Citrix Tech Zone

Proteger Citrix DaaS para Azure

February 9, 2023

Contribución de:

En este artículo, analizamos cómo proteger su implementación de Citrix en Azure. En las secciones se explica cómo implementar las mejores prácticas y las configuraciones detalladas recomendadas por Microsoft y Citrix. También proporcionamos orientación sobre qué servicios de seguridad de Microsoft Azure y Citrix son adecuados para proteger su implementación de Citrix.

La primera sección presenta la seguridad de Azure, donde analizamos los temas clave de la administración, Azure Active Directory, las redes, la protección de datos y la directiva de Azure. La siguiente sección se centra en el acceso a los recursos de Citrix Cloud y proporciona los permisos de rol mínimos necesarios para la administración de Hosting Connection y Machine Catalog. La sección final ofrece orientación sobre los servicios de Azure y Citrix que ofrecen la mejor protección para su implementación de Citrix.

Este documento presupone una comprensión a nivel administrativo de Microsoft Azure y Citrix. Para ayudar a los lectores que tal vez no estén familiarizados con todos los conceptos que discutimos, incluimos explicaciones útiles.

Seguridad de Microsoft Azure

Dado que Microsoft Azure incluye muchos servicios, la seguridad en Azure requiere un enfoque más amplio. Empezamos por proteger cada uno de los servicios en el punto de acceso. En esta sección se proporciona orientación sobre cómo proteger los servicios según las recomendaciones de Microsoft y Citrix.

La sección Administración de Azure explica cómo proteger el entorno mediante la administración de identidades y accesos (IAM) y el control de acceso basado en roles (RBAC) dentro de una cuenta de Azure. La sección Azure Active Directory (AAD) describe la autenticación y el uso del acceso condicional para proteger los recursos de Citrix. La sección Redes enumera los puertos y protocolos que utiliza Citrix Cloud y explica cómo los puntos de conexión privados impiden que el tráfico de la red atraviese la Internet pública. La sección Seguridad del almacenamiento abarca el cifrado de datos y las copias de seguridad, mientras que la sección Directiva de Azure recomienda directivas para proteger la cuenta. Por último, la última sección explica los inestimables beneficios de usar Azure Tag and Security Center en su implementación de Citrix.

Recomendaciones de administración de Azure

Azure Identity and Access Management (IAM) es un servicio de identidad administrado por Microsoft que proporciona servicios de autenticación, autorización y auditoría para los recursos de Azure. Azure IAM controla el acceso y los permisos a los recursos de Azure y debe estar lo más reforzado posible. Azure IAM es la primera línea de defensa porque el acceso a todos los recursos de Azure se concede a través de IAM. Empezamos por analizar el concepto de control de acceso basado en roles y, a continuación, cómo se aplican esos roles a los recursos de Azure dentro de una cuenta.

Conceptos de control de acceso basados en roles

El control de acceso basado en roles (RBAC) de Azure es un sistema de autorización que proporciona una administración de acceso detallada a los recursos de Azure. La mejor práctica consiste en conceder acceso a un recurso mediante un rol de RBAC de Azure asignado a un grupo. A continuación, los usuarios se colocan en el grupo para acceder a ellos. Azure RBAC incluye más de 70 funciones integradas con soporte para funciones personalizadas. Un rol es un conjunto de permisos, como Leer, Escribir y Eliminar, que se aplican a un recurso y se asignan a un director de seguridad. Un principal de seguridad puede ser un usuario, un grupo, una identidad administrada o un principal de servicio (aplicación de Azure).

Los cuatro roles fundamentales de Azure son: propietario, colaborador, lector y administrador de acceso de usuarios.

| **Dueño**: | Al administrador del servicio y a los coadministradores se les asigna la función de propietario en el ámbito de la suscripción. Los propietarios tienen acceso total a todos los recursos y pueden delegar el acceso a otros. A todos los tipos de recursos se les asigna al menos un propietario. | | Colaborador: | Las entidades con la función de colaborador asignada pueden crear y administrar todo tipo de recursos de Azure. Los colaboradores pueden crear un nuevo arrendatario en Azure Active Directory si están asignados a la cuenta. Los colaboradores no pueden conceder acceso a otras personas. Todos los tipos de recursos admiten un rol de colaborador. | | Lector: | La función de lector otorga a la entidad permisos de visualización (solo lectura) del recurso. Todos los tipos de recursos admiten la función de lector. | | Administrador de acceso de usuarios: | La función de administrador de acceso de usuarios otorga a la entidad la capacidad de administrar el acceso de los usuarios a los recursos de Azure. |

Los roles pueden estar limitados por un ámbito. Un ámbito es un conjunto definido de recursos en los que puede actuar el director de seguridad. Los ámbitos se pueden limitar a cuatro niveles: El recurso individual, un grupo de recursos, una suscripción o un grupo de administración.

El acceso al recurso se concede mediante la creación de una asignación de funciones, que consiste en adjuntar una definición de función a un director de seguridad. La revocación del acceso se completa mediante la eliminación de la asignación de funciones. Cuando se utilizan grupos anidados en la asignación de funciones, los miembros de los grupos anidados también reciben la asignación de funciones. Si los miembros están vinculados a varios grupos, los permisos son acumulativos y se deniegan las asignaciones inmediatamente al momento de la evaluación. Los permisos acumulativos se aplican a las acciones y no a las acciones y se aplican a todos los grupos.

Suscripciones

Las suscripciones de Azure se utilizan para organizar el acceso a los recursos de Azure. Cada suscripción está asociada a una sola cuenta de Azure y esa cuenta paga los cargos asociados a una suscripción. Cada suscripción está asociada a un directorio de Azure AD. Una suscripción a Azure es un límite para la administración, la seguridad, la escala y las directivas.

SUGERENCIA

Tanto Citrix como Microsoft recomiendan colocar los recursos de Citrix en su propio conjunto de suscripciones siempre que sea posible.

En última instancia, las suscripciones permiten controlar cómo se organizan, se accede y se facturan los recursos de Azure. Las suscripciones tienen dos funciones que permiten el acceso a todos los recursos de la suscripción: administrador del servicio y coadministrador.

Administrador de servicios: La función de administrador de servicios se asigna de forma predeterminada a la cuenta de correo electrónico que se utiliza para crear la suscripción de Azure. El administrador del servicio tiene el mismo acceso que el rol de propietario en el ámbito de la suscripción. Solo el administrador de la cuenta puede cambiar el administrador del servicio a una cuenta de correo electrónico diferente. El administrador de servicios tiene acceso completo al portal de Azure y solo puede existir una cuenta de administrador de servicios por suscripción. El administrador del servicio tiene los siguientes permisos:

Gestione los servicios en el portal de Azure
Cancelar la suscripción
Asignar usuarios a la función de coadministrador

Coadministrador: Este rol tiene el mismo acceso que el rol de propietario en el ámbito de la suscripción. Cada suscripción puede tener hasta 200 coadministradores y a esos administradores se les conceden los siguientes permisos y restricciones:

Los mismos privilegios de acceso que el administrador del servicio
Puede asignar usuarios a la función de coadministrador
No se puede cambiar la asociación de suscripciones a los directorios de Azure
No se puede cambiar el administrador del servicio

Grupos de recursos

Los grupos de recursos son contenedores lógicos que se utilizan para agrupar los recursos relacionados en una suscripción. Cada recurso solo puede existir en un grupo de recursos. Los grupos de recursos permiten una agrupación más granular dentro de una suscripción. Los grupos de recursos se utilizan normalmente para representar una colección de activos necesarios para respaldar una carga de trabajo, una aplicación o una función específica dentro de una suscripción. Por lo general, los recursos de un grupo de recursos comparten el mismo ciclo de vida. Los grupos de recursos también proporcionan una forma de aplicar permisos detallados a un conjunto de recursos dentro de Azure.

NOTA

Los catálogos de máquinas de Citrix se vinculan a sus grupos de recursos al crear el catálogo de máquinas. Cualquier cambio en los grupos de recursos requiere eliminar y volver a crear los catálogos de máquinas.

Grupos de gestión

Los grupos de administración son contenedores lógicos que se utilizan para una o más suscripciones y se configuran a nivel de cuenta de Azure. Puede definir una jerarquía de grupos de administración, suscripciones, grupos de recursos y recursos para administrar el acceso de manera eficiente. Los grupos de administración se utilizan principalmente para el cumplimiento a través de las directivas de Azure y dependen en gran medida de la herencia para agilizar la administración.

SUGERENCIA

Microsoft y Citrix recomiendan colocar todas las suscripciones que contienen recursos de Citrix en un grupo de administración a nivel de cuenta de Azure.

Recomendaciones de Azure Active Directory

Azure Active Directory (Azure AD) es el proveedor de identidades para Microsoft 365, el Azure Portal y muchas otras aplicaciones. Azure AD no es una implementación de Active Directory (AD) basada en la nube, pero puede sincronizarse con su dominio local a través de Azure AD Connect. En esta sección se proporcionan las recomendaciones de seguridad para Citrix con Azure AD. Las recomendaciones incluyen la autenticación, el registro, el acceso condicional y las configuraciones de Azure AD Connect.

Autenticación multic

Azure AD admite varios métodos de autenticación multifactorial (MFA). Los métodos admitidos incluyen la clave de seguridad FIDO2, el Microsoft Authenticator, el mensaje de texto y las autenticaciones basadas en certificados. Tanto la autenticación basada en mensajes de texto como la autenticación basada en certificados se encuentran actualmente en Vista previa. Para obtener la mejor seguridad, habilite Microsoft Authenticator para uso en MFA, ya que está disponible para la versión general. Habilite también la opción de mensaje de texto una vez que esté disponible para la versión general para proporcionar métodos de autenticación secundarios para los usuarios de Azure AD. Habilite la MFA para todas las cuentas de usuario administrativas. Si se implementa Azure AD Premium, lo mejor es habilitar la MFA para todos los usuarios.

Registros de inicio de sesión

Supervise los registros de inicio de sesión de usuarios de Azure AD para detectar cualquier inicio de sesión fallido y todos los inicios de sesión provenientes de ubicaciones inesperadas La supervisión puede ir desde una simple revisión semanal por parte de los administradores hasta una solución automatizada que utilice Azure Monitor. Azure Monitor and Alerting puede enviar correos electrónicos a los administradores cuando se producen condiciones sospechosas. Asegúrese de supervisar tanto los inicios de sesión interactivos como los no interactivos.

Acceso condicional a Azure AD

Azure AD admite el uso del acceso condicional para impedir que los usuarios se autentiquen en función de la ubicación o la pertenencia a un grupo. El acceso condicional se puede utilizar para evitar que cualquier ubicación o dirección IP acceda a los recursos de Citrix. Utilice el acceso condicional para bloquear el tráfico que no proviene de las ubicaciones en las que espera que estén los usuarios. Por ejemplo, si no espera tráfico de fuera de su país, utilice el acceso condicional para permitir solo las conexiones que se originen dentro de su país.

El acceso “justo a tiempo” (JIT) impide todo el tráfico de red entrante a una máquina virtual (VM), excepto cuando alguien necesita conectarse a la máquina virtual. Con JIT, la ventana de conexión solo se abre durante unos minutos cuando el usuario lo solicita. Este comportamiento es similar al modo en que Citrix permite las conexiones entrantes a un host de forma temporal. Cuando un usuario se conecta a Citrix, el Virtual Delivery Agent (VDA) solo permite las conexiones entrantes durante unos minutos mientras el usuario se conecta. Tanto Microsoft como Citrix recomiendan habilitar el acceso JIT a las máquinas virtuales de la infraestructura de Azure para reducir la probabilidad de que usuarios no autorizados puedan conectarse a los recursos.

Azure AD Connect

Como se mencionó anteriormente, Azure AD puede sincronizarse con su dominio local de Active Directory a través de Azure AD Connect. La sincronización del dominio local con Azure AD proporciona una experiencia de usuario final más fluida para la implementación de Citrix. Los usuarios pueden mantener un inicio de sesión único tanto para los recursos alojados en la nube como para los locales.

Azure AD Connect puede sincronizar los objetos de usuario y sus atributos asociados desde un Active Directory local con Azure Active Directory. Al usar Azure AD Connect, siga estas instrucciones para obtener la mejor seguridad.

Activa la sincronización de hash de contraseñas. El hash es necesario para evitar que la contraseña real del usuario se almacene en Azure AD.
Nunca sincronice las cuentas con altos privilegios, como las de administración empresarial o de dominio, con Azure AD. De forma predeterminada, este filtro está activado para AD Connect y su objetivo es evitar que una cuenta de Azure comprometa también los centros de datos locales.
Utilice las cuentas de Azure AD para la autenticación siempre que sea posible. Este enfoque reduce la sobrecarga de administración.

Recomendaciones de seguridad de redes

El control de acceso a la red (NAC) proporciona una forma de limitar la conectividad entre dispositivos o subredes específicos dentro de una red virtual. El objetivo de NAC es restringir el acceso a una máquina virtual o servicio únicamente a los usuarios o dispositivos aprobados. El control de acceso se basa en las decisiones de permitir o denegar conexiones en varias capas diferentes dentro de Azure. En esta sección se describen todas las recomendaciones de contención y seguridad para proteger su implementación de Citrix en la nube de Azure.

Firewalls y grupos de seguridad

Una de las mejores protecciones para su entorno de Citrix Cloud es controlar estrictamente todos los accesos entrantes y salientes a los recursos de Citrix. Configure el control de acceso mediante los grupos de seguridad de red (NSG) y los firewalls de Azure. Los NSG de Azure permiten permitir o denegar el tráfico entrante y saliente mediante la definición de las cinco tuplas: IP de origen, IP de destino, puerto de origen, puerto de destino y protocolo. Los firewalls se pueden habilitar para casi todos los servicios basados en la red.

Los NSG tienen estado, por lo que se permite el tráfico de retorno y se puede aplicar a una máquina virtual, una subred o ambas. Cuando existen tanto los NSG de subred como los de máquinas virtuales, los de subred se aplican primero para el tráfico entrante y los NSG de máquinas virtuales se aplican primero para el tráfico saliente. De forma predeterminada, se permite todo el tráfico dentro de una VNet entre los hosts junto con todo el tráfico entrante de un balanceador de carga. De forma predeterminada, solo se permite el tráfico de Internet saliente y se deniega el resto del tráfico saliente.

Utilice los NSG para limitar el tráfico en el entorno de Citrix Cloud solo al tráfico esperado. Este enfoque puede restringir los posibles vectores de ataque y aumentar significativamente la seguridad de la implementación. Tabla 1 Puertos y protocolos requeridos de Citrix Cloud proporciona los puertos y protocolos de red necesarios para su implementación de Citrix. En esta tabla se enumeran solo los puertos que se utilizan para la infraestructura de Citrix y no se incluyen los puertos que utilizan las aplicaciones. Configure estos puertos en el NSG que protege las máquinas virtuales de Citrix.

Origen	Destino	Protocolo	Puerto	Propósito
Cloud Connectors	*.digicert.com	HTTP	80	Verificación de revocación de certificados
Cloud Connectors	*.digicert.com	HTTPS	443	Verificación de revocación de certificados
Cloud Connectors	dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt	HTTPS	443	Verificación de revocación de certificados
Cloud Connectors	dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.cert	HTTPS	443	Verificación de revocación de certificados
Cloud Connectors	Cloud Connectors	TCP	80	Comunicación entre controladores
Cloud Connectors	Cloud Connectors	TCP	89	Caché de host local
Cloud Connectors	Cloud Connectors	TCP	9095	Servicio de orquestación
Cloud Connectors	Cloud Connectors	TCP/UDP	1494	Protocolo ICA/HDX (EDT requiere UDP)
Cloud Connectors	Virtual Delivery Agent	TCP/UDP	2598	Fiabilidad de la sesión (EDT requiere UDP)
Cloud Connectors	Virtual Delivery Agent	TCP	80(bidir)	Descubrimiento de aplicaciones y rendimiento
Virtual Delivery Agent	Gateway Service	TCP	443	Protocolo Rendezvous
Virtual Delivery Agent	Gateway Service	TCP	443	EDT UDP más de 443 a Gateway Service
Virtual Delivery Agent	.nssvc.net, .c.nssv.net, *.g.nssv.net	TCP/UDP	443	Dominios/subdominios de Gateway Service
Citrix Provisioning Services	Cloud Connectors	HTTPS	443	Integración con Citrix Cloud Studio
Citrix License Server	Citrix Cloud	HTTPS	443	Integración de licencias de Citrix Cloud
SDK de PowerShell remoto de CVAD	Citrix Cloud	HTTPS	443	Cualquier sistema que ejecute PSH remoto a través del SDK
Agente de WEM	Servicio WEM	HTTPS	443	Comunicación entre el agente y el servicio
Agente de WEM	Cloud Connectors	TCP	443	Tráfico de registro

Grupos de seguridad de aplicaciones

Cree grupos de seguridad de aplicaciones (ASG) para simplificar la administración de los recursos de Citrix en toda la empresa. Los ASG permiten la definición de origen/destino en función de una etiqueta en lugar de un protocolo de Internet (IP) o una dirección de red. Los ASG pueden definirse para las cargas de trabajo y luego usarse como parte de los NSG para filtrar las cargas de trabajo. Los ASG pueden filtrar tanto el tráfico de este a oeste entre las cargas de trabajo como el tráfico de norte a sur entre los centros de datos y Azure. Los ASG le permiten microsegmentar aún más su red y aislar el tráfico entre grupos de aplicaciones a escala. Por ejemplo, crear un grupo de aplicaciones para servidores de bases de datos que se comunique con los servidores de aplicaciones pero no con los servidores web.

Etiquetas de servicio de Azure

Las etiquetas de servicio de Azure son apodos que Azure asigna a un grupo de direcciones IP que representan un servicio de Azure. Microsoft administra las direcciones IP asociadas a las etiquetas de servicio. Las etiquetas de servicio se pueden usar en lugar de las direcciones IP en los NSG para controlar el acceso al conjunto de recursos dinámicos. Por ejemplo, puede permitir el tráfico a la etiqueta de servicio Storage, que otorga acceso a todas las direcciones IP de Azure Storage, o puede restringirlo solo a direcciones IP de almacenamiento del oeste de EE. UU. con la etiqueta de servicio Storage.westus.

Las etiquetas de servicio vienen con algunas restricciones de uso relacionadas con la dirección, las restricciones regionales o el uso con el Firewall de Azure. Para obtener una lista completa de las etiquetas de servicio y sus reglas de uso, consulte el sitio web de Microsoft, Etiquetas de servicio de red virtual.

Protocolo de administración remota

Para administrar de forma remota los hosts de infraestructura de Citrix que ejecutan Windows, el protocolo más cómodo de usar es el Protocolo de escritorio remoto (RDP) de Microsoft. El puerto predeterminado para el RDP es TCP 3389; sin embargo, cambie este puerto si la máquina virtual permite cualquier acceso entrante desde Internet. Los servidores Windows orientados a Internet que tienen abierto el puerto 3389 se encuentran siendo atacados a las 24 horas de haber estado conectados a Internet. La siguiente clave de registro de Windows controla el número de puerto de escucha entrante para las sesiones RDP. Utilice esta clave de registro para cambiar el número de puerto de escucha a un puerto superior a 10000:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp: PortNumber REG_DWORD

El cambio del número de puerto RDP se vuelve excepcionalmente difícil cuando se combina con la recomendación de acceso al JIT anterior.

Direcciones IP públicas

Si utiliza sus propios dispositivos virtuales VPX de Citrix Application Delivery Controller (ADC), es probable que utilicen una dirección IP pública en el Azure Load Balancer. En algunas implementaciones, la dirección IP pública se establece directamente en los propios dispositivos para aceptar conexiones entrantes para la granja de servidores Citrix. Aparte de esas configuraciones de ADC, no se requieren direcciones IP públicas para la implementación de Citrix. Citrix Cloud administra los Citrix Cloud Connectors y los actualiza según sea necesario. Los Cloud Connectors no necesitan direcciones IP públicas, ya que inician todas las conexiones salientes.

Acceso a Internet saliente

Como se mencionó, los Citrix Cloud Connectors necesitan tener conectividad de salida para llegar a la infraestructura de Citrix Cloud. La conectividad se utiliza para recibir sus actualizaciones y la interfaz entre Citrix Cloud y su implementación de Azure Citrix. Es posible que otras infraestructuras de Citrix necesiten acceso saliente para las actualizaciones de mantenimiento o el acceso de los usuarios.

Dispositivos de punto final privados

Los puntos de conexión privados se utilizan para mejorar la comunicación entre los servicios de Azure al eliminar las rutas a través de la Internet pública. Los terminales privados funcionan mediante el control de la ruta del tráfico a través de la red. Un punto final privado de Azure es una interfaz de red que se conecta de forma segura a un servicio de Azure. El punto final privado usa una dirección IP en la red virtual (VNet). A continuación, el punto final dirige el tráfico directamente desde su VNet al servicio de Azure a través de la red troncal de Microsoft Azure. El uso de la red troncal de Microsoft Azure evita que el tráfico atraviese la Internet pública. Los terminales privados son intrínsecamente más seguros, ya que el tráfico no está expuesto a Internet, ya que puede verse comprometido. Por ejemplo, puede crear un punto final privado desde la subred host de Citrix hasta la red de cuentas de almacenamiento de Azure Files y evitar los puntos de conexión públicos.

Citrix recomienda crear puntos de conexión privados para los siguientes servicios de Azure:

Almacenamiento de blogs de Azure
Archivos de Azure
Automatización de Azure
Lote de Azure
Azure Managed Disks
Azure Key Vault
Copia de seguridad de Azure
Monitor Azure

Mejores prácticas de redes

De forma predeterminada, no existen controles de acceso entre las diferentes subredes de una red virtual de Azure. Microsoft y Citrix recomiendan adoptar un enfoque de confianza cero dentro de Azure. El enfoque de confianza cero significa que no se permite la comunicación sin restricciones bajo el supuesto de que se confía en el tráfico interno. En su lugar, utilice una metodología de “negarlo todo”. Permita solo comunicaciones “fiables” desde dispositivos, ubicaciones y usuarios que necesiten el acceso. La siguiente guía puede aumentar significativamente la seguridad de su red Citrix:

Utilice los NSG para controlar el flujo entre las subredes que alojan los recursos de Citrix
Utilice el acceso condicional de AD para conceder el acceso en función de la ubicación, la identidad, el dispositivo o el nivel de seguridad
Configure el acceso justo a tiempo en las máquinas virtuales de infraestructura de Citrix
Mantenga la infraestructura de Citrix en su propia subred
Mantenga las máquinas virtuales de Citrix VDA en sus propias subredes
Las conexiones de red desde fuera de Azure a cualquier recurso deben realizarse a través de una conexión de red privada virtual (VPN) cifrada. Las VPN pueden ser una conexión punto a sitio (P2S), de sitio a sitio (S2S) o una conexión ExpressRoute segura.
Nunca exponga las máquinas virtuales de Azure directamente a Internet. Si se muestra, habilite el acceso a JIT y cambie los puertos predeterminados para las conexiones entrantes.
En lugar del protocolo HTTP estándar no cifrado para la comunicación, exija protocolos con cifrado para proteger los datos en tránsito. Se recomiendan protocolos como HTTPS con TLS 1.2 o Citrix Gateway, que conecta ICA/HDX dentro de HTTPS.
Implemente dispositivos de seguridad de red nativos de Azure capaces de analizar el tráfico en las capas de interconexión de sistemas abiertos (OSI). Implemente el enrutamiento definido por el usuario (UDR) para dirigir el tráfico a través de estos dispositivos
Habilite la protección contra denegación de servicio distribuido (DDoS) junto con los sistemas de detección de intrusiones (IDS) y prevención de intrusiones (IPS) dentro de su red perimetral. Su red perimetral se encuentra entre Internet y los recursos de Citrix alojados en Azure.

Recomendaciones de seguridad de almacenamiento

En esta sección se ofrecen recomendaciones para aumentar la seguridad y la protección de los datos almacenados en Azure Storage. Analizamos las protecciones integradas y proporcionamos recomendaciones para mejorar esas protecciones. Utilice las recomendaciones para aumentar la disponibilidad de sus datos y reducir los posibles vectores de ataque contra ellos.

Protección de datos de Azure

Azure Storage almacena varias copias de datos para protegerlos de eventos planificados y no planificados. Estos eventos incluyen fallas de hardware, cortes de energía y desastres naturales. Cada región de Azure está emparejada con otra región de Azure. Microsoft replica automáticamente el almacenamiento entre pares de regiones. Cuando Microsoft declara una emergencia en una región, los datos almacenados en la región emparejada pasan a estar disponibles. Las selecciones de cuentas de almacenamiento también controlan la redundancia de datos. Las opciones de tipo de cuenta incluyen almacenar datos solo dentro de la región o replicarlos en todas las regiones. Citrix recomienda configurar las máquinas virtuales de infraestructura clave, como los controladores de dominio, con un almacenamiento que se replique en todas las regiones.

Copias de seguridad

La mayoría de los servidores Citrix del entorno son agentes de entrega virtuales (VDA) que dependen de los servicios de creación de máquinas (MCS) o de los Provisioning Services (PVS) para su implementación. Tanto las máquinas MCS como las PVS utilizan una imagen maestra dorada como plantilla. Para estos servidores, utilice instantáneas de una imagen dorada como fuente de la plantilla de la máquina. Las reversiones se pueden realizar fácilmente en cualquier versión de una instantánea de disco. Los demás servidores de la infraestructura de Citrix deben tener Azure Backup habilitado o configurarse en Azure Site Recovery. Cuando utilice Azure Site Recovery, seleccione la región emparejada de Microsoft como ubicación de destino. Si los destinos de ASR se encuentran en la región emparejada y Microsoft declara un desastre, las cuentas de almacenamiento replicadas también estarán presentes en esa región.

Cifrado en reposo

Azure cifra automáticamente todo el almacenamiento en reposo mediante el cifrado del lado del servidor (SSE), que utiliza un cifrado por bloques del Estándar de cifrado avanzado (AES) de 256 bits. Puede usar claves administradas por el cliente (CMK) para cifrar los datos y almacenarlas en Azure Key Vault. El uso de las CMK brinda la capacidad de triturar rápidamente los datos criptográficos cuando sea necesario destruyendo la CMK.

Discos gestionados

Citrix recomienda usar discos administrados. Con los discos administrados, Azure controla automáticamente la ubicación de los discos, de modo que los discos virtuales evitan cualquier punto único de error. En el caso de los discos no administrados, usted es responsable de colocarlos en las cuentas de almacenamiento y administrar los planes de recuperación de datos.

Listas de control de acceso

Las listas de control de acceso (ACL) permiten controlar de forma granular el acceso a un archivo o directorio. Las ACL se aplican a cualquier usuario, grupo, identidad administrada o principal de servicio que se encuentre en Azure AD. Cuando se utiliza una clave compartida o un token de firma de acceso compartido (SAS), no hay ningún principio de seguridad. Por lo tanto, las ACL no se aplican al acceso concedido cuando se accede al almacenamiento mediante una clave o un token. Las ACL constan de permisos simples de lectura (R), escritura (W) y ejecución (X). Puede usar las ACL para restringir el acceso a cualquier archivo o carpeta de almacenamiento de Azure y evitar el acceso involuntario a un contenedor, archivo o directorio. Citrix recomienda configurar siempre el acceso a los datos a través de las ACL para que lleguen al público adecuado a fin de mantener la confidencialidad.

Recomendaciones de directivas de Azure

Azure Policy es un motor de administración de estados que evalúa activamente las propiedades de los recursos de Azure. La directiva de Azure garantiza que el estado de un recurso cumpla con las reglas empresariales. La directiva de Azure puede bloquear acciones, incluso si los usuarios tienen permisos para realizar esas acciones. Las directivas de Azure funcionan en el nivel de suscripción y en niveles inferiores. La tabla 2 Directivas de Azure recomendadas para implementaciones de Citrix proporciona una lista de las directivas de Azure recomendadas. Habilite estas directivas a nivel de cuenta y aplíquelas a las suscripciones que contengan recursos de Citrix.

Nombre de la directiva	Descripción
La cuenta de Azure Automation debe tener el método de autenticación local inhabili	La desactivación de los métodos de autenticación local mejora la seguridad al garantizar que las cuentas de Azure Automation solo requieran identidades de Azure Active Directory para la autenticación.
Los dominios administrados por Azure Active Directory Domain Services deben usar únicamente el modo TLS 1.2	Utilice el modo TLS 1.2 únicamente para sus dominios gestionados. De forma predeterminada, los servicios de dominio de Azure AD permiten el uso de cifrados como NTLM v1 y TLS v1. Es posible que estas cifras sean necesarias para algunas aplicaciones antiguas. Sin embargo, si no los necesita, los cifrados son débiles y se pueden desactivar. Cuando el modo solo TLS 1.2 está habilitado, cualquier cliente que realice una solicitud que no utilice TLS 1.2 falla.
Las máquinas Windows solo deben tener cuentas locales permitidas	Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para obtener más información, visite https://aka.ms/gcpol. Esta definición no es compatible con Windows Server 2012 ni 2012 R2. La administración de cuentas de usuario mediante Azure Active Directory es una práctica recomendada para la administración de identidades. La reducción de las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no figuran en el parámetro de la directiva.
Los espacios de trabajo de Log Analytics deben bloquear la ingesta que no esté basada en Azure Active Directory.	Imponga la ingesta de registros para requerir la autenticación de Azure Active Directory. Esta protección evita que los atacantes manipulen los registros no autenticados, lo que puede generar estados erróneos, alertas falsas y registros incorrectos almacenados en el sistema.
Las puertas de enlace de VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para los usuarios de punto a sitio	La desactivación de los métodos de autenticación local mejora la seguridad al garantizar que las puertas de enlace VPN solo usen identidades de Azure Active Directory para la autenticación.
La MFA debe estar habilitada en las cuentas con permisos de escritura en su suscripción	La autenticación multifactorial (MFA) debe estar habilitada para todas las cuentas de suscripción con privilegios de escritura para evitar una violación de cuentas o recursos.
La MFA debe estar habilitada en las cuentas con permisos de propietario en tu suscripción.	La autenticación multifactorial (MFA) debe estar habilitada en todas las cuentas de suscripción con permisos de propietario para evitar una violación de las cuentas o los recursos.
La MFA debe estar habilitada en las cuentas con permisos de lectura en su suscripción	La autenticación multifactorial (MFA) debe estar habilitada para todas las cuentas de suscripción con privilegios de lectura para evitar una violación de cuentas o recursos.
Se debe aprovisionar un administrador de Azure Active Directory para los servidores SQL	Audite el aprovisionamiento de un administrador de Azure Active Directory para su servidor SQL para habilitar la autenticación de Azure AD. La autenticación de Azure AD permite una administración de permisos simplificada y una administración centralizada de identidades de los usuarios de bases de datos y otros servicios
Exigir una etiqueta y su valor en los grupos de recursos	Aplica una etiqueta obligatoria y su valor en los grupos de recursos.
Exigir una etiqueta y su valor en los recursos	Aplica una etiqueta obligatoria y su valor. No se aplica a los grupos de recursos.

Recomendaciones de etiquetas de Azure

Una etiqueta es una función que permite asignar pares de claves y valores específicos como metadatos a los recursos. Una etiqueta consta de un nombre y un valor. Los nombres de las etiquetas no distinguen mayúsculas de minúsculas, mientras que los valores de las etiquetas sí. Todos los recursos de Citrix deben etiquetarse, como mínimo, con las siguientes etiquetas:

Propietario: [Organización o departamento propietario] Correo electrónico: [Correo electrónico o lista de distribución con los que contactar en caso de que algo vaya mal con el recurso] Entorno: [Producción, preproducción, desarrollo, pruebas, entornoaislado]

Las etiquetas de Azure son una forma eficaz de organizar, buscar e informar sobre sus recursos de Citrix en el entorno. Por ejemplo, puede usar el informe de análisis de costes para ver los costes por alcance en función de un grupo de recursos o una etiqueta de recursos.

Recomendaciones del centro de seguridad

El centro de seguridad supervisa automáticamente las vulnerabilidades de seguridad en todas las suscripciones de la cuenta de Azure. Revise estas recomendaciones mensualmente e implemente las recomendaciones que tengan una gravedad alta o media lo antes posible.

Funciones de Citrix Cloud

En esta sección se proporciona una guía detallada sobre cómo configurar las funciones de RBAC de Azure que requiere Citrix Cloud. Se puede acceder a los recursos de Citrix en Azure a través de la consola, la CLI de Azure, Azure PowerShell y la API Rest. Azure RBAC es un sistema de autorización creado en Azure Resource Manager (ARM) que proporciona una administración precisa del acceso a los recursos de Azure.

En algunas implementaciones, es aceptable conceder acceso a Citrix Cloud mediante la función de colaborador de amplio alcance, especialmente cuando los recursos de Citrix tienen su propia suscripción. Sin embargo, por lo general, el mejor enfoque para proteger la implementación de Citrix es limitar las funciones solo a los permisos mínimos requeridos. Analizamos cómo los grupos de recursos, los registros de aplicaciones y los roles se integran con Citrix Cloud. También le proporcionamos funciones personalizadas que se pueden importar fácilmente directamente a su Azure AD.

Uso de grupos de recursos

Todos los recursos de Citrix deben estar contenidos en grupos de recursos dedicados a la implementación de Citrix. Cuando todos los recursos relacionados con Citrix existen dentro de un grupo de recursos, las directivas de RBAC se pueden aplicar fácilmente a nivel de grupo de recursos.

Para que el entorno sea más seguro, es necesario crear un mínimo de dos grupos de recursos:

Citrix_Infrastructure, que contiene todos los componentes de la infraestructura de Citrix, incluidos Cloud Connectors y las máquinas virtuales con imagen maestra Por lo general, un grupo de recursos por suscripción es suficiente para la infraestructura.

Citrix_MachineCatalog, que contiene las máquinas virtuales Citrix VDA. Dado que el asistente de MCS solicita crear un nuevo grupo de recursos de forma predeterminada para el catálogo de máquinas, normalmente tiene varios grupos de recursos. En la mayoría de las implementaciones de Citrix, existen varios catálogos de máquinas.

Registros de aplicaciones

El registro de una aplicación es el proceso de crear una relación de confianza unidireccional entre su cuenta de Citrix Cloud y Azure, de forma que Citrix Cloud confíe en Azure. Durante el proceso, se crea una cuenta principal de servicio de Azure para Citrix Cloud. Citrix Cloud usa esta cuenta para todas las acciones de Azure a través de la conexión de alojamiento. La conexión de alojamiento se configura en la consola de Citrix Cloud. La conexión de alojamiento vincula Citrix Cloud a través de los Cloud Connectors a una ubicación de recursos en Azure.

Debe conceder al servicio principal acceso a los grupos de recursos que contienen recursos de Citrix. La postura de seguridad de la empresa determina el mejor método para conceder este acceso. Puede proporcionar acceso a la suscripción a nivel de colaborador o crear un rol personalizado para el director de servicio.

Al crear el principal de servicio, se establecen los siguientes valores:

Redirigir URL Habilítela y configúrela en Web con un valor de https://citrix.cloud.com.
Los permisos de API necesitan el permiso delegado de user_impersonation seleccionado en la API de administración de servicios de Windows Azure que se encuentra en la ficha API que usa mi organización.
Certifications & secrets necesita crear un nuevo secreto de cliente y el período de caducidad recomendado es de un año. Tenga en cuenta que este certificado debe actualizarse como parte de su programa de rotación de claves de seguridad.

Necesitará tanto el ID de la aplicación (cliente) como el valor de clave secreta del cliente del registro de la aplicación para configurar la conexión de alojamiento en Citrix Cloud.

Aplicaciones empresariales

Según cómo estén configurados Citrix Cloud y Azure AD, se crean una o más aplicaciones empresariales en su arrendatario de Azure AD. Estas cuentas permiten a Citrix Cloud acceder a los datos almacenados en su arrendatario de Azure AD. En la tabla 3 Aplicaciones empresariales de Citrix Cloud en Azure AD se enumeran los ID de las aplicaciones y su propósito.

ID de aplicación empresarial	Propósito
f9c0e999-22e7-409f-bb5e-956986abdf02	Conexión predeterminada entre Azure AD y Citrix Cloud
1b32f261-b20c-4399-8368-c8f0092b4470	Invitaciones e inicios de sesión para administradores
e95c4605-aeab-48d9-9c36-1a262ef8048e	Inicio de sesión de suscriptores de espacios de trabajo
5c913119-2257-4316-9994-5e8f3832265b	Conexión predeterminada entre Azure AD y Citrix Cloud con Citrix Endpoint Management
e067934c-b52d-4e92-b1ca-70700bd1124e	Conexión antigua entre Azure AD y Citrix Cloud con Citrix Endpoint Management

Cada aplicación empresarial otorga a Citrix Cloud permisos específicos para la API de Microsoft Graph o Active Directory de Windows Azure. Por ejemplo, el inicio de sesión de suscriptor de Workspace otorga permisos de User.Read a ambas API para que los usuarios puedan iniciar sesión y leer su perfil. Puede encontrar más información sobre los permisos concedidos aquí.

Uso de funciones integradas

El rol integrado de colaborador contiene el conjunto de permisos más amplio y funciona bien cuando se asigna a las cuentas principales de servicio a nivel de suscripción. Para conceder permisos de colaborador a nivel de suscripción, se requiere una cuenta de administrador global de Azure AD. Una vez concedidos, Azure solicita los permisos necesarios durante la conexión inicial de Citrix Cloud a Azure AD. Todas las cuentas utilizadas para la autenticación durante la creación de la conexión de host también deben ser al menos coadministradores de la suscripción. Este nivel de permisos permite a Citrix Cloud crear cualquier objeto necesario sin restricciones. Por lo general, este enfoque se utiliza cuando toda la suscripción está dedicada a los recursos de Citrix.

Algunos entornos no permiten que los directores de servicio tengan permisos de colaborador a nivel de suscripción. Citrix ha proporcionado una solución alternativa llamada principal de servicio de alcance limitado. Con un principio de servicio de alcance limitado, el administrador global de Azure AD completa manualmente el registro de la aplicación. A continuación, un administrador de suscripciones concede manualmente a la cuenta principal del servicio los permisos apropiados. Los directores de servicio con un alcance limitado no tienen permisos de colaborador en toda la suscripción. Más bien, sus permisos de colaborador se limitan a los grupos de recursos, las redes y las imágenes que se requieren para administrar los catálogos de máquinas. El director de servicio de alcance limitado requiere los siguientes permisos de colaborador.

Grupo de recursos creado previamente: colaborador de máquinas virtuales, colaborador de cuentas de almacenamiento y colaborador de instantáneas de disco
Red virtual: colaborador de máquinas virtuales
Cuenta de almacenamiento: colaborador de máquinas virtuales

Uso de roles personalizados

Los directores de servicio de alcance limitado, aunque su alcance es limitado, siguen concediendo permisos de colaborador amplios, lo que sigue siendo inaceptable para los entornos sensibles a la seguridad. Citrix ha desarrollado dos funciones personalizadas que se pueden usar para proporcionar solo los permisos necesarios al director de servicio. La función de host de Citrix otorga acceso a la creación de la conexión de host, mientras que la función de catálogo de máquinas de Citrix otorga acceso para crear las cargas de trabajo de Citrix.

Rol de host de Citrix

Este es el JSON para el rol de host de Citrix con los permisos mínimos necesarios para usar la conexión de alojamiento. Si solo se utilizan instantáneas o discos para la imagen maestra del catálogo de máquinas, la acción no utilizada se puede eliminar de la lista de “acciones”.

Figura 1 Función de host de Citrix (JSON)

{

“id”: “”,

“properties”: {

“roleName”: “Citrix_Hosting_Connection”,

“description”: “Permisos mínimos para crear una conexión de host. Asigne a grupos de recursos que contengan Citrix Infrastructure, como Cloud Connectors, imágenes maestras o recursos de red virtual.”,

“assignableScopes”: [

”/”

“permissions”: [

{

“actions”: [

“Microsoft.Resources/subscriptions/resourceGroups/read”,

“Microsoft.Compute/snapshots/read”

“Microsoft.Compute/disks/read”,

“Microsoft.Network/virtualNetworks/read”,

“Microsoft.Network/virtualNetworks/subnets/join/action”

“notActions”: [],

“dataActions”: [],

“notDataActions”: []

}

]

}

La función personalizada de Citrix_Hosting_Connection se asigna a los grupos de recursos de Citrix_Infrastructure que tienen los recursos de Cloud Connector, Master Image o Virtual Network. Este JSON se puede copiar y pegar directamente en su rol personalizado de Azure AD.

Función de catálogo de máquinas de Citrix

Este es el JSON para la función de catálogo de máquinas de Citrix que utiliza el asistente de catálogo de máquinas de Citrix. Este rol proporciona los permisos mínimos necesarios para crear los recursos de Citrix en Azure:

Figura 2 Función de catálogo de máquinas de Citrix (JSON)

{

“id”: “”,

“properties”: {

“roleName”: “Citrix_Machine_Catalog”,

“description”: “Permisos mínimos para crear un catálogo de máquinas. Asigne a grupos de recursos que contengan servidores de carga de trabajo de Citrix que ejecuten el Virtual Delivery Agent.”,

“assignableScopes”: [

”/”

“permissions”: [

{

“actions”: [

“Microsoft.Resources/subscriptions/resourceGroups/read”,

“Microsoft.Storage/storageAccounts/listkeys/action”,

“Microsoft.Storage/storageAccounts/read”,

“Microsoft.Storage/storageAccounts/write”,

“Microsoft.Network/networkSecurityGroups/write”,

“Microsoft.Compute/virtualMachines/write”,

“Microsoft.Compute/virtualMachines/start/action”,

“Microsoft.Compute/virtualMachines/restart/action”,

“Microsoft.Compute/virtualMachines/read”,

“Microsoft.Compute/virtualMachines/powerOff/action”,

“Microsoft.Compute/virtualMachines/performMaintenance/action”,

“Microsoft.Compute/virtualMachines/deallocate/action”,

“Microsoft.Compute/virtualMachines/delete”,

“Microsoft.Compute/virtualMachines/convertToManagedDisks/action”,

“Microsoft.Compute/virtualMachines/capture/action”,

“Microsoft.Compute/snapshots/endGetAccess/action”,

“Microsoft.Compute/snapshots/beginGetAccess/action”,

“Microsoft.Compute/snapshots/delete”,

“Microsoft.Compute/snapshots/write”,

“Microsoft.Compute/snapshots/read”,

“Microsoft.Compute/disks/endGetAccess/action”,

“Microsoft.Compute/disks/delete”,

“Microsoft.Compute/disks/beginGetAccess/action”,

“Microsoft.Compute/disks/write”,

“Microsoft.Network/networkSecurityGroups/read”,

“Microsoft.Network/networkInterfaces/delete”,

“Microsoft.Network/networkInterfaces/join/action”,

“Microsoft.Network/networkInterfaces/write”,

“Microsoft.Network/networkInterfaces/read”,

“Microsoft.Storage/storageAccounts/listServiceSas/action”,

“Microsoft.Storage/storageAccounts/listAccountSas/action”,

“Microsoft.Storage/storageAccounts/delete”,

“Microsoft.Compute/disks/read”,

“Microsoft.Resources/subscriptions/resourceGroups/delete”,

“Microsoft.Resources/subscriptions/resourceGroups/write”,

“Microsoft.Network/virtualNetworks/subnets/join/action”,

“Microsoft.Network/virtualNetworks/subnets/read”,

“Microsoft.Network/virtualNetworks/read”,

“Microsoft.Network/networkSecurityGroups/join/action”

“notActions”: [],

“dataActions”: [],

“notDataActions”: []

}

]

}

La función personalizada de Citrix_Machine_Catalog se asigna a los grupos de recursos de Citrix_MachineCatalog que contienen las máquinas virtuales de Citrix VDA. Este JSON se puede copiar y pegar directamente en su rol personalizado de Azure AD.

Supervisión de seguridad

Tanto Microsoft como Citrix ofrecen servicios basados en la seguridad que se pueden utilizar para alertarlo sobre eventos de seguridad que requieren su atención. Esta sección no está diseñada para proporcionar una visión completa y profunda de cómo utilizar estos servicios. En cambio, la sección enumera los servicios recomendados junto con la forma en que se pueden utilizar sus capacidades para mejorar la seguridad. Para obtener información más detallada, consulte el documento Supervisión de una implementación de Citrix en Azure.

Microsoft Defender para la nube

Defender for Cloud es un servicio que combina funciones que anteriormente se encontraban en Azure Security Center y Azure Defender. Este servicio evalúa continuamente sus recursos de Azure y proporciona una puntuación general que indica la postura de seguridad de sus implementaciones. Defender for Cloud proporciona orientación directa sobre cómo resolver cualquier problema identificado por el servicio. Las recomendaciones provienen de Azure Security Benchmark, un conjunto de pautas específicas de Azure creado por Microsoft.

Microsoft Sentinel

Microsoft Sentinel es un sistema de gestión de eventos e información de seguridad (SIEM) y un sistema de organización, automatización y respuesta de seguridad (SOAR). Sentinel se diseñó y creó como un servicio nativo de la nube. Mediante el uso de una sofisticada inteligencia artificial, Sentinel monitorea continuamente todas las fuentes de contenido y busca actividades sospechosas. Sentinel proporciona una ubicación central para recopilar y monitorear datos a escala a través de agentes y conectores de datos. Los incidentes de seguridad se rastrean mediante alertas activadas y respuestas automatizadas a tareas comunes. Sentinel puede funcionar en varias nubes y con su infraestructura local, lo que lo hace ideal para entornos Citrix híbridos.

Microsoft Sentinel admite conectores de datos de una amplia variedad de proveedores. Estos proveedores incluyen proveedores de seguridad, redes y aplicaciones. La instalación de esos conectores de datos será útil en su entorno Citrix.

Análisis de tráfico de Azure Network Watcher

Si bien Citrix está diseñado para ser seguro por diseño, los usuarios siguen siendo un eslabón débil y las credenciales de inicio de sesión pueden verse comprometidas. Al ejecutar Citrix en Azure, una de las mejores formas de proteger el acceso a las aplicaciones y los datos es supervisar el tráfico de la red. Traffic Analytics está diseñado para proporcionarle información relevante mediante el análisis de los flujos de tráfico de la red. Al combinar registros de flujo sin procesar con un conocimiento de la topología de la red, Traffic Analytics puede proporcionar una visión completa de la comunicación de la red. Los informes incluyen los hosts o pares de hosts más activos, los principales protocolos en uso, el tráfico bloqueado, los puertos abiertos, las redes no autorizadas y la distribución del tráfico.

Citrix Analytics

Citrix Analytics es un servicio basado en la nube que agrega los datos recopilados de los usuarios de Citrix en todos los dispositivos, redes y aplicaciones. El único propósito de Citrix Analytics es identificar las relaciones y tendencias que pueden conducir a información práctica. Analytics se basa en algoritmos de aprendizaje automático (ML) integrados para encontrar anomalías de comportamiento que puedan indicar problemas con los usuarios de Citrix. Citrix Analytics trabaja con proveedores externos, incluido Microsoft, para recopilar datos para su análisis.

Citrix Analytics for Security se centra en el comportamiento de los usuarios y las aplicaciones. El módulo de análisis de seguridad busca principalmente amenazas internas o comportamientos maliciosos externos. Citrix Analytics se integra con los siguientes productos de Citrix y Microsoft:

Citrix Virtual Apps and Desktops
Delivery Controller de aplicaciones de Citrix (NetScaler)
Citrix Secure Workspace Access (control de acceso)
Citrix Gateway
Citrix Content Collaboration
Citrix Endpoint Management
Citrix Secure Browser
Microsoft Graph Security
Microsoft Active Directory

Los datos se pueden integrar en cualquier servicio de SIEM que sea compatible con Kafka Topics o conectores de datos basados en LogStash, como Microsoft Sentinel. Los datos también se pueden exportar en formato de valores separados por comas (CSV) para analizarlos en otros sistemas.

Referencias

https://docs.microsoft.com/en-us/azure/architecture/framework/security/overview

https://docs.microsoft.com/en-us/azure/role-based-access-control/overview

https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/change-listening-port

https://docs.microsoft.com/en-us/azure/virtual-network/network-security-groups-overview

https://docs.microsoft.com/en-us/azure/security/fundamentals/network-best-practices

https://azure.microsoft.com/fr-fr/blog/applicationsecuritygroups/

https://docs.microsoft.com/en-us/azure/virtual-network/service-tags-overview

https://docs.microsoft.com/en-us/azure/private-link/availability

https://docs.citrix.com/en-us/tech-zone/design/reference-architectures/virtual-apps-and-desktops-azure.html

https://docs.citrix.com/en-us/citrix-cloud/citrix-cloud-management/identity-access-management/azure-ad-permissions.html

https://docs.citrix.com/en-us/tech-zone/design/reference-architectures/virtual-apps-and-desktops-service.html

https://docs.citrix.com/en-us/tech-zone/design/reference-architectures/federated-authentication-service.html

https://docs.citrix.com/en-us/tech-zone/design/reference-architectures/gdpr.html

https://docs.citrix.com/en-us/tech-zone/build/tech-papers/antivirus-best-practices.html

https://docs.citrix.com/en-us/tech-zone/build/tech-papers/networking-tls-best-practices.html

https://docs.citrix.com/en-us/tech-zone/learn/tech-insights/federated-authentication-service.html

https://docs.citrix.com/en-us/tech-zone/learn/tech-insights/virtual-apps-and-desktops-service.html

https://docs.citrix.com/en-us/tech-zone/build/tech-papers/citrix-communication-ports.html

https://docs.citrix.com/en-us/citrix-gateway-service/hdx-edt-support-for-gateway-service.html

https://support.citrix.com/article/CTX219243

https://support.citrix.com/article/CTX224110

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Proteger Citrix DaaS para Azure

February 9, 2023

Contribución de:

February 9, 2023

Contribución de:

¿Le ha resultado útil?