Tata kelola dan kepatuhan keamanan untuk Citrix di Azure
Tata kelola dan kepatuhan keamanan sangat penting untuk penyebaran Citrix DaaS di Azure. Untuk mencapai keunggulan dan keberhasilan operasional, rancang lingkungan Citrix DaaS Anda dengan kebijakan yang sesuai.
Pertimbangan dan rekomendasi desain
Azure Policy adalah alat penting untuk penyebaran Citrix di Azure. Kebijakan dapat membantu Anda mematuhi standar keamanan yang ditetapkan oleh tim platform cloud Anda. Kebijakan menyediakan penegakan dan pelaporan otomatis untuk mendukung kepatuhan terhadap peraturan berkelanjutan.
Tinjau garis besar kebijakan Anda dengan tim platform Anda per area Desain: Panduan tata kelola Azure. Terapkan definisi kebijakan di grup manajemen akar tingkat atas sehingga Anda dapat menetapkannya pada cakupan yang diwariskan.
Bagian berikut berfokus pada rekomendasi identitas, jaringan, dan antivirus.
- Bagian identitas membahas identitas layanan Citrix DaaS dan persyaratannya.
- Bagian jaringan menelusuri persyaratan kelompok keamanan jaringan (NSG).
- Bagian antivirus menyediakan tautan ke praktik terbaik untuk mengonfigurasi perlindungan antivirus di lingkungan DaaS.
Peran dan identitas perwakilan layanan
Bagian berikut membahas pembuatan, peran, dan persyaratan perwakilan layanan Citrix DaaS.
Pendaftaran aplikasi
Pendaftaran aplikasi adalah proses pembuatan hubungan kepercayaan satu arah antara akun Citrix Cloud dan Azure, sehingga Citrix Cloud mempercayai Azure. Proses pendaftaran aplikasi membuat akun perwakilan layanan Azure yang dapat digunakan Citrix Cloud untuk semua tindakan Azure melalui koneksi hosting. Koneksi hosting yang disiapkan di konsol Citrix Cloud menautkan Citrix Cloud melalui Cloud Koneksi ors ke lokasi sumber daya di Azure.
Anda harus memberikan akses perwakilan layanan ke grup sumber daya yang berisi sumber daya Citrix. Bergantung pada postur keamanan organisasi, Anda dapat menyediakan akses langganan di tingkat Kontributor , atau membuat peran kustom untuk perwakilan layanan.
Saat Anda membuat perwakilan layanan di ID Microsoft Entra, atur nilai berikut:
- Tambahkan URI Pengalihan dan atur ke Web dengan nilai
https://citrix.cloud.com. - Untuk Izin API, tambahkan API Manajemen Layanan Azure dari tab API yang digunakan organisasi saya, dan pilih izin yang didelegasikan user_impersonation .
- Untuk Sertifikat & rahasia, buat rahasia klien baru dengan periode kedaluwarsa yang direkomendasikan selama satu tahun. Anda harus menjaga rahasia ini tetap diperbarui sebagai bagian dari jadwal rotasi kunci keamanan Anda.
Anda memerlukan ID Aplikasi (klien) dan Nilai rahasia klien dari Pendaftaran Aplikasi untuk mengonfigurasi pengaturan koneksi hosting dalam Citrix Cloud.
Aplikasi Perusahaan
Bergantung pada konfigurasi Citrix Cloud dan Microsoft Entra, Anda dapat menambahkan satu atau beberapa Aplikasi Perusahaan Cloud Citrix ke penyewa Microsoft Entra Anda. Aplikasi ini memungkinkan Citrix Cloud mengakses data yang disimpan di penyewa Microsoft Entra. Tabel berikut mencantumkan ID Aplikasi dan fungsi Aplikasi Perusahaan Cloud Citrix di ID Microsoft Entra.
| ID Aplikasi Enterprise | Tujuan |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | Koneksi default antara MICROSOFT Entra ID dan Citrix Cloud |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Undangan administrator dan rincian masuk |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | Rincian masuk pelanggan ruang kerja |
| 5c913119-2257-4316-9994-5e8f3832265b | Koneksi default antara Microsoft Entra ID dan Citrix Cloud dengan Citrix Endpoint Management |
| e067934c-b52d-4e92-b1ca-70700bd1124e | Koneksi warisan antara MICROSOFT Entra ID dan Citrix Cloud dengan Citrix Endpoint Management |
Setiap Aplikasi Perusahaan memberikan izin khusus Citrix Cloud ke Microsoft Graph API atau Microsoft Entra API. Misalnya, aplikasi masuk pelanggan Ruang Kerja memberikan izin User.Read ke kedua API, sehingga pengguna dapat masuk dan membaca profil mereka. Untuk informasi selengkapnya tentang izin yang diberikan, lihat Izin Microsoft Entra untuk Citrix Cloud.
Peran bawaan
Peran bawaan Kontributor berisi kumpulan izin terluas, dan berfungsi dengan baik untuk ditetapkan ke akun perwakilan layanan di tingkat langganan. Memberikan izin kontributor di tingkat langganan memerlukan akun Administrator Global Microsoft Entra. Setelah diberikan, Azure meminta izin yang diperlukan selama koneksi awal dari Citrix Cloud ke ID Microsoft Entra.
Setiap akun yang digunakan untuk autentikasi selama pembuatan koneksi host juga harus setidaknya menjadi administrator bersama pada langganan. Tingkat izin ini memungkinkan Citrix Cloud untuk membuat objek yang diperlukan tanpa batasan. Biasanya, Anda menggunakan pendekatan ini ketika seluruh langganan didedikasikan untuk sumber daya Citrix.
Beberapa lingkungan tidak mengizinkan perwakilan layanan memiliki izin Kontributor di tingkat langganan. Citrix menyediakan solusi alternatif yang disebut perwakilan layanan cakupan sempit. Untuk perwakilan layanan cakupan sempit, Administrator Global Microsoft Entra menyelesaikan pendaftaran aplikasi secara manual, lalu administrator langganan secara manual memberikan izin yang sesuai kepada akun perwakilan layanan.
Perwakilan layanan dengan cakupan sempit tidak memiliki izin Kontributor ke seluruh langganan, hanya untuk grup sumber daya, jaringan, dan gambar yang diperlukan untuk membuat dan mengelola katalog komputer. Perwakilan layanan yang terlingkup sempit memerlukan izin Kontributor berikut:
- Grup sumber daya yang telah dibuat sebelumnya: Kontributor Komputer Virtual, Kontributor Akun Penyimpanan, dan Kontributor Rekam Jepret Disk
- Jaringan virtual: Kontributor Komputer Virtual
- Akun penyimpanan: Kontributor Komputer Virtual
Peran kustom
Perwakilan layanan cakupan sempit, meskipun terbatas dalam cakupan, masih diberikan izin Kontributor yang luas, yang mungkin masih tidak dapat diterima di lingkungan sensitif keamanan. Untuk memberikan pendekatan yang lebih terperinci, Anda dapat menggunakan dua peran kustom untuk memberikan izin yang diperlukan kepada perwakilan layanan. Peran Citrix_Hosting_Koneksi ion memberikan akses untuk membuat koneksi hosting, dan peran Citrix_Machine_Catalog memberikan akses untuk membuat beban kerja Citrix.
peran Citrix_Hosting_Koneksi ion
Deskripsi JSON berikut tentang peran Citrix_Hosting_Koneksi ion memiliki izin minimum yang diperlukan untuk membuat koneksi hosting. Jika Anda hanya menggunakan rekam jepret atau hanya disk untuk gambar master katalog mesin, Anda dapat menghapus izin yang tidak digunakan dari actions daftar.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as Cloud Connectors, master images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read"
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Peran kustom Citrix_Hosting_Koneksi ion harus ditetapkan ke grup sumber daya Citrix_Infrastructure yang memiliki cloud Koneksi or, gambar master, atau sumber daya jaringan virtual di dalamnya. Anda dapat menyalin dan menempelkan deskripsi peran JSON ini langsung ke definisi peran Microsoft Entra kustom Anda.
peran Citrix_Machine_Catalog
Deskripsi JSON berikut tentang peran Citrix_Machine_Catalog memiliki izin minimum yang diperlukan untuk Wizard Katalog Mesin Citrix untuk membuat sumber daya yang diperlukan dalam Azure.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "Minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that are running the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Tetapkan peran kustom Citrix_Machine_Catalog ke grup sumber daya Citrix_MachineCatalog yang menyimpan komputer virtual (VM) Citrix Virtual Delivery Agent (VDA). Anda dapat menyalin dan menempelkan deskripsi peran JSON ini langsung ke definisi peran Microsoft Entra kustom Anda.
Jaringan
NSG bersifat stateful, sehingga memungkinkan lalu lintas kembali yang dapat berlaku untuk VM, subnet, atau keduanya. Ketika subnet dan VM NSG ada, NSG subnet berlaku terlebih dahulu untuk lalu lintas masuk, dan NSG VM berlaku terlebih dahulu untuk lalu lintas keluar. Secara default, semua lalu lintas antar host diizinkan dalam jaringan virtual, bersama dengan semua lalu lintas masuk dari load balancer. Secara default, hanya lalu lintas internet keluar yang diizinkan, dan semua lalu lintas keluar lainnya ditolak.
Dengan menggunakan NSG untuk memungkinkan hanya lalu lintas yang diharapkan di lingkungan Citrix Cloud, Anda dapat membatasi vektor serangan potensial dan secara signifikan meningkatkan keamanan penyebaran. Tabel berikut mencantumkan port dan protokol jaringan yang diperlukan yang harus diizinkan oleh penyebaran Citrix. Daftar ini hanya mencakup port yang digunakan infrastruktur Citrix, dan tidak menyertakan port yang digunakan aplikasi Anda. Pastikan untuk menentukan semua port di NSG yang melindungi VM.
| Sumber | Tujuan | Protokol | Port | Tujuan |
|---|---|---|---|---|
| Cloud Koneksi ors | *.digicert.com |
HTTP | 80 | Pemeriksaan Pencabutan Sertifikat |
| Cloud Koneksi ors | *.digicert.com |
HTTPS | 443 | Pemeriksaan Pencabutan Sertifikat |
| Cloud Koneksi ors | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Pemeriksaan Pencabutan Sertifikat |
| Cloud Koneksi ors | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Pemeriksaan Pencabutan Sertifikat |
| Cloud Koneksi ors | Cloud Koneksi ors | TCP | 80 | Komunikasi antar pengontrol |
| Cloud Koneksi ors | Cloud Koneksi ors | TCP | 89 | Cache host lokal |
| Cloud Koneksi ors | Cloud Koneksi ors | TCP | 9095 | Layanan orkestrasi |
| Cloud Koneksi ors | VDA | TCP UDP | 1494 | Protokol ICA/HDX EDT memerlukan UDP |
| Cloud Koneksi ors | VDA | TCP UDP | 2598 | Keandalan sesi EDT memerlukan UDP |
| Cloud Koneksi or | VDA | TCP | 80 (dua arah) | Penemuan aplikasi dan performa |
| VDA | Layanan Gateway | TCP | 443 | Protokol Pertemuan |
| VDA | Layanan Gateway | UDP | 443 | EDT UDP melalui 443 ke Layanan Gateway |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP UDP | 443 | Domain layanan gateway dan subdomain |
| Layanan Provisi Citrix | Cloud Koneksi ors | HTTPS | 443 | Integrasi Citrix Cloud Studio |
| Server Lisensi Citrix | Citrix Cloud | HTTPS | 443 | Integrasi Lisensi Cloud Citrix |
| CVAD Remote PowerShell SDK | Citrix Cloud | HTTPS | 443 | Sistem apa pun yang menjalankan skrip PowerShell jarak jauh melalui SDK |
| Agen WEM | Layanan WEM | HTTPS | 443 | Agen ke komunikasi layanan |
| Agen WEM | Cloud Koneksi ors | TCP | 443 | Lalu lintas pendaftaran |
Jika Anda menggunakan Citrix Application Delivery Management (ADM), lihat Persyaratan Sistem untuk persyaratan jaringan dan port.
Antivirus
Perangkat lunak antivirus adalah elemen penting untuk perlindungan lingkungan pengguna akhir. Mengonfigurasi antivirus dengan tepat di lingkungan Citrix DaaS adalah kunci untuk operasi yang lancar. Konfigurasi antivirus yang salah dapat mengakibatkan masalah performa, pengalaman pengguna yang terdegradasi, atau batas waktu dan kegagalan berbagai komponen. Untuk informasi selengkapnya tentang cara mengonfigurasi antivirus di lingkungan Citrix DaaS Anda, lihat Tech Paper: Keamanan Titik Akhir, Antivirus, dan Praktik Terbaik Antimalware.
Langkah selanjutnya
Tinjau pertimbangan dan rekomendasi desain penting untuk kelangsungan bisnis dan pemulihan bencana (BCDR) khusus untuk penyebaran Citrix di Azure.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk