Citrix Cloud

适用于 Citrix Cloud 平台的安全部署指南

《适用于 Citrix Cloud 的安全部署指南》概述了使用 Citrix Cloud 时的安全性最佳做法并介绍了 Citrix Cloud 收集和管理的信息。

服务的技术安全概述

有关 Citrix Cloud 服务中数据安全的更多信息,请参阅以下文章:

管理员指南

  • 使用强密码并定期更改您的密码。
  • 客户帐户内的所有管理员都可以添加和删除其他管理员。确保只有受信任的管理员有权访问 Citrix Cloud。
  • 客户的管理员默认对所有服务具有完全访问权限。某些服务提供限制管理员的访问权限的功能。有关详细信息,请参阅每项服务的文档。
  • Citrix Cloud 管理员的双重身份验证是使用默认 Citrix 身份提供商实现的。当管理员注册 Citrix Cloud 或受邀加入 Citrix Cloud 帐户时,他们需要注册多因素身份验证 (MFA)。如果客户使用 Microsoft Azure 对 Citrix Cloud 管理员进行身份验证,则可以按照 Microsoft Web 站点上配置 Azure AD 多重身份验证设置中的说明配置多因子身份验证
  • 默认情况下,无论控制台活动如何,Citrix Cloud 都会在 24 小时后自动终止管理员会话。此超时无法更改。
  • 管理员帐户最多可以与 100 个客户帐户关联。如果管理员需要管理 100 多个客户帐户,则他们必须使用不同的电子邮件地址创建一个单独的管理员帐户来管理其他客户帐户。或者,可以将他们作为管理员从不再需要管理的客户帐户中删除。

密码合规性

如果存在以下情况之一,Citrix Cloud 会提示管理员更改密码:

  • 当前密码已超过 60 天未用于登录。
  • 当前密码已在已知的泄露密码数据库中列出。

新密码必须满足以下所有条件:

  • 长度至少为 8 个字符(最多 128 个字符)
  • 至少包含一个大写和小写字母
  • 至少包含一个数字
  • 包含至少一个特殊字符:!@ # $% ^ *?+ =-

更改密码的规则:

  • 当前密码不能用作新密码。
  • 之前的 5 个密码无法重复使用。
  • 新密码不能与帐户用户名相似。
  • 新密码不得在已知的泄露密码数据库中列出。Citrix Cloud 使用 https://haveibeenpwned.com/ 提供的列表来确定新密码是否违反此条件。

加密和密钥管理

Citrix Cloud 控制平面不存储敏感的客户信息。相反,Citrix Cloud 会按需检索管理员密码等信息(通过明确提示管理员)。不存在敏感的或加密的静态数据,因此不需要管理任何密钥。

对于动态数据,Citrix 使用行业标准 TLS 1.2 以及最强的密码套件。客户无法控制正在使用的 TLS 证书,因为 Citrix Cloud 托管在 Citrix 拥有的 cloud.com 域中。要访问 Citrix Cloud,客户必须使用支持 TLS 1.2 的浏览器,并且必须配置接受的密码套件。

  • 如果从 Windows Server 2016、Windows Server 2019 或 Windows Server 2022 访问Citrix Cloud 控制平面,建议使用以下强密码:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • 如果从 Windows Server 2012 R2 访问 Citrix Cloud 控制平面,则强密码不可用,因此必须使用以下密码:TLS_DHE_RSA_WITH_AES_256_GCM_SHA384、TLS_DHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

有关每个云服务中的加密和密钥管理的更多信息,请参阅该服务的文档。

有关 TLS 1.2 配置的更多信息,请参阅以下文章:

  • 在客户端计算机上强制使用 TLS 1.2: CTX245765,错误:“底层连接已关闭:发送时出现意外错误。“查询监视服务的 OData 端点时
  • 为 TLS 1.2: CTX209211配置 ShareFile 存储区域控制器,为 TLS v1.2 入站连接配置 StorageZone 控制器
  • 在 Microsoft Docs 网站上@@更新和配置 .NET 框架以支持 TLS 1.2

数据主权

Citrix Cloud 控制平面托管在美国、欧盟和澳大利亚。客户无法对此进行控制。

客户拥有和管理与 Citrix Cloud 结合使用的资源位置。可以在客户要求的任何数据中心、云、位置或地理区域中创建资源位置。所有关键的业务数据(例如,文档、电子表格等)都存储在资源位置中,由客户控制。

对于Content Collaboration,请查阅以下资源,了解有关控制数据驻留位置的信息:

其他服务可能具有在不同的地区存储数据的选项。有关每项服务,请查阅 地理注意事项 主题或 技术安全概述 (在本文开头列出)。

安全问题见解

status.cloud.com 网站提供对持续影响客户的安全问题的透明度。站点日志状态和运行时信息。存在一个用于订阅平台或各项服务的更新的选项。

Citrix Cloud Connector

安装 Cloud Connector

出于安全和性能原因,Citrix 建议客户不要在域控制器上安装 Cloud Connector 软件。

此外,Citrix 强烈建议安装了 Cloud Connector 软件的计算机位于客户的专用网络内,而不是位于 DMZ 中。有关网络和系统要求以及安装 Cloud Connector 的说明,请参阅 Citrix Cloud Connector

配置 Cloud Connector

客户负责通过安装 Windows 安全更新来保持安装了 Cloud Connector 的计算机处于最新状态。

客户可以与 Cloud Connector 一起使用防病毒软件。Citrix 测试了 McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8。Citrix 为使用其他行业标准音视产品的客户提供支持。

在客户的 Active Directory (AD) 中,Citrix 强烈建议将 Cloud Connector 的计算机帐户限制为只读访问权限。这是 Active Directory 中的默认配置。此外,客户还可以在 Cloud Connector 的计算机帐户上启用 AD 日志记录和审核,以监视任何 AD 访问活动。

登录托管 Cloud Connector 的计算机

Cloud Connector 允许将敏感的安全信息传递到 Citrix Cloud 服务中的其他平台组件,但也存储以下敏感信息:

  • 用于与 Citrix Cloud 通信的服务密钥
  • Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)中用于电源管理的虚拟机管理程序服务凭据

这些敏感信息在托管Cloud Connector 的 Windows 服务器上使用数据保护 API (DPAPI) 进行加密。Citrix 强烈建议只允许权限最高的管理员登录 Cloud Connector 计算机(例如,执行维护操作)。一般而言,管理员不需要登录这些计算机即可管理任何 Citrix 产品。Cloud Connector 在管理方面执行自助管理。

请勿允许最终用户登录托管 Cloud Connector 的计算机。

在Cloud Connector 计算机上安装其他软件

客户可以在安装了 Cloud Connector 的计算机上安装防病毒软件和虚拟机管理程序工具(如果已在虚拟机上安装)。但是,Citrix 建议客户不要在这些计算机上安装任何其他软件。其他软件可能会产生安全攻击媒介,并可能降低整个 Citrix Cloud 解决方案的安全性。

入站和出站端口配置

Cloud Connector 要求打开对 Internet 具有访问权限的出站端口 443。Citrix 强烈建议Cloud Connector 没有可从互联网访问的入站端口。

客户可以在用于监视其出站 Internet 通信的 Web 代理后面找到 Cloud Connector。但是,Web 代理必须支持 SSL/TLS 加密通信。

Cloud Connector 可能有其他可以访问互联网的出站端口。如果有其他端口可用,Cloud Connector 可通过各种端口进行协商,以优化网络带宽和性能。

Cloud Connector 必须具有在内部网络中打开的范围广泛的入站和出站端口。下表列出了所需的基本开放端口集。

客户端口 服务器端口 服务
49152 -65535/UDP 123/UDP W32Time
49152 -65535/TCP 135/TCP RPC 终结点映射程序
49152 -65535/TCP 464/TCP/UDP Kerberos 密码更改
49152 -65535/TCP 49152-65535/TCP RPC(适用于 LSA)、SAM、Netlogon (*)
49152 -65535/TCP/UDP 389/TCP/UDP LDAP
49152 -65535/TCP 636/TCP LDAP SSL
49152 -65535/TCP 3268/TCP LDAP GC
49152 -65535/TCP 3269/TCP LDAP GC SSL
53, 49152 -65535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP 49152 -65535/TCP FRS RPC (*)
49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
49152 -65535/TCP/UDP 445/TCP SMB

Citrix Cloud 中使用的每项服务都扩展了所需的开放端口列表。有关详细信息,请参阅以下资源:

监视出站通信

Cloud Connector 在端口 443 上与 Internet 进行出站通信,将通信同时传输至 Citrix Cloud 服务器和 Microsoft Azure 服务总线服务器。

Cloud Connector 与本地网络中托管 Cloud Connector 的计算机所在的 Active Directory 林中的域控制器进行通信。

在正常操作期间,Cloud Connector 仅与 Citrix Cloud 用户界面的“身份和访问管理”页面上未禁用的域中的域控制器进行通信。

Citrix Cloud 中的每项服务都会扩展Cloud Connector 在正常操作期间可能联系的服务器和内部资源的列表。此外,客户无法控制Cloud Connector 发送到 Citrix 的数据。有关服务向 Citrix 发送的内部资源和数据的详细信息,请参阅以下资源:

查看 Cloud Connector 日志

与管理员有关的或者管理员可操作的任何信息都在 Cloud Connector 计算机上的 Windows 事件日志中提供。

请查看以下目录中的 Cloud Connector 的安装日志:

  • %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
  • %windir%\Temp\CitrixLogs\CloudServicesSetup

Cloud Connector 向云发送的信息的日志位于 %ProgramData%\Citrix\WorkspaceCloud\Logs 中。

超出指定的大小阈值时,将删除 WorkspaceCloud\Logs 目录中的日志。管理员可以通过调整 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes 的注册表项值来控制此大小阈值。

SSL/TLS 配置

托管Cloud Connector 的 Windows Server 必须启用 加密和密钥管理 中详细介绍的密码。

Cloud Connector 必须信任 Citrix Cloud SSL/TLS 证书和 Microsoft Azure 服务总线 SSL/TLS 证书使用的证书颁发机构 (CA)。Citrix 和 Microsoft 将来可能会更改证书和 CA,但始终使用属于标准 Windows 可信发布者列表一部分的 CA。

Citrix Cloud 中的每项服务可能有不同的 SSL 配置要求。有关更多信息,请参阅每项服务的 技术安全概述 (在本文开头列出)。

安全合规性

为确保安全合规性,Cloud Connector 可自行管理。请勿禁用重新启动,或者对 Cloud Connector 设置其他限制。这些操作将阻止 Cloud Connector 在有关键更新时进行自助更新。

客户不需要采取任何其他操作来对安全问题做出反应。Cloud Connector 将自动应用所有安全修复。

适用于云服务的 Citrix 连接器设备

安装连接器设备

连接器设备托管在虚拟机管理程序上。此虚拟机管理程序必须位于您的专用网络内部,而不在 DMZ 中。

确保连接器设备位于默认情况下阻止访问的防火墙内。使用允许列表仅允许来自连接器设备的预期流量。

确保托管连接器设备的虚拟机管理程序安装了最新的安全更新。

有关网络和系统要求以及安装连接器设备的说明,请参阅 适用于云服务的连接器设备

登录到托管连接器设备的虚拟机管理程序

连接器设备包含用于与 Citrix Cloud 通信的服务密钥。仅允许特权最高的管理员登录托管连接器设备的虚拟机管理程序(例如,执行维护操作)。通常,管理员无需登录这些虚拟机管理程序即可管理任何 Citrix 产品。连接器设备是自我管理的。

入站和出站端口配置

连接器设备需要打开出站端口 443 才能访问互联网。Citrix 强烈建议连接器设备没有可从互联网访问的入站端口。

您可以在 Web 代理后面找到连接器设备以监视其出站 Internet 通信。但是,Web 代理必须支持 SSL/TLS 加密通信。

连接器设备可能有其他可以访问互联网的出站端口。如果有其他端口可用,连接器设备会跨各种端口进行协商,以优化网络带宽和性能。

连接器设备必须在内部网络中打开大量的入站和出站端口。下表列出了所需的基本开放端口集。

连接方向 连接器设备端口 外部端口 服务
入库 443/TCP 任意 本地 Web 用户界面
出境 49152-65535/UDP 123/UDP NTP
出境 53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
出境 67/UDP 68/UDP DHCP 和广播
出境 49152 -65535/UDP 123/UDP W32Time
出境 49152 -65535/TCP 464/TCP/UDP Kerberos 密码更改
出境 49152 -65535/TCP/UDP 389/TCP/UDP LDAP
出境 49152 -65535/TCP 636/TCP LDAP SSL
出境 49152 -65535/TCP 3268/TCP LDAP GC
出境 49152 -65535/TCP 3269/TCP LDAP GC SSL
出境 49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
出境 49152 -65535/TCP/UDP 445/TCP SMB
出境 137/UDP 137/UDP NetBIOS 名称服务
出境 138/UDP 138/UDP NetBIOS 数据报
出境 139/TCP 139/TCP NetBIOS 会话

Citrix Cloud 中使用的每项服务都扩展了所需的开放端口列表。有关详细信息,请参阅以下资源:

监视出站通信

连接器设备通过端口 443 与 Citrix Cloud 服务器进行出站通信。

Citrix Cloud 中的每项服务都会扩展连接器设备在正常操作期间可能联系的服务器和内部资源的列表。此外,客户无法控制连接器设备发送到 Citrix 的数据。有关服务向 Citrix 发送的内部资源和数据的详细信息,请参阅以下资源:

查看连接器设备日志

您可以下载包含各种日志文件的连接器设备的诊断报告。有关获取此报告的更多信息,请参阅 适用于云服务的连接器设备

SSL/TLS 配置

连接器设备不需要任何特殊的 SSL/TLS 配置。

连接器设备信任 Citrix Cloud SSL/TLS 证书使用的证书颁发机构 (CA)。Citrix 将来可能会更改证书和 CA,但始终使用连接器设备信任的 CA。

Citrix Cloud 中的每项服务可能有不同的 SSL 配置要求。有关更多信息,请参阅每项服务的 技术安全概述 (在本文开头列出)。

安全合规性

为确保安全合规,连接器设备自行管理,您无法通过控制台登录。

您无需采取任何其他措施来应对连接器安全问题。连接器设备会自动应用所有安全修复程序。

确保托管连接器设备的虚拟机管理程序安装了最新的安全更新。

在 Active Directory (AD) 中,我们建议将连接器设备计算机帐户限制为只读访问权限。这是 Active Directory 中的默认配置。此外,客户还可以在连接器设备计算机帐户上启用 AD 日志记录和审核,以监视任何 AD 访问活动。

处理受到威胁的帐户的指南

  • 审核 Citrix Cloud 中的管理员列表并删除任何不受信任的管理员。
  • 禁用贵公司Active Directory 中所有被盗用的帐户。
  • 联系 Citrix 并要求轮转为客户的所有 Cloud Connector 存储的授权机密。根据破坏的严重程度执行以下操作:
    • 低风险: Citrix 可以随着时间的推移轮换密钥。Cloud Connector 继续正常运行。旧的授权密钥将在 2-4 周后失效。请在此时间内监视 Cloud Connector,以确保不执行任何非预期操作。
    • 持续存在的高风险: Citrix 可以撤销所有旧密钥。现有的 Cloud Connector 将不再运行。要继续正常运行,客户必须在所有适用的计算机上卸载并重新安装 Cloud Connector。
适用于 Citrix Cloud 平台的安全部署指南