技术安全性概述

下图显示了适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 部署中的组件。此示例使用 VNet 对等连接。

适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 组件和 Azure VNet 对等连接

借助适用于 Azure 的 Citrix Virtual Apps and Desktops Standard,客户提供桌面和应用程序的 Virtual Delivery Agent (VDA) 以及 Citrix Cloud Connector 将部署到 Citrix 管理的 Azure 订阅和租户中。

Citrix 责任

适用于未加入域的目录的 Citrix Cloud Connector

适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 至少在每个资源位置部署两个 Cloud Connector。某些目录可能共享资源位置,如果它们与同一客户的其他目录位于同一区域。

Citrix 负责对未加入域的目录 Cloud Connector 执行以下安全操作:

  • 应用操作系统更新和安全修补程序
  • 安装和维护防病毒软件
  • 应用 Cloud Connector 软件更新

客户无权访问 Cloud Connector。因此,Citrix 全权负责未加入域的目录 Cloud Connector 的性能。

Azure 订阅和 Azure Active Directory

Citrix 负责为客户创建的 Azure 订阅和 Azure Active Directory (AAD) 的安全性。Citrix 可确保租户隔离,因此每个客户都有自己的 Azure 订阅和 AAD,并防止不同租户之间的交叉对话。Citrix 还将对 AAD 的访问限制为适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 服务和 Citrix 操作人员。将审核 Citrix 对每个客户的 Azure 订阅的访问权限。

使用未加入域的目录的客户可以使用 Citrix 管理的 AAD 作为 Citrix Workspace 的身份验证方法。对于这些客户,Citrix 会在 Citrix 管理的 AAD 中创建有限权限的用户帐户。但是,客户用户和管理员都不能在 Citrix 管理的 AAD 上执行任何操作。如果这些客户选择使用自己的 AAD,他们将对其安全负全部责任。

虚拟网络和基础架构

在客户的 Citrix 管理的 Azure 订阅中,Citrix 创建用于隔离资源位置的虚拟网络。在这些网络中,除了存储帐户、密钥保管库和其他 Azure 资源之外,Citrix 还会为 VDA、Cloud Connector 和映像生成器计算机创建虚拟机。Citrix 与 Microsoft 合作,负责虚拟网络的安全,包括虚拟网络防火墙。

Citrix 确保将默认 Azure 防火墙策略(网络安全组)配置为限制对 VNet 对等和 SD-WAN 连接中的网络接口的访问。通常,这会控制传入 VDA 和 Cloud Connector 的流量。有关详细信息,请参阅:

客户无法更改此默认防火墙策略,但可以在 Citrix 创建的 VDA 计算机上部署其他防火墙规则;例如,部分限制传出流量。在 Citrix 创建的 VDA 计算机上安装虚拟专用网络客户端或其他能够绕过防火墙规则的软件的客户,应对可能导致的任何安全风险负责。

使用适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 中的映像生成器创建和自定义新的主映像时,Citrix 管理的 VNet 中临时打开端口 3389-3390,以便客户可以 RDP 到包含新主映像的计算机以对其进行自定义。

使用 Azure VNet 对等连接时的 Citrix 责任

为了使适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 中的 VDA 与本地域控制器、文件共享或其他 Intranet 资源联系,适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 提供了 VNet 对等工作流作为连接选项。客户的 Citrix 管理虚拟网络与客户管理的 Azure 虚拟网络对等。客户管理的虚拟网络可以使用客户选择的云到本地连接解决方案(如 Azure ExpressRoute 或 iPsec 隧道)与客户的本地资源进行连接。

Citrix 负责 VNet 对等的职责仅限于支持工作流和相关 Azure 资源配置,以便在 Citrix 和客户管理的 VNet 之间建立对等关系。

Azure VNet 对等连接的防火墙策略

Citrix 为使用 VNet 对等连接的入站和出站流量打开或关闭以下端口。

带有非加入域的计算机的 Citrix 管理 VNet
  • 入站规则
    • 允许端口 80、443、1494 和 2598 从 VDA 入站到 Cloud Connector,以及从 Cloud Connector 到 VDA。
    • 允许端口 49152-65535 从监视器重影功能使用的 IP 范围入站到 VDA。请参阅 CTX101810
    • 拒绝所有其他入站。这包括从 VDA 到 VDA 和 VDA 到 Cloud Connector 的 VNet 内流量。
  • 出站规则
    • 允许所有流量出站。
具有已加入域的计算机的 Citrix 托管 VNet
  • 入站规则:
    • 允许端口 80、443、1494 和 2598 从 VDA 入站到 Cloud Connector,以及从 Cloud Connector 到 VDA。
    • 允许端口 49152-65535 从监视器重影功能使用的 IP 范围入站到 VDA。请参阅 CTX101810
    • 拒绝所有其他入站。这包括从 VDA 到 VDA 和 VDA 到 Cloud Connector 的 VNet 内流量。
  • 出站规则
    • 允许所有流量出站。
带加入域的计算机的客户托管 VNet
  • 客户可以正确配置他们的 VNet。这包括打开以下端口进行域加入。
  • 入站规则:
    • 允许在 443、1494、2598 从其客户端 IP 入站以进行内部启动。
    • 允许来自 Citrix VNet(客户指定的 IP 范围)的 53、88、123、135-139、389、445 和 636 的入站。
    • 允许使用代理配置打开的端口入站。
    • 客户创建的其他规则。
  • 出站规则:
    • 允许在 443、1494、2598 上出站到 Citrix VNet(客户指定的 IP 范围)进行内部启动。
    • 客户创建的其他规则。

使用 SD-WAN 连接时的 Citrix 责任

Citrix 支持部署虚拟 Citrix SD-WAN 实例的完全自动化方式,以便在适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 与本地资源之间实现连接。与 VNet 对等互动相比,Citrix SD-WAN 连接具有许多优势,包括:

VDA 到数据中心和 VDA 到分支机构 (ICA) 连接的高可靠性和安全性。

  • 具有高级 QoS 功能和 VoIP 优化功能,适合办公室工作人员的最佳终用户体验。
  • 内置功能,用于检查 Citrix HDX 网络流量和其他应用程序使用情况、优先级和报告。

Citrix 要求希望利用适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 的 SD-WAN 连接的客户使用 SD-WAN Orchestrator 管理其 Citrix SD-WAN 网络。

下图显示了使用 SD-WAN 连接在适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 部署中添加的组件。

适用于 Azure 的 Citrix Virtual Apps and Desktops Standard,具有 SD-WAN 连接

适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 的 Citrix SD-WAN 部署与适用于 Citrix SD-WAN 的标准 Azure 部署配置类似。有关详细信息,请参阅在 Azure 上部署 Citrix SD-WAN Standard Edition 实例。在高可用性配置中,具有 Azure 负载均衡器的主动/备用 SD-WAN 实例对被部署为包含 VDA 和 Cloud Connector 的子网与 Internet 之间的网关。在非 HA 配置中,只有单个 SD-WAN 实例部署为 Gateway。虚拟 SD-WAN 设备的网络接口从一个分为两个子网的单独的小地址范围中分配地址。

配置 SD-WAN 连接时,Citrix 对上述托管桌面的网络配置进行了一些更改。特别是,来自 Citrix 管理的 VNet 的所有传出流量(包括到 Internet 目的地的流量)都通过云 SD-WAN 实例路由。SD-WAN 实例也被配置为 Citrix 管理的 VNet 的 DNS 服务器。

管理访问虚拟 SD-WAN 实例需要管理员登录名和密码。SD-WAN 的每个实例都分配了一个唯一的随机安全密码,可供 SD-WAN 管理员通过 SD-WAN Orchestrator UI、虚拟设备管理用户界面和 CLI 进行远程登录和故障排除。

与其他特定租户的资源一样,部署在特定客户 VNet 中的虚拟 SD-WAN 实例与所有其他 VNet 完全隔离。

当客户启用 Citrix SD-WAN 连接时,Citrix 会自动执行与适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 配合使用的虚拟 SD-WAN 实例的初始部署,维护基础 Azure 资源(虚拟机、负载均衡器等),提供安全高效的开箱即用默认设置为虚拟 SD-WAN 实例的初始配置,并通过 SD-WAN Orchestrator 支持持续维护和故障排除。Citrix 还采取合理的措施来执行 SD-WAN 网络配置的自动验证,检查已知的安全风险,并通过 SD-WAN Orchestrator 显示相应的警报。

SD-WAN 连接的防火墙策略

Citrix 使用 Azure 防火墙策略(网络安全组)和公有 IP 地址分配来限制对虚拟 SD-WAN 设备的网络接口的访问:

  • 只有 WAN 和管理接口被分配公有 IP 地址,并允许到 Internet 的出站连接。
  • LAN 接口充当 Citrix 管理的 VNet 的网关,仅允许与同一 VNet 上的虚拟机交换网络流量。
  • WAN 接口将入站流量限制为 UDP 端口 4980(Citrix SD-WAN 用于虚拟路径连接),并拒绝到 VNet 的出站流量。
  • 管理端口允许入站流量传输到端口 443 (HTTPS) 和 22 (SSH)。
  • HA 接口仅允许彼此交换控制流量。

利用基础设施

Citrix 可以访问客户的 Citrix 管理的基础架构(Cloud Connector)来执行某些管理任务,例如收集日志(包括 Windows 事件查看器)和重新启动服务,而不通知客户。Citrix 负责安全地执行这些任务,而且对客户的影响最小。Citrix 还负责确保安全地检索、传输和处理任何日志文件。无法通过这种方式访问客户 VDA。

未加入域的目录的备份

Citrix 不负责执行未加入域的目录的备份。

主映像的备份

Citrix 负责备份上传到适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 的所有主映像,包括使用映像生成器创建的映像。Citrix 对这些映像使用本地冗余存储。

未加入域的目录的堡垒

如有必要,Citrix 运营人员可以创建堡垒,以便在客户意识到问题之前访问客户的 Citrix 托管 Azure 订阅以诊断和修复客户问题。Citrix 不需要客户的同意即可创建堡垒。Citrix 创建堡垒时,Citrix 会为堡垒创建强的随机生成密码,并限制对 Citrix NAT IP 地址的 RDP 访问。当不再需要堡垒时,Citrix 将处置该堡垒,并且密码不再有效。操作完成后,将处置堡垒(及其随附的 RDP 访问规则)。Citrix 只能访问客户的未加入域的 Cloud Connector 和堡垒。Citrix 没有登录到未加入域的 VDA 或加入域的 Cloud Connector 和 VDA 的密码。

使用故障排除工具的防火墙策略

当客户请求创建堡垒计算机以进行故障排除时,将对 Citrix 管理的 VNet 进行以下安全组修改:

  • 暂时允许 3389 入站从客户指定的 IP 范围到堡垒。
  • 暂时允许 3389 入站从堡垒 IP 地址到 VNet 中的任何地址(VDA 和 Cloud Connector)。
  • 继续阻止 Cloud Connector、VDA 和其他 VDA 之间的 RDP 访问。

当客户启用 RDP 访问以进行故障排除时,将对 Citrix 管理的 VNet 进行以下安全组修改:

  • 暂时允许 3389 入站从客户指定的 IP 范围到 VNet 中的任何地址(VDA 和 Cloud Connector)。
  • 继续阻止 Cloud Connector、VDA 和其他 VDA 之间的 RDP 访问。

客户管理的订阅

对于客户管理的订阅,Citrix 在 Azure 资源部署期间遵守上述责任。部署后,上述所有内容都由客户负责,因为客户是 Azure 订阅的所有者。

客户管理的订阅

客户责任

VDA 和主映像

客户负责 VDA 计算机上安装的软件的所有方面,包括:

  • 操作系统更新和安全修补程序
  • 防病毒和反恶意软件
  • VDA 软件更新和安全修补程序
  • 附加软件防火墙规则(尤其是出站流量)
  • 关注 Citrix安全注意事项和最佳实践

Citrix 提供了预准备好的映像,用作起点。客户可以将此映像用于概念验证或演示目的,也可以用作构建自己的主映像的基础。Citrix 不保证此准备好的映像的安全性。Citrix 将尝试使准备好的映像上的操作系统和 VDA 软件保持最新状态,并在这些映像上启用 Windows Defender。

使用 VNet 对等时的客户责任

客户必须打开带加入域的计算机的客户托管 VNet中指定的所有端口。

配置 VNet 对等时,客户需要负责自己的虚拟网络的安全性及其与本地资源的连接。客户还负责来自 Citrix 管理的对等虚拟网络的传入流量的安全性。Citrix 不会采取任何措施来阻止从 Citrix 管理的虚拟网络到客户本地资源的流量。

客户可以使用以下选项来限制传入流量:

  • 为 Citrix 管理的虚拟网络提供一个 IP 块,该块在客户的本地网络或客户管理的连接虚拟网络中的其他地方没有使用。这是 VNet 对等对等的必需条件。
  • 在客户的虚拟网络和本地网络中添加 Azure 网络安全组和防火墙,以阻止或限制来自 Citrix 管理的 IP 块的流量。
  • 在客户的虚拟网络和本地网络中部署入侵防护系统、软件防火墙和行为分析引擎等措施,以 Citrix 管理的 IP 块为目标。

使用 SD-WAN 连接时的客户责任

配置 SD-WAN 连接后,客户可以根据其网络要求配置与适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 配合使用的虚拟 SD-WAN 实例,除了确保 SD-WAN 在 Citrix 托管虚拟网络。客户责任包括:

  • 设计和配置路由和防火墙规则,包括 DNS 和 Internet 流量突破规则。
  • SD-WAN 网络配置的维护。
  • 监控网络的运行状态。
  • 及时部署 Citrix SD-WAN 软件更新或安全修复。由于客户网络上的所有 Citrix SD-WAN 实例都必须运行相同版本的 SD-WAN 软件,因此客户需要根据其网络维护计划和约束来管理更新软件版本到 Citrix Virtual Apps and Desktops Standard的 Azure SD-WAN 实例的部署。

SD-WAN 路由和防火墙规则配置不正确,或 SD-WAN 管理密码管理不当,可能会对适用于 Azure 的 Citrix Citrix Virtual Apps and Desktops Standard 中的虚拟资源以及通过 Citrix SD-WAN 虚拟路径访问的本地资源造成安全风险。另一个可能的安全风险是由于未将 Citrix SD-WAN 软件更新到最新的可用修补程序版本。虽然 SD-WAN Orchestrator 和其他 Citrix Cloud 服务提供了解决此类风险的方法,但客户最终要负责确保虚拟 SD-WAN 实例得到正确配置。

代理

客户可以选择是否使用代理处理来自 VDA 的出站流量。如果使用了代理,则客户负责:

  • 在 VDA 主映像上配置代理设置,如果 VDA 已加入域,则使用 Active Directory 组策略配置代理设置。
  • 代理的维护和安全。

不允许将代理与 Citrix Cloud Connector 或其他 Citrix 管理的基础结构一起使用。

目录恢复能力

Citrix 提供了三种类型的目录,具有不同级别的恢复能力:

  • 静态: 将每个用户分配给单个 VDA。此目录类型不提供高可用性。如果用户的 VDA 出现故障,则必须将其放置在新的 VDA 上才能恢复。Azure 为单实例虚拟机提供 99.5% 的 SLA。客户仍然可以备份用户配置文件,但对 VDA 进行的任何自定义(如安装程序或配置 Windows)都将丢失。
  • 随机: 每个用户在启动时随机分配给服务器 VDA。此目录类型通过冗余提供高可用性。如果 VDA 出现故障,则不会丢失任何信息,因为用户的配置文件驻留在其他位置。
  • Windows 10 多会话: 此目录类型的运行方式与随机类型相同,但使用 Windows 10 工作站 VDA 而不是服务器 VDA。

加入域的目录的备份

如果客户使用已加入域的目录与 VNet 对等,则客户将负责备份其用户配置文件。Citrix 建议客户配置本地文件共享,并在其 Active Directory 或 VDA 上设置策略,以便从这些文件共享中提取用户配置文件。客户负责这些文件共享的备份和可用性。

灾难恢复

如果 Azure 数据丢失,Citrix 将在 Citrix 管理的 Azure 订阅中恢复尽可能多的资源。Citrix 将尝试恢复 Cloud Connector 和 VDA。如果 Citrix 无法成功恢复这些项目,则客户将负责创建新目录。Citrix 假定已备份主映像,并且客户已备份其用户配置文件,从而允许重建目录。

如果丢失整个 Azure 区域,客户将负责在新区域中重建客户管理的虚拟网络,并在适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 中创建新的 VNet 对等或新 SD-WAN 实例。

Citrix 和客户共同承担责任

适用于加入域的目录的 Citrix Cloud Connector

适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 至少在每个资源位置部署两个 Cloud Connector。如果某些目录与同一客户的其他目录位于同一区域、VNet 对等和域中,则可能共享资源位置。Citrix 为映像上的以下默认安全设置配置客户的加入域的 Cloud Connector:

  • 操作系统更新和安全修补程序
  • 防病毒软件
  • Cloud Connector 软件更新

客户通常无法访问 Cloud Connector。但是,他们可以通过使用目录故障排除步骤和使用域凭据登录来获取访问权限。客户对通过堡垒登录时所做的任何更改负责。

客户还可以通过 Active Directory 组策略控制加入域的 Cloud Connector。客户负责确保应用于 Cloud Connector 的组策略安全且合理。例如,如果客户选择使用组策略禁用操作系统更新,则客户负责在 Cloud Connector 上执行操作系统更新。客户还可以选择使用组策略来实施比 Cloud Connector 默认值更严格的安全性,例如安装不同的防病毒软件。通常情况下,Citrix 建议客户将 Cloud Connector 放入自己的 Active Directory 组织单元中,而不带策略,因为这将确保可以毫无问题地应用 Citrix 使用的默认值。

故障排除

如果客户遇到适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 中的目录出现问题,则有两个用于故障排除的选项:使用堡垒和启用 RDP 访问。这两种选项都会给客户带来安全风险。在使用这些选项之前,客户必须了解并同意承担此风险。

Citrix 负责打开和关闭执行故障排除操作所需的端口,并限制在这些操作期间可以访问的计算机。

无论是堡垒还是 RDP 访问,执行操作的活动用户都负责正在访问的计算机的安全性。如果客户通过 RDP 访问 VDA 或 Cloud Connector 并意外感染病毒,则客户应负责。如果 Citrix 支持人员访问这些计算机,则这些人员有责任安全地执行操作。本文档其他部分介绍了访问堡垒或部署中其他计算机的任何人员暴露的任何漏洞(例如,客户有责任添加 IP 范围以允许列表,Citrix 负责正确实施 IP 范围)。

在这两种情况下,Citrix 都负责正确创建防火墙例外以允许 RDP 流量。Citrix 还负责在客户处置堡垒或通过适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 结束 RDP 访问后撤销这些例外。

堡垒

Citrix 可能会在客户的 Citrix 管理的订阅中,在客户的 Citrix 管理的虚拟网络中创建堡垒,以主动诊断和修复问题(无需客户通知)或响应客户提出的问题。堡垒是一台计算机,客户可以通过 RDP 访问该计算机,然后通过 RDP 访问 VDA 和(对于已加入域的目录)Cloud Connector,以收集日志、重新启动服务或执行其他管理任务。默认情况下,创建堡垒会打开外部防火墙规则,允许 RDP 流量从客户指定的 IP 地址范围到堡垒计算机。它还打开一个内部防火墙规则,允许通过 RDP 访问 Cloud Connector 和 VDA。打开这些规则会带来很大的安全风险。

客户负责提供用于本地 Windows 帐户的强密码。客户还负责提供允许 RDP 访问堡垒的外部 IP 地址范围。如果客户选择不提供 IP 范围(允许任何人尝试 RDP 访问),则客户应对恶意 IP 地址尝试的任何访问负责。

客户还负责在故障排除完成后删除堡垒。堡垒主机会暴露其他攻击面,因此 Citrix 会在计算机打开电源八 (8) 小时后自动关闭计算机。但是,Citrix 永远不会自动删除堡垒。如果客户选择长时间使用堡垒,则他们负责修补和更新堡垒。Citrix 建议在删除堡垒之前仅使用几天。如果客户需要一个最新的堡垒,他们可以删除当前堡垒,然后创建一个新堡垒,这将为新的机器配置最新的安全补丁程序。

RDP 访问

对于加入域的目录,如果客户的 VNet 对等功能正常,客户可以启用从对等 VNet 到其 Citrix 管理的 VNet 的 RDP 访问。如果客户使用此选项,则客户负责通过 VNet 对等访问 VDA 和 Cloud Connector。可以指定源 IP 地址范围,以便进一步限制 RDP 访问,即使在客户的内部网络中也是如此。客户需要使用域凭据登录到这些计算机。如果客户正在使用 Citrix 支持解决问题,则客户可能需要与支持人员共享这些凭据。问题解决后,客户负责禁用 RDP 访问。保持从客户的对等网络或本地网络开放 RDP 访问会带来安全风险。

域凭据

如果客户选择使用加入域的目录,则客户负责向适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 提供一个域帐户(用户名和密码),具有将计算机加入到域的权限。在提供域凭据时,客户负责遵守以下安全原则:

  • 可审计: 应专门为适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 使用情况创建帐户,以便轻松审核帐户的用途。
  • 用域: 帐户仅需要权限才能将计算机加入域。它不应该是完整的域管理员。
  • 安全: 应在帐户上放置强密码。

Citrix 负责将此域帐户的安全存储在客户的 Citrix 托管 Azure 订阅中的 Azure 密钥保管库中。仅当操作需要域帐户密码时,才会检索帐户。

更多信息

有关相关信息,请参阅:

技术安全性概述