A Citrix biztonsági szabályozása és megfelelősége az Azure-ban
A Citrix DaaS Azure-beli üzembe helyezései megfelelő biztonsági szabályozást és megfelelőséget igényelnek. A működési kiválóság és a siker elérése érdekében a Citrix DaaS-környezetet megfelelő szabályzatokkal tervezheti meg.
Tervezési szempontok és javaslatok
Az Azure Policy fontos eszköz a Citrix számára az Azure-üzemelő példányokon. A szabályzatok segíthetnek a felhőplatform-csapat által támasztott biztonsági szabványok betartásában. A folyamatos jogszabályi megfelelőség támogatása érdekében a szabályzatok automatikusan kikényszeríthetik a szabályozásokat, és jelentéseket nyújthatnak.
Tekintse át a szabályzat alapkonfigurációját a platformcsapatával az Azure szabályozási irányelveinek megfelelően. Szabályzatdefiníciók alkalmazása a legfelső szintű gyökérszintű felügyeleti csoportban, így öröklött hatókörökhöz rendelhet definíciókat.
Ez a cikk az identitásra, a hálózatkezelésre és a víruskeresőre vonatkozó javaslatokkal foglalkozik.
Az identitásszakaszok a Citrix DaaS szolgáltatás identitását és követelményeit ismertetik.
A hálózatkezelési szakasz a hálózati biztonsági csoport (NSG) követelményeit ismerteti.
A víruskereső szakasz hivatkozásokat tartalmaz a DaaS-környezetekben a víruskeresők védelmének konfigurálásához ajánlott eljárásokhoz.
Szolgáltatásnév szerepkörei és identitása
A következő szakaszok a Citrix DaaS szolgáltatásnevek létrehozását, szerepköreit és követelményeit ismertetik.
Alkalmazásregisztráció
Az alkalmazásregisztráció a Citrix Cloud-fiók és az Azure közötti egyirányú megbízhatósági kapcsolat létrehozásának folyamata, így a Citrix Cloud megbízik az Azure-ban. Az alkalmazásregisztrációs folyamat létrehoz egy Azure-szolgáltatásnév-fiókot, amelyet a Citrix Cloud az összes Azure-művelethez használhat az üzemeltetési kapcsolaton keresztül. A Citrix-felhőkonzolban beállított üzemeltetési kapcsolat összekapcsolja a Citrix Cloudot a felhőösszekötőken keresztül az Azure-beli erőforrás-helyekhez.
A szolgáltatásnévnek hozzáférést kell adnia a Citrix-erőforrásokat tartalmazó erőforráscsoportokhoz. A szervezet biztonsági helyzetétől függően előfizetési hozzáférést biztosíthat közreműködői szinten, vagy létrehozhat egy egyéni szerepkört a szolgáltatásnév számára.
Amikor létrehozza a szolgáltatásnevet a Microsoft Entra ID-ban, állítsa be a következő értékeket:
Adjon hozzá egy átirányítási URI-t, és állítsa a webre a következő
https://citrix.cloud.comértékkel: .API-engedélyek esetén adja hozzá az Azure Services Management API-t a szervezetem által használt API-kból, és válassza ki a user_impersonation delegált engedélyt.
Tanúsítványok és titkos kódok esetén hozzon létre egy új ügyfélkulcsot, amely egyéves ajánlott lejárati idővel rendelkezik. Ezt a titkos kulcsot rendszeresen frissítenie kell a biztonsági kulcsok rotálási ütemezésének részeként.
Az alkalmazásregisztrációban az alkalmazás (ügyfél) azonosítójára és az ügyfél titkos kódjára is szükség van az üzemeltetési kapcsolat Citrix Cloudon belüli beállításának konfigurálásához.
Vállalati alkalmazások
A Citrix Cloud és a Microsoft Entra konfigurációjától függően hozzáadhat egy vagy több Nagyvállalati Citrix-alkalmazást a Microsoft Entra-bérlőhöz. Ezek az alkalmazások hozzáférést biztosítanak a Citrix Cloud számára a Microsoft Entra-bérlőben tárolt adatokhoz. Az alábbi táblázat a Nagyvállalati Citrix-alkalmazások alkalmazásazonosítóit és funkcióit sorolja fel a Microsoft Entra ID-ban.
| Vállalati alkalmazásazonosító | Cél |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | A Microsoft Entra ID és a Citrix Cloud közötti alapértelmezett kapcsolat |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Rendszergazdai meghívások és bejelentkezések |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | A munkaterület előfizetői bejelentkezése |
| 5c913119-2257-4316-9994-5e8f3832265b | A Microsoft Entra ID és a Citrix Cloud és a Citrix Endpoint Management közötti alapértelmezett kapcsolat |
| e067934c-b52d-4e92-b1ca-70700bd1124e | A Microsoft Entra ID és a Citrix Cloud és a Citrix Endpoint Management örökölt kapcsolata |
Minden nagyvállalati alkalmazás adott engedélyeket biztosít a Citrix Cloud számára a Microsoft Graph API-nak vagy a Microsoft Entra API-nak. A Munkaterület előfizetői bejelentkezési alkalmazás például user.read engedélyeket biztosít mindkét API-nak, hogy a felhasználók bejelentkezhessenek és elolvashassák a profiljukat. További információ: Microsoft Entra-engedélyek a Citrix Cloudhoz.
Beépített szerepkörök
A szolgáltatásnév létrehozása után adja meg a közreműködői szerepkört az előfizetés szintjén. Ahhoz, hogy közreműködői engedélyeket biztosítson az előfizetés szintjén, legalább azure-beli szerepköralapú hozzáférés-vezérlési rendszergazdai szerepkörre van szüksége. Az Azure kéri a szükséges engedélyeket a Citrix Cloud és a Microsoft Entra ID közötti kezdeti kapcsolat során.
A gazdakapcsolat létrehozásakor a hitelesítéshez használt fiókoknak legalább közreműködőnek kell lenniük az előfizetésben. Ez az engedélyszint lehetővé teszi, hogy a Citrix Cloud korlátozás nélkül hozzon létre szükséges objektumokat. Ezt a módszert általában akkor használja, ha a teljes előfizetés csak Citrix-erőforrásokkal rendelkezik.
Egyes környezetek nem teszik lehetővé, hogy a szolgáltatásnevek közreműködői engedélyekkel rendelkezzenek előfizetési szinten. A Citrix egy keskeny hatókörű szolgáltatásnévnek nevezett alternatív megoldást kínál. Szűk hatókörű szolgáltatásnév esetén a felhőalkalmazás-rendszergazda manuálisan hajtja végre az alkalmazásregisztrációt, majd egy előfizetés-rendszergazda manuálisan adja meg a szolgáltatásnév-fióknak a megfelelő engedélyeket.
A szűk hatókörű szolgáltatásnevek nem rendelkeznek közreműködői engedélyekkel a teljes előfizetéshez. Csak a gépkatalógusok létrehozásához és kezeléséhez szükséges erőforráscsoportokra, hálózatokra és rendszerképekre vonatkozó engedélyekkel rendelkeznek. A szűk hatókörű szolgáltatásnevekhez a következő szerepkörök szükségesek:
Az előre létrehozott erőforráscsoportokhoz virtuálisgép-közreműködő, tárfiók-közreműködő és lemez pillanatkép-közreműködő szükséges.
A virtuális hálózatokhoz virtuálisgép-közreműködő szükséges.
A tárfiókokhoz virtuálisgép-közreműködőre van szükség.
Egyéni szerepkörök
A szűk hatókörű szolgáltatásnevek széles körű közreműködői engedélyekkel rendelkeznek, amelyek nem feltétlenül felelnek meg a biztonsági szempontból érzékeny környezeteknek. A részletesebb megközelítés érdekében két egyéni szerepkörrel biztosíthatja a szolgáltatásnevek számára a szükséges engedélyeket. A Citrix_Hosting_Connection szerepkör hozzáférést biztosít egy üzemeltetési kapcsolat létrehozásához, a Citrix_Machine_Catalog szerepkör pedig hozzáférést biztosít a Citrix-számítási feladatok létrehozásához.
Citrix_Hosting_Connection szerepkör
A Citrix_Hosting_Connection szerepkör alábbi JSON-leírása rendelkezik az üzemeltetési kapcsolat létrehozásához szükséges minimális engedélyekkel. Ha csak pillanatképeket vagy csak lemezeket használ a gépkatalógus aranylemezeihez, eltávolíthatja a nem használt engedélyt a actions listáról.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as cloud connectors, golden images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Rendelje hozzá a Citrix_Hosting_Connection egyéni szerepkört azokhoz a Citrix_Infrastructure erőforráscsoportokhoz, amelyekben felhőbeli összekötő, aranylemezkép vagy virtuális hálózati erőforrások vannak. Ezt a JSON-szerepkör-leírást közvetlenül az egyéni Microsoft Entra szerepkördefinícióba másolhatja és beillesztheti.
Citrix_Machine_Catalog szerepkör
A Citrix_Machine_Catalog szerepkör alábbi JSON-leírása tartalmazza a Citrix Machine Catalog varázslóhoz szükséges minimális engedélyeket a szükséges erőforrások Azure-on belüli létrehozásához.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "The minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that run the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Rendelje hozzá a Citrix_Machine_Catalog egyéni szerepkört a Citrix Virtual Delivery Agent (VDA) virtuális gépeket (VDA) tartalmazó Citrix_MachineCatalog erőforráscsoportokhoz. Ezt a JSON-szerepkör-leírást közvetlenül az egyéni Microsoft Entra szerepkördefinícióba másolhatja és beillesztheti.
Hálózat
Az NSG-k állapotalapúak, így lehetővé teszik a virtuális gépre, alhálózatra vagy mindkettőre alkalmazható visszamenő forgalmat. Ha az alhálózat és a virtuálisgép-NSG is létezik, az alhálózati NSG-k először a bejövő forgalomra, a virtuálisgép-NSG-k pedig a kimenő forgalomra vonatkoznak először. A virtuális hálózat alapértelmezés szerint lehetővé teszi a gazdagépek és a terheléselosztók bejövő forgalmának összes forgalmát. Alapértelmezés szerint a virtuális hálózat csak a kimenő internetes forgalmat engedélyezi, és minden más kimenő forgalmat letilt.
A lehetséges támadási vektorok korlátozásához és az üzembe helyezés biztonságának növeléséhez használja az NSG-ket, hogy csak a várt forgalmat engedélyezze a Citrix Cloud-környezetben. Az alábbi táblázat felsorolja azokat a szükséges hálózati portokat és protokollokat, amelyeket egy Citrix-telepítésnek engedélyeznie kell. Ez a lista csak a Citrix-infrastruktúra által használt portokat tartalmazza, és nem tartalmazza az alkalmazás által használt portokat. A virtuális gépeket védő NSG-ben mindenképpen definiálja az összes portot.
| Forrás | Cél | Protokoll | Kikötő | Cél |
|---|---|---|---|---|
| Felhőbeli összekötők | *.digicert.com |
HTTP | 80 | Tanúsítvány-visszavonás ellenőrzése |
| Felhőbeli összekötők | *.digicert.com |
HTTPS | 443 | Tanúsítvány-visszavonás ellenőrzése |
| Felhőbeli összekötők | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Tanúsítvány-visszavonás ellenőrzése |
| Felhőbeli összekötők | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Tanúsítvány-visszavonás ellenőrzése |
| Felhőbeli összekötők | Felhőbeli összekötők | Transmission Control Protocol (TCP) | 80 | A vezérlők közötti kommunikáció |
| Felhőbeli összekötők | Felhőbeli összekötők | TCP | 89 | Helyi gazdagép gyorsítótára |
| Felhőbeli összekötők | Felhőbeli összekötők | TCP | 9095 | Vezénylési szolgáltatás |
| Felhőbeli összekötők | VDA | TCP, User Datagram Protocol (UDP) | 1494 | ICA/HDX protokoll A felvilágosult adatátvitelhez (EDT) UDP szükséges |
| Felhőbeli összekötők | VDA | TCP, UDP | 2598 | Munkamenet megbízhatósága Az EDT használatához UDP szükséges |
| Felhőbeli összekötő | VDA | TCP | 80 (kétirányú) | Alkalmazás- és teljesítményfelderítés |
| VDA | Átjárószolgáltatás | TCP | 443 | Rendezvous Protocol |
| VDA | Átjárószolgáltatás | UDP | 443 | EDT és UDP több mint 443 átjárószolgáltatás |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP, UDP | 443 | Átjárószolgáltatás-tartományok és altartományok |
| Citrix Provisioning Services | Felhőbeli összekötők | HTTPS | 443 | Citrix Cloud Studio-integráció |
| Citrix licenckiszolgáló | Citrix Cloud | HTTPS | 443 | Citrix Cloud Licensing-integráció |
| CVAD Távoli PowerShell SDK | Citrix Cloud | HTTPS | 443 | Minden olyan rendszer, amely távoli PowerShell-szkripteket futtat az SDK-val |
| Workspace Environment Management (WEM) ügynök | WEM szolgáltatás | HTTPS | 443 | Ügynök–szolgáltatás kommunikáció |
| WEM-ügynök | Felhőbeli összekötők | TCP | 443 | Regisztrációs forgalom |
A Citrix Alkalmazáskézbesítés-kezelés hálózati és portkövetelményeiről a rendszerkövetelmények című témakörben olvashat.
Vírusirtó
A víruskereső szoftver kulcsfontosságú eleme a felhasználói környezet védelmének. A zökkenőmentes működés érdekében a víruskeresőt megfelelően konfigurálja Citrix DaaS-környezetben. A helytelen víruskereső konfiguráció teljesítményproblémákat, csökkentett ügyfélélményt, illetve időtúllépést és a különböző összetevők hibáit eredményezheti. A víruskereső Citrix DaaS-környezetben való konfigurálásáról további információt az Endpoint security, a víruskereső és a kártevőirtó ajánlott eljárásaiban talál.
Következő lépés
Tekintse át a Citrix Azure-beli üzembe helyezésére vonatkozó kritikus tervezési szempontokat és javaslatokat az üzletmenet-folytonosság és a vészhelyreállítás szempontjából.