Governança e conformidade de segurança para Citrix no Azure
As implantações do Citrix DaaS no Azure exigem governança de segurança e conformidade adequadas. Para alcançar a excelência operacional e o sucesso, projete seu ambiente Citrix DaaS com políticas apropriadas.
Considerações e recomendações de design
O Azure Policy é uma ferramenta importante para o Citrix em implantações do Azure. As políticas podem ajudá-lo a aderir aos padrões de segurança definidos pela sua equipe de plataforma de nuvem. Para dar suporte à conformidade regulatória contínua, as políticas podem aplicar automaticamente as regulamentações e fornecer relatórios.
Analise sua linha de base de política com sua equipe de plataforma de acordo com as diretrizes de governança do Azure. Aplique definições de política no grupo de gerenciamento raiz de nível superior para que você possa atribuir definições em escopos herdados.
Este artigo se concentra em recomendações de identidade, rede e antivírus.
As seções de identidade descrevem a identidade do serviço Citrix DaaS e seus requisitos.
A seção de rede descreve os requisitos do NSG (grupo de segurança de rede).
A seção antivírus fornece um link para as práticas recomendadas para configurar a proteção antivírus em um ambiente DaaS.
Funções principais e identidade do serviço
As seções a seguir descrevem a criação, as funções e os requisitos das entidades de serviço Citrix DaaS.
Registo de aplicações
O registro de aplicativo é o processo de criação de uma relação de confiança unidirecional entre uma conta do Citrix Cloud e o Azure para que o Citrix Cloud confie no Azure. O processo de registro do aplicativo cria uma conta principal de serviço do Azure que o Citrix Cloud pode usar para todas as ações do Azure por meio da conexão de hospedagem. A conexão de hospedagem configurada no console do Citrix Cloud vincula o Citrix Cloud por meio dos conectores de nuvem a locais de recursos no Azure.
Você deve conceder à entidade de serviço acesso aos grupos de recursos que contêm recursos da Citrix. Dependendo da postura de segurança da sua organização, você pode fornecer acesso à assinatura no nível de Colaborador ou criar uma função personalizada para a entidade de serviço.
Quando você cria a entidade de serviço no Microsoft Entra ID, defina os seguintes valores:
Adicione um URI de redirecionamento e defina-o como Web com um valor de
https://citrix.cloud.com.Para Permissões de API, adicione a API de Gerenciamento de Serviços do Azure na guia APIs que minha organização usa e selecione a user_impersonation permissão delegada.
Para Certificados & segredos, crie um Novo segredo de cliente que tenha um período de expiração recomendado de um ano. Você deve atualizar regularmente esse segredo como parte de sua agenda de rotação de chaves de segurança.
Você precisa do ID do aplicativo (cliente) e do valor secreto do cliente do registro do aplicativo para configurar a configuração da conexão de hospedagem no Citrix Cloud.
Aplicações Empresariais
Dependendo da configuração do Citrix Cloud e do Microsoft Entra, você pode adicionar um ou mais aplicativos empresariais do Citrix Cloud ao locatário do Microsoft Entra. Esses aplicativos concedem ao Citrix Cloud acesso aos dados armazenados no locatário do Microsoft Entra. A tabela a seguir lista as IDs de aplicativos e funções dos aplicativos corporativos do Citrix Cloud no Microsoft Entra ID.
| ID do aplicativo corporativo | Propósito |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | A conexão padrão entre o Microsoft Entra ID e o Citrix Cloud |
| 1B32F261-B20C-4399-8368-C8F0092B4470 | Convites e entradas de administrador |
| E95C4605-AEAB-48D9-9C36-1A262EF8048E | O início de sessão do subscritor da Área de Trabalho |
| 5c913119-2257-4316-9994-5e8f3832265b | A conexão padrão entre o Microsoft Entra ID e o Citrix Cloud com o Citrix Endpoint Management |
| E067934C-B52D-4E92-B1CA-70700BD1124E | A conexão herdada entre o Microsoft Entra ID e o Citrix Cloud com o Citrix Endpoint Management |
Cada aplicativo corporativo concede permissões específicas do Citrix Cloud para a API do Microsoft Graph ou para a API do Microsoft Entra. Por exemplo, o aplicativo de entrada do assinante do Espaço de Trabalho concede permissões User.Read para ambas as APIs para que os usuários possam entrar e ler seus perfis. Para obter mais informações, consulte Permissões do Microsoft Entra para o Citrix Cloud.
Funções incorporadas
Depois de criar a entidade de serviço, conceda-lhe a função de Colaborador no nível da assinatura. Para conceder permissões de Colaborador no nível da assinatura, você precisa pelo menos da função de Administrador de Controle de Acesso Baseado em Função do Azure. O Azure solicita as permissões necessárias durante a conexão inicial do Citrix Cloud com o Microsoft Entra ID.
Todas as contas que você usa para autenticação ao criar a conexão de host também devem ser pelo menos um Colaborador na assinatura. Esse nível de permissões permite que o Citrix Cloud crie os objetos necessários sem restrições. Normalmente, você usa essa abordagem quando toda a assinatura só tem recursos da Citrix.
Alguns ambientes não permitem que as entidades de serviço tenham permissões de Colaborador em um nível de assinatura. A Citrix fornece uma solução alternativa chamada entidade de serviço de escopo estreito. Para uma entidade de serviço de escopo restrito, um Administrador de Aplicativo na Nuvem conclui um registro de aplicativo manualmente e, em seguida, um administrador de assinatura concede manualmente à conta da entidade de serviço as permissões apropriadas.
As entidades de serviço de escopo restrito não têm permissões de Colaborador para toda a assinatura. Eles só têm permissões para os grupos de recursos, redes e imagens de que precisam para criar e gerenciar catálogos de máquinas. As entidades de serviço de escopo restrito exigem as seguintes funções:
Os grupos de recursos pré-criados requerem um Colaborador de Máquina Virtual, um Colaborador de Conta de Armazenamento e um Colaborador de Instantâneo de Disco.
As redes virtuais requerem um Colaborador de Máquina Virtual.
As contas de armazenamento requerem um Colaborador de Máquina Virtual.
Funções personalizadas
As entidades de serviço de escopo estreito têm amplas permissões de Colaborador , que podem não se adequar a ambientes sensíveis à segurança. Para fornecer uma abordagem mais granular, você pode usar duas funções personalizadas para fornecer às entidades de serviço as permissões necessárias. A função Citrix_Hosting_Connection concede acesso para criar uma conexão de hospedagem e a função Citrix_Machine_Catalog concede acesso para criar cargas de trabalho da Citrix.
Citrix_Hosting_Connection papel
A seguinte descrição JSON da função Citrix_Hosting_Connection tem as permissões mínimas necessárias para criar uma conexão de hospedagem. Se você usar apenas instantâneos ou somente discos para imagens douradas do catálogo da máquina, poderá remover a permissão não utilizada da actions lista.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as cloud connectors, golden images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Atribua a função personalizada Citrix_Hosting_Connection aos Citrix_Infrastructure grupos de recursos que tenham conector de nuvem, imagem dourada ou recursos de rede virtual neles. Você pode copiar e colar essa descrição de função JSON diretamente em sua definição de função personalizada do Microsoft Entra.
Citrix_Machine_Catalog papel
A seguinte descrição JSON da função Citrix_Machine_Catalog tem as permissões mínimas necessárias para o Assistente de Catálogo de Máquinas Citrix criar os recursos necessários no Azure.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "The minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that run the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Atribua a função personalizada Citrix_Machine_Catalog aos Citrix_MachineCatalog grupos de recursos que contêm as máquinas virtuais (VMs) do Citrix Virtual Delivery Agent (VDA). Você pode copiar e colar essa descrição de função JSON diretamente em sua definição de função personalizada do Microsoft Entra.
Rede
Os NSGs têm monitoração de estado, portanto, permitem tráfego de retorno que pode ser aplicado a uma VM, uma sub-rede ou ambos. Quando existem NSGs de sub-rede e VM, os NSGs de sub-rede aplicam-se primeiro ao tráfego de entrada e os NSGs de VM aplicam-se primeiro ao tráfego de saída. Por padrão, uma rede virtual permite todo o tráfego entre hosts e todo o tráfego de entrada de um balanceador de carga. Por padrão, uma rede virtual permite apenas o tráfego de saída da Internet e nega todo o outro tráfego de saída.
Para limitar potenciais vetores de ataque e aumentar a segurança da implantação, use NSGs para permitir apenas o tráfego esperado no ambiente Citrix Cloud. A tabela a seguir lista as portas de rede e os protocolos necessários que uma implantação da Citrix deve permitir. Essa lista inclui apenas as portas que a infraestrutura da Citrix usa e não inclui as portas que seus aplicativos usam. No NSG que protege as VMs, certifique-se de definir todas as portas.
| Origem | Destino | Protocolo | Porta | Objetivo |
|---|---|---|---|---|
| Conectores na nuvem | *.digicert.com |
HTTP | 80 | Verificação de revogação de certificados |
| Conectores na nuvem | *.digicert.com |
HTTPS | 443 | Verificação de revogação de certificados |
| Conectores na nuvem | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Verificação de revogação de certificados |
| Conectores na nuvem | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Verificação de revogação de certificados |
| Conectores na nuvem | Conectores na nuvem | Protocolo de Controlo de Transmissão (TCP) | 80 | Comunicação entre controladores |
| Conectores na nuvem | Conectores na nuvem | TCP | 89 | Cache de host local |
| Conectores na nuvem | Conectores na nuvem | TCP | 9095 | Serviço de orquestração |
| Conectores na nuvem | VDA | TCP, Protocolo de Datagrama do Usuário (UDP) | 1494 | Protocolo ICA/HDX O Transporte de Dados Esclarecido (EDT) requer UDP |
| Conectores na nuvem | VDA | TCP, UDP | 2598 | Fiabilidade da sessão EDT requer UDP |
| Conector de nuvem | VDA | TCP | 80 (bidireto) | Descoberta de aplicativos e desempenho |
| VDA | Serviço de gateway | TCP | 443 | Protocolo de Encontro |
| VDA | Serviço de gateway | UDP | 443 | EDT e UDP sobre 443 para serviço de gateway |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP, UDP | 443 | Domínios e subdomínios do serviço de gateway |
| Serviços de provisionamento da Citrix | Conectores na nuvem | HTTPS | 443 | Integração com o Citrix Cloud Studio |
| Servidor de licenças Citrix | Citrix Cloud | HTTPS | 443 | Integração com o Citrix Cloud Licensing |
| SDK do PowerShell Remoto CVAD | Citrix Cloud | HTTPS | 443 | Qualquer sistema que execute scripts remotos do PowerShell por meio do SDK |
| Agente WEM (Workspace Environment Management, gerenciamento de ambiente de trabalho) | Serviço WEM | HTTPS | 443 | Comunicação entre agentes e serviços |
| Agente WEM | Conectores na nuvem | TCP | 443 | Tráfego de registo |
Para obter informações sobre os requisitos de rede e porta para o Citrix Application Delivery Management, consulte Requisitos do sistema.
Antivírus
O software antivírus é um elemento crucial para a proteção do ambiente do usuário. Para garantir um bom funcionamento, configure o antivírus adequadamente em um ambiente Citrix DaaS. A configuração incorreta do antivírus pode resultar em problemas de desempenho, experiências degradadas do cliente ou tempos limite e falhas de vários componentes. Para obter mais informações sobre como configurar antivírus em seu ambiente Citrix DaaS, consulte Práticas recomendadas de segurança de endpoint, antivírus e antimalware.
Próximo passo
Analise as considerações críticas de design e as recomendações para continuidade de negócios e recuperação de desastres específicas para a implantação do Citrix no Azure.