Información técnica general sobre la seguridad

En el siguiente diagrama se muestran los componentes de una implementación de Citrix Virtual Apps and Desktops Standard for Azure. En este ejemplo se utiliza una conexión de peering de VNet.

Componentes Citrix Virtual Apps and Desktops Standard para Azure y conexión de pares de Azure VNet

Con Citrix Virtual Apps and Desktops Standard for Azure, los agentes de entrega virtual (VDA) del cliente que ofrecen escritorios y aplicaciones, además de Citrix Cloud Connectors, se implementan en una suscripción de Azure y un inquilino que Citrix administra.

Cumplimiento de normas basado en la nube de Citrix

En enero de 2021, el uso de la capacidad de Azure administrado por Citrix con varias ediciones de Citrix Virtual Apps and Desktops Service y Workspace Premium Plus no se ha evaluado para Citrix SOC 2 (tipo 1 o 2), la norma ISO 27001, la normativa HIPAA ni otros requisitos de cumplimiento de normas de la nube. Visite el Centro de confianza de Citrix para obtener más información sobre las certificaciones de Citrix Cloud y consúltelo con frecuencia para mantenerse al día de las novedades.

Responsabilidad de Citrix

Citrix Cloud Connectors para catálogos no unidos a un dominio

Citrix Virtual Apps and Desktops Standard for Azure implementa al menos dos Cloud Connectors en cada ubicación de recursos. Algunos catálogos pueden compartir una ubicación de recursos si se encuentran en la misma región que otros catálogos del mismo cliente.

Citrix es responsable de las siguientes operaciones de seguridad en el catálogo no unido a un dominio Cloud Connectors:

  • Aplicación de actualizaciones del sistema operativo y parches de seguridad
  • Instalación y mantenimiento de software antivirus
  • Aplicación de actualizaciones de software de Cloud Connector

Los clientes no tienen acceso a Cloud Connectors. Por lo tanto, Citrix es totalmente responsable del rendimiento del catálogo no unido al dominio Cloud Connectors.

Suscripción a Azure y Azure Active Directory

Citrix es responsable de la seguridad de la suscripción de Azure y de Azure Active Directory (AAD) que se crean para el cliente. Citrix garantiza el aislamiento de arrendatarios, de modo que cada cliente tenga su propia suscripción de Azure y AAD, y se evita la interacción entre diferentes arrendatarios. Citrix también restringe el acceso al AAD al servicio Citrix Virtual Apps and Desktops Standard for Azure y al personal de operaciones de Citrix únicamente. Se audita el acceso de Citrix a la suscripción de Azure de cada cliente.

Los clientes que utilizan catálogos no unidos a un dominio pueden utilizar el AAD administrado por Citrix como medio de autenticación para Citrix Workspace. Para estos clientes, Citrix crea cuentas de usuario de privilegios limitados en el AAD administrado por Citrix. Sin embargo, ni los usuarios ni los administradores de los clientes pueden ejecutar ninguna acción en el AAD administrado por Citrix. Si estos clientes optan por utilizar su propio AAD, son totalmente responsables de su seguridad.

Redes virtuales e infraestructura

Dentro de la suscripción de Citrix Managed Azure del cliente, Citrix crea redes virtuales para aislar las ubicaciones de recursos. Dentro de esas redes, Citrix crea máquinas virtuales para los agentes VDA, Cloud Connectors y máquinas de creación de imágenes, además de cuentas de almacenamiento, Key Vaults y otros recursos de Azure. Citrix, en asociación con Microsoft, es responsable de la seguridad de las redes virtuales, incluidos los firewalls de red virtual.

Citrix garantiza que la directiva de cortafuegos de Azure predeterminada (grupos de seguridad de red) esté configurada para limitar el acceso a las interfaces de red en el peering VNet y las conexiones SD-WAN. En general, esto controla el tráfico entrante a los agentes VDA y Cloud Connectors. Para obtener más detalles, consulte:

Los clientes no pueden cambiar esta política de cortafuegos predeterminada, pero pueden implementar reglas de cortafuegos adicionales en máquinas VDA creadas por Citrix; por ejemplo, para restringir parcialmente el tráfico saliente. Los clientes que instalan clientes de red privada virtual u otro software capaz de omitir las reglas de firewall en máquinas VDA creadas por Citrix son responsables de los riesgos de seguridad que puedan surgir.

Cuando se utiliza el generador de imágenes en Citrix Virtual Apps and Desktops Standard for Azure para crear y personalizar una nueva imagen de máquina, los puertos 3389-3390 se abren temporalmente en la VNet administrada por Citrix, de modo que el cliente pueda RDP al equipo que contiene la nueva imagen de máquina, para personalizarla.

Responsabilidad de Citrix al utilizar conexiones de emparejamiento de Azure VNet

Para que los agentes VDA de Citrix Virtual Apps and Desktops Standard for Azure se pongan en contacto con controladores de dominio locales, recursos compartidos de archivos u otros recursos de intranet, Citrix Virtual Apps and Desktops Standard for Azure proporciona un flujo de trabajo de interconexión de VNet como opción de conectividad. La red virtual administrada por Citrix del cliente se conecta con una red virtual de Azure administrada por el cliente. La red virtual administrada por el cliente puede permitir la conectividad con los recursos locales del cliente mediante la solución de conectividad de nube a local que elija el cliente, como Azure ExpressRoute o túneles IPSec.

La responsabilidad de Citrix por el emparejamiento de redes virtuales se limita a admitir el flujo de trabajo y la configuración de recursos de Azure relacionada para establecer una relación de interconexión entre Citrix y las VNET administradas por el cliente.

Directiva de cortafuegos para conexiones de interconexión de Azure VNet

Citrix abre o cierra los siguientes puertos para el tráfico entrante y saliente que utiliza una conexión de emparejamiento de vNet.

VNet administrada por Citrix con máquinas que no están unidas al dominio
  • Reglas entrantes
    • Permita que los puertos 80, 443, 1494 y 2598 entrantes desde VDA a Cloud Connectors y de Cloud Connectors a VDA.
    • Permita los puertos 49152-65535 entrantes a los VDA desde un rango de IP utilizado por la función de sombreado Monitor. Consulte Communication Ports Used by Citrix Technologies.
    • Denegar todos los demás envíos entrantes. Esto incluye el tráfico intra-VNet de VDA a VDA y VDA a Cloud Connector.
  • Reglas salientes
    • Permitir todo el tráfico saliente.
VNet administrada por Citrix con máquinas unidas a dominio
  • Reglas de entrada:
    • Permita que los puertos 80, 443, 1494 y 2598 entrantes desde los VDA a Cloud Connectors y de Cloud Connectors a VDA.
    • Permita los puertos 49152-65535 entrantes a los VDA desde un rango de IP utilizado por la función de sombreado Monitor. Consulte Communication Ports Used by Citrix Technologies.
    • Denegar todos los demás envíos entrantes. Esto incluye el tráfico intra-VNet de VDA a VDA y VDA a Cloud Connector.
  • Reglas salientes
    • Permitir todo el tráfico saliente.
VNet administrada por el cliente con máquinas unidas a un dominio
  • Corre al cliente configurar correctamente su VNet. Esto incluye abrir los siguientes puertos para unirse a dominios.
  • Reglas de entrada:
    • Permitir la entrada en 443, 1494, 2598 desde sus IP de cliente para lanzamientos internos.
    • Permitir entrada en 53, 88, 123, 135-139, 389, 445, 636 desde Citrix VNet (rango IP especificado por el cliente).
    • Permitir entrada en los puertos abiertos con una configuración de proxy.
    • Otras reglas creadas por el cliente.
  • Reglas salientes:
    • Permitir salida en 443, 1494, 2598 a Citrix VNet (rango IP especificado por el cliente) para lanzamientos internos.
    • Otras reglas creadas por el cliente.

Responsabilidad de Citrix al usar conectividad SD-WAN

Citrix admite una forma totalmente automatizada de implementar instancias virtuales de Citrix SD-WAN para permitir la conectividad entre Citrix Virtual Apps y Desktops Standard for Azure y recursos locales. La conectividad Citrix SD-WAN tiene varias ventajas en comparación con el peering de VNet, que incluyen:

Alta fiabilidad y seguridad de las conexiones de VDA a centro de datos y VDA a sucursal (ICA).

  • La mejor experiencia de usuario final para los empleados de oficina, con capacidades avanzadas de QoS y optimizaciones VoIP.
  • Capacidad integrada para inspeccionar, priorizar e informar sobre el tráfico de red de Citrix HDX y otros usos de aplicaciones.

Citrix requiere que los clientes que deseen aprovechar la conectividad SD-WAN para Citrix Virtual Apps and Desktops Standard for Azure utilicen SD-WAN Orchestrator para administrar sus redes Citrix SD-WAN.

En el siguiente diagrama se muestran los componentes añadidos en una implementación de Citrix Virtual Apps and Desktops Standard for Azure mediante conectividad SD-WAN.

Citrix Virtual Apps and Desktops Standard para Azure con conectividad SD-WAN

La implementación de Citrix SD-WAN para Citrix Virtual Apps and Desktops Standard for Azure es similar a la configuración de implementación estándar de Azure para Citrix SD-WAN. Para obtener más información, consulte Implementación de la instancia de Citrix SD-WAN Standard Edition en Azure. En una configuración de alta disponibilidad, se implementa un par activo/en espera de instancias SD-WAN con balanceadores de carga de Azure como puerta de enlace entre la subred que contiene VDA y Cloud Connectors e Internet. En una configuración que no es de HA, solo se implementa una única instancia de SD-WAN como puerta de enlace. A las interfaces de red de los dispositivos SD-WAN virtuales se les asignan direcciones de un pequeño rango de direcciones separado dividido en dos subredes.

Al configurar la conectividad SD-WAN, Citrix realiza algunos cambios en la configuración de red de los escritorios administrados descritos anteriormente. En particular, todo el tráfico saliente de la VNet, incluido el tráfico a destinos de Internet, se enruta a través de la instancia de SD-WAN en la nube. La instancia de SD-WAN también está configurada para ser el servidor DNS de la VNet administrada por Citrix.

El acceso de administración a las instancias virtuales de SD-WAN requiere un inicio de sesión de administrador y una contraseña. A cada instancia de SD-WAN se le asigna una contraseña segura única y aleatoria que los administradores de SD-WAN pueden utilizar para iniciar sesión y solucionar problemas remotos a través de la interfaz de usuario de SD-WAN Orchestrator, la IU de administración de dispositivos virtuales y la CLI.

Al igual que otros recursos específicos del inquilino, las instancias SD-WAN virtuales implementadas en una VNet de cliente específica están totalmente aisladas de todas las demás redes virtuales.

Cuando el cliente habilita la conectividad Citrix SD-WAN, Citrix automatiza la implementación inicial de instancias SD-WAN virtuales utilizadas con Citrix Virtual Apps and Desktops Standard for Azure, mantiene los recursos subyacentes de Azure (máquinas virtuales, balanceadores de carga, etc.), proporciona seguridad y eficiencia de fábrica por defecto para la configuración inicial de instancias SD-WAN virtuales y permite el mantenimiento y la solución de problemas continuos a través de SD-WAN Orchestrator. Citrix también toma medidas razonables para realizar la validación automática de la configuración de red SD-WAN, comprobar los riesgos de seguridad conocidos y mostrar las alertas correspondientes a través de SD-WAN Orchestrator.

Directiva de firewall para conexiones SD-WAN

Citrix utiliza las políticas de firewall de Azure (grupos de seguridad de red) y la asignación de direcciones IP públicas para limitar el acceso a las interfaces de red de los dispositivos SD-WAN virtuales:

  • Solo a las interfaces WAN y de administración se les asignan direcciones IP públicas y permiten la conectividad saliente a Internet.
  • Las interfaces LAN, que actúan como puertas de enlace para la VNet administrada por Citrix, solo pueden intercambiar tráfico de red con máquinas virtuales en la misma VNet.
  • Las interfaces WAN limitan el tráfico entrante al puerto UDP 4980 (utilizado por Citrix SD-WAN para la conectividad de rutas virtuales) y deniegan el tráfico saliente a la VNet.
  • Los puertos de administración permiten el tráfico entrante a los puertos 443 (HTTPS) y 22 (SSH).
  • Las interfaces de alta disponibilidad solo pueden intercambiar el tráfico de control entre sí.

Acceso a la infraestructura

Citrix puede acceder a la infraestructura administrada por Citrix del cliente (Cloud Connectors) para realizar determinadas tareas administrativas, como recopilar registros (incluido el Visor de eventos de Windows) y reiniciar los servicios sin notificarlo al cliente. Citrix es responsable de ejecutar estas tareas de forma segura y segura, y con un impacto mínimo para el cliente. Citrix también es responsable de garantizar que los archivos de registro se recuperen, transporten y manejen de forma segura y segura. No se puede acceder a los agentes VDA de clientes de esta forma.

Copias de seguridad para catálogos no unidos a un dominio

Citrix no se hace responsable de realizar copias de seguridad de catálogos que no están unidos a un dominio.

Copias de seguridad para imágenes de máquina

Citrix es responsable de hacer copias de seguridad de cualquier imagen de máquina cargada en Citrix Virtual Apps and Desktops Standard for Azure, incluidas las imágenes creadas con el generador de imágenes. Citrix utiliza almacenamiento redundante localmente para estas imágenes.

Bastiones para catálogos no unidos a un dominio

El personal de operaciones de Citrix tiene la capacidad de crear un bastión, si es necesario, para acceder a la suscripción de Azure administrada por Citrix del cliente para diagnosticar y reparar los problemas del cliente, potencialmente antes de que el cliente tenga conocimiento de un problema. Citrix no requiere el consentimiento del cliente para crear un bastión. Cuando Citrix crea el bastión, Citrix crea una contraseña generada aleatoriamente segura para el bastión y restringe el acceso RDP a las direcciones IP de Citrix NAT. Cuando el bastión ya no es necesario, Citrix lo deshace y la contraseña ya no es válida. El bastión (y las reglas de acceso RDP que lo acompañan) se eliminan cuando finaliza la operación. Citrix solo puede acceder a Cloud Connectors no unidos al dominio del cliente con el bastión. Citrix no tiene la contraseña para iniciar sesión en agentes VDA no unidos a un dominio o Cloud Connectors y VDA unidos a un dominio.

Política de cortafuegos al utilizar herramientas de solución de problemas

Cuando un cliente solicita la creación de una máquina de bastión para solucionar problemas, se realizan las siguientes modificaciones del grupo de seguridad en la VNet administrada por Citrix:

  • Permita temporalmente 3389 entrantes desde el rango IP especificado por el cliente hasta el bastión.
  • Permita temporalmente 3389 entrantes desde la dirección IP del bastión a cualquier dirección de la VNet (VDA y Cloud Connectors).
  • Continúe bloqueando el acceso RDP entre Cloud Connectors, VDA y otros VDA.

Cuando un cliente habilita el acceso RDP para solucionar problemas, se realizan las siguientes modificaciones del grupo de seguridad en la VNet administrada por Citrix:

  • Permita temporalmente 3389 entrantes desde el rango IP especificado por el cliente a cualquier dirección de la VNet (VDA y Cloud Connectors).
  • Continúe bloqueando el acceso RDP entre Cloud Connectors, VDA y otros VDA.

Suscripciones administradas por el cliente

Para las suscripciones administradas por el cliente, Citrix cumple con las responsabilidades anteriores durante la implementación de los recursos de Azure. Después de la implementación, todo lo anterior recae en responsabilidad del cliente, porque el cliente es el propietario de la suscripción a Azure.

Suscripciones administradas por el cliente

Responsabilidad cliente

VDA e imágenes de máquina

El cliente es responsable de todos los aspectos del software instalado en las máquinas VDA, incluidos:

  • Actualizaciones del sistema operativo y parches de seguridad
  • Antivirus y antimalware
  • Actualizaciones de software VDA y parches de seguridad
  • Reglas de firewall de software adicionales (especialmente el tráfico saliente)
  • Siga a Citrix consideraciones de seguridad y prácticas recomendadas

Citrix proporciona una imagen preparada que se pretende como punto de partida. Los clientes pueden utilizar esta imagen con fines de prueba de concepto o demostración o como base para construir su propia imagen de máquina. Citrix no garantiza la seguridad de esta imagen preparada. Citrix intentará mantener actualizados el sistema operativo y el software VDA de la imagen preparada y habilitará Windows Defender en estas imágenes.

Responsabilidad del cliente al utilizar el emparejamiento de redes

El cliente debe abrir todos los puertos especificados en VNet administrada por el cliente con máquinas unidas a un dominio.

Cuando se configura el emparejamiento de redes virtuales, el cliente es responsable de la seguridad de su propia red virtual y de su conectividad con sus recursos locales. El cliente también es responsable de la seguridad del tráfico entrante de la red virtual interconectada administrada por Citrix. Citrix no realiza ninguna acción para bloquear el tráfico de la red virtual administrada por Citrix a los recursos locales del cliente.

Los clientes tienen las siguientes opciones para restringir el tráfico entrante:

  • Proporcione a la red virtual administrada por Citrix un bloque IP que no se utiliza en ningún otro lugar de la red local del cliente o de la red virtual conectada administrada por el cliente. Esto es necesario para el peering de VNet.
  • Agregue grupos de seguridad de red y firewalls de Azure en la red virtual y la red local del cliente para bloquear o restringir el tráfico del bloque IP administrado por Citrix.
  • Implemente medidas tales como sistemas de prevención de intrusiones, cortafuegos de software y motores de análisis de comportamiento en la red virtual del cliente y la red local, dirigiéndose al bloque IP administrado por Citrix.

Responsabilidad del cliente al utilizar la conectividad SD-WAN

Cuando se configura la conectividad SD-WAN, los clientes tienen total flexibilidad para configurar instancias SD-WAN virtuales utilizadas con Citrix Virtual Apps and Desktops Standard for Azure de acuerdo con sus requisitos de red, con la excepción de algunos elementos necesarios para garantizar el correcto funcionamiento de SD-WAN en Citrix- VNet administrada. Las responsabilidades del cliente incluyen:

  • Diseño y configuración de reglas de enrutamiento y cortafuegos, incluidas las reglas para el DNS y la ruptura del tráfico de Internet.
  • Mantenimiento de la configuración de red SD-WAN.
  • Supervisión del estado operativo de la red.
  • Implementación oportuna de actualizaciones de software o correcciones de seguridad de Citrix SD-WAN. Dado que todas las instancias de Citrix SD-WAN en una red de clientes deben ejecutar la misma versión del software SD-WAN, los clientes deben administrar las implementaciones de versiones de software actualizadas en Citrix Virtual Apps and Desktops Standard for Azure SD-WAN de acuerdo con sus programas y restricciones de mantenimiento de la red. .

La configuración incorrecta de las reglas de enrutamiento y cortafuegos de SD-WAN, o una mala administración de contraseñas de administración de SD-WAN, pueden generar riesgos de seguridad tanto para los recursos virtuales de Citrix Virtual Apps como Desktops Standard for Azure, así como para los recursos locales a los que se puede acceder a través de las rutas virtuales Citrix SD-WAN. Otro posible riesgo de seguridad radica en no actualizar el software Citrix SD-WAN a la última versión de revisión disponible. Si bien SD-WAN Orchestrator y otros servicios de Citrix Cloud proporcionan los medios para hacer frente a tales riesgos, los clientes son responsables en última instancia de garantizar que las instancias SD-WAN virtuales estén configuradas correctamente.

Proxy

El cliente puede elegir si desea utilizar un proxy para el tráfico saliente del VDA. Si se utiliza un proxy, el cliente es responsable de:

  • Configuración de la configuración del proxy en la imagen del equipo VDA o, si el VDA está unido a un dominio, mediante la directiva de grupo de Active Directory.
  • Mantenimiento y seguridad del proxy.

No se permite el uso de proxies con Citrix Cloud Connectors u otra infraestructura administrada por Citrix.

Resiliencia de catálogos

Citrix proporciona tres tipos de catálogos con diferentes niveles de resiliencia:

  • Estática: Cada usuario se asigna a un solo VDA. Este tipo de catálogo no proporciona alta disponibilidad. Si el VDA de un usuario se cae, tendrá que colocarse en uno nuevo para recuperarse. Azure proporciona un SLA del 99,5% para máquinas virtuales de instancia única. El cliente puede seguir realizando una copia de seguridad del perfil de usuario, pero se perderán las personalizaciones realizadas en el VDA (como instalar programas o configurar Windows).
  • Aleatorio: Cada usuario se asigna aleatoriamente a un VDA de servidor en el momento del lanzamiento. Este tipo de catálogo proporciona alta disponibilidad mediante redundancia. Si un VDA se cae, no se pierde información porque el perfil del usuario reside en otro lugar.
  • Multisesión de Windows 10: Este tipo de catálogo funciona de la misma manera que el tipo aleatorio pero utiliza agentes VDA de estación de trabajo Windows 10 en lugar de agentes VDA de servidor.

Copias de seguridad para catálogos unidos a dominios

Si el cliente utiliza catálogos unidos a un dominio con un par de redes virtuales, el cliente es responsable de hacer una copia de seguridad de sus perfiles de usuario. Citrix recomienda que los clientes configuren recursos compartidos de archivos locales y establezcan políticas en Active Directory o VDA para extraer perfiles de usuario de estos recursos compartidos de archivos. El cliente es responsable del backup y la disponibilidad de estos recursos compartidos de archivos.

Recuperación ante desastres

En caso de pérdida de datos de Azure, Citrix recuperará tantos recursos de la suscripción a Azure administrada por Citrix como sea posible. Citrix intentará recuperar los Cloud Connectors y los agentes VDA. Si Citrix no recupera correctamente estos artículos, los clientes son responsables de crear un nuevo catálogo. Citrix asume que se hace copia de seguridad de las imágenes de máquina y que los clientes han realizado copias de seguridad de sus perfiles de usuario, lo que permite reconstruir el catálogo.

En caso de pérdida de toda una región de Azure, el cliente es responsable de reconstruir su red virtual administrada por el cliente en una nueva región y crear un nuevo emparejamiento de VNet o una nueva instancia de SD-WAN dentro de Citrix Virtual Apps and Desktops Standard for Azure.

Citrix y las responsabilidades compartidas por el cliente

Citrix Cloud Connector para catálogos unidos a dominios

Citrix Virtual Apps and Desktops Standard for Azure implementa al menos dos Cloud Connectors en cada ubicación de recursos. Algunos catálogos pueden compartir una ubicación de recursos si se encuentran en la misma región, interconexión de redes virtuales y dominio que otros catálogos del mismo cliente. Citrix configura Cloud Connectors unidos al dominio del cliente para la siguiente configuración de seguridad predeterminada de la imagen:

  • Actualizaciones del sistema operativo y parches de seguridad
  • Software antivirus
  • Actualizaciones de software Cloud Connector

Normalmente, los clientes no tienen acceso a Cloud Connectors. Sin embargo, pueden obtener acceso mediante pasos de solución de problemas de catálogos e iniciando sesión con credenciales de dominio. El cliente es responsable de los cambios que realice al iniciar sesión en el bastión.

Los clientes también tienen control sobre Cloud Connectors unidos al dominio mediante la directiva de grupo de Active Directory. El cliente es responsable de garantizar que las políticas de grupo que se aplican a Cloud Connector sean seguras y sensatas. Por ejemplo, si el cliente decide deshabilitar las actualizaciones del sistema operativo mediante la directiva de grupo, el cliente es responsable de realizar las actualizaciones del sistema operativo en Cloud Connectors. El cliente también puede optar por utilizar la directiva de grupo para garantizar una seguridad más estricta que la predeterminada de Cloud Connector, por ejemplo, instalando otro software antivirus. En general, Citrix recomienda que los clientes coloquen Cloud Connectors en su propia unidad organizativa de Active Directory sin políticas, ya que esto garantizará que los usos predeterminados de Citrix se puedan aplicar sin problemas.

Solucionar problemas

En caso de que el cliente experimente problemas con el catálogo de Citrix Virtual Apps and Desktops Standard for Azure, existen dos opciones para solucionar problemas: utilizar bastiones y habilitar el acceso RDP. Ambas opciones suponen un riesgo de seguridad para el cliente. El cliente debe comprender y dar su consentimiento para asumir este riesgo antes de utilizar estas opciones.

Citrix es responsable de abrir y cerrar los puertos necesarios para llevar a cabo operaciones de solución de problemas y de restringir a qué máquinas se puede acceder durante estas operaciones.

Con bastiones o acceso RDP, el usuario activo que realiza la operación es responsable de la seguridad de las máquinas a las que se accede. Si el cliente accede al VDA o Cloud Connector a través de RDP y contrata accidentalmente un virus, el cliente es responsable. Si el personal de soporte de Citrix accede a estas máquinas, es responsabilidad de ese personal realizar operaciones de forma segura. La responsabilidad por cualquier vulnerabilidad expuesta por cualquier persona que acceda al bastión u otras máquinas de la implementación (por ejemplo, la responsabilidad del cliente de agregar rangos de IP para permitir la lista, la responsabilidad de Citrix de implementar correctamente los rangos de IP) se cubre en otros lugares de este documento.

En ambos casos, Citrix es responsable de crear correctamente excepciones de firewall para permitir el tráfico RDP. Citrix también es responsable de revocar estas excepciones después de que el cliente elimine el bastión o finalice el acceso RDP a través de Citrix Virtual Apps and Desktops Standard for Azure.

Bastiones

Citrix puede crear bastiones en la red virtual administrada por Citrix del cliente dentro de la suscripción administrada por Citrix del cliente para diagnosticar y reparar problemas, ya sea de forma proactiva (sin notificación al cliente) o en respuesta a un problema planteado por el cliente. El bastión es una máquina a la que el cliente puede acceder a través de RDP y luego utilizar para acceder a los agentes VDA y (para catálogos unidos a un dominio) a Cloud Connectors a través de RDP para recopilar registros, reiniciar servicios o realizar otras tareas administrativas. De forma predeterminada, la creación de un bastión abre una regla de cortafuegos externa para permitir el tráfico RDP desde un rango de direcciones IP especificado por el cliente al equipo de bastión. También abre una regla de cortafuegos interna para permitir el acceso a Cloud Connectors y VDA a través de RDP. La apertura de estas reglas plantea un gran riesgo para la seguridad.

El cliente es responsable de proporcionar una contraseña segura utilizada para la cuenta local de Windows. El cliente también es responsable de proporcionar un rango de direcciones IP externas que permita el acceso RDP al bastión. Si el cliente decide no proporcionar un rango de IP (lo que permite a alguien intentar acceder a RDP), el cliente es responsable de cualquier acceso intentado por direcciones IP malintencionadas.

El cliente también es responsable de eliminar el bastión una vez finalizada la solución de problemas. El host de bastión expone una superficie de ataque adicional, por lo que Citrix apaga automáticamente la máquina ocho (8) horas después de encenderla. Sin embargo, Citrix nunca elimina automáticamente un bastión. Si el cliente decide utilizar el bastión durante un período prolongado de tiempo, es responsable de aplicar parches y actualizarlo. Citrix recomienda que se utilice un bastión solo durante varios días antes de eliminarlo. Si el cliente quiere un bastión actualizado, puede eliminar su actual y luego crear un nuevo bastión, que aprovisionará una nueva máquina con los últimos parches de seguridad.

Acceso RDP

En el caso de los catálogos unidos a un dominio, si el par de redes virtuales del cliente funciona, el cliente puede habilitar el acceso RDP desde su VNet entre pares a su VNet administrada por Citrix. Si el cliente utiliza esta opción, el cliente es responsable de acceder a los agentes VDA y Cloud Connectors a través del peering de VNet. Se pueden especificar rangos de direcciones IP de origen para que el acceso RDP se pueda restringir aún más, incluso dentro de la red interna del cliente. El cliente deberá utilizar credenciales de dominio para iniciar sesión en estos equipos. Si el cliente está trabajando con el soporte técnico de Citrix para resolver un problema, es posible que el cliente tenga que compartir estas credenciales con el personal de soporte. Una vez resuelto el problema, el cliente es responsable de deshabilitar el acceso RDP. Mantener abierto el acceso RDP desde la red interconectada o local del cliente supone un riesgo para la seguridad.

Las credenciales de dominio

Si el cliente decide utilizar un catálogo unido al dominio, el cliente es responsable de proporcionar a Citrix Virtual Apps and Desktops Standard for Azure una cuenta de dominio (nombre de usuario y contraseña) permisos para unir máquinas al dominio. Al proporcionar credenciales de dominio, el cliente es responsable de cumplir los siguientes principios de seguridad:

  • Auditable: La cuenta debe crearse específicamente para el uso de Citrix Virtual Apps and Desktops Standard for Azure, de modo que sea fácil auditar para qué se utiliza la cuenta.
  • Ámbito: la cuenta solo requiere permisos para unir equipos a un dominio. No debería ser un administrador de dominio completo.
  • Seguro: Debe colocarse una contraseña segura en la cuenta.

Citrix es responsable del almacenamiento seguro de esta cuenta de dominio en un Azure Key Vault en la suscripción a Azure administrada por Citrix del cliente. La cuenta se recupera solo si una operación requiere la contraseña de la cuenta de dominio.

Más información

Para obtener información relacionada, consulte:

Información técnica general sobre la seguridad