Guide de déploiement sécurisé pour la plate-forme Citrix Cloud

Le Guide de déploiement sécurisé de Citrix Cloud fournit une vue d’ensemble des recommandations en matière de sécurité lors de l’utilisation de Citrix Cloud et décrit les informations recueillies et gérées par Citrix Cloud.

Les articles suivants fournissent des informations similaires pour d’autres services dans Citrix Cloud :

Plan de contrôle

Instructions pour les administrateurs

  • Utilisez des mots de passe forts et changez-les régulièrement.
  • Tous les administrateurs d’un compte client peuvent ajouter et supprimer d’autres administrateurs. Assurez-vous que seuls des administrateurs de confiance ont accès à Citrix Cloud.
  • Les administrateurs d’un client ont, par défaut, un accès complet à tous les services. Certains services permettent de restreindre l’accès d’un administrateur. Pour plus d’informations, consultez la documentation de chaque service.
  • L’authentification à deux facteurs pour les administrateurs est assurée grâce à l’intégration de Citrix Cloud avec Azure Active Directory.

Cryptage et gestion des clés

Le plan de contrôle ne stocke pas les informations sensibles du client. Citrix Cloud récupère les informations telles que les mots de passe administrateur sur demande uniquement (en demandant explicitement à l’administrateur). Il n’y a pas de données au repos sensibles ou cryptées, vous n’avez donc pas besoin de gérer les clés.

Pour les données en vol, Citrix utilise la norme standard TLS 1.2 avec les suites de chiffrement les plus puissantes. Les clients ne peuvent pas contrôler le certificat TLS utilisé, car Citrix Cloud est hébergé sur le domaine cloud.com appartenant à Citrix. Pour accéder à Citrix Cloud, les clients doivent utiliser un navigateur compatible TLS 1.2 avec des suites de chiffrement puissantes.

Consultez la documentation spécifique à chaque service pour plus de détails sur le chiffrement et la gestion des clés au sein de chaque service.

Souveraineté des données

Le plan de contrôle Citrix Cloud est hébergé aux États-Unis et dans l’Union Européenne. Les clients ne peuvent pas le gérer.

Le client possède et gère les emplacements de ressources qu’il utilise avec Citrix Cloud. Un emplacement de ressources peut être créé dans un datacenter, un cloud, un emplacement où une zone géographique choisis par le client. Toutes les données stratégiques de l’entreprise (telles que les documents, les feuilles de calcul, etc.) sont stockées dans les emplacements de ressources et contrôlées par le client.

Pour Content Collaboration, consultez les ressources suivantes pour plus d’informations sur l’emplacement sur lequel les données sont stockées :

D’autres services peuvent proposer la possibilité de stocker des données dans différentes régions. Consultez les rubriques Considérations géographiques ou Vue d’ensemble de la sécurité technique (répertoriées au début de cet article) pour chaque service.

Audit et contrôle des modifications

Il n’existe actuellement aucun contrôle d’audit ou de modification visible par les clients dans l’interface utilisateur ou les API de Cloud Citrix.

Citrix dispose d’informations d’audit internes complètes. Si un client a des préoccupations, nous lui recommandons de contacter Citrix dans un délai de 30 jours. Citrix va vérifier les journaux d’audit pour déterminer l’administrateur qui a effectué une opération, la date à laquelle elle a été effectuée, l’adresse IP associée à l’opération et ainsi de suite.

Aperçu des problèmes de sécurité

Le site Web status.cloud.com offre une vue globale des problèmes de sécurité qui ont un impact continu sur le client. Ce site enregistre l’état et les informations de disponibilité. Il existe une option pour vous abonner aux mises à jour de la plateforme ou de services individuels.

Citrix Cloud Connector

Installation du Cloud Connector

Pour des raisons de sécurité et de performance, Citrix recommande de ne pas installer le logiciel Cloud Connector sur un contrôleur de domaine.

Par ailleurs, les machines sur lesquelles le logiciel Cloud Connector est installé doivent se trouver à l’intérieur du réseau privé du client et non dans la DMZ. Pour la configuration système et réseau requise et des instructions sur l’installation du Cloud Connector, consultez la section Citrix Cloud Connector.

Configuration du Cloud Connector

Le client est responsable de l’installation des mises à jour de sécurité de Windows sur les machines sur lesquelles le Cloud Connector est installé.

Les clients peuvent utiliser un anti-virus avec le Cloud Connector. Citrix effectue des tests avec McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8. Citrix apportera son assistance aux clients qui utilisent d’autres antivirus standard.

Dans l’Active Directory (AD) du client, le compte d’ordinateur du Cloud Connector doit être limité à un accès en lecture seule. Il s’agit de la configuration par défaut dans Active Directory. En outre, le client peut activer la journalisation et l’audit AD sur le compte d’ordinateur du Cloud Connector pour surveiller toute activité d’accès à AD.

Connexion à l’ordinateur hébergeant le Cloud Connector

Le Cloud Connector contient des informations de sécurité sensibles telles que les mots de passe d’administration. Seuls les administrateurs les plus privilégiés doivent être en mesure de se connecter aux machines hébergeant le Cloud Connector (par exemple, pour réaliser des opérations de maintenance). En général, il n’est pas nécessaire qu’un administrateur se connecte à ces machines pour gérer des produits Citrix. Le Cloud Connector se gère tout seul.

N’autorisez pas les utilisateurs à se connecter à des machines hébergeant le Cloud Connector.

Installation de logiciels supplémentaires sur des machines Cloud Connector

Les clients peuvent installer des logiciels antivirus et des outils d’hyperviseur (si installés sur une machine virtuelle) sur les machines sur lesquelles le Cloud Connector est installé. Toutefois, Citrix recommande aux clients de ne pas installer d’autres logiciels sur ces machines. D’autres logiciels créent d’autres vecteurs d’attaque et peuvent réduire la sécurité de la solution globale de Citrix Cloud.

Configuration des ports entrants et sortants

Le Cloud Connector nécessite que le port sortant 443 soit ouvert avec accès à Internet. Le Cloud Connector ne doit pas disposer de ports entrants accessibles depuis Internet.

Les clients peuvent placer le Cloud Connector derrière un proxy Web pour surveiller ses communications Internet sortantes. Cependant, le proxy Web doit fonctionner avec une communication cryptée SSL/TLS.

Le Cloud Connector peut avoir des ports sortants supplémentaires avec accès à Internet. Le Cloud Connector négociera sur une large gamme de ports pour optimiser la bande passante et les performances du réseau si des ports supplémentaires sont disponibles.

Le Cloud Connector doit avoir une large gamme de ports entrants et sortants ouverts dans le réseau interne. Le tableau ci-dessous répertorie les ports ouverts requis.

Ports client Port du serveur Service
49152 -65535/UDP 123/UDP W32Time
49152 -65535/TCP 135/TCP Mappeur de points de terminaison RPC
49152 -65535/TCP 464/TCP/UDP Changement de mot de passe Kerberos
49152 -65535/TCP 49152-65535/TCP RPC pour LSA, SAM, Netlogon (*)
49152 -65535/TCP/UDP 389/TCP/UDP LDAP
49152 -65535/TCP 636/TCP LDAP SSL
49152 -65535/TCP 3268/TCP LDAP GC
49152 -65535/TCP 3269/TCP LDAP GC SSL
53, 49152 -65535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP 49152 -65535/TCP FRS RPC (*)
49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
49152 -65535/TCP/UDP 445/TCP SMB

Chacun des services utilisés dans Citrix Cloud étendra la liste des ports ouverts requis. Pour plus d’informations, veuillez consulter les ressources suivantes :

Contrôle des communications sortantes

Le Cloud Connector communique vers Internet sur le port 443, à la fois vers les serveurs Citrix Cloud et vers les serveurs Microsoft Azure Service Bus.

Le Cloud Connector communique avec les contrôleurs de domaine du réseau local se trouvant au sein de la forêt Active Directory sur laquelle résident les machines hébergeant le Cloud Connector.

Pendant un fonctionnement normal, le Cloud Connector communique uniquement avec les contrôleurs de domaine des domaines apparaissant sous Utiliser pour les abonnements sur la page Gestion des identités et des accès de l’interface utilisateur Citrix Cloud.

En sélectionnant les domaines à configurer sous Utiliser pour les abonnements, le Cloud Connector communique avec les contrôleurs de domaine dans tous les domaines de la forêt Active Directory sur laquelle résident les machines hébergeant le Cloud Connector.

Chaque service dans le Citrix Cloud étend la liste des serveurs et des ressources internes que le Cloud Connector peut contacter au cours de ses opérations normales. En outre, les clients ne peuvent pas contrôler les données que le Cloud Connector envoie à Citrix. Pour plus d’informations sur les ressources internes des services et les données envoyées à Citrix, consultez les ressources suivantes :

Affichage des journaux Cloud Connector

Toute information pertinente ou exploitable par un administrateur est disponible dans le journal des événements Windows sur la machine Cloud Connector.

Afficher les journaux d’installation du Cloud Connector dans les répertoires suivants :

  • %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
  • %windir%\Temp\CitrixLogs\CloudServicesSetup

Les journaux que le Cloud Connector envoie au cloud figurent dans : %ProgramData%\Citrix\WorkspaceCloud\Logs.

Les journaux du répertoire WorkspaceCloud\Logs sont supprimés lorsqu’ils dépassent un seuil de taille spécifié. L’administrateur peut contrôler ce seuil de la taille en réglant la valeur de clé de Registre pour HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes.

Configuration de SSL/TLS

La configuration du Cloud Connector de base n’a pas besoin d’une configuration SSL/TLS spéciale.

Le Cloud Connector doit faire confiance à l’autorité de certification utilisée par les certificats SSL/TLS de Citrix Cloud et les certificats SSL/TLS de Microsoft Azure Service Bus. Citrix et Microsoft pourront changer les certificats et les autorités de certification à l’avenir, mais utiliseront toujours des autorités de certification qui font partie de la liste des éditeurs approuvés Windows standard.

Chaque service de Citrix Cloud peut avoir différentes exigences de configuration SSL. Pour de plus amples informations, consultez la Vue d’ensemble de la sécurité technique pour chaque service (répertoriée au début de cet article).

Conformité aux normes de sécurité

Pour assurer la conformité aux normes de sécurité, le Cloud Connector s’auto-gère. Ne désactivez pas les redémarrages et ne placez pas d’autres restrictions sur le Cloud Connector. Ces actions empêchent le Cloud Connector de se mettre à jour lorsqu’il y a une mise à jour critique.

Le client n’est pas tenu de prendre d’autres mesures pour réagir aux problèmes de sécurité. Le Cloud Connector applique automatiquement les correctifs de sécurité.

Conseils de gestion des comptes compromis

  • Vérifiez la liste des administrateurs de Citrix Cloud et supprimez ceux qui ne sont pas approuvés.
  • Désactivez tous les comptes compromis dans l’annuaire Active Directory de votre entreprise.
  • Contactez Citrix et demandez-leur d’alterner les secrets d’autorisation stockés pour tous les Cloud Connector du client. En fonction de la gravité du problème de sécurité, effectuez les actions suivantes :
    • Faible risque : Citrix peut alterner progressivement les secrets. Les Cloud Connector continueront à fonctionner normalement. Les anciens secrets d’autorisation deviendront invalides dans un délai de 2 à 4 semaines. Surveillez le Cloud Connector pendant ce temps pour vous assurer qu’aucune opération inattendue n’est effectuée.
    • Risque élevé continu : Citrix peut révoquer tous les anciens secrets. Les Cloud Connector existants ne fonctionneront plus. Pour reprendre le fonctionnement normal, le client doit désinstaller et réinstaller le Cloud Connector sur toutes les machines applicables.

Guide de déploiement sécurisé pour la plate-forme Citrix Cloud