Gobernanza y cumplimiento de la seguridad para Citrix en Azure
Las implementaciones de Citrix DaaS en Azure requieren una gobernanza y el cumplimiento de la seguridad adecuadas. Para lograr la excelencia y el éxito en el funcionamiento, diseñe el entorno de Citrix DaaS con las directivas adecuadas.
Consideraciones y recomendaciones de diseño
Azure Policy es una herramienta importante para las implementaciones de Citrix en Azure. Las directivas pueden ayudarle a cumplir los estándares de seguridad establecidos por el equipo de la plataforma en la nube. Para respaldar el cumplimiento normativo continuo, las directivas pueden aplicar automáticamente las normativas y proporcionar informes.
Revise la línea base de la directiva con el equipo de la plataforma según las directrices de Gobernanza en Azure. Aplique definiciones de directiva en el grupo de administración raíz de nivel superior para poder asignarlas en ámbitos heredados.
Este artículo se centra en las recomendaciones de identidad, redes y antivirus.
En las secciones de identidad se describe la identidad del servicio Citrix DaaS y sus requisitos.
En la sección de redes se describen los requisitos del grupo de seguridad de red (NSG).
La sección de antivirus proporciona un vínculo a los procedimientos recomendados para configurar la protección antivirus en un entorno DaaS.
Roles e identidades de la entidad de servicio
En las secciones siguientes se describe la creación, los roles y los requisitos de las entidades de servicio de Citrix DaaS.
Registro de aplicación
El registro de aplicaciones es el proceso de creación de una relación de confianza unidireccional entre una cuenta de Citrix Cloud y Azure, de modo que Citrix Cloud confíe en Azure. El proceso de registro de aplicaciones crea una cuenta de entidad de servicio de Azure que Citrix Cloud puede usar para todas las acciones de Azure mediante la conexión de hospedaje. La conexión de hospedaje configurada en la consola de Citrix Cloud vincula Citrix Cloud a ubicaciones de recursos de Azure a través de conectores de la nube.
Debe conceder a la entidad de servicio acceso a los grupos de recursos que contienen recursos de Citrix. En función de la posición de seguridad de la organización, puede proporcionar acceso a la suscripción a nivel de colaborador o crear un rol personalizado para la entidad de servicio.
Al crear la entidad de servicio en Microsoft Entra ID, establezca los siguientes valores:
Agregue un URI de redirección y establézcalo en Web con un valor de
https://citrix.cloud.com.En Permisos de API, agregue Azure Services Management API desde la pestaña API usadas en mi organización y seleccione el permiso delegado user_impersonation.
En Certificados y secretos, cree un nuevo secreto de cliente con un período de expiración recomendado de un año. Debe mantener este secreto actualizado como parte de la programación de rotación de las claves de seguridad.
Necesitará tanto el identificador de aplicación (cliente) como el valor del secreto de cliente del registro de aplicaciones para configurar la conexión de hospedaje en Citrix Cloud.
aplicaciones empresariales
En función de la configuración de Citrix Cloud y Microsoft Entra, puede agregar una o varias aplicaciones empresariales de Citrix Cloud al inquilino de Microsoft Entra. Estas aplicaciones permiten a Citrix Cloud acceder a los datos almacenados en el inquilino de Microsoft Entra. En la tabla siguiente se enumeran los identificadores de aplicación y las funciones de aplicaciones empresariales de Citrix Cloud en Microsoft Entra ID.
| Identificador de la aplicación empresarial | Propósito |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | Conexión predeterminada entre Microsoft Entra ID y Citrix Cloud |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Invitaciones e inicios de sesión de administrador |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | Inicio de sesión del suscriptor del área de trabajo |
| 5c913119-2257-4316-9994-5e8f3832265b | Conexión predeterminada entre Microsoft Entra ID y Citrix Cloud con Citrix Endpoint Management |
| e067934c-b52d-4e92-b1ca-70700bd1124e | Conexión heredada entre Microsoft Entra ID y Citrix Cloud con Citrix Endpoint Management |
Cada aplicación empresarial concede permisos específicos de Citrix Cloud a Microsoft Graph API o a la API de Microsoft Entra. Por ejemplo, la aplicación de inicio de sesión del suscriptor del área de trabajo concede permisos User.Read a ambas API para que los usuarios puedan iniciar sesión y leer sus perfiles. Para obtener más información, consulte Permisos de Microsoft Entra para Citrix Cloud.
Roles integrados
Después de crear la entidad de servicio, concédale el rol de Colaborador en el nivel de suscripción. Para conceder los permisos de colaborador en el nivel de suscripción, necesita al menos el rol de Administrador de control de acceso basado en roles de Azure. Azure solicita los permisos necesarios durante la conexión inicial de Citrix Cloud a Microsoft Entra.
Las cuentas usadas para la autenticación durante la creación de la conexión de host también deben ser al menos colaboradores de la suscripción. Este nivel de permisos permite a Citrix Cloud crear los objetos necesarios sin restricciones. Normalmente, este enfoque se usa cuando toda la suscripción solo tiene recursos de Citrix.
Algunos entornos no permiten que las entidades de servicio tengan permisos de colaborador a nivel de suscripción. Citrix proporciona una solución alternativa conocida como entidad de servicio de ámbito restringido. En una entidad de servicio de ámbito restringido, Administrador de aplicaciones en la nube completa manualmente un registro de aplicación y, luego, un administrador de suscripciones concede manualmente los permisos adecuados a la cuenta de entidad de servicio.
Las entidades de servicio de ámbito restringido no tienen permisos de colaborador para toda la suscripción. Solo tienen permisos para los grupos de recursos, las redes y las imágenes que necesitan para crear y administrar catálogos de máquinas. Las entidades de servicio de ámbito restringido requieren los siguientes roles:
Los grupos de recursos creados previamente requieren un Colaborador de máquina virtual, Colaborador de la cuenta de almacenamiento y Colaborador de instantáneas de disco.
Las redes virtuales requieren un Colaborador de máquina virtual.
Las cuentas de almacenamiento requieren un Colaborador de máquina virtual.
Roles personalizados
Las entidades de servicio de ámbito restringido tienen permisos de Colaborador amplios, que podrían no adaptarse a entornos sensibles a la seguridad. Para proporcionar un enfoque más pormenorizado, puede usar dos roles personalizados para asignar a las entidades de servicio los permisos necesarios. El rol Citrix_Hosting_Connection concede acceso para crear una conexión de hospedaje y el rol Citrix_Machine_Catalog concede acceso para crear cargas de trabajo de Citrix.
Rol Citrix_Hosting_Connection
La siguiente descripción JSON del rol Citrix_Hosting_Connection tiene los permisos mínimos necesarios para crear una conexión de hospedaje. Si solo usa instantáneas o discos con las imágenes maestras del catálogo de máquinas, puede quitar el permiso sin usar de la lista actions.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as cloud connectors, golden images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Asigne el rol personalizado Citrix_Hosting_Connection a los grupos de recursos de Citrix_Infrastructure que contengan recursos de conector de nube, imágenes maestras o redes virtuales. Puede copiar y pegar esta descripción del rol JSON directamente en la definición de rol de Microsoft Entra personalizada.
Rol Citrix_Machine_Catalog
La siguiente descripción JSON del rol Citrix_Machine_Catalog tiene los permisos mínimos necesarios para que el Asistente para catálogos de máquinas Citrix cree los recursos necesarios en Azure.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "The minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that run the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Asigne el rol personalizado Citrix_Machine_Catalog a los grupos de recursos de Citrix_MachineCatalog que contengan las máquinas virtuales (VM) de Citrix Virtual Delivery Agent (VDA). Puede copiar y pegar esta descripción del rol JSON directamente en la definición de rol de Microsoft Entra personalizada.
Redes
Los grupos de seguridad de red son con estado, por lo que permiten tráfico de retorno que se puede aplicar a una máquina virtual, una subred o ambas. Cuando existen grupos de seguridad de subred y de máquina virtual, los de subred se aplican primero al tráfico entrante y los de máquina virtual se aplican primero al tráfico saliente. De forma predeterminada, una red virtual permite todo el tráfico entre hosts y todo el tráfico entrante desde un equilibrador de carga. De forma predeterminada, una red virtual solo permite el tráfico saliente de Internet y deniega el resto del tráfico saliente.
Para limitar los posibles vectores de ataque y aumentar la seguridad de la implementación, use NSG para permitir solo el tráfico esperado en el entorno de Citrix Cloud. En la tabla siguiente se enumeran los puertos y protocolos de red necesarios que debe permitir una implementación de Citrix. Esta lista incluye solo los puertos que usa la infraestructura de Citrix; no incluye los puertos que usan las aplicaciones. Asegúrese de definir todos los puertos del NSG que protege las máquinas virtuales.
| Source | Destination | Protocolo | Port | Propósito |
|---|---|---|---|---|
| Conectores de la nube | *.digicert.com |
HTTP | 80 | Comprobación de revocación de certificados |
| Conectores de la nube | *.digicert.com |
HTTPS | 443 | Comprobación de revocación de certificados |
| Conectores de la nube | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Comprobación de revocación de certificados |
| Conectores de la nube | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Comprobación de revocación de certificados |
| Conectores de la nube | Conectores de la nube | Protocolo de control de transmisión (TCP) | 80 | Comunicación entre controladores |
| Conectores de la nube | Conectores de la nube | TCP | 89 | Caché de host local |
| Conectores de la nube | Conectores de la nube | TCP | 9095 | Servicio de orquestación |
| Conectores de la nube | VDA | TCP, Protocolo de datagramas de usuario (UDP) | 1494 | Protocolo ICA/HDX El transporte de datos optimizado (EDT) requiere UDP |
| Conectores de la nube | VDA | TCP, UDP | 2598 | Confiabilidad de la sesión EDT requiere UDP |
| Conector de nube | VDA | TCP | 80 (bidireccional) | Detección de aplicaciones y rendimiento |
| VDA | Servicio de puerta de enlace | TCP | 443 | Protocolo de encuentro |
| VDA | Servicio de puerta de enlace | UDP | 443 | EDT y UDP a través de 443 al servicio de puerta de enlace |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP, UDP | 443 | Dominios y subdominios de servicio de puerta de enlace |
| Servicios de aprovisionamiento de Citrix | Conectores de la nube | HTTPS | 443 | Integración de Citrix Cloud Studio |
| Servidor de licencias de Citrix | Citrix Cloud | HTTPS | 443 | Integración de licencias de Citrix Cloud |
| SDK de PowerShell remoto de CVAD | Citrix Cloud | HTTPS | 443 | Cualquier sistema que ejecute scripts remotos de PowerShell mediante el SDK |
| Agente de Administración de entornos de área de trabajo (WEM) | Servicio WEM | HTTPS | 443 | Comunicación entre agentes y servicios |
| Agente de WEM | Conectores de la nube | TCP | 443 | Tráfico de registro |
Para obtener más información sobre los requisitos de red y puertos para Citrix Application Delivery Management, consulte Requisitos del sistema.
Antivirus
El software antivirus es un elemento fundamental para la protección del entorno del usuario. La configuración adecuada del antivirus en un entorno de Citrix DaaS es clave para un funcionamiento fluido. Una configuración incorrecta del antivirus puede dar lugar a problemas de rendimiento, experiencias de usuario degradadas o tiempos de espera y errores de varios componentes. Para obtener más información sobre cómo configurar un antivirus en el entorno de Citrix DaaS, consulte Procedimientos recomendados para la seguridad, el antivirus y el antimalware de los puntos de conexión.
Paso siguiente
Revise las consideraciones y recomendaciones de diseño críticas para la continuidad empresarial y la recuperación ante desastres específicas de la implementación de Citrix en Azure.