Zásady správného řízení zabezpečení a dodržování předpisů pro Citrix v Azure
Nasazení Citrix DaaS v Azure vyžadují správné zásady správného řízení zabezpečení a dodržování předpisů. Pokud chcete dosáhnout efektivity provozu a úspěchu, navrhněte prostředí Citrix DaaS s příslušnými zásadami.
Aspekty návrhu a doporučení
Azure Policy je důležitým nástrojem pro nasazení Citrixu v Azure. Zásady vám můžou pomoct dodržovat standardy zabezpečení, které váš tým cloudové platformy nastaví. Kvůli podpoře průběžného dodržování právních předpisů můžou zásady automaticky vynucovat předpisy a poskytovat sestavy.
Projděte si směrný plán zásad se svým týmem platformy v souladu s pokyny pro zásady správného řízení Azure. Definice zásad použijte v kořenové skupině pro správu nejvyšší úrovně, abyste mohli přiřadit definice v zděděných oborech.
Tento článek se zaměřuje na doporučení týkající se identit, sítí a antivirové ochrany.
Oddíly identit popisují identitu služby Citrix DaaS a její požadavky.
Část Sítě popisuje požadavky na skupinu zabezpečení sítě (NSG).
Část Antivirová ochrana obsahuje odkaz na osvědčené postupy konfigurace antivirové ochrany v prostředí DaaS.
Role a identita instančního objektu
Následující části popisují vytváření, role a požadavky instančních objektů Citrix DaaS.
Registrace aplikace
Registrace aplikace je proces vytvoření jednosměrného vztahu důvěryhodnosti mezi účtem Citrix Cloud a Azure, aby Citrix Cloud důvěřoval Azure. Proces registrace aplikace vytvoří účet instančního objektu Azure, který může Citrix Cloud používat pro všechny akce Azure prostřednictvím hostitelského připojení. Hostitelské připojení, které je nastavené v konzole Citrix Cloud, propojuje Citrix Cloud prostřednictvím cloudových konektorů s umístěními prostředků v Azure.
Instančnímu objektu musíte udělit přístup ke skupinám prostředků, které obsahují prostředky Citrixu. V závislosti na stavu zabezpečení vaší organizace můžete buď poskytnout přístup k předplatnému na úrovni Přispěvatel , nebo vytvořit vlastní roli pro instanční objekt.
Při vytváření instančního objektu v Microsoft Entra ID nastavte následující hodnoty:
Přidejte identifikátor URI přesměrování a nastavte ho
https://citrix.cloud.comna web s hodnotou .Pro oprávnění rozhraní API přidejte rozhraní API služby Azure Services Management z rozhraní API, která moje organizace používá , kartu a vyberte user_impersonation delegovaná oprávnění.
Pro certifikáty a tajné kódy vytvořte nový tajný klíč klienta, který má doporučenou dobu vypršení platnosti jednoho roku. Tento tajný klíč musíte pravidelně aktualizovat v rámci plánu obměně klíčů zabezpečení.
Ke konfiguraci nastavení hostitelského připojení v rámci Citrix Cloudu potřebujete ID aplikace i hodnotu tajného klíče klienta z registrace aplikace.
Podnikové aplikace
V závislosti na konfiguraci Citrix Cloud a Microsoft Entra můžete do tenanta Microsoft Entra přidat jednu nebo více podnikových aplikací Citrix Cloud. Tyto aplikace udělují Citrix Cloudu přístup k datům uloženým v tenantovi Microsoft Entra. Následující tabulka uvádí ID aplikací a funkce podnikových aplikací Citrix Cloud v Microsoft Entra ID.
| ID podnikové aplikace | Účel |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | Výchozí připojení mezi Microsoft Entra ID a Citrix Cloudem |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Pozvánky a přihlášení správce |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | Přihlášení předplatitele pracovního prostoru |
| 5c913119-2257-4316-9994-5e8f3832265b | Výchozí připojení mezi Microsoft Entra ID a Citrix Cloudem pomocí řešení Citrix Endpoint Management |
| e067934c-b52d-4e92-b1ca-70700bd1124e | Starší připojení mezi Microsoft Entra ID a Citrix Cloudem pomocí řešení Citrix Endpoint Management |
Každá podniková aplikace uděluje citrix cloudu specifická oprávnění k rozhraní Microsoft Graph API nebo rozhraní Microsoft Entra API. Přihlašovací aplikace předplatitele pracovního prostoru například uděluje oprávnění User.Read oběma rozhraním API, aby se uživatelé mohli přihlásit a číst jejich profily. Další informace naleznete v tématu Microsoft Entra permissions for Citrix Cloud.
Předdefinované role
Po vytvoření instančního objektu mu udělte roli Přispěvatel na úrovni předplatného. Pokud chcete udělit oprávnění přispěvatele na úrovni předplatného, potřebujete alespoň roli správce řízení přístupu na základě role Azure. Azure během počátečního připojení z Citrix Cloudu k Microsoft Entra ID vyzve k zadání požadovaných oprávnění.
Všechny účty, které používáte k ověřování při vytváření připojení hostitele, musí být také alespoň přispěvatelem předplatného. Tato úroveň oprávnění umožňuje citrix cloudu vytvářet potřebné objekty bez omezení. Tento přístup se obvykle používá, pokud má celé předplatné jenom prostředky Citrixu.
Některá prostředí neumožňují instančním objektům mít oprávnění přispěvatele na úrovni předplatného. Citrix poskytuje alternativní řešení označované jako instanční objekt s úzkým rozsahem. U instančního objektu s úzkým oborem správce cloudových aplikací provede registraci aplikace ručně a správce předplatného ručně udělí účtu instančního objektu příslušná oprávnění.
Instanční objekty s úzkým rozsahem nemají oprávnění Přispěvatel k celému předplatnému. Mají oprávnění jenom ke skupinám prostředků, sítím a imagím, které potřebují k vytváření a správě katalogů počítačů. Instanční objekty s úzkým oborem vyžadují následující role:
Předem připravené skupiny prostředků vyžadují Přispěvatel virtuálních počítačů, Přispěvatel účtu úložiště a Přispěvatel snímků disků.
Virtuální sítě vyžadují přispěvatele virtuálních počítačů.
Účty úložiště vyžadují přispěvatele virtuálních počítačů.
Vlastní role
Instanční objekty s úzkým rozsahem mají široká oprávnění přispěvatele , která nemusí vyhovovat prostředím citlivým na zabezpečení. Pokud chcete poskytnout podrobnější přístup, můžete k poskytování instančních objektů s potřebnými oprávněními použít dvě vlastní role. Role Citrix_Hosting_Connection uděluje přístup k vytvoření hostitelského připojení a role Citrix_Machine_Catalog uděluje přístup k vytváření úloh Citrix.
role Citrix_Hosting_Connection
Následující popis JSON role Citrix_Hosting_Connection má minimální oprávnění, která potřebujete k vytvoření hostitelského připojení. Pokud pro zlaté image katalogu počítačů používáte jenom snímky nebo jenom disky, můžete ze actions seznamu odebrat nepoužívané oprávnění.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as cloud connectors, golden images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Přiřaďte Citrix_Hosting_Connection vlastní roli ke skupinám prostředků Citrix_Infrastructure, které mají cloudový konektor, zlatou image nebo prostředky virtuální sítě. Tento popis role JSON můžete zkopírovat a vložit přímo do vlastní definice role Microsoft Entra.
role Citrix_Machine_Catalog
Následující popis JSON role Citrix_Machine_Catalog má minimální oprávnění, která potřebujete pro Průvodce katalogem počítačů Citrix k vytvoření požadovaných prostředků v Rámci Azure.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "The minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that run the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Přiřaďte Citrix_Machine_Catalog vlastní roli ke skupinám prostředků Citrix_MachineCatalog, které obsahují virtuální počítače Citrix Virtual Delivery Agent (VDA). Tento popis role JSON můžete zkopírovat a vložit přímo do vlastní definice role Microsoft Entra.
Sítě
Skupiny zabezpečení sítě jsou stavové, takže umožňují návratový provoz, který se může vztahovat na virtuální počítač, podsíť nebo obojí. Pokud existují skupiny zabezpečení sítě podsítě i skupiny zabezpečení sítě virtuálních počítačů, skupiny zabezpečení sítě podsítě platí jako první pro příchozí provoz a skupiny zabezpečení sítě virtuálních počítačů platí jako první pro odchozí provoz. Ve výchozím nastavení umožňuje virtuální síť veškerý provoz mezi hostiteli a veškerým příchozím provozem z nástroje pro vyrovnávání zatížení. Ve výchozím nastavení umožňuje virtuální síť pouze odchozí internetový provoz a odepře veškerý ostatní odchozí provoz.
Pokud chcete omezit potenciální vektory útoku a zvýšit zabezpečení nasazení, použijte skupiny zabezpečení sítě a povolte pouze očekávaný provoz v prostředí Citrix Cloud. Následující tabulka uvádí požadované síťové porty a protokoly, které musí nasazení Citrix povolit. Tento seznam obsahuje pouze porty, které infrastruktura Citrixu používá a nezahrnuje porty, které vaše aplikace používají. Ve skupině zabezpečení sítě, která chrání virtuální počítače, nezapomeňte definovat všechny porty.
| Zdroj | Cíl | Protokol | Port | Účel |
|---|---|---|---|---|
| Cloudové konektory | *.digicert.com |
HTTP | 80 | Kontrola odvolání certifikátu |
| Cloudové konektory | *.digicert.com |
HTTPS | 443 | Kontrola odvolání certifikátu |
| Cloudové konektory | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Kontrola odvolání certifikátu |
| Cloudové konektory | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Kontrola odvolání certifikátu |
| Cloudové konektory | Cloudové konektory | Protokol TCP (Transmission Control Protocol) | 80 | Komunikace mezi řadiči |
| Cloudové konektory | Cloudové konektory | TCP | 89 | Místní mezipaměť hostitele |
| Cloudové konektory | Cloudové konektory | TCP | 9095 | Služba orchestrace |
| Cloudové konektory | VDA | TCP, User Datagram Protocol (UDP) | 1494 | Protokol ICA/HDX Enlightened Data Transport (EDT) vyžaduje UDP. |
| Cloudové konektory | VDA | TCP, UDP | 2598 | Spolehlivost relací EDT vyžaduje UDP |
| Cloudový konektor | VDA | TCP | 80 (obousměrný) | Zjišťování aplikací a výkonu |
| VDA | Služba brány | TCP | 443 | Protokol Rendezvous |
| VDA | Služba brány | UDP | 443 | EDT a UDP přes 443 do služby Brány |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP, UDP | 443 | Domény služby brány a subdomény |
| Citrix Provisioning Services | Cloudové konektory | HTTPS | 443 | Integrace citrix cloudového studia |
| Licenční server Citrix | Citrix Cloud | HTTPS | 443 | Integrace licencování citrix cloudu |
| Vzdálená sada PowerShell SDK pro CVAD | Citrix Cloud | HTTPS | 443 | Jakýkoli systém, který spouští vzdálené skripty PowerShellu přes sadu SDK |
| Agent správy prostředí pracovního prostoru (WEM) | Služba WEM | HTTPS | 443 | Komunikace mezi agenty a službami |
| Agent WEM | Cloudové konektory | TCP | 443 | Provoz registrace |
Informace o požadavcích na síť a port pro Citrix Application Delivery Management najdete v tématu Požadavky na systém.
Antivirus
Antivirový software je zásadním prvkem ochrany uživatelského prostředí. Pokud chcete zajistit hladký provoz, nakonfigurujte v prostředí Citrix DaaS správně antivirovou ochranu. Nesprávná konfigurace antivirového softwaru může vést k problémům s výkonem, sníženým výkonům nebo vypršením časových limitů a selháním různých komponent. Další informace o konfiguraci antivirového softwaru v prostředí Citrix DaaS najdete v tématu o zabezpečení koncových bodů, antivirovém softwaru a osvědčených postupech pro antimalwary.
Další krok
Projděte si důležité aspekty návrhu a doporučení pro provozní kontinuitu a zotavení po havárii, které jsou specifické pro nasazení Citrixu v Azure.