Поделиться через

Управление безопасностью и соответствие citrix в Azure

  • Статья

Развертывания Citrix DaaS в Azure требуют правильного управления безопасностью и соответствия требованиям. Чтобы добиться высокого качества работы и успеха, создайте среду Citrix DaaS с соответствующими политиками.

Рекомендации и рекомендации по проектированию

Политика Azure — это важное средство для развертывания Citrix в Azure. Политики помогут вам соответствовать стандартам безопасности, которые наборы групп облачной платформы. Для поддержки непрерывного соответствия нормативным требованиям политики могут автоматически применять нормативные акты и предоставлять отчеты.

Просмотрите базовые показатели политики с помощью вашей группы платформы в соответствии с рекомендациями по управлению Azure. Примените определения политик в корневой группе управления верхнего уровня, чтобы можно было назначать определения в унаследованных областях.

В этой статье рассматриваются рекомендации по идентификации, сети и антивирусной программе.

  • В разделах удостоверений описываются удостоверения службы Citrix DaaS и его требования.

  • В разделе "Сеть" описаны требования к группе безопасности сети (NSG).

  • В разделе антивирусной программы приведена ссылка на рекомендации по настройке антивирусной защиты в среде DaaS.

Роли и удостоверения субъекта-службы

В следующих разделах описываются требования к созданию, ролям и требованиям субъектов-служб Citrix DaaS.

Регистрация приложения

Регистрация приложений — это процесс создания односторонняя связь доверия между учетной записью Citrix Cloud и Azure, чтобы Citrix Cloud доверяла Azure. Процесс регистрации приложения создает учетную запись субъекта-службы Azure, которую Citrix Cloud может использовать для всех действий Azure через подключение к размещению. Подключение к размещению, настроенное в консоли Citrix Cloud, связывает Citrix Cloud через облачные соединители с расположениями ресурсов в Azure.

Необходимо предоставить субъекту-службе доступ к группам ресурсов, содержащим ресурсы Citrix. В зависимости от состояния безопасности организации вы можете предоставить доступ к подписке на уровне участника или создать пользовательскую роль для субъекта-службы.

При создании субъекта-службы в идентификаторе Microsoft Entra задайте следующие значения:

  • Добавьте универсальный код ресурса (URI перенаправления) и задайте его в Интернете со значением https://citrix.cloud.com.

  • Для разрешений API добавьте API управления службами Azure из API, которые моя организация использует вкладку, и выберите делегированное разрешение user_impersonation .

  • Для сертификатов и секретов создайте новый секрет клиента, который имеет рекомендуемый срок действия в течение одного года. Этот секрет необходимо регулярно обновлять в рамках расписания смены ключей безопасности.

Необходимо как идентификатор приложения (клиента), так и значение секрета клиента из регистрации приложения, чтобы настроить настройку подключения размещения в Citrix Cloud.

Корпоративные приложения

В зависимости от конфигурации Citrix Cloud и Microsoft Entra можно добавить одно или несколько корпоративных приложений Citrix Cloud в клиент Microsoft Entra. Эти приложения предоставляют Citrix Cloud доступ к данным, хранящимся в клиенте Microsoft Entra. В следующей таблице перечислены идентификаторы приложений и функции корпоративных приложений Citrix Cloud в идентификаторе Microsoft Entra ID.

Корпоративный идентификатор приложения Характер использования
f9c0e999-22e7-409f-bb5e-956986abdf02 Подключение по умолчанию между идентификатором Microsoft Entra ID и Citrix Cloud
1b32f261-b20c-4399-8368-c8f0092b4470 Приглашения администратора и входы
e95c4605-aeab-48d9-9c36-1a262ef8048e Вход подписчика рабочей области
5c913119-2257-4316-9994-5e8f3832265b Подключение по умолчанию между идентификатором Microsoft Entra ID и Citrix Cloud с citrix Endpoint Management
e067934c-b52d-4e92-b1ca-70700bd1124e Устаревшее подключение между идентификатором Microsoft Entra и Citrix Cloud с Citrix Endpoint Management

Каждое корпоративное приложение предоставляет Citrix Cloud определенные разрешения для API Microsoft Graph или API Microsoft Entra. Например, приложение входа подписчика рабочей области предоставляет пользователям разрешения User.Read для обоих API, чтобы пользователи могли войти и прочитать свои профили. Дополнительные сведения см. в разделе "Разрешения Microsoft Entra" для Citrix Cloud.

Встроенные роли

После создания субъекта-службы предоставьте ей роль участника на уровне подписки. Чтобы предоставить разрешения участника на уровне подписки, вам потребуется по крайней мере роль администратора на основе ролей Azure контроль доступа. Azure запрашивает необходимые разрешения во время первоначального подключения из Citrix Cloud к идентификатору Microsoft Entra.

Все учетные записи, используемые для проверки подлинности при создании подключения узла, также должны быть по крайней мере участником подписки. Этот уровень разрешений позволяет Citrix Cloud создавать необходимые объекты без ограничений. Как правило, этот подход используется, если вся подписка имеет только ресурсы Citrix.

Некоторые среды не позволяют субъектам-службам иметь разрешения участника на уровне подписки. Citrix предоставляет альтернативное решение, называемое субъектом-службой с узкой областью. Для субъекта-службы с узкой областью администратор облачных приложений вручную завершает регистрацию приложения, а затем администратор подписки вручную предоставляет учетной записи субъекта-службы соответствующие разрешения.

Субъекты-службы с узкой областью не имеют разрешений участника для всей подписки. У них есть только разрешения на группы ресурсов, сети и образы, которые им нужно создать и управлять каталогами компьютеров. Для субъектов-служб с узкой областью требуются следующие роли:

  • Для предварительно созданных групп ресурсов требуется участник виртуальной машины, участник учетной записи хранения и участник моментальных снимков диска.

  • Для виртуальных сетей требуется участник виртуальной машины.

  • Для учетных записей хранения требуется участник виртуальной машины.

Пользовательские роли

Субъекты-службы с узкой областью имеют широкие разрешения участника , которые могут не соответствовать средам с учетом безопасности. Чтобы обеспечить более детализированный подход, можно использовать две пользовательские роли для предоставления субъектам-службам необходимых разрешений. Роль Citrix_Hosting_Connection предоставляет доступ к созданию подключения к размещению, а роль Citrix_Machine_Catalog предоставляет доступ к созданию рабочих нагрузок Citrix.

роль Citrix_Hosting_Connection

В следующем описании JSON роли Citrix_Hosting_Connection есть минимальные разрешения, необходимые для создания подключения к размещению. Если вы используете только моментальные снимки или только диски для золотых образов каталога компьютеров, вы можете удалить неиспользуемое разрешение из actions списка.

{
    "id": "",
    "properties": {
        "roleName": "Citrix_Hosting_Connection",
        "description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as cloud connectors, golden images, or virtual network resources.",
        "assignableScopes": [
            "/"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Resources/subscriptions/resourceGroups/read",
                    "Microsoft.Compute/snapshots/read",
                    "Microsoft.Compute/disks/read",
                    "Microsoft.Network/virtualNetworks/read",
                    "Microsoft.Network/virtualNetworks/subnets/join/action"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Назначьте Citrix_Hosting_Connection настраиваемую роль группам ресурсов Citrix_Infrastructure с облачным соединителем, золотым изображением или ресурсами виртуальной сети. Вы можете скопировать и вставить это описание роли JSON непосредственно в пользовательское определение роли Microsoft Entra.

роль Citrix_Machine_Catalog

В следующем описании JSON роли Citrix_Machine_Catalog есть минимальные разрешения, необходимые мастеру каталога компьютеров Citrix для создания необходимых ресурсов в Azure.

{
    "id": "",
    "properties": {
    "roleName": "Citrix_Machine_Catalog",
    "description": "The minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that run the Virtual Delivery Agent.",
    "assignableScopes": [
    "/"
    ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Resources/subscriptions/resourceGroups/read",
                    "Microsoft.Storage/storageAccounts/listkeys/action",
                    "Microsoft.Storage/storageAccounts/read",
                    "Microsoft.Storage/storageAccounts/write",
                    "Microsoft.Network/networkSecurityGroups/write",
                    "Microsoft.Compute/virtualMachines/write",
                    "Microsoft.Compute/virtualMachines/start/action",
                    "Microsoft.Compute/virtualMachines/restart/action",
                    "Microsoft.Compute/virtualMachines/read",
                    "Microsoft.Compute/virtualMachines/powerOff/action",
                    "Microsoft.Compute/virtualMachines/performMaintenance/action",
                    "Microsoft.Compute/virtualMachines/deallocate/action",
                    "Microsoft.Compute/virtualMachines/delete",
                    "Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
                    "Microsoft.Compute/virtualMachines/capture/action",
                    "Microsoft.Compute/snapshots/endGetAccess/action",
                    "Microsoft.Compute/snapshots/beginGetAccess/action",
                    "Microsoft.Compute/snapshots/delete",
                    "Microsoft.Compute/snapshots/write",
                    "Microsoft.Compute/snapshots/read",
                    "Microsoft.Compute/disks/endGetAccess/action",
                    "Microsoft.Compute/disks/delete",
                    "Microsoft.Compute/disks/beginGetAccess/action",
                    "Microsoft.Compute/disks/write",
                    "Microsoft.Network/networkSecurityGroups/read",
                    "Microsoft.Network/networkInterfaces/delete",
                    "Microsoft.Network/networkInterfaces/join/action",
                    "Microsoft.Network/networkInterfaces/write",
                    "Microsoft.Network/networkInterfaces/read",
                    "Microsoft.Storage/storageAccounts/listServiceSas/action",
                    "Microsoft.Storage/storageAccounts/listAccountSas/action",
                    "Microsoft.Storage/storageAccounts/delete",
                    "Microsoft.Compute/disks/read",
                    "Microsoft.Resources/subscriptions/resourceGroups/delete",
                    "Microsoft.Resources/subscriptions/resourceGroups/write",
                    "Microsoft.Network/virtualNetworks/subnets/join/action",
                    "Microsoft.Network/virtualNetworks/subnets/read",
                    "Microsoft.Network/virtualNetworks/read",
                    "Microsoft.Network/networkSecurityGroups/join/action"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Назначьте настраиваемую роль Citrix_Machine_Catalog группам ресурсов Citrix_MachineCatalog, включающих виртуальные машины Citrix Virtual Delivery Agent (VDA). Вы можете скопировать и вставить это описание роли JSON непосредственно в пользовательское определение роли Microsoft Entra.

Сеть

Группы безопасности сети являются отслеживанием состояния, поэтому они позволяют возвращать трафик, который может применяться к виртуальной машине, подсети или обоим. Если существуют группы безопасности сети подсети и виртуальной машины, группы безопасности подсети применяются сначала для входящего трафика, а группы безопасности виртуальных машин применяются сначала для исходящего трафика. По умолчанию виртуальная сеть разрешает весь трафик между узлами и весь входящий трафик из подсистемы балансировки нагрузки. По умолчанию виртуальная сеть разрешает только исходящий интернет-трафик и запрещает весь другой исходящий трафик.

Чтобы ограничить потенциальные векторы атак и повысить безопасность развертывания, используйте группы безопасности сети, чтобы разрешить только ожидаемый трафик в среде Citrix Cloud. В следующей таблице перечислены необходимые сетевые порты и протоколы, которые должен разрешать развертывание Citrix. Этот список включает только порты, используемые инфраструктурой Citrix, и не включают порты, используемые вашими приложениями. В группе безопасности сети, которая защищает виртуальные машины, обязательно определите все порты.

Источник Назначение Протокол Порт Назначение
Облачные соединители *.digicert.com HTTP 80 Проверка отзыва сертификата
Облачные соединители *.digicert.com HTTPS 443 Проверка отзыва сертификата
Облачные соединители dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt HTTPS 443 Проверка отзыва сертификата
Облачные соединители dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt HTTPS 443 Проверка отзыва сертификата
Облачные соединители Облачные соединители Протокол TCP 80 Обмен данными между контроллерами
Облачные соединители Облачные соединители TCP 89 Локальный кэш узлов
Облачные соединители Облачные соединители TCP 9095 Служба оркестрации
Облачные соединители VDA ПРОТОКОЛ TCP, протокол пользовательской диаграммы данных (UDP) 1494 Протокол ICA/HDX

Для транспорта данных (EDT) требуется UDP
Облачные соединители VDA TCP, UDP; 2598 Надежность сеанса

Для EDT требуется UDP
Соединитель облака VDA TCP 80 (двунаправленная) Обнаружение приложений и производительности
VDA Служба шлюза TCP 443 Протокол Rendezvous
VDA Служба шлюза UDP 443 EDT и UDP более 443 в службу шлюза
VDA *.nssvc.net

*.c.nssv.net

*.g.nssv.net		 TCP, UDP; 443 Домены служб шлюза и поддомены
Службы подготовки Citrix Облачные соединители HTTPS 443 Интеграция Citrix Cloud Studio
Сервер лицензирования Citrix Citrix Cloud HTTPS 443 Интеграция Citrix Cloud Licensing
Пакет SDK для удаленного powerShell для CVAD Citrix Cloud HTTPS 443 Любая система, выполняющая удаленные скрипты PowerShell с помощью пакета SDK
Агент управления рабочей средой (WEM) Служба WEM HTTPS 443 Обмен данными между агентом и службой
Агент WEM Облачные соединители TCP 443 Трафик регистрации

Сведения о требованиях к сети и портам для управления доставкой приложений Citrix см. в разделе "Требования к системе".

Антивирусная программа

Антивирусное программное обеспечение является важным элементом защиты пользовательской среды. Чтобы обеспечить плавную работу, настройте антивирусную программу соответствующим образом в среде Citrix DaaS. Неправильной конфигурации антивирусной программы могут возникнуть проблемы с производительностью, снижение производительности или время ожидания и сбои различных компонентов. Дополнительные сведения о настройке антивирусной программы в среде Citrix DaaS см . в рекомендациях по обеспечению безопасности конечных точек, антивирусной и антивредоносной программе.

Следующий шаг

Ознакомьтесь с важными рекомендациями по проектированию и непрерывности бизнес-процессов и аварийному восстановлению, которые относятся к развертыванию Citrix в Azure.