技术安全概述

以下图表显示了 Citrix DaaS Standard for Azure（以前称为 Citrix Virtual Apps and Desktops Standard for Azure）部署中的组件。此示例使用 VNet 对等连接。

借助 Citrix DaaS for Azure，客户的 Virtual Delivery Agents (VDA)（用于交付桌面和应用程序）以及 Citrix Cloud Connectors 将部署到 Citrix 管理的 Azure 订阅和租户中。

注意：

本文概述了使用 Citrix 管理的 Azure 订阅部署 Citrix DaaS for Azure 的客户的安全要求。有关使用客户管理的 Azure 订阅部署 Citrix DaaS for Azure 的体系结构概述（包括安全信息），请参阅参考体系结构：Virtual Apps and Desktops Service - Azure。

Citrix 职责

Azure 订阅和 Azure Active Directory

Citrix 负责为客户创建的 Azure 订阅和 Azure Active Directory (AAD) 的安全。Citrix 确保租户隔离，因此每个客户都有自己的 Azure 订阅和 AAD，并防止不同租户之间的交叉通信。Citrix 还将 AAD 的访问权限限制为仅限 Citrix DaaS for Azure 和 Citrix 运营人员。Citrix 对每个客户的 Azure 订阅的访问都经过审核。

使用非域加入目录的客户可以将 Citrix 管理的 AAD 作为 Citrix Workspace 的身份验证方式。对于这些客户，Citrix 在 Citrix 管理的 AAD 中创建有限权限的用户帐户。但是，客户的用户和管理员都无法在 Citrix 管理的 AAD 上执行任何操作。如果这些客户选择使用自己的 AAD，则他们将完全负责其安全。

虚拟网络和基础结构

在客户的 Citrix 管理的 Azure 订阅中，Citrix 创建虚拟网络以隔离资源位置。在这些网络中，Citrix 除了创建存储帐户、Key Vault 和其他 Azure 资源外，还为 VDA、Cloud Connectors 和映像生成器计算机创建虚拟机。Citrix 与 Microsoft 合作，负责虚拟网络（包括虚拟网络防火墙）的安全。

Citrix 确保默认的 Azure 防火墙策略（网络安全组）配置为限制对 VNet 对等连接中网络接口的访问。通常，这控制了到 VDA 和 Cloud Connectors 的入站流量。有关详细信息，请参阅：

• Azure VNet 对等连接的防火墙策略

客户无法更改此默认防火墙策略，但可以在 Citrix 创建的 VDA 计算机上部署其他防火墙规则；例如，部分限制出站流量。在 Citrix 创建的 VDA 计算机上安装虚拟专用网络客户端或其他能够绕过防火墙规则的软件的客户，需对可能产生的任何安全风险负责。

在 Citrix DaaS for Azure 中使用映像生成器创建和自定义新计算机映像时，端口 3389 会在 Citrix 管理的 VNet 中临时打开，以便客户可以 RDP 到包含新计算机映像的计算机以对其进行自定义。

使用 Azure VNet 对等连接时的 Citrix 职责

为了使 Citrix DaaS for Azure 中的 VDA 能够联系本地域控制器、文件共享或其他内部网络资源，Citrix DaaS for Azure 提供了 VNet 对等工作流作为连接选项。客户的 Citrix 管理的虚拟网络与客户管理的 Azure 虚拟网络进行对等。客户管理的虚拟网络可以使用客户选择的云到本地连接解决方案（例如 Azure ExpressRoute 或 iPsec 隧道）启用与客户本地资源的连接。

Citrix 对 VNet 对等的职责仅限于支持工作流和相关的 Azure 资源配置，以建立 Citrix 与客户管理的 VNet 之间的对等关系。

Azure VNet 对等连接的防火墙策略

Citrix 为使用 VNet 对等连接的入站和出站流量打开或关闭以下端口。

具有非域加入计算机的 Citrix 管理的 VNet

• 入站规则
  • 拒绝所有入站流量。这包括从 VDA 到 VDA 的 VNet 内部流量。
• 出站规则
  • 允许所有出站流量。

具有域加入计算机的 Citrix 管理的 VNet

• 入站规则：
  • 允许从 VDA 到 Cloud Connectors 以及从 Cloud Connectors 到 VDA 的端口 80、443、1494 和 2598 入站。
  • 允许从 Monitor 影子功能使用的 IP 范围到 VDA 的端口 49152-65535 入站。请参阅Citrix 技术使用的通信端口。
  • 拒绝所有其他入站流量。这包括从 VDA 到 VDA 以及从 VDA 到 Cloud Connector 的 VNet 内部流量。
• 出站规则
  • 允许所有出站流量。

具有域加入计算机的客户管理的 VNet

• 客户负责正确配置其 VNet。这包括为域加入打开以下端口。
• 入站规则：
  • 允许从其客户端 IP 到 443、1494、2598 的入站流量，用于内部启动。
  • 允许从 Citrix VNet（客户指定的 IP 范围）到 53、88、123、135-139、389、445、636 的入站流量。
  • 允许通过代理配置打开的端口的入站流量。
  • 客户创建的其他规则。
• 出站规则：
  • 允许从 443、1494、2598 到 Citrix VNet（客户指定的 IP 范围）的出站流量，用于内部启动。
  • 客户创建的其他规则。

访问基础结构

Citrix 可能会访问客户的 Citrix 管理的基础结构 (Cloud Connectors) 以执行某些管理任务，例如收集日志（包括 Windows 事件查看器）和重新启动服务，而无需通知客户。Citrix 负责安全地执行这些任务，并最大限度地减少对客户的影响。Citrix 还负责确保安全地检索、传输和处理任何日志文件。客户 VDA 无法通过这种方式访问。

非域加入目录的备份

Citrix 不负责执行非域加入目录的备份。

计算机映像的备份

Citrix 负责备份上传到 Citrix DaaS for Azure 的任何计算机映像，包括使用映像生成器创建的映像。Citrix 对这些映像使用本地冗余存储。

使用故障排除工具时的防火墙策略

当客户请求创建用于故障排除的堡垒机时，将对 Citrix 管理的 VNet 进行以下安全组修改：

• 临时允许从客户指定的 IP 范围到堡垒机的 3389 入站流量。
• 临时允许从堡垒机 IP 地址到 VNet 中任何地址（VDA 和 Cloud Connectors）的 3389 入站流量。
• 继续阻止 Cloud Connectors、VDA 和其他 VDA 之间的 RDP 访问。

当客户启用 RDP 访问进行故障排除时，将对 Citrix 管理的 VNet 进行以下安全组修改：

• 临时允许从客户指定的 IP 范围到 VNet 中任何地址（VDA 和 Cloud Connectors）的 3389 入站流量。
• 继续阻止 Cloud Connectors、VDA 和其他 VDA 之间的 RDP 访问。

客户管理的订阅

对于客户管理的订阅，Citrix 在部署 Azure 资源期间遵守上述职责。部署后，上述所有内容都属于客户的职责，因为客户是 Azure 订阅的所有者。

客户职责

VDA 和计算机映像

客户负责 VDA 计算机上安装的所有软件的各个方面，包括：

• 操作系统更新和安全补丁
• 防病毒和反恶意软件
• VDA 软件更新和安全补丁
• 附加软件防火墙规则（尤其是出站流量）
• 遵循 Citrix 安全注意事项和最佳实践

Citrix 提供了一个准备好的映像，旨在作为起点。客户可以将此映像用于概念验证或演示目的，或作为构建自己的计算机映像的基础。Citrix 不保证此准备好的映像的安全性。Citrix 将尝试使准备好的映像上的操作系统和 VDA 软件保持最新，并将在这些映像上启用 Windows Defender。

使用 VNet 对等时的客户职责

客户必须打开具有域加入计算机的客户管理的 VNet 中指定的所有端口。

配置 VNet 对等后，客户负责其自己的虚拟网络及其与本地资源的连接安全。客户还负责来自 Citrix 管理的对等虚拟网络的入站流量安全。Citrix 不会采取任何措施来阻止从 Citrix 管理的虚拟网络到客户本地资源的流量。

客户有以下选项来限制入站流量：

• 为 Citrix 管理的虚拟网络提供一个 IP 块，该 IP 块未在客户的本地网络或客户管理的连接虚拟网络中的其他位置使用。这是 VNet 对等所必需的。
• 在客户的虚拟网络和本地网络中添加 Azure 网络安全组和防火墙，以阻止或限制来自 Citrix 管理的 IP 块的流量。
• 在客户的虚拟网络和本地网络中部署入侵防御系统、软件防火墙和行为分析引擎等措施，以针对 Citrix 管理的 IP 块。

代理

客户可以选择是否对来自 VDA 的出站流量使用代理。如果使用代理，客户负责：

• 在 VDA 计算机映像上配置代理设置，或者，如果 VDA 已加入域，则使用 Active Directory 组策略。
• 代理的维护和安全。

不允许将代理用于 Citrix Cloud Connectors 或其他 Citrix 管理的基础结构。

目录弹性

Citrix 提供三种类型的目录，具有不同级别的弹性：

• 静态： 每个用户分配到一个 VDA。此目录类型不提供高可用性。如果用户的 VDA 出现故障，他们将不得不被放置到新的 VDA 上才能恢复。Azure 为具有标准 SSD 的单实例 VM 提供 99.5% 的 SLA。客户仍然可以备份用户配置文件，但对 VDA 所做的任何自定义（例如安装程序或配置 Windows）都将丢失。
• 随机： 每个用户在启动时随机分配到一个服务器 VDA。此目录类型通过冗余提供高可用性。如果 VDA 出现故障，由于用户配置文件位于其他位置，因此不会丢失任何信息。
• Windows 10 多会话： 此目录类型与随机类型以相同的方式运行，但使用 Windows 10 工作站 VDA 而不是服务器 VDA。

域加入目录的备份

如果客户使用带有 VNet 对等的域加入目录，则客户负责备份其用户配置文件。Citrix 建议客户配置本地文件共享，并在其 Active Directory 或 VDA 上设置策略以从这些文件共享中拉取用户配置文件。客户负责这些文件共享的备份和可用性。

灾难恢复

如果发生 Azure 数据丢失，Citrix 将尽可能多地恢复 Citrix 管理的 Azure 订阅中的资源。Citrix 将尝试恢复 Cloud Connectors 和 VDA。如果 Citrix 未能成功恢复这些项目，客户负责创建新目录。Citrix 假定计算机映像已备份，并且客户已备份其用户配置文件，从而允许重建目录。

如果整个 Azure 区域丢失，客户负责在新区域中重建其客户管理的虚拟网络，并在 Citrix DaaS for Azure 中创建新的 VNet 对等。

Citrix 和客户的共同职责

域加入目录的 Citrix Cloud Connector

Citrix DaaS for Azure 在每个资源位置部署至少两个 Cloud Connectors。如果某些目录与同一客户的其他目录位于同一区域、VNet 对等和域中，则它们可以共享一个资源位置。Citrix 为客户的域加入 Cloud Connectors 配置映像上的以下默认安全设置：

• 操作系统更新和安全补丁
• 防病毒软件
• Cloud Connector 软件更新

客户通常无法访问 Cloud Connectors。但是，他们可以通过使用目录故障排除步骤并使用域凭据登录来获取访问权限。客户负责通过堡垒机登录时所做的任何更改。

客户还可以通过 Active Directory 组策略控制域加入的 Cloud Connectors。客户负责确保适用于 Cloud Connector 的组策略是安全合理的。例如，如果客户选择使用组策略禁用操作系统更新，则客户负责在 Cloud Connectors 上执行操作系统更新。客户还可以选择使用组策略强制执行比 Cloud Connector 默认设置更严格的安全性，例如安装不同的防病毒软件。通常，Citrix 建议客户将 Cloud Connectors 放入其自己的 Active Directory 组织单位中，不带任何策略，因为这将确保 Citrix 使用的默认设置可以毫无问题地应用。

故障排除

如果客户在 Citrix DaaS for Azure 中遇到目录问题，有两种故障排除选项：使用堡垒机和启用 RDP 访问。这两种选项都会给客户带来安全风险。客户在使用这些选项之前必须了解并同意承担此风险。

Citrix 负责打开和关闭执行故障排除操作所需的端口，并限制在这些操作期间可以访问的计算机。

无论是使用堡垒机还是 RDP 访问，执行操作的活动用户都负责所访问计算机的安全。如果客户通过 RDP 访问 VDA 或 Cloud Connector 并意外感染病毒，则客户负责。如果 Citrix 支持人员访问这些计算机，则这些人员有责任安全地执行操作。本文档其他地方涵盖了任何访问堡垒机或部署中其他计算机的人员（例如，客户负责将 IP 范围添加到允许列表，Citrix 负责正确实施 IP 范围）所暴露的任何漏洞的责任。

在这两种情况下，Citrix 都负责正确创建防火墙例外以允许 RDP 流量。Citrix 还负责在客户处置堡垒机或通过 Citrix DaaS for Azure 结束 RDP 访问后撤销这些例外。

堡垒机

Citrix 可以在客户的 Citrix 管理的订阅中的客户的 Citrix 管理的虚拟网络中创建堡垒机，以诊断和修复问题，无论是主动（无需客户通知）还是响应客户提出的问题。堡垒机是客户可以通过 RDP 访问的计算机，然后可以使用它通过 RDP 访问 VDA 和（对于域加入目录）Cloud Connectors，以收集日志、重新启动服务或执行其他管理任务。默认情况下，创建堡垒机将打开一个外部防火墙规则，以允许来自客户指定的 IP 地址范围的 RDP 流量到堡垒机。它还会打开一个内部防火墙规则，以允许通过 RDP 访问 Cloud Connectors 和 VDA。打开这些规则会带来巨大的安全风险。

客户负责提供用于本地 Windows 帐户的强密码。客户还负责提供允许 RDP 访问堡垒机的外部 IP 地址范围。如果客户选择不提供 IP 范围（允许任何人尝试 RDP 访问），则客户负责恶意 IP 地址尝试的任何访问。

客户还负责在故障排除完成后删除堡垒机。堡垒主机暴露了额外的攻击面，因此 Citrix 会在堡垒机通电八 (8) 小时后自动关闭它。但是，Citrix 从不自动删除堡垒机。如果客户选择长时间使用堡垒机，他们负责对其进行修补和更新。Citrix 建议堡垒机仅使用几天后就将其删除。如果客户想要一个最新的堡垒机，他们可以删除当前的堡垒机，然后创建一个新的堡垒机，这将提供一台具有最新安全补丁的全新计算机。

RDP 访问

对于域加入目录，如果客户的 VNet 对等功能正常，客户可以从其对等 VNet 启用对其 Citrix 管理的 VNet 的 RDP 访问。如果客户使用此选项，客户负责通过 VNet 对等访问 VDA 和 Cloud Connectors。可以指定源 IP 地址范围，以便即使在客户的内部网络中也可以进一步限制 RDP 访问。客户需要使用域凭据登录到这些计算机。如果客户正在与 Citrix 支持人员合作解决问题，客户可能需要与支持人员共享这些凭据。问题解决后，客户负责禁用 RDP 访问。保持从客户的对等网络或本地网络打开 RDP 访问会带来安全风险。

域凭据

如果客户选择使用域加入目录，则客户负责向 Citrix DaaS for Azure 提供一个域帐户（用户名和密码），该帐户具有将计算机加入域的权限。在提供域凭据时，客户负责遵守以下安全原则：

• 可审计： 帐户应专门为 Citrix DaaS for Azure 使用而创建，以便易于审计帐户的用途。
• 范围限定： 帐户仅需要将计算机加入域的权限。它不应是完全的域管理员。
• 安全： 帐户应设置强密码。

Citrix 负责将此域帐户安全地存储在客户的 Citrix 管理的 Azure 订阅中的 Azure Key Vault 中。仅当操作需要域帐户密码时才检索该帐户。

更多信息

有关相关信息，请参阅：

• Citrix Cloud 平台的安全部署指南：Citrix Cloud 平台的安全信息。
• 技术安全概述：Citrix DaaS 的安全信息。
• 第三方通知