Nadzór nad zabezpieczeniami i zgodność aplikacji Citrix na platformie Azure
Wdrożenia Citrix DaaS na platformie Azure wymagają odpowiedniego ładu i zgodności zabezpieczeń. Aby osiągnąć doskonałość operacyjną i sukces, zaprojektuj środowisko Citrix DaaS przy użyciu odpowiednich zasad.
Zagadnienia i zalecenia dotyczące projektowania
Usługa Azure Policy jest ważnym narzędziem dla wdrożeń citrix na platformie Azure. Zasady mogą pomóc w przestrzeganiu standardów zabezpieczeń zestawów zespołów ds. platformy w chmurze. Aby zapewnić ciągłą zgodność z przepisami, zasady mogą automatycznie wymuszać przepisy i udostępniać raporty.
Przejrzyj plan bazowy zasad z zespołem platformy zgodnie z wytycznymi dotyczącymi ładu na platformie Azure. Zastosuj definicje zasad w głównej grupie zarządzania najwyższego poziomu, aby można było przypisywać definicje w dziedziczych zakresach.
Ten artykuł koncentruje się na zaleceniach dotyczących tożsamości, sieci i oprogramowania antywirusowego.
W sekcjach tożsamości opisano tożsamość usługi Citrix DaaS i jej wymagania.
W sekcji dotyczącej sieci opisano wymagania sieciowej grupy zabezpieczeń.
Sekcja ochrony antywirusowej zawiera link do najlepszych rozwiązań dotyczących konfigurowania ochrony antywirusowej w środowisku DaaS.
Role i tożsamość jednostki usługi
W poniższych sekcjach opisano tworzenie, role i wymagania jednostek usługi Citrix DaaS.
Rejestracja aplikacji
Rejestracja aplikacji to proces tworzenia jednokierunkowej relacji zaufania między kontem Citrix Cloud a platformą Azure, aby platforma Citrix Cloud ufała platformie Azure. Proces rejestracji aplikacji tworzy konto jednostki usługi platformy Azure, którego usługa Citrix Cloud może używać dla wszystkich akcji platformy Azure za pośrednictwem połączenia hostingu. Połączenie hostingu skonfigurowane w konsoli Citrix Cloud łączy rozwiązanie Citrix Cloud za pośrednictwem łączników chmury z lokalizacjami zasobów na platformie Azure.
Musisz udzielić jednostce usługi dostępu do grup zasobów, które zawierają zasoby Citrix. W zależności od stanu zabezpieczeń organizacji można zapewnić dostęp do subskrypcji na poziomie Współautor lub utworzyć rolę niestandardową dla jednostki usługi.
Podczas tworzenia jednostki usługi w identyfikatorze Entra firmy Microsoft ustaw następujące wartości:
Dodaj identyfikator URI przekierowania i ustaw go na sieć Web z wartością
https://citrix.cloud.com.W obszarze Uprawnienia interfejsu API dodaj interfejs API zarządzania usługami platformy Azure z karty Interfejsy API używane przez moją organizację i wybierz uprawnienie delegowane user_impersonation.
W przypadku certyfikatów i wpisów tajnych utwórz nowy klucz tajny klienta, który ma zalecany okres wygaśnięcia w ciągu jednego roku. Ten wpis tajny należy regularnie aktualizować w ramach harmonogramu rotacji kluczy zabezpieczeń.
Potrzebujesz zarówno identyfikatora aplikacji (klienta), jak i wartości wpisu tajnego klienta z rejestracji aplikacji, aby skonfigurować konfigurację połączenia hostingowego w usłudze Citrix Cloud.
Aplikacje dla przedsiębiorstw
W zależności od konfiguracji Citrix Cloud i Microsoft Entra możesz dodać co najmniej jedną aplikację dla przedsiębiorstw Citrix Cloud do dzierżawy firmy Microsoft Entra. Te aplikacje zapewniają usłudze Citrix Cloud dostęp do danych przechowywanych w dzierżawie firmy Microsoft Entra. W poniższej tabeli wymieniono identyfikatory aplikacji i funkcje aplikacji dla przedsiębiorstw Citrix Cloud w usłudze Microsoft Entra ID.
| Identyfikator aplikacji dla przedsiębiorstw | Purpose |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | Domyślne połączenie między identyfikatorem Entra firmy Microsoft i rozwiązaniem Citrix Cloud |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Zaproszenia administratora i logowania |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | Logowanie subskrybenta obszaru roboczego |
| 5c913119-2257-4316-9994-5e8f3832265b | Domyślne połączenie między usługą Microsoft Entra ID i Citrix Cloud przy użyciu rozwiązania Citrix Endpoint Management |
| e067934c-b52d-4e92-b1ca-70700bd1124e | Starsze połączenie między usługą Microsoft Entra ID i Citrix Cloud za pomocą rozwiązania Citrix Endpoint Management |
Każda aplikacja przedsiębiorstwa przyznaje aplikacji Citrix Cloud określone uprawnienia do interfejsu API programu Microsoft Graph lub interfejsu MICROSOFT Entra API. Na przykład aplikacja logowania subskrybenta obszaru roboczego przyznaje uprawnienia User.Read do obu interfejsów API, aby użytkownicy mogli logować się i odczytywać swoje profile. Aby uzyskać więcej informacji, zobacz Microsoft Entra permissions for Citrix Cloud (Uprawnienia firmy Microsoft dla usługi Citrix Cloud).
Wbudowane role
Po utworzeniu jednostki usługi przyznaj jej rolę Współautor na poziomie subskrypcji. Aby udzielić uprawnień współautora na poziomie subskrypcji, musisz mieć co najmniej rolę administratora kontroli dostępu opartej na rolach platformy Azure. Platforma Azure monituje o wymagane uprawnienia podczas początkowego połączenia z usługi Citrix Cloud do identyfikatora Entra firmy Microsoft.
Wszystkie konta używane do uwierzytelniania podczas tworzenia połączenia hosta muszą być również co najmniej współautorem subskrypcji. Ten poziom uprawnień umożliwia usłudze Citrix Cloud tworzenie niezbędnych obiektów bez ograniczeń. Zazwyczaj stosuje się to podejście, gdy cała subskrypcja ma tylko zasoby Citrix.
Niektóre środowiska nie zezwalają jednostkom usługi na uprawnienia współautora na poziomie subskrypcji. Firma Citrix udostępnia alternatywne rozwiązanie nazywane jednostką usługi o wąskim zakresie. W przypadku jednostki usługi o wąskim zakresie administrator aplikacji w chmurze ręcznie wykonuje rejestrację aplikacji, a następnie administrator subskrypcji ręcznie przyznaje konto jednostki usługi odpowiednie uprawnienia.
Jednostki usługi o wąskim zakresie nie mają uprawnień Współautor do całej subskrypcji. Mają uprawnienia tylko do grup zasobów, sieci i obrazów, które muszą tworzyć wykazy maszyn i zarządzać nimi. Jednostki usługi o wąskim zakresie wymagają następujących ról:
Wstępnie utworzone grupy zasobów wymagają współautora maszyny wirtualnej, współautora konta magazynu i współautora migawki dysku.
Sieci wirtualne wymagają współautora maszyny wirtualnej.
Konta magazynu wymagają współautora maszyny wirtualnej.
Role niestandardowe
Jednostki usługi o wąskim zakresie mają szerokie uprawnienia współautora , które mogą nie odpowiadać środowisk wrażliwych na zabezpieczenia. Aby zapewnić bardziej szczegółowe podejście, możesz użyć dwóch ról niestandardowych, aby zapewnić jednostkom usługi niezbędne uprawnienia. Rola Citrix_Hosting_Connection udziela dostępu do tworzenia połączenia hostingowego, a rola Citrix_Machine_Catalog udziela dostępu do tworzenia obciążeń Citrix.
rola Citrix_Hosting_Connection
Poniższy opis JSON roli Citrix_Hosting_Connection ma minimalne uprawnienia, które należy utworzyć połączenie hostingu. Jeśli używasz tylko migawek lub tylko dysków dla złotych obrazów wykazu maszyn, możesz usunąć nieużywane uprawnienie z actions listy.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as cloud connectors, golden images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Przypisz rolę niestandardową Citrix_Hosting_Connection do grup zasobów Citrix_Infrastructure mających w nich łącznik chmury, złoty obraz lub zasoby sieci wirtualnej. Możesz skopiować i wkleić ten opis roli JSON bezpośrednio do niestandardowej definicji roli Entra firmy Microsoft.
rola Citrix_Machine_Catalog
Poniższy opis JSON roli Citrix_Machine_Catalog ma minimalne uprawnienia wymagane przez Kreatora wykazu maszyn Citrix do utworzenia wymaganych zasobów na platformie Azure.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "The minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that run the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Przypisz rolę niestandardową Citrix_Machine_Catalog do grup zasobów Citrix_MachineCatalog, które przechowują maszyny wirtualne programu Citrix Virtual Delivery Agent (VDA). Możesz skopiować i wkleić ten opis roli JSON bezpośrednio do niestandardowej definicji roli Entra firmy Microsoft.
Sieć
Sieciowe grupy zabezpieczeń są stanowe, więc zezwalają na ruch powrotny, który może dotyczyć maszyny wirtualnej, podsieci lub obu tych grup. Jeśli istnieją zarówno podsieć, jak i sieciowe grupy zabezpieczeń maszyny wirtualnej, sieciowe grupy zabezpieczeń podsieci dotyczą najpierw ruchu przychodzącego, a sieciowe grupy zabezpieczeń maszyn wirtualnych są stosowane jako pierwsze dla ruchu wychodzącego. Domyślnie sieć wirtualna zezwala na cały ruch między hostami i cały ruch przychodzący z modułu równoważenia obciążenia. Domyślnie sieć wirtualna zezwala tylko na wychodzący ruch internetowy i odrzuca cały inny ruch wychodzący.
Aby ograniczyć potencjalne wektory ataków i zwiększyć bezpieczeństwo wdrożenia, użyj sieciowych grup zabezpieczeń, aby zezwolić tylko na oczekiwany ruch w środowisku Citrix Cloud. W poniższej tabeli wymieniono wymagane porty sieciowe i protokoły, na które musi zezwalać wdrożenie Citrix. Ta lista zawiera tylko porty używane przez infrastrukturę Citrix i nie zawierają portów używanych przez aplikacje. W sieciowej grupie zabezpieczeń, która chroni maszyny wirtualne, należy zdefiniować wszystkie porty.
| Element źródłowy | Lokalizacja docelowa | Protokół | Port | Purpose |
|---|---|---|---|---|
| Łączniki chmury | *.digicert.com |
HTTP | 80 | Sprawdzanie odwołania certyfikatów |
| Łączniki chmury | *.digicert.com |
HTTPS | 443 | Sprawdzanie odwołania certyfikatów |
| Łączniki chmury | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Sprawdzanie odwołania certyfikatów |
| Łączniki chmury | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Sprawdzanie odwołania certyfikatów |
| Łączniki chmury | Łączniki chmury | Transmission Control Protocol (TCP) | 80 | Komunikacja między kontrolerami |
| Łączniki chmury | Łączniki chmury | TCP | 89 | Lokalna pamięć podręczna hosta |
| Łączniki chmury | Łączniki chmury | TCP | 9095 | Usługa orkiestracji |
| Łączniki chmury | VDA | TCP, User Datagram Protocol (UDP) | 1494 | Protokół ICA/HDX Obsługa transportu danych (EDT) wymaga protokołu UDP |
| Łączniki chmury | VDA | TCP, UDP | 2598 | Niezawodność sesji Protokół EDT wymaga protokołu UDP |
| Łącznik chmury | VDA | TCP | 80 (dwukierunkowy) | Odnajdywanie aplikacji i wydajności |
| VDA | Usługa bramy | TCP | 443 | Protokół spotkania |
| VDA | Usługa bramy | UDP | 443 | EDT i UDP ponad 443 do usługi bramy |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP, UDP | 443 | Domeny i poddomeny usługi bramy |
| Citrix Provisioning Services | Łączniki chmury | HTTPS | 443 | Integracja z programem Citrix Cloud Studio |
| Serwer licencji Citrix | Citrix Cloud | HTTPS | 443 | Integracja licencjonowania citrix cloud |
| Zdalny zestaw SDK programu PowerShell CVAD | Citrix Cloud | HTTPS | 443 | Dowolny system, który uruchamia zdalne skrypty programu PowerShell za pośrednictwem zestawu SDK |
| Agent zarządzania środowiskiem obszaru roboczego (WEM) | Usługa WEM | HTTPS | 443 | Komunikacja między agentami |
| Agent WEM | Łączniki chmury | TCP | 443 | Ruch rejestracyjny |
Aby uzyskać informacje o wymaganiach dotyczących sieci i portów dla usługi Citrix Application Delivery Management, zobacz Wymagania systemowe.
Antywirus
Oprogramowanie antywirusowe jest kluczowym elementem ochrony środowiska użytkownika. Aby zapewnić bezproblemową operację, należy odpowiednio skonfigurować program antywirusowy w środowisku Citrix DaaS. Nieprawidłowa konfiguracja oprogramowania antywirusowego może spowodować problemy z wydajnością, obniżone środowisko klienta lub przekroczenia limitu czasu i awarie różnych składników. Aby uzyskać więcej informacji na temat konfigurowania oprogramowania antywirusowego w środowisku Citrix DaaS, zobacz Zabezpieczenia punktu końcowego, oprogramowanie antywirusowe i najlepsze rozwiązania dotyczące ochrony przed złośliwym kodem.
Następny krok
Zapoznaj się z krytycznymi zagadnieniami i zaleceniami dotyczącymi ciągłości działania i odzyskiwania po awarii, które są specyficzne dla wdrożenia rozwiązania Citrix na platformie Azure.