Vue d’ensemble de la sécurité technique

Ce document s’applique à toutes les fonctionnalités relatives au service Citrix Gateway hébergé dans Citrix Cloud, y compris le transport HDX, les applications SaaS et les applications Web d’entreprise.

Citrix Cloud gère l’opération pour les services Citrix Gateway, remplaçant la nécessité pour les clients de gérer l’appliance Citrix Gateway. Le service Citrix Gateway est provisionné via l’application Citrix Workspace.

Le service Citrix Gateway offre les fonctionnalités suivantes :

  • Connectivité HDX pour les utilisateurs XenApp : un service disponible dans le monde entier offrant une connectivité sécurisée des utilisateurs de n’importe quel emplacement vers des applications et des postes de travail virtuels.
  • Accès sécurisé aux applications SaaS : une expérience utilisateur unifiée qui permet aux utilisateurs finaux d’accéder aux applications SaaS configurées.
  • Accès sécurisé aux applications Web Enterprise  : une expérience utilisateur unifiée permettant aux utilisateurs finaux d’accéder aux applications Web Enterprise configurées.
  • Accès sécurisé à toutes les applications et fichiers dans un espace de travail numérique  : une approche moderne de la gestion de tous vos appareils via une plate-forme unique, Citrix Endpoint Management. Les plates-formes prises en charge incluent les ordinateurs de bureau, les ordinateurs portables, les smartphones, les tablettes et IoT.

Connectivité HDX : les VDA (Virtual Delivery Agents) hébergeant les applications et les postes de travail restent sous le contrôle du client dans le datacenter de son choix, que ce soit dans le cloud ou sur site. Ces composants sont connectés au service de cloud à l’aide d’un agent appelé le Citrix Cloud Connector.

Apps SaaS : Software as a Service (SaaS) est un modèle de distribution de logiciels qui fournit des logiciels à distance en tant que service Web. Les applications SaaS couramment utilisées incluent Salesforce, Workday, Concur, GoToMeeting, etc.

Applications Web d’entreprise : la fourniture d’applications Web d’entreprise à l’aide du service Citrix Gateway permet de fournir des applications spécifiques à l’entreprise à distance en tant que service Web. Les applications Web d’entreprise couramment utilisées incluent SharePoint, Confluence, OneBug, etc. Vous avez besoin de Citrix Gateway Connector pour accéder aux applications Web Enterprise.

Les applications SaaS et les applications Web d’entreprise sont provisionnées via Citrix Workspace à l’aide du service Citrix Gateway. Le service Citrix Gateway associé à Citrix Workspace offre une expérience utilisateur unifiée pour les applications Web d’entreprise configurées, les applications SaaS, les applications virtuelles configurées ou toute autre ressource d’espace de travail. Parallèlement à Secure Access, le service Citrix Gateway protège également les utilisateurs contre les liens non approuvés intégrés dans le contenu généré par les utilisateurs.

Intégration de Endpoint Management : lorsqu’il est intégré à Citrix Endpoint Management et Citrix Workspace, le service Citrix Gateway fournit un accès sécurisé à distance à votre réseau interne et à vos ressources. L’intégration du service Citrix Gateway avec Endpoint Management est rapide et simple. Le service Citrix Gateway inclut une prise en charge complète de Citrix SSO pour des applications telles que Secure Mail et Secure Web.

Flux de données

Le service Citrix Gateway est un service multilocataire distribué dans le monde entier. Les utilisateurs finaux utilisent le point de présence (POP) le plus proche où la fonction particulière dont ils ont besoin est disponible, indépendamment de la géo-sélection du plan Citrix Cloud Control ou de l’emplacement des applications auxquelles vous accédez. La configuration, telle que les méta-données d’autorisation, est répliquée sur tous les POP.

Les journaux utilisés par Citrix pour le diagnostic, la surveillance, l’activité et la planification des capacités sont sécurisés et stockés dans un seul emplacement central.

La configuration client est stockée dans un emplacement central et distribuée globalement à tous les POP.

Les données qui transitent entre le cloud et les locaux du client utilisent une connexion sécurisée TLS sur le port 443.

Les clés de chiffrement utilisées pour l’authentification utilisateur et l’authentification unique sont stockées dans des modules de sécurité matérielle.

Isolation des données

Le service Citrix Gateway stocke les données suivantes :

  • Données de configuration nécessaires au courtage et à la surveillance des applications du client : les données sont étendues par le client lorsqu’elles sont conservées.
  • Les semences TOTP pour chaque machine utilisateur : les semences TOTP sont étendues par client, utilisateur et appareil.

Vérification et contrôle des modifications

Actuellement, le service Citrix Gateway ne met pas les journaux d’audit et de contrôle des modifications à la disposition des clients. Les journaux sont disponibles pour Citrix qui peuvent être utilisés pour auditer les activités de l’utilisateur final et de l’administrateur.

Gestion des informations d’identification

Le service gère deux types d’informations d’identification :

  • Informations d’identification de l’utilisateur : les informations d’identification de l’utilisateur final (mots de passe et jetons d’authentification) peuvent être mises à la disposition du service Citrix Gateway pour effectuer les opérations suivantes :
    • Secure Workspace Access : le service utilise l’identité de l’utilisateur pour déterminer l’accès aux applications Web SaaS et Enterprise ainsi qu’à d’autres ressources.
    • Single Sign-on - Le service peut avoir accès au mot de passe de l’utilisateur pour compléter la fonction SSO vers des applications Web internes à l’aide d’une authentification HTTP Basic, NTLM ou basée sur des formulaires. Le protocole de chiffrement utilisé pour le mot de passe est TLS, sauf si vous configurez spécifiquement l’authentification HTTP Basic.
  • Informations d’identification de l’administrateur : les administrateurs s’authentifient auprès de Citrix Cloud. Cela génère un jeton Web JSON (JWT) signé unique qui donne à l’administrateur un accès aux consoles de gestion dans Citrix Cloud.

Points à noter

  • Tout le trafic sur les réseaux publics est chiffré par TLS, à l’aide de certificats gérés par Citrix.
  • Les clés utilisées pour l’SSO de l’application SaaS (SAML Signing Keys) sont entièrement gérées par Citrix.
  • Pour MFA, le service Citrix Gateway stocke les clés par périphérique utilisées pour amorçage de l’algorithme TOTP.
  • Pour activer la fonctionnalité d’authentification unique Kerberos, les clients peuvent configurer Gateway Connector avec des informations d’identification (nom d’utilisateur+mot de passe) pour un compte de service approuvé pour effectuer la délégation contrainte Kerberos.

Considérations de déploiement

Citrix recommande aux utilisateurs de consulter la documentation sur les meilleures pratiques publiées pour le déploiement des services Citrix Gateway. Voici d’autres considérations concernant le déploiement d’applications SaaS et d’applications Web d’entreprise, ainsi que le connecteur réseau.

Sélection du connecteur correct : le bon connecteur doit être sélectionné, en fonction du cas d’utilisation :

Cas d’utilisation Connecteur Facteur de forme
Authentification utilisateur : Active Directory Citrix Cloud Connector Logiciel Windows
Connectivité HDX Citrix Cloud Connector Logiciel Windows
Accès aux applications SaaS Citrix Cloud Connector S.O.
Accès aux applications Web d’entreprise Citrix Cloud Connector, Citrix Gateway Connector S.O.
Applications et fichiers d’entreprise fournis par Citrix Endpoint Management Citrix Cloud Connector, Citrix Gateway Connector S.O.

Exigences d’accès au réseau de Citrix Cloud Connector

Pour plus d’informations sur les exigences d’accès réseau Citrix Cloud Connector, consultez https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Configuration requise pour l’accès réseau Citrix Gateway Connector

Pour plus d’informations sur les exigences d’accès réseau Citrix Cloud Connector, consultez https://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.html

Connectivité HDX du service Citrix Gateway

L’utilisation du service Citrix Gateway évite le déploiement de Citrix Gateway au sein des datacenters clients. Pour utiliser le service Citrix Gateway, il est nécessaire d’utiliser le service StoreFront fourni à partir de Citrix Cloud.

Meilleures pratiques client

Il est recommandé aux clients d’utiliser TLS dans leur réseau et de ne pas activer l’option SSO pour les applications via HTTP.