Vue d’ensemble de la sécurité technique

Vue d’ensemble de la sécurité technique

Ce document s’applique à tous les services Citrix Virtual Apps et Desktops hébergés dans Citrix Cloud, y compris Citrix Virtual Apps Essentials et Citrix Virtual Desktops Essentials.

Citrix Cloud permet de gérer le fonctionnement du plan de contrôle pour les environnements Citrix Virtual Apps et Desktops. Cela comprend les Delivery Controller, les consoles de gestion, la base de données SQL, le serveur de licences et éventuellement StoreFront et Citrix Gateway (anciennement NetScaler Gateway). Les Virtual Delivery Agents (VDA) hébergeant les bureaux et applications restent sous le contrôle du client dans le datacenter de leur choix, sur cloud ou sur site. Ces composants sont connectés au service de cloud à l’aide d’un agent appelé le Citrix Cloud Connector. Si les clients choisissent d’utiliser Citrix Workspace, ils peuvent également choisir d’utiliser Citrix Gateway Service au lieu d’exécuter Citrix Gateway dans leur datacenter. Le schéma ci-dessous illustre le service et ses limites de sécurité.

Image des limites de sécurité SVC

Flux de données

Étant donné que les composants hébergés par le service de cloud n’incluent pas les VDA, les données applicatives du client et les images principales requises pour le provisioning sont toujours hébergées au sein de l’installation du client. Le plan de contrôle a accès aux métadonnées, telles que les noms d’utilisateur, les noms de machines et les raccourcis d’application, ce qui limite l’accès à la propriété intellectuelle du client à partir du plan de contrôle.

Les données qui transitent entre le cloud et les locaux du client utilisent une connexion sécurisée TLS sur le port 443.

Isolation des données

Citrix Virtual Apps and Desktops Service stocke uniquement les métadonnées requises pour la communication et le contrôle des applications et bureaux du client. Les informations sensibles, y compris les images principales, les profils utilisateur et d’autres données applicatives restent dans les locaux du client ou dans leur abonnement avec un fournisseur de cloud public.

Éditions de service

Les fonctionnalités de Citrix Virtual Apps and Desktops Service varient d’une édition à l’autre. Par exemple, Citrix Virtual Apps Essentials ne prend en charge que Citrix Gateway Service et Citrix Workspace. Consultez la documentation Produit pour en savoir plus sur les fonctionnalités prises en charge.

Gestion des informations d’identification

Le service gère quatre types d’informations d’identification :

  • Informations d’identification de l’utilisateur : lors de l’utilisation d’un StoreFront géré par le client, les informations d’identification utilisateur sont cryptées par le Citrix Cloud Connector à l’aide du cryptage AES-256 et d’une clé à usage unique générée aléatoirement pour chaque démarrage. La clé n’est jamais transmise au cloud et elle est uniquement renvoyée à l’application Citrix Workspace. Cette clé est ensuite transmise au VDA directement par l’application Citrix Workspace afin de décrypter le mot de passe utilisateur lors du lancement de session pour une expérience SSO. Le flux entier est affiché dans la figure ci-dessous.

Image de la figure du flux

  • Informations d’identification d’administrateur : les administrateurs s’authentifient auprès de Citrix Cloud, qui utilise le système d’authentification de Citrix Online. Ceci génère un jeton Web signé JSON (JWT) à usage unique qui donne à l’administrateur l’accès à Citrix Virtual Apps and Desktops Service.
  • Mots de passe d’hyperviseur : les hyperviseurs sur site qui requièrent un mot de passe pour l’authentification disposent d’un mot de passe généré par l’administrateur et stocké et crypté directement dans la base de données SQL dans le cloud. Les clés d’homologue sont gérées par Citrix pour s’assurer que les informations d’identification de l’hyperviseur sont uniquement disponibles pour les processus authentifiés.
  • Informations d’identification Active Directory (AD) : Machine Creation Services utilise le connecteur pour créer des comptes de machines dans l’Active Directory d’un client. Étant donné que le compte de machine du connecteur possède uniquement un accès en lecture à Active Directory, l’administrateur est invité à entrer des informations d’identification pour chaque opération de création ou de suppression de machine. Ces informations d’identification sont uniquement stockées en mémoire et conservées pour un seul événement de provisioning.

Considérations de déploiement

Citrix recommande aux utilisateurs de consulter la documentation sur les meilleures pratiques pour le déploiement d’applications et de VDA Citrix Gateway dans leurs environnements. Considérations supplémentaires relatives au déploiement de StoreFront sur site et la connectivité réseau :

Exigences d’accès au réseau de Citrix Cloud Connector

Les Citrix Cloud Connector requièrent uniquement le trafic sortant vers Internet sur le port 443 et peuvent être hébergés derrière un proxy HTTP.

  • Le protocole de communication utilisé dans Citrix Cloud pour HTTPS est TLS 1.0, 1.1 ou 1.2. (Consultez la section Fin de prise en charge des versions TLS ci-dessous pour les changements en cours.)
  • Dans le réseau interne, le connecteur doit avoir accès aux composants suivants pour Citrix Virtual Apps and Desktops Service :
    • VDA (port 80, entrant et sortant) ainsi que 1494 et 2598 entrants si vous utilisez Citrix Gateway Service
    • Serveurs StoreFront (port 80 entrant)
    • Citrix Gateway, si configuré comme une STA (le port 80 entrant)
    • Contrôleurs de domaine Active Directory
    • Hyperviseurs (sortant uniquement ; veuillez consulter la documentation de l’hyperviseur pour les ports spécifiques)

Le trafic entre les VDA et les connecteurs cloud est crypté à l’aide de la sécurité au niveau du message de Kerberos.

StoreFront géré par le client

Un StoreFront géré par le client offre davantage d’options de configuration de sécurité et une plus grande flexibilité pour l’architecture de déploiement, y compris la possibilité de gérer les informations d’identification utilisateur sur site. StoreFront peut être hébergé derrière Citrix Gateway afin de fournir un accès à distance sécurisé, appliquer une authentification multi-facteurs et ajouter d’autres fonctionnalités de sécurité.

Citrix Gateway Service et Citrix Workspace

L’utilisation de Citrix Gateway Service évite le besoin de déployer Citrix Gateway dans les datacenters des clients. Pour utiliser Citrix Gateway Service, il est obligatoire d’utiliser Storefront Service mis à disposition depuis Citrix Cloud. Le flux de données lors de l’utilisation de Citrix Gateway Service est affiché dans la figure ci-dessous.

Image du flux de données Citrix Gateway StoreFront

Remarque : ce diagramme illustre les flux de données logiques. Toutes les connexions TLS entre le Cloud Connector et Citrix Cloud sont initiées du Cloud Connector vers Citrix Cloud. Aucun mappage de port de pare-feu entrant n’est requis.

Fin de prise en charge des versions TLS

Pour améliorer la sécurité de Citrix Virtual Apps and Desktops Service, Citrix a commencé à bloquer toute communication via TLS (Transport Layer Security) 1.0 et 1.1, à compter du 15 mars 2019.

Important : Consultez la section CTX247067 pour obtenir les conseils les plus récents et complets sur tous les services Citrix Cloud concernés.

Mettre à niveau vers la dernière version de Citrix Receiver ou de l’application Citrix Workspace

Pour garantir la connexion à Citrix Workspace à partir du point de terminaison utilisateur, la version de Citrix Receiver installée doit être égale ou supérieure aux versions répertoriées ci-dessous prenant en charge TLS 1.2.

Receiver Version
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0
Chrome/HTML5 Version la plus récente (le navigateur doit prendre en charge TLS 1.2)

Pour effectuer une mise à niveau vers la dernière version de Citrix Receiver, accédez à https://www.citrix.com/products/receiver/.

Vous pouvez également mettre à niveau vers notre nouvelle application Citrix Workspace qui utilise TLS 1.2. En savoir plus. Pour télécharger l’application Citrix Workspace, accédez à https://www.citrix.com/downloads/workspace-app/.

CTX247067 décrit comment récupérer une liste de composants Citrix Receiver qui se connectent à votre environnement Citrix Cloud pour le service Citrix Virtual Apps and Desktops.

Continuer à utiliser TLS 1.0 ou TLS 1.1

Si vous devez continuer à utiliser TLS 1.0 ou 1.1 (par exemple, si vous utilisez un client léger basé sur une version antérieure de Receiver pour Linux), installez StoreFront dans votre emplacement de ressource et pointez tous les Citrix Receiver vers StoreFront.

Provisioning

Toutes les connexions aux services Citrix Cloud à partir de Citrix Cloud Connector nécessitent TLS 1.2. Citrix Provisioning et Machine Creation Services autorisent les connexions TLS 1.0, TLS 1.1 et TLS 1.2 par défaut (aucune action n’est requise) jusqu’à ce qu’elles passent à TLS 1.2 uniquement dans le courant de l’année.

Facultatif : si votre stratégie de sécurité nécessite une application stricte des connexions TLS 1.2, apportez les modifications de paramètres de Registre décrites dans la section CTX247067 sur chacun de vos connecteurs Citrix Cloud Connector.

Plus d’informations

Consultez les ressources suivantes pour de plus amples informations sur la sécurité :

Remarque : ce document vise à fournir au lecteur une introduction et un aperçu des fonctionnalités de sécurité de Citrix Cloud et à définir le partage des responsabilités entre Citrix et les clients en ce qui concerne la sécurisation du déploiement de Citrix Cloud. Il n’est pas conçu pour servir de manuel de configuration et d’administration de Citrix Cloud ou de l’un de ses composants ou services.