Descripción general de la seguridad técnica

En el siguiente diagrama se muestran los componentes de una implementación de Citrix Managed Desktops.

Componentes de Citrix Managed Desktops

Con los Citrix Managed Desktops, los agentes de entrega virtual (VDA) del cliente que entregan escritorios y aplicaciones, además de Citrix Cloud Connectors, se implementan en una suscripción de Azure y un inquilino que Citrix administra.

Responsabilidad de Citrix

Citrix Cloud Connectors para catálogos no unidos a dominios

Citrix Managed Desktops implementa al menos dos Cloud Connectors en cada ubicación de recurso. Algunos catálogos pueden compartir una ubicación de recursos si están en la misma región que otros catálogos del mismo cliente.

Citrix es responsable de las siguientes operaciones de seguridad en el catálogo no unido a dominios Cloud Connectors:

  • Aplicación de actualizaciones del sistema operativo y parches de seguridad
  • Instalación y mantenimiento de software antivirus
  • Aplicación de actualizaciones de software de Cloud Connector

Los clientes no tienen acceso a Cloud Connectors. Por lo tanto, Citrix es totalmente responsable del rendimiento del catálogo no unido a dominios Cloud Connectors.

Suscripción a Azure y Azure Active Directory

Citrix es responsable de la seguridad de la suscripción de Azure y Azure Active Directory (AAD) que se crean para el cliente. Citrix garantiza el aislamiento del inquilino, por lo que cada cliente tiene su propia suscripción a Azure y AAD, y se evita la conversación cruzada entre diferentes inquilinos. Citrix también restringe el acceso al AAD al servicio de Citrix Managed Desktops y al personal de operaciones de Citrix únicamente. Se audita el acceso de Citrix a la suscripción de Azure de cada cliente.

Los clientes que utilicen catálogos no unidos a un dominio pueden utilizar el AAD administrado por Citrix como medio de autenticación para Citrix Workspace. Para estos clientes, Citrix crea cuentas de usuario con privilegios limitados en el AAD administrado por Citrix. Sin embargo, ni los usuarios ni los administradores de clientes pueden ejecutar ninguna acción en el AAD administrado por Citrix. Si estos clientes deciden utilizar su propio AAD en su lugar, son totalmente responsables de su seguridad.

Redes e infraestructura virtuales

Dentro de la suscripción a Azure administrada por Citrix del cliente, Citrix crea redes virtuales para aislar ubicaciones de recursos. Dentro de esas redes, Citrix crea máquinas virtuales para los VDA, Cloud Connectors y máquinas de creación de imágenes, además de cuentas de almacenamiento, almacenes clave y otros recursos de Azure. Citrix, en colaboración con Microsoft, es responsable de la seguridad de las redes virtuales, incluidos los firewalls de red virtual.

Citrix garantiza que la directiva predeterminada de firewall de Azure esté configurada para impedir todo el tráfico entrante a los VDA y Cloud Connectors, excepto en los puertos 80, 443, 1494 y 2598 para el tráfico bidireccional entre los VDA y Cloud Connectors. La directiva predeterminada de firewall de Azure también permite todo el tráfico saliente. Los clientes no pueden cambiar esta directiva de firewall predeterminada, pero pueden implementar reglas de firewall adicionales en máquinas VDA creadas por Citrix; por ejemplo, para restringir parcialmente el tráfico saliente. Los clientes que instalan clientes de red privada virtual u otro software capaz de eludir las reglas de firewall en máquinas VDA creadas por Citrix son responsables de los riesgos de seguridad que puedan derivarse.

Emparejamiento de red virtual

Para que los VDA de Citrix Managed Desktops puedan ponerse en contacto con controladores de dominio locales, recursos compartidos de archivos u otros recursos de intranet, Citrix Managed Desktops proporciona un flujo de trabajo de emparejamiento de red virtual como opción de conectividad. La red virtual administrada por Citrix del cliente se interconecta con una red virtual Azure administrada por el cliente. La red virtual administrada por el cliente puede habilitar la conectividad con los recursos locales del cliente mediante la solución de conectividad de nube a local que elija el cliente, como Azure ExpressRoute o túneles IPSec.

La responsabilidad de Citrix por el emparejamiento de red virtual se limita a admitir el flujo de trabajo y la configuración de recursos de Azure relacionada para establecer una relación de pares entre Citrix y las redes virtuales administradas por el cliente.

Conectividad SD-WAN

Citrix admite una forma totalmente automatizada de implementar instancias virtuales de Citrix SD-WAN para habilitar la conectividad entre los Citrix Managed Desktops y los recursos locales. La conectividad Citrix SD-WAN tiene una serie de ventajas en comparación con el emparejamiento de red virtual, entre las que se incluyen:

Alta fiabilidad y seguridad de las conexiones de VDA a Datacenter y VDA a Branch (ICA).

  • La mejor experiencia de usuario final para los trabajadores de oficina, con capacidades avanzadas de QoS y optimizaciones VoIP.
  • Capacidad integrada para inspeccionar, priorizar e informar sobre el tráfico de red de Citrix HDX y otros usos de aplicaciones.

Citrix requiere que los clientes que deseen aprovechar la conectividad SD-WAN para los Citrix Managed Desktops utilicen SD-WAN Orchestrator para administrar sus redes Citrix SD-WAN.

En el siguiente diagrama se muestran los componentes agregados en una implementación de Citrix Managed Desktops mediante conectividad SD-WAN.

Citrix Managed Desktops con conectividad SD-WAN

La implementación de Citrix SD-WAN para Citrix Managed Desktops es similar a la configuración de implementación estándar de Azure para Citrix SD-WAN. Para obtener más información, consulte Implementar instancia de Citrix SD-WAN Standard Edition en Azure. En una configuración de alta disponibilidad, un par activo/en espera de instancias SD-WAN con equilibradores de carga de Azure se implementa como Gateway entre la subred que contiene VDA y Cloud Connectors e Internet. En una configuración que no sea de HA, sólo se implementa una única instancia SD-WAN como Gateway. A las interfaces de red de los dispositivos SD-WAN virtuales se les asignan direcciones desde un pequeño intervalo de direcciones separado dividido en dos subredes.

Al configurar la conectividad SD-WAN, Citrix realiza algunos cambios en la configuración de red de los escritorios administrados descritos anteriormente. En particular, todo el tráfico saliente de la vNet administrada por Citrix, incluido el tráfico a destinos de Internet, se enruta a través de la instancia de SD-WAN en la nube. La instancia SD-WAN también está configurada para ser el servidor DNS para la VNet administrada por Citrix.

Citrix utiliza directivas de firewall de Azure (grupos de seguridad de red) y asignación de direcciones IP públicas para limitar el acceso a las interfaces de red de dispositivos SD-WAN virtuales:

  • Sólo las interfaces WAN y de administración tienen asignadas direcciones IP públicas y permiten la conectividad saliente a Internet.
  • Las interfaces LAN, que actúan como puertas de enlace para la VNet administrada por Citrix, solo pueden intercambiar tráfico de red con máquinas virtuales en la misma VNet.
  • Las interfaces WAN limitan el tráfico entrante al puerto UDP 4980 (utilizado por Citrix SD-WAN para la conectividad de rutas virtuales) y deniegan el tráfico saliente a la VNet.
  • Los puertos de administración permiten el tráfico entrante a los puertos 443 (HTTPS) y 22 (SSH).
  • Las interfaces HA solo pueden intercambiar tráfico de control entre sí.

El acceso de administración a las instancias SD-WAN virtuales requiere un inicio de sesión y una contraseña de administrador. A cada instancia de SD-WAN se le asigna una contraseña segura única y aleatoria que los administradores de SD-WAN pueden utilizar para iniciar sesión y solucionar problemas remotos a través de la interfaz de usuario de SD-WAN Orchestrator, la interfaz de usuario de administración de dispositivos virtuales y la CLI.

Al igual que otros recursos específicos del inquilino, las instancias SD-WAN virtuales implementadas en una VNet de cliente específica están completamente aisladas de todas las demás VNets.

Cuando el cliente habilita la conectividad Citrix SD-WAN de Citrix, Citrix automatiza la implementación inicial de instancias SD-WAN virtuales utilizadas con Citrix Managed Desktops, mantiene los recursos subyacentes de Azure (máquinas virtuales, equilibradores de carga, etc.), proporciona valores predeterminados seguros y eficientes para el de instancias SD-WAN virtuales y permite el mantenimiento continuo y la solución de problemas a través de SD-WAN Orchestrator. Citrix también toma medidas razonables para realizar la validación automática de la configuración de red SD-WAN, comprobar los riesgos de seguridad conocidos y mostrar las alertas correspondientes a través de SD-WAN Orchestrator.

Acceso a la infraestructura

Citrix puede acceder a la infraestructura administrada por Citrix del cliente (Cloud Connectors) para realizar ciertas tareas administrativas, como la recopilación de registros (incluido el Visor de eventos de Windows) y el reinicio de los servicios sin notificar al cliente. Citrix es responsable de ejecutar estas tareas de forma segura y con un impacto mínimo para el cliente. Citrix también es responsable de garantizar que los archivos de registro se recuperen, transporten y manejen de forma segura. No se puede acceder a los agentes VDA del cliente de esta manera.

Copias de seguridad para catálogos no unidos a un dominio

Citrix no es responsable de realizar copias de seguridad de catálogos no unidos a un dominio.

Copias de seguridad para imágenes maestras

Citrix es responsable de realizar copias de seguridad de las imágenes maestras cargadas en los Citrix Managed Desktops, incluidas las imágenes creadas con el generador de imágenes. Citrix utiliza almacenamiento redundante localmente para estas imágenes.

Bastiones para catálogos no unidos a un dominio

El personal de operaciones de Citrix tiene la capacidad de crear un bastión, si es necesario, para acceder a la suscripción de Azure administrada por Citrix del cliente para diagnosticar y reparar problemas del cliente, potencialmente antes de que el cliente tenga conocimiento de un problema. Citrix no requiere el consentimiento del cliente para crear un bastión. Cuando Citrix crea el bastión, Citrix crea una contraseña segura generada aleatoriamente para el bastión y restringe el acceso RDP a las direcciones IP de Citrix NAT. Cuando el bastión ya no es necesario, Citrix lo elimina y la contraseña ya no es válida. El bastión (y sus reglas de acceso RDP que lo acompañan) se eliminan cuando finaliza la operación. Citrix sólo puede acceder a los Cloud Connectors del cliente que no estén unidos a un dominio con el bastión. Citrix no tiene la contraseña para iniciar sesión en VDA no unidos a un dominio o Cloud Connectors y VDA unidos a un dominio.

Suscripciones gestionadas por el cliente

Para las suscripciones administradas por el cliente, Citrix cumple las responsabilidades anteriores durante la implementación de los recursos de Azure. Después de la implementación, todo lo anterior es responsabilidad del cliente, ya que el cliente es el propietario de la suscripción de Azure.

Suscripciones gestionadas por el cliente

Responsabilidad del cliente

VDA e imágenes maestras

El cliente es responsable de todos los aspectos del software instalado en las máquinas VDA, incluyendo:

  • Actualizaciones del sistema operativo y parches de seguridad
  • Antivirus y antimalware
  • Actualizaciones de software de VDA y parches de seguridad
  • Reglas de firewall de software adicionales (especialmente el tráfico saliente)

Citrix proporciona una imagen preparada que se pretende como punto de partida. Los clientes pueden utilizar esta imagen con fines de prueba de concepto o demostración o como base para crear su propia imagen maestra. Citrix no garantiza la seguridad de esta imagen preparada. Citrix intentará mantener actualizados el sistema operativo y el software VDA en la imagen preparada y habilitará Windows Defender en estas imágenes.

Emparejamiento de red virtual

Cuando se configura el emparejamiento de red virtual, el cliente es responsable de la seguridad de su propia red virtual y de su conectividad a sus recursos locales. El cliente también es responsable de la seguridad del tráfico entrante de la red virtual interconectada administrada por Citrix. Citrix no realiza ninguna acción para bloquear el tráfico de la red virtual administrada por Citrix a los recursos locales del cliente.

Los clientes tienen las siguientes opciones para restringir el tráfico entrante:

  • Dé a la red virtual administrada por Citrix un bloque IP que no esté en uso en ningún otro lugar de la red local del cliente o de la red virtual conectada administrada por el cliente. Esto es necesario para el emparejamiento de red virtual.
  • Agregue grupos de seguridad de red y firewalls de Azure en la red virtual y local del cliente para bloquear o restringir el tráfico desde el bloque de IP administrado por Citrix.
  • Implemente medidas como sistemas de prevención de intrusiones, firewalls de software y motores de análisis de comportamiento en la red virtual del cliente y en la red local, enfocándose en el bloque de IP administrado por Citrix.

Conectividad SD-WAN

Cuando se configura la conectividad SD-WAN, los clientes tienen total flexibilidad para configurar instancias SD-WAN virtuales que se utilizan con Citrix Managed Desktops de acuerdo con sus requisitos de red, con la excepción de algunos elementos necesarios para garantizar el correcto funcionamiento de SD-WAN en la vNet administrada por Citrix. Las responsabilidades del cliente incluyen:

  • Diseño y configuración de reglas de enrutamiento y firewall, incluidas reglas para DNS e interrupción del tráfico de Internet.
  • Mantenimiento de la configuración de red SD-WAN.
  • Seguimiento del estado operativo de la red.
  • Implementación oportuna de actualizaciones de software de Citrix SD-WAN o correcciones de seguridad. Dado que todas las instancias de Citrix SD-WAN en una red de cliente deben ejecutar la misma versión del software SD-WAN, los clientes deben administrar las implementaciones de versiones de software actualizadas en instancias CMD SD-WAN de acuerdo con sus programaciones y restricciones de mantenimiento de red.

La configuración incorrecta de las reglas de firewall y enrutamiento de SD-WAN, o la mala administración de las contraseñas de administración de SD-WAN, puede dar lugar a riesgos de seguridad tanto para los recursos virtuales en Citrix Managed Desktops como para los recursos locales accesibles a través de rutas virtuales de Citrix SD-WAN. Otro posible riesgo de seguridad se deriva de la no actualización del software Citrix SD-WAN a la última versión de revisión disponible. Aunque SD-WAN Orchestrator y otros servicios de Citrix Cloud proporcionan los medios para abordar dichos riesgos, los clientes son en última instancia responsables de garantizar que las instancias de SD-WAN virtuales estén configuradas adecuadamente.

Proxy

El cliente puede elegir si desea utilizar un proxy para el tráfico saliente desde el VDA. Si se utiliza un proxy, el cliente es responsable de:

  • Configurar la configuración del proxy en la imagen maestra del VDA o, si el VDA está unido a un dominio, mediante la directiva de grupo de Active Directory.
  • Mantenimiento y seguridad del proxy.

No se permite el uso de proxies con Citrix Cloud Connectors u otra infraestructura administrada por Citrix.

Citrix proporciona tres tipos de catálogos con diferentes niveles de resiliencia:

  • Estático: cada usuario está asignado a un único VDA. Este tipo de catálogo no ofrece alta disponibilidad. Si el VDA de un usuario falla, tendrá que colocarse en uno nuevo para recuperarse. Azure proporciona un nivel de servicio del 99,5% para máquinas virtuales de instancia única. El cliente aún puede realizar una copia de seguridad del perfil de usuario, pero se perderán las personalizaciones realizadas en el VDA (como la instalación de programas o la configuración de Windows).
  • Aleatorio: cada usuario se asigna aleatoriamente a un VDA de servidor en el momento del lanzamiento. Este tipo de catálogo proporciona alta disponibilidad mediante redundancia. Si un VDA falla, no se pierde información porque el perfil del usuario reside en otro lugar.
  • Multisesión de Windows 10: este tipo de catálogo funciona de la misma manera que el tipo aleatorio, pero utiliza los agentes VDA de estación de trabajo de Windows 10 en lugar de los agentes VDA de servidor.

Copias de seguridad para catálogos unidos al dominio

Si el cliente utiliza catálogos unidos al dominio con un emparejamiento de red virtual, el cliente es responsable de realizar una copia de seguridad de sus perfiles de usuario. Citrix recomienda que los clientes configuren recursos compartidos de archivos locales y establezcan directivas en sus agentes VDA o Active Directory para extraer perfiles de usuario de estos recursos compartidos de archivos. El cliente es responsable de la copia de seguridad y disponibilidad de estos recursos compartidos de archivos.

Recuperación ante desastres

En caso de pérdida de datos de Azure, Citrix recuperará tantos recursos como sea posible en la suscripción de Azure administrada por Citrix. Citrix intentará recuperar Cloud Connectors y VDA. Si Citrix no recupera estos elementos, los clientes son responsables de crear un nuevo catálogo. Citrix asume que se realiza una copia de seguridad de las imágenes maestras y que los clientes han realizado copias de seguridad de sus perfiles de usuario, lo que permite reconstruir el catálogo.

En caso de pérdida de toda una región de Azure, el cliente es responsable de reconstruir su red virtual administrada por el cliente en una nueva región y crear una nueva instancia de emparejamiento de red virtual o de SD-WAN dentro de Citrix Managed Desktops.

Responsabilidades compartidas de Citrix y del cliente

Citrix Cloud Connector para catálogos unidos a dominios

Citrix Managed Desktops implementa al menos dos Cloud Connectors en cada ubicación de recurso. Algunos catálogos pueden compartir una ubicación de recursos si están en la misma región, el emparejamiento de red virtual y el dominio que otros catálogos del mismo cliente. Citrix configura los Cloud Connectors unidos al dominio del cliente para las siguientes configuraciones de seguridad predeterminadas en la imagen:

  • Actualizaciones del sistema operativo y parches de seguridad
  • Software antivirus
  • Actualizaciones de software de Cloud Connector

Los clientes normalmente no tienen acceso a Cloud Connectors. Sin embargo, pueden obtener acceso mediante los pasos de solución de problemas de catálogo e iniciar sesión con credenciales de dominio. El cliente es responsable de cualquier cambio que realice al iniciar sesión a través del bastión.

Los clientes también tienen control sobre los conectores de nube unidos al dominio mediante la directiva de grupo de Active Directory. El cliente es responsable de garantizar que las políticas de grupo que se aplican a Cloud Connector sean seguras y sensatas. Por ejemplo, si el cliente decide deshabilitar las actualizaciones del sistema operativo mediante la directiva de grupo, el cliente es responsable de realizar las actualizaciones del sistema operativo en Cloud Connectors. El cliente también puede optar por utilizar la directiva de grupo para imponer una seguridad más estricta que los valores predeterminados de Cloud Connector, por ejemplo, instalando un software antivirus diferente. En general, Citrix recomienda que los clientes coloquen Cloud Connectors en su propia unidad organizativa de Active Directory sin directivas, ya que esto garantizará que los valores predeterminados que usa Citrix se puedan aplicar sin problemas.

Solucionar problemas

En el caso de que el cliente experimente problemas con el catálogo en Citrix Managed Desktops, existen dos opciones para solucionar problemas: usar bastiones y habilitar el acceso RDP. Ambas opciones presentan riesgos de seguridad para el cliente. El cliente debe comprender y dar su consentimiento para asumir este riesgo antes de utilizar estas opciones.

Citrix es responsable de abrir y cerrar los puertos necesarios para llevar a cabo las operaciones de solución de problemas y restringir las máquinas a las que se puede acceder durante estas operaciones.

Con bastiones o acceso RDP, el usuario activo que realiza la operación es responsable de la seguridad de las máquinas a las que se accede. Si el cliente accede al VDA o Cloud Connector a través de RDP y contrae accidentalmente un virus, el cliente es responsable. Si el personal de soporte de Citrix accede a estas máquinas, es responsabilidad de dicho personal realizar operaciones de forma segura. La responsabilidad por cualquier vulnerabilidad expuesta por cualquier persona que acceda al bastión u otros equipos en la implementación (por ejemplo, la responsabilidad del cliente en cuanto a rangos de IP en la lista blanca, la responsabilidad de Citrix de implementar rangos de IP correctamente) se cubre en otra parte de este documento.

En ambos escenarios, Citrix es responsable de crear correctamente excepciones de firewall para permitir el tráfico RDP. Citrix también es responsable de revocar estas excepciones después de que el cliente elimine el bastión o finalice el acceso RDP a través de Citrix Managed Desktops.

Bastiones

Citrix puede crear bastiones en la red virtual administrada por Citrix del cliente dentro de la suscripción administrada por Citrix del cliente para diagnosticar y reparar problemas, ya sea de forma proactiva (sin notificación al cliente) o en respuesta a un problema planteado por el cliente. El bastión es un equipo al que el cliente puede acceder a través de RDP y luego usar para acceder a los VDA y (para catálogos unidos a dominios) Cloud Connectors a través de RDP para recopilar registros, reiniciar servicios o realizar otras tareas administrativas. De forma predeterminada, al crear un bastión se abre una regla de firewall externa para permitir el tráfico RDP desde un intervalo de direcciones IP especificado por el cliente a la máquina bastión. También abre una regla de firewall interna para permitir el acceso a Cloud Connectors y VDA a través de RDP. La apertura de estas reglas plantea un gran riesgo para la seguridad.

El cliente es responsable de proporcionar una contraseña segura utilizada para la cuenta local de Windows. El cliente también es responsable de proporcionar un rango de direcciones IP externas que permite el acceso RDP al bastión. Si el cliente elige no proporcionar un rango de IP (permitiendo que cualquiera intente acceder a RDP), el cliente es responsable de cualquier acceso que intenten las direcciones IP malintencionadas.

El cliente también es responsable de eliminar el bastión una vez que se haya completado la solución de problemas. El host del bastión expone una superficie de ataque adicional, por lo que Citrix apaga automáticamente la máquina ocho (8) horas después de encenderla. Sin embargo, Citrix nunca elimina automáticamente un bastión. Si el cliente decide utilizar el bastión durante un período de tiempo prolongado, es responsable de aplicar parches y actualizarlo. Citrix recomienda usar un bastión solo durante varios días antes de eliminarlo. Si el cliente desea un bastión actualizado, puede eliminar el actual y, a continuación, crear un bastión nuevo, que aprovisionará una máquina nueva con los parches de seguridad más recientes.

Acceso RDP

En el caso de los catálogos unidos a un dominio, si el emparejamiento de red virtual del cliente es funcional, el cliente puede habilitar el acceso RDP desde su VNet emparejada a su VNet administrada por Citrix. Si el cliente utiliza esta opción, el cliente es responsable de acceder a los VDA y Cloud Connectors a través del emparejamiento de red virtual. Los rangos de direcciones IP de origen se pueden especificar para restringir aún más el acceso RDP, incluso dentro de la red interna del cliente. El cliente deberá usar credenciales de dominio para iniciar sesión en estos equipos. Si el cliente está trabajando con Citrix Support para resolver un problema, es posible que tenga que compartir estas credenciales con el personal de soporte técnico. Una vez resuelto el problema, el cliente es responsable de deshabilitar el acceso RDP. Mantener el acceso RDP abierto desde la red interconectada o local del cliente supone un riesgo para la seguridad.

Credenciales de dominio

Si el cliente elige utilizar un catálogo unido a un dominio, el cliente es responsable de proporcionar a Citrix Managed Desktops una cuenta de dominio (nombre de usuario y contraseña) con permisos para unir equipos al dominio. Al proporcionar credenciales de dominio, el cliente es responsable de cumplir los siguientes principios de seguridad:

  • Auditable: la cuenta debe crearse específicamente para el uso de Citrix Managed Desktops, de modo que sea fácil auditar para qué se utiliza la cuenta.
  • Ámbito: la cuenta sólo requiere permisos para unir equipos a un dominio. No debe ser un administrador de dominio completo.
  • Seguro: Se debe colocar una contraseña segura en la cuenta.

Citrix es responsable del almacenamiento seguro de esta cuenta de dominio en un almacén de claves de Azure en la suscripción de Azure administrada por Citrix del cliente. La cuenta sólo se recupera si una operación requiere la contraseña de la cuenta de dominio.

Más información

Para obtener información relacionada, consulte: