Governança de segurança e conformidade para Citrix no Azure
As implantações do Citrix DaaS no Azure exigem governança de segurança e conformidade adequadas. Para alcançar excelência operacional e sucesso, projete seu ambiente Citrix DaaS com políticas apropriadas.
Considerações e recomendações de design
O Azure Policy é uma ferramenta importante para implantações do Citrix no Azure. As políticas podem ajudá-lo a aderir aos padrões de segurança definidos pela equipe da plataforma de nuvem. Para dar suporte à conformidade regulatória contínua, as políticas podem impor regulamentos automaticamente e fornecer relatórios.
Examine sua linha de base de política com sua equipe de plataforma de acordo com as diretrizes de governança do Azure. Aplique definições de política no grupo de geranciamento raiz de nível superior para que você possa atribuir definições em escopos herdados.
Este artigo se concentra em recomendações de identidade, rede e antivírus.
As seções de identidade descrevem a identidade do serviço Citrix DaaS e seus requisitos.
A seção de rede descreve os requisitos do NSG (grupo de segurança de rede).
A seção antivírus fornece um link para as práticas recomendadas para configurar a proteção antivírus em um ambiente DaaS.
Funções e identidade da entidade de serviço
As seções a seguir descrevem a criação, as funções e os requisitos das entidades de serviço do Citrix DaaS.
Registro do aplicativo
O registro de aplicativo é o processo de criação de uma relação de confiança unidirecional entre uma conta do Citrix Cloud e o Azure para que o Citrix Cloud confie no Azure. O processo de registro do aplicativo cria uma conta de entidade de serviço do Azure que o Citrix Cloud pode usar para todas as ações do Azure por meio da conexão de hospedagem. A conexão de hospedagem configurada no console do Citrix Cloud vincula o Citrix Cloud por meio dos conectores de nuvem aos locais de recursos no Azure.
Você deve conceder à entidade de serviço acesso aos grupos de recursos que contêm recursos Citrix. Dependendo da postura de segurança da sua organização, você pode fornecer acesso à assinatura no nível do Colaborador ou criar uma função personalizada para a entidade de serviço.
Ao criar a entidade de serviço na ID do Microsoft Entra, defina os seguintes valores:
Adicione um URI de redirecionamento e defina-o como Web com um valor de
https://citrix.cloud.com.Para Permissões de API, adicione a API de Gerenciamento de Serviços do Azure da guia APIs que minha organização usa e selecione a permissão delegada user_impersonation.
Para Certificados & segredos, crie um Novo segredo do cliente que tenha um período de expiração recomendado de um ano. Você deve atualizar regularmente esse segredo como parte de seu cronograma de rotação de chaves de segurança.
Você precisa do ID do aplicativo (cliente) e do valor do segredo do cliente do registro do aplicativo para definir a configuração da conexão de hospedagem no Citrix Cloud.
Aplicativos empresariais
Dependendo da configuração do Citrix Cloud e do Microsoft Entra, você pode adicionar um ou mais aplicativos corporativos do Citrix Cloud ao seu locatário do Microsoft Entra. Esses aplicativos concedem ao Citrix Cloud acesso aos dados armazenados no locatário do Microsoft Entra. A tabela a seguir lista as IDs de aplicativos e funções dos aplicativos corporativos do Citrix Cloud no ID do Microsoft Entra.
| ID do aplicativo empresarial | Finalidade |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | A conexão padrão entre o Microsoft Entra ID e o Citrix Cloud |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Convites e entradas do administrador |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | A entrada do assinante do workspace |
| 5c913119-2257-4316-9994-5e8f3832265b | A conexão padrão entre o Microsoft Entra ID e o Citrix Cloud com o Citrix Endpoint Management |
| e067934c-b52d-4e92-b1ca-70700bd1124e | A conexão herdada entre o Microsoft Entra ID e o Citrix Cloud com o Citrix Endpoint Management |
Cada aplicativo empresarial concede permissões específicas ao Citrix Cloud para a API do Microsoft Graph ou para a API do Microsoft Entra. Por exemplo, o aplicativo de entrada do assinante do Workspace concede permissões User.Read a ambas as APIs para que os usuários possam entrar e ler seus perfis. Para obter mais informações, consulte Permissões do Microsoft Entra para o Citrix Cloud.
Funções internas
Depois de criar a entidade de serviço, conceda a ela a função Colaborador no nível da assinatura. Para conceder permissões de Colaborador no nível da assinatura, você precisa de pelo menos a função de Administrador de Controle de Acesso Baseado em Função do Azure. O Azure solicita as permissões necessárias durante a conexão inicial do Citrix Cloud com o Microsoft Entra ID.
Todas as contas que você usa para autenticação ao criar a conexão de host também devem ser pelo menos um Colaborador na assinatura. Esse nível de permissões permite que o Citrix Cloud crie os objetos necessários sem restrições. Normalmente, você usa essa abordagem quando toda a assinatura tem apenas recursos Citrix.
Alguns ambientes não permitem que as entidades de serviço tenham permissões de Colaborador em um nível de assinatura. A Citrix fornece uma solução alternativa chamada entidade de serviço de escopo restrito. Para uma entidade de serviço de escopo restrito, um Administrador de Aplicativos de Nuvem conclui um registro de aplicativo manualmente e, em seguida, um administrador de assinatura concede manualmente à conta da entidade de serviço as permissões apropriadas.
As entidades de serviço de escopo restrito não têm permissões de Colaborador para toda a assinatura. Eles só têm permissões para os grupos de recursos, redes e imagens de que precisam para criar e gerenciar catálogos de máquinas. As entidades de serviço de escopo restrito exigem as seguintes funções:
Os grupos de recursos pré-criados exigem um Colaborador de Máquina Virtual, um Colaboradorde Conta de Armazenamento, e um Colaborador de Instantâneo de Disco.
As redes virtuais exigem um Colaborador de Máquina Virtual.
As contas de armazenamento exigem um Colaborador de Máquina Virtual.
Funções personalizadas
As entidades de serviço de escopo restrito têm amplas permissões de Colaborador, que podem não ser adequadas a ambientes sensíveis à segurança. Para fornecer uma abordagem mais granular, você pode usar duas funções personalizadas para fornecer às entidades de serviço as permissões necessárias. A função Citrix_Hosting_Connection concede acesso para criar uma conexão de hospedagem e a função Citrix_Machine_Catalog concede acesso para criar cargas de trabalho Citrix.
Função Citrix_Hosting_Connection
A descrição JSON a seguir da função Citrix_Hosting_Connection tem as permissões mínimas necessárias para criar uma conexão de hospedagem. Se você usar apenas instantâneos ou apenas discos para golden images do catálogo de máquinas, poderá remover a permissão não utilizada da lista actions.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as cloud connectors, golden images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Atribua a Citrix_Hosting_Connection função personalizada aos grupos de recursos Citrix_Infrastructure que têm recursos de conector de nuvem, golden image ou rede virtual. Você pode copiar e colar essa descrição de função JSON diretamente em sua definição de função personalizada do Microsoft Entra.
Função Citrix_Machine_Catalog
A descrição JSON a seguir da função Citrix_Machine_Catalog tem as permissões mínimas necessárias para que o Assistente de Catálogo de Máquinas Citrix crie os recursos necessários no Azure.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "The minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that run the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Atribua a função personalizada Citrix_Machine_Catalog aos grupos de recursos Citrix_MachineCatalog que contêm as máquinas virtuais (VMs) do Citrix Virtual Delivery Agent (VDA). Você pode copiar e colar essa descrição de função JSON diretamente em sua definição de função personalizada do Microsoft Entra.
Rede
Os NSGs são stateful, portanto, permitem o tráfego de retorno que pode ser aplicado a uma VM, uma sub-rede ou ambos. Quando existem NSGs de sub-rede e VM, os NSGs de sub-rede se aplicam primeiro ao tráfego de entrada e os NSGs de VM se aplicam primeiro ao tráfego de saída. Por padrão, uma rede virtual permite todo o tráfego entre hosts e todo o tráfego de entrada de um load balancer. Por padrão, uma rede virtual permite apenas o tráfego de saída da Internet e nega todos os outros tráfegos de saída.
Para limitar possíveis vetores de ataque e aumentar a segurança da implantação, use NSGs para permitir apenas o tráfego esperado no ambiente Citrix Cloud. A tabela a seguir lista as portas e protocolos de rede necessários que uma implantação Citrix deve permitir. Essa lista inclui apenas as portas que a infraestrutura Citrix usa e não inclui as portas que seus aplicativos usam. No NSG que protege as VMs, certifique-se de definir todas as portas.
| Origem | Destino | Protocolo | Porta | Finalidade |
|---|---|---|---|---|
| Conectores de nuvem | *.digicert.com |
HTTP | 80 | Verificação de revogação do certificado |
| Conectores de nuvem | *.digicert.com |
HTTPS | 443 | Verificação de revogação do certificado |
| Conectores de nuvem | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Verificação de revogação do certificado |
| Conectores de nuvem | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Verificação de revogação do certificado |
| Conectores de nuvem | Conectores de nuvem | Protocolo TCP | 80 | Comunicação entre controladores |
| Conectores de nuvem | Conectores de nuvem | TCP | 89 | Cache de host local |
| Conectores de nuvem | Conectores de nuvem | TCP | 9095 | Serviço de orquestração |
| Conectores de nuvem | VDA | TCP, UDP (Protocolo de Datagrama do Usuário) | 1494 | Protocolo ICA/HDX O EDT (Transporte de Dados Habilitado) requer UDP |
| Conectores de nuvem | VDA | TCP, UDP | 2,598 | Confiabilidade da sessão O EDT requer o UDP |
| Conector de nuvem | VDA | TCP | 80 (bidireto) | Descoberta de aplicativos e desempenho |
| VDA | Serviço do gateway | TCP | 443 | Protocolo de encontro |
| VDA | Serviço do gateway | UDP | 443 | EDT e UDP acima de 443 para o serviço de Gateway |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP, UDP | 443 | Domínios e subdomínios do serviço de gateway |
| Serviços de provisionamento Citrix | Conectores de nuvem | HTTPS | 443 | Integração com o Citrix Cloud Studio |
| Licença do Citrix Servidor | Nuvem Citrix | HTTPS | 443 | Integração do Citrix Cloud Licensing |
| SDK do PowerShell remoto CVAD | Nuvem Citrix | HTTPS | 443 | Qualquer sistema que execute scripts remotos do PowerShell por meio do SDK |
| Agente WEM (Gerenciamento de Ambiente de Trabalho) | Serviço WEM | HTTPS | 443 | Comunicação entre agente e serviço |
| Agente WEM | Conectores de nuvem | TCP | 443 | Tráfego de registro |
Para obter informações sobre os requisitos de rede e porta para o Citrix Application Delivery Management, consulte Requisitos do sistema.
Antivírus
O software antivírus é um elemento crucial para a proteção do ambiente do usuário. Para garantir uma operação tranquila, configure o antivírus adequadamente em um ambiente Citrix DaaS. A configuração incorreta do antivírus pode resultar em problemas de desempenho, experiências degradadas do cliente ou tempos limite e falhas de vários componentes. Para obter mais informações sobre como configurar antivírus em seu ambiente Citrix DaaS, consulte Práticas recomendadas de segurança de endpoint, antivírus e antimalware.
Próxima etapa
Examine as considerações críticas de design e as recomendações para continuidade dos negócios e recuperação de desastre específicas para a implantação do Citrix no Azure.