Panoramica tecnica sulla sicurezza

Il diagramma seguente mostra i componenti di una distribuzione Citrix DaaS Standard per Azure (in precedenza Citrix Virtual Apps and Desktops Standard for Azure). In questo esempio viene utilizzata una connessione di peering VNet.

Componenti Citrix DaaS per Azure e connessione peer Azure VNet

Con Citrix DaaS for Azure, i Virtual Delivery Agent (VDA) del cliente che distribuiscono desktop e app, oltre a Citrix Cloud Connectors, vengono distribuiti in una sottoscrizione di Azure e in un tenant gestiti da Citrix.

NOTA:

Questo articolo fornisce una panoramica dei requisiti di sicurezza per i clienti che distribuiscono Citrix DaaS per Azure utilizzando una sottoscrizione Citrix Managed Azure. Per una panoramica dell’architettura di una distribuzione di Citrix DaaS per Azure che utilizza una sottoscrizione di Azure gestita dal cliente, incluse le informazioni sulla sicurezza, consulta Architettura di riferimento: servizio Virtual Apps and Desktops - Azure.

Conformità basata su cloud Citrix

A gennaio 2021, l’utilizzo di Citrix Managed Azure Capacity con varie edizioni Citrix DaaS e Workspace Premium Plus non è stato valutato per Citrix SOC 2 (Tipo 1 o 2), ISO 27001, HIPAA o altri requisiti di conformità cloud. Visitare il Citrix Trust Center per ulteriori informazioni sulle certificazioni Citrix Cloud e controllare frequentemente gli aggiornamenti.

Responsabilità di Citrix

Citrix Cloud Connector per cataloghi non aggiunti a un dominio

Citrix DaaS for Azure distribuisce almeno due connettori cloud in ogni posizione delle risorse. Alcuni cataloghi possono condividere una posizione risorsa se si trovano nella stessa area geografica di altri cataloghi per lo stesso cliente.

Citrix è responsabile delle seguenti operazioni di sicurezza su Cloud Connector di cataloghi non aggiunti a un dominio:

  • Applicazione di aggiornamenti del sistema operativo e patch di sicurezza
  • Installazione e manutenzione di software antivirus
  • Applicazione degli aggiornamenti software di Cloud Connector

I clienti non hanno accesso ai Cloud Connector. Pertanto, Citrix è interamente responsabile delle prestazioni dei Cloud Connector dei cataloghi non aggiunti a un dominio.

Sottoscrizione di Azure e Azure Active Directory

Citrix è responsabile della sicurezza della sottoscrizione di Azure e di Azure Active Directory (AAD) create per il cliente. Citrix garantisce l’isolamento dei tenant, in modo che ogni cliente abbia la propria sottoscrizione di Azure e la propria AAD, evitando così il cross-talk tra tenant diversi. Citrix limita inoltre l’accesso all’AAD al Citrix DaaS solo per il personale operativo di Azure e Citrix. L’accesso di Citrix alla sottoscrizione di Azure di ogni cliente viene verificato.

I clienti che utilizzano cataloghi non aggiunti a un dominio possono utilizzare l’AAD gestita da Citrix come mezzo di autenticazione per Citrix Workspace. Per questi clienti, Citrix crea account utente con privilegi limitati nell’AAD gestita da Citrix. Tuttavia, né gli utenti né gli amministratori dei clienti possono eseguire alcuna azione sull’AAD gestita da Citrix. Se questi clienti scelgono di utilizzare la propria AAD, sono interamente responsabili della sicurezza.

Reti e infrastruttura virtuali

Nell’ambito della sottoscrizione Citrix Managed Azure del cliente, Citrix crea reti virtuali per isolare le posizioni risorse. All’interno di tali reti, Citrix crea macchine virtuali per VDA, Cloud Connector e macchine per la creazione di immagini, oltre agli account di archiviazione, agli insiemi di credenziali delle chiavi e ad altre risorse di Azure. Citrix, in collaborazione con Microsoft, è responsabile della sicurezza delle reti virtuali, inclusi i firewall delle reti virtuali.

Citrix garantisce che il criterio firewall di Azure predefinito (gruppi di sicurezza di rete) sia configurato per limitare l’accesso alle interfacce di rete nel peering VNet e nelle connessioni SD-WAN. In genere, controlla il traffico in entrata verso VDA e Cloud Connector. Per ulteriori informazioni, vedere:

I clienti non possono modificare questo criterio firewall predefinito, ma possono implementare regole firewall aggiuntive sulle macchine VDA create da Citrix, ad esempio per limitare parzialmente il traffico in uscita. I clienti che installano client di reti private virtuali o altro software in grado di aggirare le regole del firewall su macchine VDA create da Citrix sono responsabili di eventuali rischi per la sicurezza che potrebbero insorgere.

Quando si utilizza il generatore di immagini in Citrix DaaS for Azure per creare e personalizzare una nuova immagine macchina, le porte 3389-3390 vengono aperte temporaneamente nella VNet gestita da Citrix, in modo che il cliente possa RDP sulla macchina contenente la nuova immagine macchina, per personalizzarla.

Responsabilità di Citrix nell’utilizzo delle connessioni di peering di Azure VNet

Affinché VDA in Citrix DaaS for Azure possano contattare controller di dominio locali, condivisioni di file o altre risorse intranet, Citrix DaaS for Azure fornisce un flusso di lavoro di peering VNet come opzione di connettività. La rete virtuale gestita da Citrix del cliente viene sottoposta a peering con una rete virtuale di Azure gestita dal cliente. La rete virtuale gestita dal cliente può abilitare la connettività con le risorse locali del cliente utilizzando la soluzione di connettività da cloud a locale scelta dal cliente, ad esempio Azure ExpressRoute o tunnel iPsec.

La responsabilità di Citrix per il peering VNet è limitata al supporto del flusso di lavoro e della relativa configurazione delle risorse di Azure per stabilire relazioni di peering tra Citrix e le VNet gestite dal cliente.

Criteri firewall per le connessioni di peering di Azure VNet

Citrix apre o chiude le seguenti porte per il traffico in entrata e in uscita che utilizza una connessione di peering VNet.

VNet gestita da Citrix con macchine non aggiunte a un dominio
  • Regole in entrata
    • Porte in ingresso 80, 443, 1494 e 2598 consentite dai VDA ai Cloud Connector e dai Cloud Connector ai VDA.
    • Porte 49152-65535 in ingresso consentite per i VDA di un intervallo di indirizzi IP utilizzato dalla funzionalità di monitoraggio dello shadowing. Vedere Porte di comunicazione utilizzate da Citrix Technologies.
    • Tutto l’altro traffico in entrata viene negato. Ciò include il traffico intra-VNet da VDA a VDA e da VDA a Cloud Connector.
  • Regole in uscita
    • Tutto il traffico in uscita è consentito.
VNet gestita da Citrix con macchine aggiunte a un dominio
  • Regole in entrata:
    • Porte 80, 443, 1494 e 2598 in ingresso consentite dai VDA ai Cloud Connector e dai Cloud Connector ai VDA.
    • Porte 49152-65535 in ingresso consentite per i VDA di un intervallo di indirizzi IP utilizzato dalla funzionalità di monitoraggio dello shadowing. Vedere Porte di comunicazione utilizzate da Citrix Technologies.
    • Tutto l’altro traffico in entrata viene negato. Ciò include il traffico intra-VNet da VDA a VDA e da VDA a Cloud Connector.
  • Regole in uscita
    • Tutto il traffico in uscita è consentito.
VNet gestita dal cliente con macchine aggiunte a un dominio
  • È responsabilità del cliente configurare correttamente la VNet. Ciò include l’apertura delle seguenti porte per l’aggiunta al dominio.
  • Regole in entrata:
    • Ingresso consentito sulle porte 443, 1494, 2598 dagli IP client per i lanci interni.
    • Ingresso consentito sulle porte 53, 88, 123, 135-139, 389, 445, 636 da Citrix VNet (intervallo di indirizzi IP specificato dal cliente).
    • Ingresso consentito sulle porte aperte con una configurazione proxy.
    • Altre regole create dal cliente.
  • Regole in uscita:
    • Uscita consentita sulle porte 443, 1494, 2598 verso Citrix VNet (intervallo di indirizzi IP specificato dal cliente) per i lanci interni.
    • Altre regole create dal cliente.

Responsabilità di Citrix per l’utilizzo della connettività SD-WAN

Citrix supporta un modo completamente automatizzato di distribuire istanze Citrix SD-WAN virtuali per abilitare la connettività tra Citrix DaaS for Azure e le risorse locali. La connettività Citrix SD-WAN presenta numerosi vantaggi rispetto al peering VNet, tra cui:

Elevata affidabilità e sicurezza delle connessioni dal VDA al centro dati e dal VDA alla filiale (ICA).

  • La migliore esperienza utente finale per chi lavora in ufficio, con funzionalità QoS avanzate e ottimizzazioni VoIP.
  • Capacità integrata di ispezionare, assegnare priorità e creare report sul traffico di rete Citrix HDX e sull’utilizzo di altre applicazioni.

Citrix richiede ai clienti che desiderano sfruttare la connettività SD-WAN per Citrix DaaS for Azure di utilizzare SD-WAN Orchestrator per la gestione delle loro reti Citrix SD-WAN.

Il diagramma seguente mostra i componenti aggiunti in una distribuzione Citrix DaaS per Azure utilizzando la connettività SD-WAN.

Citrix DaaS per Azure con connettività SD-WAN

La distribuzione di Citrix SD-WAN per Citrix DaaS for Azure è simile alla configurazione di distribuzione di Azure standard per Citrix SD-WAN. Per ulteriori informazioni, vedere Distribuire l’istanza Citrix SD-WAN Standard Edition su Azure. In una configurazione ad alta disponibilità, una coppia attiva/standby di istanze SD-WAN con sistemi di bilanciamento del carico di Azure viene distribuita come gateway tra la subnet contenente i VDA e i Cloud Connector e Internet. In una configurazione non HA, come gateway viene distribuita solo una singola istanza SD-WAN. Alle interfacce di rete delle appliance SD-WAN virtuali vengono assegnati indirizzi da un intervallo di indirizzi ridotto separato suddiviso in due subnet.

Quando si configura la connettività SD-WAN, Citrix apporta alcune modifiche alla configurazione di rete dei desktop gestiti descritta sopra. In particolare, tutto il traffico in uscita dalla rete virtuale, incluso il traffico verso destinazioni Internet, viene instradato attraverso l’istanza cloud SD-WAN. L’istanza SD-WAN è inoltre configurata per essere il server DNS per la VNet gestita da Citrix.

L’accesso in gestione alle istanze SD-WAN virtuali richiede un login e una password amministratore. A ogni istanza di SD-WAN viene assegnata una password sicura univoca e casuale che può essere utilizzata dagli amministratori SD-WAN per l’accesso remoto e la risoluzione dei problemi tramite l’interfaccia utente di SD-WAN Orchestrator, l’interfaccia utente di gestione dell’appliance virtuale e l’interfaccia della riga di comando.

Proprio come altre risorse specifiche del tenant, le istanze SD-WAN virtuali distribuite in una VNet specifica del cliente sono completamente isolate da tutte le altre VNet.

Quando il cliente abilita la connettività Citrix SD-WAN, Citrix automatizza la distribuzione iniziale delle istanze SD-WAN virtuali utilizzate con Citrix DaaS for Azure, mantiene le risorse Azure sottostanti (macchine virtuali, bilanciatori del carico e così via), fornisce impostazioni predefinite sicure ed efficienti pronte all’uso per la configurazione iniziale delle istanze SD-WAN virtuali e consente la manutenzione continua e la risoluzione dei problemi tramite SD-WAN Orchestrator. Citrix adotta inoltre misure ragionevoli per eseguire la convalida automatica della configurazione di rete SD-WAN, verificare la presenza di rischi noti per la sicurezza e visualizzare gli avvisi corrispondenti tramite SD-WAN Orchestrator.

Criteri firewall per le connessioni SD-WAN

Citrix utilizza i criteri firewall di Azure (gruppi di sicurezza di rete) e l’assegnazione di indirizzi IP pubblici per limitare l’accesso alle interfacce di rete delle appliance SD-WAN virtuali:

  • Solo alle interfacce WAN e di gestione vengono assegnati indirizzi IP pubblici e tali interfacce consentono la connettività in uscita a Internet.
  • Le interfacce LAN, che fungono da gateway per la VNet gestita da Citrix, possono scambiare traffico di rete solo con macchine virtuali sulla stessa VNet.
  • Le interfacce WAN limitano il traffico in ingresso alla porta UDP 4980 (utilizzata da Citrix SD-WAN per la connettività dei percorsi virtuali) e negano il traffico in uscita verso la VNet.
  • Le porte di gestione consentono il traffico in entrata verso le porte 443 (HTTPS) e 22 (SSH).
  • Le interfacce HA sono consentite solo per lo scambio reciproco del traffico di controllo.

Accesso all’infrastruttura

Citrix può accedere all’infrastruttura gestita da Citrix del cliente (Cloud Connector) per eseguire determinate attività amministrative come la raccolta di registri (incluso il Visualizzatore eventi di Windows) e il riavvio dei servizi senza avvisare il cliente. Citrix è responsabile dell’esecuzione di queste attività in modo sicuro e con un impatto minimo per il cliente. Citrix è inoltre responsabile di garantire che tutti i file di registro vengano recuperati, trasportati e gestiti in modo sicuro e protetto. Non è possibile accedere ai VDA dei clienti in questo modo.

Backup per cataloghi non aggiunti a un dominio

Citrix non è responsabile dell’esecuzione di backup di cataloghi non aggiunti a un dominio.

Backup per immagini delle macchine

Citrix è responsabile del backup di tutte le immagini di macchine caricate su Citrix DaaS per Azure, comprese le immagini create con il generatore di immagini. Citrix utilizza l’archiviazione ridondante locale per queste immagini.

Bastioni per cataloghi non aggiunti a un dominio

Il personale operativo di Citrix ha la possibilità di creare un bastione, se necessario, per accedere alla sottoscrizione di Azure del cliente gestita da Citrix per diagnosticare e risolvere i problemi del cliente, potenzialmente prima che il cliente li riscontri. Citrix non richiede il consenso del cliente per creare un bastione. Quando crea il bastione, Citrix crea una password complessa generata casualmente per il bastione e limita l’accesso RDP agli indirizzi IP NAT di Citrix. Quando il bastione non è più necessario, Citrix lo elimina e la password non è più valida. Il bastione e le relative regole di accesso RDP vengono eliminati al termine dell’operazione. Citrix può accedere solo ai Cloud Connector non aggiunti a un dominio del cliente con il bastione. Citrix non dispone della password per accedere ai VDA non aggiunti a un dominio o ai Cloud Connector e ai VDA aggiunti a un dominio.

Criteri firewall quando si utilizzano strumenti per la risoluzione dei problemi

Quando un cliente richiede la creazione di una macchina bastione per la risoluzione dei problemi, vengono apportate le seguenti modifiche al gruppo di sicurezza nella VNet gestita da Citrix:

  • Viene consentita temporaneamente la porta 3389 in entrata dall’intervallo di indirizzi IP specificato dal cliente verso il bastione.
  • Viene consentita temporaneamente la porta 3389 in entrata dall’indirizzo IP del bastione a qualsiasi indirizzo nella VNet (VDA e Cloud Connector).
  • Si continua a bloccare l’accesso RDP tra i Cloud Connector, i VDA e altri VDA.

Quando un cliente abilita l’accesso RDP per la risoluzione dei problemi, vengono apportate le seguenti modifiche al gruppo di sicurezza nella VNet gestita da Citrix:

  • Viene consentita temporaneamente la porta 3389 in entrata dall’intervallo di indirizzi IP specificato dal cliente a qualsiasi indirizzo nella VNet (VDA e Cloud Connector).
  • Si continua a bloccare l’accesso RDP tra i Cloud Connector, i VDA e altri VDA.

Sottoscrizioni gestite dal cliente

Per le sottoscrizioni gestite dal cliente, Citrix aderisce alle responsabilità di cui sopra durante la distribuzione delle risorse di Azure. Dopo la distribuzione, tutto quanto indicato sopra è di responsabilità del cliente, in quanto è il proprietario della sottoscrizione di Azure.

Sottoscrizioni gestite dal cliente

Responsabilità del cliente

VDA e immagini delle macchine

Il cliente è responsabile di tutti gli aspetti del software installato sulle macchine VDA, tra cui:

  • Aggiornamenti del sistema operativo e patch di sicurezza
  • Antivirus e antimalware
  • Aggiornamenti e patch di sicurezza del software del VDA
  • Regole firewall software aggiuntive (in particolare per il traffico in uscita)
  • Attenersi alle considerazioni sulla sicurezza e alle procedure consigliate di Citrix

Citrix fornisce un’immagine preparata che funge da punto di partenza. I clienti possono utilizzare questa immagine a scopo dimostrativo o come Proof of Concept (POC), oppure come base per creare la propria immagine della macchina. Citrix non garantisce la sicurezza di questa immagine preparata. Citrix tenterà di mantenere aggiornati il sistema operativo e il software del VDA sull’immagine preparata e abiliterà Windows Defender su queste immagini.

Responsabilità del cliente nell’utilizzo del peering VNet

Il cliente deve aprire tutte le porte specificate nella VNet gestita dal cliente con macchine aggiunte a un dominio.

Quando viene configurato il peering VNet, il cliente è responsabile della sicurezza della propria rete virtuale e della connettività alle risorse locali. Il cliente è inoltre responsabile della sicurezza del traffico in entrata dalla rete virtuale con peering gestita da Citrix. Citrix non intraprende alcuna azione per bloccare il traffico dalla rete virtuale gestita da Citrix alle risorse locali del cliente.

I clienti hanno a disposizione le seguenti opzioni per limitare il traffico in entrata:

  • Fornire alla rete virtuale gestita da Citrix un blocco IP che non è utilizzato altrove nella rete locale del cliente o nella rete virtuale connessa gestita dal cliente. Questa operazione è necessaria per il peering VNet.
  • Aggiungere i gruppi di sicurezza e i firewall della rete di Azure nella rete virtuale del cliente e nella rete locale per bloccare o limitare il traffico proveniente dal blocco IP gestito da Citrix.
  • Implementare misure come sistemi di prevenzione delle intrusioni, firewall del software e motori di analisi comportamentale nella rete virtuale del cliente e nella rete locale, mirando al blocco IP gestito da Citrix.

Responsabilità del cliente nell’utilizzo della connettività SD-WAN

Quando la connettività SD-WAN è configurata, i clienti hanno piena flessibilità per configurare le istanze SD-WAN virtuali utilizzate con Citrix DaaS for Azure in base ai loro requisiti di rete, ad eccezione di alcuni elementi necessari per garantire il corretto funzionamento di SD-WAN nella VNet gestita da Citrix. Le responsabilità del cliente includono:

  • Progettazione e configurazione di regole di routing e firewall, incluse le regole per il DNS e il breakout del traffico Internet.
  • Manutenzione della configurazione della rete SD-WAN.
  • Monitoraggio dello stato operativo della rete.
  • Implementazione tempestiva di aggiornamenti software o correzioni di sicurezza di Citrix SD-WAN. Poiché tutte le istanze di Citrix SD-WAN su una rete del cliente devono eseguire la stessa versione del software SD-WAN, le distribuzioni di versioni software aggiornate su Citrix DaaS per le istanze SD-WAN di Azure devono essere gestite dai clienti in base alle pianificazioni e ai vincoli di manutenzione della rete.

Una configurazione errata delle regole di routing e firewall SD-WAN o una cattiva gestione delle password di gestione della SD-WAN possono comportare rischi per la sicurezza sia per le risorse virtuali in Citrix DaaS per Azure, sia per le risorse locali raggiungibili tramite i percorsi virtuali Citrix SD-WAN. Un altro possibile rischio per la sicurezza deriva dal mancato aggiornamento del software Citrix SD-WAN all’ultima versione di patch disponibile. Mentre SD-WAN Orchestrator e altri servizi Citrix Cloud forniscono i mezzi per affrontare tali rischi, i clienti sono in ultima analisi responsabili di garantire che le istanze SD-WAN virtuali siano configurate in modo appropriato.

Proxy

Il cliente può scegliere se utilizzare un proxy per il traffico in uscita dal VDA. Se viene utilizzato un proxy, il cliente è responsabile di quanto segue:

  • Configurazione delle impostazioni proxy sull’immagine della macchina VDA o, se il VDA è aggiunto a un dominio, utilizzando Criteri di gruppo di Active Directory.
  • Manutenzione e sicurezza del proxy.

Non è consentito utilizzare proxy con Citrix Cloud Connector o altre infrastrutture gestite da Citrix.

Citrix offre tre tipi di cataloghi con diversi livelli di resilienza:

  • Statico: ogni utente è assegnato a un singolo VDA. Questo tipo di catalogo non garantisce un’elevata disponibilità. Se il VDA di un utente non funziona, ne occorrerà uno nuovo per il ripristino. Azure offre un contratto di servizio del 99,5% per le macchine virtuali a istanza singola. Il cliente può comunque eseguire il backup del profilo utente, ma tutte le personalizzazioni apportate al VDA (ad esempio l’installazione di programmi o la configurazione di Windows) andranno perse.
  • Casuale: ogni utente viene assegnato casualmente a un server VDA al momento del lancio. Questo tipo di catalogo offre un’elevata disponibilità grazie alla ridondanza. Se un VDA non funziona, nessuna informazione viene persa perché il profilo dell’utente risiede altrove.
  • Multisessione di Windows 10: questo tipo di catalogo funziona allo stesso modo del tipo casuale ma utilizza VDA di workstation Windows 10 anziché VDA del server.

Backup per cataloghi aggiunti a un dominio

Se il cliente utilizza cataloghi aggiunti a un dominio con un peering VNet, è responsabile del backup dei propri profili utente. Citrix consiglia ai clienti di configurare le condivisioni di file locali e di impostare criteri sulla propria Active Directory o sui propri VDA per estrarre i profili utente da queste condivisioni di file. Il cliente è responsabile del backup e della disponibilità di queste condivisioni di file.

Disaster recovery

In caso di perdita di dati di Azure, Citrix recupererà quante più risorse possibili nella sottoscrizione Azure gestita da Citrix. Citrix tenterà di ripristinare i Cloud Connector e i VDA. Se Citrix non riesce a recuperare questi elementi, i clienti sono responsabili della creazione di un nuovo catalogo. Citrix presuppone che venga eseguito il backup delle immagini delle macchine e che i clienti abbiano eseguito il backup dei loro profili utente, consentendo la ricostruzione del catalogo.

In caso di perdita di un’intera area di Azure, il cliente è responsabile della ricostruzione della propria rete virtuale gestita dal cliente in una nuova regione e della creazione di un nuovo peering VNet o di una nuova istanza SD-WAN all’interno di Citrix DaaS for Azure.

Citrix e le responsabilità condivise con i clienti

Citrix Cloud Connector per cataloghi aggiunti a un dominio

Citrix DaaS for Azure distribuisce almeno due connettori cloud in ogni posizione delle risorse. Alcuni cataloghi possono condividere una posizione risorsa se si trovano nella stessa area geografica, nello stesso peering VNet e nello stesso dominio di altri cataloghi per lo stesso cliente. Citrix configura i Cloud Connector aggiunti a un dominio del cliente per le seguenti impostazioni di sicurezza predefinite nell’immagine:

  • Aggiornamenti del sistema operativo e patch di sicurezza
  • Software antivirus
  • Aggiornamenti software di Cloud Connector

Normalmente i clienti non hanno accesso ai Cloud Connector. Tuttavia, possono acquisire l’accesso utilizzando la procedura di risoluzione dei problemi del catalogo e accedendo con le credenziali di dominio. Il cliente è responsabile di eventuali modifiche apportate al momento dell’accesso tramite il bastione.

I clienti hanno anche il controllo sui Cloud Connector aggiunti a un dominio tramite i Criteri di gruppo di Active Directory. Il cliente è responsabile di garantire che i criteri di gruppo applicabili a Cloud Connector siano sicuri e ragionevoli. Ad esempio, se il cliente sceglie di disabilitare gli aggiornamenti del sistema operativo utilizzando Criteri di gruppo, è responsabile dell’esecuzione degli aggiornamenti del sistema operativo sui Cloud Connector. Il cliente può anche scegliere di utilizzare Criteri di gruppo per applicare una protezione più rigorosa rispetto alle impostazioni predefinite di Cloud Connector, ad esempio installando un software antivirus diverso. In generale, Citrix consiglia ai clienti di posizionare i Cloud Connector nella propria unità organizzativa di Active Directory senza criteri, in quanto ciò garantirà che le impostazioni predefinite utilizzate da Citrix possano essere applicate senza problemi.

Risoluzione dei problemi

Nel caso in cui il cliente riscontrasse problemi con il catalogo in Citrix DaaS per Azure, ci sono due opzioni per la risoluzione dei problemi: utilizzare bastions e abilitare l’accesso RDP. Entrambe le opzioni comportano rischi per la sicurezza per il cliente. Il cliente deve comprendere questi rischi e acconsentirvi prima di utilizzare queste opzioni.

Citrix è responsabile dell’apertura e della chiusura delle porte necessarie per eseguire le operazioni di risoluzione dei problemi e della limitazione delle macchine a cui è possibile accedere durante queste operazioni.

Con i bastioni o l’accesso RDP, l’utente attivo che esegue l’operazione è responsabile della sicurezza delle macchine a cui viene effettuato l’accesso. Se il cliente accede a VDA o Cloud Connector tramite RDP e contrae accidentalmente un virus, la responsabilità è sua. Se il personale di supporto Citrix accede a queste macchine, ha la responsabilità di eseguire le operazioni in sicurezza. La responsabilità per eventuali vulnerabilità esposte da qualsiasi persona che accede al bastione o ad altre macchine nella distribuzione (ad esempio, la responsabilità del cliente di aggiungere intervalli di indirizzi IP per all’elenco di elementi consentiti, la responsabilità di Citrix di implementare correttamente gli intervalli di indirizzi IP) è trattata altrove in questo documento.

In entrambi gli scenari, Citrix è responsabile della corretta creazione di eccezioni firewall per consentire il traffico RDP. Citrix è inoltre responsabile della revoca di queste eccezioni dopo che il cliente ha eliminato il bastione o ha terminato l’accesso RDP tramite Citrix DaaS for Azure.

Bastioni

Citrix può creare bastioni nella rete virtuale gestita da Citrix del cliente all’interno della sottoscrizione gestita da Citrix del cliente per diagnosticare e risolvere i problemi in modo proattivo (senza notificare il cliente) o in risposta a un problema sollevato dal cliente. Il bastione è una macchina a cui il cliente può accedere tramite RDP e quindi utilizzare per accedere ai VDA e (per i cataloghi aggiunti a un dominio) ai Cloud Connector tramite RDP per raccogliere registri, riavviare servizi o eseguire altre attività amministrative. Per impostazione predefinita, la creazione di un bastione apre una regola del firewall esterno per consentire il traffico RDP da un intervallo di indirizzi IP specificato dal cliente alla macchina bastione. Apre inoltre una regola firewall interna per consentire l’accesso ai Cloud Connector e ai VDA tramite RDP. L’apertura di queste regole comporta un notevole rischio per la sicurezza.

Il cliente ha la responsabilità di fornire una password complessa utilizzata per l’account Windows locale. Il cliente ha inoltre la responsabilità di fornire un intervallo di indirizzi IP esterno che consente l’accesso RDP al bastione. Se il cliente sceglie di non fornire un intervallo di indirizzi IP (consentendo a chiunque di tentare l’accesso RDP), è responsabile di qualsiasi tentativo di accesso tentato da indirizzi IP dannosi.

Il cliente è inoltre responsabile dell’eliminazione del bastione al termine della risoluzione dei problemi. L’host del bastione espone una superficie di attacco aggiuntiva, quindi Citrix spegne automaticamente la macchina otto (8) ore dopo l’accensione. Tuttavia, Citrix non elimina mai automaticamente un bastione. Se il cliente sceglie di utilizzare il bastione per un lungo periodo di tempo, è responsabile dell’applicazione delle patch e dell’aggiornamento. Citrix consiglia di utilizzare un bastione solo per alcuni giorni prima di eliminarlo. Se il cliente desidera un bastione aggiornato, può eliminare quello attuale e quindi crearne uno nuovo, che fornirà una nuova macchina con le ultime patch di sicurezza.

Accesso RDP

Per i cataloghi aggiunti a un dominio, se il peering VNet del cliente è funzionale, il cliente può abilitare l’accesso RDP dalla propria VNet con peering alla VNet gestita da Citrix. Se il cliente utilizza questa opzione, è responsabile dell’accesso ai VDA e ai Cloud Connector tramite il peering VNet. È possibile specificare intervalli di indirizzi IP di origine in modo che l’accesso RDP possa essere ulteriormente limitato, anche nell’ambito della rete interna del cliente. Il cliente dovrà utilizzare le credenziali di dominio per accedere a questi computer. Se il cliente sta collaborando con il supporto Citrix per risolvere un problema, potrebbe dover condividere queste credenziali con il personale di supporto. Dopo aver risolto il problema, il cliente è responsabile della disabilitazione dell’accesso RDP. Mantenere aperto l’accesso RDP dalla rete con peering o on-premise del cliente rappresenta un rischio per la sicurezza.

Credenziali di dominio

Se il cliente sceglie di utilizzare un catalogo aggiunto a un dominio, è responsabile di fornire a Citrix DaaS per Azure un account di dominio (nome utente e password) con le autorizzazioni per unire le macchine al dominio. Quando fornisce le credenziali di dominio, il cliente è responsabile del rispetto dei seguenti principi di sicurezza:

  • Verificabile: l’account deve essere creato appositamente per Citrix DaaS per l’utilizzo di Azure in modo che sia facile controllare a cosa serve l’account.
  • Limitazione dell’ambito: l’account richiede solo le autorizzazioni per aggiungere macchine a un dominio. Non deve essere un amministratore di dominio completo.
  • Sicurezza: è necessario proteggere l’account con una password complessa.

Citrix è responsabile dell’archiviazione sicura di questo account di dominio in un Azure Key Vault nella sottoscrizione di Azure gestita da Citrix del cliente. L’account viene recuperato solo se un’operazione richiede la password dell’account di dominio.

Ulteriori informazioni

Per informazioni correlate, vedere:

Panoramica tecnica sulla sicurezza