Governança de segurança e conformidade para Citrix no Azure
A governança e a conformidade de segurança são essenciais para as implantações do Citrix DaaS no Azure. Para alcançar excelência operacional e sucesso, projete seu ambiente Citrix DaaS com políticas apropriadas.
Considerações e recomendações de design
O Azure Policy é uma ferramenta importante para implantações do Citrix no Azure. As políticas podem ajudá-lo a aderir aos padrões de segurança definidos por sua equipe de plataforma de nuvem. As políticas fornecem aplicação e relatórios automáticos para dar suporte à conformidade regulatória contínua.
Examine sua linha de base de política com sua equipe de plataforma de acordo com a área de design: diretrizes de governança do Azure. Aplique definições de política no grupo de gerenciamento raiz de nível superior para que você possa atribuí-las em escopos herdados.
As seções a seguir se concentram em recomendações de identidade, rede e antivírus.
- As seções de identidade discutem a identidade do serviço Citrix DaaS e seus requisitos.
- A seção de rede detalha os requisitos do NSG (grupo de segurança de rede).
- A seção antivírus fornece um link para as práticas recomendadas para configurar a proteção antivírus em um ambiente DaaS.
Funções e identidade da entidade de serviço
As seções a seguir discutem a criação, as funções e os requisitos da entidade de serviço Citrix DaaS.
Registro do aplicativo
O registro de aplicativo é o processo de criação de uma relação de confiança unidirecional entre uma conta do Citrix Cloud e o Azure, de modo que o Citrix Cloud confie no Azure. O processo de registro do aplicativo cria uma conta de entidade de serviço do Azure que o Citrix Cloud pode usar para todas as ações do Azure por meio da conexão de hospedagem. A conexão de hospedagem configurada no console do Citrix Cloud vincula o Citrix Cloud por meio dos Cloud Connectors aos locais de recursos no Azure.
Você deve conceder à entidade de serviço acesso aos grupos de recursos que contêm recursos Citrix. Dependendo da postura de segurança da sua organização, você pode fornecer acesso à assinatura no nível do Colaborador ou criar uma função personalizada para a entidade de serviço.
Ao criar a entidade de serviço na ID do Microsoft Entra, defina os seguintes valores:
- Adicione um URI de redirecionamento e defina-o como Web com um valor de
https://citrix.cloud.com. - Para Permissões de API, adicione a API de Gerenciamento de Serviços do Azure da guia APIs que minha organização usa e selecione a user_impersonation permissão delegada.
- Para Certificados e segredos, crie um novo segredo do cliente com um período de expiração recomendado de um ano. Você deve manter esse segredo atualizado como parte de sua programação de rotação de chaves de segurança.
Você precisa do ID do aplicativo (cliente) e do valor do segredo do cliente do registro do aplicativo para definir a configuração da conexão de hospedagem no Citrix Cloud.
Aplicativos empresariais
Dependendo da configuração do Citrix Cloud e do Microsoft Entra, você pode adicionar um ou mais aplicativos Citrix Cloud Enterprise ao seu locatário do Microsoft Entra. Esses aplicativos permitem que o Citrix Cloud acesse dados armazenados no locatário do Microsoft Entra. A tabela a seguir lista as IDs de aplicativo e as funções dos aplicativos Citrix Cloud Enterprise no ID do Microsoft Entra.
| ID do aplicativo empresarial | Finalidade |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | Conexão padrão entre o Microsoft Entra ID e o Citrix Cloud |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Convites e entradas do administrador |
| E95C4605-AEAB-48D9-9C36-1A262EF8048E | Entrada do assinante do workspace |
| 5c913119-2257-4316-9994-5e8f3832265b | Conexão padrão entre o Microsoft Entra ID e o Citrix Cloud com o Citrix Endpoint Management |
| E067934C-B52D-4E92-B1CA-70700BD1124E | Conexão herdada entre o Microsoft Entra ID e o Citrix Cloud com o Citrix Endpoint Management |
Cada aplicativo empresarial concede permissões específicas ao Citrix Cloud para a API do Microsoft Graph ou para a API do Microsoft Entra. Por exemplo, o aplicativo de entrada do assinante do Workspace concede permissões User.Read a ambas as APIs, para que os usuários possam entrar e ler seus perfis. Para obter mais informações sobre as permissões concedidas, consulte Permissões do Microsoft Entra para o Citrix Cloud.
Funções internas
A função interna Colaborador contém o conjunto de permissões mais amplo e funciona bem para atribuir contas de entidade de serviço no nível da assinatura. A concessão de permissões de colaborador no nível da assinatura requer uma conta de Administrador Global do Microsoft Entra. Depois de concedido, o Azure solicita as permissões necessárias durante a conexão inicial do Citrix Cloud com o Microsoft Entra ID.
Todas as contas usadas para autenticação durante a criação da conexão de host também devem ser pelo menos coadministradores na assinatura. Esse nível de permissões permite que o Citrix Cloud crie os objetos necessários sem restrições. Normalmente, você usa essa abordagem quando toda a assinatura é dedicada aos recursos da Citrix.
Alguns ambientes não permitem que as entidades de serviço tenham permissões de Colaborador em um nível de assinatura. A Citrix fornece uma solução alternativa chamada entidade de serviço de escopo restrito. Para uma entidade de serviço de escopo restrito, um Administrador Global do Microsoft Entra conclui um registro de aplicativo manualmente e, em seguida, um administrador de assinatura concede manualmente à conta da entidade de serviço as permissões apropriadas.
As entidades de serviço de escopo restrito não têm permissões de Colaborador para toda a assinatura, apenas para os grupos de recursos, redes e imagens necessárias para criar e gerenciar catálogos de máquinas. As entidades de serviço de escopo restrito exigem as seguintes permissões de Colaborador :
- Grupos de recursos pré-criados: Colaborador de Máquina Virtual, Colaborador de Conta de Armazenamento e Colaborador de Instantâneo de Disco
- Redes virtuais: Colaborador de Máquina Virtual
- Contas de armazenamento: Colaborador de Máquina Virtual
Funções personalizadas
As entidades de serviço de escopo restrito, embora limitadas em escopo, ainda recebem amplas permissões de Colaborador , o que ainda pode ser inaceitável em ambientes sensíveis à segurança. Para fornecer uma abordagem mais granular, você pode usar duas funções personalizadas para fornecer às entidades de serviço as permissões necessárias. A função Citrix_Hosting_Connection concede acesso para criar uma conexão de hospedagem e a função Citrix_Machine_Catalog concede acesso para criar cargas de trabalho Citrix.
Citrix_Hosting_Connection papel
A descrição JSON a seguir da função Citrix_Hosting_Connection tem as permissões mínimas necessárias para criar uma conexão de hospedagem. Se você usar apenas instantâneos ou apenas discos para imagens mestras do catálogo de máquinas, poderá remover a permissão não utilizada da actions lista.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as Cloud Connectors, master images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read"
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
A Citrix_Hosting_Connection função personalizada deve ser atribuída aos grupos de recursos Citrix_Infrastructure que contêm recursos do Cloud Connector, da imagem mestra ou da rede virtual. Você pode copiar e colar essa descrição de função JSON diretamente em sua definição de função personalizada do Microsoft Entra.
Citrix_Machine_Catalog papel
A descrição JSON a seguir da função Citrix_Machine_Catalog tem as permissões mínimas necessárias para que o Assistente de Catálogo de Máquinas Citrix crie os recursos necessários no Azure.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "Minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that are running the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Atribua a Citrix_Machine_Catalog função personalizada aos grupos de recursos Citrix_MachineCatalog que contêm as máquinas virtuais (VMs) do Citrix Virtual Delivery Agent (VDA). Você pode copiar e colar essa descrição de função JSON diretamente em sua definição de função personalizada do Microsoft Entra.
Rede
Os NSGs são stateful, portanto, permitem o tráfego de retorno que pode ser aplicado a uma VM, uma sub-rede ou ambos. Quando existem NSGs de sub-rede e VM, os NSGs de sub-rede se aplicam primeiro ao tráfego de entrada e os NSGs de VM se aplicam primeiro ao tráfego de saída. Por padrão, todo o tráfego entre hosts é permitido em uma rede virtual, juntamente com todo o tráfego de entrada de um balanceador de carga. Por padrão, somente o tráfego de saída da Internet é permitido e todos os outros tráfegos de saída são negados.
Ao usar NSGs para permitir apenas o tráfego esperado no ambiente Citrix Cloud, você pode limitar possíveis vetores de ataque e aumentar significativamente a segurança da implantação. A tabela a seguir lista as portas e protocolos de rede necessários que uma implantação Citrix deve permitir. Essa lista inclui apenas as portas que a infraestrutura Citrix usa e não inclui as portas que seus aplicativos usam. Certifique-se de definir todas as portas no NSG que protege as VMs.
| Origem | Destino | Protocolo | Porta | Finalidade |
|---|---|---|---|---|
| Conectores de nuvem | *.digicert.com |
HTTP | 80 | Verificação de revogação do certificado |
| Conectores de nuvem | *.digicert.com |
HTTPS | 443 | Verificação de revogação do certificado |
| Conectores de nuvem | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Verificação de revogação do certificado |
| Conectores de nuvem | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Verificação de revogação do certificado |
| Conectores de nuvem | Conectores de nuvem | TCP | 80 | Comunicação entre controladores |
| Conectores de nuvem | Conectores de nuvem | TCP | 89 | Cache de host local |
| Conectores de nuvem | Conectores de nuvem | TCP | 9095 | Serviço de orquestração |
| Conectores de nuvem | VDA | TCP UDP | 1494 | Protocolo ICA/HDX EDT requer UDP |
| Conectores de nuvem | VDA | TCP UDP | 2598 | Confiabilidade da sessão EDT requer UDP |
| Conector de nuvem | VDA | TCP | 80 (bidireto) | Descoberta de aplicativos e desempenho |
| VDA | Serviço de Gateway | TCP | 443 | Protocolo de encontro |
| VDA | Serviço de Gateway | UDP | 443 | EDT UDP sobre 443 para o Serviço de Gateway |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP UDP | 443 | Domínios e subdomínios do serviço de gateway |
| Serviços de provisionamento Citrix | Conectores de nuvem | HTTPS | 443 | Integração com o Citrix Cloud Studio |
| Licença do Citrix Servidor | Nuvem Citrix | HTTPS | 443 | Integração do Citrix Cloud Licensing |
| SDK do PowerShell Remoto CVAD | Nuvem Citrix | HTTPS | 443 | Qualquer sistema que executa scripts remotos do PowerShell por meio do SDK |
| Agente WEM | Serviço WEM | HTTPS | 443 | Comunicação de agente para serviço |
| Agente WEM | Conectores de nuvem | TCP | 443 | Tráfego de registro |
Se você usa o Citrix Application Delivery Management (ADM), consulte Requisitos do sistema para requisitos de rede e porta.
Antivírus
O software antivírus é um elemento crucial para a proteção do ambiente do usuário final. Configurar o antivírus adequadamente em um ambiente Citrix DaaS é fundamental para uma operação tranquila. A configuração incorreta do antivírus pode resultar em problemas de desempenho, experiências de usuário degradadas ou tempos limite e falhas de vários componentes. Para obter mais informações sobre como configurar antivírus em seu ambiente Citrix DaaS, consulte Tech Paper: Endpoint Security, Antivirus e Antimalware Best Practices.
Próxima etapa
Revise as considerações e recomendações críticas de design para BCDR (continuidade dos negócios e recuperação de desastre) específicas para a implantação do Citrix no Azure.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de