Documentazione dei prodotti
Citrix DaaS per Azure

Panoramica sulla sicurezza tecnica

August 8, 2025
Grazie al contributo di: 
C

Il diagramma seguente mostra i componenti di una distribuzione Citrix DaaS Standard for Azure (precedentemente Citrix Virtual Apps and Desktops Standard for Azure). Questo esempio utilizza una connessione di peering VNet.

Componenti di Citrix DaaS for Azure e connessione di peering VNet di Azure

Con Citrix DaaS for Azure, i Virtual Delivery Agent (VDA) del cliente che distribuiscono desktop e app, oltre ai Citrix Cloud Connector, vengono distribuiti in una sottoscrizione e un tenant di Azure gestiti da Citrix.

NOTA:

Questo articolo fornisce una panoramica dei requisiti di sicurezza per i clienti che distribuiscono Citrix DaaS for Azure utilizzando una sottoscrizione Azure gestita da Citrix. Per una panoramica architettonica di una distribuzione di Citrix DaaS for Azure che utilizza una sottoscrizione Azure gestita dal cliente, incluse le informazioni sulla sicurezza, vedere Architettura di riferimento: servizio Virtual Apps and Desktops - Azure.

Responsabilità di Citrix

Sottoscrizione Azure e Azure Active Directory

Citrix è responsabile della sicurezza della sottoscrizione Azure e di Azure Active Directory (AAD) create per il cliente. Citrix garantisce l’isolamento del tenant, in modo che ogni cliente abbia la propria sottoscrizione Azure e AAD, e che la comunicazione incrociata tra i diversi tenant sia impedita. Citrix limita inoltre l’accesso all’AAD solo al personale operativo di Citrix DaaS for Azure e Citrix. L’accesso di Citrix alla sottoscrizione Azure di ogni cliente viene controllato.

I clienti che utilizzano cataloghi non aggiunti a un dominio possono usare l’AAD gestito da Citrix come mezzo di autenticazione per Citrix Workspace. Per questi clienti, Citrix crea account utente con privilegi limitati nell’AAD gestito da Citrix. Tuttavia, né gli utenti né gli amministratori dei clienti possono eseguire alcuna azione sull’AAD gestito da Citrix. Se questi clienti scelgono di utilizzare il proprio AAD, sono interamente responsabili della sua sicurezza.

Reti virtuali e infrastruttura

All’interno della sottoscrizione Azure gestita da Citrix del cliente, Citrix crea reti virtuali per isolare le posizioni delle risorse. All’interno di tali reti, Citrix crea macchine virtuali per i VDA, i Cloud Connector e le macchine per la creazione di immagini, oltre ad account di archiviazione, Key Vault e altre risorse Azure. Citrix, in collaborazione con Microsoft, è responsabile della sicurezza delle reti virtuali, inclusi i firewall delle reti virtuali.

Citrix garantisce che la policy firewall predefinita di Azure (gruppi di sicurezza di rete) sia configurata per limitare l’accesso alle interfacce di rete nelle connessioni di peering VNet. Generalmente, questo controlla il traffico in entrata verso i VDA e i Cloud Connector. Per i dettagli, vedere:

I clienti non possono modificare questa policy firewall predefinita, ma possono distribuire regole firewall aggiuntive sulle macchine VDA create da Citrix; ad esempio, per limitare parzialmente il traffico in uscita. I clienti che installano client di rete privata virtuale o altro software in grado di bypassare le regole firewall sulle macchine VDA create da Citrix sono responsabili di eventuali rischi per la sicurezza che potrebbero derivarne.

Quando si utilizza il generatore di immagini in Citrix DaaS for Azure per creare e personalizzare una nuova immagine macchina, la porta 3389 viene aperta temporaneamente nella VNet gestita da Citrix, in modo che il cliente possa connettersi tramite RDP alla macchina contenente la nuova immagine macchina per personalizzarla.

Responsabilità di Citrix quando si utilizzano connessioni di peering VNet di Azure

Affinché i VDA in Citrix DaaS for Azure possano contattare i controller di dominio locali, le condivisioni file o altre risorse intranet, Citrix DaaS for Azure fornisce un flusso di lavoro di peering VNet come opzione di connettività. La rete virtuale gestita da Citrix del cliente è in peering con una rete virtuale Azure gestita dal cliente. La rete virtuale gestita dal cliente può abilitare la connettività con le risorse locali del cliente utilizzando la soluzione di connettività cloud-to-on-premises scelta dal cliente, come Azure ExpressRoute o i tunnel IPsec.

La responsabilità di Citrix per il peering VNet è limitata al supporto del flusso di lavoro e della configurazione delle risorse Azure correlate per stabilire la relazione di peering tra le VNet gestite da Citrix e quelle gestite dal cliente.

Policy firewall per le connessioni di peering VNet di Azure

Citrix apre o chiude le seguenti porte per il traffico in entrata e in uscita che utilizza una connessione di peering VNet.

VNet gestita da Citrix con macchine non aggiunte a un dominio
  • Regole in entrata
    • Nega tutto il traffico in entrata. Questo include il traffico intra-VNet da VDA a VDA.
  • Regole in uscita
    • Consenti tutto il traffico in uscita.
VNet gestita da Citrix con macchine aggiunte a un dominio
  • Regole in entrata:
    • Consenti le porte 80, 443, 1494 e 2598 in entrata dai VDA ai Cloud Connector e dai Cloud Connector ai VDA.
    • Consenti le porte 49152-65535 in entrata ai VDA da un intervallo IP utilizzato dalla funzionalità di shadowing di Monitor. Vedere Porte di comunicazione utilizzate dalle tecnologie Citrix.
    • Nega tutto il resto del traffico in entrata. Questo include il traffico intra-VNet da VDA a VDA e da VDA a Cloud Connector.
  • Regole in uscita
    • Consenti tutto il traffico in uscita.
VNet gestita dal cliente con macchine aggiunte a un dominio
  • Spetta al cliente configurare correttamente la propria VNet. Questo include l’apertura delle seguenti porte per l’aggiunta al dominio.
  • Regole in entrata:
    • Consenti in entrata sulle porte 443, 1494, 2598 dagli IP dei client per i lanci interni.
    • Consenti in entrata sulle porte 53, 88, 123, 135-139, 389, 445, 636 dalla VNet Citrix (intervallo IP specificato dal cliente).
    • Consenti in entrata sulle porte aperte con una configurazione proxy.
    • Altre regole create dal cliente.
  • Regole in uscita:
    • Consenti in uscita sulle porte 443, 1494, 2598 verso la VNet Citrix (intervallo IP specificato dal cliente) per i lanci interni.
    • Altre regole create dal cliente.

Accesso all’infrastruttura

Citrix può accedere all’infrastruttura gestita da Citrix del cliente (Cloud Connector) per eseguire determinate attività amministrative come la raccolta di log (incluso il Visualizzatore eventi di Windows) e il riavvio dei servizi senza notificare il cliente. Citrix è responsabile dell’esecuzione di queste attività in modo sicuro e con un impatto minimo sul cliente. Citrix è anche responsabile di garantire che tutti i file di log vengano recuperati, trasportati e gestiti in modo sicuro. I VDA del cliente non possono essere accessibili in questo modo.

Backup per cataloghi non aggiunti a un dominio

Citrix non è responsabile dell’esecuzione di backup di cataloghi non aggiunti a un dominio.

Backup per immagini macchina

Citrix è responsabile del backup di tutte le immagini macchina caricate in Citrix DaaS for Azure, incluse le immagini create con il generatore di immagini. Citrix utilizza l’archiviazione con ridondanza locale per queste immagini.

Policy firewall quando si utilizzano strumenti di risoluzione dei problemi

Quando un cliente richiede la creazione di una macchina bastion per la risoluzione dei problemi, vengono apportate le seguenti modifiche al gruppo di sicurezza alla VNet gestita da Citrix:

  • Consenti temporaneamente la porta 3389 in entrata dall’intervallo IP specificato dal cliente al bastion.
  • Consenti temporaneamente la porta 3389 in entrata dall’indirizzo IP del bastion a qualsiasi indirizzo nella VNet (VDA e Cloud Connector).
  • Continua a bloccare l’accesso RDP tra i Cloud Connector, i VDA e altri VDA.

Quando un cliente abilita l’accesso RDP per la risoluzione dei problemi, vengono apportate le seguenti modifiche al gruppo di sicurezza alla VNet gestita da Citrix:

  • Consenti temporaneamente la porta 3389 in entrata dall’intervallo IP specificato dal cliente a qualsiasi indirizzo nella VNet (VDA e Cloud Connector).
  • Continua a bloccare l’accesso RDP tra i Cloud Connector, i VDA e altri VDA.

Sottoscrizioni gestite dal cliente

Per le sottoscrizioni gestite dal cliente, Citrix si attiene alle responsabilità di cui sopra durante la distribuzione delle risorse Azure. Dopo la distribuzione, tutto quanto sopra ricade sotto la responsabilità del cliente, poiché il cliente è il proprietario della sottoscrizione Azure.

Sottoscrizioni gestite dal cliente

Responsabilità del cliente

VDA e immagini macchina

Il cliente è responsabile di tutti gli aspetti del software installato sulle macchine VDA, inclusi:

  • Aggiornamenti del sistema operativo e patch di sicurezza
  • Antivirus e antimalware
  • Aggiornamenti software VDA e patch di sicurezza
  • Regole firewall software aggiuntive (specialmente per il traffico in uscita)
  • Seguire le considerazioni sulla sicurezza e le best practice di Citrix

Citrix fornisce un’immagine preparata che è intesa come punto di partenza. I clienti possono utilizzare questa immagine per scopi di prova di concetto o dimostrativi o come base per la creazione della propria immagine macchina. Citrix non garantisce la sicurezza di questa immagine preparata. Citrix tenterà di mantenere aggiornati il sistema operativo e il software VDA sull’immagine preparata e abiliterà Windows Defender su queste immagini.

Responsabilità del cliente quando si utilizza il peering VNet

Il cliente deve aprire tutte le porte specificate in VNet gestita dal cliente con macchine aggiunte a un dominio.

Quando il peering VNet è configurato, il cliente è responsabile della sicurezza della propria rete virtuale e della sua connettività alle proprie risorse locali. Il cliente è anche responsabile della sicurezza del traffico in entrata dalla rete virtuale in peering gestita da Citrix. Citrix non intraprende alcuna azione per bloccare il traffico dalla rete virtuale gestita da Citrix alle risorse locali del cliente.

I clienti hanno le seguenti opzioni per limitare il traffico in entrata:

  • Assegnare alla rete virtuale gestita da Citrix un blocco IP non in uso altrove nella rete locale del cliente o nella rete virtuale connessa gestita dal cliente. Questo è richiesto per il peering VNet.
  • Aggiungere gruppi di sicurezza di rete Azure e firewall nella rete virtuale del cliente e nella rete locale per bloccare o limitare il traffico dal blocco IP gestito da Citrix.
  • Distribuire misure come sistemi di prevenzione delle intrusioni, firewall software e motori di analisi comportamentale nella rete virtuale del cliente e nella rete locale, mirando al blocco IP gestito da Citrix.

Proxy

Il cliente può scegliere se utilizzare un proxy per il traffico in uscita dal VDA. Se viene utilizzato un proxy, il cliente è responsabile di:

  • Configurare le impostazioni del proxy sull’immagine macchina VDA o, se il VDA è aggiunto a un dominio, utilizzando i Criteri di gruppo di Active Directory.
  • Manutenzione e sicurezza del proxy.

I proxy non sono consentiti per l’uso con i Citrix Cloud Connector o altre infrastrutture gestite da Citrix.

Citrix fornisce tre tipi di cataloghi con diversi livelli di resilienza:

  • Statico: Ogni utente è assegnato a un singolo VDA. Questo tipo di catalogo non offre alta disponibilità. Se il VDA di un utente si arresta, dovrà essere assegnato a uno nuovo per il ripristino. Azure fornisce un SLA del 99,5% per le VM a istanza singola con SSD standard. Il cliente può comunque eseguire il backup del profilo utente, ma qualsiasi personalizzazione apportata al VDA (come l’installazione di programmi o la configurazione di Windows) andrà persa.
  • Casuale: Ogni utente viene assegnato casualmente a un VDA server al momento dell’avvio. Questo tipo di catalogo fornisce alta disponibilità tramite ridondanza. Se un VDA si arresta, nessuna informazione viene persa perché il profilo dell’utente risiede altrove.
  • Windows 10 multisessione: Questo tipo di catalogo funziona allo stesso modo del tipo casuale ma utilizza VDA workstation Windows 10 invece di VDA server.

Backup per cataloghi aggiunti a un dominio

Se il cliente utilizza cataloghi aggiunti a un dominio con un peering VNet, il cliente è responsabile del backup dei propri profili utente. Citrix raccomanda ai clienti di configurare condivisioni file locali e di impostare policy sul proprio Active Directory o sui VDA per recuperare i profili utente da queste condivisioni file. Il cliente è responsabile del backup e della disponibilità di queste condivisioni file.

Ripristino di emergenza

In caso di perdita di dati di Azure, Citrix recupererà il maggior numero possibile di risorse nella sottoscrizione Azure gestita da Citrix. Citrix tenterà di recuperare i Cloud Connector e i VDA. Se Citrix non riesce a recuperare questi elementi, i clienti sono responsabili della creazione di un nuovo catalogo. Citrix presuppone che le immagini macchina siano state sottoposte a backup e che i clienti abbiano eseguito il backup dei propri profili utente, consentendo la ricostruzione del catalogo.

In caso di perdita di un’intera regione Azure, il cliente è responsabile della ricostruzione della propria rete virtuale gestita dal cliente in una nuova regione e della creazione di un nuovo peering VNet all’interno di Citrix DaaS for Azure.

Responsabilità condivise tra Citrix e il cliente

Citrix Cloud Connector per cataloghi aggiunti a un dominio

Citrix DaaS for Azure distribuisce almeno due Cloud Connector in ogni posizione delle risorse. Alcuni cataloghi possono condividere una posizione delle risorse se si trovano nella stessa regione, peering VNet e dominio di altri cataloghi per lo stesso cliente. Citrix configura i Cloud Connector aggiunti a un dominio del cliente per le seguenti impostazioni di sicurezza predefinite sull’immagine:

  • Aggiornamenti del sistema operativo e patch di sicurezza
  • Software antivirus
  • Aggiornamenti software di Cloud Connector

I clienti normalmente non hanno accesso ai Cloud Connector. Tuttavia, possono acquisire l’accesso utilizzando i passaggi di risoluzione dei problemi del catalogo e accedendo con le credenziali di dominio. Il cliente è responsabile di eventuali modifiche apportate durante l’accesso tramite il bastion.

I clienti hanno anche il controllo sui Cloud Connector aggiunti a un dominio tramite i Criteri di gruppo di Active Directory. Il cliente è responsabile di garantire che i criteri di gruppo applicati al Cloud Connector siano sicuri e sensati. Ad esempio, se il cliente sceglie di disabilitare gli aggiornamenti del sistema operativo utilizzando i Criteri di gruppo, il cliente è responsabile dell’esecuzione degli aggiornamenti del sistema operativo sui Cloud Connector. Il cliente può anche scegliere di utilizzare i Criteri di gruppo per imporre una sicurezza più rigorosa rispetto alle impostazioni predefinite di Cloud Connector, ad esempio installando un software antivirus diverso. In generale, Citrix raccomanda ai clienti di inserire i Cloud Connector nella propria unità organizzativa di Active Directory senza policy, in quanto ciò garantirà che le impostazioni predefinite utilizzate da Citrix possano essere applicate senza problemi.

Risoluzione dei problemi

Nel caso in cui il cliente riscontri problemi con il catalogo in Citrix DaaS for Azure, ci sono due opzioni per la risoluzione dei problemi: l’utilizzo di bastion e l’abilitazione dell’accesso RDP. Entrambe le opzioni introducono rischi per la sicurezza del cliente. Il cliente deve comprendere e acconsentire ad assumersi questo rischio prima di utilizzare queste opzioni.

Citrix è responsabile dell’apertura e della chiusura delle porte necessarie per eseguire le operazioni di risoluzione dei problemi e della limitazione delle macchine a cui è possibile accedere durante queste operazioni.

Con l’accesso tramite bastion o RDP, l’utente attivo che esegue l’operazione è responsabile della sicurezza delle macchine a cui si accede. Se il cliente accede al VDA o al Cloud Connector tramite RDP e contrae accidentalmente un virus, il cliente è responsabile. Se il personale del supporto Citrix accede a queste macchine, è responsabilità di tale personale eseguire le operazioni in modo sicuro. La responsabilità per eventuali vulnerabilità esposte da qualsiasi persona che accede al bastion o ad altre macchine nella distribuzione (ad esempio, responsabilità del cliente di aggiungere intervalli IP all’elenco consentiti, responsabilità di Citrix di implementare correttamente gli intervalli IP) è trattata altrove in questo documento.

In entrambi gli scenari, Citrix è responsabile della creazione corretta delle eccezioni firewall per consentire il traffico RDP. Citrix è anche responsabile della revoca di queste eccezioni dopo che il cliente elimina il bastion o termina l’accesso RDP tramite Citrix DaaS for Azure.

Bastion

Citrix può creare bastion nella rete virtuale gestita da Citrix del cliente all’interno della sottoscrizione gestita da Citrix del cliente per diagnosticare e risolvere i problemi, sia in modo proattivo (senza notifica al cliente) sia in risposta a un problema sollevato dal cliente. Il bastion è una macchina a cui il cliente può accedere tramite RDP e quindi utilizzare per accedere ai VDA e (per i cataloghi aggiunti a un dominio) ai Cloud Connector tramite RDP per raccogliere log, riavviare servizi o eseguire altre attività amministrative. Per impostazione predefinita, la creazione di un bastion apre una regola firewall esterna per consentire il traffico RDP da un intervallo di indirizzi IP specificato dal cliente alla macchina bastion. Apre anche una regola firewall interna per consentire l’accesso ai Cloud Connector e ai VDA tramite RDP. L’apertura di queste regole comporta un grande rischio per la sicurezza.

Il cliente è responsabile di fornire una password complessa utilizzata per l’account Windows locale. Il cliente è anche responsabile di fornire un intervallo di indirizzi IP esterno che consenta l’accesso RDP al bastion. Se il cliente sceglie di non fornire un intervallo IP (consentendo a chiunque di tentare l’accesso RDP), il cliente è responsabile di qualsiasi accesso tentato da indirizzi IP dannosi.

Il cliente è anche responsabile dell’eliminazione del bastion una volta completata la risoluzione dei problemi. L’host bastion espone una superficie di attacco aggiuntiva, quindi Citrix spegne automaticamente la macchina otto (8) ore dopo l’accensione. Tuttavia, Citrix non elimina mai automaticamente un bastion. Se il cliente sceglie di utilizzare il bastion per un periodo di tempo prolungato, è responsabile dell’applicazione di patch e dell’aggiornamento. Citrix raccomanda che un bastion venga utilizzato solo per diversi giorni prima di essere eliminato. Se il cliente desidera un bastion aggiornato, può eliminare quello attuale e quindi crearne uno nuovo, che fornirà una macchina fresca con le ultime patch di sicurezza.

Accesso RDP

Per i cataloghi aggiunti a un dominio, se il peering VNet del cliente è funzionante, il cliente può abilitare l’accesso RDP dalla propria VNet in peering alla propria VNet gestita da Citrix. Se il cliente utilizza questa opzione, è responsabile dell’accesso ai VDA e ai Cloud Connector tramite il peering VNet. È possibile specificare intervalli di indirizzi IP di origine in modo che l’accesso RDP possa essere ulteriormente limitato, anche all’interno della rete interna del cliente. Il cliente dovrà utilizzare le credenziali di dominio per accedere a queste macchine. Se il cliente sta lavorando con il supporto Citrix per risolvere un problema, potrebbe dover condividere queste credenziali con il personale di supporto. Una volta risolto il problema, il cliente è responsabile della disabilitazione dell’accesso RDP. Mantenere l’accesso RDP aperto dalla rete in peering o locale del cliente comporta un rischio per la sicurezza.

Credenziali di dominio

Se il cliente sceglie di utilizzare un catalogo aggiunto a un dominio, è responsabile di fornire a Citrix DaaS for Azure un account di dominio (nome utente e password) con le autorizzazioni per aggiungere macchine al dominio. Quando si forniscono le credenziali di dominio, il cliente è responsabile di attenersi ai seguenti principi di sicurezza:

  • Verificabile: L’account deve essere creato specificamente per l’utilizzo di Citrix DaaS for Azure in modo che sia facile verificare a cosa serve l’account.
  • Con ambito: L’account richiede solo le autorizzazioni per aggiungere macchine a un dominio. Non dovrebbe essere un amministratore di dominio completo.
  • Sicuro: All’account deve essere assegnata una password complessa.

Citrix è responsabile dell’archiviazione sicura di questo account di dominio in un Azure Key Vault nella sottoscrizione Azure gestita da Citrix del cliente. L’account viene recuperato solo se un’operazione richiede la password dell’account di dominio.

Ulteriori informazioni

Per informazioni correlate, vedere:

Panoramica sulla sicurezza tecnica
August 8, 2025
Grazie al contributo di: 
C
August 8, 2025
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.