适用于 Citrix Cloud 平台的安全部署指南
《适用于 Citrix Cloud 的安全部署指南》概述了使用 Citrix Cloud 时的安全性最佳做法并介绍了 Citrix Cloud 收集和管理的信息。
服务的技术安全概述
有关 Citrix Cloud Services 中数据安全的更多信息,请参阅以下文章:
- 分析技术安全概述
- Endpoint Management 技术安全概述
- Remote Browser Isolation 技术安全概述
- Citrix DaaS 技术安全概述
- Citrix DaaS Standard for Azure 技术安全概述
管理员指南
- 使用强密码并定期更改您的密码。
- 客户帐户内的所有管理员都可以添加和删除其他管理员。确保只有受信任的管理员有权访问 Citrix Cloud。
- 客户的管理员默认对所有服务具有完全访问权限。某些服务提供限制管理员的访问权限的功能。有关详细信息,请参阅每项服务的文档。
- Citrix Cloud 管理员的双重身份验证是使用默认 Citrix 身份提供商实现的。当管理员注册 Citrix Cloud 或受邀加入 Citrix Cloud 帐户时,他们需要注册多因素身份验证 (MFA)。如果客户使用 Microsoft Azure 对 Citrix Cloud 管理员进行身份验证,则可以按照 Microsoft Web 站点上配置 Azure AD 多重身份验证设置中的说明配置多因素身份验证。
- 默认情况下,无论控制台活动如何,Citrix Cloud 都会在 24 小时后自动终止管理员会话。此超时无法更改。
- 管理员帐户最多可以与 100 个客户帐户关联。如果管理员需要管理 100 多个客户帐户,则他们必须使用不同的电子邮件地址创建一个单独的管理员帐户来管理其他客户帐户。或者,可以将他们作为管理员从不再需要管理的客户帐户中删除。
密码合规性
如果存在以下情况之一,Citrix Cloud 会提示管理员更改密码:
- 当前密码已超过 60 天未用于登录。
- 当前密码已在已知的泄露密码数据库中列出。
新密码必须满足以下所有条件:
- 长度至少为 8 个字符(最多 128 个字符)
- 至少包含一个大写和小写字母
- 至少包含一个数字
- 包含至少一个特殊字符:!@ # $% ^ *?+ =-
更改密码的规则:
- 当前密码不能用作新密码。
- 之前的 5 个密码无法重复使用。
- 新密码不能与帐户用户名相似。
- 新密码不得在已知的泄露密码数据库中列出。Citrix Cloud 使用 https://haveibeenpwned.com/ 提供的列表来确定新密码是否违反此条件。
加密和密钥管理
Citrix Cloud 控制平面不存储敏感的客户信息。相反,Citrix Cloud 会按需检索管理员密码等信息(通过明确提示管理员)。
对于静态数据,Citrix Cloud 存储使用 AES-256 位或更高的密钥进行加密。这些密钥由 Citrix 管理。
对于动态数据,Citrix 使用行业标准 TLS 1.2 以及最强的密码套件。客户无法控制正在使用的 TLS 证书,因为 Citrix Cloud 托管在 Citrix 拥有的 cloud.com 域中。要访问 Citrix Cloud,客户必须使用支持 TLS 1.2 的浏览器,并且必须配置接受的密码套件。
- 如果从 Windows Server 2016、Windows Server 2019 或 Windows Server 2022 访问Citrix Cloud 控制平面,建议使用以下强密码:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- 如果从 Windows Server 2012 R2 访问 Citrix Cloud 控制平面,则强密码不可用,因此必须使用以下密码:TLS_DHE_RSA_WITH_AES_256_GCM_SHA384、TLS_DHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
有关如何保护 Citrix Cloud 服务数据的更多信息,请参阅 Citrix Web 站点上的 Citrix Cloud Services 数据保护概述。
有关每个云服务中的加密和密钥管理的更多信息,请参阅该服务的文档。
有关 TLS 1.2 配置的更多信息,请参阅以下文章:
- 在客户端计算机上强制使用 TLS 1.2:CTX245765,查询 Monitoring Service 的 OData 端点时出现错误:“底层连接已关闭: 发送时出现意外错误。”
- Microsoft Docs Web 站点上的更新和配置 .NET Framework 以支持 TLS 1.2。
数据主权
Citrix Cloud 控制平面托管在美国、欧盟和澳大利亚。客户无法对此进行控制。
客户拥有和管理与 Citrix Cloud 结合使用的资源位置。可以在客户要求的任何数据中心、云、位置或地理区域中创建资源位置。所有关键的业务数据(例如,文档、电子表格等)都存储在资源位置中,由客户控制。
其他服务可能具有在不同的地区存储数据的选项。有关每项服务,请查阅 地理注意事项 主题或 技术安全概述 (在本文开头列出)。
安全问题见解
status.cloud.com 网站提供对持续影响客户的安全问题的透明度。站点日志状态和运行时信息。存在一个用于订阅平台或各项服务的更新的选项。
Citrix Cloud Connector
安装 Cloud Connector
出于安全和性能原因,Citrix 建议客户不要在域控制器上安装 Cloud Connector 软件。
此外,Citrix 强烈建议安装了 Cloud Connector 软件的计算机位于客户的专用网络内,而不是位于 DMZ 中。有关网络和系统要求以及安装 Cloud Connector 的说明,请参阅 Citrix Cloud Connector。
配置 Cloud Connector
客户负责通过安装 Windows 安全更新来保持安装了 Cloud Connector 的计算机处于最新状态。
客户可以与 Cloud Connector 一起使用防病毒软件。Citrix 测试了 McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8。Citrix 为使用其他行业标准音视产品的客户提供支持。
在客户的 Active Directory (AD) 中,Citrix 强烈建议将 Cloud Connector 的计算机帐户限制为只读访问权限。这是 Active Directory 中的默认配置。此外,客户还可以在 Cloud Connector 的计算机帐户上启用 AD 日志记录和审核,以监视任何 AD 访问活动。
登录托管 Cloud Connector 的计算机
Cloud Connector 允许将敏感的安全信息传递到 Citrix Cloud 服务中的其他平台组件,但也存储以下敏感信息:
- 用于与 Citrix Cloud 通信的服务密钥
- Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)中用于电源管理的 Hypervisor 服务凭据
这些敏感信息在托管Cloud Connector 的 Windows 服务器上使用数据保护 API (DPAPI) 进行加密。Citrix 强烈建议只允许权限最高的管理员登录 Cloud Connector 计算机(例如,执行维护操作)。一般而言,管理员不需要登录这些计算机即可管理任何 Citrix 产品。Cloud Connector 在管理方面执行自助管理。
请勿允许最终用户登录托管 Cloud Connector 的计算机。
在Cloud Connector 计算机上安装其他软件
客户可以在安装了 Cloud Connector 的计算机上安装防病毒软件和虚拟机管理程序工具(如果已在虚拟机上安装)。但是,Citrix 建议客户不要在这些计算机上安装任何其他软件。其他软件可能会产生安全攻击媒介,并可能降低整个 Citrix Cloud 解决方案的安全性。
入站和出站端口配置
Cloud Connector 要求打开对 Internet 具有访问权限的出站端口 443。Citrix 强烈建议Cloud Connector 没有可从互联网访问的入站端口。
客户可以在用于监视其出站 Internet 通信的 Web 代理后面找到 Cloud Connector。但是,Web 代理必须支持 SSL/TLS 加密通信。
Cloud Connector 可能有其他可以访问互联网的出站端口。如果有其他端口可用,Cloud Connector 可通过各种端口进行协商,以优化网络带宽和性能。
Cloud Connector 必须具有在内部网络中打开的范围广泛的入站和出站端口。下表列出了所需的基本开放端口集。
| 客户端口 | 服务器端口 | 服务 |
|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time |
| 49152 -65535/TCP | 135/TCP | RPC 终结点映射程序 |
| 49152 -65535/TCP | 464/TCP/UDP | Kerberos 密码更改 |
| 49152 -65535/TCP | 49152-65535/TCP | RPC(适用于 LSA)、SAM、Netlogon (*) |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152 -65535/TCP | 3268/TCP | LDAP GC |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152 -65535/TCP | 49152 -65535/TCP | FRS RPC (*) |
| 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP | SMB |
Cloud Connector 使用 LDAP 签名和密封来保护与域控制器的连接。这意味着不需要基于 SSL 的 LDAP (LDAPS)。有关 LDAP 签名的更多信息,请参阅如何在 Windows Server 中启用 LDAP 签名和 Microsoft 启用 LDAP 通道绑定和 LDAP 签名的指南。
Citrix Cloud 中使用的每项服务都扩展了所需的开放端口列表。有关详细信息,请参阅以下资源:
- 每项服务的技术安全概述(在本文开头列出)
- Citrix Cloud 服务的 Internet 连接要求
- 应用程序交付管理服务端口要求
- Endpoint Management 端口要求
监视出站通信
Cloud Connector 在端口 443 上与 Internet 进行出站通信,将通信同时传输至 Citrix Cloud 服务器和 Microsoft Azure 服务总线服务器。
Cloud Connector 与本地网络中托管 Cloud Connector 的计算机所在的 Active Directory 林中的域控制器进行通信。
在正常操作期间,Cloud Connector 仅与 Citrix Cloud 用户界面的“身份和访问管理”页面上未禁用的域中的域控制器进行通信。
Citrix Cloud 中的每项服务都会扩展Cloud Connector 在正常操作期间可能联系的服务器和内部资源的列表。此外,客户无法控制Cloud Connector 发送到 Citrix 的数据。有关服务向 Citrix 发送的内部资源和数据的详细信息,请参阅以下资源:
- 每项服务的技术安全概述(在本文开头列出)
- Citrix Cloud 服务的 Internet 连接要求
查看 Cloud Connector 日志
与管理员有关的或者管理员可操作的任何信息都在 Cloud Connector 计算机上的 Windows 事件日志中提供。
请查看以下目录中的 Cloud Connector 的安装日志:
- %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
- %windir%\Temp\CitrixLogs\CloudServicesSetup
Cloud Connector 向云发送的信息的日志位于 %ProgramData%\Citrix\WorkspaceCloud\Logs 中。
超出指定的大小阈值时,将删除 WorkspaceCloud\Logs 目录中的日志。管理员可以通过调整 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes 的注册表项值来控制此大小阈值。
SSL/TLS 配置
托管Cloud Connector 的 Windows Server 必须启用 加密和密钥管理 中详细介绍的密码。
Cloud Connector 必须信任 Citrix Cloud SSL/TLS 证书和 Microsoft Azure 服务总线 SSL/TLS 证书使用的证书颁发机构 (CA)。Citrix 和 Microsoft 将来可能会更改证书和 CA,但始终使用属于标准 Windows 可信发布者列表一部分的 CA。
Citrix Cloud 中的每项服务可能有不同的 SSL 配置要求。有关更多信息,请参阅每项服务的 技术安全概述 (在本文开头列出)。
安全合规性
为确保安全合规性,Cloud Connector 可自行管理。请勿禁用重新启动,或者对 Cloud Connector 设置其他限制。这些操作将阻止 Cloud Connector 在有关键更新时进行自助更新。
客户不需要采取任何其他操作来对安全问题做出反应。Cloud Connector 将自动应用所有安全修复。
适用于云服务的 Citrix Connector Appliance
安装 Connector Appliance
Connector Appliance 托管在虚拟机管理程序上。此虚拟机管理程序必须位于您的专用网络内部,而不在 DMZ 中。
确保 Connector Appliance 位于默认情况下阻止访问的防火墙内。使用允许列表仅允许来自 Connector Appliance 的预期流量。
确保托管 Connector Appliance 的虚拟机管理程序安装了最新的安全更新。
有关网络和系统要求以及安装 Connector Appliance 的说明,请参阅适用于云服务的 Connector Appliance。
登录到托管 Connector Appliance 的虚拟机管理程序
Connector Appliance 包含用于与 Citrix Cloud 通信的服务密钥。仅允许特权最高的管理员登录托管 Connector Appliance 的虚拟机管理程序(例如,执行维护操作)。通常,管理员无需登录这些虚拟机管理程序即可管理任何 Citrix 产品。Connector Appliance 是自我管理的。
入站和出站端口配置
Connector Appliance 需要打开出站端口 443 才能访问 Internet。Citrix 强烈建议 Connector Appliance 没有可从 Internet 访问的入站端口。
您可以在 Web 代理后面找到 Connector Appliance 以监视其出站 Internet 通信。但是,Web 代理必须支持 SSL/TLS 加密通信。
Connector Appliance 可能有其他可以访问 Internet 的出站端口。如果有其他端口可用,Connector Appliance 会跨各种端口进行协商,以优化网络带宽和性能。
Connector Appliance 必须在内部网络中打开大量的入站和出站端口。下表列出了所需的基本开放端口集。
| 连接方向 | Connector Appliance 端口 | 外部端口 | 服务 |
|---|---|---|---|
| 入库 | 443/TCP | 任意 | 本地 Web 用户界面 |
| 出站 | 49152-65535/UDP | 123/UDP | NTP |
| 出站 | 53、49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 出站 | 67/UDP | 68/UDP | DHCP 和广播 |
| 出站 | 49152 -65535/UDP | 123/UDP | W32Time |
| 出站 | 49152 -65535/TCP | 464/TCP/UDP | Kerberos 密码更改 |
| 出站 | 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 出站 | 49152 -65535/TCP | 3268/TCP | LDAP GC |
| 出站 | 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 出站 | 49152 -65535/TCP/UDP | 445/TCP | SMB |
| 出站 | 137/UDP | 137/UDP | NetBIOS 名称服务 |
| 出站 | 138/UDP | 138/UDP | NetBIOS 数据报 |
| 出站 | 139/TCP | 139/TCP | NetBIOS 会话 |
Citrix Cloud 中使用的每项服务都扩展了所需的开放端口列表。有关详细信息,请参阅以下资源:
监视出站通信
Connector Appliance 通过端口 443 与 Citrix Cloud 服务器进行出站通信。
Citrix Cloud 中的每项服务都会扩展 Connector Appliance 在正常操作期间可能联系的服务器和内部资源的列表。此外,客户无法控制 Connector Appliance 发送到 Citrix 的数据。有关服务向 Citrix 发送的内部资源和数据的详细信息,请参阅以下资源:
查看 Connector Appliance 日志
您可以下载包含各种日志文件的 Connector Appliance 的诊断报告。有关获取此报告的更多信息,请参阅适用于云服务的 Connector Appliance。
SSL/TLS 配置
Connector Appliance 不需要任何特殊的 SSL/TLS 配置。
Connector Appliance 信任 Citrix Cloud SSL/TLS 证书使用的证书颁发机构 (CA)。Citrix 将来可能会更改证书和 CA,但始终使用 Connector Appliance 信任的 CA。
Citrix Cloud 中的每项服务可能有不同的 SSL 配置要求。有关更多信息,请参阅每项服务的 技术安全概述 (在本文开头列出)。
安全合规性
为确保安全合规,Connector Appliance 自行管理,您无法通过控制台登录。
您无需采取任何其他措施来应对连接器安全问题。Connector Appliance 会自动应用所有安全修复程序。
确保托管 Connector Appliance 的虚拟机管理程序安装了最新的安全更新。
在 Active Directory (AD) 中,我们建议将 Connector Appliance 计算机帐户限制为只读访问权限。这是 Active Directory 中的默认配置。此外,客户还可以在 Connector Appliance 计算机帐户上启用 AD 日志记录和审核,以监视任何 AD 访问活动。
处理受到威胁的帐户的指南
- 审核 Citrix Cloud 中的管理员列表并删除任何不受信任的管理员。
- 禁用贵公司Active Directory 中所有被盗用的帐户。
- 联系 Citrix 并要求轮转为客户的所有 Cloud Connector 存储的授权机密。根据破坏的严重程度执行以下操作:
- 低风险: Citrix 可以随着时间的推移轮换密钥。Cloud Connector 继续正常运行。旧的授权密钥将在 2-4 周后失效。请在此时间内监视 Cloud Connector,以确保不执行任何非预期操作。
- 持续存在的高风险: Citrix 可以撤销所有旧密钥。现有的 Cloud Connector 将不再运行。要继续正常运行,客户必须在所有适用的计算机上卸载并重新安装 Cloud Connector。