Azure 上 Citrix 的安全治理與合規性
Azure 上的 Citrix DaaS 部署需要適當的安全性控管和合規性。 若要達到卓越的作業品質並獲得成功,請以適當的原則設計您的 Citrix DaaS 環境。
設計考量和建議
Azure 原則是 Azure 上的 Citrix 部署的重要工具。 這些原則可協助您遵守雲端平台團隊所設定的安全性標準。 為了支援持續性的法規遵循,這些原則可以自動執行法規並提供報告。
根據 Azure 治理指引,與平台團隊一起檢閱您的原則基線。 在頂層根管理群組套用原則定義,以便您可以在繼承範圍指派定義。
本文著重於身分、網路和防毒建議。
服務主體角色和識別
以下各節說明 Citrix DaaS 服務主體的建立、角色和需求。
應用程式註冊
應用程式註冊是在 Citrix 雲端帳戶和 Azure 之間建立單向信任關係的過程,以便 Citrix Cloud 信任 Azure。 該應用程式註冊程序會建立一個 Azure 服務主體帳戶,Citrix 雲端可透過託管連線使用該帳戶執行所有 Azure 動作。 Citrix 雲端主控台中設定的託管連線會透過雲連接器將 Citrix 雲端連線至 Azure 中的資源位置。
您必須授與服務主體存取包含 Citrix 資源的資源群組的權限。 根據組織的安全性狀況,您可以在投稿人層級提供訂閱存取權,或是為服務主體建立自訂角色。
在 Microsoft Entra ID 中建立服務主體時,請設定下列值:
新增重新導向 URI,並將其設定為 Web,且值為
https://citrix.cloud.com。針對 API 權限,從我的組織使用的 API 索引標籤新增 Azure 服務管理 API,並選擇 user_impersonation 委派權限。
對於證書和密碼,請建立一個建議有效期為一年的新用戶端密碼。 您必須定期更新此密碼,作為安全性金鑰輪替計畫的一部分。
您需要應用程式 (用戶端) 識別碼和應用程式註冊的用戶端密碼值,才能在 Citrix 雲端內設定託管連線設定。
企業應用程式
根據您的 Citrix 雲端和 Microsoft Entra 設定,您可以新增一個或多個 Citrix 雲端企業應用程式到您的 Microsoft Entra 租用戶。 這些應用程式允許 Citrix 雲端存取 Microsoft Entra 租用戶中儲存的資料。 下表列出 Microsoft Entra ID 中 Citrix 雲端企業應用程式的應用程式識別碼和功能。
| 企業應用程式識別碼 | 目的 |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | Microsoft Entra ID 與 Citrix 雲端之間的預設連線 |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | 系統管理員邀請和登入 |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | 工作區訂閱者登入 |
| 5c913119-2257-4316-9994-5e8f3832265b | Microsoft Entra ID 與 Citrix 雲端與 Citrix 端點管理之間的預設連線 |
| e067934c-b52d-4e92-b1ca-70700bd1124e | Microsoft Entra ID 與 Citrix 雲端與 Citrix 端點管理之間的舊版連線 |
每個企業應用程式都會授與 Citrix 雲端 Microsoft Graph API 或 Microsoft Entra API 特定權限。 例如,工作區訂閱者登入應用程式會將 User.Read 權限授與兩個 API,以便使用者可以登入並閱讀其設定檔。 如需更多資訊,請參閱適用於 Citrix Cloud 的 Microsoft Entra 權限。
內建角色
建立服務主體後,在訂閱層級授與投稿人角色。 若要在訂閱層級授與投稿人權限,您至少需要 Azure 角色型存取控制系統管理員角色。 從 Citrix 雲端到 Microsoft Entra ID 的初始連線期間,Azure 會提示您所需的權限。
您在建立主機連線時用於驗證的任何帳號也必須至少是訂閱上的投稿人。 此層級的權限可讓 Citrix 雲端不受限制地建立必要的物件。 一般而言,當整個訂閱只有 Citrix 資源時,您會使用此方法。
有些環境不允許服務主體在訂閱層級上擁有投稿人權限。 Citrix 提供了另一種解決方案,稱為窄範圍服務主體。 對於窄範圍服務主體,雲端應用程式管理員會手動完成應用程式註冊,然後訂閱管理員會手動授與服務主體帳戶適當的權限。
窄範圍服務主體對整個訂閱並無投稿人權限。 他們只有建立和管理機器目錄所需的資源群組、網路和影像的權限。 窄範圍服務主管需要以下角色:
預先建立的資源群組需要虛擬機器投稿人、儲存體帳戶投稿人和磁碟快照集投稿人。
虛擬網路需要虛擬機器投稿人。
儲存體帳戶需要虛擬機器投稿人。
自訂角色
狹義範圍的服務主體具有廣泛的投稿人權限,這可能不適合安全性敏感的環境。 若要提供更細緻的方法,您可以使用兩個自訂角色,為服務主體提供必要的權限。 Citrix_Hosting_Connection 角色授與建立託管連線的存取權限,而 Citrix_Machine_Catalog 角色則授與建立 Citrix 工作負載的存取權限。
Citrix_Hosting_Connection 角色
以下 Citrix_Hosting_Connection 角色的 JSON 描述具有建立虛擬託管連線所需的最低權限。 如果您僅將快照或磁碟用於機器目錄黃金影像,您可以從 actions 清單中移除未使用的權限。
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as cloud connectors, golden images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
將 Citrix_Hosting_Connection 自訂角色指定給擁有雲端連線器、黃金影像或虛擬網路資源的 Citrix_Infrastructure 資源群組。 您可以直接複製並貼上此 JSON 角色描述到您的自訂 Microsoft Entra 角色定義中。
Citrix_Machine_Catalog 角色
以下 Citrix_Machine_Catalog 角色的 JSON 描述具有 Citrix Machine Catalog 精靈在 Azure 中建立所需資源時所需的最低權限。
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "The minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that run the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
將 Citrix_Machine_Catalog 自訂角色指定給持有 Citrix 虛擬傳遞代理程式 (VDA) 虛擬機器 (VM) 的 Citrix_MachineCatalog 資源群組。 您可以直接複製並貼上此 JSON 角色描述到您的自訂 Microsoft Entra 角色定義中。
網路
NSG 是有狀態的,因此它們允許可應用於虛擬機器、子網路或兩者的回傳流量。 當子網路和虛擬機器 NSG 都存在時,子網路 NSG 會先套用於傳入流量,而虛擬機器 NSG 會先應用於傳出流量。 預設情況下,虛擬網路允許主機間的所有流量以及來自負載平衡器的所有傳入流量。 在預設情況下,虛擬網路只允許向外的網際網路流量,並拒絕所有其他向外流量。
為了限制潛在的攻擊媒介並提高部署安全性,請使用 NSGs 在 Citrix 雲端環境中僅允許預期的流量。 下表列出 Citrix 部署必須允許的必要網路連接埠和通訊協定。 此清單僅包括 Citrix 基礎結構使用的連接埠,不包括應用程式使用的連接埠。 在保護虛擬機器的 NSG 中,請務必定義所有連接埠。
| 來源 | Destination | 通訊協定 | 連接埠 | 目的 |
|---|---|---|---|---|
| 雲端連接器 | *.digicert.com |
HTTP | 80 | 憑證撤銷檢查 |
| 雲端連接器 | *.digicert.com |
HTTPS | 443 | 憑證撤銷檢查 |
| 雲端連接器 | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | 憑證撤銷檢查 |
| 雲端連接器 | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | 憑證撤銷檢查 |
| 雲端連接器 | 雲端連接器 | 傳輸控制通訊協定 (TCP) | 80 | 控制器之間的通訊 |
| 雲端連接器 | 雲端連接器 | TCP | 89 | 本機主機快取 |
| 雲端連接器 | 雲端連接器 | TCP | 9095 | 協調流程服務 |
| 雲端連接器 | VDA | TCP,使用者資料包通訊協定 (UDP) | 1494 | ICA/HDX 通訊協定 覺察型資料傳輸 (EDT) 需要 UDP |
| 雲端連接器 | VDA | TCP、UDP | 2,598 | 工作階段可靠性 EDT 需要 UDP |
| 雲端連接器 | VDA | TCP | 80 (雙向) | 應用程式和效能探索 |
| VDA | 閘道器服務 | TCP | 443 | Rendezvous 通訊協定 |
| VDA | 閘道器服務 | UDP | 443 | EDT 和 UDP 透過 443 連接至閘道服務 |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP、UDP | 443 | 閘道服務網域和子網域 |
| Citrix 佈建服務 | 雲端連接器 | HTTPS | 443 | Citrix Cloud Studio 整合 |
| Citrix License Server | Citrix Cloud | HTTPS | 443 | Citrix Cloud 授權整合 |
| CVAD 遠端 Powershell SDK | Citrix Cloud | HTTPS | 443 | 任何透過 SDK 執行遠端 PowerShell 指令碼的系統 |
| 工作區環境管理 (WEM) 代理程式 | WEM 服務 | HTTPS | 443 | 代理程式對服務通訊 |
| WEM 代理程式 | 雲端連接器 | TCP | 443 | 註冊流量 |
如需 Citrix 應用程式傳遞管理的網路和連接埠需求資訊,請參閱系統需求。
防毒
防毒軟體是保護使用者環境的重要元素。 為確保順利運作,請在 Citrix DaaS 環境中適當地設定防毒軟體。 不正確的防毒設定可能會導致效能問題、客戶體驗降低,或各種元件超時和故障。 如需如何在 Citrix DaaS 環境中設定防毒軟體的更多資訊,請參閱端點安全性、防毒軟體和防惡意軟體最佳實務。
後續步驟
檢閱 Azure 上的 Citrix 部署特有的業務連續性與災難復原的重要設計考量與建議。