Documentation produit
Citrix Cloud™
Voir PDF

Guide de déploiement sécurisé pour la plateforme Citrix Cloud™

April 2, 2026
Contributeur: 
C C

Le Guide de déploiement sécurisé pour Citrix Cloud fournit un aperçu des meilleures pratiques de sécurité lors de l’utilisation de Citrix Cloud et décrit les informations que Citrix Cloud collecte et gère.

  • Présentations techniques de la sécurité des services

  • Consultez les articles suivants pour plus d’informations sur la sécurité des données au sein des services cloud Citrix :

  • Présentation technique de la sécurité d’Analytics
  • Présentation technique de la sécurité d’Endpoint Management
  • Présentation technique de la sécurité de Remote Browser Isolation
  • Présentation technique de la sécurité de Citrix DaaS

  • Présentation technique de la sécurité de Citrix DaaS Standard pour Azure

  • Conseils pour les administrateurs

  • Utilisez des mots de passe forts et modifiez-les régulièrement.
  • Tous les administrateurs d’un compte client peuvent ajouter et supprimer d’autres administrateurs. Assurez-vous que seuls les administrateurs de confiance ont accès à Citrix Cloud.
  • Les administrateurs d’un client ont, par défaut, un accès complet à tous les services. Certains services offrent la possibilité de restreindre l’accès d’un administrateur. Consultez la documentation de chaque service pour plus d’informations.
  • L’authentification à deux facteurs pour les administrateurs Citrix Cloud est réalisée à l’aide du fournisseur d’identité Citrix par défaut. Lorsque les administrateurs s’inscrivent à Citrix Cloud ou sont invités à rejoindre un compte Citrix Cloud, ils doivent s’inscrire à l’authentification multifacteur (MFA). Si un client utilise Microsoft Azure pour authentifier les administrateurs Citrix Cloud, l’authentification multifacteur peut être configurée comme décrit dans Configurer les paramètres d’authentification multifacteur Azure AD sur le site web de Microsoft.
  • Par défaut, Citrix Cloud met fin automatiquement aux sessions administrateur après 72 heures, quelle que soit l’activité de la console. Ce délai d’expiration ne peut pas être modifié.

  • Les comptes administrateur peuvent être associés à un maximum de 100 comptes client. Si un administrateur doit gérer plus de 100 comptes client, il doit créer un compte administrateur distinct avec une adresse e-mail différente pour gérer les comptes client supplémentaires. Alternativement, il peut être retiré en tant qu’administrateur des comptes client qu’il n’a plus besoin de gérer.

  • Conformité des mots de passe

Citrix Cloud invite les administrateurs à modifier leur mot de passe si l’une des conditions suivantes est remplie :

  • Le mot de passe actuel n’a pas été utilisé pour se connecter depuis plus de 60 jours.
  • Le mot de passe actuel a été répertorié dans une base de données connue de mots de passe compromis.

Les nouveaux mots de passe doivent respecter tous les critères suivants :

  • Au moins 8 caractères (128 caractères maximum)
  • Comprend au moins une lettre majuscule et une lettre minuscule
  • Comprend au moins un chiffre
  • Comprend au moins un caractère spécial : ! @ # $ % ^ * ? + = -

Règles de modification des mots de passe :

  • Le mot de passe actuel ne peut pas être utilisé comme nouveau mot de passe.
  • Les 5 mots de passe précédents ne peuvent pas être réutilisés.
  • Le nouveau mot de passe ne peut pas être similaire au nom d’utilisateur du compte.
  • Le nouveau mot de passe ne doit pas être répertorié dans une base de données connue de mots de passe compromis. Citrix Cloud utilise une liste fournie par https://haveibeenpwned.com/ pour déterminer si les nouveaux mots de passe enfreignent cette condition.

Chiffrement et gestion des clés

Le plan de contrôle Citrix Cloud ne stocke pas d’informations client sensibles. Au lieu de cela, Citrix Cloud récupère des informations telles que les mots de passe des administrateurs à la demande (en invitant explicitement l’administrateur).

Pour les données au repos, le stockage Citrix Cloud est chiffré à l’aide de clés AES-256 bits ou supérieures. Ces clés sont gérées par Citrix.

Pour les données en transit, Citrix utilise la norme industrielle TLS 1.2 avec les suites de chiffrement les plus robustes. Les clients ne peuvent pas contrôler le certificat TLS utilisé, car Citrix Cloud est hébergé sur le domaine cloud.com appartenant à Citrix. Pour accéder à Citrix Cloud, les clients doivent utiliser un navigateur compatible avec TLS 1.2 et disposer de suites de chiffrement acceptées configurées.

Les chiffrements robustes suivants sont recommandés : TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Remarque :

Bien que TLS 1.2 soit requis, certains services peuvent négocier TLS 1.3 pour une sécurité et des performances améliorées. Les clients sont encouragés à autoriser la négociation de TLS 1.2 et TLS 1.3 par leurs clients. Les chiffrements robustes suivants sont recommandés :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Pour plus d’informations sur la protection des données des services Citrix Cloud, consultez la Présentation de la protection des données des services Citrix Cloud sur le site web de Citrix.

Pour plus d’informations sur le chiffrement et la gestion des clés au sein de chaque service cloud, consultez la documentation du service.

Souveraineté des données

Le plan de contrôle Citrix Cloud est hébergé aux États-Unis, dans l’Union européenne et en Australie. Les clients n’ont aucun contrôle sur cela.

Le client possède et gère les emplacements de ressources qu’il utilise avec Citrix Cloud. Un emplacement de ressource peut être créé dans n’importe quel centre de données, cloud, emplacement ou zone géographique souhaité par le client. Toutes les données commerciales critiques (telles que les documents, les feuilles de calcul, etc.) sont stockées dans des emplacements de ressources et sont sous le contrôle du client.

D’autres services peuvent avoir une option pour stocker des données dans différentes régions. Consultez la rubrique Considérations géographiques ou les Présentations techniques de la sécurité (énumérées au début de cet article) pour chaque service.

Aperçu des problèmes de sécurité

Le site web status.cloud.com offre une visibilité sur les problèmes de sécurité ayant un impact continu sur le client. Le site enregistre les informations d’état et de disponibilité. Il est possible de s’abonner aux mises à jour de la plateforme ou des services individuels.

Citrix Cloud Connector™

Installation du Cloud Connector

Pour des raisons de sécurité et de performances, Citrix® recommande aux clients de ne pas installer le logiciel Cloud Connector sur un contrôleur de domaine.

De plus, Citrix recommande fortement que les machines sur lesquelles le logiciel Cloud Connector est installé se trouvent à l’intérieur du réseau privé du client et non dans la DMZ. Pour connaître la configuration requise pour le réseau et le système, ainsi que les instructions d’installation du Cloud Connector, consultez Citrix Cloud Connector.

  • Configuration du Cloud Connector

  • Le client est responsable de la mise à jour des machines sur lesquelles le Cloud Connector est installé avec les mises à jour de sécurité Windows.

Les clients peuvent utiliser un antivirus en parallèle du Cloud Connector. Citrix prend en charge les clients qui utilisent des produits antivirus conformes aux normes de l’industrie.

Dans l’Active Directory (AD) du client, Citrix recommande fortement que le compte machine du Cloud Connector soit limité à un accès en lecture seule. Il s’agit de la configuration par défaut dans Active Directory. De plus, le client peut activer la journalisation et l’audit AD sur le compte machine du Cloud Connector pour surveiller toute activité d’accès à l’AD.

  • Connexion à la machine hébergeant le Cloud Connector

Le Cloud Connector permet aux informations de sécurité sensibles de transiter vers d’autres composants de la plateforme dans les services Citrix Cloud, mais il stocke également les informations sensibles suivantes :

-  Clés de service pour la communication avec Citrix Cloud

  • -  Informations d’identification du service d’hyperviseur pour la gestion de l’alimentation dans Citrix DaaS (anciennement service Citrix Virtual Apps and Desktops™)

Ces informations sensibles sont chiffrées à l’aide de l’API de protection des données (DPAPI) sur le serveur Windows hébergeant le Cloud Connector. Citrix recommande fortement de n’autoriser que les administrateurs les plus privilégiés à se connecter aux machines Cloud Connector (par exemple, pour effectuer des opérations de maintenance). En général, il n’est pas nécessaire qu’un administrateur se connecte à ces machines pour gérer un produit Citrix. Le Cloud Connector est autonome à cet égard.

N’autorisez pas les utilisateurs finaux à se connecter aux machines hébergeant le Cloud Connector.

Installation d’autres logiciels sur les machines Cloud Connector

Les clients peuvent installer un logiciel antivirus et des outils d’hyperviseur (s’ils sont installés sur une machine virtuelle) sur les machines où le Cloud Connector est installé. Cependant, Citrix recommande aux clients de ne pas installer d’autres logiciels sur ces machines. D’autres logiciels créent des vecteurs d’attaque de sécurité possibles et pourraient réduire la sécurité de la solution Citrix Cloud globale.

Configuration des ports entrants et sortants

Le Cloud Connector nécessite que le port sortant 443 soit ouvert avec un accès à Internet. Citrix recommande fortement que le Cloud Connector n’ait aucun port entrant accessible depuis Internet.

Les clients peuvent placer le Cloud Connector derrière un proxy web pour surveiller ses communications Internet sortantes. Cependant, le proxy web doit prendre en charge la communication chiffrée SSL/TLS.

Le Cloud Connector peut avoir d’autres ports sortants avec accès à Internet. Le Cloud Connector négocie sur une large gamme de ports pour optimiser la bande passante et les performances du réseau si d’autres ports sont disponibles.

Le Cloud Connector doit avoir une large gamme de ports entrants et sortants ouverts au sein du réseau interne. Le tableau suivant répertorie l’ensemble de base des ports ouverts requis.

Port client Port serveur Service
49152 -65535/UDP 123/UDP W32Time
49152 -65535/TCP 135/TCP RPC Endpoint Mapper
49152 -65535/TCP 464/TCP/UDP Kerberos password change
49152 -65535/TCP 49152-65535/TCP RPC for LSA, SAM, Netlogon (*)
49152 -65535/TCP/UDP 389/TCP/UDP LDAP
49152 -65535/TCP 3268/TCP LDAP GC
53, 49152 -65535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP 49152 -65535/TCP FRS RPC (*)
49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
49152 -65535/TCP/UDP 445/TCP SMB

Le Cloud Connector utilise la signature et le scellement LDAP pour sécuriser les connexions au contrôleur de domaine. Cela signifie que LDAP sur SSL (LDAPS) n’est pas requis. Pour plus d’informations sur la signature LDAP, consultez Comment activer la signature LDAP dans Windows Server et Conseils de Microsoft pour l’activation de la liaison de canal LDAP et de la signature LDAP.

Chacun des services utilisés au sein de Citrix Cloud étend la liste des ports ouverts requis. Pour plus d’informations, consultez les ressources suivantes :

-  Présentations techniques de la sécurité pour chaque service (listées au début de cet article) -  Exigences de connectivité Internet pour les services Citrix Cloud -  Exigences de port du service de console

Surveillance de la communication sortante

Le Cloud Connector communique en sortie vers Internet sur le port 443, à la fois avec les serveurs Citrix Cloud et les serveurs Microsoft Azure Service Bus.

  • Le Cloud Connector communique avec les contrôleurs de domaine sur le réseau local qui se trouvent dans la forêt Active Directory où résident les machines hébergeant le Cloud Connector.

En fonctionnement normal, le Cloud Connector communique uniquement avec les contrôleurs de domaine dans les domaines qui ne sont pas désactivés sur la page Gestion des identités et des accès de l’interface utilisateur de Citrix Cloud.

Chaque service au sein de Citrix Cloud étend la liste des serveurs et des ressources internes que le Cloud Connector peut contacter pendant les opérations normales. De plus, les clients ne peuvent pas contrôler les données que le Cloud Connector envoie à Citrix. Pour plus d’informations sur les ressources internes des services et les données envoyées à Citrix, consultez les ressources suivantes :

Affichage des journaux du Cloud Connector

Toute information pertinente ou exploitable pour un administrateur est disponible dans le journal d’événements Windows sur la machine du Cloud Connector.

  • Affichez les journaux d’installation du Cloud Connector dans les répertoires suivants :

  • %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
  • %windir%\Temp\CitrixLogs\CloudServicesSetup

Les journaux de ce que le Cloud Connector envoie au cloud se trouvent dans %ProgramData%\Citrix\WorkspaceCloud\Logs.

Les journaux du répertoire WorkspaceCloud\Logs sont supprimés lorsqu’ils dépassent un seuil de taille spécifié. L’administrateur peut contrôler ce seuil de taille en ajustant la valeur de la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes.

Configuration SSL/TLS

Le serveur Windows hébergeant le Cloud Connector doit avoir les chiffrements détaillés dans Gestion du chiffrement et des clés activés.

Le Cloud Connector doit faire confiance à l’autorité de certification (CA) utilisée par les certificats SSL/TLS de Citrix Cloud et les certificats SSL/TLS de Microsoft Azure Service Bus. Citrix et Microsoft peuvent modifier les certificats et les autorités de certification à l’avenir, mais utilisent toujours des autorités de certification qui font partie de la liste standard des éditeurs approuvés de Windows.

Chaque service au sein de Citrix Cloud peut avoir des exigences de configuration SSL différentes. Pour plus d’informations, consultez les Présentations techniques de la sécurité pour chaque service (listées au début de cet article).

Conformité de la sécurité

Pour garantir la conformité de la sécurité, le Cloud Connector s’auto-gère. Ne désactivez pas les redémarrages et n’imposez pas d’autres restrictions au Cloud Connector. Ces actions empêchent le Cloud Connector de se mettre à jour en cas de mise à jour critique.

Le client n’est pas tenu de prendre d’autres mesures pour réagir aux problèmes de sécurité. Le Cloud Connector applique automatiquement toutes les corrections de sécurité.

Citrix Connector™ Appliance pour les services cloud

Installation du Connector Appliance

Le Connector Appliance est hébergé sur un hyperviseur. Cet hyperviseur doit se trouver au sein de votre réseau privé et non dans la DMZ.

Assurez-vous que le Connector Appliance se trouve derrière un pare-feu qui bloque l’accès par défaut. Utilisez une liste d’autorisation pour n’autoriser que le trafic attendu du Connector Appliance.

Assurez-vous que les hyperviseurs qui hébergent vos Connector Appliances sont installés avec des mises à jour de sécurité à jour.

Pour connaître les exigences réseau et système et les instructions d’installation du Connector Appliance, consultez Connector Appliance pour les services cloud.

Connexion à l’hyperviseur hébergeant un Connector Appliance

L’appliance Connector contient une clé de service pour communiquer avec Citrix Cloud. Autorisez uniquement les administrateurs les plus privilégiés à se connecter à un hyperviseur hébergeant l’appliance Connector (par exemple, pour effectuer des opérations de maintenance). En général, il n’est pas nécessaire qu’un administrateur se connecte à ces hyperviseurs pour gérer un produit Citrix. L’appliance Connector est auto-gérée.

Configuration des ports entrants et sortants

L’appliance Connector nécessite que le port sortant 443 soit ouvert avec un accès à Internet. Citrix recommande fortement que l’appliance Connector n’ait aucun port entrant accessible depuis Internet.

Vous pouvez placer l’appliance Connector derrière un proxy web pour surveiller ses communications Internet sortantes. Cependant, le proxy web doit prendre en charge la communication chiffrée SSL/TLS.

L’appliance Connector peut avoir d’autres ports sortants avec accès à Internet. L’appliance Connector négocie sur une large gamme de ports pour optimiser la bande passante et les performances du réseau si d’autres ports sont disponibles.

L’appliance Connector doit avoir une large gamme de ports entrants et sortants ouverts au sein du réseau interne. Le tableau suivant répertorie l’ensemble de base des ports ouverts requis.

Direction de connexion Port de l’appliance Connector Port externe Service
Entrant 443/TCP Tout Interface utilisateur web locale
Sortant 49152-65535/UDP 123/UDP NTP
Sortant 53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
Sortant 67/UDP 68/UDP DHCP et diffusion
Sortant 49152 -65535/UDP 123/UDP W32Time
Sortant 49152 -65535/TCP 464/TCP/UDP Changement de mot de passe Kerberos
Sortant 49152 -65535/TCP/UDP 389/TCP/UDP LDAP
Sortant 49152 -65535/TCP 3268/TCP GC LDAP
Sortant 49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
Sortant 49152 -65535/TCP/UDP 445/TCP SMB
Sortant 137/UDP 137/UDP Service de noms NetBIOS
Sortant 138/UDP 138/UDP Datagramme NetBIOS
Sortant 139/TCP 139/TCP Session NetBIOS

Chacun des services utilisés au sein de Citrix Cloud étend la liste des ports ouverts requis. Pour plus d’informations, consultez les ressources suivantes :

Surveillance des communications sortantes

L’appliance Connector communique vers Internet sur le port 443 avec les serveurs Citrix Cloud.

Chaque service au sein de Citrix Cloud étend la liste des serveurs et des ressources internes que l’appliance Connector peut contacter pendant les opérations normales. De plus, les clients ne peuvent pas contrôler les données que l’appliance Connector envoie à Citrix. Pour plus d’informations sur les ressources internes des services et les données envoyées à Citrix, consultez les ressources suivantes :

-  [Présentations techniques de la sécurité](/fr-fr/citrix-cloud/overview/secure-deployment-guide-for-the-citrix-cloud-platform.html) pour chaque service (répertoriées au début de cet article)
-  [Exigences système et de connectivité](/fr-fr/citrix-cloud/overview/requirements/internet-connectivity-requirements.html) pour les services Citrix Cloud

Affichage des journaux de l’appliance Connector

Vous pouvez télécharger un rapport de diagnostic pour votre appliance Connector qui inclut divers fichiers journaux. Pour plus d’informations sur l’obtention de ce rapport, consultez Appliance Connector pour les services cloud.

Configuration SSL/TLS

L’appliance Connector ne nécessite aucune configuration SSL/TLS spéciale.

L’appliance Connector fait confiance à l’autorité de certification (CA) utilisée par les certificats SSL/TLS de Citrix Cloud. Citrix peut modifier les certificats et les CA à l’avenir, mais utilisera toujours des CA auxquelles l’appliance Connector fait confiance.

Chaque service au sein de Citrix Cloud peut avoir des exigences de configuration SSL différentes. Pour plus d’informations, consultez les Présentations techniques de la sécurité pour chaque service (répertoriées au début de cet article).

Conformité de la sécurité

Pour assurer la conformité de la sécurité, l’appliance Connector est auto-gérée et vous ne pouvez pas vous y connecter via la console.

Vous n’êtes pas tenu de prendre d’autres mesures pour réagir aux problèmes de sécurité du connecteur. L’appliance Connector applique automatiquement toutes les corrections de sécurité.

Assurez-vous que les hyperviseurs qui hébergent vos appliances Connector sont installés avec des mises à jour de sécurité à jour.

Dans votre Active Directory (AD), nous recommandons que le compte machine de l’appliance Connector soit limité à un accès en lecture seule. Il s’agit de la configuration par défaut dans Active Directory. De plus, le client peut activer la journalisation et l’audit AD sur le compte machine de l’appliance Connector pour surveiller toute activité d’accès AD.

Conseils pour la gestion des comptes compromis

  • Auditez la liste des administrateurs dans Citrix Cloud et supprimez ceux qui ne sont pas fiables.
  • Désactivez tout compte compromis au sein de l’Active Directory de votre entreprise.
  • Contactez Citrix et demandez la rotation des secrets d’autorisation stockés pour tous les Cloud Connectors du client. Selon la gravité de la violation, prenez les mesures suivantes :
    • Faible risque : Citrix peut faire pivoter les secrets au fil du temps. Les Cloud Connectors continuent de fonctionner normalement. Les anciens secrets d’autorisation deviennent invalides en 2 à 4 semaines. Surveillez le Cloud Connector pendant cette période pour vous assurer qu’il n’y a pas d’opérations inattendues.
    • Risque élevé continu : Citrix peut révoquer tous les anciens secrets. Les Cloud Connectors existants ne fonctionneront plus. Pour reprendre un fonctionnement normal, le client doit désinstaller et réinstaller le Cloud Connector sur toutes les machines applicables.
Guide de déploiement sécurisé pour la plateforme Citrix Cloud™
April 2, 2026
Contributeur: 
C C
April 2, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.