Tata kelola dan kepatuhan keamanan untuk Citrix di Azure
Penyebaran Citrix DaaS di Azure memerlukan tata kelola dan kepatuhan keamanan yang tepat. Untuk mencapai keunggulan dan keberhasilan operasional, rancang lingkungan Citrix DaaS Anda dengan kebijakan yang sesuai.
Pertimbangan dan rekomendasi desain
Azure Policy adalah alat penting untuk penyebaran Citrix di Azure. Kebijakan dapat membantu Anda mematuhi standar keamanan yang ditetapkan tim platform cloud Anda. Untuk mendukung kepatuhan terhadap peraturan berkelanjutan, kebijakan dapat secara otomatis menegakkan peraturan dan memberikan laporan.
Tinjau garis besar kebijakan Anda dengan tim platform Anda sesuai dengan panduan tata kelola Azure. Terapkan definisi kebijakan di grup manajemen akar tingkat atas sehingga Anda dapat menetapkan definisi pada cakupan yang diwariskan.
Artikel ini berfokus pada rekomendasi identitas, jaringan, dan antivirus.
Bagian identitas menjelaskan identitas layanan Citrix DaaS dan persyaratannya.
Bagian jaringan menjelaskan persyaratan kelompok keamanan jaringan (NSG).
Bagian antivirus menyediakan tautan ke praktik terbaik untuk mengonfigurasi perlindungan antivirus di lingkungan DaaS.
Peran dan identitas perwakilan layanan
Bagian berikut menjelaskan pembuatan, peran, dan persyaratan perwakilan layanan Citrix DaaS.
Pendaftaran aplikasi
Pendaftaran aplikasi adalah proses pembuatan hubungan kepercayaan satu arah antara akun Citrix Cloud dan Azure sehingga Citrix Cloud mempercayai Azure. Proses pendaftaran aplikasi membuat akun perwakilan layanan Azure yang dapat digunakan Citrix Cloud untuk semua tindakan Azure melalui koneksi hosting. Koneksi hosting yang disiapkan di konsol Citrix Cloud menautkan Citrix Cloud melalui konektor cloud ke lokasi sumber daya di Azure.
Anda harus memberikan akses perwakilan layanan ke grup sumber daya yang berisi sumber daya Citrix. Bergantung pada postur keamanan organisasi, Anda dapat menyediakan akses langganan di tingkat Kontributor atau membuat peran kustom untuk perwakilan layanan.
Saat Anda membuat perwakilan layanan di ID Microsoft Entra, atur nilai berikut:
Tambahkan URI Pengalihan dan atur ke Web dengan nilai
https://citrix.cloud.com
.Untuk Izin API, tambahkan API Manajemen Layanan Azure dari tab API yang digunakan organisasi saya, dan pilih izin yang didelegasikan user_impersonation .
Untuk Sertifikat & rahasia, buat rahasia klien baru yang memiliki periode kedaluwarsa yang direkomendasikan selama satu tahun. Anda harus memperbarui rahasia ini secara teratur sebagai bagian dari jadwal rotasi kunci keamanan Anda.
Anda memerlukan ID Aplikasi (klien) dan Nilai rahasia klien dari pendaftaran aplikasi untuk mengonfigurasi pengaturan koneksi hosting dalam Citrix Cloud.
Aplikasi Perusahaan
Bergantung pada konfigurasi Citrix Cloud dan Microsoft Entra, Anda dapat menambahkan satu atau beberapa aplikasi perusahaan Citrix Cloud ke penyewa Microsoft Entra Anda. Aplikasi ini memberikan akses Citrix Cloud ke data yang disimpan di penyewa Microsoft Entra. Tabel berikut mencantumkan ID aplikasi dan fungsi aplikasi perusahaan Citrix Cloud di ID Microsoft Entra.
ID aplikasi perusahaan | Tujuan |
---|---|
f9c0e999-22e7-409f-bb5e-956986abdf02 | Koneksi default antara MICROSOFT Entra ID dan Citrix Cloud |
1b32f261-b20c-4399-8368-c8f0092b4470 | Undangan administrator dan rincian masuk |
e95c4605-aeab-48d9-9c36-1a262ef8048e | Rincian masuk pelanggan Ruang Kerja |
5c913119-2257-4316-9994-5e8f3832265b | Koneksi default antara MICROSOFT Entra ID dan Citrix Cloud dengan Citrix Endpoint Management |
e067934c-b52d-4e92-b1ca-70700bd1124e | Koneksi warisan antara MICROSOFT Entra ID dan Citrix Cloud dengan Citrix Endpoint Management |
Setiap aplikasi perusahaan memberikan izin khusus Citrix Cloud ke Microsoft Graph API atau Microsoft Entra API. Misalnya, aplikasi masuk pelanggan Ruang Kerja memberikan izin User.Read ke kedua API sehingga pengguna dapat masuk dan membaca profil mereka. Untuk informasi selengkapnya, lihat Izin Microsoft Entra untuk Citrix Cloud.
Peran bawaan
Setelah Anda membuat perwakilan layanan, berikan peran Kontributor di tingkat langganan. Untuk memberikan izin Kontributor di tingkat langganan, Anda memerlukan setidaknya peran Administrator Kontrol Akses Berbasis Peran Azure. Azure meminta izin yang diperlukan selama koneksi awal dari Citrix Cloud ke ID Microsoft Entra.
Akun apa pun yang Anda gunakan untuk autentikasi saat membuat koneksi host juga harus setidaknya menjadi Kontributor pada langganan. Tingkat izin ini memungkinkan Citrix Cloud untuk membuat objek yang diperlukan tanpa batasan. Biasanya, Anda menggunakan pendekatan ini ketika seluruh langganan hanya memiliki sumber daya Citrix.
Beberapa lingkungan tidak mengizinkan perwakilan layanan memiliki izin Kontributor di tingkat langganan. Citrix menyediakan solusi alternatif yang disebut perwakilan layanan cakupan sempit. Untuk perwakilan layanan cakupan sempit, Administrator Aplikasi Cloud menyelesaikan pendaftaran aplikasi secara manual, lalu administrator langganan memberikan izin yang sesuai kepada akun perwakilan layanan secara manual.
Perwakilan layanan cakupan sempit tidak memiliki izin Kontributor ke seluruh langganan. Mereka hanya memiliki izin ke grup sumber daya, jaringan, dan gambar yang mereka butuhkan untuk membuat dan mengelola katalog komputer. Perwakilan layanan cakupan sempit memerlukan peran berikut:
Grup sumber daya yang dibuat sebelumnya memerlukan Kontributor Komputer Virtual, Kontributor Akun Penyimpanan, dan Kontributor Rekam Jepret Disk.
Jaringan virtual memerlukan Kontributor Komputer Virtual.
Akun penyimpanan memerlukan Kontributor Komputer Virtual.
Peran kustom
Perwakilan layanan cakupan sempit memiliki izin Kontributor yang luas, yang mungkin tidak sesuai dengan lingkungan sensitif keamanan. Untuk memberikan pendekatan yang lebih terperinci, Anda dapat menggunakan dua peran kustom untuk memberikan izin yang diperlukan kepada perwakilan layanan. Peran Citrix_Hosting_Connection memberikan akses untuk membuat koneksi hosting, dan peran Citrix_Machine_Catalog memberikan akses untuk membuat beban kerja Citrix.
peran Citrix_Hosting_Connection
Deskripsi JSON berikut tentang peran Citrix_Hosting_Connection memiliki izin minimum yang Anda butuhkan untuk membuat koneksi hosting. Jika Anda hanya menggunakan rekam jepret atau hanya disk untuk gambar emas katalog mesin, Anda dapat menghapus izin yang tidak digunakan dari actions
daftar.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as cloud connectors, golden images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Tetapkan peran kustom Citrix_Hosting_Connection ke grup sumber daya Citrix_Infrastructure yang memiliki konektor cloud, gambar emas, atau sumber daya jaringan virtual di dalamnya. Anda dapat menyalin dan menempelkan deskripsi peran JSON ini langsung ke definisi peran Microsoft Entra kustom Anda.
peran Citrix_Machine_Catalog
Deskripsi JSON berikut tentang peran Citrix_Machine_Catalog memiliki izin minimum yang Anda butuhkan untuk Wizard Katalog Mesin Citrix untuk membuat sumber daya yang diperlukan dalam Azure.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "The minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that run the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Tetapkan peran kustom Citrix_Machine_Catalog ke grup sumber daya Citrix_MachineCatalog yang menyimpan komputer virtual (VM) Citrix Virtual Delivery Agent (VDA). Anda dapat menyalin dan menempelkan deskripsi peran JSON ini langsung ke definisi peran Microsoft Entra kustom Anda.
Jaringan
NSG bersifat stateful, sehingga memungkinkan lalu lintas kembali yang dapat berlaku untuk VM, subnet, atau keduanya. Ketika subnet dan VM NSG ada, NSG subnet berlaku terlebih dahulu untuk lalu lintas masuk, dan NSG VM berlaku terlebih dahulu untuk lalu lintas keluar. Secara default, jaringan virtual memungkinkan semua lalu lintas antara host dan semua lalu lintas masuk dari load balancer. Secara default, jaringan virtual hanya memungkinkan lalu lintas internet keluar dan menolak semua lalu lintas keluar lainnya.
Untuk membatasi potensi vektor serangan dan meningkatkan keamanan penyebaran, gunakan NSG untuk hanya mengizinkan lalu lintas yang diharapkan di lingkungan Citrix Cloud. Tabel berikut mencantumkan port dan protokol jaringan yang diperlukan yang harus diizinkan oleh penyebaran Citrix. Daftar ini hanya mencakup port yang digunakan infrastruktur Citrix dan tidak menyertakan port yang digunakan aplikasi Anda. Di NSG yang melindungi VM, pastikan untuk menentukan semua port.
Sumber | Tujuan | Protokol | Port | Tujuan |
---|---|---|---|---|
Konektor cloud | *.digicert.com |
HTTP | 80 | Pemeriksaan pencabutan sertifikat |
Konektor cloud | *.digicert.com |
HTTPS | 443 | Pemeriksaan pencabutan sertifikat |
Konektor cloud | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Pemeriksaan pencabutan sertifikat |
Konektor cloud | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Pemeriksaan pencabutan sertifikat |
Konektor cloud | Konektor cloud | Protokol Kendali Transmisi (TCP) | 80 | Komunikasi antar pengontrol |
Konektor cloud | Konektor cloud | TCP | 89 | Cache host lokal |
Konektor cloud | Konektor cloud | TCP | 9095 | Layanan orkestrasi |
Konektor cloud | VDA | TCP, Protokol Datagram Pengguna (UDP) | 1494 | Protokol ICA/HDX Enlightened Data Transport (EDT) memerlukan UDP |
Konektor cloud | VDA | TCP, UDP | 2598 | Keandalan sesi EDT memerlukan UDP |
Konektor cloud | VDA | TCP | 80 (dua arah) | Penemuan aplikasi dan performa |
VDA | Layanan gateway | TCP | 443 | Protokol Pertemuan |
VDA | Layanan gateway | UDP | 443 | EDT dan UDP melalui 443 ke layanan Gateway |
VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP, UDP | 443 | Domain layanan gateway dan subdomain |
Layanan Provisi Citrix | Konektor cloud | HTTPS | 443 | Integrasi Citrix Cloud Studio |
Server Lisensi Citrix | Citrix Cloud | HTTPS | 443 | Integrasi Lisensi Cloud Citrix |
CVAD Remote PowerShell SDK | Citrix Cloud | HTTPS | 443 | Sistem apa pun yang menjalankan skrip PowerShell jarak jauh melalui SDK |
Agen Manajemen Lingkungan Ruang Kerja (WEM) | Layanan WEM | HTTPS | 443 | Agen ke komunikasi layanan |
Agen WEM | Konektor cloud | TCP | 443 | Lalu lintas pendaftaran |
Untuk informasi tentang persyaratan jaringan dan port untuk Manajemen Pengiriman Aplikasi Citrix, lihat Persyaratan sistem.
Antivirus
Perangkat lunak antivirus adalah elemen penting untuk perlindungan lingkungan pengguna. Untuk memastikan operasi yang lancar, konfigurasikan antivirus dengan tepat di lingkungan Citrix DaaS. Konfigurasi antivirus yang salah dapat mengakibatkan masalah performa, pengalaman pelanggan yang terdegradasi, atau batas waktu dan kegagalan berbagai komponen. Untuk informasi selengkapnya tentang cara mengonfigurasi antivirus di lingkungan Citrix DaaS Anda, lihat Praktik terbaik keamanan titik akhir, antivirus, dan antimalware.
Langkah selanjutnya
Tinjau pertimbangan dan rekomendasi desain penting untuk kelangsungan bisnis dan pemulihan bencana yang khusus untuk penyebaran Citrix di Azure.