Condividi tramite

Sicurezza, governance e conformità per Citrix in Azure

  • Articolo

Le distribuzioni Citrix DaaS in Azure richiedono una corretta governance e conformità di sicurezza. Per ottenere l'eccellenza operativa e il successo, progettare l'ambiente Citrix DaaS con criteri appropriati.

Considerazioni e raccomandazioni di progettazione

Criteri di Azure è uno strumento importante per le distribuzioni Citrix in Azure. I criteri consentono di rispettare gli standard di sicurezza impostati dal team della piattaforma cloud. Per supportare la conformità continua alle normative, i criteri possono applicare automaticamente le normative e fornire report.

Esaminare la base dei criteri con il team della piattaforma in base alle linee guida sulla Governance di Azure. Applicare le definizioni dei criteri al gruppo di gestione radice di primo livello in modo da assegnare le definizioni agli ambiti ereditati.

Questo articolo è incentrato sulle raccomandazioni relative a identità, rete e antivirus.

  • Le sezioni sull'identità descrivono l'identità del servizio Citrix DaaS e i relativi requisiti.

  • La sezione rete descrive i requisiti del gruppo di sicurezza di rete (NSG).

  • La sezione antivirus fornisce un collegamento alle procedure consigliate per configurare la protezione antivirus in un ambiente DaaS.

Ruoli e identità dell'entità servizio

Le sezioni seguenti descrivono la creazione, i ruoli e i requisiti delle entità servizio Citrix DaaS.

Registrazione app

La registrazione dell'app è il processo di creazione di una relazione di trust unidirezionale tra un account Citrix Cloud e Azure in modo che Citrix Cloud consideri attendibile Azure. Il processo di registrazione dell'app crea un account dell'entità servizio di Azure che Citrix Cloud può usare per tutte le azioni di Azure tramite la connessione di hosting. La connessione di hosting configurata nella console citrix Cloud collega Citrix Cloud tramite i connettori cloud alle posizioni delle risorse in Azure.

È necessario concedere all'entità servizio l'accesso ai gruppi di risorse che contengono risorse Citrix. A seconda del comportamento di sicurezza dell'organizzazione, è possibile fornire l'accesso alla sottoscrizione a livello di Collaboratore o creare un ruolo personalizzato per l'entità servizio.

Quando si crea l'entità servizio in Microsoft Entra ID, impostare i valori seguenti:

  • Aggiungere un URI di reindirizzamento e impostarlo sul Web con il valore https://citrix.cloud.com.

  • Per i permessi API, aggiungere l'API Gestione dei servizi di Azure dalla scheda API che usa la mia organizzazione, quindi selezionare il permesso delegato user_impersonation.

  • Per Certificati & segreti, creare un Nuovo segreto client con un periodo di scadenza consigliato di un anno. È necessario aggiornare regolarmente questo segreto come parte della pianificazione della rotazione delle chiavi di sicurezza.

Sono necessari sia l'ID applicazione (client) che il valore del segreto del client dalla registrazione dell'app per configurare la configurazione della connessione host in Citrix Cloud.

Applicazioni aziendali

A seconda della configurazione di Citrix Cloud e Microsoft Entra, è possibile aggiungere una o più applicazioni aziendali Citrix Cloud al tenant di Microsoft Entra. Queste applicazioni concedono a Citrix Cloud l'accesso ai dati archiviati nel tenant di Microsoft Entra. La tabella seguente elenca gli ID applicazione e le funzioni delle applicazioni aziendali Citrix Cloud in Microsoft Entra ID.

ID applicazione aziendale Scopo
f9c0e999-22e7-409f-bb5e-956986abdf02 Connessione predefinita tra Microsoft Entra ID e Citrix Cloud
1b32f261-b20c-4399-8368-c8f0092b4470 Inviti e accessi degli amministratori
e95c4605-aeab-48d9-9c36-1a262ef8048e Accesso al sottoscrittore dell'area di lavoro
5c913119-2257-4316-9994-5e8f3832265b Connessione predefinita tra Microsoft Entra ID e Citrix Cloud con Citrix Endpoint Management
e067934c-b52d-4e92-b1ca-70700bd1124e Connessione predefinita legacy tra Microsoft Entra ID e Citrix Cloud con Citrix Endpoint Management

Ogni applicazione aziendale concede a Citrix Cloud autorizzazioni specifiche per l'API Microsoft Graph o l'API Microsoft Entra. Ad esempio, l'applicazione di accesso al sottoscrittore dell'area di lavoro concede le autorizzazioni User.Read a entrambe le API in modo che gli utenti possano accedere e leggere i profili. Per maggiori informazioni, consultare la sezione Autorizzazioni Microsoft Entra per Citrix Cloud.

Ruoli predefiniti

Dopo aver creato l'entità servizio, concedere il ruolo Collaboratore a livello di sottoscrizione. Per concedere le autorizzazioni di Collaboratore a livello di sottoscrizione, è necessario almeno il ruolo Amministratore basato su ruoli di Azure Controllo di accesso. Azure richiede le autorizzazioni necessarie durante la connessione iniziale da Citrix Cloud a Microsoft Entra ID.

Tutti gli account usati per l'autenticazione quando si crea la connessione host devono essere almeno un Collaboratore nella sottoscrizione. Questo livello di autorizzazioni consente a Citrix Cloud di creare oggetti necessari senza restrizioni. In genere, si usa questo approccio quando l'intera sottoscrizione ha solo risorse Citrix.

Alcuni ambienti non consentono alle entità servizio di avere autorizzazioni di collaboratore a livello di sottoscrizione. Citrix offre una soluzione alternativa denominata entità servizio con ambito ristretto. Per un'entità servizio con ambito ristretto, un amministratore applicazione cloud completa manualmente una registrazione dell'applicazione e quindi un amministratore della sottoscrizione concede manualmente all'account dell'entità servizio le autorizzazioni appropriate.

Le entità servizio con ambito ristretto non dispongono delle autorizzazioni di Collaboratore per l'intera sottoscrizione. Hanno solo le autorizzazioni per i gruppi di risorse, le reti e le immagini necessarie per creare e gestire cataloghi di computer. Le entità servizio con ambito ristretto richiedono i ruoli seguenti:

  • I gruppi di risorse creati in anteprima richiedono un Collaboratore macchina virtuale, un Collaboratore dell'account di archiviazione e Collaboratore dello snapshot del disco.

  • Le reti virtuali richiedono un Collaboratore macchina virtuale.

  • Gli account di archiviazione richiedono un Collaboratore macchina virtuale.

Ruoli personalizzati

Le entità servizio con ambito ristretto dispongono di autorizzazioni generali di Collaboratore, che potrebbero non essere adatte agli ambienti sensibili alla sicurezza. Per fornire un approccio più granulare, è possibile usare due ruoli personalizzati per fornire alle entità servizio le autorizzazioni necessarie. Il ruolo Citrix_Hosting_Connection concede l'accesso per creare una connessione host e il ruolo Citrix_Machine_Catalog concede l'accesso per creare carichi di lavoro Citrix.

Ruolo Citrix_Hosting_Connection

La descrizione JSON seguente del ruolo Citrix_Hosting_Connection dispone delle autorizzazioni minime necessarie per creare una connessione host. Se si usano solo snapshot o dischi per immagini Golden del catalogo computer, è possibile rimuovere l'autorizzazione inutilizzata dall'elenco actions.

{
    "id": "",
    "properties": {
        "roleName": "Citrix_Hosting_Connection",
        "description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as cloud connectors, golden images, or virtual network resources.",
        "assignableScopes": [
            "/"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Resources/subscriptions/resourceGroups/read",
                    "Microsoft.Compute/snapshots/read",
                    "Microsoft.Compute/disks/read",
                    "Microsoft.Network/virtualNetworks/read",
                    "Microsoft.Network/virtualNetworks/subnets/join/action"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Assegnare il ruolo personalizzato Citrix_Hosting_Connection ai gruppi di risorse Citrix_Infrastructure con connettore cloud, immagine d'oro o risorse di rete virtuale. È possibile copiare e incollare questa descrizione del ruolo JSON direttamente nella definizione del ruolo Microsoft Entra personalizzata.

Ruolo Citrix_Machine_Catalog

La descrizione JSON seguente del ruolo Citrix_Machine_Catalog ha le autorizzazioni minime necessarie per la Creazione guidata catalogo di Citrix Machine per creare le risorse necessarie in Azure.

{
    "id": "",
    "properties": {
    "roleName": "Citrix_Machine_Catalog",
    "description": "The minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that run the Virtual Delivery Agent.",
    "assignableScopes": [
    "/"
    ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Resources/subscriptions/resourceGroups/read",
                    "Microsoft.Storage/storageAccounts/listkeys/action",
                    "Microsoft.Storage/storageAccounts/read",
                    "Microsoft.Storage/storageAccounts/write",
                    "Microsoft.Network/networkSecurityGroups/write",
                    "Microsoft.Compute/virtualMachines/write",
                    "Microsoft.Compute/virtualMachines/start/action",
                    "Microsoft.Compute/virtualMachines/restart/action",
                    "Microsoft.Compute/virtualMachines/read",
                    "Microsoft.Compute/virtualMachines/powerOff/action",
                    "Microsoft.Compute/virtualMachines/performMaintenance/action",
                    "Microsoft.Compute/virtualMachines/deallocate/action",
                    "Microsoft.Compute/virtualMachines/delete",
                    "Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
                    "Microsoft.Compute/virtualMachines/capture/action",
                    "Microsoft.Compute/snapshots/endGetAccess/action",
                    "Microsoft.Compute/snapshots/beginGetAccess/action",
                    "Microsoft.Compute/snapshots/delete",
                    "Microsoft.Compute/snapshots/write",
                    "Microsoft.Compute/snapshots/read",
                    "Microsoft.Compute/disks/endGetAccess/action",
                    "Microsoft.Compute/disks/delete",
                    "Microsoft.Compute/disks/beginGetAccess/action",
                    "Microsoft.Compute/disks/write",
                    "Microsoft.Network/networkSecurityGroups/read",
                    "Microsoft.Network/networkInterfaces/delete",
                    "Microsoft.Network/networkInterfaces/join/action",
                    "Microsoft.Network/networkInterfaces/write",
                    "Microsoft.Network/networkInterfaces/read",
                    "Microsoft.Storage/storageAccounts/listServiceSas/action",
                    "Microsoft.Storage/storageAccounts/listAccountSas/action",
                    "Microsoft.Storage/storageAccounts/delete",
                    "Microsoft.Compute/disks/read",
                    "Microsoft.Resources/subscriptions/resourceGroups/delete",
                    "Microsoft.Resources/subscriptions/resourceGroups/write",
                    "Microsoft.Network/virtualNetworks/subnets/join/action",
                    "Microsoft.Network/virtualNetworks/subnets/read",
                    "Microsoft.Network/virtualNetworks/read",
                    "Microsoft.Network/networkSecurityGroups/join/action"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Assegnare il ruolo personalizzato Citrix_Machine_Catalog ai gruppi di risorse Citrix_MachineCatalog che contengono le macchine virtuali (VDA) citrix Virtual Delivery Agent (VDA). È possibile copiare e incollare questa descrizione del ruolo JSON direttamente nella definizione del ruolo Microsoft Entra personalizzata.

Rete

Gli NSG sono con stato, quindi consentono il traffico di ritorno che può essere applicato a una macchina virtuale, a una subnet o a entrambi. Quando esistono NSG di subnet e VM, gli NSG della subnet si applicano prima per il traffico in ingresso e i gruppi di sicurezza di rete delle macchine virtuali si applicano prima per il traffico in uscita. Per impostazione predefinita, una rete virtuale consente tutto il traffico tra host e tutto il traffico in ingresso da un servizio di load balancer. Per impostazione predefinita, una rete virtuale consente solo il traffico Internet in uscita e nega tutto l'altro traffico in uscita.

Per limitare potenziali vettori di attacco e aumentare la sicurezza della distribuzione, usare i gruppi di sicurezza di rete per consentire solo il traffico previsto nell'ambiente Citrix Cloud. La tabella seguente elenca le porte e i protocolli di rete necessari che devono essere consentiti da una distribuzione Citrix. Questo elenco include solo le porte usate dall'infrastruttura Citrix e non include le porte usate dalle applicazioni. Nell'NSG che protegge le VM, assicurarsi di definire tutte le porte.

Source (Sorgente) Destination Protocollo Porta Scopo
Connettori cloud *.digicert.com HTTP 80 Verifica della revoca del certificato
Connettori cloud *.digicert.com HTTPS 443 Verifica della revoca del certificato
Connettori cloud dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt HTTPS 443 Verifica della revoca del certificato
Connettori cloud dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt HTTPS 443 Verifica della revoca del certificato
Connettori cloud Connettori cloud TCP (Transmission Control Protocol) 80 Comunicazione tra controller
Connettori cloud Connettori cloud TCP 89 Cache host locale
Connettori cloud Connettori cloud TCP 9095 Servizio di orchestrazione
Connettori cloud VDA TCP, User Datagram Protocol (UDP) 1494 Protocollo ICA/HDX

Il trasporto dati con riconoscimento dei dati (EDT) richiede UDP
Connettori cloud VDA TCP, UDP 2598 Affidabilità della sessione

EDT richiede UDP
Connettore cloud VDA TCP 80 (bidirezionale) Individuazione delle applicazioni e delle prestazioni
VDA Servizio gateway TCP 443 Protocollo Rendezvous
VDA Servizio gateway UDP 443 EDT e UDP su 443 al servizio Gateway
VDA *.nssvc.net

*.c.nssv.net

*.g.nssv.net		 TCP, UDP 443 Domini del servizio gateway e sottodomini
Citrix Provisioning Services Connettori cloud HTTPS 443 Integrazione di Citrix Cloud Studio
Server licenze Citrix Citrix Cloud HTTPS 443 Integrazione delle licenze di Citrix Cloud
SDK PowerShell remoto CVAD Citrix Cloud HTTPS 443 Qualsiasi sistema che esegue script di PowerShell remoti tramite l'SDK
Agente di gestione dell'ambiente dell'area di lavoro (WEM) Servizio WEM HTTPS 443 Agente di comunicazione tra servizi
Agente WEM Connettori cloud TCP 443 Traffico registrazioni

Per informazioni sui requisiti di rete e porta per Citrix Application Delivery Management, consultare la sezione Requisiti di sistema.

Antivirus

Il software antivirus è un elemento fondamentale per la protezione dell'ambiente utente. Per garantire un funzionamento senza problemi, configurare l'antivirus in modo appropriato in un ambiente Citrix DaaS. Una configurazione antivirus non corretta può causare problemi di prestazioni, esperienze dei clienti ridotte o timeout e errori di vari componenti. Per maggiori informazioni su come configurare l'antivirus nell'ambiente Citrix DaaS, consultare la sezione Procedure consigliate per la sicurezza degli endpoint, l'antivirus e l'antimalware.

Passaggio successivo

Esaminare le considerazioni e le raccomandazioni di progettazione critiche per la continuità aziendale e il ripristino di emergenza specifici per la distribuzione di Citrix in Azure.