Beveiligingsgovernance en naleving voor Citrix in Azure
Citrix DaaS-implementaties in Azure vereisen de juiste beveiligingsgovernance en naleving. Ontwerp uw Citrix DaaS-omgeving met het juiste beleid om operationele uitmuntendheid en succes te bereiken.
Ontwerpoverwegingen en aanbevelingen
Azure Policy is een belangrijk hulpprogramma voor Citrix in Azure-implementaties. Beleidsregels kunnen u helpen om te voldoen aan beveiligingsstandaarden die door uw cloudplatformteam worden ingesteld. Om continue naleving van regelgeving te ondersteunen, kan beleidsregels automatisch regelgeving afdwingen en rapporten verstrekken.
Controleer uw beleidsbasislijn met uw platformteam in overeenstemming met de Richtlijnen voor Azure-governance . Pas beleidsdefinities toe in de hoofdbeheergroep op het hoogste niveau, zodat u definities op overgenomen bereiken kunt toewijzen.
Dit artikel is gericht op aanbevelingen voor identiteit, netwerken en antivirus.
In de identiteitssecties worden citrix DaaS-service-identiteiten en de bijbehorende vereisten beschreven.
In de sectie Netwerken worden de netwerkbeveiligingsgroepvereisten (NSG) beschreven.
De sectie antivirus biedt een koppeling naar aanbevolen procedures voor het configureren van antivirusbeveiliging in een DaaS-omgeving.
Rollen en identiteit van service-principal
In de volgende secties worden de creatie, rollen en vereisten van Citrix DaaS-service-principals beschreven.
App-registratie
App-registratie is het proces voor het maken van een eenrichtingsvertrouwensrelatie tussen een Citrix Cloud-account en Azure, zodat Citrix Cloud Azure vertrouwt. Het app-registratieproces maakt een Azure-service-principalaccount dat Citrix Cloud kan gebruiken voor alle Azure-acties via de hostingverbinding. De hostingverbinding die is ingesteld in de Citrix Cloud-console koppelt Citrix Cloud via de cloudconnectors aan resourcelocaties in Azure.
U moet de service-principal toegang verlenen tot de resourcegroepen die Citrix-resources bevatten. Afhankelijk van de beveiligingspostuur van uw organisatie kunt u abonnementstoegang bieden op het niveau Van inzender of een aangepaste rol voor de service-principal maken.
Wanneer u de service-principal in Microsoft Entra-id maakt, stelt u de volgende waarden in:
Voeg een omleidings-URI toe en stel deze in op het web met de waarde .
https://citrix.cloud.comVoor API-machtigingen voegt u de Azure Services Management-API toe vanuit de API's die mijn organisatie gebruikt en selecteert u de user_impersonation gedelegeerde machtiging.
Voor certificaten en geheimen maakt u een nieuw clientgeheim met een aanbevolen verloopperiode van één jaar. U moet dit geheim regelmatig bijwerken als onderdeel van uw planning voor het rouleren van de beveiligingssleutel.
U hebt zowel de toepassings-id (client) als de waarde van het clientgeheim uit de app-registratie nodig om de configuratie van de hostingverbinding in Citrix Cloud te configureren.
Bedrijfstoepassingen
Afhankelijk van uw Citrix Cloud- en Microsoft Entra-configuratie kunt u een of meer Citrix Cloud-bedrijfstoepassingen toevoegen aan uw Microsoft Entra-tenant. Deze toepassingen verlenen Citrix Cloud toegang tot gegevens die zijn opgeslagen in de Microsoft Entra-tenant. De volgende tabel bevat de toepassings-id's en functies van Citrix Cloud-bedrijfstoepassingen in Microsoft Entra ID.
| Ondernemingstoepassings-id | Doel |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | De standaardverbinding tussen Microsoft Entra ID en Citrix Cloud |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Uitnodigingen voor beheerders en aanmeldingen |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | Aanmelden bij de werkruimte-abonnee |
| 5c913119-2257-4316-9994-5e8f3832265b | De standaardverbinding tussen Microsoft Entra ID en Citrix Cloud met Citrix Endpoint Management |
| e067934c-b52d-4e92-b1ca-70700bd1124e | De verouderde verbinding tussen Microsoft Entra ID en Citrix Cloud met Citrix Endpoint Management |
Elke bedrijfstoepassing verleent Citrix Cloud specifieke machtigingen voor de Microsoft Graph API of de Microsoft Entra-API. De aanmeldingstoepassing voor werkruimteabonnee verleent bijvoorbeeld User.Read-machtigingen aan beide API's, zodat gebruikers zich kunnen aanmelden en hun profielen kunnen lezen. Zie Microsoft Entra-machtigingen voor Citrix Cloud voor meer informatie.
Ingebouwde rollen
Nadat u de service-principal hebt gemaakt, verleent u deze de rol Inzender op abonnementsniveau. Als u inzendermachtigingen wilt verlenen op abonnementsniveau, hebt u ten minste de rol Op rollen gebaseerd toegangsbeheer van Azure nodig. Azure vraagt om de vereiste machtigingen tijdens de eerste verbinding van Citrix Cloud naar Microsoft Entra ID.
Accounts die u voor verificatie gebruikt wanneer u de hostverbinding maakt, moeten ook ten minste een inzender voor het abonnement zijn. Met dit machtigingsniveau kan Citrix Cloud zonder beperking de benodigde objecten maken. Normaal gesproken gebruikt u deze benadering wanneer het hele abonnement alleen Citrix-resources heeft.
In sommige omgevingen kunnen service-principals geen inzendermachtigingen hebben op abonnementsniveau. Citrix biedt een alternatieve oplossing, een service-principal met een narrow scope. Voor een service-principal met een beperkt bereik voltooit een cloudtoepassingsbeheerder handmatig een toepassingsregistratie en verleent een abonnementsbeheerder handmatig het service-principal-account de juiste machtigingen.
Service-principals met beperkt bereik hebben geen inzendermachtigingen voor het hele abonnement. Ze hebben alleen machtigingen voor de resourcegroepen, netwerken en installatiekopieën die ze nodig hebben om machinecatalogussen te maken en te beheren. Voor service-principals met een beperkt bereik zijn de volgende rollen vereist:
Voorgecreeerde resourcegroepen is een inzender voor virtuele machines, inzender voor opslagaccounts en inzender voor schijfmomentopnamen vereist.
Voor virtuele netwerken is een inzender voor virtuele machines vereist.
Voor opslagaccounts is een inzender voor virtuele machines vereist.
Aangepaste rollen
Service-principals met een beperkt bereik hebben uitgebreide inzendermachtigingen , die mogelijk niet geschikt zijn voor beveiligingsgevoelige omgevingen. Als u een gedetailleerdere benadering wilt bieden, kunt u twee aangepaste rollen gebruiken om de service-principals met de benodigde machtigingen te bieden. De Citrix_Hosting_Connection rol verleent toegang tot het maken van een hostingverbinding en de Citrix_Machine_Catalog rol verleent toegang tot het maken van Citrix-workloads.
Citrix_Hosting_Connection rol
De volgende JSON-beschrijving van de Citrix_Hosting_Connection-rol heeft de minimale machtigingen die u nodig hebt om een hostingverbinding te maken. Als u alleen momentopnamen of alleen schijven voor gouden installatiekopieën van de machinecatalogus gebruikt, kunt u de ongebruikte machtiging uit de actions lijst verwijderen.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as cloud connectors, golden images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Wijs de aangepaste Citrix_Hosting_Connection rol toe aan de Citrix_Infrastructure resourcegroepen met cloudconnector, gouden installatiekopieën of virtuele netwerkresources. U kunt deze JSON-rolbeschrijving rechtstreeks kopiëren en plakken in uw aangepaste Microsoft Entra-roldefinitie.
Citrix_Machine_Catalog rol
De volgende JSON-beschrijving van de Citrix_Machine_Catalog-rol heeft de minimale machtigingen die u nodig hebt voor de wizard Citrix Machine Catalog om de vereiste resources in Azure te maken.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "The minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that run the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Wijs de aangepaste Citrix_Machine_Catalog rol toe aan de Citrix_MachineCatalog resourcegroepen met de virtuele machines (VDA) van Citrix Virtual Delivery Agent (VM's). U kunt deze JSON-rolbeschrijving rechtstreeks kopiëren en plakken in uw aangepaste Microsoft Entra-roldefinitie.
Netwerken
De NSG's zijn stateful, zodat ze retourverkeer toestaan dat van toepassing is op een VIRTUELE machine, een subnet of beide. Wanneer er zowel subnet- als VM-NSG's bestaan, zijn de NSG's van het subnet eerst van toepassing op inkomend verkeer en zijn de VM-NSG's eerst van toepassing op uitgaand verkeer. Standaard staat een virtueel netwerk al het verkeer tussen hosts en al het inkomende verkeer van een load balancer toe. Standaard staat een virtueel netwerk alleen uitgaand internetverkeer toe en weigert al het andere uitgaande verkeer.
Als u mogelijke aanvalsvectoren wilt beperken en de implementatiebeveiliging wilt verhogen, gebruikt u NSG's om alleen het verwachte verkeer in de Citrix Cloud-omgeving toe te staan. De volgende tabel bevat de vereiste netwerkpoorten en -protocollen die een Citrix-implementatie moet toestaan. Deze lijst bevat alleen de poorten die door de Citrix-infrastructuur worden gebruikt en bevat niet de poorten die uw toepassingen gebruiken. Zorg ervoor dat u alle poorten definieert in de NSG die de VM's beveiligt.
| Bron | Bestemming | Protocol | Poort | Doel |
|---|---|---|---|---|
| Cloudconnectors | *.digicert.com |
HTTP | 80 | Controle van certificaatintrekking |
| Cloudconnectors | *.digicert.com |
HTTPS | 443 | Controle van certificaatintrekking |
| Cloudconnectors | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Controle van certificaatintrekking |
| Cloudconnectors | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Controle van certificaatintrekking |
| Cloudconnectors | Cloudconnectors | Transmission Control Protocol (TCP) | 80 | Communicatie tussen controllers |
| Cloudconnectors | Cloudconnectors | TCP | 89 | Lokale hostcache |
| Cloudconnectors | Cloudconnectors | TCP | 9095 | Indelingsservice |
| Cloudconnectors | VDA | TCP, User Datagram Protocol (UDP) | 1494 | ICA/HDX-protocol EDT (Enlightened Data Transport) vereist UDP |
| Cloudconnectors | VDA | TCP, UDP | 2598 | Sessiebetrouwbaarheid Voor EDT is UDP vereist |
| Cloudconnector | VDA | TCP | 80 (bidirect) | Detectie van toepassingen en prestaties |
| VDA | Gatewayservice | TCP | 443 | Rendezvous Protocol |
| VDA | Gatewayservice | UDP | 443 | EDT en UDP van meer dan 443 naar gatewayservice |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP, UDP | 443 | Gatewayservicedomeinen en subdomeinen |
| Citrix Provisioning Services | Cloudconnectors | HTTPS | 443 | Citrix Cloud Studio-integratie |
| Citrix License Server | Citrix Cloud | HTTPS | 443 | Citrix Cloud Licensing-integratie |
| CVAD Remote PowerShell SDK | Citrix Cloud | HTTPS | 443 | Elk systeem dat externe PowerShell-scripts uitvoert via de SDK |
| WEM-agent (Workspace Environment Management) | WEM-service | HTTPS | 443 | Communicatie tussen agents en services |
| WEM-agent | Cloudconnectors | TCP | 443 | Registratieverkeer |
Zie Systeemvereisten voor informatie over netwerk- en poortvereisten voor Citrix Application Delivery Management.
Antivirus
Antivirussoftware is een cruciaal element voor de bescherming van de gebruikersomgeving. Configureer antivirus op de juiste wijze in een Citrix DaaS-omgeving om een soepele werking te garanderen. Onjuiste antivirusconfiguratie kan leiden tot prestatieproblemen, verminderde klantervaringen of time-outs en storingen van verschillende onderdelen. Zie best practices voor eindpuntbeveiliging, antivirus en antimalware voor meer informatie over het configureren van antivirusprogramma's in uw Citrix DaaS-omgeving.
Volgende stap
Bekijk de kritieke ontwerpoverwegingen en aanbevelingen voor bedrijfscontinuïteit en herstel na noodgevallen die specifiek zijn voor de implementatie van Citrix in Azure.