感谢您提供反馈

这篇文章已经过机器翻译.放弃

技术安全概述

下图显示了适用于 Azure 的 Citrix DaaS Standard(以前称为适用于 Azure 的 Citrix Virtual Apps and Desktops Standard)部署中的组件。 此示例使用 VNet 对等连接。

Citrix DaaS for Azure 组件和 Azure VNet 对等连接

借助 Citrix DaaS for Azure,客户用于交付桌面和应用程序的虚拟交付代理 (VDA) 以及 Citrix Cloud Connectors 可部署到 Citrix 管理的 Azure 订阅和租户中。

笔记:

本文概述了使用 Citrix Managed Azure 订阅部署 Citrix DaaS for Azure 的客户的安全要求。 有关使用客户管理的 Azure 订阅部署 Citrix DaaS for Azure 的架构概述(包括安全信息),请参阅 参考架构:虚拟应用程序和桌面服务 - Azure

基于 Citrix 云的合规性

截至 2021 年 1 月,Citrix Managed Azure Capacity 与各种 Citrix DaaS 版本和 Workspace Premium Plus 的使用尚未针对 Citrix SOC 2(类型 1 或 2)、ISO 27001、HIPAA 或其他云合规性要求进行评估。 访问 Citrix 信任中心 了解有关 Citrix Cloud 认证的更多信息,并经常回来查看更新。

Citrix 责任

适用于未加入域的目录的 Citrix Cloud Connectors

Citrix DaaS for Azure 在每个资源位置部署至少两个云连接器。 如果某些目录与同一客户的其他目录位于同一区域,则它们可能会共享资源位置。

Citrix 负责对未加入域的目录 Cloud Connector 执行以下安全操作:

  • 应用操作系统更新和安全补丁
  • 安装和维护防病毒软件
  • 应用 Cloud Connector 软件更新

客户无权访问云连接器。 因此,Citrix 对非域加入目录 Cloud Connector 的性能负全部责任。

Azure 订阅和 Azure Active Directory

Citrix 负责为客户创建的 Azure 订阅和 Azure Active Directory (AAD) 的安全性。 Citrix 确保租户隔离,因此每个客户都有自己的 Azure 订阅和 AAD,并防止不同租户之间的串扰。 Citrix 还将对 AAD 的访问限制为仅限 Azure 和 Citrix 操作人员的 Citrix DaaS。 Citrix 对每个客户的 Azure 订阅的访问都经过审核。

使用非域加入目录的客户可以使用 Citrix 管理的 AAD 作为 Citrix Workspace 的身份验证方式。 对于这些客户,Citrix 在 Citrix 管理的 AAD 中创建了有限权限用户帐户。 但是,客户的用户和管理员都无法在 Citrix 管理的 AAD 上执行任何操作。 如果这些客户选择使用自己的 AAD,则他们应对其安全性负全部责任。

虚拟网络和基础设施

在客户的 Citrix Managed Azure 订阅中,Citrix 创建虚拟网络来隔离资源位置。 在这些网络中,Citrix 除了创建存储帐户、Key Vault 和其他 Azure 资源之外,还为 VDA、Cloud Connectors 和映像生成器计算机创建虚拟机。 Citrix 与 Microsoft 合作负责虚拟网络的安全,包括虚拟网络防火墙。

Citrix 确保配置默认的 Azure 防火墙策略(网络安全组)以限制对 VNet 对等连接中的网络接口的访问。 通常,这控制到 VDA 和云连接器的传入流量。 有关详细信息,请参阅:

客户无法更改此默认防火墙策略,但可以在 Citrix 创建的 VDA 计算机上部署其他防火墙规则;例如,部分限制传出流量。 在 Citrix 创建的 VDA 机器上安装虚拟专用网络客户端或其他能够绕过防火墙规则的软件的客户应对可能造成的任何安全风险负责。

使用 Citrix DaaS for Azure 中的映像生成器创建和自定义新机器映像时,会在 Citrix 管理的 VNet 中临时打开端口 3389-3390,以便客户可以通过 RDP 连接到包含新机器映像的机器,对其进行自定义。

使用 Azure VNet 对等连接时的 Citrix 责任

为了让 Citrix DaaS for Azure 中的 VDA 联系本地域控制器、文件共享或其他内联网资源,Citrix DaaS for Azure 提供了 VNet 对等工作流作为连接选项。 客户的 Citrix 管理的虚拟网络与客户管理的 Azure 虚拟网络对等。 客户管理的虚拟网络可以使用客户选择的云到本地连接解决方案(例如 Azure ExpressRoute 或 iPsec 隧道)实现与客户本地资源的连接。

Citrix 对 VNet 对等的责任仅限于支持在 Citrix 和客户管理的 VNet 之间建立对等关系的工作流和相关的 Azure 资源配置。

Azure VNet 对等连接的防火墙策略

Citrix 为使用 VNet 对等连接的入站和出站流量打开或关闭以下端口。

具有未加入域的计算机的 Citrix 管理 VNet
  • 入站规则
    • 允许端口 80、443、1494 和 2598 从 VDA 入站到 Cloud Connector,以及从 Cloud Connector 入站到 VDA。
    • 允许端口 49152-65535 从监视器影子功能使用的 IP 范围入站到 VDA。 请参阅 Citrix Technologies 使用的通信端口
    • 拒绝所有其他入站。 这包括从 VDA 到 VDA 以及从 VDA 到 Cloud Connector 的 VNet 内流量。
  • 出站规则
    • 允许所有出站流量。
具有已加入域的计算机的 Citrix 管理 VNet
  • 入站规则:
    • 允许端口 80、443、1494 和 2598 从 VDA 入站到 Cloud Connector,以及从 Cloud Connector 入站到 VDA。
    • 允许端口 49152-65535 从监视器影子功能使用的 IP 范围入站到 VDA。 请参阅 Citrix Technologies 使用的通信端口
    • 拒绝所有其他入站。 这包括从 VDA 到 VDA 以及从 VDA 到 Cloud Connector 的 VNet 内流量。
  • 出站规则
    • 允许所有出站流量。
具有已加入域的计算机的客户管理 VNet
  • 客户需要正确配置他们的 VNet。 这包括打开以下端口以加入域。
  • 入站规则:
    • 允许从其客户端 IP 进入 443、1494、2598 以进行内部启动。
    • 允许从 Citrix VNet(客户指定的 IP 范围)进入 53、88、123、135-139、389、445、636。
    • 允许使用代理配置打开的端口入站。
    • 客户创建的其他规则。
  • 出站规则:
    • 允许通过 443、1494、2598 出站到 Citrix VNet(由客户指定的 IP 范围)进行内部启动。
    • 客户创建的其他规则。

获得基础设施

Citrix 可能会访问客户的 Citrix 管理基础设施(云连接器)来执行某些管理任务,例如收集日志(包括 Windows 事件查看器)和重新启动服务,而无需通知客户。 Citrix 负责安全可靠地执行这些任务,并且尽量减少对客户的影响。 Citrix 还负责确保所有日志文件都以安全的方式检索、传输和处理。 无法通过这种方式访问客户 VDA。

未加入域的目录的备份

Citrix 不负责执行未加入域的目录的备份。

机器映像备份

Citrix 负责备份上传到 Citrix DaaS for Azure 的任何机器映像,包括使用映像生成器创建的映像。 Citrix 使用本地冗余存储来存储这些图像。

未加入域的目录的堡垒

如有必要,Citrix 运营人员可以创建堡垒,以访问客户的 Citrix 管理的 Azure 订阅,从而诊断和修复客户问题,甚至可能在客户意识到问题之前。 Citrix 不需要客户的同意来创建堡垒。 当 Citrix 创建堡垒时,Citrix 会为堡垒创建一个强大的随机密码,并限制对 Citrix NAT IP 地址的 RDP 访问。 当不再需要堡垒时,Citrix 会将其处理掉,并且密码不再有效。 操作完成后,堡垒(及其附带的 RDP 访问规则)将被处理。 Citrix 只能通过堡垒访问客户未加入域的云连接器。 Citrix 没有登录未加入域的 VDA 或加入域的 Cloud Connector 和 VDA 的密码。

使用故障排除工具时的防火墙策略

当客户请求创建堡垒机以进行故障排除时,将对 Citrix 管理的 VNet 进行以下安全组修改:

  • 暂时允许 3389 从客户指定的 IP 范围入站到堡垒。
  • 暂时允许 3389 从堡垒 IP 地址到 VNet(VDA 和云连接器)中的任何地址的入站流量。
  • 继续阻止 Cloud Connector、VDA 和其他 VDA 之间的 RDP 访问。

当客户启用 RDP 访问进行故障排除时,将对 Citrix 管理的 VNet 进行以下安全组修改:

  • 暂时允许 3389 从客户指定的 IP 范围到 VNet(VDA 和云连接器)中的任何地址的入站。
  • 继续阻止 Cloud Connector、VDA 和其他 VDA 之间的 RDP 访问。

客户管理订阅

对于客户管理的订阅,Citrix 在部署 Azure 资源期间遵守上述责任。 部署后,上述所有内容均由客户负责,因为客户是 Azure 订阅的所有者。

客户管理订阅

客户责任

VDA 和机器映像

客户负责 VDA 机器上安装的软件的所有方面,包括:

  • 操作系统更新和安全补丁
  • 防病毒和反恶意软件
  • VDA 软件更新和安全补丁
  • 附加软件防火墙规则(尤其是出站流量)
  • 遵循 Citrix 安全注意事项和最佳实践

Citrix 提供了一个准备好的图像,作为起点。 客户可以将此图像用于概念验证或演示目的,或作为构建自己的机器图像的基础。 Citrix 不保证此准备好的图像的安全性。 Citrix 将尝试使准备好的映像上的操作系统和 VDA 软件保持最新,并在这些映像上启用 Windows Defender。

使用 VNet 对等连接时的客户责任

客户必须使用加入域的计算机</a>打开 客户管理的 VNet 中指定的所有端口。</p>

配置 VNet 对等连接时,客户负责其自己的虚拟网络的安全性及其与其内部部署资源的连接。 客户还负责来自 Citrix 管理的对等虚拟网络的传入流量的安全性。 Citrix 不会采取任何措施来阻止从 Citrix 管理的虚拟网络到客户本地资源的流量。

客户可以通过以下方式限制传入流量:

  • 为 Citrix 管理的虚拟网络提供一个在客户本地网络或客户管理的连接虚拟网络中其他地方未使用的 IP 块。 这对于 VNet 对等连接是必需的。
  • 在客户的虚拟网络和本地网络中添加 Azure 网络安全组和防火墙,以阻止或限制来自 Citrix 管理的 IP 块的流量。
  • 在客户的虚拟网络和本地网络中部署入侵防御系统、软件防火墙和行为分析引擎等措施,针对 Citrix 管理的 IP 块。

代理人

客户可以选择是否对来自 VDA 的出站流量使用代理。 如果使用代理,客户应负责:

  • 在 VDA 计算机映像上配置代理设置,或者,如果 VDA 加入域,则使用 Active Directory 组策略。
  • 代理的维护和安全。

不允许将代理与 Citrix Cloud Connectors 或其他 Citrix 管理的基础设施一起使用。

目录弹性

Citrix 提供三种具有不同弹性级别的目录:

  • 静态: 每个用户都分配给一个 VDA。 此目录类型不提供高可用性。 如果用户的 VDA 出现故障,则必须将其放置在新的 VDA 上才能恢复。 Azure 为单实例虚拟机提供 99.5% 的 SLA。 客户仍然可以备份用户配置文件,但对 VDA 所做的任何自定义(例如安装程序或配置 Windows)都将丢失。
  • 随机: 每个用户在启动时被随机分配到服务器 VDA。 此目录类型通过冗余提供高可用性。 如果 VDA 出现故障,也不会丢失任何信息,因为用户的配置文件位于其他地方。
  • Windows 10 多会话: 此目录类型的运行方式与随机类型相同,但使用 Windows 10 工作站 VDA 而不是服务器 VDA。

已加入域的目录的备份

如果客户使用具有 VNet 对等连接的域加入目录,则客户负责备份其用户配置文件。 Citrix 建议客户配置本地文件共享并在其 Active Directory 或 VDA 上设置策略以从这些文件共享中提取用户配置文件。 客户负责这些文件共享的备份和可用性。

灾难恢复

如果发生 Azure 数据丢失,Citrix 将尽可能多地恢复 Citrix 管理的 Azure 订阅中的资源。 Citrix 将尝试恢复 Cloud Connector 和 VDA。 如果 Citrix 无法恢复这些项目,则客户有责任创建新的目录。 Citrix 假定机器映像已备份,并且客户已备份其用户配置文件,从而允许重建目录。

如果整个 Azure 区域丢失,客户有责任在新区域重建其客户管理的虚拟网络,并在 Citrix DaaS for Azure 中创建新的 VNet 对等连接。

Citrix 和客户共同承担责任

用于已加入域的目录的 Citrix Cloud Connector

Citrix DaaS for Azure 在每个资源位置部署至少两个云连接器。 如果某些目录与同一客户的其他目录位于同一区域、VNet 对等和域中,则它们可能会共享资源位置。 Citrix 为客户已加入域的 Cloud Connector 在映像上配置了以下默认安全设置:

  • 操作系统更新和安全补丁
  • 防病毒软件
  • Cloud Connector 软件更新

客户通常无法访问云连接器。 但是,他们可以使用目录故障排除步骤并使用域凭据登录来获取访问权限。 客户对通过堡垒登录时所做的任何更改负责。

客户还可以通过 Active Directory 组策略控制加入域的云连接器。 客户有责任确保适用于云连接器的组策略是安全且合理的。 例如,如果客户选择使用组策略禁用操作系统更新,则客户有责任在云连接器上执行操作系统更新。 客户还可以选择使用组策略来实施比云连接器默认值更严格的安全性,例如通过安装不同的防病毒软件。 一般来说,Citrix 建议客户将 Cloud Connector 放入没有策略的自己的 Active Directory 组织单位中,因为这将确保 Citrix 使用的默认设置能够毫无问题地应用。

故障排除

如果客户在使用 Citrix DaaS for Azure 中的目录时遇到问题,则有两种方法可以进行故障排除:使用堡垒和启用 RDP 访问。 这两种选择都会给客户带来安全风险。 客户在使用这些选项之前必须了解并同意承担此风险。

Citrix 负责打开和关闭执行故障排除操作所需的端口,并限制在这些操作期间可以访问哪些机器。

无论是通过堡垒还是 RDP 访问,执行操作的活动用户都负责所访问机器的安全。 如果客户通过 RDP 访问 VDA 或 Cloud Connector 并意外感染病毒,则客户应承担责任。 如果 Citrix 支持人员访问这些机器,则这些人员有责任安全地执行操作。 本文档的其他部分介绍了任何人访问堡垒或部署中的其他机器时所暴露的任何漏洞的责任(例如,客户有责任将 IP 范围添加到允许列表,Citrix 有责任正确实施 IP 范围)。

在这两种情况下,Citrix 负责正确创建防火墙例外以允许 RDP 流量。 在客户处置堡垒或通过 Citrix DaaS for Azure 结束 RDP 访问后,Citrix 还负责撤销这些例外。

碉堡

Citrix 可能会在客户的 Citrix 管理订阅内的客户 Citrix 管理虚拟网络中创建堡垒,以主动(无需通知客户)或响应客户提出的问题来诊断和修复问题。 堡垒是一台客户可以通过 RDP 访问的机器,然后使用它通过 RDP 访问 VDA 和(对于加入域的目录)云连接器来收集日志、重新启动服务或执行其他管理任务。 默认情况下,创建堡垒会打开外部防火墙规则,以允许来自客户指定的 IP 地址范围的 RDP 流量到堡垒机。 它还打开内部防火墙规则,以允许通过 RDP 访问云连接器和 VDA。 开放这些规则会带来很大的安全风险。

客户有责任提供用于本地 Windows 帐户的强密码。 客户还负责提供允许 RDP 访问堡垒的外部 IP 地址范围。 如果客户选择不提供 IP 范围(允许任何人尝试 RDP 访问),则客户将对任何恶意 IP 地址尝试的访问负责。

故障排除完成后,客户还负责删除堡垒。 堡垒主机暴露了额外的攻击面,因此 Citrix 会在机器开启后八 (8) 小时自动关闭机器。 但是,Citrix 从不自动删除堡垒。 如果客户选择长期使用堡垒,他们有责任对其进行修补和更新。 Citrix 建议堡垒仅使用几天后再删除。 如果客户想要一个最新的堡垒,他们可以删除当前的堡垒,然后创建一个新的堡垒,该堡垒将为新机器提供最新的安全补丁。

RDP 访问

对于加入域的目录,如果客户的 VNet 对等连接正常,则客户可以启用从其对等 VNet 到其 Citrix 管理的 VNet 的 RDP 访问。 如果客户使用此选项,则客户负责通过 VNet 对等访问 VDA 和 Cloud Connector。 可以指定源 IP 地址范围,以便进一步限制 RDP 访问,即使在客户的内部网络内也是如此。 客户将需要使用域凭证登录这些机器。 如果客户正在与 Citrix 支持部门合作解决问题,则客户可能需要与支持人员共享这些凭据。 问题解决后,客户有责任禁用 RDP 访问。 保持从客户对等或本地网络开放 RDP 访问会带来安全风险。

域凭据

如果客户选择使用加入域的目录,则客户负责向 Citrix DaaS for Azure 提供具有将机器加入域的权限的域帐户(用户名和密码)。 在提供域凭证时,客户有责任遵守以下安全原则:

  • 可审计: 应专门为 Citrix DaaS for Azure 使用创建该帐户,以便轻松审计该帐户的用途。
  • 范围: 该帐户只需要将机器加入域的权限。 它不应该是一个完整的域管理员。
  • 安全: 账户应设置强密码。

Citrix 负责将此域帐户安全存储在客户 Citrix 管理的 Azure 订阅中的 Azure Key Vault 中。 仅当操作需要域帐户密码时才会检索该帐户。

更多信息

如需相关信息,请参阅:

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
技术安全概述