Vue d’ensemble de la sécurité technique

Le diagramme suivant illustre les composants d’un déploiement Citrix Managed Desktops. Cet exemple utilise une connexion d’appairage VNet.

Composants Citrix Managed Desktops et connexion homologue VNet

Avec Citrix Managed Desktops, les Virtual Delivery Agents (VDA) du client qui fournissent des postes de travail et des applications, ainsi que Citrix Cloud Connectors, sont déployés dans un abonnement Azure et un locataire géré par Citrix.

Responsabilité Citrix

Citrix Cloud Connectors pour les catalogues non rattachés au domaine

Citrix Managed Desktops déploie au moins deux Cloud Connector dans chaque emplacement de ressources. Certains catalogues peuvent partager un emplacement de ressource s’ils se trouvent dans la même région que d’autres catalogues pour le même client.

Citrix est responsable des opérations de sécurité suivantes sur le catalogue Cloud Connectors non associé à un domaine :

  • Application de mises à jour du système d’exploitation et de correctifs de sécurité
  • Installation et maintenance d’un logiciel antivirus
  • Application des mises à jour logicielles Cloud Connector

Les clients n’ont pas accès aux Cloud Connectors. Par conséquent, Citrix est entièrement responsable des performances du catalogue Cloud Connectors non joint à un domaine.

Abonnement Azure et Azure Active Directory

Citrix est responsable de la sécurité de l’abonnement Azure et Azure Active Directory (AAD) créés pour le client. Citrix garantit l’isolement des locataires, de sorte que chaque client dispose de son propre abonnement Azure et AAD, et empêche les échanges croisés entre différents locataires. Citrix restreint également l’accès à l’AAD au service Citrix Managed Desktops et au personnel des opérations Citrix uniquement. L’accès par Citrix à l’abonnement Azure de chaque client est vérifié.

Les clients utilisant des catalogues non joints à un domaine peuvent utiliser l’AAD géré par Citrix comme moyen d’authentification pour Citrix Workspace. Pour ces clients, Citrix crée des comptes utilisateur à privilèges limités dans l’AAD géré par Citrix. Toutefois, ni les utilisateurs ni les administrateurs des clients ne peuvent exécuter d’actions sur l’AAD géré par Citrix. Si ces clients choisissent d’utiliser leur propre AAD à la place, ils sont entièrement responsables de sa sécurité.

Réseaux et infrastructures virtuels

Dans l’abonnement Azure géré par Citrix, Citrix crée des réseaux virtuels pour isoler les emplacements de ressources. Au sein de ces réseaux, Citrix crée des machines virtuelles pour les VDA, les Cloud Connectors et les machines de création d’images, en plus des comptes de stockage, des clés et d’autres ressources Azure. Citrix, en partenariat avec Microsoft, est responsable de la sécurité des réseaux virtuels, y compris les pare-feu réseau virtuel.

Citrix garantit que la stratégie de pare-feu Azure par défaut (groupes de sécurité réseau) est configurée pour limiter l’accès aux interfaces réseau dans l’appairage VNet et les connexions SD-WAN. Généralement, cela contrôle le trafic entrant vers les VDA et les Cloud Connectors. Pour plus de détails, consultez :

Les clients ne peuvent pas modifier cette stratégie de pare-feu par défaut, mais peuvent déployer des règles de pare-feu supplémentaires sur des machines VDA créées par Citrix, par exemple pour restreindre partiellement le trafic sortant. Les clients qui installent des clients de réseau privé virtuel ou d’autres logiciels capables de contourner les règles de pare-feu sur des machines VDA créées par Citrix sont responsables des risques de sécurité qui pourraient en résulter.

Lors de l’utilisation du générateur d’images dans Citrix Managed Desktops pour créer et personnaliser une nouvelle image principale, les ports 3389-3390 sont ouverts temporairement dans le réseau virtuel géré par Citrix, de sorte que le client puisse effectuer une demande de résolution sur la machine contenant la nouvelle image principale, pour la personnaliser.

Responsabilité Citrix lors de l’utilisation de connexions d’appairage VNet

Pour que les VDA dans Citrix Managed Desktops contactent des contrôleurs de domaine locaux, des partages de fichiers ou d’autres ressources intranet, Citrix Managed Desktops fournit un workflow de peering de réseau virtuel en tant qu’option de connectivité. Le réseau virtuel géré par Citrix du client est associé à un réseau virtuel Azure géré par le client. Le réseau virtuel géré par le client peut activer la connectivité avec les ressources locales du client à l’aide de la solution de connectivité cloud à local choisie par le client, telle que les tunnels Azure ExpressRoute ou IPsec.

La responsabilité Citrix en ce qui concerne le peering de réseau virtuel se limite à la prise en charge du workflow et de la configuration des ressources Azure associées pour établir une relation de peering entre Citrix et les réseaux virtuels gérés par le client.

Stratégie de pare-feu pour les connexions de peering de réseau virtuel

Citrix ouvre ou ferme les ports suivants pour le trafic entrant et sortant qui utilise une connexion d’appairage VNet.

VNet géré par Citrix avec machines non jointes au domaine
  • Règles entrantes
    • Autoriser les ports 80, 443, 1494 et 2598 entrants des VDA vers Cloud Connectors et des Cloud Connectors vers VDA.
    • Autoriser les ports 49152-65535 entrants aux VDA à partir d’une plage IP utilisée par la fonction d’observation Monitor. Consultez la section CTX101810.
    • Refuser tous les autres trafics entrants. Cela inclut le trafic intra-VNET de VDA à VDA et de VDA à Cloud Connector.
  • Règles de trafic sortant
    • Autoriser tout le trafic sortant.
VNet géré Citrix avec des machines jointes au domaine
  • Règles de trafic entrant:
    • Autoriser les ports 80, 443, 1494 et 2598 entrants des VDA vers Cloud Connectors et des Cloud Connectors vers VDA.
    • Autoriser les ports 49152-65535 entrants aux VDA à partir d’une plage IP utilisée par la fonction d’observation Monitor. Consultez la section CTX101810.
    • Refuser tous les autres trafics entrants. Cela inclut le trafic intra-VNET de VDA à VDA et de VDA à Cloud Connector.
  • Règles de trafic sortant
    • Autoriser tout le trafic sortant.
Réseau virtuel géré par le client avec des machines jointes au domaine
  • Il appartient au client de configurer correctement son réseau virtuel. Cela inclut l’ouverture des ports suivants pour la jonction de domaine.
  • Règles de trafic entrant:
    • Autoriser les entrées sur 443, 1494, 2598 à partir de leurs adresses IP clientes pour les lancements internes.
    • Autoriser le trafic entrant sur 53, 88, 123, 135-139, 389, 445, 636 à partir de Citrix VNet (plage IP spécifiée par le client).
    • Autoriser les ports entrants ouverts avec une configuration de proxy.
    • Autres règles créées par le client.
  • Règles de sortie de stock :
    • Autoriser le trafic sortant sur les 443, 1494, 2598 vers le VNet Citrix (plage IP spécifiée par le client) pour les lancements internes.
    • Autres règles créées par le client.

Responsabilité Citrix lors de l’utilisation de la connectivité SD-WAN

Citrix prend en charge une méthode entièrement automatisée de déploiement d’instances Citrix SD-WAN virtuelles pour activer la connectivité entre les Citrix Managed Desktops et les ressources locales. La connectivité Citrix SD-WAN présente un certain nombre d’avantages par rapport au peering de réseau virtuel, notamment :

Haute fiabilité et sécurité des connexions VDA-vers Datacenter et VDA-vers Branch (ICA).

  • Meilleure expérience utilisateur pour les employés de bureau, avec des fonctionnalités avancées de QoS et des optimisations VoIP.
  • Possibilité intégrée d’inspecter, de hiérarchiser et de générer des rapports sur le trafic réseau Citrix HDX et d’autres utilisations des applications.

Citrix exige que les clients qui souhaitent tirer parti de la connectivité SD-WAN pour les Citrix Managed Desktops utilisent SD-WAN Orchestrator pour gérer leurs réseaux Citrix SD-WAN.

Le diagramme suivant montre les composants ajoutés dans un déploiement Citrix Managed Desktops utilisant une connectivité SD-WAN.

Citrix Managed Desktops avec connectivité SD-WAN

Le déploiement SD-WAN Citrix pour Citrix Managed Desktops est similaire à la configuration de déploiement Azure standard pour Citrix SD-WAN. Pour de plus amples informations, consultez Déployer l’instance Citrix SD-WAN Standard Edition sur Azure. Dans une configuration haute disponibilité, une paire active/de secours d’instances SD-WAN avec des équilibreurs de charge Azure est déployée en tant que Gateway entre le sous-réseau contenant des VDA et des Cloud Connectors et Internet. Dans une configuration non HA, seule une instance SD-WAN unique est déployée en tant que Gateway. Les interfaces réseau des appliances SD-WAN virtuelles se voient attribuer des adresses à partir d’une petite plage d’adresses séparée divisée en deux sous-réseaux.

Lors de la configuration de la connectivité SD-WAN, Citrix apporte quelques modifications à la configuration réseau des postes de travail gérés décrite ci-dessus. En particulier, tout le trafic sortant du réseau virtuel géré par Citrix, y compris le trafic vers des destinations Internet, est acheminé via l’instance SD-WAN du cloud. L’instance SD-WAN est également configurée pour être le serveur DNS pour le réseau virtuel géré par Citrix.

L’accès de gestion aux instances SD-WAN virtuelles nécessite un identifiant et un mot de passe administrateur. Chaque instance de SD-WAN se voit attribuer un mot de passe sécurisé aléatoire unique qui peut être utilisé par les administrateurs SD-WAN pour la connexion à distance et le dépannage via l’interface utilisateur SD-WAN Orchestrator, l’interface utilisateur de gestion de l’appliance virtuelle et l’interface de ligne de commande.

Tout comme d’autres ressources spécifiques au locataire, les instances SD-WAN virtuelles déployées dans un réseau virtuel client spécifique sont entièrement isolées de tous les autres réseaux virtuels.

Lorsque le client active la connectivité Citrix SD-WAN, Citrix automatise le déploiement initial des instances SD-WAN virtuelles utilisées avec Citrix Managed Desktops, gère les ressources Azure sous-jacentes (machines virtuelles, équilibreurs de charge, etc.), fournit des valeurs par défaut sûres et efficaces pour les des instances SD-WAN virtuelles, et permet une maintenance continue et un dépannage via SD-WAN Orchestrator. Citrix prend également des mesures raisonnables pour effectuer la validation automatique de la configuration du réseau SD-WAN, vérifier les risques de sécurité connus et afficher les alertes correspondantes via SD-WAN Orchestrator.

Stratégie de pare-feu pour les connexions SD-WAN

Citrix utilise les stratégies de pare-feu Azure (groupes de sécurité réseau) et l’attribution d’adresses IP publiques pour limiter l’accès aux interfaces réseau des appliances SD-WAN virtuelles :

  • Seules les interfaces WAN et de gestion sont attribuées des adresses IP publiques et permettent la connectivité sortante à Internet.
  • Les interfaces LAN, agissant en tant que passerelles pour le réseau virtuel géré par Citrix, sont uniquement autorisées à échanger du trafic réseau avec des machines virtuelles sur le même réseau virtuel.
  • Les interfaces WAN limitent le trafic entrant au port UDP 4980 (utilisé par Citrix SD-WAN pour la connectivité des chemins virtuels) et refusent le trafic sortant au réseau virtuel.
  • Les ports de gestion permettent le trafic entrant vers les ports 443 (HTTPS) et 22 (SSH).
  • Les interfaces HA ne sont autorisées qu’à échanger le trafic de contrôle entre elles.

Accès aux infrastructures

Citrix peut accéder à l’infrastructure gérée par Citrix (Cloud Connectors) du client pour effectuer certaines tâches administratives telles que la collecte de journaux (y compris l’Observateur d’événements Windows) et le redémarrage des services sans en informer le client. Citrix est responsable de l’exécution de ces tâches en toute sécurité et avec un impact minimal sur le client. Citrix est également responsable de veiller à ce que tous les fichiers journaux soient récupérés, transportés et manipulés en toute sécurité. Les VDA client ne sont pas accessibles de cette façon.

Sauvegardes pour catalogues non rattachés à un domaine

Citrix n’est pas responsable des sauvegardes de catalogues non joints à un domaine.

Sauvegardes d’images principales

Citrix est responsable de la sauvegarde des images principales téléchargées sur Citrix Managed Desktops, y compris les images créées avec le générateur d’images. Citrix utilise un stockage redondant localement pour ces images.

Bastions pour catalogues non rattachés au domaine

Le personnel des opérations Citrix a la possibilité de créer un bastion, si nécessaire, pour accéder à l’abonnement Azure géré par Citrix pour diagnostiquer et réparer les problèmes des clients, éventuellement avant que le client ne soit conscient d’un problème. Citrix n’exige pas le consentement du client pour créer un bastion. Lorsque Citrix crée le bastion, Citrix crée un mot de passe fort généré aléatoirement pour le bastion et restreint l’accès RDP aux adresses IP NAT Citrix. Lorsque le bastion n’est plus nécessaire, Citrix en dispose et le mot de passe n’est plus valide. Le bastion (et ses règles d’accès RDP qui l’accompagnent) sont éliminés une fois l’opération terminée. Citrix peut accéder uniquement aux Cloud Connectors du client qui ne sont pas rattachés au domaine avec le bastion. Citrix ne dispose pas du mot de passe pour se connecter à des VDA non joints à un domaine ou à des Cloud Connectors et VDA joints à un domaine.

Stratégie de pare-feu lors de l’utilisation d’outils de dépannage

Lorsqu’un client demande la création d’une machine bastion pour le dépannage, les modifications suivantes du groupe de sécurité sont apportées au réseau virtuel géré par Citrix :

  • Autoriser temporairement 3389 entrants à partir de la plage IP spécifiée par le client vers le bastion.
  • Autoriser temporairement 3389 entrants à partir de l’adresse IP bastion vers n’importe quelle adresse dans le VNet (VDA et Cloud Connectors).
  • Continuez à bloquer l’accès RDP entre Cloud Connectors, VDA et autres VDA.

Lorsqu’un client active l’accès RDP pour le dépannage, les modifications suivantes du groupe de sécurité sont apportées au réseau virtuel géré par Citrix :

  • Autoriser temporairement 3389 entrants à partir de la plage IP spécifiée par le client à n’importe quelle adresse dans le VNet (VDA et Cloud Connectors).
  • Continuez à bloquer l’accès RDP entre Cloud Connectors, VDA et autres VDA.

Abonnements gérés par le client

Pour les abonnements gérés par le client, Citrix adhère aux responsabilités ci-dessus lors du déploiement des ressources Azure. Après le déploiement, tout ce qui précède relève de la responsabilité du client, car le client est le propriétaire de l’abonnement Azure.

Abonnements gérés par le client

Responsabilité du client

VDA et images principales

Le client est responsable de tous les aspects du logiciel installé sur les machines VDA, y compris :

  • Mises à jour du système d’exploitation et correctifs de sécurité
  • Antivirus et anti-logiciels malveillants
  • Mises à jour logicielles VDA et correctifs de sécurité
  • Règles de pare-feu logiciel supplémentaires (en particulier le trafic sortant)

Citrix fournit une image préparée destinée à servir de point de départ. Les clients peuvent utiliser cette image à des fins de démonstration ou de démonstration ou comme base pour construire leur propre image principale. Citrix ne garantit pas la sécurité de cette image préparée. Citrix tente de maintenir à jour le système d’exploitation et le logiciel VDA sur l’image préparée et active Windows Defender sur ces images.

Responsabilité du client lors de l’utilisation de l’appairage de VNet

Le client doit ouvrir tous les ports spécifiés dans Réseau virtuel géré par le client avec des machines jointes au domaine.

Lorsque le peering de réseau virtuel est configuré, le client est responsable de la sécurité de son propre réseau virtuel et de sa connectivité à ses ressources locales. Le client est également responsable de la sécurité du trafic entrant à partir du réseau virtuel homologué géré par Citrix. Citrix ne prend aucune mesure pour bloquer le trafic entre le réseau virtuel géré par Citrix et les ressources locales du client.

Les clients disposent des options suivantes pour restreindre le trafic entrant :

  • Donnez au réseau virtuel géré par Citrix un bloc IP qui n’est pas utilisé ailleurs dans le réseau local du client ou dans le réseau virtuel connecté géré par le client. Ceci est requis pour le peering de réseau virtuel.
  • Ajoutez des groupes de sécurité réseau Azure et des pare-feu dans le réseau virtuel et le réseau local du client pour bloquer ou restreindre le trafic à partir du bloc IP géré par Citrix.
  • Déployez des mesures telles que des systèmes de prévention des intrusions, des pare-feu logiciels et des moteurs d’analyse comportementale dans le réseau virtuel et le réseau local du client, en ciblant le bloc IP géré par Citrix.

Responsabilité du client lors de l’utilisation de la connectivité SD-WAN

Lorsque la connectivité SD-WAN est configurée, les clients disposent d’une flexibilité totale pour configurer les instances SD-WAN virtuelles utilisées avec les Citrix Managed Desktops en fonction de leurs besoins en réseau, à l’exception de quelques éléments nécessaires pour assurer le bon fonctionnement du SD-WAN dans le réseau virtuel géré par Citrix. Les responsabilités du client sont les suivantes :

  • Conception et configuration des règles de routage et de pare-feu, y compris les règles pour le DNS et la rupture du trafic Internet.
  • Maintenance de la configuration du réseau SD-WAN.
  • Suivi de l’état opérationnel du réseau.
  • Déploiement rapide des mises à jour logicielles Citrix SD-WAN ou des correctifs de sécurité. Étant donné que toutes les instances de Citrix SD-WAN sur un réseau client doivent exécuter la même version du logiciel SD-WAN, les déploiements de versions logicielles mises à jour sur des instances SD-WAN CMD doivent être gérés par les clients en fonction de leurs calendriers et contraintes de maintenance réseau.

Une configuration incorrecte des règles de routage SD-WAN et de pare-feu, ou une mauvaise gestion des mots de passe de gestion SD-WAN, peut entraîner des risques de sécurité pour les ressources virtuelles dans les Citrix Managed Desktops et les ressources locales accessibles via les chemins virtuels Citrix SD-WAN. Un autre risque de sécurité possible provient de la non-mise à jour du logiciel Citrix SD-WAN vers la dernière version de correctif disponible. Bien que SD-WAN Orchestrator et d’autres services Citrix Cloud fournissent les moyens de faire face à ces risques, les clients sont responsables de s’assurer que les instances SD-WAN virtuelles sont configurées de manière appropriée.

Proxy

Le client peut choisir d’utiliser un proxy pour le trafic sortant du VDA. Si un proxy est utilisé, le client est responsable de :

  • Configuration des paramètres proxy sur l’image principale du VDA ou, si le VDA est joint à un domaine, à l’aide de la stratégie de groupe Active Directory.
  • Maintenance et sécurité du proxy.

Les serveurs proxy ne sont pas autorisés avec Citrix Cloud Connectors ou une autre infrastructure gérée par Citrix.

Résilience du catalogue

Citrix propose trois types de catalogues avec différents niveaux de résilience :

  • Statique : chaque utilisateur est affecté à un seul VDA. Ce type de catalogue n’offre pas de haute disponibilité. Si le VDA d’un utilisateur tombe en panne, il devra être placé sur un nouveau pour récupérer. Azure fournit un SLA de 99,5 % pour les machines virtuelles à instance unique. Le client peut toujours sauvegarder le profil utilisateur, mais toutes les personnalisations effectuées sur le VDA (telles que l’installation de programmes ou la configuration de Windows) seront perdues.
  • Aléatoire : Chaque utilisateur est attribué aléatoirement à un VDA serveur au moment du lancement. Ce type de catalogue offre une haute disponibilité via la redondance. Si un VDA tombe en panne, aucune information n’est perdue car le profil de l’utilisateur réside ailleurs.
  • Windows 10 multisession : ce type de catalogue fonctionne de la même manière que le type aléatoire, mais utilise des VDA de station de travail Windows 10 au lieu des VDA de serveur.

Sauvegardes pour les catalogues joints à un domaine

Si le client utilise des catalogues joints à un domaine avec un peering de réseau virtuel, il est responsable de la sauvegarde de ses profils utilisateur. Citrix recommande aux clients de configurer des partages de fichiers locaux et de définir des stratégies sur leur Active Directory ou VDA pour extraire des profils utilisateur à partir de ces partages de fichiers. Le client est responsable de la sauvegarde et de la disponibilité de ces partages de fichiers.

Reprise après sinistre

En cas de perte de données Azure, Citrix récupère autant de ressources que possible dans l’abonnement Azure géré par Citrix. Citrix tentera de récupérer les connecteurs Cloud et les VDA. Si Citrix ne réussit pas à récupérer ces éléments, les clients sont responsables de la création d’un nouveau catalogue. Citrix suppose que les images principales sont sauvegardées et que les clients ont sauvegardé leurs profils utilisateur, ce qui permet de reconstruire le catalogue.

En cas de perte d’une région Azure entière, le client est responsable de la reconstruction de son réseau virtuel géré par le client dans une nouvelle région et de la création d’un nouveau peering de réseau virtuel ou d’une nouvelle instance SD-WAN dans les Citrix Managed Desktops.

Citrix et les responsabilités partagées avec le client

Citrix Cloud Connector pour les catalogues joints à un domaine

Citrix Managed Desktops déploie au moins deux Cloud Connector dans chaque emplacement de ressources. Certains catalogues peuvent partager un emplacement de ressources s’ils se trouvent dans la même région, le même peering de réseau virtuel et le même domaine que d’autres catalogues pour le même client. Citrix configure les Cloud Connectors associés au domaine du client pour les paramètres de sécurité par défaut suivants sur l’image :

  • Mises à jour du système d’exploitation et correctifs de sécurité
  • Logiciel antivirus
  • Mises à jour logicielles Cloud Connector

Normalement, les clients n’ont pas accès aux Cloud Connectors. Toutefois, ils peuvent obtenir un accès en utilisant les étapes de dépannage du catalogue et en se connectant avec des informations d’identification de domaine. Le client est responsable de toute modification apportée lors de la connexion via le bastion.

Les clients ont également le contrôle sur les connecteurs Cloud connectés au domaine via la stratégie de groupe Active Directory. Il incombe au client de s’assurer que les stratégies de groupe qui s’appliquent au Cloud Connector sont sûres et raisonnables. Par exemple, si le client choisit de désactiver les mises à jour du système d’exploitation à l’aide de la stratégie de groupe, il est responsable de l’exécution des mises à jour du système d’exploitation sur les connecteurs Cloud. Le client peut également choisir d’utiliser la stratégie de groupe pour appliquer une sécurité plus stricte que les valeurs par défaut du Cloud Connector, par exemple en installant un logiciel antivirus différent. En général, Citrix recommande aux clients de placer Cloud Connectors dans leur propre unité d’organisation Active Directory sans stratégie, car cela garantira que les valeurs par défaut utilisées par Citrix peuvent être appliquées sans problème.

Résolution des problèmes

Dans le cas où le client rencontre des problèmes avec le catalogue dans Citrix Managed Desktops, il existe deux options de dépannage : l’utilisation de bastions et l’activation de l’accès RDP. Les deux options présentent un risque de sécurité pour le client. Le client doit comprendre et consentir à prendre ce risque avant d’utiliser ces options.

Citrix est responsable de l’ouverture et de la fermeture des ports nécessaires pour effectuer les opérations de dépannage, et de la restriction des machines auxquelles il est possible d’accéder pendant ces opérations.

Avec des bastions ou un accès RDP, l’utilisateur actif effectuant l’opération est responsable de la sécurité des machines auxquelles on accède. Si le client accède au VDA ou au Cloud Connector via RDP et contracte accidentellement un virus, il en est responsable. Si le personnel du support Citrix accède à ces machines, il incombe à ce personnel d’effectuer les opérations en toute sécurité. La responsabilité des vulnérabilités exposées par toute personne accédant au bastion ou à d’autres machines dans le déploiement (par exemple, la responsabilité du client de mettre en liste blanche des plages IP, la responsabilité Citrix de mettre en œuvre correctement les plages IP) est traitée ailleurs dans ce document.

Dans les deux scénarios, Citrix est responsable de la création correcte des exceptions de pare-feu pour autoriser le trafic RDP. Citrix est également responsable de la révocation de ces exceptions après que le client a éliminé le bastion ou mis fin à l’accès RDP via Citrix Managed Desktops.

Bastions

Citrix peut créer des bastions dans le réseau virtuel géré par Citrix du client au sein de l’abonnement géré par Citrix du client pour diagnostiquer et réparer les problèmes, soit de manière proactive (sans notification du client), soit en réponse à un problème soulevé par le client. Le bastion est une machine que le client peut accéder via RDP, puis utiliser pour accéder aux VDA et (pour les catalogues joints à un domaine) Cloud Connectors via RDP pour collecter des journaux, redémarrer des services ou effectuer d’autres tâches administratives. Par défaut, la création d’un bastion ouvre une règle de pare-feu externe pour autoriser le trafic RDP à partir d’une plage d’adresses IP spécifiée par le client vers la machine bastion. Il ouvre également une règle de pare-feu interne pour autoriser l’accès aux Cloud Connectors et aux VDA via RDP. L’ouverture de ces règles pose un risque important pour la sécurité.

Le client est responsable de fournir un mot de passe fort utilisé pour le compte Windows local. Le client est également responsable de fournir une plage d’adresses IP externe qui permet l’accès RDP au bastion. Si le client choisit de ne pas fournir une plage d’adresses IP (permettant à quiconque de tenter l’accès RDP), il est responsable de tout accès tenté par des adresses IP malveillantes.

Le client est également responsable de la suppression du bastion une fois le dépannage terminé. L’hôte bastion expose une surface d’attaque supplémentaire, de sorte que Citrix arrête automatiquement la machine huit (8) heures après sa mise sous tension. Toutefois, Citrix ne supprime jamais automatiquement un bastion. Si le client choisit d’utiliser le bastion pendant une période prolongée, il est responsable de l’appliquer et de la mettre à jour. Citrix recommande qu’un bastion ne soit utilisé que pendant plusieurs jours avant de le supprimer. Si le client souhaite un bastion à jour, il peut supprimer son bastion actuel, puis créer un nouveau bastion, qui fournira à une nouvelle machine les derniers correctifs de sécurité.

Accès RDP

Pour les catalogues joints à un domaine, si le peering de réseau virtuel du client est fonctionnel, le client peut activer l’accès RDP depuis son réseau virtuel homologué vers son réseau virtuel géré par Citrix. Si le client utilise cette option, il est responsable de l’accès aux VDA et aux Cloud Connectors via le peering de réseau virtuel. Les plages d’adresses IP source peuvent être spécifiées afin que l’accès RDP puisse être restreint davantage, même au sein du réseau interne du client. Le client devra utiliser les informations d’identification de domaine pour se connecter à ces machines. Si le client travaille avec le support Citrix pour résoudre un problème, il peut être amené à partager ces informations d’identification avec le personnel du support technique. Une fois le problème résolu, le client est responsable de la désactivation de l’accès RDP. Maintenir l’accès RDP ouvert à partir du réseau homoloisé ou local du client pose un risque de sécurité.

Informations d’identification du domaine

Si le client choisit d’utiliser un catalogue joint à un domaine, il est responsable de fournir aux Citrix Managed Desktops un compte de domaine (nom d’utilisateur et mot de passe) avec les autorisations de joindre des machines au domaine. Lors de la fourniture d’informations d’identification de domaine, le client est responsable de respecter les principes de sécurité suivants :

  • Auditable : le compte doit être créé spécifiquement pour l’utilisation des Citrix Managed Desktops afin qu’il soit facile d’auditer à quoi sert le compte.
  • Étendue : le compte requiert uniquement des autorisations pour joindre des machines à un domaine. Il ne doit pas être un administrateur de domaine complet.
  • Sécurisé : Un mot de passe fort doit être placé sur le compte.

Citrix est responsable du stockage sécurisé de ce compte de domaine dans un coffre-fort de clé Azure dans l’abonnement Azure géré par Citrix du client. Le compte est récupéré uniquement si une opération nécessite le mot de passe du compte de domaine.

Plus d’informations

Pour plus d’informations, voir :