Información técnica general sobre la seguridad

El siguiente diagrama muestra los componentes de una implementación de Citrix Virtual Apps and Desktops Standard para Azure. En este ejemplo se utiliza una conexión de peering de VNet.

Citrix Virtual Apps and Desktops Standard para componentes de Azure y conexión de pares de Azure vNet

Con Citrix Virtual Apps and Desktops Standard para Azure, los agentes virtuales de entrega (VDA) del cliente que entregan escritorios y aplicaciones, además de Citrix Cloud Connectors, se implementan en una suscripción y un arrendatario de Azure que Citrix administra.

Responsabilidad de Citrix

Citrix Cloud Connectors para catálogos no unidos a un dominio

Citrix Virtual Apps and Desktops Standard para Azure implementa al menos dos Cloud Connectors en cada ubicación de recursos. Algunos catálogos pueden compartir una ubicación de recursos si se encuentran en la misma región que otros catálogos del mismo cliente.

Citrix es responsable de las siguientes operaciones de seguridad en Cloud Connectors de catálogo no unido a un dominio:

  • Aplicación de actualizaciones del sistema operativo y parches de seguridad
  • Instalación y mantenimiento de software antivirus
  • Aplicación de actualizaciones de software de Cloud Connector

Los clientes no tienen acceso a Cloud Connectors. Por lo tanto, Citrix es totalmente responsable del rendimiento del catálogo Cloud Connectors no unido a un dominio.

Suscripción a Azure y Azure Active Directory

Citrix es responsable de la seguridad de la suscripción de Azure y Azure Active Directory (AAD) que se crean para el cliente. Citrix garantiza el aislamiento de arrendatarios, de modo que cada cliente tenga su propia suscripción de Azure y AAD, y se evita la interacción entre diferentes arrendatarios. Citrix también restringe el acceso al AAD al servicio Citrix Virtual Apps and Desktops Standard para Azure y al personal de operaciones de Citrix únicamente. Se audita el acceso de Citrix a la suscripción de Azure de cada cliente.

Los clientes que utilicen catálogos que no estén unidos a un dominio pueden utilizar el AAD administrado por Citrix como medio de autenticación para Citrix Workspace. Para estos clientes, Citrix crea cuentas de usuario de privilegios limitados en el AAD administrado por Citrix. Sin embargo, ni los usuarios ni los administradores de los clientes pueden ejecutar ninguna acción en el AAD administrado por Citrix. Si estos clientes eligen usar su propio AAD en su lugar, son totalmente responsables de su seguridad.

Redes virtuales e infraestructura

Dentro de la suscripción a Azure administrada por Citrix del cliente, Citrix crea redes virtuales para aislar ubicaciones de recursos. Dentro de esas redes, Citrix crea máquinas virtuales para los VDA, Cloud Connectors y máquinas generadoras de imágenes, además de cuentas de almacenamiento, almacenes clave y otros recursos de Azure. Citrix, en asociación con Microsoft, es responsable de la seguridad de las redes virtuales, incluidos los firewalls de red virtuales.

Citrix garantiza que la directiva predeterminada de firewall de Azure (grupos de seguridad de red) esté configurada para limitar el acceso a interfaces de red en conexiones de conexión VNet y SD-WAN. Generalmente, esto controla el tráfico entrante a los VDA y Cloud Connectors. Para obtener más detalles, consulte:

Los clientes no pueden cambiar esta directiva de firewall predeterminada, pero pueden implementar reglas de firewall adicionales en máquinas VDA creadas por Citrix; por ejemplo, para restringir parcialmente el tráfico saliente. Los clientes que instalan clientes de red privada virtual u otro software capaz de omitir las reglas de firewall en máquinas VDA creadas por Citrix son responsables de los riesgos de seguridad que puedan surgir.

Cuando se utiliza el generador de imágenes en Citrix Virtual Apps and Desktops Standard para Azure para crear y personalizar una nueva imagen maestra, los puertos 3389-3390 se abren temporalmente en la VNet administrada por Citrix, de modo que el cliente pueda RDP en la máquina que contiene la nueva imagen maestra, para personalizarla.

Responsabilidad de Citrix al usar conexiones de peering de Azure vNet

Para que los VDA de Citrix Virtual Apps and Desktops Standard para Azure se pongan en contacto con controladores de dominio locales, recursos compartidos de archivos u otros recursos de intranet, Citrix Virtual Apps and Desktops Standard para Azure proporciona un flujo de trabajo de conexión de red virtual como opción de conectividad. La red virtual administrada por Citrix del cliente se conecta con una red virtual de Azure administrada por el cliente. La red virtual administrada por el cliente puede habilitar la conectividad con los recursos locales del cliente mediante la solución de conectividad de nube a local que elija el cliente, como los túneles de Azure ExpressRoute o IPSec.

La responsabilidad de Citrix por el emparejamiento de red virtual se limita a admitir el flujo de trabajo y la configuración de recursos de Azure relacionada para establecer una relación de pares entre Citrix y las redes virtuales administradas por el cliente.

Directiva de firewall para conexiones de peering de Azure VNet

Citrix abre o cierra los siguientes puertos para el tráfico entrante y saliente que utiliza una conexión de emparejamiento de vNet.

VNet administrada por Citrix con máquinas no unidas a un dominio
  • Reglas de entrada
    • Permita los puertos 80, 443, 1494 y 2598 entrantes desde los VDA a Cloud Connectors y desde Cloud Connectors a los VDA.
    • Permita los puertos 49152-65535 entrantes a los VDA desde un rango de IP utilizado por la función de sombreado Monitor. Consulte CTX101810.
    • Denegar todos los demás envíos entrantes. Esto incluye el tráfico intra-VNET de VDA a VDA y VDA a Cloud Connector.
  • Reglas de salida
    • Permitir todo el tráfico saliente.
VNet administrada de Citrix con máquinas unidas a un dominio
  • Reglas de entrada:
    • Permita los puertos 80, 443, 1494 y 2598 entrantes desde los VDA a Cloud Connectors y desde Cloud Connectors a VDA.
    • Permita los puertos 49152-65535 entrantes a los VDA desde un rango de IP utilizado por la función de sombreado Monitor. Consulte CTX101810.
    • Denegar todos los demás envíos entrantes. Esto incluye el tráfico intra-VNET de VDA a VDA y VDA a Cloud Connector.
  • Reglas de salida
    • Permitir todo el tráfico saliente.
VNet administrada por el cliente con máquinas unidas a un dominio
  • Corta al cliente configurar su VNet correctamente. Esto incluye abrir los siguientes puertos para la unión de dominios.
  • Reglas de entrada:
    • Permitir entrada en 443, 1494, 2598 desde sus direcciones IP de cliente para lanzamientos internos.
    • Permitir entrada en 53, 88, 123, 135-139, 389, 445, 636 desde Citrix VNet (intervalo de IP especificado por el cliente).
    • Permitir entrada en puertos abiertos con una configuración de proxy.
    • Otras reglas creadas por el cliente.
  • Reglas de salida:
    • Permitir salida en 443, 1494, 2598 a Citrix vNet (intervalo de IP especificado por el cliente) para inicios internos.
    • Otras reglas creadas por el cliente.

Responsabilidad de Citrix al usar conectividad SD-WAN

Citrix admite una forma totalmente automatizada de implementar instancias virtuales de Citrix SD-WAN para habilitar la conectividad entre Citrix Virtual Apps and Desktops Standard para Azure y los recursos locales. La conectividad Citrix SD-WAN tiene una serie de ventajas en comparación con el emparejamiento de red virtual, entre las que se incluyen:

Alta fiabilidad y seguridad de las conexiones VDA a Datacenter y VDA a sucursal (ICA).

  • La mejor experiencia de usuario final para trabajadores de oficina, con capacidades avanzadas de QoS y optimizaciones de VoIP.
  • Capacidad integrada para inspeccionar, priorizar e informar sobre el tráfico de red de Citrix HDX y otros usos de aplicaciones.

Citrix requiere que los clientes que deseen aprovechar la conectividad SD-WAN para Citrix Virtual Apps and Desktops Standard para Azure usen SD-WAN Orchestrator para administrar sus redes Citrix SD-WAN.

El siguiente diagrama muestra los componentes agregados en una implementación de Citrix Virtual Apps and Desktops Standard para Azure mediante conectividad SD-WAN.

Citrix Virtual Apps and Desktops Standard para Azure con conectividad SD-WAN

La implementación de Citrix SD-WAN para Citrix Virtual Apps and Desktops Standard para Azure es similar a la configuración de implementación estándar de Azure para Citrix SD-WAN. Para obtener más información, consulte Implementar la instancia de Citrix SD-WAN Standard Edition en Azure. En una configuración de alta disponibilidad, un par activo/en espera de instancias SD-WAN con equilibradores de carga de Azure se implementa como Gateway entre la subred que contiene VDA y Cloud Connectors e Internet. En una configuración que no sea de alta disponibilidad, solo se implementa una única instancia de SD-WAN como Gateway. A las interfaces de red de los dispositivos SD-WAN virtuales se les asignan direcciones desde un intervalo de direcciones pequeño separado dividido en dos subredes.

Al configurar la conectividad SD-WAN, Citrix realiza algunos cambios en la configuración de red de los escritorios administrados descritos anteriormente. En particular, todo el tráfico saliente de la red virtual administrada por Citrix, incluido el tráfico a destinos de Internet, se enruta a través de la instancia de SD-WAN en la nube. La instancia de SD-WAN también está configurada para que sea el servidor DNS de la VNet administrada por Citrix.

El acceso de administración a las instancias de SD-WAN virtuales requiere un nombre de usuario y una contraseña de administrador. A cada instancia de SD-WAN se le asigna una contraseña segura única y aleatoria que los administradores de SD-WAN pueden utilizar para iniciar sesión y solucionar problemas remotos a través de la interfaz de usuario de SD-WAN Orchestrator, la interfaz de usuario de administración del dispositivo virtual y la CLI.

Al igual que otros recursos específicos del arrendatario, las instancias SD-WAN virtuales implementadas en una VNet de cliente específica están completamente aisladas de todas las demás VNets.

Cuando el cliente habilita la conectividad Citrix SD-WAN de Citrix, Citrix automatiza la implementación inicial de instancias de SD-WAN virtuales utilizadas con Citrix Virtual Apps and Desktops Standard para Azure, mantiene los recursos subyacentes de Azure (máquinas virtuales, equilibradores de carga, etc.), proporciona seguridad y eficiencia listos para usar para la configuración inicial de instancias SD-WAN virtuales y habilita el mantenimiento continuo y la solución de problemas a través de SD-WAN Orchestrator. Citrix también toma medidas razonables para realizar la validación automática de la configuración de red SD-WAN, comprobar los riesgos de seguridad conocidos y mostrar las alertas correspondientes a través de SD-WAN Orchestrator.

Directiva de firewall para conexiones SD-WAN

Citrix utiliza directivas de firewall de Azure (grupos de seguridad de red) y asignación de direcciones IP públicas para limitar el acceso a interfaces de red de dispositivos SD-WAN virtuales:

  • Solo las interfaces WAN y de administración tienen asignadas direcciones IP públicas y permiten la conectividad saliente a Internet.
  • Las interfaces LAN, que actúan como puertas de enlace para la red virtual administrada por Citrix, solo pueden intercambiar tráfico de red con máquinas virtuales de la misma red virtual.
  • Las interfaces WAN limitan el tráfico entrante al puerto UDP 4980 (utilizado por Citrix SD-WAN para la conectividad de rutas virtuales) y deniegan el tráfico saliente a la red virtual.
  • Los puertos de administración permiten el tráfico entrante a los puertos 443 (HTTPS) y 22 (SSH).
  • Las interfaces de alta disponibilidad solo pueden intercambiar tráfico de control entre sí.

Acceso a la infraestructura

Citrix puede acceder a la infraestructura administrada por Citrix (Cloud Connectors) del cliente para realizar ciertas tareas administrativas, como recopilar registros (incluido Windows Event Viewer) y reiniciar servicios sin notificar al cliente. Citrix es responsable de ejecutar estas tareas de forma segura y segura y con un impacto mínimo para el cliente. Citrix también es responsable de garantizar que los archivos de registro se recuperen, transporten y manejen de forma segura. No se puede acceder a los VDA del cliente de esta manera.

Copias de reserva para catálogos no unidos a dominios

Citrix no es responsable de realizar copias de seguridad de catálogos no unidos a un dominio.

Copias de seguridad para imágenes maestras

Citrix es responsable de realizar copias de seguridad de las imágenes maestras cargadas en Citrix Virtual Apps and Desktops Standard para Azure, incluidas las imágenes creadas con el generador de imágenes. Citrix utiliza almacenamiento redundante localmente para estas imágenes.

Bastiones para catálogos no unidos a dominios

El personal de operaciones de Citrix tiene la capacidad de crear un bastión, si es necesario, para acceder a la suscripción de Azure administrada por Citrix del cliente para diagnosticar y reparar los problemas del cliente, posiblemente antes de que el cliente tenga conocimiento de un problema. Citrix no requiere el consentimiento del cliente para crear un bastión. Cuando Citrix crea el bastión, Citrix crea una contraseña segura generada aleatoriamente para el bastión y restringe el acceso RDP a las direcciones IP NAT de Citrix. Cuando el bastión ya no es necesario, Citrix lo elimina y la contraseña ya no es válida. El bastión (y sus reglas de acceso RDP que lo acompañan) se eliminan cuando finaliza la operación. Citrix solo puede acceder a los Cloud Connectors del cliente que no estén unidos a un dominio con el bastión. Citrix no tiene la contraseña para iniciar sesión en VDA no unidos a un dominio ni en Cloud Connectors y VDA unidos a un dominio.

Directiva de firewall al utilizar herramientas de solución de problemas

Cuando un cliente solicita la creación de una máquina de bastión para la solución de problemas, se realizan las siguientes modificaciones del grupo de seguridad en la red virtual administrada por Citrix:

  • Permita temporalmente 3389 entrante desde el rango de IP especificado por el cliente al bastión.
  • Permita temporalmente 3389 entrante desde la dirección IP del bastión a cualquier dirección de la red virtual (VDA y Cloud Connectors).
  • Continúe bloqueando el acceso RDP entre Cloud Connectors, VDA y otros VDA.

Cuando un cliente habilita el acceso RDP para solucionar problemas, se realizan las siguientes modificaciones de grupo de seguridad en la red virtual administrada por Citrix:

  • Permita temporalmente 3389 entrante desde el intervalo de IP especificado por el cliente a cualquier dirección de la red virtual (VDA y Cloud Connectors).
  • Continúe bloqueando el acceso RDP entre Cloud Connectors, VDA y otros VDA.

Suscripciones administradas por el cliente

Para las suscripciones administradas por el cliente, Citrix cumple con las responsabilidades anteriores durante la implementación de los recursos de Azure. Después de la implementación, todo lo anterior recae en la responsabilidad del cliente, ya que el cliente es el propietario de la suscripción de Azure.

Suscripciones administradas por el cliente

Responsabilidad del cliente

VDA e imágenes maestras

El cliente es responsable de todos los aspectos del software instalado en máquinas VDA, incluyendo:

  • Actualizaciones del sistema operativo y parches de seguridad
  • Antivirus y antimalware
  • Actualizaciones de software VDA y parches de seguridad
  • Reglas de firewall de software adicionales (especialmente el tráfico saliente)
  • Siga a Citrixconsideraciones de seguridad y prácticas recomendadas

Citrix proporciona una imagen preparada que se pretende como punto de partida. Los clientes pueden usar esta imagen con fines de prueba de concepto o demostración o como base para crear su propia imagen maestra. Citrix no garantiza la seguridad de esta imagen preparada. Citrix intentará mantener actualizado el sistema operativo y el software VDA de la imagen preparada y habilitará Windows Defender en estas imágenes.

Responsabilidad del cliente al usar el emparejamiento de

El cliente debe abrir todos los puertos especificados en VNet administrada por el cliente con máquinas unidas a un dominio.

Cuando se configura el emparejamiento de red virtual, el cliente es responsable de la seguridad de su propia red virtual y de su conectividad a sus recursos locales. El cliente también es responsable de la seguridad del tráfico entrante de la red virtual interconectada administrada por Citrix. Citrix no realiza ninguna acción para bloquear el tráfico desde la red virtual administrada por Citrix a los recursos locales del cliente.

Los clientes tienen las siguientes opciones para restringir el tráfico entrante:

  • Proporcione a la red virtual administrada por Citrix un bloque IP que no esté en uso en ninguna otra parte de la red local del cliente o de la red virtual conectada administrada por el cliente. Esto es necesario para el emparejamiento de red virtual.
  • Agregue grupos de seguridad de red y firewalls de Azure en la red virtual del cliente y en la red local para bloquear o restringir el tráfico del bloque IP administrado por Citrix.
  • Implemente medidas como sistemas de prevención de intrusiones, firewalls de software y motores de análisis de comportamiento en la red virtual y en la red local del cliente, orientándose al bloque IP administrado por Citrix.

Responsabilidad del cliente al utilizar la conectividad SD-WAN

Cuando se configura la conectividad SD-WAN, los clientes tienen plena flexibilidad para configurar las instancias SD-WAN virtuales que se utilizan con Citrix Virtual Apps and Desktops Standard for Azure de acuerdo con sus requisitos de red, con la excepción de algunos elementos necesarios para garantizar el correcto funcionamiento de SD-WAN en la red virtual administrada. Las responsabilidades del cliente incluyen:

  • Diseño y configuración de reglas de enrutamiento y firewall, incluidas las reglas para la separación de tráfico de Internet y DNS.
  • Mantenimiento de la configuración de red SD-WAN.
  • Supervisión del estado operativo de la red.
  • Implementación oportuna de actualizaciones de software o correcciones de seguridad de Citrix SD-WAN. Dado que todas las instancias de Citrix SD-WAN en una red del cliente deben ejecutar la misma versión del software SD-WAN, los clientes deben administrar las implementaciones de versiones de software actualizadas en las instancias de Citrix Virtual Apps and Desktops Standard para Azure SD-WAN de acuerdo con sus programaciones y restricciones de mantenimiento de la red.

La configuración incorrecta de las reglas de firewall y enrutamiento SD-WAN o la administración incorrecta de las contraseñas de administración de SD-WAN pueden dar lugar a riesgos de seguridad tanto para los recursos virtuales de Citrix Virtual Apps and Desktops Standard para Azure como para los recursos locales a los que se puede acceder mediante rutas virtuales de Citrix SD-WAN. Otro posible riesgo de seguridad radica en no actualizar el software Citrix SD-WAN a la última versión de revisión disponible. Si bien SD-WAN Orchestrator y otros servicios de Citrix Cloud proporcionan los medios para abordar dichos riesgos, los clientes son en última instancia responsables de garantizar que las instancias de SD-WAN virtuales estén configuradas adecuadamente.

Proxy

El cliente puede elegir si quiere utilizar un proxy para el tráfico saliente del VDA. Si se utiliza un proxy, el cliente es responsable de:

  • Configurar la configuración del proxy en la imagen maestra del VDA o, si el VDA está unido a un dominio, mediante la directiva de grupo de Active Directory.
  • Mantenimiento y seguridad del proxy.

No se permite el uso de proxies con Citrix Cloud Connectors u otra infraestructura administrada por Citrix.

Citrix ofrece tres tipos de catálogos con diferentes niveles de resiliencia:

  • Estática: cada usuario se asigna a un único VDA. Este tipo de catálogo no proporciona alta disponibilidad. Si el VDA de un usuario cae, tendrá que colocarse en uno nuevo para recuperarse. Azure proporciona un acuerdo de nivel de servicio del 99,5% para máquinas virtuales de instancia única. El cliente puede realizar una copia de seguridad del perfil de usuario, pero se perderán las personalizaciones realizadas en el VDA (como instalar programas o configurar Windows).
  • Aleatorio: cada usuario se asigna aleatoriamente a un VDA de servidor en el momento del lanzamiento. Este tipo de catálogo proporciona alta disponibilidad mediante redundancia. Si un VDA desaparece, no se pierde información porque el perfil del usuario reside en otro lugar.
  • Multisesión de Windows 10: este tipo de catálogo funciona de la misma manera que el tipo aleatorio, pero utiliza VDA de estación de trabajo de Windows 10 en lugar de VDA de servidor.

Copias de seguridad para catálogos unidos a un dominio

Si el cliente utiliza catálogos unidos al dominio con un emparejamiento de red virtual, el cliente es responsable de realizar una copia de seguridad de sus perfiles de usuario. Citrix recomienda que los clientes configuren recursos compartidos de archivos locales y establezcan directivas en Active Directory o VDA para extraer perfiles de usuario de estos recursos compartidos de archivos. El cliente es responsable de la copia de seguridad y disponibilidad de estos recursos compartidos de archivos.

Recuperación ante desastres

En caso de pérdida de datos de Azure, Citrix recuperará tantos recursos en la suscripción a Azure administrada por Citrix como sea posible. Citrix intentará recuperar los Cloud Connectors y los VDA. Si Citrix no recupera correctamente estos elementos, los clientes son responsables de crear un nuevo catálogo. Citrix asume que se realiza una copia de seguridad de las imágenes maestras y que los clientes han hecho copias de seguridad de sus perfiles de usuario, lo que permite reconstruir el catálogo.

En caso de pérdida de toda una región de Azure, el cliente es responsable de reconstruir su red virtual administrada por el cliente en una nueva región y de crear una nueva conexión de red virtual o una nueva instancia de SD-WAN dentro de Citrix Virtual Apps and Desktops Standard para Azure.

Citrix y las responsabilidades compartidas por el cliente

Citrix Cloud Connector para catálogos unidos a dominios

Citrix Virtual Apps and Desktops Standard para Azure implementa al menos dos Cloud Connectors en cada ubicación de recursos. Algunos catálogos pueden compartir una ubicación de recursos si están en la misma región, el emparejamiento de red virtual y el dominio que otros catálogos del mismo cliente. Citrix configura los Cloud Connectors unidos al dominio del cliente para las siguientes opciones de seguridad predeterminadas en la imagen:

  • Actualizaciones del sistema operativo y parches de seguridad
  • Software antivirus
  • Actualizaciones del software Cloud Connector

Normalmente, los clientes no tienen acceso a Cloud Connectors. Sin embargo, pueden obtener acceso mediante los pasos de solución de problemas del catálogo e iniciar sesión con credenciales de dominio. El cliente es responsable de cualquier cambio que realice al iniciar sesión a través del bastión.

Los clientes también tienen control sobre los Cloud Connectors unidos a un dominio a través de la directiva de grupo de Active Directory. El cliente es responsable de garantizar que las directivas de grupo que se aplican a Cloud Connector sean seguras y razonables. Por ejemplo, si el cliente decide inhabilitar las actualizaciones del sistema operativo mediante Directiva de grupo, el cliente es responsable de realizar actualizaciones del sistema operativo en Cloud Connectors. El cliente también puede optar por usar la directiva de grupo para imponer una seguridad más estricta que los valores predeterminados de Cloud Connector, por ejemplo, instalando un software antivirus diferente. En general, Citrix recomienda que los clientes coloquen Cloud Connectors en su propia unidad organizativa de Active Directory sin directivas, ya que esto garantizará que los valores predeterminados que Citrix usa se puedan aplicar sin problemas.

Solución de problemas

En caso de que el cliente experimente problemas con el catálogo de Citrix Virtual Apps and Desktops Standard para Azure, existen dos opciones para solucionar problemas: Usar bastiones y habilitar el acceso RDP. Ambas opciones suponen un riesgo de seguridad para el cliente. El cliente debe comprender y dar su consentimiento para asumir este riesgo antes de utilizar estas opciones.

Citrix es responsable de abrir y cerrar los puertos necesarios para llevar a cabo operaciones de resolución de problemas y restringir a qué máquinas se puede acceder durante estas operaciones.

Con bastiones o acceso RDP, el usuario activo que realiza la operación es responsable de la seguridad de las máquinas a las que se accede. Si el cliente accede al VDA o Cloud Connector a través de RDP y contrae accidentalmente un virus, el cliente es responsable. Si el personal de soporte técnico de Citrix accede a estas máquinas, es responsabilidad de ese personal realizar las operaciones de forma segura. La responsabilidad por las vulnerabilidades expuestas por cualquier persona que acceda al bastión u otras máquinas en la implementación (por ejemplo, la responsabilidad del cliente de agregar intervalos de IP para permitir la lista, la responsabilidad de Citrix de implementar rangos IP correctamente) se cubre en otras partes de este documento.

En ambos casos, Citrix es responsable de crear correctamente excepciones de firewall para permitir el tráfico RDP. Citrix también es responsable de revocar estas excepciones después de que el cliente elimine el bastión o finalice el acceso RDP a través de Citrix Virtual Apps and Desktops Standard para Azure.

Bastiones

Citrix puede crear bastiones en la red virtual administrada por Citrix del cliente dentro de la suscripción administrada por Citrix del cliente para diagnosticar y reparar problemas, ya sea de forma proactiva (sin notificación del cliente) o en respuesta a un problema planteado por el cliente. El bastión es una máquina a la que el cliente puede acceder a través de RDP y luego usar para acceder a los VDA y (para catálogos unidos a un dominio) Cloud Connectors a través de RDP para recopilar registros, reiniciar servicios o realizar otras tareas administrativas. De forma predeterminada, la creación de un bastión abre una regla de firewall externa para permitir el tráfico RDP desde un rango de direcciones IP especificado por el cliente hasta el equipo de bastión. También abre una regla de firewall interna para permitir el acceso a Cloud Connectors y VDA a través de RDP. La apertura de estas reglas supone un gran riesgo para la seguridad.

El cliente es responsable de proporcionar una contraseña segura utilizada para la cuenta local de Windows. El cliente también es responsable de proporcionar un rango de direcciones IP externas que permita el acceso RDP al bastión. Si el cliente opta por no proporcionar un rango de IP (permitiendo a cualquiera intentar el acceso RDP), el cliente es responsable de cualquier acceso que intenten las direcciones IP malintencionadas.

El cliente también es responsable de eliminar el bastión después de completar la solución de problemas. El host del bastión expone una superficie de ataque adicional, por lo que Citrix apaga automáticamente la máquina ocho (8) horas después de encenderla. Sin embargo, Citrix nunca elimina automáticamente un bastión. Si el cliente elige usar el bastión durante un período prolongado de tiempo, es responsable de aplicarlo y actualizarlo. Citrix recomienda usar un bastión solo durante varios días antes de eliminarlo. Si el cliente quiere un bastión actualizado, puede eliminar el actual y luego crear un bastión nuevo, que aprovisionará una máquina nueva con los parches de seguridad más recientes.

Acceso RDP

En el caso de los catálogos unidos a un dominio, si el emparejamiento de red virtual del cliente es funcional, el cliente puede habilitar el acceso RDP desde su VNet emparejada a su VNet administrada por Citrix. Si el cliente utiliza esta opción, el cliente es responsable de acceder a los VDA y Cloud Connectors a través del emparejamiento de red virtual. Se pueden especificar rangos de direcciones IP de origen para restringir aún más el acceso RDP, incluso dentro de la red interna del cliente. El cliente tendrá que usar las credenciales de dominio para iniciar sesión en estas máquinas. Si el cliente está trabajando con Citrix Support para resolver un problema, es posible que el cliente deba compartir estas credenciales con el personal de soporte técnico. Una vez resuelto el problema, el cliente es responsable de inhabilitar el acceso RDP. Mantener abierto el acceso RDP desde la red interconectada o local del cliente supone un riesgo para la seguridad.

Las credenciales de dominio

Si el cliente elige utilizar un catálogo unido a un dominio, el cliente es responsable de proporcionar a Citrix Virtual Apps and Desktops Standard para Azure una cuenta de dominio (nombre de usuario y contraseña) con permisos para unir máquinas al dominio. Al proporcionar credenciales de dominio, el cliente es responsable de cumplir los siguientes principios de seguridad:

  • Auditable: la cuenta debe crearse específicamente para el uso de Citrix Virtual Apps and Desktops Standard para Azure, de modo que sea fácil auditar para qué se utiliza la cuenta.
  • Ámbito: la cuenta solo requiere permisos para unir equipos a un dominio. No debería ser un administrador de dominio completo.
  • Seguro: se debe colocar una contraseña segura en la cuenta.

Citrix es responsable del almacenamiento seguro de esta cuenta de dominio en Azure Key Vault en la suscripción a Azure administrada por Citrix del cliente. La cuenta solo se recupera si una operación requiere la contraseña de la cuenta de dominio.

Más información

Para obtener información relacionada, consulte:

Información técnica general sobre la seguridad