Beveiligingsgovernance en naleving voor Citrix in Azure
Beveiligingsgovernance en naleving zijn essentieel voor Citrix DaaS-implementaties in Azure. Ontwerp uw Citrix DaaS-omgeving met het juiste beleid om operationele uitmuntendheid en succes te bereiken.
Ontwerpoverwegingen en aanbevelingen
Azure Policy is een belangrijk hulpprogramma voor Citrix in Azure-implementaties. Beleidsregels kunnen u helpen om te voldoen aan beveiligingsstandaarden die zijn ingesteld door uw cloudplatformteam. Beleidsregels bieden automatische afdwinging en rapportage ter ondersteuning van continue naleving van regelgeving.
Controleer uw beleidsbasislijn met uw platformteam per ontwerpgebied: Richtlijnen voor Azure-governance . Pas beleidsdefinities toe in de hoofdbeheergroep op het hoogste niveau, zodat u deze kunt toewijzen op overgenomen bereiken.
De volgende secties richten zich op aanbevelingen voor identiteit, netwerken en antivirus.
- In de identiteitssecties worden citrix DaaS-service-identiteiten en de bijbehorende vereisten besproken.
- De netwerksectie zoomt in op de vereisten voor netwerkbeveiligingsgroepen (NSG).
- De sectie antivirus biedt een koppeling naar aanbevolen procedures voor het configureren van antivirusbeveiliging in een DaaS-omgeving.
Rollen en identiteit van service-principal
In de volgende secties worden het maken, rollen en de vereisten van citrix DaaS-service-principals besproken.
App-registratie
App-registratie is het proces voor het maken van een eenrichtingsvertrouwensrelatie tussen een Citrix Cloud-account en Azure, zodat De Citrix Cloud Azure vertrouwt. Het app-registratieproces maakt een Azure-service-principal-account dat de Citrix Cloud kan gebruiken voor alle Azure-acties via de hostingverbinding. De hostingverbinding die is ingesteld in de Citrix Cloud-console, koppelt de Citrix Cloud via de Cloud Verbinding maken ors aan resourcelocaties in Azure.
U moet de service-principal toegang verlenen tot de resourcegroepen die Citrix-resources bevatten. Afhankelijk van de beveiligingspostuur van uw organisatie kunt u abonnementstoegang bieden op het niveau Van inzender of een aangepaste rol maken voor de service-principal.
Wanneer u de service-principal in Microsoft Entra-id maakt, stelt u de volgende waarden in:
- Voeg een omleidings-URI toe en stel deze in op het web met de waarde .
https://citrix.cloud.com - Voor API-machtigingen voegt u de Azure Services Management-API toe vanuit de API's die mijn organisatie gebruikt en selecteert u de user_impersonation gedelegeerde machtiging.
- Voor certificaten en geheimen maakt u een nieuw clientgeheim met een aanbevolen verloopperiode van één jaar. U moet dit geheim bijgewerkt houden als onderdeel van uw planning voor het rouleren van de beveiligingssleutel.
U hebt zowel de toepassings-id (client) als de waarde van het clientgeheim van app-registratie nodig om de configuratie van de hostingverbinding in de Citrix Cloud te configureren.
Ondernemingstoepassingen
Afhankelijk van uw Citrix Cloud- en Microsoft Entra-configuratie kunt u een of meer Citrix Cloud Enterprise-toepassingen toevoegen aan uw Microsoft Entra-tenant. Met deze toepassingen heeft Citrix Cloud toegang tot gegevens die zijn opgeslagen in de Microsoft Entra-tenant. De volgende tabel bevat de toepassings-id's en functies van de Citrix Cloud Enterprise Applications in Microsoft Entra ID.
| Ondernemingstoepassings-id | Doel |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | Standaardverbinding tussen Microsoft Entra ID en Citrix Cloud |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | uitnodigingen en aanmeldingen voor Beheer istrator |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | Aanmelden voor werkruimte-abonnee |
| 5c913119-2257-4316-9994-5e8f3832265b | Standaardverbinding tussen Microsoft Entra ID en Citrix Cloud met Citrix Endpoint Management |
| e067934c-b52d-4e92-b1ca-70700bd1124e | Verouderde verbinding tussen Microsoft Entra ID en Citrix Cloud met Citrix Endpoint Management |
Elke Enterprise-toepassing verleent Citrix Cloud specifieke machtigingen voor de Microsoft Graph API of de Microsoft Entra-API. De aanmeldingstoepassing voor werkruimteabonnee verleent bijvoorbeeld User.Read-machtigingen aan beide API's, zodat gebruikers zich kunnen aanmelden en hun profielen kunnen lezen. Zie Microsoft Entra-machtigingen voor Citrix Cloud voor meer informatie over de verleende machtigingen.
Ingebouwde rollen
De ingebouwde rol Inzender bevat de breedste machtigingenset en werkt goed om toe te wijzen aan service-principal-accounts op abonnementsniveau. Voor het verlenen van inzendersmachtigingen op abonnementsniveau is een Microsoft Entra Global Beheer istrator-account vereist. Eenmaal verleend, vraagt Azure om de vereiste machtigingen tijdens de eerste verbinding van Citrix Cloud naar Microsoft Entra ID.
Accounts die worden gebruikt voor verificatie tijdens het maken van de hostverbinding, moeten ook ten minste medebeheerders van het abonnement zijn. Met dit machtigingsniveau kan Citrix Cloud zonder beperking de benodigde objecten maken. Normaal gesproken gebruikt u deze benadering wanneer het hele abonnement is toegewezen aan Citrix-resources.
In sommige omgevingen kunnen service-principals geen inzendermachtigingen hebben op abonnementsniveau. Citrix biedt een alternatieve oplossing, een service-principal met een narrow scope. Voor een service-principal met een beperkt bereik voltooit een Microsoft Entra Global Beheer istrator handmatig een toepassingsregistratie en verleent een abonnementsbeheerder handmatig het service-principal-account de juiste machtigingen.
Beperkte service-principals hebben geen inzendermachtigingen voor het hele abonnement, alleen voor de resourcegroepen, netwerken en installatiekopieën die nodig zijn voor het maken en beheren van machinecatalogussen. Beperkte service-principals vereisen de volgende inzendermachtigingen :
- Vooraf gemaakte resourcegroepen: Inzender voor virtuele machines, Inzender voor opslagaccounts en Inzender voor schijfmomentopnamen
- Virtuele netwerken: Inzender voor virtuele machines
- Opslagaccounts: Inzender voor virtuele machines
Aangepaste rollen
Service-principals met een beperkt bereik worden nog steeds uitgebreide inzendermachtigingen verleend, die mogelijk nog steeds onaanvaardbaar zijn in beveiligingsgevoelige omgevingen. Als u een gedetailleerdere benadering wilt bieden, kunt u twee aangepaste rollen gebruiken om de service-principals met de benodigde machtigingen te bieden. De Citrix_Hosting_Verbinding maken ion-rol verleent toegang tot het maken van een hostingverbinding en de Citrix_Machine_Catalog rol verleent toegang tot het maken van Citrix-workloads.
Citrix_Hosting_Verbinding maken ion-rol
De volgende JSON-beschrijving van de Citrix_Hosting_Verbinding maken ion-rol heeft de minimale machtigingen die nodig zijn om een hostingverbinding te maken. Als u alleen momentopnamen of alleen schijven voor installatiekopieën van de machinecatalogus gebruikt, kunt u de ongebruikte machtiging uit de actions lijst verwijderen.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as Cloud Connectors, master images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read"
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
De aangepaste rol Citrix_Hosting_Verbinding maken ion moet worden toegewezen aan de Citrix_Infrastructure resourcegroepen met cloudresources Verbinding maken or, hoofdinstallatiekopie of virtuele netwerkresources. U kunt deze JSON-rolbeschrijving rechtstreeks kopiëren en plakken in uw aangepaste Microsoft Entra-roldefinitie.
Citrix_Machine_Catalog rol
De volgende JSON-beschrijving van de rol Citrix_Machine_Catalog beschikt over de minimale machtigingen die nodig zijn voor de wizard Citrix Machine Catalog om de vereiste resources in Azure te maken.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "Minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that are running the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Wijs de aangepaste Citrix_Machine_Catalog rol toe aan de Citrix_MachineCatalog resourcegroepen met de virtuele machines (VDA) van Citrix Virtual Delivery Agent (VM's). U kunt deze JSON-rolbeschrijving rechtstreeks kopiëren en plakken in uw aangepaste Microsoft Entra-roldefinitie.
Netwerken
De NSG's zijn stateful, zodat ze retourverkeer toestaan dat van toepassing is op een VIRTUELE machine, een subnet of beide. Wanneer er zowel subnet- als VM-NSG's bestaan, zijn de NSG's van het subnet eerst van toepassing op inkomend verkeer en zijn de VM-NSG's eerst van toepassing op uitgaand verkeer. Standaard is al het verkeer tussen hosts toegestaan binnen een virtueel netwerk, samen met al het binnenkomende verkeer van een load balancer. Standaard is alleen uitgaand internetverkeer toegestaan en wordt al het andere uitgaande verkeer geweigerd.
Door NSG's te gebruiken om alleen verwacht verkeer toe te staan in de Citrix Cloud-omgeving, kunt u mogelijke aanvalsvectoren beperken en de implementatiebeveiliging aanzienlijk verhogen. De volgende tabel bevat de vereiste netwerkpoorten en -protocollen die een Citrix-implementatie moet toestaan. Deze lijst bevat alleen de poorten die door de Citrix-infrastructuur worden gebruikt en bevat niet de poorten die uw toepassingen gebruiken. Zorg ervoor dat u alle poorten in de NSG definieert die de VM's beveiligt.
| Bron | Bestemming | Protocol | Poort | Doel |
|---|---|---|---|---|
| Cloud Verbinding maken ors | *.digicert.com | HTTP | 80 | Controle van certificaatintrekking |
| Cloud Verbinding maken ors | *.digicert.com | HTTPS | 443 | Controle van certificaatintrekking |
| Cloud Verbinding maken ors | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt | HTTPS | 443 | Controle van certificaatintrekking |
| Cloud Verbinding maken ors | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt | HTTPS | 443 | Controle van certificaatintrekking |
| Cloud Verbinding maken ors | Cloud Verbinding maken ors | TCP | 80 | Communicatie tussen controllers |
| Cloud Verbinding maken ors | Cloud Verbinding maken ors | TCP | 89 | Lokale hostcache |
| Cloud Verbinding maken ors | Cloud Verbinding maken ors | TCP | 9095 | Indelingsservice |
| Cloud Verbinding maken ors | VDA | TCP UDP | 1494 | ICA/HDX-protocol Voor EDT is UDP vereist |
| Cloud Verbinding maken ors | VDA | TCP UDP | 2598 | Sessiebetrouwbaarheid Voor EDT is UDP vereist |
| Cloud Verbinding maken or | VDA | TCP | 80 (bidirect) | Detectie van toepassingen en prestaties |
| VDA | Gateway Service | TCP | 443 | Rendezvous Protocol |
| VDA | Gateway Service | UDP | 443 | EDT UDP van meer dan 443 naar gatewayservice |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP UDP | 443 | Gatewayservicedomeinen en subdomeinen |
| Citrix Provisioning Services | Cloud Verbinding maken ors | HTTPS | 443 | Citrix Cloud Studio-integratie |
| Citrix License Server | Citrix Cloud | HTTPS | 443 | Citrix Cloud Licensing-integratie |
| CVAD Remote PowerShell SDK | Citrix Cloud | HTTPS | 443 | Elk systeem waarop externe PowerShell-scripts worden uitgevoerd via de SDK |
| WEM-agent | WEM-service | HTTPS | 443 | Communicatie tussen agents en services |
| WEM-agent | Cloud Verbinding maken ors | TCP | 443 | Registratieverkeer |
Als u Citrix Application Delivery Management (ADM) gebruikt, raadpleegt u Systeemvereisten voor netwerk- en poortvereisten.
Antivirus
Antivirussoftware is een cruciaal element voor de bescherming van de eindgebruikersomgeving. Het configureren van antivirusprogramma's in een Citrix DaaS-omgeving is essentieel voor een soepele werking. Onjuiste antivirusconfiguratie kan leiden tot prestatieproblemen, verminderde gebruikerservaringen of time-outs en storingen van verschillende onderdelen. Zie Tech Paper: Endpoint Security, Antivirus en Antimalware Best Practices voor meer informatie over het configureren van antivirus in uw Citrix DaaS-omgeving.
Volgende stap
Bekijk de kritieke ontwerpoverwegingen en aanbevelingen voor bedrijfscontinuïteit en herstel na noodgevallen (BCDR) die specifiek zijn voor de implementatie van Citrix in Azure.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor