Visão técnica geral da segurança

O diagrama a seguir mostra os componentes em uma implantação do Citrix DaaS Standard for Azure (anteriormente Citrix Virtual Apps and Desktops Standard for Azure). Este exemplo usa uma conexão de emparelhamento VNet.

Componentes Citrix DaaS para Azure e conexão ponto a ponto Azure VNet

Com o Citrix DaaS for Azure, os Virtual Delivery Agents (VDAs) do cliente que fornecem desktops e aplicativos, além do Citrix Cloud Connectors, são implantados em uma assinatura e locatário do Azure que a Citrix gerencia.

NOTA:

Este artigo fornece uma visão geral dos requisitos de segurança para clientes que implantam o Citrix DaaS for Azure usando uma assinatura do Citrix Managed Azure. Para obter uma visão geral da arquitetura de uma implantação do Citrix DaaS for Azure usando uma assinatura do Azure gerenciada pelo cliente, incluindo informações de segurança, consulte Arquitetura de referência: Virtual Apps and Desktops Service - Azure.

Conformidade de uso baseado em nuvem da Citrix

Desde janeiro de 2021, o uso da capacidade Citrix Managed Azure com várias edições do Citrix DaaS e Workspace Premium Plus ainda não foi avaliado em relação a Citrix SOC 2 (Tipo 1 ou 2), ISO 27001, HIPAA ou outros requisitos de conformidade na nuvem. Visite o Citrix Trust Center para obter mais informações sobre as certificações do Citrix Cloud e volte com frequência para ver mais atualizações.

Responsabilidade da Citrix

Citrix Cloud Connectors para catálogos não associados ao domínio

O Citrix DaaS for Azure implanta pelo menos dois Cloud Connectors em cada local de recurso. Alguns catálogos podem compartilhar um local de recurso se estiverem na mesma região que os outros catálogos para o mesmo cliente.

A Citrix é responsável pelas seguintes operações de segurança nos Cloud Connectors no catálogo não associado ao domínio:

  • Aplicação de atualizações do sistema operacional e patches de segurança
  • Instalação e manutenção do software antivírus
  • Aplicação de atualizações de software do Cloud Connector

Os clientes não têm acesso aos Cloud Connectors. Portanto, a Citrix é totalmente responsável pelo desempenho dos Cloud Connectors no catálogo não associado ao domínio.

Assinatura do Azure e Azure Active Directory

A Citrix é responsável pela segurança da assinatura do Azure e do Azure Active Directory (AAD) criados para o cliente. A Citrix garante o isolamento do locatário, para que cada cliente tenha sua própria assinatura do Azure e AAD, e o crosstalk entre diferentes locatários seja evitado. A Citrix também restringe o acesso ao AAD apenas ao pessoal de operações do Citrix DaaS for Azure e Citrix. O acesso da Citrix à assinatura do Azure de cada cliente é auditado.

Os clientes que empregam catálogos não associados ao domínio podem usar o AAD gerenciado pela Citrix como um meio de autenticação no Citrix Workspace. Para esses clientes, a Citrix cria contas de usuário com privilégios limitados no AAD gerenciado pela Citrix. No entanto, nem os usuários nem os administradores dos clientes podem realizar ações no AAD gerenciado pela Citrix. Se esses clientes optarem por usar seus próprios AAD, eles serão totalmente responsáveis por sua segurança.

Redes virtuais e infraestrutura

Na assinatura do Citrix Managed Azure do cliente, a Citrix cria redes virtuais para isolar os locais de recursos. Dentro dessas redes, a Citrix cria máquinas virtuais para VDAs, Cloud Connectors e máquinas com construtor de imagens, além de contas de armazenamento, cofres de chaves e outros recursos do Azure. A Citrix, em parceria com a Microsoft, é responsável pela segurança das redes virtuais, incluindo o firewall das redes virtuais.

A Citrix garante que a política de firewall padrão do Azure (grupos de segurança de rede) esteja configurada para limitar o acesso às interfaces de rede no emparelhamento VNet e conexões SD-WAN. Geralmente, isso controla o tráfego de entrada para VDAs e Cloud Connectors. Para obter detalhes, consulte:

Os clientes não podem alterar essa política de firewall padrão, mas podem implantar regras de firewall adicionais em máquinas VDA criadas pela Citrix; por exemplo, para restringir parcialmente o tráfego de saída. Os clientes que instalam uma rede privada virtual cliente, ou outro software capaz de ignorar as regras de firewall, em máquinas VDA criadas pela Citrix são responsáveis por quaisquer riscos de segurança que possam resultar.

Ao usar o construtor de imagens no Citrix DaaS for Azure para criar e personalizar uma nova imagem de máquina, as portas 3389-3390 são abertas temporariamente na VNet gerenciada pela Citrix, para que o cliente possa fazer RDP para a máquina que contém a nova imagem da máquina, para personalizá-la.

Responsabilidade da Citrix ao usar conexões de emparelhamento Azure VNet

Para que os VDAs no Citrix DaaS for Azure entrem em contato com controladores de domínio locais, compartilhamentos de arquivos ou outros recursos da intranet, o Citrix DaaS for Azure fornece um fluxo de trabalho de emparelhamento de VNet como uma opção de conectividade. A rede virtual gerenciada pela Citrix do cliente é emparelhada com uma rede virtual Azure gerenciada pelo cliente. A rede virtual gerenciada pelo cliente pode permitir a conectividade com os recursos locais do cliente usando a solução de conectividade de nuvem para local de escolha do cliente, como o Azure ExpressRoute ou túneis iPsec.

A responsabilidade da Citrix pelo emparelhamento de VNet é limitada ao suporte ao fluxo de trabalho e à configuração de recursos relacionados do Azure para estabelecer uma relação de emparelhamento entre a Citrix e as VNets gerenciadas pelo cliente.

Política de firewall para conexões de emparelhamento Azure VNet

A Citrix abre ou fecha as seguintes portas para tráfego de entrada e saída que usa uma conexão de emparelhamento VNet.

VNet gerenciada pela Citrix com máquinas não associadas ao domínio
  • Regras de entrada
    • Permitir a entrada nas portas 80, 443, 1494 e 2598 de VDAs para Cloud Connectors e de Cloud Connectors para VDAs.
    • Permitir a entrada pelas portas 49152-65535 para os VDAs a partir de um intervalo de IP usado pelo recurso de sombreamento Monitor. Consulte Portas de comunicação usadas pela Citrix Technologies.
    • Negar todas as outras entradas. Isso inclui o tráfego intra-VNet do VDA para o VDA e do VDA para o Cloud Connector.
  • Regras de saída
    • Permitir todo o tráfego de saída.
VNet gerenciada pela Citrix com máquinas associadas ao domínio
  • Regras de entrada:
    • Permitir a entrada nas portas 80, 443, 1494 e 2598 de VDAs para Cloud Connectors e de Cloud Connectors para VDAs.
    • Permitir a entrada pelas portas 49152-65535 para os VDAs a partir de um intervalo de IP usado pelo recurso de sombreamento Monitor. Consulte Portas de comunicação usadas pela Citrix Technologies.
    • Negar todas as outras entradas. Isso inclui o tráfego intra-VNet do VDA para o VDA e do VDA para o Cloud Connector.
  • Regras de saída
    • Permitir todo o tráfego de saída.
VNet gerenciada pelo cliente com máquinas associadas ao domínio
  • O cliente é responsável por configurar sua VNet corretamente. Isso inclui abrir as seguintes portas para associação do domínio.
  • Regras de entrada:
    • Permitir a entrada na 443, 1494, 2598 de seus IPs clientes para inicializações internas.
    • Permitir a entrada na 53, 88, 123, 135-139, 389, 445, 636 do Citrix VNet (intervalo de IP especificado pelo cliente).
    • Permitir a entrada pelas portas abertas com uma configuração de proxy.
    • Outras regras criadas pelo cliente.
  • Regras de saída:
    • Permitir a saída na 443, 1494, 2598 para o Citrix VNet (intervalo de IP especificado pelo cliente) para inicializações internas.
    • Outras regras criadas pelo cliente.

Responsabilidade da Citrix ao usar a conectividade SD-WAN

A Citrix oferece suporte a uma maneira totalmente automatizada de implantar instâncias virtuais do Citrix SD-WAN para permitir a conectividade entre o Citrix DaaS for Azure e os recursos locais. A conectividade Citrix SD-WAN tem várias vantagens em comparação com o emparelhamento VNet, incluindo:

Alta confiabilidade e segurança das conexões VDA-to-datacenter e VDA-to-branch (ICA).

  • A melhor experiência de usuário final para funcionários de escritório, com recursos avançados de QoS e otimizações de VoIP.
  • Capacidade interna de inspecionar, priorizar e gerar relatórios sobre o tráfego de rede do Citrix HDX e outros usos de aplicativo.

A Citrix exige que os clientes que desejam aproveitar a conectividade SD-WAN para Citrix DaaS for Azure usem o SD-WAN Orchestrator para gerenciar suas redes Citrix SD-WAN.

O diagrama a seguir mostra os componentes adicionados em uma implantação do Citrix DaaS para Azure usando a conectividade SD-WAN.

Citrix DaaS para Azure com conectividade SD-WAN

A implantação do Citrix SD-WAN para o Citrix DaaS for Azure é semelhante à configuração de implantação padrão do Azure para o Citrix SD-WAN. Para obter mais informações, consulte Implantar uma instância do Citrix SD-WAN Standard Edition no Azure. Em uma configuração de alta disponibilidade, um par ativo/em espera de instâncias de SD-WAN com balanceadores de carga do Azure é implantado como um gateway entre a sub-rede que contém VDAs e Cloud Connectors e a Internet. Em uma configuração sem HA (alta disponibilidade), apenas uma única instância de SD-WAN é implantada como gateway. As interfaces de rede dos dispositivos SD-WAN virtuais recebem endereços de um pequeno intervalo de endereços separado dividido em duas sub-redes.

Ao configurar a conectividade SD-WAN, a Citrix faz algumas alterações na configuração de rede das áreas de trabalho gerenciadas descritas acima. Em particular, todo o tráfego de saída da VNet, incluindo o tráfego para destinos da Internet, é roteado por meio da instância SD-WAN da nuvem. A instância de SD-WAN também está configurada para ser o servidor DNS da VNet gerenciada pela Citrix.

O acesso de gerenciamento às instâncias virtuais de SD-WAN requer login e senha de administrador. Cada instância de SD-WAN recebe uma senha segura exclusiva e aleatória que pode ser usada pelos administradores de SD-WAN para o login remoto e a solução de problemas por meio da interface do usuário do SD-WAN Orchestrator, interface do usuário de gerenciamento do dispositivo virtual e CLI.

Assim como outros recursos específicos do locatário, as instâncias virtuais de SD-WAN implantadas em uma VNet de cliente específica são totalmente isoladas de todas as outras VNets.

Quando o cliente habilita a conectividade do Citrix SD-WAN, a Citrix automatiza a implantação inicial de instâncias virtuais de SD-WAN usadas com o Citrix DaaS for Azure, mantém os recursos subjacentes do Azure (máquinas virtuais, balanceadores de carga, etc.), fornece padrões prontos para uso seguros e eficientes para os configuração de instâncias virtuais de SD-WAN e permite manutenção e solução de problemas contínuas por meio do SD-WAN Orchestrator. A Citrix também toma medidas razoáveis para realizar a validação automática da configuração de rede SD-WAN, verificar riscos de segurança conhecidos e exibir alertas correspondentes por meio do SD-WAN Orchestrator.

Política de firewall para conexões SD-WAN

A Citrix usa políticas de firewall do Azure (grupos de segurança de rede) e atribuição de endereço IP público para limitar o acesso às interfaces de rede de dispositivos SD-WAN virtuais:

  • Somente interfaces WAN e de gerenciamento recebem endereços IP públicos e permitem conectividade de saída com a Internet.
  • As interfaces LAN, atuando como gateways para a VNet gerenciada pela Citrix, só podem trocar tráfego de rede com máquinas virtuais na mesma VNet.
  • As interfaces WAN limitam o tráfego de entrada para a porta UDP 4980 (usada pelo Citrix SD-WAN para conectividade de caminho virtual) e negam o tráfego de saída para a VNet.
  • As portas de gerenciamento permitem o tráfego de entrada para as portas 443 (HTTPS) e 22 (SSH).
  • As interfaces HA só podem trocar tráfego de controle entre si.

Acesso à infraestrutura

A Citrix pode acessar a infraestrutura do cliente gerenciada pela Citrix (Cloud Connectors) para executar determinadas tarefas administrativas, como coletar logs (incluindo o Windows Event Viewer) e reiniciar serviços sem notificar o cliente. A Citrix é responsável por executar essas tarefas com segurança e com impacto mínimo para o cliente. A Citrix também é responsável por garantir que todos os arquivos de log sejam recuperados, transportados e manipulados com segurança. Os VDAs do cliente não podem ser acessados dessa forma.

Backups de catálogos não associados ao domínio

A Citrix não é responsável por realizar backups de catálogos não associados ao domínio.

Backups de imagens de máquinas

A Citrix é responsável por fazer backup de todas as imagens de máquina carregadas no Citrix DaaS for Azure, incluindo imagens criadas com o construtor de imagens. A Citrix usa armazenamento com redundância local para essas imagens.

Bastions para catálogos não associados ao domínio

O pessoal de operações da Citrix tem a capacidade de criar um bastion, se necessário, para acessar a assinatura do Azure gerenciado pela Citrix do cliente para diagnosticar e reparar problemas do cliente, possivelmente antes que o cliente esteja ciente do problema. A Citrix não precisa do consentimento do cliente para criar um bastion. Quando a Citrix cria o bastion, a Citrix cria uma senha forte gerada aleatoriamente para o bastion e restringe o acesso RDP aos endereços IP NAT da Citrix. Quando o bastion não é mais necessário, a Citrix o descarta e a senha não é mais válida. O bastion e as regras de acesso RDP que o acompanham são descartados quando a operação é concluída. Com o bastion, a Citrix pode acessar apenas os Cloud Connectors não associados ao domínio do cliente. A Citrix não tem a senha para fazer login em VDAs não associados ao domínio ou em VDAs e Cloud Connectors associados ao domínio.

Política de firewall ao usar ferramentas de solução de problemas

Quando um cliente solicita a criação de uma máquina bastion para a solução de um problema, as seguintes modificações do grupo de segurança são feitas na VNet gerenciada pela Citrix:

  • Permitir temporariamente a entrada pela 3389 do intervalo de IP especificado pelo cliente para o bastion.
  • Permitir temporariamente a entrada pela 3389 do endereço IP do bastion para qualquer endereço na VNet (VDAs e Cloud Connectors).
  • Continuar e bloquear o acesso RDP entre os Cloud Connectors, os VDAs e outros VDAs.

Quando um cliente habilita o acesso RDP para a solução de um problema, as seguintes modificações do grupo de segurança são feitas na VNet gerenciada pela Citrix:

  • Permitir temporariamente a entrada pela 3389 do intervalo de IP especificado pelo cliente para qualquer endereço na VNet (VDAs e Cloud Connectors).
  • Continuar e bloquear o acesso RDP entre os Cloud Connectors, os VDAs e outros VDAs.

Assinaturas gerenciadas pelo cliente

Para assinaturas gerenciadas pelo cliente, a Citrix adere às responsabilidades acima durante a implantação dos recursos do Azure. Após a implantação, tudo acima é de responsabilidade do cliente, porque o cliente é o proprietário da assinatura do Azure.

Assinaturas gerenciadas pelo cliente

Responsabilidade do cliente

VDAs e imagens de máquinas

O cliente é responsável por todos os aspectos do software instalado nas máquinas VDA, incluindo:

  • Atualizações do sistema operacional e patches de segurança
  • Antivírus e antimalware
  • Atualizações de software do VDA e patches de segurança
  • Regras adicionais de firewall de software (especialmente tráfego de saída)
  • Siga as considerações de segurança e práticas recomendadas da Citrix

A Citrix fornece uma imagem preparada que se destina a ser um ponto de partida. Os clientes podem usar essa imagem para fins de prova de conceito ou demonstração ou como base para criar sua própria imagem de máquina. A Citrix não garante a segurança dessa imagem preparada. A Citrix tentará manter o sistema operacional e o software do VDA na imagem preparada atualizados e habilitará o Windows Defender nessas imagens.

Responsabilidade do cliente ao usar o emparelhamento VNet

O cliente deve abrir todas as portas especificadas na VNet gerenciada pelo cliente com máquinas associadas ao domínio.

Quando o emparelhamento VNet é configurado, o cliente é responsável pela segurança de sua própria rede virtual e da conectividade da rede com seus recursos locais. O cliente também é responsável pela segurança do tráfego de entrada da rede virtual emparelhada gerenciada pela Citrix. A Citrix não toma nenhuma ação para bloquear o tráfego da rede virtual gerenciada pela Citrix aos recursos locais do cliente.

Os clientes têm as seguintes opções para restringir o tráfego de entrada:

  • Dar à rede virtual gerenciada pela Citrix um bloco de IP que não está em uso em nenhum outro lugar na rede local do cliente ou na rede virtual conectada gerenciada pelo cliente. Isso é necessário para o emparelhamento VNet.
  • Adicionar firewalls e grupos de segurança de rede do Azure à rede virtual e à rede local do cliente para bloquear ou restringir o tráfego do bloco de IP gerenciado pela Citrix.
  • Implementar medidas como sistemas de prevenção de intrusões, firewalls de software e mecanismos de análise comportamental na rede virtual e na rede local do cliente, visando o bloco de IP gerenciado pela Citrix.

Responsabilidade do cliente ao usar a conectividade SD-WAN

Quando a conectividade SD-WAN é configurada, os clientes têm total flexibilidade para configurar instâncias virtuais de SD-WAN usadas com o Citrix DaaS for Azure de acordo com seus requisitos de rede, com exceção de alguns elementos necessários para garantir a operação correta da SD-WAN na VNet gerenciada pela Citrix. As responsabilidades do cliente incluem:

  • Projeto e configuração de regras de roteamento e firewall, incluindo regras de ruptura de tráfego de DNS e Internet.
  • Manutenção da configuração de rede SD-WAN.
  • Monitoramento do status operacional da rede.
  • Implantação rápida de atualizações de software Citrix SD-WAN ou correções de segurança. Como todas as instâncias do Citrix SD-WAN em uma rede de cliente devem executar a mesma versão do software SD-WAN, as implantações de versões de software atualizadas no Citrix DaaS para instâncias do Azure SD-WAN precisam ser gerenciadas pelos clientes de acordo com suas programações e restrições de manutenção de rede.

A configuração incorreta das regras de roteamento e firewall da SD-WAN ou o gerenciamento incorreto de senhas de gerenciamento da SD-WAN podem resultar em riscos de segurança para os recursos virtuais no Citrix DaaS for Azure e recursos locais acessíveis por meio de caminhos virtuais do Citrix SD-WAN. Outro possível risco de segurança decorre da não atualização do software Citrix SD-WAN com a versão de patch mais recente disponível. Embora o SD-WAN Orchestrator e outros serviços do Citrix Cloud forneçam os meios para lidar com esses riscos, os clientes são responsáveis por garantir que as instâncias virtuais de SD-WAN sejam configuradas adequadamente.

Proxy

O cliente pode optar por usar um proxy para o tráfego de saída do VDA. Se for usado um proxy, o cliente será responsável por:

  • Configurar os parâmetros do proxy na imagem da máquina VDA ou, se o VDA estiver associado a um domínio, usar a Política de Grupo do Active Directory.
  • Cuidar da manutenção e segurança do proxy.

Proxies não são permitidos para uso com Citrix Cloud Connectors ou outra infraestrutura gerenciada pela Citrix.

A Citrix fornece três tipos de catálogos com diferentes níveis de resiliência:

  • Estático: cada usuário é atribuído a um único VDA. Esse tipo de catálogo não oferece alta disponibilidade. Se o VDA de um usuário sair do ar, ele precisará ser colocado em um novo para se recuperar. O Azure fornece um SLA de 99,5% para VMs de instância única. O cliente ainda pode fazer backup do perfil do usuário, mas todas as personalizações feitas no VDA (como instalar programas ou configurar o Windows) serão perdidas.
  • Aleatório: cada usuário é atribuído aleatoriamente a um servidor VDA no momento da inicialização. Esse tipo de catálogo fornece alta disponibilidade por meio de redundância. Se um VDA sair do ar, nenhuma informação será perdida porque o perfil do usuário reside em outro lugar.
  • Windows 10 multissessão: esse tipo de catálogo opera da mesma maneira que o tipo aleatório, mas usa VDAs de estação de trabalho do Windows 10 em vez de VDAs de servidor.

Backups para catálogos associados ao domínio

Se o cliente usar catálogos associados ao domínio com um emparelhamento VNet, o cliente será responsável por fazer backup de seus perfis de usuário. A Citrix recomenda que os clientes configurem compartilhamentos de arquivos locais e definam políticas em seus Active Directory ou VDAs para extrair perfis de usuário desses compartilhamentos de arquivos. O cliente é responsável pelo backup e pela disponibilidade desses compartilhamentos de arquivos.

Recuperação de desastres

No caso de perda de dados do Azure, a Citrix recuperará o maior número possível de recursos na assinatura do Azure gerenciada pela Citrix. A Citrix tentará recuperar os Cloud Connectors e os VDAs. Se a Citrix não conseguir recuperar esses itens, os clientes serão responsáveis pela criação de um novo catálogo. A Citrix pressupõe que o backup das imagens da máquina seja feito regularmente e que os clientes fizeram backup de seus perfis de usuário, permitindo que o catálogo seja reconstruído.

No caso de perda de uma região inteira do Azure, o cliente é responsável por recriar sua rede virtual gerenciada pelo cliente em uma nova região e criar um novo emparelhamento de VNet ou uma nova instância de SD-WAN no Citrix DaaS for Azure.

Responsabilidades compartilhadas entre a Citrix e o cliente

Citrix Cloud Connector para catálogos associados ao domínio

O Citrix DaaS for Azure implanta pelo menos dois Cloud Connectors em cada local de recurso. Alguns catálogos podem compartilhar um local de recurso se estiverem na mesma região, emparelhamento VNet e domínio que outros catálogos para o mesmo cliente. A Citrix configura os Cloud Connectors associados ao domínio do cliente para as seguintes configurações de segurança padrão na imagem:

  • Atualizações do sistema operacional e patches de segurança
  • Software antivírus
  • Atualizações do software Cloud Connector

Os clientes normalmente não têm acesso aos Cloud Connectors. No entanto, eles podem adquirir acesso usando as etapas de solução de problemas do catálogo e fazendo login com as credenciais do domínio. O cliente é responsável por quaisquer alterações que fizer ao fazer login pelo bastion.

Os clientes também têm controle sobre os Cloud Connectors associados ao domínio por meio da Política de Grupo do Active Directory. O cliente é responsável por garantir que as políticas de grupo que se aplicam ao Cloud Connector sejam seguras e sensatas. Por exemplo, se o cliente optar por desativar as atualizações do sistema operacional usando a Política de Grupo, o cliente será responsável por realizar atualizações do sistema operacional nos Cloud Connectors. O cliente também pode optar por usar a Política de Grupo para impor uma segurança mais rígida do que os padrões do Cloud Connector, por exemplo, instalando um software antivírus diferente. Em geral, a Citrix recomenda que os clientes coloquem os Cloud Connectors em suas próprias unidades organizacionais do Active Directory sem políticas, pois isso garantirá que os padrões usados pela Citrix possam ser aplicados sem problemas.

Solução de problemas

Caso o cliente tenha problemas com o catálogo no Citrix DaaS for Azure, há duas opções de solução de problemas: usar bastiões e habilitar o acesso RDP. Ambas as opções apresentam risco de segurança para o cliente. O cliente deve entender, consentir e assumir esse risco antes de usar essas opções.

A Citrix é responsável por abrir e fechar as portas necessárias para realizar operações de solução de problemas e restringir quais máquinas podem ser acessadas durante essas operações.

Com bastions ou acesso RDP, o usuário ativo que executa a operação é responsável pela segurança das máquinas que estão sendo acessadas. Se o cliente acessar o VDA ou o Cloud Connector por meio do RDP e contrair um vírus acidentalmente, o cliente será responsável. Se a equipe de suporte Citrix acessar essas máquinas, esse pessoal terá a responsabilidade de realizar as operações com segurança. A responsabilidade por vulnerabilidades expostas por qualquer pessoa que acesse o bastion ou outras máquinas na implantação (por exemplo, a responsabilidade do cliente de adicionar intervalos de IP à lista de permissão, a responsabilidade da Citrix de implementar intervalos de IP corretamente) é abordada em outro lugar neste documento.

Nos dois cenários, a Citrix é responsável por criar corretamente exceções de firewall para permitir o tráfego RDP. A Citrix também é responsável por revogar essas exceções depois que o cliente se desfaz do bastião ou encerra o acesso RDP por meio do Citrix DaaS for Azure.

Bastions

A Citrix pode criar bastions na rede virtual gerenciada pela Citrix do cliente dentro da assinatura gerenciada pela Citrix do cliente para diagnosticar e reparar problemas, de forma proativa (sem notificação do cliente) ou em resposta a um problema levantado pelo cliente. O bastion é uma máquina que o cliente pode acessar por meio do RDP e usar para acessar os VDAs e Cloud Connectors (para catálogos associados ao domínio) por meio do RDP para coletar logs, reiniciar serviços ou executar outras tarefas administrativas. Por padrão, a criação de um bastion abre uma regra de firewall externo para permitir o tráfego RDP de um intervalo de endereços IP especificado pelo cliente para a máquina bastion. Também abre uma regra de firewall interno para permitir o acesso aos Cloud Connectors e VDAs por meio do RDP. Abrir essas regras representa um grande risco de segurança.

O cliente é responsável por fornecer uma senha forte usada para a conta local do Windows. O cliente também é responsável por fornecer um intervalo de endereços IP externo que permita o acesso RDP ao bastion. Se o cliente optar por não fornecer um intervalo de IP (permitindo que qualquer pessoa tente o acesso RDP), o cliente será responsável por qualquer tentativa de acesso por endereços IP maliciosos.

O cliente também é responsável por excluir o bastion após concluir solução de problemas. O host bastion expõe a superfície de ataque adicional, assim a Citrix desliga automaticamente a máquina oito (8) horas depois que ela é ligada. No entanto, a Citrix nunca exclui um bastion automaticamente. Se o cliente optar por usar o bastion por um longo período de tempo, ele será responsável por aplicar patches e atualizá-lo. A Citrix recomenda que um bastion seja usado apenas por alguns dias antes de excluí-lo. Se o cliente quiser um bastion atualizado, ele poderá excluir o atual e criar um novo bastion, que provisionará uma nova máquina com os patches de segurança mais recentes.

Acesso RDP

Para catálogos associados ao domínio, se o emparelhamento VNet do cliente estiver funcional, o cliente poderá habilitar o acesso RDP da sua VNet emparelhada à VNet gerenciada pela Citrix. Se o cliente usar essa opção, o cliente será responsável por acessar os VDAs e os Cloud Connectors através do emparelhamento VNet. Os intervalos de endereços IP de origem podem ser especificados para que o acesso RDP possa ser restringido ainda mais, mesmo dentro da rede interna do cliente. O cliente precisará usar credenciais de domínio para fazer login nessas máquinas. Se o cliente estiver trabalhando com o Suporte Citrix para resolver um problema, talvez seja necessário que o cliente compartilhe essas credenciais com a equipe de suporte. Depois que o problema for resolvido, o cliente será responsável por desativar o acesso RDP. Manter o acesso RDP aberto a partir da rede local ou emparelhada do cliente representa um risco à segurança.

Credenciais de domínio

Se o cliente optar por usar um catálogo associado ao domínio, o cliente será responsável por fornecer ao Citrix DaaS for Azure uma conta de domínio (nome de usuário e senha) com permissões para unir máquinas ao domínio. Ao fornecer credenciais de domínio, o cliente é responsável por aderir aos seguintes princípios de segurança:

  • Auditável: a conta deve ser criada especificamente para o Citrix DaaS para uso do Azure, para que seja fácil auditar para que a conta é usada.
  • Com escopo: a conta requer apenas permissões para associar máquinas a um domínio. Ela não deve ter permissões completas de administrador de domínio.
  • Seguro: uma senha forte deve ser usada para a conta.

A Citrix é responsável pelo armazenamento seguro dessa conta de domínio em um Azure Key Vault na assinatura do Azure gerenciada pela Citrix do cliente. A conta será recuperada somente se uma operação exigir a senha da conta de domínio.

Mais informações

Para obter informações relacionadas, consulte:

Visão técnica geral da segurança