Citrix Virtual Apps and Desktops Service

Vue d’ensemble de la sécurité technique

Vue d’ensemble de la sécurité technique

Ce document s’applique aux services Citrix Virtual Apps and Desktops hébergés dans Citrix Cloud. Cela inclut Citrix Virtual Apps Essentials et Citrix Virtual Desktops Essentials.

Citrix Cloud permet de gérer le fonctionnement du plan de contrôle pour les environnements Citrix Virtual Apps et Desktops. Cela comprend les Delivery Controller, les consoles de gestion, la base de données SQL, le serveur de licences et éventuellement StoreFront et Citrix Gateway (anciennement NetScaler Gateway). Les Virtual Delivery Agents (VDA) hébergeant les bureaux et applications restent sous le contrôle du client dans le datacenter de leur choix, sur cloud ou sur site. Ces composants sont connectés au service de cloud à l’aide d’un agent appelé le Citrix Cloud Connector. Si les clients choisissent d’utiliser Citrix Workspace, ils peuvent également choisir d’utiliser Citrix Gateway Service au lieu d’exécuter Citrix Gateway dans leur datacenter. Le diagramme suivant illustre le service et ses limites de sécurité.

Image des limites de sécurité du service

Conformité cloud de Citrix

L’utilisation de Citrix Managed Azure Capacity avec diverses éditions du service Citrix Virtual Apps and Desktops et Workspace Premium Plus n’a pas été évaluée pour Citrix SOC 2 (Type 1 ou 2), ISO 27001, HIPAA ou d’autres exigences de conformité cloud. (Janvier 2021)Conformité cloud de Citrix Visitez le Citrix Trust Center pour en savoir plus sur les certifications Citrix Cloud et consultez-le fréquemment pour obtenir les informations les plus récentes.

Flux de données

Les VDA ne sont pas hébergés par le service, de sorte que les données d’application du client et les images requises pour le provisioning sont toujours hébergées dans la configuration du client. Le plan de contrôle a accès aux métadonnées, telles que les noms d’utilisateur, les noms de machines et les raccourcis d’application, ce qui limite l’accès à la propriété intellectuelle du client à partir du plan de contrôle.

Les données qui transitent entre le cloud et les locaux du client utilisent une connexion sécurisée TLS sur le port 443.

Isolation des données

Citrix Virtual Apps and Desktops Service stocke uniquement les métadonnées requises pour la communication et le contrôle des applications et bureaux du client. Les informations sensibles, y compris les images, les profils utilisateur et d’autres données applicatives restent dans les locaux du client ou dans leur abonnement avec un fournisseur de cloud public.

Éditions de service

Les fonctionnalités de Citrix Virtual Apps and Desktops Service varient d’une édition à l’autre. Par exemple, Citrix Virtual Apps Essentials ne prend en charge que Citrix Gateway Service et Citrix Workspace. Consultez la documentation Produit pour en savoir plus sur les fonctionnalités prises en charge.

Sécurité ICA

Citrix Virtual Apps and Desktops Service offre plusieurs options pour sécuriser le trafic ICA en transit. Les options disponibles sont les suivantes :

  • Cryptage de base : paramètre par défaut.
  • SecureICA : permet de chiffrer les données de session à l’aide du chiffrement RC5 (128 bits).
  • VDA TLS/DTLS : permet d’utiliser le chiffrement au niveau du réseau à l’aide de TLS/DTLS.
  • Protocole Rendezvous : disponible uniquement lors de l’utilisation du Citrix Gateway Service. Lorsque vous utilisez le protocole Rendezvous, les sessions ICA sont chiffrées de bout en bout à l’aide de TLS/DTLS.

Cryptage de base

Lors de l’utilisation du cryptage de base, le trafic est chiffré comme indiqué dans le graphique suivant.

Cryptage du trafic lors de l'utilisation du cryptage de base

Secure ICA

Lorsque vous utilisez SecureICA, le trafic est chiffré comme indiqué dans le graphique suivant.

Cryptage du trafic lors de l'utilisation de SecureICA

Remarque :

SecureICA n’est pas pris en charge lors de l’utilisation de l’application Workspace pour HTML5 ou Chrome OS.

VDA TLS/DTLS

Lors de l’utilisation du cryptage VDA TLS/DTLS, le trafic est chiffré comme indiqué dans le graphique suivant.

Cryptage du trafic lors de l'utilisation de TLS/DTLS

Remarque :

Lorsque vous utilisez le service Gateway sans Rendezvous, le trafic entre le VDA et le Cloud Connector n’est pas chiffré par TLS, car le Cloud Connector ne prend pas en charge la connexion au VDA avec un cryptage au niveau du réseau.

Plus de ressources

Pour plus d’informations sur les options de sécurité ICA et sur la façon de les configurer, voir :

Gestion des informations d’identification

Le service gère quatre types d’informations d’identification :

  • Informations d’identification de l’utilisateur : lors de l’utilisation d’un StoreFront géré par le client, les informations d’identification utilisateur sont cryptées par le Cloud Connector à l’aide du cryptage AES-256 et d’une clé à usage unique générée aléatoirement pour chaque démarrage. La clé n’est jamais transmise au cloud et elle est uniquement renvoyée à l’application Citrix Workspace. Cette clé est ensuite transmise au VDA directement par l’application Citrix Workspace afin de décrypter le mot de passe utilisateur lors du lancement de session pour une expérience SSO. Le flux est illustré dans la figure suivante.

Image de la figure du flux

  • Informations d’identification d’administrateur : les administrateurs s’authentifient auprès de Citrix Cloud. Ceci génère un jeton Web signé JSON (JWT) à usage unique qui donne à l’administrateur l’accès à Citrix Virtual Apps and Desktops Service.
  • Mots de passe d’hyperviseur : les hyperviseurs sur site qui requièrent un mot de passe pour l’authentification disposent d’un mot de passe généré par l’administrateur et stocké et crypté directement dans la base de données SQL dans le cloud. Les clés d’homologue sont gérées par Citrix pour s’assurer que les informations d’identification de l’hyperviseur sont uniquement disponibles pour les processus authentifiés.
  • Informations d’identification Active Directory (AD) : Machine Creation Services utilise le Cloud Connector pour créer des comptes de machines dans l’Active Directory d’un client. Étant donné que le compte de machine du Cloud Connector possède uniquement un accès en lecture à Active Directory, l’administrateur est invité à entrer des informations d’identification pour chaque opération de création ou de suppression de machine. Ces informations d’identification sont uniquement stockées en mémoire et conservées pour un seul événement de provisioning.

Considérations de déploiement

Citrix recommande aux utilisateurs de consulter la documentation sur les meilleures pratiques pour le déploiement d’applications et de VDA Citrix Gateway dans leurs environnements.

Exigences d’accès au réseau de Citrix Cloud Connector

Les Citrix Cloud Connector requièrent uniquement le trafic sortant vers Internet sur le port 443 et peuvent être hébergés derrière un proxy HTTP.

  • Le protocole de communication utilisé dans Citrix Cloud pour HTTPS est TLS. (Voir Fin de prise en charge des versions TLS.)
  • Dans le réseau interne, le Cloud Connector doit avoir accès aux composants suivants pour Citrix Virtual Apps and Desktops Service :
    • VDA : port 80, entrant et sortant, ainsi que 1494 et 2598 entrants si vous utilisez Citrix Gateway Service
    • Serveurs StoreFront : port 80 entrant.
    • Citrix Gateway, si configuré comme une STA : port 80 entrant.
    • Contrôleurs de domaine Active Directory
    • Hyperviseurs : sortant uniquement. Voir Ports de communication utilisés par les technologies Citrix pour des ports spécifiques.

Le trafic entre les VDA et les connecteurs cloud est crypté à l’aide de la sécurité au niveau du message de Kerberos.

StoreFront géré par le client

Un StoreFront géré par le client offre davantage d’options de configuration de sécurité et une plus grande flexibilité pour l’architecture de déploiement, y compris la possibilité de gérer les informations d’identification utilisateur sur site. StoreFront peut être hébergé derrière Citrix Gateway afin de fournir un accès à distance sécurisé, appliquer une authentification multi-facteurs et ajouter d’autres fonctionnalités de sécurité.

Service Citrix Gateway

L’utilisation de Citrix Gateway Service évite le besoin de déployer Citrix Gateway dans les datacenters des clients.

Pour plus d’informations, consultez Service Citrix Gateway.

Toutes les connexions TLS entre le Cloud Connector et Citrix Cloud sont initiées du Cloud Connector vers Citrix Cloud. Aucun mappage de port de pare-feu entrant n’est requis.

Approbation XML

Le paramètre d’approbation XML s’applique aux déploiements qui utilisent :

  • StoreFront sur site.
  • Une technologie d’authentification d’abonné (utilisateur) qui ne nécessite pas de mots de passe. Ces technologies sont par exemple des solutions de transfert de domaine, de cartes à puce, de SAML et de Veridium.

L’activation du paramètre d’approbation XML permet aux utilisateurs de s’authentifier avec succès, puis de démarrer les applications. Cloud Connector approuve les informations d’identification envoyées à partir de StoreFront. Activez ce paramètre uniquement lorsque vous avez sécurisé les communications entre vos Citrix Cloud Connectors et StoreFront (à l’aide de pare-feu, d’IPsec ou d’autres recommandations de sécurité).

Cette option est désactivée par défaut.

Utilisez le SDK Remote PowerShell Citrix Virtual Apps and Desktops pour gérer le paramètre d’approbation XML.

  • Pour vérifier la valeur actuelle du paramètre d’approbation XML, exécutez Get-BrokerSite et inspectez la valeur de TrustRequestsSentToTheXMLServicePort.
  • Pour activer l’approbation XML, exécutez Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true.
  • Pour désactiver l’approbation XML, exécutez Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false.

Appliquer le trafic HTTPS ou HTTP

Pour appliquer le trafic HTTPS ou HTTP via le service XML, configurez l’un des jeux de valeurs de registre suivants sur chacun de vos Cloud Connectors.

Après avoir configuré les paramètres, redémarrez le Broker Service et le Remote Broker Provider Service sur chaque Cloud Connector.

Dans HKLM\Software\Citrix\DesktopServer\ :

  • Pour appliquer le trafic HTTPS (ignorer HTTP) : Définissez XmlServicesEnableSsl sur 1 et XmlServicesEnableNonSsl sur 0.
  • Pour appliquer le trafic HTTP (ignorer HTTPS) : Définissez XmlServicesEnableNonSsl sur 1 et XmlServicesEnableSsl sur 0.

Fin de prise en charge des versions TLS

Pour améliorer la sécurité de Citrix Virtual Apps and Desktops Service, Citrix a commencé à bloquer toute communication via TLS (Transport Layer Security) 1.0 et 1.1, à compter du 15 mars 2019.

Toutes les connexions aux services Citrix Cloud à partir de Citrix Cloud Connector nécessitent TLS 1.2.

Pour garantir la réussite de la connexion à Citrix Workspace à partir des périphériques de point de terminaison utilisateur, la version de Citrix Receiver installée doit être égale ou supérieure à la version répertoriée dans le tableau suivant.

Receiver Version
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0
Chrome/HTML5 Version la plus récente (le navigateur doit prendre en charge TLS 1.2)

Pour effectuer une mise à niveau vers la dernière version de Citrix Receiver, accédez à https://www.citrix.com/products/receiver/.

Vous pouvez également effectuer une mise à niveau vers l’Application Citrix Workspace, qui utilise TLS 1.2. Pour télécharger l’application Citrix Workspace, accédez à https://www.citrix.com/downloads/workspace-app/.

Si vous devez continuer à utiliser TLS 1.0 ou 1.1 (par exemple, si vous utilisez un client léger basé sur une version antérieure de Receiver pour Linux), installez StoreFront dans votre emplacement de ressource et pointez tous les Citrix Receiver vers StoreFront.

Plus d’informations

Les ressources suivantes contiennent des informations sur la sécurité :

Remarque :

Ce document vise à fournir au lecteur une introduction et un aperçu des fonctionnalités de sécurité de Citrix Cloud et à définir le partage des responsabilités entre Citrix et les clients en ce qui concerne la sécurisation du déploiement de Citrix Cloud. Il n’est pas conçu pour servir de manuel de configuration et d’administration de Citrix Cloud ou de l’un de ses composants ou services.