Vue d’ensemble de la sécurité technique

Citrix Cloud gère les opérations de Citrix Gateway Services, ce qui évite aux clients d’avoir à gérer l’appliance NetScaler Gateway. Le service Citrix Gateway est approvisionné via l’application Citrix Workspace.

Citrix Gateway Service fournit les fonctionnalités suivantes :

Connectivité HDX : Les Virtual Delivery Agents (VDA) hébergeant les applications et les bureaux restent sous le contrôle du client dans le centre de données de son choix, dans le cloud ou sur site. Ces composants sont connectés au service de cloud à l’aide d’un agent appelé le Citrix Cloud Connector.

Prise en charge du protocole DTLS 1.2 : Citrix Gateway Service prend en charge le protocole DTLS (Datagram Transport Layer Security) 1.2 pour les sessions HDX via EDT (protocole de transport basé sur UDP). Les suites de chiffrement suivantes sont prises en charge :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Prise encharge du protocole TLS : Citrix Gateway Service prend en charge les suites de chiffrement TLS suivantes :

  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-RSA-AES-256-SHA384
  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1.2-AES256-GCM-SHA384
  • TLS1-AES-256-CBC-SHA

Intégration de Endpoint Management : lorsqu’il est intégré à Citrix Endpoint Management et à Citrix Workspace, le service Citrix Gateway fournit un accès distant sécurisé des appareils à votre réseau et à vos ressources internes. L’intégration du service Citrix Gateway avec Endpoint Management est simple et rapide. Le service Citrix Gateway inclut la prise en charge complète de Citrix SSO pour des applications telles que Secure Mail et Secure Web.

Flux de données

Citrix Gateway Service est un service mutualisé distribué dans le monde entier. Les utilisateurs finaux utilisent le point de présence (PoP) le plus proche où la fonction spécifique dont ils ont besoin est disponible, indépendamment de la géo-sélection du plan de contrôle Citrix Cloud ou de l’emplacement des applications auxquelles ils accèdent. La configuration, telle que les métadonnées d’autorisation, est répliquée sur tous les points de présence.

Les journaux utilisés par Citrix à des fins de diagnostic, de surveillance, d’activité et de planification des capacités sont sécurisés et stockés dans un emplacement central.

La configuration du client est stockée dans un emplacement central et distribuée dans le monde entier à tous les points de présence.

Les données qui transitent entre le cloud et les locaux du client utilisent une connexion sécurisée TLS sur le port 443.

Les clés de chiffrement utilisées pour l’authentification des utilisateurs et l’authentification unique sont stockées dans des modules de sécurité matériels.

Isolation des données

Le service Citrix Gateway stocke les données suivantes :

  • Données de configuration nécessaires au courtage et à la surveillance des applications du client : les données sont délimitées par le client lorsqu’elles sont conservées.
  • Les valeurs initiales TOTP pour chaque appareil utilisateur : les valeurs initiales TOTP sont définies par client, utilisateur et appareil.

Audit et contrôle des changements

Actuellement, le service Citrix Gateway ne met pas les journaux d’audit et de contrôle des modifications à la disposition des clients. Citrix dispose de journaux qui peuvent être utilisés pour auditer les activités de l’utilisateur final et de l’administrateur.

Gestion des informations d’identification

Le service gère deux types d’informations d’identification :

  • Informations d’identification utilisateur : les informations d’identification de l’utilisateur final (mots de passe et jetons d’authentification) peuvent être mises à la disposition du service Citrix Gateway pour effectuer les opérations suivantes :
    • Citrix Secure Private Access : le service utilise l’identité de l’utilisateur pour déterminer l’accès aux applications Web SaaS et d’entreprise et à d’autres ressources.
    • Authentification unique : le service peut avoir accès au mot de passe de l’utilisateur pour exécuter la fonction SSO pour les applications Web internes à l’aide de l’authentification HTTP Basic, NTLM ou basée sur des formulaires. Le protocole de cryptage utilisé pour le mot de passe est TLS, sauf si vous configurez spécifiquement l’authentification HTTP Basic.
  • Informations d’identification d’administrateur : les administrateurs s’authentifient auprès de Citrix Cloud. Cela génère un jeton Web JSON (JWT) signé à usage unique qui donne à l’administrateur l’accès aux consoles de gestion dans Citrix Cloud.

Points à noter

  • Tout le trafic sur les réseaux publics est chiffré par TLS, à l’aide de certificats gérés par Citrix.
  • Les clés utilisées pour l’authentification unique des applications SaaS (clés de signature SAML) sont entièrement gérées par Citrix.
  • Pour l’authentification multifactorielle, le service Citrix Gateway stocke les clés par appareil utilisées pour initialiser l’algorithme TOTP.
  • Pour activer la fonctionnalité d’authentification unique Kerberos, les clients peuvent configurer Connector Appliance avec les informations d’identification (nom d’utilisateur et mot de passe) pour un compte de service approuvé pour effectuer la délégation restreinte Kerberos.

Considérations de déploiement

Citrix recommande aux utilisateurs de consulter la documentation publiée sur les meilleures pratiques pour le déploiement de Citrix Gateway Services. D’autres considérations concernant les applications SaaS et le déploiement d’applications Web d’entreprise, ainsi que le connecteur réseau, sont les suivantes.

Sélection du bon connecteur : Le bon connecteur doit être sélectionné, en fonction du cas d’utilisation :

Cas d’utilisation Connecteur Facteur de forme
Authentification des utilisateurs : Active Directory Citrix Cloud Connector Logiciel Windows
Connectivité HDX Citrix Cloud Connector Logiciel Windows
Accès aux applications SaaS Citrix Cloud Connector S/O
Accès aux applications Web d’entreprise Citrix Cloud Connector, appliance Citrix Connector S/O
Applications et fichiers d’entreprise fournis par Citrix Endpoint Management Citrix Cloud Connector, appliance Citrix Connector S/O

Exigences d’accès au réseau de Citrix Cloud Connector

Pour plus d’informations sur les exigences d’accès réseau Citrix Cloud Connector, consultez https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Connectivité HDX avec Citrix Gateway Service

L’utilisation du Citrix Gateway Service évite d’avoir à déployer NetScaler Gateway dans les centres de données des clients. Pour utiliser le Citrix Gateway Service, il est indispensable d’utiliser Citrix Workspace fourni par Citrix Cloud.

Meilleurs pratiques client

Il est recommandé aux clients d’utiliser le protocole TLS au sein de leur réseau et de ne pas activer l’authentification unique pour les applications via HTTP.

Suites de chiffrement obsolètes

Les suites de chiffrement suivantes sont déconseillées pour une sécurité renforcée :

  • TLS1.2-AES128-GCM-SHA256
  • TLS1.2-AES-128-SHA256
  • TLS1.2-AES256-GCM-SHA384
  • TLS1.2-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-128-SHA256
  • TLS1.2-DHE-RSA-AES256-GCM-SHA384
  • TLS1.2-DHE-RSA-AES128-GCM-SHA256
  • SSL3-DES-CBC3-SHA
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1-AES-256-CBC-SHA
  • TLS1-AES-128-CBC-SHA
  • TLS1-ECDHE-ECDSA-AES256-SHA
  • TLS1-ECDHE-ECDSA-AES128-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA
  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-DSS-AES-256-CBC-SHA
  • TLS1-DHE-DSS-AES-128-CBC-SHA
  • TLS1-ECDHE-RSA-DES-CBC3-SHA
  • TLS1.2-ECDHE-RSA-AES-128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256