Documentación de productos
Citrix DaaS para Azure

Resumen de seguridad técnica

August 8, 2025
Contribución de: 
C

El siguiente diagrama muestra los componentes de una implementación de Citrix DaaS Standard para Azure (anteriormente Citrix Virtual Apps and Desktops Standard para Azure). Este ejemplo utiliza una conexión de emparejamiento de VNet.

Componentes de Citrix DaaS para Azure y conexión de emparejamiento de VNet de Azure

Con Citrix DaaS para Azure, los Virtual Delivery Agents (VDA) del cliente que entregan escritorios y aplicaciones, además de los Citrix Cloud Connectors, se implementan en una suscripción y un inquilino de Azure que Citrix administra.

NOTA:

Este artículo proporciona un resumen de los requisitos de seguridad para los clientes que implementan Citrix DaaS para Azure utilizando una suscripción de Azure administrada por Citrix. Para obtener una descripción general de la arquitectura de una implementación de Citrix DaaS para Azure utilizando una suscripción de Azure administrada por el cliente, incluida la información de seguridad, consulta Arquitectura de referencia: Servicio Virtual Apps and Desktops - Azure.

Responsabilidad de Citrix

Suscripción de Azure y Azure Active Directory

Citrix es responsable de la seguridad de la suscripción de Azure y de Azure Active Directory (AAD) que se crean para el cliente. Citrix garantiza el aislamiento de los inquilinos, de modo que cada cliente tiene su propia suscripción de Azure y AAD, y se evita la comunicación cruzada entre diferentes inquilinos. Citrix también restringe el acceso al AAD únicamente al personal de operaciones de Citrix DaaS para Azure y de Citrix. El acceso de Citrix a la suscripción de Azure de cada cliente se audita.

Los clientes que utilizan catálogos no unidos a un dominio pueden usar el AAD administrado por Citrix como medio de autenticación para Citrix Workspace. Para estos clientes, Citrix crea cuentas de usuario con privilegios limitados en el AAD administrado por Citrix. Sin embargo, ni los usuarios ni los administradores de los clientes pueden ejecutar ninguna acción en el AAD administrado por Citrix. Si estos clientes eligen usar su propio AAD, son totalmente responsables de su seguridad.

Redes virtuales e infraestructura

Dentro de la suscripción de Azure administrada por Citrix del cliente, Citrix crea redes virtuales para aislar las ubicaciones de recursos. Dentro de esas redes, Citrix crea máquinas virtuales para los VDA, Cloud Connectors y máquinas de creación de imágenes, además de cuentas de almacenamiento, Key Vaults y otros recursos de Azure. Citrix, en colaboración con Microsoft, es responsable de la seguridad de las redes virtuales, incluidos los firewalls de red virtual.

Citrix garantiza que la política de firewall predeterminada de Azure (grupos de seguridad de red) esté configurada para limitar el acceso a las interfaces de red en las conexiones de emparejamiento de VNet. Generalmente, esto controla el tráfico entrante a los VDA y Cloud Connectors. Para obtener más detalles, consulta:

Los clientes no pueden cambiar esta política de firewall predeterminada, pero pueden implementar reglas de firewall adicionales en las máquinas VDA creadas por Citrix; por ejemplo, para restringir parcialmente el tráfico saliente. Los clientes que instalan clientes de red privada virtual u otro software capaz de eludir las reglas de firewall en las máquinas VDA creadas por Citrix son responsables de cualquier riesgo de seguridad que pueda resultar.

Al usar el creador de imágenes en Citrix DaaS para Azure para crear y personalizar una nueva imagen de máquina, el puerto 3389 se abre temporalmente en la VNet administrada por Citrix, para que el cliente pueda acceder por RDP a la máquina que contiene la nueva imagen de máquina y personalizarla.

Responsabilidad de Citrix al usar conexiones de emparejamiento de VNet de Azure

Para que los VDA en Citrix DaaS para Azure puedan contactar con controladores de dominio locales, recursos compartidos de archivos u otros recursos de intranet, Citrix DaaS para Azure proporciona un flujo de trabajo de emparejamiento de VNet como opción de conectividad. La red virtual administrada por Citrix del cliente se empareja con una red virtual de Azure administrada por el cliente. La red virtual administrada por el cliente puede habilitar la conectividad con los recursos locales del cliente utilizando la solución de conectividad de la nube a las instalaciones que el cliente elija, como Azure ExpressRoute o túneles iPsec.

La responsabilidad de Citrix para el emparejamiento de VNet se limita a admitir el flujo de trabajo y la configuración de recursos de Azure relacionados para establecer la relación de emparejamiento entre las VNet de Citrix y las administradas por el cliente.

Política de firewall para conexiones de emparejamiento de VNet de Azure

Citrix abre o cierra los siguientes puertos para el tráfico entrante y saliente que utiliza una conexión de emparejamiento de VNet.

VNet administrada por Citrix con máquinas no unidas a un dominio
  • Reglas de entrada
    • Denegar todo el tráfico de entrada. Esto incluye el tráfico intra-VNet de VDA a VDA.
  • Reglas de salida
    • Permitir todo el tráfico de salida.
VNet administrada por Citrix con máquinas unidas a un dominio
  • Reglas de entrada:
    • Permitir los puertos 80, 443, 1494 y 2598 de entrada desde los VDA a los Cloud Connectors, y desde los Cloud Connectors a los VDA.
    • Permitir los puertos 49152-65535 de entrada a los VDA desde un rango de IP utilizado por la función de sombreado de Monitor. Consulta Puertos de comunicación utilizados por las tecnologías de Citrix.
    • Denegar todo lo demás de entrada. Esto incluye el tráfico intra-VNet de VDA a VDA, y de VDA a Cloud Connector.
  • Reglas de salida
    • Permitir todo el tráfico de salida.
VNet administrada por el cliente con máquinas unidas a un dominio
  • Depende del cliente configurar su VNet correctamente. Esto incluye abrir los siguientes puertos para la unión a un dominio.
  • Reglas de entrada:
    • Permitir la entrada en los puertos 443, 1494, 2598 desde sus IP de cliente para lanzamientos internos.
    • Permitir la entrada en los puertos 53, 88, 123, 135-139, 389, 445, 636 desde la VNet de Citrix (rango de IP especificado por el cliente).
    • Permitir la entrada en los puertos abiertos con una configuración de proxy.
    • Otras reglas creadas por el cliente.
  • Reglas de salida:
    • Permitir la salida en los puertos 443, 1494, 2598 a la VNet de Citrix (rango de IP especificado por el cliente) para lanzamientos internos.
    • Otras reglas creadas por el cliente.

Acceso a la infraestructura

Citrix puede acceder a la infraestructura administrada por Citrix del cliente (Cloud Connectors) para realizar ciertas tareas administrativas, como recopilar registros (incluido el Visor de eventos de Windows) y reiniciar servicios sin notificar al cliente. Citrix es responsable de ejecutar estas tareas de forma segura y con un impacto mínimo para el cliente. Citrix también es responsable de garantizar que los archivos de registro se recuperen, transporten y manejen de forma segura. Los VDA del cliente no se pueden acceder de esta manera.

Copias de seguridad para catálogos no unidos a un dominio

Citrix no es responsable de realizar copias de seguridad de los catálogos no unidos a un dominio.

Copias de seguridad para imágenes de máquina

Citrix es responsable de realizar copias de seguridad de cualquier imagen de máquina cargada en Citrix DaaS para Azure, incluidas las imágenes creadas con el creador de imágenes. Citrix utiliza almacenamiento con redundancia local para estas imágenes.

Política de firewall al usar herramientas de solución de problemas

Cuando un cliente solicita la creación de una máquina bastión para la solución de problemas, se realizan las siguientes modificaciones en el grupo de seguridad de la VNet administrada por Citrix:

  • Permitir temporalmente el puerto 3389 de entrada desde el rango de IP especificado por el cliente al bastión.
  • Permitir temporalmente el puerto 3389 de entrada desde la dirección IP del bastión a cualquier dirección en la VNet (VDA y Cloud Connectors).
  • Continuar bloqueando el acceso RDP entre los Cloud Connectors, VDA y otros VDA.

Cuando un cliente habilita el acceso RDP para la solución de problemas, se realizan las siguientes modificaciones en el grupo de seguridad de la VNet administrada por Citrix:

  • Permitir temporalmente el puerto 3389 de entrada desde el rango de IP especificado por el cliente a cualquier dirección en la VNet (VDA y Cloud Connectors).
  • Continuar bloqueando el acceso RDP entre los Cloud Connectors, VDA y otros VDA.

Suscripciones administradas por el cliente

Para las suscripciones administradas por el cliente, Citrix se adhiere a las responsabilidades anteriores durante la implementación de los recursos de Azure. Después de la implementación, todo lo anterior recae en la responsabilidad del cliente, porque el cliente es el propietario de la suscripción de Azure.

Suscripciones administradas por el cliente

Responsabilidad del cliente

VDA e imágenes de máquina

El cliente es responsable de todos los aspectos del software instalado en las máquinas VDA, incluyendo:

  • Actualizaciones del sistema operativo y parches de seguridad
  • Antivirus y antimalware
  • Actualizaciones de software VDA y parches de seguridad
  • Reglas de firewall de software adicionales (especialmente tráfico saliente)
  • Sigue las consideraciones de seguridad y las mejores prácticas de Citrix

Citrix proporciona una imagen preparada que se concibe como un punto de partida. Los clientes pueden usar esta imagen para pruebas de concepto o demostraciones, o como base para construir su propia imagen de máquina. Citrix no garantiza la seguridad de esta imagen preparada. Citrix intentará mantener el sistema operativo y el software VDA en la imagen preparada actualizados, y habilitará Windows Defender en estas imágenes.

Responsabilidad del cliente al usar el emparejamiento de VNet

El cliente debe abrir todos los puertos especificados en VNet administrada por el cliente con máquinas unidas a un dominio.

Cuando se configura el emparejamiento de VNet, el cliente es responsable de la seguridad de su propia red virtual y de su conectividad con sus recursos locales. El cliente también es responsable de la seguridad del tráfico entrante desde la red virtual emparejada administrada por Citrix. Citrix no toma ninguna medida para bloquear el tráfico de la red virtual administrada por Citrix a los recursos locales del cliente.

Los clientes tienen las siguientes opciones para restringir el tráfico entrante:

  • Asigna a la red virtual administrada por Citrix un bloque de IP que no esté en uso en ninguna otra parte de la red local del cliente o de la red virtual conectada administrada por el cliente. Esto es necesario para el emparejamiento de VNet.
  • Agrega grupos de seguridad de red de Azure y firewalls en la red virtual del cliente y en la red local para bloquear o restringir el tráfico del bloque de IP administrado por Citrix.
  • Implementa medidas como sistemas de prevención de intrusiones, firewalls de software y motores de análisis de comportamiento en la red virtual del cliente y en la red local, dirigidos al bloque de IP administrado por Citrix.

Proxy

El cliente puede elegir si usar un proxy para el tráfico saliente desde el VDA. Si se usa un proxy, el cliente es responsable de:

  • Configurar los ajustes del proxy en la imagen de máquina VDA o, si el VDA está unido a un dominio, usar la Política de grupo de Active Directory.
  • Mantenimiento y seguridad del proxy.

No se permite el uso de proxies con Citrix Cloud Connectors u otra infraestructura administrada por Citrix.

Citrix proporciona tres tipos de catálogos con diferentes niveles de resistencia:

  • Estático: Cada usuario se asigna a un único VDA. Este tipo de catálogo no proporciona alta disponibilidad. Si el VDA de un usuario falla, tendrá que ser reubicado en uno nuevo para recuperarse. Azure proporciona un SLA del 99,5% para máquinas virtuales de instancia única con SSD estándar. El cliente aún puede hacer una copia de seguridad del perfil de usuario, pero cualquier personalización realizada en el VDA (como la instalación de programas o la configuración de Windows) se perderá.
  • Aleatorio: Cada usuario se asigna aleatoriamente a un VDA de servidor en el momento del lanzamiento. Este tipo de catálogo proporciona alta disponibilidad a través de la redundancia. Si un VDA falla, no se pierde información porque el perfil del usuario reside en otro lugar.
  • Windows 10 multisession: Este tipo de catálogo funciona de la misma manera que el tipo aleatorio, pero utiliza VDA de estación de trabajo de Windows 10 en lugar de VDA de servidor.

Copias de seguridad para catálogos unidos a un dominio

Si el cliente utiliza catálogos unidos a un dominio con un emparejamiento de VNet, el cliente es responsable de realizar copias de seguridad de sus perfiles de usuario. Citrix recomienda que los clientes configuren recursos compartidos de archivos locales y establezcan políticas en su Active Directory o VDA para extraer perfiles de usuario de estos recursos compartidos de archivos. El cliente es responsable de la copia de seguridad y la disponibilidad de estos recursos compartidos de archivos.

Recuperación ante desastres

En caso de pérdida de datos de Azure, Citrix recuperará tantos recursos como sea posible en la suscripción de Azure administrada por Citrix. Citrix intentará recuperar los Cloud Connectors y los VDA. Si Citrix no logra recuperar estos elementos, los clientes son responsables de crear un nuevo catálogo. Citrix asume que las imágenes de máquina están respaldadas y que los clientes han respaldado sus perfiles de usuario, lo que permite reconstruir el catálogo.

En caso de pérdida de una región completa de Azure, el cliente es responsable de reconstruir su red virtual administrada por el cliente en una nueva región y de crear un nuevo emparejamiento de VNet dentro de Citrix DaaS para Azure.

Responsabilidades compartidas de Citrix y el cliente

Citrix Cloud Connector para catálogos unidos a un dominio

Citrix DaaS para Azure implementa al menos dos Cloud Connectors en cada ubicación de recursos. Algunos catálogos pueden compartir una ubicación de recursos si están en la misma región, emparejamiento de VNet y dominio que otros catálogos para el mismo cliente. Citrix configura los Cloud Connectors unidos a un dominio del cliente con los siguientes ajustes de seguridad predeterminados en la imagen:

  • Actualizaciones del sistema operativo y parches de seguridad
  • Software antivirus
  • Actualizaciones de software de Cloud Connector

Los clientes normalmente no tienen acceso a los Cloud Connectors. Sin embargo, pueden obtener acceso utilizando los pasos de solución de problemas del catálogo e iniciando sesión con credenciales de dominio. El cliente es responsable de cualquier cambio que realice al iniciar sesión a través del bastión.

Los clientes también tienen control sobre los Cloud Connectors unidos a un dominio a través de la Política de grupo de Active Directory. El cliente es responsable de garantizar que las políticas de grupo que se aplican al Cloud Connector sean seguras y sensatas. Por ejemplo, si el cliente elige deshabilitar las actualizaciones del sistema operativo mediante la Política de grupo, el cliente es responsable de realizar las actualizaciones del sistema operativo en los Cloud Connectors. El cliente también puede optar por usar la Política de grupo para aplicar una seguridad más estricta que los valores predeterminados de Cloud Connector, como instalando un software antivirus diferente. En general, Citrix recomienda que los clientes coloquen los Cloud Connectors en su propia unidad organizativa de Active Directory sin políticas, ya que esto garantizará que los valores predeterminados que utiliza Citrix se puedan aplicar sin problemas.

Solución de problemas

En caso de que el cliente experimente problemas con el catálogo en Citrix DaaS para Azure, hay dos opciones para la solución de problemas: usar bastiones y habilitar el acceso RDP. Ambas opciones introducen riesgos de seguridad para el cliente. El cliente debe comprender y consentir asumir este riesgo antes de usar estas opciones.

Citrix es responsable de abrir y cerrar los puertos necesarios para llevar a cabo las operaciones de solución de problemas, y de restringir a qué máquinas se puede acceder durante estas operaciones.

Con bastiones o acceso RDP, el usuario activo que realiza la operación es responsable de la seguridad de las máquinas a las que se accede. Si el cliente accede al VDA o Cloud Connector a través de RDP y accidentalmente contrae un virus, el cliente es responsable. Si el personal de soporte de Citrix accede a estas máquinas, es responsabilidad de ese personal realizar las operaciones de forma segura. La responsabilidad por cualquier vulnerabilidad expuesta por cualquier persona que acceda al bastión u otras máquinas en la implementación (por ejemplo, la responsabilidad del cliente de agregar rangos de IP a la lista de permitidos, la responsabilidad de Citrix de implementar los rangos de IP correctamente) se cubre en otra parte de este documento.

En ambos escenarios, Citrix es responsable de crear correctamente las excepciones de firewall para permitir el tráfico RDP. Citrix también es responsable de revocar estas excepciones después de que el cliente elimine el bastión o finalice el acceso RDP a través de Citrix DaaS para Azure.

Bastiones

Citrix puede crear bastiones en la red virtual administrada por Citrix del cliente dentro de la suscripción administrada por Citrix del cliente para diagnosticar y reparar problemas, ya sea de forma proactiva (sin notificación al cliente) o en respuesta a un problema planteado por el cliente. El bastión es una máquina a la que el cliente puede acceder a través de RDP y luego usar para acceder a los VDA y (para catálogos unidos a un dominio) Cloud Connectors a través de RDP para recopilar registros, reiniciar servicios o realizar otras tareas administrativas. Por defecto, la creación de un bastión abre una regla de firewall externa para permitir el tráfico RDP desde un rango de direcciones IP especificado por el cliente a la máquina bastión. También abre una regla de firewall interna para permitir el acceso a los Cloud Connectors y VDA a través de RDP. Abrir estas reglas plantea un gran riesgo de seguridad.

El cliente es responsable de proporcionar una contraseña segura para la cuenta local de Windows. El cliente también es responsable de proporcionar un rango de direcciones IP externas que permita el acceso RDP al bastión. Si el cliente decide no proporcionar un rango de IP (permitiendo que cualquiera intente el acceso RDP), el cliente es responsable de cualquier intento de acceso por parte de direcciones IP maliciosas.

El cliente también es responsable de eliminar el bastión una vez completada la solución de problemas. El host bastión expone una superficie de ataque adicional, por lo que Citrix apaga automáticamente la máquina ocho (8) horas después de encenderla. Sin embargo, Citrix nunca elimina automáticamente un bastión. Si el cliente elige usar el bastión durante un período de tiempo prolongado, es responsable de parchearlo y actualizarlo. Citrix recomienda que un bastión se use solo durante varios días antes de eliminarlo. Si el cliente desea un bastión actualizado, puede eliminar el actual y luego crear uno nuevo, lo que aprovisionará una máquina nueva con los últimos parches de seguridad.

Acceso RDP

Para los catálogos unidos a un dominio, si el emparejamiento de VNet del cliente funciona, el cliente puede habilitar el acceso RDP desde su VNet emparejada a su VNet administrada por Citrix. Si el cliente utiliza esta opción, es responsable de acceder a los VDA y Cloud Connectors a través del emparejamiento de VNet. Se pueden especificar rangos de direcciones IP de origen para que el acceso RDP se pueda restringir aún más, incluso dentro de la red interna del cliente. El cliente deberá usar credenciales de dominio para iniciar sesión en estas máquinas. Si el cliente está trabajando con el soporte de Citrix para resolver un problema, es posible que deba compartir estas credenciales con el personal de soporte. Una vez resuelto el problema, el cliente es responsable de deshabilitar el acceso RDP. Mantener el acceso RDP abierto desde la red emparejada o local del cliente plantea un riesgo de seguridad.

Credenciales de dominio

Si el cliente elige usar un catálogo unido a un dominio, es responsable de proporcionar a Citrix DaaS para Azure una cuenta de dominio (nombre de usuario y contraseña) con permisos para unir máquinas al dominio. Al proporcionar credenciales de dominio, el cliente es responsable de cumplir con los siguientes principios de seguridad:

  • Auditable: La cuenta debe crearse específicamente para el uso de Citrix DaaS para Azure, de modo que sea fácil auditar para qué se utiliza la cuenta.
  • Con ámbito: La cuenta solo requiere permisos para unir máquinas a un dominio. No debe ser un administrador de dominio completo.
  • Segura: Se debe establecer una contraseña segura en la cuenta.

Citrix es responsable del almacenamiento seguro de esta cuenta de dominio en un Azure Key Vault en la suscripción de Azure administrada por Citrix del cliente. La cuenta se recupera solo si una operación requiere la contraseña de la cuenta de dominio.

Más información

Para obtener información relacionada, consulta:

Resumen de seguridad técnica
August 8, 2025
Contribución de: 
C
August 8, 2025
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.