Obrigado pelo feedback

Este artigo foi traduzido automaticamente.(Aviso legal)

Visão geral da segurança técnica

O diagrama a seguir mostra os componentes em uma implantação do Citrix DaaS Standard para Azure (antigo Citrix Virtual Apps and Desktops Standard para Azure). Este exemplo usa uma conexão de peering de VNet.

Citrix DaaS para componentes do Azure e conexão de pares do Azure VNet

Com o Citrix DaaS para Azure, os Virtual Delivery Agents (VDAs) do cliente que entregam desktops e aplicativos, além dos Citrix Cloud Connectors, são implantados em uma assinatura e locatário do Azure gerenciados pela Citrix.

OBSERVAÇÃO:

Este artigo fornece uma visão geral dos requisitos de segurança para clientes que implantam o Citrix DaaS para Azure usando uma assinatura do Citrix Managed Azure. Para uma visão geral arquitetônica de uma implantação do Citrix DaaS para Azure usando uma assinatura do Azure gerenciada pelo cliente, incluindo informações de segurança, consulte Arquitetura de referência: serviço de aplicativos e desktops virtuais - Azure.

Conformidade baseada em nuvem Citrix

Em janeiro de 2021, o uso do Citrix Managed Azure Capacity com várias edições do Citrix DaaS e do Workspace Premium Plus não foi avaliado para Citrix SOC 2 (Tipo 1 ou 2), ISO 27001, HIPAA ou outros requisitos de conformidade na nuvem. Visite o Citrix Trust Center para obter mais informações sobre as certificações Citrix Cloud e volte sempre para conferir as atualizações.

Responsabilidade Citrix

Citrix Cloud Connectors para catálogos não associados a domínios

O Citrix DaaS para Azure implanta pelo menos dois Cloud Connectors em cada local de recurso. Alguns catálogos podem compartilhar um local de recurso se estiverem na mesma região que outros catálogos do mesmo cliente.

A Citrix é responsável pelas seguintes operações de segurança em Cloud Connectors de catálogo não associados a domínios:

  • Aplicação de atualizações do sistema operacional e patches de segurança
  • Instalação e manutenção de software antivírus
  • Aplicando atualizações de software do Cloud Connector

Os clientes não têm acesso aos Cloud Connectors. Portanto, a Citrix é totalmente responsável pelo desempenho dos Cloud Connectors de catálogo não associados ao domínio.

Assinatura do Azure e Azure Active Directory

A Citrix é responsável pela segurança da assinatura do Azure e do Azure Active Directory (AAD) criados para o cliente. A Citrix garante o isolamento do locatário, para que cada cliente tenha sua própria assinatura do Azure e AAD, e a interferência entre diferentes locatários seja evitada. A Citrix também restringe o acesso ao AAD ao Citrix DaaS apenas para o pessoal de operações do Azure e da Citrix. O acesso da Citrix à assinatura do Azure de cada cliente é auditado.

Os clientes que utilizam catálogos não associados a domínios podem usar o AAD gerenciado pela Citrix como um meio de autenticação para o Citrix Workspace. Para esses clientes, a Citrix cria contas de usuário com privilégios limitados no AAD gerenciado pela Citrix. No entanto, nem os usuários nem os administradores dos clientes podem executar nenhuma ação no AAD gerenciado pela Citrix. Se esses clientes optarem por usar seu próprio AAD, eles serão totalmente responsáveis por sua segurança.

Redes e infraestrutura virtuais

Dentro da assinatura do Citrix Managed Azure do cliente, a Citrix cria redes virtuais para isolar locais de recursos. Dentro dessas redes, a Citrix cria máquinas virtuais para VDAs, Cloud Connectors e máquinas de criação de imagens, além de contas de armazenamento, Key Vaults e outros recursos do Azure. A Citrix, em parceria com a Microsoft, é responsável pela segurança das redes virtuais, incluindo firewalls de rede virtual.

A Citrix garante que a política padrão do firewall do Azure (grupos de segurança de rede) esteja configurada para limitar o acesso às interfaces de rede em conexões de peering de VNet. Geralmente, isso controla o tráfego de entrada para VDAs e Cloud Connectors. Para mais detalhes, veja:

Os clientes não podem alterar esta política de firewall padrão, mas podem implantar regras de firewall adicionais em máquinas VDA criadas pela Citrix; por exemplo, para restringir parcialmente o tráfego de saída. Os clientes que instalam clientes de rede privada virtual ou outros softwares capazes de ignorar regras de firewall em máquinas VDA criadas pela Citrix são responsáveis por quaisquer riscos de segurança que possam resultar.

Ao usar o criador de imagens no Citrix DaaS para Azure para criar e personalizar uma nova imagem de máquina, as portas 3389-3390 são abertas temporariamente na VNet gerenciada pela Citrix, para que o cliente possa fazer RDP na máquina que contém a nova imagem de máquina para personalizá-la.

Responsabilidade da Citrix ao usar conexões de peering do Azure VNet

Para que VDAs no Citrix DaaS para Azure entrem em contato com controladores de domínio locais, compartilhamentos de arquivos ou outros recursos de intranet, o Citrix DaaS para Azure fornece um fluxo de trabalho de peering de VNet como uma opção de conectividade. A rede virtual gerenciada pela Citrix do cliente é pareada com uma rede virtual do Azure gerenciada pelo cliente. A rede virtual gerenciada pelo cliente pode permitir a conectividade com os recursos locais do cliente usando a solução de conectividade da nuvem para o local escolhida pelo cliente, como o Azure ExpressRoute ou túneis iPsec.

A responsabilidade da Citrix pelo peering de VNets se limita ao suporte ao fluxo de trabalho e à configuração de recursos do Azure relacionados para estabelecer um relacionamento de peering entre a Citrix e as VNets gerenciadas pelo cliente.

Política de firewall para conexões de peering de VNet do Azure

O Citrix abre ou fecha as seguintes portas para tráfego de entrada e saída que usa uma conexão de peering de VNet.

VNet gerenciada pela Citrix com máquinas não associadas ao domínio
  • Regras de entrada
    • Permitir portas 80, 443, 1494 e 2598 de entrada de VDAs para Cloud Connectors e de Cloud Connectors para VDAs.
    • Permitir portas 49152-65535 de entrada para os VDAs de um intervalo de IP usado pelo recurso de monitoramento de sombra. Veja Portas de comunicação usadas pela Citrix Technologies.
    • Negar todas as outras entradas. Isso inclui tráfego intra-VNet de VDA para VDA e de VDA para Cloud Connector.
  • Regras de saída
    • Permitir todo o tráfego de saída.
VNet gerenciada pela Citrix com máquinas associadas ao domínio
  • Regras de entrada:
    • Permitir portas de entrada 80, 443, 1494 e 2598 dos VDAs para os Cloud Connectors e dos Cloud Connectors para os VDAs.
    • Permitir portas 49152-65535 de entrada para os VDAs de um intervalo de IP usado pelo recurso de monitoramento de sombra. Veja Portas de comunicação usadas pela Citrix Technologies.
    • Negar todas as outras entradas. Isso inclui tráfego intra-VNet de VDA para VDA e de VDA para Cloud Connector.
  • Regras de saída
    • Permitir todo o tráfego de saída.
VNet gerenciada pelo cliente com máquinas associadas ao domínio
  • Cabe ao cliente configurar sua VNet corretamente. Isso inclui abrir as seguintes portas para ingresso no domínio.
  • Regras de entrada:
    • Permitir entrada em 443, 1494, 2598 de seus IPs de cliente para lançamentos internos.
    • Permitir entrada em 53, 88, 123, 135-139, 389, 445, 636 da Citrix VNet (intervalo de IP especificado pelo cliente).
    • Permitir entrada em portas abertas com uma configuração de proxy.
    • Outras regras criadas pelo cliente.
  • Regras de saída:
    • Permitir saída em 443, 1494, 2598 para a Citrix VNet (intervalo de IP especificado pelo cliente) para inicializações internas.
    • Outras regras criadas pelo cliente.

Acesso à infraestrutura

A Citrix pode acessar a infraestrutura gerenciada pela Citrix do cliente (Cloud Connectors) para executar determinadas tarefas administrativas, como coletar logs (incluindo o Visualizador de Eventos do Windows) e reiniciar serviços sem notificar o cliente. A Citrix é responsável por executar essas tarefas com segurança e proteção, e com impacto mínimo para o cliente. A Citrix também é responsável por garantir que todos os arquivos de log sejam recuperados, transportados e manipulados com segurança. Os VDAs do cliente não podem ser acessados dessa maneira.

Backups para catálogos não associados a domínios

A Citrix não é responsável por executar backups de catálogos não associados a domínios.

Backups para imagens de máquina

A Citrix é responsável por fazer backup de todas as imagens de máquina carregadas no Citrix DaaS para Azure, incluindo imagens criadas com o construtor de imagens. A Citrix usa armazenamento redundante localmente para essas imagens.

Bastiões para catálogos não associados a domínios

A equipe de operações da Citrix tem a capacidade de criar um bastião, se necessário, para acessar a assinatura do Azure gerenciada pela Citrix do cliente para diagnosticar e reparar problemas do cliente, potencialmente antes que o cliente tome conhecimento do problema. A Citrix não exige o consentimento do cliente para criar um bastião. Quando a Citrix cria o bastião, ela cria uma senha forte gerada aleatoriamente para o bastião e restringe o acesso RDP aos endereços IP NAT da Citrix. Quando o bastião não é mais necessário, a Citrix o descarta e a senha não é mais válida. O bastião (e suas regras de acesso RDP acompanhantes) são descartados quando a operação é concluída. A Citrix pode acessar apenas os Cloud Connectors do cliente que não estejam associados ao domínio com o bastião. A Citrix não tem a senha para efetuar login em VDAs não associados ao domínio ou em Cloud Connectors e VDAs associados ao domínio.

Política de firewall ao usar ferramentas de solução de problemas

Quando um cliente solicita a criação de uma máquina bastion para solução de problemas, as seguintes modificações de grupo de segurança são feitas na VNet gerenciada pela Citrix:

  • Permitir temporariamente a entrada de 3389 do intervalo de IP especificado pelo cliente para o bastião.
  • Permita temporariamente a entrada 3389 do endereço IP do bastião para qualquer endereço na VNet (VDAs e Cloud Connectors).
  • Continue bloqueando o acesso RDP entre os Cloud Connectors, VDAs e outros VDAs.

Quando um cliente habilita o acesso RDP para solução de problemas, as seguintes modificações no grupo de segurança são feitas na VNet gerenciada pela Citrix:

  • Permita temporariamente a entrada de 3389 do intervalo de IP especificado pelo cliente para qualquer endereço na VNet (VDAs e Cloud Connectors).
  • Continue bloqueando o acesso RDP entre os Cloud Connectors, VDAs e outros VDAs.

Assinaturas gerenciadas pelo cliente

Para assinaturas gerenciadas pelo cliente, a Citrix adere às responsabilidades acima durante a implantação dos recursos do Azure. Após a implantação, tudo acima será de responsabilidade do cliente, pois o cliente é o proprietário da assinatura do Azure.

Assinaturas gerenciadas pelo cliente

Responsabilidade do cliente

VDAs e imagens de máquinas

O cliente é responsável por todos os aspectos do software instalado nas máquinas VDA, incluindo:

  • Atualizações do sistema operacional e patches de segurança
  • Antivírus e antimalware
  • Atualizações de software e patches de segurança VDA
  • Regras adicionais de firewall de software (especialmente tráfego de saída)
  • Siga as considerações de segurança e práticas recomendadas da Citrix

A Citrix fornece uma imagem preparada que serve como ponto de partida. Os clientes podem usar esta imagem para fins de prova de conceito ou demonstração ou como base para criar sua própria imagem de máquina. A Citrix não garante a segurança desta imagem preparada. A Citrix tentará manter o sistema operacional e o software VDA na imagem preparada atualizados e habilitará o Windows Defender nessas imagens.

Responsabilidade do cliente ao usar o peering de VNet

O cliente deve abrir todas as portas especificadas em VNet gerenciada pelo cliente com máquinas associadas ao domínio.

Quando o peering de VNet é configurado, o cliente é responsável pela segurança de sua própria rede virtual e sua conectividade com seus recursos locais. O cliente também é responsável pela segurança do tráfego de entrada da rede virtual peering gerenciada pela Citrix. A Citrix não toma nenhuma medida para bloquear o tráfego da rede virtual gerenciada pela Citrix para os recursos locais do cliente.

Os clientes têm as seguintes opções para restringir o tráfego de entrada:

  • Dê à rede virtual gerenciada pela Citrix um bloco IP que não esteja em uso em nenhum outro lugar na rede local do cliente ou na rede virtual conectada gerenciada pelo cliente. Isso é necessário para o peering de VNet.
  • Adicione grupos de segurança de rede e firewalls do Azure na rede virtual do cliente e na rede local para bloquear ou restringir o tráfego do bloco de IP gerenciado pela Citrix.
  • Implante medidas como sistemas de prevenção de intrusão, firewalls de software e mecanismos de análise comportamental na rede virtual do cliente e na rede local, visando o bloco de IP gerenciado pela Citrix.

Procuração

O cliente pode escolher se deseja usar um proxy para o tráfego de saída do VDA. Se um proxy for usado, o cliente será responsável por:

  • Configurando as configurações de proxy na imagem da máquina VDA ou, se o VDA estiver associado a um domínio, usando a Política de Grupo do Active Directory.
  • Manutenção e segurança do proxy.

Proxies não são permitidos para uso com Citrix Cloud Connectors ou outras infraestruturas gerenciadas pela Citrix.

A Citrix fornece três tipos de catálogos com diferentes níveis de resiliência:

  • Estático: Cada usuário é atribuído a um único VDA. Este tipo de catálogo não oferece alta disponibilidade. Se o VDA de um usuário cair, ele terá que ser colocado em um novo para se recuperar. O Azure fornece um SLA de 99,5% para VMs de instância única. O cliente ainda pode fazer backup do perfil do usuário, mas todas as personalizações feitas no VDA (como instalação de programas ou configuração do Windows) serão perdidas.
  • Aleatório: Cada usuário é atribuído aleatoriamente a um servidor VDA no momento do lançamento. Este tipo de catálogo fornece alta disponibilidade por meio de redundância. Se um VDA cair, nenhuma informação será perdida porque o perfil do usuário estará em outro lugar.
  • Multissessão do Windows 10: Este tipo de catálogo opera da mesma maneira que o tipo aleatório, mas usa VDAs de estação de trabalho do Windows 10 em vez de VDAs de servidor.

Backups para catálogos associados ao domínio

Se o cliente usar catálogos associados a um domínio com um peering de VNet, o cliente será responsável por fazer backup de seus perfis de usuário. A Citrix recomenda que os clientes configurem compartilhamentos de arquivos locais e definam políticas em seus Active Directory ou VDAs para extrair perfis de usuários desses compartilhamentos de arquivos. O cliente é responsável pelo backup e pela disponibilidade desses compartilhamentos de arquivos.

Recuperação de desastres

Em caso de perda de dados do Azure, a Citrix recuperará o máximo possível de recursos na assinatura do Azure gerenciada pela Citrix. A Citrix tentará recuperar os Cloud Connectors e VDAs. Se a Citrix não conseguir recuperar esses itens, os clientes serão responsáveis por criar um novo catálogo. A Citrix pressupõe que as imagens da máquina tenham backup e que os clientes tenham feito backup de seus perfis de usuário, permitindo que o catálogo seja reconstruído.

No caso de perda de uma região inteira do Azure, o cliente é responsável por reconstruir sua rede virtual gerenciada pelo cliente em uma nova região e criar um novo peering de VNet dentro do Citrix DaaS para Azure.

Responsabilidades compartilhadas entre a Citrix e o cliente

Citrix Cloud Connector para catálogos associados a domínios

O Citrix DaaS para Azure implanta pelo menos dois Cloud Connectors em cada local de recurso. Alguns catálogos podem compartilhar um local de recurso se estiverem na mesma região, peering de VNet e domínio de outros catálogos do mesmo cliente. A Citrix configura os Cloud Connectors associados ao domínio do cliente para as seguintes configurações de segurança padrão na imagem:

  • Atualizações do sistema operacional e patches de segurança
  • Software antivírus
  • Atualizações de software do Cloud Connector

Os clientes normalmente não têm acesso aos Cloud Connectors. No entanto, eles podem obter acesso usando etapas de solução de problemas de catálogo e fazendo login com credenciais de domínio. O cliente é responsável por quaisquer alterações feitas ao efetuar login através do bastião.

Os clientes também têm controle sobre os Cloud Connectors associados ao domínio por meio da Política de Grupo do Active Directory. O cliente é responsável por garantir que as políticas de grupo aplicáveis ao Cloud Connector sejam seguras e sensatas. Por exemplo, se o cliente optar por desabilitar as atualizações do sistema operacional usando a Política de Grupo, o cliente será responsável por executar as atualizações do sistema operacional nos Cloud Connectors. O cliente também pode optar por usar a Política de Grupo para impor uma segurança mais rigorosa do que os padrões do Cloud Connector, como instalar um software antivírus diferente. Em geral, a Citrix recomenda que os clientes coloquem os Cloud Connectors em sua própria unidade organizacional do Active Directory sem políticas, pois isso garantirá que os padrões usados pela Citrix possam ser aplicados sem problemas.

Solução de problemas

Caso o cliente tenha problemas com o catálogo no Citrix DaaS para Azure, há duas opções para solução de problemas: usar bastions e habilitar o acesso RDP. Ambas as opções apresentam riscos de segurança para o cliente. O cliente deve entender e consentir em assumir esse risco antes de usar essas opções.

A Citrix é responsável por abrir e fechar as portas necessárias para realizar operações de solução de problemas e restringir quais máquinas podem ser acessadas durante essas operações.

Com acesso via bastiões ou RDP, o usuário ativo que executa a operação é responsável pela segurança das máquinas que estão sendo acessadas. Se o cliente acessar o VDA ou o Cloud Connector por meio do RDP e acidentalmente contrair um vírus, o cliente será responsável. Se o pessoal de suporte da Citrix acessar essas máquinas, será responsabilidade desse pessoal executar as operações com segurança. A responsabilidade por quaisquer vulnerabilidades expostas por qualquer pessoa que acesse o bastião ou outras máquinas na implantação (por exemplo, responsabilidade do cliente de adicionar intervalos de IP à lista de permissões, responsabilidade da Citrix de implementar intervalos de IP corretamente) é abordada em outra parte deste documento.

Em ambos os cenários, a Citrix é responsável por criar corretamente exceções de firewall para permitir o tráfego RDP. A Citrix também é responsável por revogar essas exceções depois que o cliente descarta o bastião ou encerra o acesso RDP por meio do Citrix DaaS para Azure.

Bastiões

A Citrix pode criar bastiões na rede virtual gerenciada pela Citrix do cliente dentro da assinatura gerenciada pela Citrix do cliente para diagnosticar e reparar problemas, seja proativamente (sem notificação ao cliente) ou em resposta a um problema levantado pelo cliente. O bastião é uma máquina que o cliente pode acessar por meio do RDP e, em seguida, usar para acessar os VDAs e (para catálogos associados ao domínio) os Cloud Connectors por meio do RDP para coletar logs, reiniciar serviços ou executar outras tarefas administrativas. Por padrão, a criação de um bastião abre uma regra de firewall externa para permitir tráfego RDP de um intervalo de endereços IP especificado pelo cliente para a máquina bastião. Ele também abre uma regra de firewall interna para permitir acesso aos Cloud Connectors e VDAs por meio de RDP. Abrir essas regras representa um grande risco de segurança.

O cliente é responsável por fornecer uma senha forte usada para a conta local do Windows. O cliente também é responsável por fornecer um intervalo de endereços IP externos que permita acesso RDP ao bastião. Se o cliente optar por não fornecer um intervalo de IP (permitindo que qualquer pessoa tente acesso RDP), o cliente será responsável por qualquer tentativa de acesso por endereços IP maliciosos.

O cliente também é responsável por excluir o bastião após a conclusão da solução de problemas. O host bastião expõe uma superfície de ataque adicional, então a Citrix desliga automaticamente a máquina oito (8) horas após ela ser ligada. No entanto, a Citrix nunca exclui um bastião automaticamente. Se o cliente optar por usar o bastião por um longo período de tempo, ele será responsável por aplicar patches e atualizá-lo. A Citrix recomenda que um bastião seja usado apenas por alguns dias antes de ser excluído. Se o cliente quiser um bastião atualizado, ele pode excluir o atual e criar um novo bastião, que provisionará uma máquina nova com os patches de segurança mais recentes.

Acesso RDP

Para catálogos associados a domínios, se o peering de VNet do cliente estiver funcional, o cliente poderá habilitar o acesso RDP de sua VNet peering para sua VNet gerenciada pela Citrix. Se o cliente usar essa opção, ele será responsável por acessar os VDAs e os Cloud Connectors por meio do peering de VNet. Os intervalos de endereços IP de origem podem ser especificados para que o acesso RDP possa ser ainda mais restrito, mesmo dentro da rede interna do cliente. O cliente precisará usar credenciais de domínio para efetuar login nessas máquinas. Se o cliente estiver trabalhando com o Suporte da Citrix para resolver um problema, talvez seja necessário compartilhar essas credenciais com a equipe de suporte. Após a resolução do problema, o cliente será responsável por desabilitar o acesso RDP. Manter o acesso RDP aberto na rede peering ou local do cliente representa um risco de segurança.

Credenciais de domínio

Se o cliente optar por usar um catálogo associado ao domínio, ele será responsável por fornecer ao Citrix DaaS para Azure uma conta de domínio (nome de usuário e senha) com permissões para associar máquinas ao domínio. Ao fornecer credenciais de domínio, o cliente é responsável por aderir aos seguintes princípios de segurança:

  • Auditável: A conta deve ser criada especificamente para uso do Citrix DaaS para Azure, para que seja fácil auditar para que a conta é usada.
  • Escopo: A conta requer apenas permissões para unir máquinas a um domínio. Não deve ser um administrador de domínio completo.
  • Seguro: Uma senha forte deve ser colocada na conta.

A Citrix é responsável pelo armazenamento seguro desta conta de domínio em um Azure Key Vault na assinatura do Azure gerenciada pela Citrix do cliente. A conta será recuperada somente se uma operação exigir a senha da conta de domínio.

Mais informações

Para informações relacionadas, consulte:

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.
Visão geral da segurança técnica