Sicherheitsgovernance und Compliance für Citrix in Azure
Citrix DaaS-Bereitstellungen in Azure verlangen eine ordnungsgemäße Sicherheitsgovernance und Compliance. Entwerfen Sie Ihre Citrix DaaS-Umgebung anhand geeigneter Richtlinien, um erstklassige Betriebsprozesse zu erzielen.
Entwurfsüberlegungen und -empfehlungen
Azure Policy ist ein wichtiges Tool für Bereitstellungen von Citrix in Azure. Richtlinien können Ihnen dabei helfen, die von Ihrem Cloudplattformteam festgelegten Sicherheitsstandards einzuhalten. Damit eine kontinuierliche Einhaltung gesetzlicher Bestimmungen gewährleistet ist, können Richtlinien ihre Einhaltung automatisch erzwingen und die Berichterstellung ermöglichen.
Besprechen Sie anhand der Azure Governance-Richtlinien Ihre bestehenden Richtlinien mit Ihrem Plattformteam. Wenden Sie Richtliniendefinitionen auf der obersten Ebene der Stammverwaltungsgruppe an, damit Sie in geerbten Bereichen Definitionen zuweisen können.
Dieser Artikel konzentriert sich auf Identitäts-, Netzwerk- und Antivirenempfehlungen.
In den identitätsbezogenen Abschnitten werden die Citrix DaaS-Dienstidentität und ihre Anforderungen beschrieben.
Im netzwerkbezogenen Abschnitt werden die Anforderungen von Netzwerksicherheitsgruppen (NSG) erläutert.
Der Abschnitt zum Virenschutz enthält einen Link zu bewährten Methoden zum Konfigurieren des Virenschutzes in einer DaaS-Umgebung.
Dienstprinzipalrollen und Identität
In den folgenden Abschnitten werden die Erstellung, Rollen und Anforderungen von Citrix DaaS-Dienstprinzipalen erläutert.
App-Registrierung
Bei der App-Registrierung wird zwischen einem Citrix Cloud-Konto und Azure eine unidirektionale Vertrauensstellung eingerichtet, sodass Citrix Cloud Azure vertraut. Im Rahmen des App-Registrierungsprozesses wird ein Azure-Dienstprinzipalkonto erstellt, das Citrix Cloud über die Hostingverbindung für alle Azure-Aktionen nutzen kann. Die in der Citrix Cloud-Konsole eingerichtete Hostingverbindung verknüpft Citrix-Cloud über die Cloudconnectors mit Ressourcenstandorten in Azure.
Sie müssen dem Dienstprinzipal Zugriff auf die Ressourcengruppen mit Citrix-Ressourcen gewähren. Je nach Sicherheitsstatus Ihrer Organisation können Sie entweder Abonnementzugriff auf der Ebene Mitwirkender bereitstellen oder eine benutzerdefinierte Rolle für den Dienstprinzipal erstellen.
Wenn Sie den Dienstprinzipal in Microsoft Entra ID erstellen, legen Sie die folgenden Werte fest:
Fügen Sie einen Umleitungs-URI hinzu, und legen Sie ihn auf Web mit dem Wert
https://citrix.cloud.comfest.Fügen Sie für API-Berechtigungen die Azure Services Management-API auf der Registerkarte Von meiner Organisation verwendete APIs hinzu, und wählen Sie die delegierte Berechtigung user_impersonation aus.
Erstellen Sie für Zertifikate und Geheimnisse einen neuen geheimen Clientschlüssel mit einer empfohlenen Gültigkeitsdauer von einem Jahr. Sie müssen dieses Geheimnis im Rahmen Ihres Zeitplans für die Rotation von Sicherheitsschlüsseln regelmäßig aktualisieren.
Sie benötigen sowohl die Anwendungs-ID (Client-ID) als auch den Wert des geheimen Clientschlüssels aus der App-Registrierung, um die Einrichtung der Hostingverbindung in Citrix Cloud zu konfigurieren.
Unternehmensanwendungen
Je nach Ihrer Citrix Cloud- und Microsoft Entra-Konfiguration können Sie Ihrem Microsoft Entra-Mandanten eine oder mehrere Citrix Cloud-Unternehmensanwendungen hinzufügen. Diese Anwendungen ermöglichen Citrix Cloud den Zugriff auf im Microsoft Entra-Mandanten gespeicherte Daten. In der folgenden Tabelle werden die Anwendungs-IDs und Funktionen der Citrix Cloud-Unternehmensanwendungen in Microsoft Entra ID aufgeführt.
| Unternehmensanwendungs-ID | Zweck |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | Standardverbindung zwischen Microsoft Entra ID und Citrix Cloud |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Einladungen und Anmeldedaten von Administratoren |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | Anmeldedaten für Arbeitsbereichsabonnenten |
| 5c913119-2257-4316-9994-5e8f3832265b | Standardverbindung zwischen Microsoft Entra ID und Citrix Cloud mit Citrix Endpoint Management |
| e067934c-b52d-4e92-b1ca-70700bd1124e | Legacyverbindung zwischen Microsoft Entra ID und Citrix Cloud mit Citrix Endpoint Management |
Jede Unternehmensanwendung gewährt Citrix Cloud spezifische Berechtigungen entweder für die Microsoft Graph-API oder die Microsoft Entra-API. Beispielsweise gewährt die Anwendung „Anmeldedaten für Arbeitsbereichsabonnenten“ beiden APIs User.Read-Berechtigungen, damit sich Benutzer anmelden und ihre Profile lesen können. Weitere Informationen finden Sie unter Microsoft Entra-Berechtigungen für Citrix Cloud.
Integrierte Rollen
Nachdem Sie den Dienstprinzipal erstellt haben, weisen Sie ihm auf Abonnementebene die Rolle „Mitwirkender“ zu. Sie müssen mindestens die Azure-Rolle „Administrator für rollenbasierte Zugriffssteuerung“ besitzen, um Berechtigungen für Mitwirkende auf Abonnementebene gewähren zu können. Azure fordert beim Herstellen der ersten Verbindung zwischen Citrix Cloud und Microsoft Entra ID die erforderlichen Berechtigungen an.
Alle Konten, die Sie beim Erstellen der Hostverbindung für die Authentifizierung verwenden, müssen ebenfalls mindestens Mitwirkende für das Abonnement sein. Dank dieser Berechtigungsebene kann Citrix Cloud die erforderlichen Objekte ohne Einschränkungen erstellen. Normalerweise folgen Sie diesen Ansatz, wenn das gesamte Abonnement ausschließlich über Citrix-Ressourcen verfügt.
In bestimmten Umgebungen dürfen Dienstprinzipale nicht über die Berechtigung Mitwirkender auf Abonnementebene verfügen. Citrix bietet eine alternative Lösung, die als Dienstprinzipal mit eingeschränktem Umfang bezeichnet wird. Für Dienstprinzipale mit eingeschränktem Umfang schließt ein*e Cloudanwendungsadministrator*in eine Anwendungsregistrierung manuell ab, und Abonnementadministrator*innen weisen dem Dienstprinzipalkonto dann manuell die entsprechenden Berechtigungen zu.
Dienstprinzipale mit eingeschränktem Umfang verfügen nicht über Berechtigungen als Mitwirkende für das gesamte Abonnement. Sie besitzen nur Berechtigungen für die Ressourcengruppen, Netzwerke und Bilder, die sie zum Erstellen und Verwalten von Computerkatalogen benötigen. Dienstprinzipale mit eingeschränktem Umfang benötigen die folgenden Rollen:
Vorab erstellte Ressourcengruppen erfordern einen Mitwirkenden für virtuelle Computer, Speicherkontomitwirkenden und Mitwirkenden für Datenträger-Momentaufnahmen.
Virtuelle Netzwerke erfordern einen Mitwirkenden für virtuelle Computer.
Speicherkonten erfordern einen Mitwirkenden für virtuelle Computer.
Benutzerdefinierte Rollen
Dienstprinzipale mit eingeschränktem Umfang verfügen über umfassende Berechtigungen als Mitwirkende, was in sicherheitsrelevanten Umgebungen möglicherweise nicht ratsam ist. Um einen präziseren Ansatz zu ermöglichen, können Sie zwei benutzerdefinierte Rollen verwenden, um den Dienstprinzipalen die erforderlichen Berechtigungen zu erteilen. Die Rolle Citrix_Hosting_Connection gewährt Zugriff zum Erstellen einer Hostingverbindung, während die Rolle Citrix_Machine_Catalog Zugriff zum Erstellen von Citrix-Workloads gewährt.
Rolle Citrix_Hosting_Connection
Die folgende JSON-Beschreibung der Rolle Citrix_Hosting_Connection enthält die Mindestberechtigungen, die Sie zum Erstellen einer Hostingverbindung benötigen. Wenn Sie ausschließlich Momentaufnahmen oder ausschließlich Datenträger für Golden Images des Computerkatalogs verwenden, können Sie die nicht verwendeten Berechtigungen aus der actions-Liste entfernen.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as cloud connectors, golden images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Weisen Sie die benutzerdefinierte Rolle Citrix_Hosting_Connection den Citrix_Infrastructure-Ressourcengruppen zu, die Cloudconnector-, Masterimage- oder virtuelle Netzwerkressourcen enthalten. Sie können diese JSON-Rollenbeschreibung kopieren und direkt in Ihre benutzerdefinierte Microsoft Entra-Rollendefinition einfügen.
Rolle Citrix_Machine_Catalog
Die folgende JSON-Beschreibung der Rolle Citrix_Machine_Catalog enthält die Mindestberechtigungen, die Sie für den Citrix Machine Catalog-Assistenten zum Erstellen der erforderlichen Ressourcen in Azure benötigen.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "The minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that run the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Weisen Sie die benutzerdefinierte Rolle Citrix_Machine_Catalog den Ressourcengruppen für Citrix_MachineCatalog zu, die die virtuellen Computer (VMs) des Citrix Virtual Delivery Agent (VDA) enthalten. Sie können diese JSON-Rollenbeschreibung kopieren und direkt in Ihre benutzerdefinierte Microsoft Entra-Rollendefinition einfügen.
Netzwerk
Die NSGs sind zustandsbehaftet, d. h. sie lassen Rückdatenverkehr zu, der zu einer VM, einem Subnetz oder beidem gehören kann. Wenn sowohl Subnetz- als auch VM-NSGs vorhanden sind, gelten zuerst die Subnetz-NSGs für eingehenden Datenverkehr, und die VM-NSGs gelten zuerst für ausgehenden Datenverkehr. Standardmäßig ist in einem virtuellen Netzwerk der gesamte Datenverkehr zwischen Hosts sowie der gesamte vom Load Balancer eingehende Datenverkehr zulässig. Standardmäßig ist in einem virtuellen Netzwerk nur ausgehender Internetdatenverkehr zulässig, und jeder andere ausgehende Datenverkehr wird unterbunden.
Sie können potenzielle Angriffsvektoren einschränken und die Sicherheit der Bereitstellung erhöhen, indem Sie NSGs verwenden, um ausschließlich erwarteten Datenverkehr in der Citrix Cloud-Umgebung zuzulassen. In der folgenden Tabelle sind die erforderlichen Netzwerkports und -protokolle aufgeführt, die eine Citrix-Bereitstellung zulassen muss. Diese Liste enthält nur die von der Citrix-Infrastruktur verwendeten Ports, und nicht Ports, die von Ihren Anwendungen verwendet werden. Achten Sie darauf, in der NSG, die die VMs schützt, alle Ports zu definieren.
| Quelle | Ziel | Protokoll | Port | Zweck |
|---|---|---|---|---|
| Cloudconnectors | *.digicert.com |
HTTP | 80 | Überprüfung der Zertifikatsperre |
| Cloudconnectors | *.digicert.com |
HTTPS | 443 | Überprüfung der Zertifikatsperre |
| Cloudconnectors | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Überprüfung der Zertifikatsperre |
| Cloudconnectors | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Überprüfung der Zertifikatsperre |
| Cloudconnectors | Cloudconnectors | Transmission Control-Protokoll (TCP) | 80 | Kommunikation zwischen Controllern |
| Cloudconnectors | Cloudconnectors | TCP | 89 | Lokaler Hostcache |
| Cloudconnectors | Cloudconnectors | TCP | 9095 | Orchestrierungsdienst |
| Cloudconnectors | VDA | TCP, User Datagram Protocol (UDP) | 1494 | ICA/HDX-Protokoll Enlightened Data Transport (EDT) erfordert UDP |
| Cloudconnectors | VDA | TCP, UDP | 2598 | Sitzungszuverlässigkeit EDT erfordert UDP |
| Cloudconnector | VDA | TCP | 80 (bidirektional) | Anwendungs- und Leistungsermittlung |
| VDA | Gatewaydienst | TCP | 443 | Rendezvous-Protokoll |
| VDA | Gatewaydienst | UDP | 443 | EDT und UDP über 443 zum Gatewaydienst |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP, UDP | 443 | Gatewaydienstdomänen und -unterdomänen |
| Citrix-Bereitstellungsdienste | Cloudconnectors | HTTPS | 443 | Citrix Cloud Studio-Integration |
| Citrix-Lizenzserver | Citrix Cloud | HTTPS | 443 | Integration der Lizenzierung für Citrix Cloud |
| CVAD Remote PowerShell SDK | Citrix Cloud | HTTPS | 443 | Jedes System, auf dem PowerShell-Remoteskripts über das SDK ausgeführt werden |
| Workspace Environment Management(WEM)-Agent | WEM-Dienst | HTTPS | 443 | Kommunikation zwischen Agent und Dienst |
| WEM-Agent | Cloudconnectors | TCP | 443 | Registrierungsdatenverkehr |
Weitere Informationen zu Netzwerk- und Portanforderungen für Citrix Application Delivery Management finden Sie unter Systemanforderungen.
Virenschutz
Virenschutzsoftware ist ein wichtiges Element für den Schutz der Benutzerumgebung. Konfigurieren Sie den Virenschutz in einer Citrix DaaS-Umgebung sorgfältig, um einen reibungslosen Betrieb sicherzustellen. Eine falsche Virenschutzkonfiguration kann zu Leistungsproblemen, verschlechterter Kundenerfahrung oder Timeouts und Fehlern verschiedener Komponenten führen. Weitere Informationen zum Konfigurieren des Virenschutzes in Ihrer Citrix DaaS-Umgebung finden Sie unter Best Practices für Endpunktsicherheit, Virenschutz und Antischadsoftware.
Nächster Schritt
Sehen Sie sich die kritischen Entwurfsüberlegungen und Empfehlungen für Business Continuity und Disaster Recovery an, die für die Bereitstellung von Citrix in Azure spezifisch sind.