Vue d’ensemble de la sécurité technique
Vue d’ensemble de la sécurité technique
Ce document s’applique aux services Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) hébergés dans Citrix Cloud. Ces informations incluent Citrix Virtual Apps Essentials et Citrix Virtual Desktops Essentials.
Citrix Cloud permet de gérer le fonctionnement du plan de contrôle pour les environnements Citrix DaaS. Le plan de contrôle comprend les Delivery Controller, les consoles de gestion, la base de données SQL, le serveur de licences et éventuellement StoreFront et Citrix Gateway (anciennement NetScaler Gateway). Les Virtual Delivery Agents (VDA) hébergeant les bureaux et applications restent sous le contrôle du client dans le datacenter de leur choix, sur cloud ou sur site. Ces composants sont connectés au service de cloud à l’aide d’un agent appelé le Citrix Cloud Connector. Si les clients choisissent d’utiliser Citrix Workspace, ils peuvent également choisir d’utiliser Citrix Gateway Service au lieu d’exécuter Citrix Gateway dans leur datacenter. Le diagramme suivant illustre Citrix DaaS et ses limites de sécurité.
Conformité cloud de Citrix
L’utilisation de Citrix Managed Azure Capacity avec diverses éditions de Citrix DaaS et Workspace Premium Plus n’a pas été évaluée pour Citrix SOC 2 (Type 1 ou 2), ISO 27001, HIPAA ou d’autres exigences de conformité cloud. (Janvier 2021). Visitez le Citrix Trust Center pour en savoir plus sur les certifications Citrix Cloud et consultez-le fréquemment pour obtenir les informations les plus récentes.
Flux de données
Citrix DaaS n’héberge pas les VDA, de sorte que les données d’application du client et les images requises pour le provisioning sont toujours hébergées dans la configuration du client. Le plan de contrôle a accès aux métadonnées, telles que les noms d’utilisateur, les noms de machines et les raccourcis d’application, ce qui limite l’accès à la propriété intellectuelle du client à partir du plan de contrôle.
Les données qui transitent entre le cloud et les locaux du client utilisent une connexion sécurisée TLS sur le port 443.
Isolation des données
Citrix DaaS stocke uniquement les métadonnées requises pour la communication et le contrôle des applications et bureaux du client. Les informations sensibles, y compris les images, les profils utilisateur et d’autres données applicatives restent dans les locaux du client ou dans leur abonnement avec un fournisseur de cloud public.
Éditions de service
Les fonctionnalités de Citrix DaaS varient selon les éditions. Par exemple, Citrix Virtual Apps Essentials ne prend en charge que Citrix Gateway Service et Citrix Workspace. Consultez la documentation Produit pour en savoir plus sur les fonctionnalités prises en charge.
Sécurité ICA
Citrix DaaS offre plusieurs options pour sécuriser le trafic ICA en transit. Les options disponibles sont les suivantes :
- Cryptage de base : paramètre par défaut.
- SecureICA : permet de chiffrer les données de session à l’aide du chiffrement RC5 (128 bits).
- VDA TLS/DTLS : permet d’utiliser le chiffrement au niveau du réseau à l’aide de TLS/DTLS.
- Protocole Rendezvous : disponible uniquement lors de l’utilisation du Citrix Gateway Service. Lorsque vous utilisez le protocole Rendezvous, les sessions ICA sont chiffrées de bout en bout à l’aide de TLS/DTLS.
Cryptage de base
Lors de l’utilisation du cryptage de base, le trafic est chiffré comme indiqué dans le graphique suivant.
Secure ICA
Lorsque vous utilisez SecureICA, le trafic est chiffré comme indiqué dans le graphique suivant.
Remarque :
SecureICA n’est pas pris en charge lors de l’utilisation de l’application Workspace pour HTML5.
VDA TLS/DTLS
Lors de l’utilisation du cryptage VDA TLS/DTLS, le trafic est chiffré comme indiqué dans le graphique suivant.
Remarque :
Lorsque vous utilisez le service Gateway sans Rendezvous, le trafic entre le VDA et le Cloud Connector n’est pas chiffré par TLS, car le Cloud Connector ne prend pas en charge la connexion au VDA avec un cryptage au niveau du réseau.
Plus de ressources
Pour plus d’informations sur les options de sécurité ICA et sur la façon de les configurer, voir :
- SecureICA : Paramètres de stratégie Sécurité
- TLS/DTLS VDA : Transport Layer Security
- Protocole Rendezvous : Protocole Rendezvous
Gestion des informations d’identification
Citrix DaaS gère quatre types d’informations d’identification :
-
Informations d’identification de l’utilisateur : lors de l’utilisation d’un StoreFront géré par le client, les informations d’identification utilisateur sont cryptées par le Cloud Connector à l’aide du cryptage AES-256 et d’une clé à usage unique générée aléatoirement pour chaque démarrage. La clé n’est jamais transmise au cloud et elle est uniquement renvoyée à l’application Citrix Workspace. Cette clé est ensuite transmise au VDA directement par l’application Citrix Workspace afin de décrypter le mot de passe utilisateur lors du lancement de session pour une expérience SSO. Le flux est illustré dans la figure suivante.
Par défaut, les informations d’identification des utilisateurs ne sont pas transmises au-delà des limites de domaines non fiables. Si un VDA et StoreFront sont installés dans un domaine et qu’un utilisateur d’un autre domaine tente de se connecter au VDA, la tentative d’ouverture de session échoue à moins qu’une confiance ne soit établie entre les domaines. Vous pouvez désactiver ce comportement et autoriser le transfert des informations d’identification entre des domaines non fiables à l’aide du DaaS PowerShell SDK. Pour plus d’informations, consultez Set-Brokersite.
- Informations d’identification d’administrateur : les administrateurs s’authentifient auprès de Citrix Cloud. L’authentification génère un jeton Web signé JSON (JWT) à usage unique qui donne à l’administrateur l’accès à Citrix DaaS.
- Mots de passe d’hyperviseur : les hyperviseurs sur site qui requièrent un mot de passe pour l’authentification disposent d’un mot de passe généré par l’administrateur et stocké et crypté directement dans la base de données SQL dans le cloud. Citrix gère les clés d’homologue pour s’assurer que les informations d’identification de l’hyperviseur sont uniquement disponibles pour les processus authentifiés.
- Informations d’identification Active Directory (AD) : Machine Creation Services utilise le Cloud Connector pour créer des comptes de machines dans l’Active Directory d’un client. Étant donné que le compte de machine du Cloud Connector possède uniquement un accès en lecture à Active Directory, l’administrateur est invité à entrer des informations d’identification pour chaque opération de création ou de suppression de machine. Ces informations d’identification sont uniquement stockées en mémoire et conservées pour un seul événement de provisioning.
Considérations de déploiement
Citrix recommande aux utilisateurs de consulter la documentation sur les meilleures pratiques pour le déploiement d’applications et de VDA Citrix Gateway dans leurs environnements.
Exigences d’accès au réseau de Citrix Cloud Connector
Les Citrix Cloud Connector requièrent uniquement le trafic sortant vers Internet sur le port 443 et peuvent être hébergés derrière un proxy HTTP.
- Le protocole de communication utilisé dans Citrix Cloud pour HTTPS est TLS. (Voir Fin de prise en charge des versions TLS)
- Dans le réseau interne, le Cloud Connector doit avoir accès aux composants suivants pour Citrix DaaS :
- VDA : port 80, entrant et sortant, ainsi que 1494 et 2598 entrants si vous utilisez Citrix Gateway Service
- Serveurs StoreFront : port 80 entrant.
- Citrix Gateway, si configuré comme une STA : port 80 entrant.
- Contrôleurs de domaine Active Directory
- Hyperviseurs : sortant uniquement. Consultez Ports de communication utilisés par les technologies Citrix pour connaître les ports spécifiques.
Le trafic entre les VDA et les connecteurs cloud est crypté à l’aide de la sécurité au niveau du message de Kerberos.
StoreFront géré par le client
Un StoreFront géré par le client offre davantage d’options de configuration de sécurité et une plus grande flexibilité pour l’architecture de déploiement, y compris la possibilité de gérer les informations d’identification utilisateur sur site. StoreFront peut être hébergé derrière Citrix Gateway afin de fournir un accès à distance sécurisé, appliquer une authentification multi-facteurs et ajouter d’autres fonctionnalités de sécurité.
Citrix Gateway Service
L’utilisation de Citrix Gateway Service évite le besoin de déployer Citrix Gateway dans les datacenters des clients.
Pour plus de détails, consultez Citrix Gateway Service.
Toutes les connexions TLS entre le Cloud Connector et Citrix Cloud sont initiées du Cloud Connector vers Citrix Cloud. Aucun mappage de port de pare-feu entrant n’est requis.
Approbation XML
Ce paramètre est disponible dans Configuration complète > Paramètres > Activer l’approbation XML et il est désactivé par défaut. Vous pouvez également utiliser le SDK Citrix DaaS Remote PowerShell pour gérer l’approbation XML.
L’approbation XML s’applique aux déploiements qui utilisent :
- un magasin StoreFront local ;
- une technologie d’authentification d’abonné (utilisateur) qui ne nécessite pas de mots de passe. Ces technologies sont par exemple des solutions de transfert de domaine, de cartes à puce, de SAML et de Veridium.
L’activation de l’approbation XML permet aux utilisateurs de s’authentifier avec succès, puis de démarrer les applications. Cloud Connector approuve les informations d’identification envoyées à partir de StoreFront. Activez le paramètre d’approbation XML uniquement lorsque vous avez sécurisé les communications entre vos Citrix Cloud Connectors et StoreFront (à l’aide de pare-feu, d’IPsec ou d’autres recommandations de sécurité).
Cette option est désactivée par défaut.
Utilisez le SDK Remote PowerShell Citrix DaaS pour gérer l’approbation XML.
- Pour vérifier la valeur actuelle de l’approbation XML, exécutez
Get-BrokerSiteet inspectez la valeur deTrustRequestsSentToTheXMLServicePort. - Pour activer l’approbation XML, exécutez
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true. - Pour désactiver l’approbation XML, exécutez
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false.
Appliquer le trafic HTTPS ou HTTP
Pour appliquer le trafic HTTPS ou HTTP via le service XML, configurez l’un des jeux de valeurs de registre suivants sur chacun de vos Cloud Connectors.
Après avoir configuré les paramètres, redémarrez le Remote Broker Provider Service sur chaque Cloud Connector.
Dans HKLM\Software\Citrix\DesktopServer\ :
- Pour appliquer le trafic HTTPS (ignorer HTTP) : Définissez
XmlServicesEnableSslsur1etXmlServicesEnableNonSslsur0. - Pour appliquer le trafic HTTP (ignorer HTTPS) : Définissez
XmlServicesEnableNonSslsur1etXmlServicesEnableSslsur0.
Fin de prise en charge des versions TLS
Pour améliorer la sécurité de Citrix DaaS, Citrix a commencé à bloquer toute communication via TLS (Transport Layer Security) 1.0 et 1.1, à compter du 15 mars 2019.
Toutes les connexions aux services Citrix Cloud à partir de Citrix Cloud Connector nécessitent TLS 1.2.
Pour garantir la réussite de la connexion à Citrix Workspace à partir des périphériques utilisateur, la version de Citrix Receiver installée doit être égale ou supérieure aux versions suivantes.
| Receiver | Version |
|---|---|
| Windows | 4.2.1000 |
| Mac | 12.0 |
| Linux | 13.2 |
| Android | 3.7 |
| iOS | 7.0 |
| Chrome/HTML5 | Version la plus récente (le navigateur doit prendre en charge TLS 1.2) |
Pour effectuer une mise à niveau vers la dernière version de Citrix Receiver, accédez à https://www.citrix.com/products/receiver/.
Vous pouvez également effectuer une mise à niveau vers l’application Citrix Workspace, qui utilise TLS 1.2. Pour télécharger l’application Citrix Workspace, accédez à https://www.citrix.com/downloads/workspace-app/.
Si vous devez continuer à utiliser TLS 1.0 ou 1.1 (par exemple, si vous utilisez un client léger basé sur une version antérieure de Receiver pour Linux), installez StoreFront dans votre emplacement de ressources. Ensuite, faites pointer tous les Citrix Receivers vers ce StoreFront.
Informations supplémentaires
Les ressources suivantes contiennent des informations sur la sécurité :
-
Vue d’ensemble de la sécurité technique pour Azure géré par Citrix.
-
Informations sur la sécurité et la conformité : le centre de sécurité et de conformité contient des bulletins de sécurité qui peuvent vous aider à rester informé. Le centre propose également une documentation sur les normes et les certifications qui sont importantes pour maintenir un environnement informatique sécurisé et conforme.
-
Guide de déploiement sécurisé de la plate-forme Citrix Cloud : ce guide fournit une vue d’ensemble des recommandations en matière de sécurité lors de l’utilisation de Citrix Cloud et décrit les informations recueillies et gérées par Citrix Cloud. Ce guide contient également des liens vers des informations complètes sur Citrix Cloud Connector.
- Considérations de sécurité et meilleures pratiques.
- Cartes à puce.
- Transport Layer Security (TLS).
Remarque :
Ce document vise à fournir au lecteur une introduction et un aperçu des fonctionnalités de sécurité de Citrix Cloud et à définir le partage des responsabilités entre Citrix et les clients en ce qui concerne la sécurisation du déploiement de Citrix Cloud. Il n’est pas conçu pour servir de manuel de configuration et d’administration de Citrix Cloud ou de l’un de ses composants ou services.
Dans cet article
- Vue d’ensemble de la sécurité technique
- Conformité cloud de Citrix
- Flux de données
- Isolation des données
- Éditions de service
- Sécurité ICA
- Gestion des informations d’identification
- Considérations de déploiement
- Exigences d’accès au réseau de Citrix Cloud Connector
- StoreFront géré par le client
- Citrix Gateway Service
- Approbation XML
- Appliquer le trafic HTTPS ou HTTP
- Fin de prise en charge des versions TLS
- Informations supplémentaires