Citrix Virtual Apps and Desktops Service

Vue d’ensemble de la sécurité technique

Vue d’ensemble de la sécurité technique

Ce document s’applique aux services Citrix Virtual Apps and Desktops hébergés dans Citrix Cloud (autre que Standard pour Azure Edition). Cela inclut Citrix Virtual Apps Essentials et Citrix Virtual Desktops Essentials. (Pour Citrix Virtual Apps and Desktops Standard pour Azure, consultez la vue d’ensemble de la sécurité technique.)

Citrix Cloud permet de gérer le fonctionnement du plan de contrôle pour les environnements Citrix Virtual Apps et Desktops. Cela comprend les Delivery Controller, les consoles de gestion, la base de données SQL, le serveur de licences et éventuellement StoreFront et Citrix Gateway (anciennement NetScaler Gateway). Les Virtual Delivery Agents (VDA) hébergeant les bureaux et applications restent sous le contrôle du client dans le datacenter de leur choix, sur cloud ou sur site. Ces composants sont connectés au service de cloud à l’aide d’un agent appelé le Citrix Cloud Connector. Si les clients choisissent d’utiliser Citrix Workspace, ils peuvent également choisir d’utiliser Citrix Gateway Service au lieu d’exécuter Citrix Gateway dans leur datacenter. Le diagramme suivant illustre le service et ses limites de sécurité.

Image des limites de sécurité du service

Flux de données

Les VDA ne sont pas hébergés par le service, de sorte que les données d’application du client et les images requises pour le provisioning sont toujours hébergées dans la configuration du client. Le plan de contrôle a accès aux métadonnées, telles que les noms d’utilisateur, les noms de machines et les raccourcis d’application, ce qui limite l’accès à la propriété intellectuelle du client à partir du plan de contrôle.

Les données qui transitent entre le cloud et les locaux du client utilisent une connexion sécurisée TLS sur le port 443.

Isolation des données

Citrix Virtual Apps and Desktops Service stocke uniquement les métadonnées requises pour la communication et le contrôle des applications et bureaux du client. Les informations sensibles, y compris les images principales, les profils utilisateur et d’autres données applicatives restent dans les locaux du client ou dans leur abonnement avec un fournisseur de cloud public.

Éditions de service

Les fonctionnalités de Citrix Virtual Apps and Desktops Service varient d’une édition à l’autre. Par exemple, Citrix Virtual Apps Essentials ne prend en charge que Citrix Gateway Service et Citrix Workspace. Consultez la documentation Produit pour en savoir plus sur les fonctionnalités prises en charge.

Gestion des informations d’identification

Le service gère quatre types d’informations d’identification :

  • Informations d’identification de l’utilisateur : lors de l’utilisation d’un StoreFront géré par le client, les informations d’identification utilisateur sont cryptées par le Cloud Connector à l’aide du cryptage AES-256 et d’une clé à usage unique générée aléatoirement pour chaque démarrage. La clé n’est jamais transmise au cloud et elle est uniquement renvoyée à l’application Citrix Workspace. Cette clé est ensuite transmise au VDA directement par l’application Citrix Workspace afin de décrypter le mot de passe utilisateur lors du lancement de session pour une expérience SSO. Le flux est affiché dans la figure ci-dessous.

Image de la figure du flux

  • Informations d’identification d’administrateur : les administrateurs s’authentifient auprès de Citrix Cloud. Ceci génère un jeton Web signé JSON (JWT) à usage unique qui donne à l’administrateur l’accès à Citrix Virtual Apps and Desktops Service.
  • Mots de passe d’hyperviseur : les hyperviseurs sur site qui requièrent un mot de passe pour l’authentification disposent d’un mot de passe généré par l’administrateur et stocké et crypté directement dans la base de données SQL dans le cloud. Les clés d’homologue sont gérées par Citrix pour s’assurer que les informations d’identification de l’hyperviseur sont uniquement disponibles pour les processus authentifiés.
  • Informations d’identification Active Directory (AD) : Machine Creation Services utilise le Cloud Connector pour créer des comptes de machines dans l’Active Directory d’un client. Étant donné que le compte de machine du Cloud Connector possède uniquement un accès en lecture à Active Directory, l’administrateur est invité à entrer des informations d’identification pour chaque opération de création ou de suppression de machine. Ces informations d’identification sont uniquement stockées en mémoire et conservées pour un seul événement de provisioning.

Considérations de déploiement

Citrix recommande aux utilisateurs de consulter la documentation sur les meilleures pratiques pour le déploiement d’applications et de VDA Citrix Gateway dans leurs environnements.

Exigences d’accès au réseau de Citrix Cloud Connector

Les Citrix Cloud Connector requièrent uniquement le trafic sortant vers Internet sur le port 443 et peuvent être hébergés derrière un proxy HTTP.

  • Le protocole de communication utilisé dans Citrix Cloud pour HTTPS est TLS. (Voir Fin de prise en charge des versions TLS.)
  • Dans le réseau interne, le Cloud Connector doit avoir accès aux composants suivants pour Citrix Virtual Apps and Desktops Service :
    • VDA : port 80, entrant et sortant, ainsi que 1494 et 2598 entrants si vous utilisez Citrix Gateway Service
    • Serveurs StoreFront : port 80 entrant.
    • Citrix Gateway, si configuré comme une STA : port 80 entrant.
    • Contrôleurs de domaine Active Directory
    • Hyperviseurs : sortant uniquement. Voir Ports de communication utilisés par les technologies Citrix pour des ports spécifiques.

Le trafic entre les VDA et les connecteurs cloud est crypté à l’aide de la sécurité au niveau du message de Kerberos.

StoreFront géré par le client

Un StoreFront géré par le client offre davantage d’options de configuration de sécurité et une plus grande flexibilité pour l’architecture de déploiement, y compris la possibilité de gérer les informations d’identification utilisateur sur site. StoreFront peut être hébergé derrière Citrix Gateway afin de fournir un accès à distance sécurisé, appliquer une authentification multi-facteurs et ajouter d’autres fonctionnalités de sécurité.

Service Citrix Gateway

L’utilisation de Citrix Gateway Service évite le besoin de déployer Citrix Gateway dans les datacenters des clients.

Pour plus de détails, consultez la section Service Citrix Gateway.

Toutes les connexions TLS entre le Cloud Connector et Citrix Cloud sont initiées du Cloud Connector vers Citrix Cloud. Aucun mappage de port de pare-feu entrant n’est requis.

Approbation XML

Le paramètre d’approbation XML s’applique aux déploiements qui utilisent :

  • StoreFront sur site.
  • Une technologie d’authentification d’abonné (utilisateur) qui ne nécessite pas de mots de passe. Ces technologies sont par exemple des solutions de transfert de domaine, de cartes à puce, de SAML et de Veridium.

L’activation du paramètre d’approbation XML permet aux utilisateurs de s’authentifier avec succès, puis de démarrer les applications. Cloud Connector approuve les informations d’identification envoyées à partir de StoreFront. Activez ce paramètre uniquement lorsque vous avez sécurisé les communications entre vos Citrix Cloud Connectors et StoreFront (à l’aide de pare-feu, d’IPsec ou d’autres recommandations de sécurité).

Cette option est désactivée par défaut.

Utilisez le SDK Remote PowerShell Citrix Virtual Apps and Desktops pour gérer le paramètre d’approbation XML.

  • Pour vérifier la valeur actuelle du paramètre d’approbation XML, exécutez Get-BrokerSite et inspectez la valeur de TrustRequestsSentToTheXMLServicePort.
  • Pour activer l’approbation XML, exécutez Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true.
  • Pour désactiver l’approbation XML, exécutez Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false.

Fin de prise en charge des versions TLS

Pour améliorer la sécurité de Citrix Virtual Apps and Desktops Service, Citrix a commencé à bloquer toute communication via TLS (Transport Layer Security) 1.0 et 1.1, à compter du 15 mars 2019.

Toutes les connexions aux services Citrix Cloud à partir de Citrix Cloud Connector nécessitent TLS 1.2.

Important :

CTX247067 contient des instructions complètes et actuelles pour tous les services Citrix Cloud concernés.

Mettre à niveau vers la dernière version de Citrix Receiver ou de l’application Citrix Workspace

Pour garantir la réussite de la connexion à Citrix Workspace à partir des périphériques de point de terminaison utilisateur, la version de Citrix Receiver installée doit être égale ou supérieure à la version répertoriée dans le tableau suivant.

Receiver Version
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0
Chrome/HTML5 Version la plus récente (le navigateur doit prendre en charge TLS 1.2)

Pour effectuer une mise à niveau vers la dernière version de Citrix Receiver, accédez à https://www.citrix.com/products/receiver/.

Vous pouvez également effectuer une mise à niveau vers l’application Citrix Workspace, qui utilise TLS 1.2. En savoir plus. Pour télécharger l’application Citrix Workspace, accédez à https://www.citrix.com/downloads/workspace-app/.

Si vous devez continuer à utiliser TLS 1.0 ou 1.1 (par exemple, si vous utilisez un client léger basé sur une version antérieure de Receiver pour Linux), installez StoreFront dans votre emplacement de ressource et pointez tous les Citrix Receiver vers StoreFront.

Plus d’informations

Les ressources suivantes contiennent des informations sur la sécurité :

Remarque :

Ce document vise à fournir au lecteur une introduction et un aperçu des fonctionnalités de sécurité de Citrix Cloud et à définir le partage des responsabilités entre Citrix et les clients en ce qui concerne la sécurisation du déploiement de Citrix Cloud. Il n’est pas conçu pour servir de manuel de configuration et d’administration de Citrix Cloud ou de l’un de ses composants ou services.