Vue d’ensemble de la sécurité technique

Vue d’ensemble de la sécurité technique

Ce document s’applique à tous les services Citrix Virtual Apps et Desktops hébergés dans Citrix Cloud, y compris Citrix Virtual Apps Essentials et Citrix Virtual Desktops Essentials.

Citrix Cloud permet de gérer le fonctionnement du plan de contrôle pour les environnements Citrix Virtual Apps et Desktops. Cela comprend les Delivery Controller, les consoles de gestion, la base de données SQL, le serveur de licences et éventuellement StoreFront et Citrix Gateway (anciennement NetScaler Gateway). Les Virtual Delivery Agents (VDA) hébergeant les bureaux et applications restent sous le contrôle du client dans le datacenter de leur choix, sur cloud ou sur site. Ces composants sont connectés au service de cloud à l’aide d’un agent appelé le Citrix Cloud Connector. Si les clients choisissent d’utiliser le service de cloud StoreFront, ils peuvent également choisir d’utiliser Citrix Gateway Service au lieu d’exécuter Citrix Gateway dans leur datacenter. Le schéma ci-dessous illustre le service et ses limites de sécurité.

Image des limites de sécurité SVC

Flux de données

Étant donné que les composants hébergés par le service de cloud n’incluent pas les VDA, les données applicatives du client et les images principales requises pour le provisioning sont toujours hébergées au sein de l’installation du client. Le plan de contrôle a accès aux métadonnées, telles que les noms d’utilisateur, les noms de machines et les raccourcis d’application, ce qui limite l’accès à la propriété intellectuelle du client à partir du plan de contrôle.

Les données qui transitent entre le cloud et les locaux du client utilisent une connexion sécurisée TLS sur le port 443.

Isolation des données

Le service Citrix Virtual Apps and Desktops stocke uniquement les métadonnées requises pour la communication et le contrôle des applications et bureaux du client. Les informations sensibles, y compris les images principales, les profils utilisateur et d’autres données applicatives restent dans les locaux du client ou dans leur abonnement avec un fournisseur de cloud public.

Éditions de service

Les fonctionnalités du service Citrix Virtual Apps and Desktops varient d’une édition à l’autre. Par exemple, Citrix Virtual Apps Essentials ne prend en charge que le service Citrix Gateway et StoreFront géré par Citrix. Consultez la documentation Produit pour en savoir plus sur les fonctionnalités prises en charge.

Gestion des informations d’identification

Le service gère quatre types d’informations d’identification :

  • Informations d’identification de l’utilisateur : lors de l’utilisation d’un StoreFront géré par le client, les informations d’identification utilisateur sont cryptées par le Citrix Cloud Connector à l’aide du cryptage AES-256 et d’une clé à usage unique générée aléatoirement pour chaque démarrage. La clé n’est jamais transmise au cloud et elle est uniquement renvoyée à l’application Citrix Workspace. Cette clé est ensuite transmise au VDA directement par l’application Citrix Workspace afin de décrypter le mot de passe utilisateur lors du lancement de session pour une expérience SSO. Le flux entier est affiché dans la figure ci-dessous.

Image de la figure du flux

  • Informations d’identification d’administrateur : les administrateurs s’authentifient auprès de Citrix Cloud, qui utilise le système d’authentification de Citrix Online. Ceci génère un jeton Web signé JSON (JWT) à usage unique qui donne à l’administrateur l’accès au service Citrix Virtual Apps and Desktops.
  • Mots de passe d’hyperviseur : les hyperviseurs sur site qui requièrent un mot de passe pour l’authentification disposent d’un mot de passe généré par l’administrateur et stocké et crypté directement dans la base de données SQL dans le cloud. Les clés d’homologue sont gérées par Citrix pour s’assurer que les informations d’identification de l’hyperviseur sont uniquement disponibles pour les processus authentifiés.
  • Informations d’identification Active Directory (AD) : Machine Creation Services utilise le connecteur pour créer des comptes de machines dans l’Active Directory d’un client. Étant donné que le compte de machine du connecteur possède uniquement un accès en lecture à Active Directory, l’administrateur est invité à entrer des informations d’identification pour chaque opération de création ou de suppression de machine. Ces informations d’identification sont uniquement stockées en mémoire et conservées pour un seul événement de provisioning.

Considérations de déploiement

Citrix recommande aux utilisateurs de consulter la documentation sur les meilleures pratiques pour le déploiement d’applications et de VDA Citrix Gateway dans leurs environnements. Considérations supplémentaires relatives au déploiement de StoreFront sur site et la connectivité réseau :

Exigences d’accès au réseau de Citrix Cloud Connector

Les Citrix Cloud Connector requièrent uniquement le trafic sortant vers Internet sur le port 443 et peuvent être hébergés derrière un proxy HTTP.

  • Le protocole de communication utilisé dans Citrix Cloud pour HTTPS est TLS 1.0, 1.1 ou 1.2.
  • Dans le réseau interne, le connecteur doit avoir accès à ce qui suit pour le service Citrix Virtual Apps and Desktops :
    • VDA (port 80, entrant et sortant) ainsi que 1494 et 2598 entrants si vous utilisez le service Citrix Gateway
    • Serveurs StoreFront (port 80 entrant)
    • Citrix Gateway, si configuré comme une STA (le port 80 entrant)
    • Contrôleurs de domaine Active Directory
    • Hyperviseurs (sortant uniquement ; veuillez consulter la documentation de l’hyperviseur pour les ports spécifiques)

Le trafic entre les VDA et les connecteurs cloud est crypté à l’aide de la sécurité au niveau du message de Kerberos.

SSL n’est pas encore pris en charge dans Citrix Cloud pour le trafic StoreFront ou Citrix Gateway, Citrix recommande donc de configurer des règles de pare-feu, des VLAN, et des tunnels IPsec pour ces services.

StoreFront géré par le client

Un StoreFront géré par le client offre davantage d’options de configuration de sécurité et une plus grande flexibilité pour l’architecture de déploiement, y compris la possibilité de gérer les informations d’identification utilisateur sur site. StoreFront peut être hébergé derrière Citrix Gateway afin de fournir un accès à distance sécurisé, appliquer une authentification multi-facteurs et ajouter d’autres fonctionnalités de sécurité.

Service Citrix Gateway et StoreFront géré par Citrix

L’utilisation du service Citrix Gateway évite le besoin de déployer Citrix Gateway dans les datacenters des clients. Pour utiliser le service Citrix Gateway, il est obligatoire d’utiliser le service StoreFront mis à disposition depuis Citrix Cloud. Le flux de données lors de l’utilisation du service Citrix Gateway est affiché dans la figure ci-dessous.

Image du flux de données Citrix Gateway StoreFront

Remarque : ce diagramme illustre les flux de données logiques. Toutes les connexions TLS entre le Cloud Connector et Citrix Cloud sont initiées du Cloud Connector vers Citrix Cloud. Aucun mappage de port de pare-feu entrant n’est requis.

Fin de prise en charge des versions TLS

Pour améliorer la sécurité du service Citrix Virtual Apps and Desktops, Citrix bloquera toute communication via TLS (Transport Layer Security) 1.0 et 1.1, à compter du 31 décembre 2018.

Impact sur l’utilisateur

À compter du 1er janvier 2019, si vous utilisez une version de Citrix Receiver inférieure à celle répertoriée ci-dessous, tout utilisateur essayant de se connecter à StoreFront ou à une expérience Citrix Workspace hébergée sur le cloud ne pourra pas se connecter.

Receiver Version
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0

Actions

Dans la mesure où cette modification perturbera vos utilisateurs, assurez-vous que tous les Citrix Receiver sont mis à niveau vers une version ultérieure. Accédez à : https://www.citrix.com/products/receiver/.

Vous pouvez également mettre à niveau vers notre nouvelle application Citrix Workspace. Accédez à : https://www.citrix.com/downloads/workspace-app/. Vous trouverez des informations supplémentaires sur l’application Citrix Workspace sur https://www.citrix.com/products/workspace-app/.

Si vous devez utiliser TLS 1.0 ou TLS 1.1

Si vous devez continuer à utiliser TLS 1.0 ou 1.1 après le 31 décembre 2018 (par exemple, si vous utilisez un client léger basé sur une version antérieure de Receiver pour Linux), installez StoreFront dans votre emplacement de ressource et pointez tous les Citrix Receiver vers StoreFront.

Plus d’informations

Consultez les ressources suivantes pour de plus amples informations sur la sécurité :

Remarque :

Ce document vise à fournir au lecteur une introduction et un aperçu des fonctionnalités de sécurité de Citrix Cloud et à définir le partage des responsabilités entre Citrix et les clients en ce qui concerne la sécurisation du déploiement de Citrix Cloud. Il n’est pas conçu pour servir de manuel de configuration et d’administration de Citrix Cloud ou de l’un de ses composants ou services.