Säkerhetsstyrning och efterlevnad för Citrix i Azure
Citrix DaaS-distributioner i Azure kräver korrekt säkerhetsstyrning och efterlevnad. För att uppnå driftskvalitet och framgång utformar du Din Citrix DaaS-miljö med lämpliga principer.
Designöverväganden och rekommendationer
Azure Policy är ett viktigt verktyg för Citrix i Azure-distributioner. Principer kan hjälpa dig att följa de säkerhetsstandarder som molnplattformsteamet ställer in. För att stödja kontinuerlig regelefterlevnad kan principer automatiskt framtvinga regler och tillhandahålla rapporter.
Granska din principbaslinje med ditt plattformsteam i enlighet med riktlinjerna för Azure-styrning . Använd principdefinitioner i rothanteringsgruppen på den översta nivån så att du kan tilldela definitioner i ärvda omfång.
Den här artikeln fokuserar på identitets-, nätverks- och antivirusrekommendationer.
I identitetsavsnitten beskrivs Citrix DaaS-tjänstens identitet och dess krav.
Nätverksavsnittet beskriver kraven för nätverkssäkerhetsgruppen (NSG).
Antivirusavsnittet innehåller en länk till metodtips för att konfigurera antivirusskydd i en DaaS-miljö.
Roller och identiteter för tjänstens huvudnamn
I följande avsnitt beskrivs skapande, roller och krav för Citrix DaaS-tjänstens huvudnamn.
Appregistrering
Appregistrering är processen att skapa en enkelriktad förtroenderelation mellan ett Citrix Cloud-konto och Azure så att Citrix Cloud litar på Azure. Appregistreringsprocessen skapar ett Konto för Azure-tjänstens huvudnamn som Citrix Cloud kan använda för alla Azure-åtgärder via värdanslutningen. Värdanslutningen som konfigureras i Citrix-molnkonsolen länkar Citrix Cloud via molnanslutningarna till resursplatser i Azure.
Du måste ge tjänstens huvudnamn åtkomst till de resursgrupper som innehåller Citrix-resurser. Beroende på organisationens säkerhetsstatus kan du antingen ge prenumerationsåtkomst på deltagarnivå eller skapa en anpassad roll för tjänstens huvudnamn.
När du skapar tjänstens huvudnamn i Microsoft Entra-ID anger du följande värden:
Lägg till en omdirigerings-URI och ställ in den på Webben med värdet
https://citrix.cloud.com.För API-behörigheter lägger du till Azure Services Management API från fliken API:er som min organisation använder och väljer user_impersonation delegerad behörighet.
För Certifikat och hemligheter skapar du en ny klienthemlighet som har en rekommenderad förfalloperiod på ett år. Du måste regelbundet uppdatera den här hemligheten som en del av ditt rotationsschema för säkerhetsnycklar.
Du behöver både program-ID:t (klient) och klienthemlighetsvärdet från appregistreringen för att konfigurera konfigurationen av värdanslutningen i Citrix Cloud.
Företagsprogram
Beroende på din Citrix Cloud- och Microsoft Entra-konfiguration kan du lägga till ett eller flera Citrix Cloud-företagsprogram till din Microsoft Entra-klientorganisation. Dessa program ger Citrix Cloud åtkomst till data som lagras i Microsoft Entra-klientorganisationen. I följande tabell visas program-ID:t och funktionerna i Citrix Cloud Enterprise-program i Microsoft Entra-ID.
| Företagsprogram-ID | Syfte |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | Standardanslutningen mellan Microsoft Entra ID och Citrix Cloud |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Administratörsinbjudningar och inloggningar |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | Inloggning för arbetsytans prenumerant |
| 5c913119-2257-4316-9994-5e8f3832265b | Standardanslutningen mellan Microsoft Entra ID och Citrix Cloud med Citrix Endpoint Management |
| e067934c-b52d-4e92-b1ca-70700bd1124e | Den äldre anslutningen mellan Microsoft Entra ID och Citrix Cloud med Citrix Endpoint Management |
Varje företagsprogram ger Citrix Cloud specifika behörigheter till antingen Microsoft Graph API eller Microsoft Entra API. Till exempel ger inloggningsprogrammet för arbetsytans prenumerant användarbehörigheter.Läs till båda API:erna så att användarna kan logga in och läsa sina profiler. Mer information finns i Microsoft Entra-behörigheter för Citrix Cloud.
Inbyggda roller
När du har skapat tjänstens huvudnamn beviljar du rollen Deltagare på prenumerationsnivå. Om du vill bevilja deltagarbehörigheter på prenumerationsnivå behöver du minst rollen Administratör för Azure-rollbaserad åtkomstkontroll. Azure frågar efter de behörigheter som krävs under den första anslutningen från Citrix Cloud till Microsoft Entra ID.
Alla konton som du använder för autentisering när du skapar värdanslutningen måste också vara minst deltagare i prenumerationen. Med den här behörighetsnivån kan Citrix Cloud skapa nödvändiga objekt utan begränsning. Vanligtvis använder du den här metoden när hela prenumerationen bara har Citrix-resurser.
Vissa miljöer tillåter inte att tjänstens huvudnamn har deltagarbehörighet på prenumerationsnivå. Citrix tillhandahåller en alternativ lösning som kallas för tjänstens huvudnamn med begränsad omfattning. För ett huvudnamn för tjänsten med begränsat omfång slutför en molnprogramadministratör en programregistrering manuellt och sedan ger en prenumerationsadministratör manuellt kontot för tjänstens huvudnamn lämpliga behörigheter.
Tjänstens huvudnamn med begränsat omfång har inte deltagarbehörighet till hela prenumerationen. De har bara behörighet till de resursgrupper, nätverk och avbildningar som de behöver för att skapa och hantera datorkataloger. Tjänstens huvudnamn med begränsat omfång kräver följande roller:
Förskapade resursgrupper kräver en virtuell datordeltagare, lagringskontodeltagare och diskögonblicksdeltagare.
Virtuella nätverk kräver en virtuell datordeltagare.
Lagringskonton kräver en virtuell datordeltagare.
Anpassade roller
Tjänstens huvudnamn med begränsat omfång har breda deltagarbehörigheter , vilket kanske inte passar säkerhetskänsliga miljöer. För att tillhandahålla en mer detaljerad metod kan du använda två anpassade roller för att ge tjänstens huvudnamn nödvändiga behörigheter. Rollen Citrix_Hosting_Connection ger åtkomst till att skapa en värdanslutning och rollen Citrix_Machine_Catalog ger åtkomst till att skapa Citrix-arbetsbelastningar.
Citrix_Hosting_Connection roll
Följande JSON-beskrivning av Citrix_Hosting_Connection-rollen har de minsta behörigheter som du behöver för att skapa en värdanslutning. Om du endast använder ögonblicksbilder eller endast diskar för gyllene avbildningar i datorkatalogen kan du ta bort den oanvända behörigheten actions från listan.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as cloud connectors, golden images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Tilldela den Citrix_Hosting_Connection anpassade rollen till de Citrix_Infrastructure resursgrupper som har molnanslutning, gyllene avbildning eller virtuella nätverksresurser i sig. Du kan kopiera och klistra in den här JSON-rollbeskrivningen direkt i din anpassade Microsoft Entra-rolldefinition.
Citrix_Machine_Catalog roll
Följande JSON-beskrivning av Citrix_Machine_Catalog-rollen har de minsta behörigheter som du behöver för guiden Citrix Machine Catalog för att skapa de resurser som krävs i Azure.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "The minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that run the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Tilldela den Citrix_Machine_Catalog anpassade rollen till de Citrix_MachineCatalog resursgrupper som innehåller virtuella Citrix Virtual Delivery Agent-datorer (VDA). Du kan kopiera och klistra in den här JSON-rollbeskrivningen direkt i din anpassade Microsoft Entra-rolldefinition.
Nätverk
NSG:erna är tillståndskänsliga, så de tillåter returtrafik som kan tillämpas på en virtuell dator, ett undernät eller både och. När det finns både undernäts- och VM-NSG:er gäller NSG:erna för undernätet först för inkommande trafik, och de virtuella datorernas NSG:er gäller först för utgående trafik. Som standard tillåter ett virtuellt nätverk all trafik mellan värdar och all inkommande trafik från en lastbalanserare. Som standard tillåter ett virtuellt nätverk endast utgående Internettrafik och nekar all annan utgående trafik.
Om du vill begränsa potentiella attackvektorer och öka distributionssäkerheten använder du NSG:er för att endast tillåta förväntad trafik i Citrix Cloud-miljön. I följande tabell visas de nödvändiga nätverksportar och protokoll som en Citrix-distribution måste tillåta. Den här listan innehåller endast de portar som Citrix-infrastrukturen använder och inte innehåller de portar som dina program använder. I den NSG som skyddar de virtuella datorerna måste du definiera alla portar.
| Källa | Mål | Protokoll | Port | Syfte |
|---|---|---|---|---|
| Molnanslutningar | *.digicert.com |
HTTP | 80 | Kontroll av återkallade certifikat |
| Molnanslutningar | *.digicert.com |
HTTPS | 443 | Kontroll av återkallade certifikat |
| Molnanslutningar | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Kontroll av återkallade certifikat |
| Molnanslutningar | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Kontroll av återkallade certifikat |
| Molnanslutningar | Molnanslutningar | TCP (Transmission Control Protocol) | 80 | Kommunikation mellan styrenheter |
| Molnanslutningar | Molnanslutningar | TCP | 89 | Lokal värdcache |
| Molnanslutningar | Molnanslutningar | TCP | 9095 | Orkestreringstjänst |
| Molnanslutningar | VDA | TCP, Udp (User Datagram Protocol) | 1494 | ICA/HDX-protokoll EDT (Enlightened Data Transport) kräver UDP |
| Molnanslutningar | VDA | TCP, UDP | 2598 | Sessionstillförlitlighet EDT kräver UDP |
| Molnanslutning | VDA | TCP | 80 (dubbelriktad) | Program- och prestandaidentifiering |
| VDA | Gateway-tjänst | TCP | 443 | Rendezvous Protocol |
| VDA | Gateway-tjänst | UDP | 443 | EDT- och UDP-tjänst över 443 till gateway |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP, UDP | 443 | Gatewaytjänstdomäner och underdomäner |
| Citrix Provisioning Services | Molnanslutningar | HTTPS | 443 | Citrix Cloud Studio-integrering |
| Citrix-licensserver | Citrix Cloud | HTTPS | 443 | Citrix Cloud Licensing-integrering |
| CVAD Remote PowerShell SDK | Citrix Cloud | HTTPS | 443 | Alla system som kör PowerShell-fjärrskript via SDK |
| WEM-agent (Workspace Environment Management) | WEM-tjänst | HTTPS | 443 | Kommunikation mellan agenter och tjänster |
| WEM-agent | Molnanslutningar | TCP | 443 | Registreringstrafik |
Information om nätverks- och portkrav för Citrix Application Delivery Management finns i Systemkrav.
Antivirus
Antivirusprogram är ett viktigt element för användarens miljöskydd. För att säkerställa en smidig åtgärd konfigurerar du antivirusprogrammet på rätt sätt i en Citrix DaaS-miljö. Felaktig antiviruskonfiguration kan leda till prestandaproblem, försämrade kundupplevelser eller timeouter och fel för olika komponenter. Mer information om hur du konfigurerar antivirus i Citrix DaaS-miljön finns i Metodtips för slutpunktssäkerhet, antivirusprogram och program mot skadlig kod.
Gå vidare
Granska viktiga designöverväganden och rekommendationer för affärskontinuitet och haveriberedskap som är specifika för distributionen av Citrix i Azure.