Vue d’ensemble de la sécurité technique
Citrix Cloud gère le fonctionnement des services Citrix Gateway, ce qui évite aux clients de devoir gérer l’appliance NetScaler Gateway. Le service Citrix Gateway est provisionné via l’application Citrix Workspace.
Le service Citrix Gateway offre les fonctionnalités suivantes :
Connectivité HDX : Les Virtual Delivery Agents (VDA) hébergeant les applications et les bureaux restent sous le contrôle du client dans le centre de données de son choix, qu’il soit dans le cloud ou sur site. Ces composants sont connectés au service cloud à l’aide d’un agent appelé Citrix Cloud Connector.
Prise en charge du protocole DTLS 1.2 : Le service Citrix Gateway prend en charge le protocole Datagram Transport Layer Security (DTLS) 1.2 pour les sessions HDX sur EDT (protocole de transport basé sur UDP). Les suites de chiffrement suivantes sont prises en charge :
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Prise en charge du protocole TLS : Le service Citrix Gateway prend en charge les suites de chiffrement TLS suivantes :
- TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
- TLS1.2-ECDHE-RSA-AES-256-SHA384
- TLS1-ECDHE-RSA-AES128-SHA
- TLS1.2-AES256-GCM-SHA384
- TLS1-AES-256-CBC-SHA
Intégration d’Endpoint Management : Lorsqu’il est intégré à Citrix Endpoint Management et Citrix Workspace, le service Citrix Gateway fournit un accès sécurisé à distance aux appareils de votre réseau interne et à vos ressources. L’intégration du service Citrix Gateway avec Endpoint Management est rapide et simple. Le service Citrix Gateway inclut la prise en charge complète de Citrix SSO pour les applications telles que Secure Mail et Secure Web.
Flux de données
Le service Citrix Gateway est un service multilocataire distribué mondialement. Les utilisateurs finaux utilisent le Point de Présence (PoP) le plus proche où la fonction particulière dont ils ont besoin est disponible, indépendamment de la sélection géographique du plan de contrôle Citrix Cloud ou de l’emplacement des applications consultées. La configuration, telle que les métadonnées d’autorisation, est répliquée sur tous les PoP.
Les journaux utilisés par Citrix pour le diagnostic, la surveillance, les activités commerciales et la planification de la capacité sont sécurisés et stockés dans un emplacement central.
La configuration client est stockée dans un emplacement central et distribuée mondialement à tous les PoP.
Les données circulant entre le cloud et les locaux du client utilisent des connexions TLS sécurisées sur le port 443.
Les clés de chiffrement utilisées pour l’authentification des utilisateurs et l’authentification unique sont stockées dans des modules de sécurité matériels.
Isolation des données
Le service Citrix Gateway stocke les données suivantes :
- Données de configuration nécessaires au courtage et à la surveillance des applications du client – les données sont définies par le client lors de leur persistance.
- Graines TOTP pour chaque appareil utilisateur – les graines TOTP sont définies par le client, l’utilisateur et l’appareil.
Audit et contrôle des modifications
Actuellement, le service Citrix Gateway ne met pas les journaux d’audit et de contrôle des modifications à la disposition des clients. Les journaux sont accessibles à Citrix et peuvent être utilisés pour auditer les activités des utilisateurs finaux et des administrateurs.
Gestion des informations d’identification
Le service gère deux types d’informations d’identification :
- Informations d’identification de l’utilisateur : Les informations d’identification de l’utilisateur final (mots de passe et jetons d’authentification) peuvent être mises à la disposition du service Citrix Gateway pour effectuer les opérations suivantes :
- Citrix Secure Private Access - Le service utilise l’identité de l’utilisateur pour déterminer l’accès aux applications web SaaS et d’entreprise et à d’autres ressources.
- Authentification unique - Le service peut avoir accès au mot de passe de l’utilisateur pour compléter la fonction SSO vers les applications web internes à l’aide de l’authentification HTTP Basic, NTLM ou basée sur des formulaires. Le protocole de chiffrement utilisé pour le mot de passe est TLS, sauf si vous configurez spécifiquement l’authentification HTTP Basic.
- Informations d’identification de l’administrateur : Les administrateurs s’authentifient auprès de Citrix Cloud. Cela génère un jeton web JSON (JWT) signé à usage unique qui donne à l’administrateur l’accès aux consoles de gestion dans Citrix Cloud.
Points à noter
- Tout le trafic sur les réseaux publics est chiffré par TLS, à l’aide de certificats gérés par Citrix.
- Les clés utilisées pour l’authentification unique des applications SaaS (clés de signature SAML) sont entièrement gérées par Citrix.
- Pour la MFA, le service Citrix Gateway stocke les clés par appareil utilisées pour amorcer l’algorithme TOTP.
- Pour activer la fonctionnalité d’authentification unique Kerberos, les clients peuvent configurer Connector Appliance avec des informations d’identification (nom d’utilisateur + mot de passe) pour un compte de service approuvé pour effectuer la délégation contrainte Kerberos.
Considérations relatives au déploiement
Citrix recommande aux utilisateurs de consulter la documentation des meilleures pratiques publiée pour le déploiement des services Citrix Gateway. D’autres considérations concernant le déploiement des applications SaaS et des applications web d’entreprise, ainsi que le connecteur réseau, sont les suivantes.
Sélection du connecteur approprié : Le connecteur approprié doit être sélectionné, en fonction du cas d’utilisation :
| Cas d’utilisation | Connecteur | Facteur de forme |
|---|---|---|
| Authentification utilisateur : Active Directory | Citrix Cloud Connector | Logiciel Windows |
| Connectivité HDX | Citrix Cloud Connector | Logiciel Windows |
| Accès aux applications SaaS | Citrix Cloud Connector | N/A |
| Accès aux applications web d’entreprise | Citrix Cloud Connector, Citrix Connector Appliance | N/A |
| Applications et fichiers d’entreprise fournis par Citrix Endpoint Management | Citrix Cloud Connector, Citrix Connector Appliance | N/A |
Exigences d’accès réseau du Citrix Cloud Connector
Pour plus d’informations sur les exigences d’accès réseau du Citrix Cloud Connector, consultez https://docs.citrix.com/fr-fr/citrix-cloud/overview/requirements/internet-connectivity-requirements.html
Connectivité HDX du service Citrix Gateway
L’utilisation du service Citrix Gateway évite la nécessité de déployer NetScaler Gateway dans les centres de données des clients. Pour utiliser le service Citrix Gateway, il est indispensable d’utiliser Citrix Workspace fourni par Citrix Cloud.
Meilleures pratiques client
Il est recommandé aux clients d’utiliser TLS au sein de leur réseau et de ne pas activer l’authentification unique (SSO) pour les applications via HTTP.
Suites de chiffrement obsolètes
Les suites de chiffrement suivantes sont obsolètes pour une sécurité renforcée :
- TLS1.2-AES128-GCM-SHA256
- TLS1.2-AES-128-SHA256
- TLS1.2-AES256-GCM-SHA384
- TLS1.2-AES-256-SHA256
- TLS1.2-DHE-RSA-AES-256-SHA256
- TLS1.2-DHE-RSA-AES-128-SHA256
- TLS1.2-DHE-RSA-AES256-GCM-SHA384
- TLS1.2-DHE-RSA-AES128-GCM-SHA256
- SSL3-DES-CBC3-SHA
- TLS1-ECDHE-RSA-AES256-SHA
- TLS1-AES-256-CBC-SHA
- TLS1-AES-128-CBC-SHA
- TLS1-ECDHE-ECDSA-AES256-SHA
- TLS1-ECDHE-ECDSA-AES128-SHA
- TLS1-DHE-RSA-AES-256-CBC-SHA
- TLS1-DHE-RSA-AES-128-CBC-SHA
- TLS1-DHE-DSS-AES-256-CBC-SHA
- TLS1-DHE-DSS-AES-128-CBC-SHA
- TLS1-ECDHE-RSA-DES-CBC3-SHA
- TLS1.2-ECDHE-RSA-AES-128-SHA256
- TLS1.2-ECDHE-ECDSA-AES128-SHA256
- TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
- TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
Dans cet article
- Flux de données
- Isolation des données
- Audit et contrôle des modifications
- Gestion des informations d’identification
- Considérations relatives au déploiement
- Exigences d’accès réseau du Citrix Cloud Connector
- Connectivité HDX du service Citrix Gateway
- Meilleures pratiques client
- Suites de chiffrement obsolètes