y el cliente comparten responsabilidades

Citrix Cloud Connector para catálogos unidos a dominios

Citrix DaaS para Azure implementa al menos dos Cloud Connectors en cada ubicación de recursos. Algunos catálogos pueden compartir una ubicación de recursos si están en la misma región, interconexión de VNet y dominio que otros catálogos para el mismo cliente. Citrix configura los Cloud Connectors unidos al dominio del cliente para las siguientes configuraciones de seguridad predeterminadas en la imagen:

  • Actualizaciones del sistema operativo y parches de seguridad
  • Software antivirus
  • Actualizaciones del software de Cloud Connector

Los clientes normalmente no tienen acceso a los conectores de nube. Sin embargo, pueden adquirir acceso mediante los pasos de solución de problemas del catálogo e iniciando sesión con credenciales de dominio. El cliente es responsable de cualquier cambio que realice al iniciar sesión a través del bastión.

Los clientes también tienen control sobre los conectores de nube unidos al dominio a través de la política de grupo de Active Directory. El cliente es responsable de garantizar que las políticas de grupo que se aplican al Cloud Connector sean seguras y sensatas. Por ejemplo, si el cliente elige deshabilitar las actualizaciones del sistema operativo mediante la Política de grupo, el cliente es responsable de realizar las actualizaciones del sistema operativo en los Conectores de nube. El cliente también puede optar por utilizar la Política de grupo para aplicar una seguridad más estricta que la predeterminada de Cloud Connector, por ejemplo, instalando un software antivirus diferente. En general, Citrix recomienda que los clientes coloquen Cloud Connectors en su propia unidad organizativa de Active Directory sin políticas, ya que esto garantizará que los valores predeterminados que utiliza Citrix se puedan aplicar sin problemas.

Solución de problemas

En caso de que el cliente experimente problemas con el catálogo en Citrix DaaS para Azure, existen dos opciones para solucionar problemas: usar bastiones y habilitar el acceso RDP. Ambas opciones introducen riesgos de seguridad para el cliente. El cliente debe comprender y aceptar este riesgo antes de utilizar estas opciones.

Citrix es responsable de abrir y cerrar los puertos necesarios para realizar operaciones de solución de problemas y restringir a qué máquinas se puede acceder durante estas operaciones.

Ya sea con bastiones o acceso RDP, el usuario activo que realiza la operación es responsable de la seguridad de las máquinas a las que se accede. Si el cliente accede al VDA o al Cloud Connector a través de RDP y accidentalmente contrae un virus, el cliente es responsable. Si el personal de soporte de Citrix accede a estas máquinas, es responsabilidad de dicho personal realizar las operaciones de forma segura. La responsabilidad por cualquier vulnerabilidad expuesta por cualquier persona que acceda al bastión u otras máquinas en la implementación (por ejemplo, la responsabilidad del cliente de agregar rangos de IP a la lista de permitidos, la responsabilidad de Citrix de implementar rangos de IP correctamente) se cubre en otra parte de este documento.

En ambos escenarios, Citrix es responsable de crear correctamente las excepciones de firewall para permitir el tráfico RDP. Citrix también es responsable de revocar estas excepciones después de que el cliente elimine el bastión o finalice el acceso RDP a través de Citrix DaaS para Azure.

Bastiones

Citrix puede crear bastiones en la red virtual administrada por Citrix del cliente dentro de la suscripción administrada por Citrix del cliente para diagnosticar y reparar problemas, ya sea de forma proactiva (sin notificación al cliente) o en respuesta a un problema planteado por el cliente. El bastión es una máquina a la que el cliente puede acceder a través de RDP y luego usar para acceder a los VDA y (para catálogos unidos al dominio) a los Cloud Connectors a través de RDP para recopilar registros, reiniciar servicios o realizar otras tareas administrativas. De forma predeterminada, la creación de un bastión abre una regla de firewall externa para permitir el tráfico RDP desde un rango de direcciones IP especificado por el cliente a la máquina bastión. También abre una regla de firewall interna para permitir el acceso a los Cloud Connectors y VDA a través de RDP. Abrir estas reglas supone un gran riesgo de seguridad.

El cliente es responsable de proporcionar una contraseña segura utilizada para la cuenta local de Windows. El cliente también es responsable de proporcionar un rango de direcciones IP externas que permitan el acceso RDP al bastión. Si el cliente elige no proporcionar un rango de IP (lo que permite que cualquiera intente acceder mediante RDP), el cliente es responsable de cualquier acceso que intenten realizar direcciones IP maliciosas.

El cliente también es responsable de eliminar el bastión una vez finalizada la resolución de problemas. El host bastión expone una superficie de ataque adicional, por lo que Citrix apaga automáticamente la máquina ocho (8) horas después de encenderla. Sin embargo, Citrix nunca elimina automáticamente un bastión. Si el cliente decide utilizar el bastión durante un período de tiempo prolongado, será responsable de aplicarle parches y actualizarlo. Citrix recomienda que un bastión se utilice solo durante varios días antes de eliminarlo. Si el cliente desea un bastión actualizado, puede eliminar el actual y luego crear uno nuevo, que proporcionará una máquina nueva con los últimos parches de seguridad.

Acceso RDP

En el caso de los catálogos unidos a un dominio, si el emparejamiento de VNet del cliente funciona, el cliente puede habilitar el acceso RDP desde su VNet emparejado a su VNet administrado por Citrix. Si el cliente utiliza esta opción, será responsable de acceder a los VDA y a los conectores de nube a través del intercambio de tráfico de VNet. Se pueden especificar rangos de direcciones IP de origen para restringir aún más el acceso RDP, incluso dentro de la red interna del cliente. El cliente deberá utilizar credenciales de dominio para iniciar sesión en estas máquinas. Si el cliente está trabajando con el soporte de Citrix para resolver un problema, es posible que deba compartir estas credenciales con el personal de soporte. Una vez resuelto el problema, el cliente es responsable de deshabilitar el acceso RDP. Mantener abierto el acceso RDP desde la red local o emparejada del cliente plantea un riesgo de seguridad.

Credenciales de dominio

Si el cliente elige utilizar un catálogo unido a un dominio, el cliente es responsable de proporcionar a Citrix DaaS para Azure una cuenta de dominio (nombre de usuario y contraseña) con permisos para unir máquinas al dominio. Al proporcionar credenciales de dominio, el cliente es responsable de cumplir con los siguientes principios de seguridad:

  • Auditable: La cuenta debe crearse específicamente para el uso de Citrix DaaS para Azure, de modo que sea fácil auditar para qué se usa la cuenta.
  • Alcance: La cuenta solo requiere permisos para unir máquinas a un dominio. No debe ser un administrador de dominio completo.
  • Seguro: Se debe colocar una contraseña segura en la cuenta.

Citrix es responsable del almacenamiento seguro de esta cuenta de dominio en un Azure Key Vault en la suscripción de Azure administrada por Citrix del cliente. La cuenta se recupera solo si una operación requiere la contraseña de la cuenta de dominio.

Más información

Para obtener información relacionada, consulte:

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.
Descripción general de la seguridad técnica
February 11, 2025
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.