Citrix Cloud 平台安全部署指南
本《Citrix Cloud 安全部署指南》概述了使用 Citrix Cloud 时的安全最佳实践,并介绍了 Citrix Cloud 收集和管理的信息。
服务技术安全概述
有关 Citrix Cloud 服务中数据安全的详细信息,请查阅以下文章:
- Analytics 技术安全概述
- Endpoint Management 技术安全概述
- Remote Browser Isolation 技术安全概述
- Citrix DaaS 技术安全概述
- Citrix DaaS Standard for Azure 技术安全概述
管理员指南
- 使用强密码并定期更改密码。
- 客户帐户中的所有管理员都可以添加和删除其他管理员。请确保只有受信任的管理员才能访问 Citrix Cloud。
- 默认情况下,客户的管理员对所有服务都具有完全访问权限。某些服务提供限制管理员访问权限的功能。有关详细信息,请查阅各服务的文档。
- Citrix Cloud 管理员的双因素身份验证通过默认的 Citrix 身份提供程序实现。当管理员注册 Citrix Cloud 或受邀加入 Citrix Cloud 帐户时,他们需要注册多重身份验证 (MFA)。如果客户使用 Microsoft Azure 对 Citrix Cloud 管理员进行身份验证,则可以按照 Microsoft 网站上配置 Azure AD 多重身份验证设置中的说明配置多重身份验证。
- 默认情况下,无论控制台活动如何,Citrix Cloud 都会在 72 小时后自动终止管理员会话。此超时时间无法更改。
- 管理员帐户最多可关联 100 个客户帐户。如果管理员需要管理 100 个以上的客户帐户,则必须创建具有不同电子邮件地址的单独管理员帐户来管理额外的客户帐户。或者,可以将其从不再需要管理的客户帐户中删除管理员身份。
密码合规性
如果存在以下任一情况,Citrix Cloud 会提示管理员更改密码:
- 当前密码已超过 60 天未使用以登录。
- 当前密码已在已知泄露密码数据库中列出。
新密码必须满足以下所有条件:
- 至少 8 个字符长(最多 128 个字符)
- 包含至少一个大写字母和一个小写字母
- 包含至少一个数字
- 包含至少一个特殊字符:! @ # $ % ^ * ? + = -
更改密码的规则:
- 当前密码不能用作新密码。
- 不能重复使用前 5 个密码。
- 新密码不能与帐户用户名相似。
- 新密码不得在已知泄露密码数据库中列出。Citrix Cloud 使用 https://haveibeenpwned.com/ 提供的列表来确定新密码是否违反此条件。
加密和密钥管理
Citrix Cloud 控制平面不存储敏感客户信息。相反,Citrix Cloud 会按需检索管理员密码等信息(通过明确提示管理员)。
对于静态数据,Citrix Cloud 存储使用 AES-256 位或更高加密强度的密钥进行加密。这些密钥由 Citrix 管理。
对于传输中的数据,Citrix 使用行业标准 TLS 1.2 和最强的密码套件。客户无法控制正在使用的 TLS 证书,因为 Citrix Cloud 托管在 Citrix 拥有的 cloud.com 域上。要访问 Citrix Cloud,客户必须使用支持 TLS 1.2 的浏览器,并且必须配置已接受的密码套件。
建议使用以下强密码:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
有关 Citrix Cloud 服务数据如何受到保护的详细信息,请参阅 Citrix 网站上的《Citrix Cloud 服务数据保护概述》。
有关各云服务中加密和密钥管理的详细信息,请查阅该服务的文档。
数据主权
Citrix Cloud 控制平面托管在美国、欧盟和澳大利亚。客户无法对此进行控制。
客户拥有并管理其与 Citrix Cloud 配合使用的资源位置。资源位置可以在客户所需的任何数据中心、云、位置或地理区域中创建。所有关键业务数据(例如文档、电子表格等)都存储在资源位置中,并由客户控制。
其他服务可能具有在不同区域存储数据的选项。有关各服务的详细信息,请查阅地理注意事项主题或技术安全概述(本文开头列出)。
安全问题洞察
网站 status.cloud.com 提供了对持续影响客户的安全问题的透明度。该站点记录状态和正常运行时间信息。可以选择订阅平台或单个服务的更新。
Citrix Cloud Connector
安装 Cloud Connector
出于安全和性能原因,Citrix 建议客户不要在域控制器上安装 Cloud Connector 软件。
此外,Citrix 强烈建议安装 Cloud Connector 软件的计算机位于客户的专用网络中,而不是在 DMZ 中。有关网络和系统要求以及安装 Cloud Connector 的说明,请参阅Citrix Cloud Connector。
配置 Cloud Connector
客户负责使安装 Cloud Connector 的计算机保持最新的 Windows 安全更新。
客户可以将防病毒软件与 Cloud Connector 配合使用。Citrix 支持使用行业标准防病毒产品的客户。
在客户的 Active Directory (AD) 中,Citrix 强烈建议将 Cloud Connector 的计算机帐户限制为只读访问。这是 Active Directory 中的默认配置。此外,客户可以在 Cloud Connector 的计算机帐户上启用 AD 日志记录和审计,以监视任何 AD 访问活动。
登录到托管 Cloud Connector 的计算机
Cloud Connector 允许敏感安全信息传递到 Citrix Cloud 服务中的其他平台组件,但也存储以下敏感信息:
- 用于与 Citrix Cloud 通信的服务密钥
- 用于 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)中电源管理的虚拟机管理程序服务凭据
此敏感信息使用托管 Cloud Connector 的 Windows 服务器上的数据保护 API (DPAPI) 进行加密。Citrix 强烈建议只允许权限最高的管理员登录到 Cloud Connector 计算机(例如,执行维护操作)。通常,管理员无需登录这些计算机来管理任何 Citrix 产品。Cloud Connector 在这方面是自我管理的。
请勿允许最终用户登录到托管 Cloud Connector 的计算机。
在 Cloud Connector 计算机上安装其他软件
客户可以在安装 Cloud Connector 的计算机上安装防病毒软件和虚拟机管理程序工具(如果安装在虚拟机上)。但是,Citrix 建议客户不要在这些计算机上安装任何其他软件。其他软件会创建可能的安全攻击向量,并可能降低整个 Citrix Cloud 解决方案的安全性。
入站和出站端口配置
Cloud Connector 需要打开出站端口 443 以访问 Internet。Citrix 强烈建议 Cloud Connector 没有可从 Internet 访问的入站端口。
客户可以将 Cloud Connector 放置在 Web 代理后面,以监视其出站 Internet 通信。但是,Web 代理必须支持 SSL/TLS 加密通信。
Cloud Connector 可能有其他可访问 Internet 的出站端口。如果其他端口可用,Cloud Connector 会通过广泛的端口进行协商,以优化网络带宽和性能。
Cloud Connector 必须在内部网络中打开广泛的入站和出站端口。下表列出了所需的基本开放端口集。
| 客户端端口 | 服务器端口 | 服务 |
|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time |
| 49152 -65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 49152 -65535/TCP | 464/TCP/UDP | Kerberos password change |
| 49152 -65535/TCP | 49152-65535/TCP | RPC for LSA, SAM, Netlogon (*) |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152 -65535/TCP | 3268/TCP | LDAP GC |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152 -65535/TCP | 49152-65535/TCP | FRS RPC (*) |
| 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP | SMB |
Cloud Connector 使用 LDAP 签名和密封来保护与域控制器的连接。这意味着不需要 LDAP over SSL (LDAPS)。有关 LDAP 签名的详细信息,请参阅如何在 Windows Server 中启用 LDAP 签名和Microsoft 启用 LDAP 通道绑定和 LDAP 签名的指南。
Citrix Cloud 中使用的每项服务都会扩展所需的开放端口列表。有关详细信息,请查阅以下资源:
- 各服务的技术安全概述(本文开头列出)
- Citrix Cloud 服务的Internet 连接要求
- 控制台服务端口要求
- Endpoint Management 端口要求
监视出站通信
Cloud Connector 通过端口 443 与 Internet 进行出站通信,包括与 Citrix Cloud 服务器和 Microsoft Azure Service Bus 服务器的通信。
Cloud Connector 与本地网络中位于托管 Cloud Connector 的计算机所在的 Active Directory 林中的域控制器进行通信。
在正常运行期间,Cloud Connector 仅与 Citrix Cloud 用户界面中“身份和访问管理”页面上未禁用的域中的域控制器进行通信。
Citrix Cloud 中的每项服务都会扩展 Cloud Connector 在正常运行期间可能联系的服务器和内部资源列表。此外,客户无法控制 Cloud Connector 发送给 Citrix 的数据。有关服务的内部资源和发送给 Citrix 的数据的详细信息,请查阅以下资源:
- 各服务的技术安全概述(本文开头列出)
- Citrix Cloud 服务的Internet 连接要求
查看 Cloud Connector 日志
与管理员相关或可供管理员操作的任何信息都可在 Cloud Connector 计算机上的 Windows 事件日志中找到。
在以下目录中查看 Cloud Connector 的安装日志:
- %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
- %windir%\Temp\CitrixLogs\CloudServicesSetup
Cloud Connector 发送到云的日志位于 %ProgramData%\Citrix\WorkspaceCloud\Logs 中。
当 WorkspaceCloud\Logs 目录中的日志超过指定大小阈值时,它们将被删除。管理员可以通过调整 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes 的注册表项值来控制此大小阈值。
SSL/TLS 配置
托管 Cloud Connector 的 Windows Server 必须启用加密和密钥管理中详述的密码。
Cloud Connector 必须信任 Citrix Cloud SSL/TLS 证书和 Microsoft Azure Service Bus SSL/TLS 证书使用的证书颁发机构 (CA)。Citrix 和 Microsoft 将来可能会更改证书和 CA,但始终使用属于标准 Windows 受信任发布者列表的 CA。
Citrix Cloud 中的每项服务可能具有不同的 SSL 配置要求。有关详细信息,请查阅各服务的技术安全概述(本文开头列出)。
安全合规性
为确保安全合规性,Cloud Connector 是自我管理的。请勿禁用重新启动或对 Cloud Connector 施加其他限制。这些操作会阻止 Cloud Connector 在有关键更新时自行更新。
客户无需采取任何其他操作来应对安全问题。Cloud Connector 会自动应用任何安全修补程序。
适用于云服务的 Citrix Connector Appliance
安装 Connector Appliance
Connector Appliance 托管在虚拟机管理程序上。此虚拟机管理程序必须位于您的专用网络中,而不是在 DMZ 中。
请确保 Connector Appliance 位于默认情况下阻止访问的防火墙内。使用允许列表仅允许来自 Connector Appliance 的预期流量。
请确保托管 Connector Appliance 的虚拟机管理程序已安装最新的安全更新。
有关网络和系统要求以及安装 Connector Appliance 的说明,请参阅适用于云服务的 Connector Appliance。
登录到托管 Connector Appliance 的虚拟机管理程序
Connector Appliance 包含用于与 Citrix Cloud 通信的服务密钥。只允许权限最高的管理员登录到托管 Connector Appliance 的虚拟机管理程序(例如,执行维护操作)。通常,管理员无需登录这些虚拟机管理程序来管理任何 Citrix 产品。Connector Appliance 是自我管理的。
入站和出站端口配置
Connector Appliance 需要打开出站端口 443 以访问 Internet。Citrix 强烈建议 Connector Appliance 没有可从 Internet 访问的入站端口。
您可以将 Connector Appliance 放置在 Web 代理后面,以监视其出站 Internet 通信。但是,Web 代理必须支持 SSL/TLS 加密通信。
Connector Appliance 可能有其他可访问 Internet 的出站端口。如果其他端口可用,Connector Appliance 会通过广泛的端口进行协商,以优化网络带宽和性能。
Connector Appliance 必须在内部网络中打开广泛的入站和出站端口。下表列出了所需的基本开放端口集。
| 连接方向 | Connector Appliance 端口 | 外部端口 | 服务 |
|---|---|---|---|
| 入站 | 443/TCP | Any | Local Web UI |
| 出站 | 49152-65535/UDP | 123/UDP | NTP |
| 出站 | 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 出站 | 67/UDP | 68/UDP | DHCP and broadcast |
| 出站 | 49152 -65535/UDP | 123/UDP | W32Time |
| 出站 | 49152 -65535/TCP | 464/TCP/UDP | Kerberos password change |
| 出站 | 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 出站 | 49152 -65535/TCP | 3268/TCP | LDAP GC |
| 出站 | 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 出站 | 49152 -65535/TCP/UDP | 445/TCP | SMB |
| 出站 | 137/UDP | 137/UDP | NetBIOS Name Service |
| 出站 | 138/UDP | 138/UDP | NetBIOS Datagram |
| 出站 | 139/TCP | 139/TCP | NetBIOS Session |
Citrix Cloud 中使用的每项服务都会扩展所需的开放端口列表。有关详细信息,请查阅以下资源:
监视出站通信
Connector Appliance 通过端口 443 与 Internet 进行出站通信,包括与 Citrix Cloud 服务器的通信。
Citrix Cloud 中的每项服务都会扩展 Connector Appliance 在正常运行期间可能联系的服务器和内部资源列表。此外,客户无法控制 Connector Appliance 发送给 Citrix 的数据。有关服务的内部资源和发送给 Citrix 的数据的详细信息,请查阅以下资源:
查看 Connector Appliance 日志
您可以下载包含各种日志文件的 Connector Appliance 诊断报告。有关获取此报告的详细信息,请参阅适用于云服务的 Connector Appliance。
SSL/TLS 配置
Connector Appliance 不需要任何特殊的 SSL/TLS 配置。
Connector Appliance 信任 Citrix Cloud SSL/TLS 证书使用的证书颁发机构 (CA)。Citrix 将来可能会更改证书和 CA,但始终使用 Connector Appliance 信任的 CA。
Citrix Cloud 中的每项服务可能具有不同的 SSL 配置要求。有关详细信息,请查阅各服务的技术安全概述(本文开头列出)。
安全合规性
为确保安全合规性,Connector Appliance 是自我管理的,您无法通过控制台登录到它。
您无需采取任何其他操作来应对连接器安全问题。Connector Appliance 会自动应用任何安全修补程序。
请确保托管 Connector Appliance 的虚拟机管理程序已安装最新的安全更新。
在您的 Active Directory (AD) 中,我们建议将 Connector Appliance 计算机帐户限制为只读访问。这是 Active Directory 中的默认配置。此外,客户可以在 Connector Appliance 计算机帐户上启用 AD 日志记录和审计,以监视任何 AD 访问活动。
处理受损帐户的指南
- 审计 Citrix Cloud 中的管理员列表,并删除任何不受信任的管理员。
- 禁用公司 Active Directory 中任何受损的帐户。
- 联系 Citrix 并请求轮换为所有客户的 Cloud Connector 存储的授权密钥。根据泄露的严重程度,采取以下操作:
- 低风险: Citrix 可以随着时间的推移轮换密钥。Cloud Connector 将继续正常运行。旧的授权密钥将在 2-4 周内失效。在此期间监视 Cloud Connector,以确保没有意外操作。
- 持续高风险: Citrix 可以撤销所有旧密钥。现有的 Cloud Connector 将不再运行。要恢复正常运行,客户必须在所有适用的计算机上卸载并重新安装 Cloud Connector。