Gobernanza y cumplimiento de la seguridad para Citrix en Azure
La gobernanza y el cumplimiento de la seguridad son fundamentales en las implementaciones de Citrix DaaS en Azure. Para lograr la excelencia y el éxito en el funcionamiento, diseñe el entorno de Citrix DaaS con las directivas adecuadas.
Consideraciones y recomendaciones de diseño
Azure Policy es una herramienta importante para las implementaciones de Citrix en Azure. Las directivas pueden ayudarle a cumplir los estándares de seguridad establecidos por el equipo de la plataforma en la nube. Las directivas proporcionan ejecución e informes automáticos que respaldan el cumplimiento normativo continuo.
Revise la línea de base de la directiva con el equipo de la plataforma según las directrices de Área de diseño: Gobernanza en Azure. Aplique definiciones de directiva en el grupo de administración raíz de nivel superior para poder asignarlas en ámbitos heredados.
Las secciones siguientes se centran en las recomendaciones de identidad, redes y antivirus.
- En las secciones de identidad se describe la identidad del servicio Citrix DaaS y sus requisitos.
- La sección de redes profundiza en los requisitos del grupo de seguridad de red (NSG).
- La sección de antivirus proporciona un vínculo a los procedimientos recomendados para configurar la protección antivirus en un entorno DaaS.
Roles e identidades de la entidad de servicio
En las secciones siguientes se describe la creación, los roles y los requisitos de la entidad de servicio de Citrix DaaS.
Registro de aplicación
El registro de aplicaciones es el proceso de creación de una relación de confianza unidireccional entre una cuenta de Citrix Cloud y Azure, de modo que Citrix Cloud confíe en Azure. El proceso de registro de aplicaciones crea una cuenta de entidad de servicio de Azure que Citrix Cloud puede usar para todas las acciones de Azure mediante la conexión de hospedaje. La conexión de hospedaje configurada en la consola de Citrix Cloud vincula Citrix Cloud a ubicaciones de recursos de Azure a través de conectores de la nube.
Debe conceder a la entidad de servicio acceso a los grupos de recursos que contienen recursos de Citrix. En función de la posición de seguridad de la organización, puede proporcionar acceso a la suscripción a nivel de colaborador o crear un rol personalizado para la entidad de servicio.
Al crear la entidad de servicio en Microsoft Entra ID, establezca los siguientes valores:
- Agregue un URI de redirección y establézcalo en Web con un valor de
https://citrix.cloud.com. - En Permisos de API, agregue Azure Services Management API desde la pestaña API usadas en mi organización y seleccione el permiso delegado user_impersonation.
- En Certificados y secretos, crea un nuevo secreto de cliente con un período de expiración recomendado de un año. Debe mantener este secreto actualizado como parte de la programación de rotación de las claves de seguridad.
Necesitará tanto el identificador de aplicación (cliente) como el valor del secreto de cliente del registro de aplicaciones para configurar la conexión de hospedaje en Citrix Cloud.
Aplicaciones empresariales
En función de la configuración de Citrix Cloud y Microsoft Entra, puede agregar una o varias aplicaciones de Citrix Cloud Enterprise al inquilino de Microsoft Entra. Estas aplicaciones permiten a Citrix Cloud acceder a los datos almacenados en el inquilino de Microsoft Entra. En la tabla siguiente se enumeran los identificadores de aplicación y las funciones de Citrix Cloud Enterprise Applications en Microsoft Entra ID.
| Identificador de la aplicación empresarial | Propósito |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | Conexión predeterminada entre Microsoft Entra ID y Citrix Cloud |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Invitaciones e inicios de sesión de administrador |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | Inicio de sesión del suscriptor del área de trabajo |
| 5c913119-2257-4316-9994-5e8f3832265b | Conexión predeterminada entre Microsoft Entra ID y Citrix Cloud con Citrix Endpoint Management |
| e067934c-b52d-4e92-b1ca-70700bd1124e | Conexión heredada entre Microsoft Entra ID y Citrix Cloud con Citrix Endpoint Management |
Cada aplicación empresarial concede permisos específicos de Citrix Cloud a Microsoft Graph API o a la API de Microsoft Entra. Por ejemplo, la aplicación de inicio de sesión del suscriptor del área de trabajo concede permisos User.Read a ambas API para que los usuarios puedan iniciar sesión y leer sus perfiles. Para obtener más información sobre los permisos concedidos, consulte Permisos de Microsoft Entra para Citrix Cloud.
Roles integrados
El rol integrado Colaborador contiene el conjunto de permisos más amplio y funciona bien para asignarlos a las cuentas de entidad de servicio a nivel de suscripción. La concesión de permisos de colaborador a nivel de suscripción requiere una cuenta de administrador global de Microsoft Entra. Una vez concedido, Azure solicita los permisos necesarios durante la conexión inicial de Citrix Cloud a Microsoft Entra.
Las cuentas usadas para la autenticación durante la creación de la conexión de host también deben ser al menos coadministradores de la suscripción. Este nivel de permisos permite a Citrix Cloud crear los objetos necesarios sin restricciones. Normalmente, este enfoque se usa cuando toda la suscripción está dedicada a recursos de Citrix.
Algunos entornos no permiten que las entidades de servicio tengan permisos de colaborador a nivel de suscripción. Citrix proporciona una solución alternativa conocida como entidad de servicio de ámbito restringido. En una entidad de servicio de ámbito restringido, un administrador global de Microsoft Entra completa manualmente un registro de aplicación y, luego, un administrador de suscripciones concede manualmente los permisos adecuados a la cuenta de entidad de servicio.
Las entidades de servicio con ámbito restringido no tienen permisos de colaborador para toda la suscripción, solo para los grupos de recursos, las redes y las imágenes necesarias para crear y administrar catálogos de máquinas. Las entidades de servicio con ámbito restringido requieren los siguientes permisos de colaborador:
- Grupos de recursos creados previamente: Colaborador de máquina virtual, Colaborador de la cuenta de almacenamiento y Colaborador de instantáneas de disco
- Redes virtuales: Colaborador de máquina virtual
- Cuentas de almacenamiento: Colaborador de máquina virtual
Roles personalizados
Las entidades de servicio de ámbito restringido, aunque limitadas en el ámbito, siguen concediendo permisos de colaborador amplios, lo que podría continuar siendo inaceptable en entornos sensibles a la seguridad. Para proporcionar un enfoque más pormenorizado, puede usar dos roles personalizados para asignar a las entidades de servicio los permisos necesarios. El rol Citrix_Hosting_Connection concede acceso para crear una conexión de hospedaje y el rol Citrix_Machine_Catalog concede acceso para crear cargas de trabajo de Citrix.
Rol Citrix_Hosting_Connection
La siguiente descripción JSON del rol Citrix_Hosting_Connection tiene los permisos mínimos necesarios para crear una conexión de hospedaje. Si solo usa instantáneas o discos con las imágenes maestras del catálogo de máquinas, puede quitar el permiso sin usar de la lista actions.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as Cloud Connectors, master images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read"
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
El rol personalizado Citrix_Hosting_Connection debe asignarse a los grupos de recursos de Citrix_Infrastructure que contengan recursos de Cloud Connector, imágenes maestras o redes virtuales. Puede copiar y pegar esta descripción del rol JSON directamente en la definición de rol de Microsoft Entra personalizada.
Rol Citrix_Machine_Catalog
La siguiente descripción JSON del rol Citrix_Machine_Catalog tiene los permisos mínimos necesarios para que el Asistente para catálogos de máquinas Citrix cree los recursos necesarios en Azure.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "Minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that are running the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Asigne el rol personalizado Citrix_Machine_Catalog a los grupos de recursos de Citrix_MachineCatalog que contengan las máquinas virtuales (VM) de Citrix Virtual Delivery Agent (VDA). Puede copiar y pegar esta descripción del rol JSON directamente en la definición de rol de Microsoft Entra personalizada.
Redes
Los grupos de seguridad de red son con estado, por lo que permiten tráfico de retorno que se puede aplicar a una máquina virtual, una subred o ambas. Cuando existen grupos de seguridad de subred y de máquina virtual, los de subred se aplican primero al tráfico entrante y los de máquina virtual se aplican primero al tráfico saliente. De forma predeterminada, todo el tráfico entre hosts se permite dentro de una red virtual, junto con todo el tráfico entrante desde un equilibrador de carga. De forma predeterminada, solo se permite el tráfico saliente de Internet y se deniega el resto del tráfico saliente.
Mediante el uso de grupos de seguridad de red para permitir solo el tráfico esperado en el entorno de Citrix Cloud, puede limitar los posibles vectores de ataque y aumentar significativamente la seguridad de la implementación. En la tabla siguiente se enumeran los puertos y protocolos de red necesarios que debe permitir una implementación de Citrix. Esta lista incluye solo los puertos que usa la infraestructura de Citrix; no incluye los puertos que usan las aplicaciones. Asegúrese de definir todos los puertos del grupo de seguridad de red que protege las máquinas virtuales.
| Source | Destination | Protocolo | Port | Propósito |
|---|---|---|---|---|
| Conectores de la nube | *.digicert.com |
HTTP | 80 | Comprobación de revocación de certificados |
| Conectores de la nube | *.digicert.com |
HTTPS | 443 | Comprobación de revocación de certificados |
| Conectores de la nube | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Comprobación de revocación de certificados |
| Conectores de la nube | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Comprobación de revocación de certificados |
| Conectores de la nube | Conectores de la nube | TCP | 80 | Comunicación entre controladores |
| Conectores de la nube | Conectores de la nube | TCP | 89 | Caché de host local |
| Conectores de la nube | Conectores de la nube | TCP | 9095 | Servicio de orquestación |
| Conectores de la nube | VDA | TCP UDP | 1494 | Protocolo ICA/HDX EDT requiere UDP |
| Conectores de la nube | VDA | TCP UDP | 2598 | Confiabilidad de la sesión EDT requiere UDP |
| Conector de nube | VDA | TCP | 80 (bidireccional) | Detección de aplicaciones y rendimiento |
| VDA | Servicio de puerta de enlace | TCP | 443 | Protocolo de encuentro |
| VDA | Servicio de puerta de enlace | UDP | 443 | UDP de EDT a través de 443 al servicio de puerta de enlace |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP UDP | 443 | Dominios y subdominios de servicio de puerta de enlace |
| Servicios de aprovisionamiento de Citrix | Conectores de la nube | HTTPS | 443 | Integración de Citrix Cloud Studio |
| Servidor de licencias de Citrix | Citrix Cloud | HTTPS | 443 | Integración de licencias de Citrix Cloud |
| SDK de PowerShell remoto de CVAD | Citrix Cloud | HTTPS | 443 | Cualquier sistema que ejecute scripts remotos de PowerShell mediante el SDK |
| Agente WEM | Servicio WEM | HTTPS | 443 | Comunicación entre agentes y servicios |
| Agente WEM | Conectores de la nube | TCP | 443 | Tráfico de registro |
Si usa Citrix Application Delivery Management (ADM), consulte Requisitos del sistema para conocer los requisitos de red y puerto.
Antivirus
El software antivirus es un elemento fundamental para la protección del entorno del usuario final. La configuración adecuada del antivirus en un entorno de Citrix DaaS es clave para un funcionamiento fluido. Una configuración incorrecta del antivirus puede dar lugar a problemas de rendimiento, experiencias de usuario degradadas o tiempos de espera y errores de varios componentes. Para más información sobre cómo configurar un antivirus en el entorno de Citrix DaaS, consulte Documento técnico: Procedimientos recomendados para la seguridad, el antivirus y el antimalware de los puntos de conexión.
Paso siguiente
Revise las consideraciones y recomendaciones de diseño críticas para la continuidad empresarial y la recuperación ante desastres (BCDR) específicas de la implementación de Citrix en Azure.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de