Vue d’ensemble de la sécurité technique

Le diagramme suivant illustre les composants d’un déploiement Citrix Virtual Apps and Desktops Standard for Azure. Cet exemple utilise une connexion de peering de réseau virtuel.

Citrix Virtual Apps and Desktops Standard pour les composants Azure et la connexion homologue Azure VNet

Avec Citrix Virtual Apps and Desktops Standard for Azure, les agents de livraison virtuels (VDA) du client qui fournissent des postes de travail et des applications, ainsi que Citrix Cloud Connectors, sont déployés dans un abonnement Azure et un locataire gérés par Citrix.

Conformité cloud de Citrix

L’utilisation de Citrix Managed Azure Capacity avec diverses éditions du service Citrix Virtual Apps and Desktops et Workspace Premium Plus n’a pas été évaluée pour Citrix SOC 2 (Type 1 ou 2), ISO 27001, HIPAA ou d’autres exigences de conformité cloud. (Janvier 2021)Conformité cloud de Citrix Visitez le Citrix Trust Center pour en savoir plus sur les certifications Citrix Cloud et consultez-le fréquemment pour obtenir les informations les plus récentes.

Responsabilité Citrix

Citrix Cloud Connector pour les catalogues non rattachés à un domaine

Citrix Virtual Apps and Desktops Standard for Azure déploie au moins deux Cloud Connectors dans chaque emplacement de ressources. Certains catalogues peuvent partager un emplacement de ressource s’ils se trouvent dans la même région que d’autres catalogues pour le même client.

Citrix est responsable des opérations de sécurité suivantes sur les Cloud Connectors du catalogue non joint au domaine :

  • Appliquer des mises à jour du système d’exploitation et des correctifs
  • Installation et maintenance d’un logiciel antivirus
  • Appliquer les mises à jour logicielles

Les clients n’ont pas accès aux Cloud Connectors. Citrix est donc entièrement responsable des performances du catalogue Cloud Connectors qui n’est pas joint au domaine.

Abonnement Azure et Azure Active Directory

Citrix est responsable de la sécurité de l’abonnement Azure et d’Azure Active Directory (AAD) créés pour le client. Citrix garantit l’isolement des locataires, de sorte que chaque client dispose de son propre abonnement Azure et de son AAD, et empêche les échanges croisés entre les différents locataires. Citrix limite également l’accès à l’AAD au service Citrix Virtual Apps and Desktops Standard for Azure et au personnel des opérations Citrix uniquement. L’accès par Citrix à l’abonnement Azure de chaque client est audité.

Les clients utilisant des catalogues non joints à un domaine peuvent utiliser l’AAD géré par Citrix comme moyen d’authentification pour Citrix Workspace. Pour ces clients, Citrix crée des comptes utilisateurs à privilèges limités dans l’AAD géré par Citrix. Toutefois, ni les utilisateurs ni les administrateurs des clients ne peuvent exécuter d’actions sur l’AAD géré par Citrix. Si ces clients choisissent plutôt d’utiliser leur propre AAD, ils sont entièrement responsables de sa sécurité.

Réseaux et infrastructures virtuels

Au sein de l’abonnement Citrix Managed Azure du client, Citrix crée des réseaux virtuels pour isoler les emplacements de ressources. Au sein de ces réseaux, Citrix crée des machines virtuelles pour les VDA, les Cloud Connectors et les machines de création d’images, en plus des comptes de stockage, des coffres-forts clés et d’autres ressources Azure. Citrix, en partenariat avec Microsoft, est responsable de la sécurité des réseaux virtuels, y compris des pare-feu de réseau virtuel.

Citrix garantit que la stratégie de pare-feu Azure par défaut (groupes de sécurité réseau) est configurée pour limiter l’accès aux interfaces réseau dans l’appairage de réseau virtuel et les connexions SD-WAN. En règle générale, cela contrôle le trafic entrant vers les VDA et Cloud Connector. Pour plus de détails, consultez :

Les clients ne peuvent pas modifier cette stratégie de pare-feu par défaut, mais ils peuvent déployer des règles de pare-feu supplémentaires sur des machines VDA créées par Citrix. Par exemple, pour limiter partiellement le trafic sortant. Les clients qui installent des clients de réseau privé virtuel, ou tout autre logiciel capable de contourner les règles de pare-feu, sur des machines VDA créées par Citrix sont responsables des risques de sécurité qui pourraient en résulter.

Lorsque vous utilisez le générateur d’images dans Citrix Virtual Apps and Desktops Standard for Azure pour créer et personnaliser une nouvelle image de machine, les ports 3389-3390 sont ouverts temporairement dans le réseau virtuel géré par Citrix, de sorte que le client puisse RDP vers la machine contenant la nouvelle image de machine, pour la personnaliser.

Responsabilité Citrix lors de l’utilisation de connexions d’appairage Azure VNet

Pour que les VDA de Citrix Virtual Apps and Desktops Standard for Azure contactent des contrôleurs de domaine locaux, des partages de fichiers ou d’autres ressources intranet, Citrix Virtual Apps and Desktops Standard for Azure fournit un flux de travail d’appairage de réseaux virtuels comme option de connectivité. Le réseau virtuel géré par Citrix du client est homologué avec un réseau virtuel Azure géré par le client. Le réseau virtuel géré par le client peut permettre la connectivité avec les ressources locales du client à l’aide de la solution de connectivité cloud à local de son choix, comme Azure ExpressRoute ou les tunnels IPSec.

La responsabilité de Citrix pour l’appairage de réseaux virtuels se limite à la prise en charge du flux de travail et de la configuration des ressources Azure associée pour établir une relation d’appairage entre Citrix et les réseaux virtuels gérés par le client.

Stratégie de pare-feu pour les connexions d’appairage Azure VNet

Citrix ouvre ou ferme les ports suivants pour le trafic entrant et sortant qui utilise une connexion de peering de réseau virtuel.

VNet géré par Citrix avec des machines non jointes à un domaine
  • Règles entrantes
    • Autorisez les ports 80, 443, 1494 et 2598 entrants des VDA vers Cloud Connector et des Cloud Connectors vers les VDA.
    • Autoriser les ports 49152-65535 entrants vers les VDA à partir d’une plage IP utilisée par la fonction d’ombrage du moniteur. Consultez Ports de communication utilisés par les technologies Citrix.
    • Refuser tous les autres entrants. Cela inclut le trafic intra-réseau virtuel depuis VDA vers VDA et VDA vers Cloud Connector.
  • Règles sortantes
    • Autoriser tout le trafic sortant.
VNet géré par Citrix avec des machines jointes à un domaine
  • Règles entrantes :
    • Autorisez les ports 80, 443, 1494 et 2598 entrants des VDA vers Cloud Connectors et des Cloud Connectors vers les VDA.
    • Autoriser les ports 49152-65535 entrants vers les VDA à partir d’une plage IP utilisée par la fonction d’ombrage du moniteur. Consultez Ports de communication utilisés par les technologies Citrix.
    • Refuser tous les autres entrants. Cela inclut le trafic intra-réseau virtuel depuis VDA vers VDA et VDA vers Cloud Connector.
  • Règles sortantes
    • Autoriser tout le trafic sortant.
VNet géré par le client avec des machines jointes à un domaine
  • Il appartient au client de configurer correctement son réseau virtuel. Cela inclut l’ouverture des ports suivants pour la jonction de domaines.
  • Règles entrantes :
    • Autoriser les appels entrants sur 443, 1494 et 2598 à partir de leurs adresses IP clientes pour les lancements internes.
    • Autoriser l’entrée sur 53, 88, 123, 135-139, 389, 445, 636 à partir de Citrix VNet (plage IP spécifiée par le client).
    • Autoriser les ports entrants sur les ports ouverts avec une configuration proxy.
    • Autres règles créées par le client.
  • Règles sortantes :
    • Autoriser les sorties sortantes sur 443, 1494 et 2598 vers Citrix VNet (plage IP spécifiée par le client) pour les lancements internes.
    • Autres règles créées par le client.

responsabilité Citrix lors de l’utilisation de la connectivité SD-WAN

Citrix prend en charge une méthode entièrement automatisée de déploiement d’instances Citrix SD-WAN virtuelles pour activer la connectivité entre Citrix Virtual Apps et Desktops Standard for Azure et les ressources locales. La connectivité Citrix SD-WAN présente de nombreux avantages par rapport à l’appairage VNet, notamment :

Fiabilité et sécurité élevées des connexions VDA à centre de données et VDA à branche (ICA).

  • Meilleure expérience utilisateur final pour les employés de bureau, avec des capacités QoS avancées et des optimisations VoIP.
  • Possibilité intégrée d’inspecter, de hiérarchiser et de générer des rapports sur le trafic réseau Citrix HDX et d’autres utilisations des applications.

Citrix exige que les clients qui souhaitent tirer parti de la connectivité SD-WAN pour Citrix Virtual Apps and Desktops Standard for Azure utilisent SD-WAN Orchestrator pour gérer leurs réseaux Citrix SD-WAN.

Le diagramme suivant montre les composants ajoutés dans un déploiement Citrix Virtual Apps and Desktops Standard for Azure à l’aide de la connectivité SD-WAN.

Citrix Virtual Apps and Desktops Standard pour Azure avec connectivité SD-WAN

Le déploiement Citrix SD-WAN pour Citrix Virtual Apps and Desktops Standard for Azure est similaire à la configuration de déploiement Azure standard pour Citrix SD-WAN. Pour de plus amples informations, consultez Déployer une instance Citrix SD-WAN Standard Edition sur Azure. Dans une configuration haute disponibilité, une paire active/veille d’instances SD-WAN avec des équilibreurs de charge Azure est déployée en tant que passerelle entre le sous-réseau contenant des VDA et Cloud Connectors, et Internet. Dans une configuration non HA, seule une seule instance SD-WAN est déployée en tant que passerelle. Les interfaces réseau des appliances SD-WAN virtuelles se voient attribuer des adresses provenant d’une petite plage d’adresses distincte divisée en deux sous-réseaux.

Lors de la configuration de la connectivité SD-WAN, Citrix apporte quelques modifications à la configuration réseau des postes de travail gérés décrite ci-dessus. En particulier, tout le trafic sortant du réseau virtuel, y compris le trafic vers les destinations Internet, est acheminé via l’instance Cloud SD-WAN. L’instance SD-WAN est également configurée pour être le serveur DNS du réseau virtuel géré par Citrix.

L’accès de gestion aux instances SD-WAN virtuelles nécessite un identifiant et un mot de passe administrateur. Chaque instance de SD-WAN se voit attribuer un mot de passe sécurisé unique et aléatoire qui peut être utilisé par les administrateurs SD-WAN pour la connexion et le dépannage à distance via l’interface utilisateur SD-WAN Orchestrator, l’interface utilisateur de gestion de l’appliance virtuelle et l’interface de ligne de commande.

Tout comme d’autres ressources spécifiques au locataire, les instances SD-WAN virtuelles déployées dans un réseau virtuel client spécifique sont entièrement isolées de tous les autres réseaux virtuels.

Lorsque le client active la connectivité Citrix SD-WAN, Citrix automatise le déploiement initial des instances SD-WAN virtuelles utilisées avec Citrix Virtual Apps and Desktops Standard for Azure, gère les ressources Azure sous-jacentes (machines virtuelles, équilibreurs de charge, etc.), fournit des solutions prêtes à l’emploi sécurisées et efficaces est défini par défaut pour la configuration initiale des instances SD-WAN virtuelles, et permet la maintenance continue et le dépannage via SD-WAN Orchestrator. Citrix prend également des mesures raisonnables pour valider automatiquement la configuration du réseau SD-WAN, vérifier les risques de sécurité connus et afficher les alertes correspondantes via SD-WAN Orchestrator.

Stratégie de pare-feu pour les connexions SD-WAN

Citrix utilise des stratégies de pare-feu Azure (groupes de sécurité réseau) et l’attribution d’adresses IP publiques pour limiter l’accès aux interfaces réseau des appliances SD-WAN virtuelles :

  • Seules les interfaces WAN et de gestion se voient attribuer des adresses IP publiques et permettent la connectivité sortante à Internet.
  • Les interfaces LAN, agissant comme passerelles pour le réseau virtuel géré par Citrix, sont uniquement autorisées à échanger du trafic réseau avec des machines virtuelles sur le même réseau virtuel.
  • Les interfaces WAN limitent le trafic entrant au port UDP 4980 (utilisé par Citrix SD-WAN pour la connectivité des chemins virtuels) et refusent le trafic sortant vers le réseau virtuel.
  • Les ports de gestion autorisent le trafic entrant vers les ports 443 (HTTPS) et 22 (SSH).
  • Les interfaces HA ne sont autorisées qu’à échanger le trafic de contrôle entre elles.

Accès à l’infrastructure

Citrix peut accéder à l’infrastructure gérée par Citrix (Cloud Connectors) du client pour effectuer certaines tâches administratives telles que la collecte des journaux (y compris l’Observateur d’événements Windows) et le redémarrage des services sans en avertir le client. Citrix est responsable de l’exécution de ces tâches en toute sécurité et en toute sécurité, avec un impact minimal sur le client. Citrix est également responsable de s’assurer que tous les fichiers journaux sont récupérés, transportés et traités en toute sécurité et en toute sécurité. Les VDA clients ne sont pas accessibles de cette façon.

Sauvegardes pour catalogues non joints à un domaine

Citrix n’est pas responsable des sauvegardes de catalogues non joints à un domaine.

Sauvegardes d’images machine

Citrix est responsable de la sauvegarde de toutes les images de machine chargées sur Citrix Virtual Apps and Desktops Standard for Azure, y compris les images créées avec le générateur d’images. Citrix utilise un stockage redondant localement pour ces images.

Bastions pour catalogues non joints à un domaine

Le personnel des opérations Citrix a la capacité de créer un bastion, si nécessaire, pour accéder à l’abonnement Azure géré par Citrix du client pour diagnostiquer et réparer les problèmes des clients, potentiellement avant que le client ne soit conscient d’un problème. Citrix n’a pas besoin du consentement du client pour créer un bastion. Lorsque Citrix crée le bastion, Citrix crée un mot de passe fort généré aléatoirement pour le bastion et restreint l’accès RDP aux adresses IP NAT Citrix. Lorsque le bastion n’est plus nécessaire, Citrix l’utilise et le mot de passe n’est plus valide. Le bastion (et les règles d’accès RDP qui l’accompagnent) sont éliminés lorsque l’opération est terminée. Citrix peut accéder uniquement aux Cloud Connectors non joints au domaine du client avec le bastion. Citrix ne dispose pas du mot de passe nécessaire pour se connecter à des VDA non joints à un domaine ou à des Cloud Connectors et VDA appartenant à un domaine.

Stratégie de pare-feu lors de l’utilisation d’outils de dépannage

Lorsqu’un client demande la création d’une machine bastion à des fins de dépannage, les modifications suivantes du groupe de sécurité sont apportées au réseau virtuel géré par Citrix :

  • Autorisez temporairement 3389 entrants de la plage IP spécifiée par le client vers le bastion.
  • Autorisez temporairement 3389 entrées depuis l’adresse IP de bastion vers n’importe quelle adresse du réseau virtuel (VDA et Cloud Connectors).
  • Continuez à bloquer l’accès RDP entre les Cloud Connector, les VDA et d’autres VDA.

Lorsqu’un client autorise l’accès RDP à des fins de dépannage, les modifications suivantes du groupe de sécurité sont apportées au réseau virtuel géré par Citrix :

  • Autorisez temporairement 3389 entrées depuis la plage IP spécifiée par le client vers n’importe quelle adresse du réseau virtuel (VDA et Cloud Connectors).
  • Continuez à bloquer l’accès RDP entre les Cloud Connector, les VDA et d’autres VDA.

Abonnements gérés par le client

Pour les abonnements gérés par le client, Citrix adhère aux responsabilités ci-dessus lors du déploiement des ressources Azure. Après le déploiement, tout ce qui précède relève de la responsabilité du client, car le client est propriétaire de l’abonnement Azure.

Abonnements gérés par le client

Responsabilité client

VDA et images de machines

Le client est responsable de tous les aspects du logiciel installé sur les machines VDA, y compris :

  • Mises à jour du système d’exploitation et correctifs
  • Antivirus et antimalware
  • Mises à jour logicielles VDA et correctifs de sécurité
  • Règles de pare-feu logiciel supplémentaires (en particulier le trafic sortant)
  • Suivez Citrix considérations de sécurité et bonnes pratiques

Citrix fournit une image préparée destinée à servir de point de départ. Les clients peuvent utiliser cette image à des fins de preuve de concept ou de démonstration ou comme base pour créer leur propre image de machine. Citrix ne garantit pas la sécurité de cette image préparée. Citrix tentera de maintenir à jour le système d’exploitation et le logiciel VDA de l’image préparée et activera Windows Defender sur ces images.

Responsabilité du client lors de l’utilisation de l’appairage

Le client doit ouvrir tous les ports spécifiés dans VNet géré par le client avec des machines jointes à un domaine.

Lorsque l’appairage de réseau virtuel est configuré, le client est responsable de la sécurité de son propre réseau virtuel et de sa connectivité à ses ressources locales. Le client est également responsable de la sécurité du trafic entrant provenant du réseau virtuel appairé géré par Citrix. Citrix ne prend aucune mesure pour bloquer le trafic entre le réseau virtuel géré par Citrix et les ressources locales du client.

Les clients disposent des options suivantes pour limiter le trafic entrant :

  • Donnez au réseau virtuel géré par Citrix un bloc IP qui n’est utilisé ailleurs dans le réseau local du client ou dans le réseau virtuel connecté géré par le client. Ceci est nécessaire pour l’appairage de VNet.
  • Ajoutez des groupes de sécurité réseau Azure et des pare-feu au réseau virtuel du client et au réseau local pour bloquer ou restreindre le trafic provenant du bloc IP géré par Citrix.
  • Déployez des mesures telles que des systèmes de prévention des intrusions, des pare-feu logiciels et des moteurs d’analyse comportementale dans le réseau virtuel du client et le réseau local, en ciblant le bloc IP géré par Citrix.

Responsabilité du client lors de l’utilisation de la connectivité SD-WAN

Lorsque la connectivité SD-WAN est configurée, les clients disposent d’une flexibilité totale pour configurer les instances SD-WAN virtuelles utilisées avec Citrix Virtual Apps and Desktops Standard for Azure en fonction de leurs besoins réseau, à l’exception de quelques éléments requis pour garantir le bon fonctionnement du SD-WAN dans Citrix - réseau virtuel géré. Les responsabilités du client comprennent :

  • Conception et configuration de règles de routage et de pare-feu, y compris les règles relatives à la rupture du trafic DNS et Internet.
  • Maintenance de la configuration réseau SD-WAN.
  • Surveillance de l’état opérationnel du réseau.
  • Déploiement rapide des mises à jour logicielles Citrix SD-WAN ou des correctifs de sécurité Étant donné que toutes les instances de Citrix SD-WAN sur un réseau client doivent exécuter la même version du logiciel SD-WAN, les déploiements de versions logicielles mises à jour vers les instances Citrix Virtual Apps and Desktops Standard for Azure SD-WAN doivent être gérés par les clients en fonction de leurs calendriers et contraintes de maintenance réseau. .

Une configuration incorrecte des règles de routage et de pare-feu SD-WAN ou une mauvaise gestion des mots de passe de gestion SD-WAN peuvent entraîner des risques de sécurité pour les ressources virtuelles dans Citrix Virtual Apps and Desktops Standard for Azure, et les ressources locales accessibles via les chemins virtuels Citrix SD-WAN. Un autre risque de sécurité possible provient de la non-mise à jour du logiciel Citrix SD-WAN vers la dernière version du correctif disponible. Bien que SD-WAN Orchestrator et d’autres services Citrix Cloud fournissent les moyens de faire face à ces risques, les clients doivent en fin de compte s’assurer que les instances SD-WAN virtuelles sont configurées de manière appropriée.

Proxy

Le client peut choisir d’utiliser un proxy pour le trafic sortant du VDA. Si un proxy est utilisé, le client est responsable de :

  • Configuration des paramètres proxy sur l’image de machine VDA ou, si le VDA est joint à un domaine, à l’aide de la stratégie de groupe Active Directory.
  • Maintenance et sécurité du proxy.

Les proxy ne sont pas autorisés à être utilisés avec Citrix Cloud Connector ou une autre infrastructure gérée par Citrix.

Résilience du catalogue

Citrix fournit trois types de catalogues avec différents niveaux de résilience :

  • Statique : chaque utilisateur est affecté à un seul VDA. Ce type de catalogue n’offre pas de haute disponibilité. Si le VDA d’un utilisateur tombe en panne, il devra être placé sur un nouveau VDA pour le récupérer. Azure fournit un contrat de niveau de niveau de service à 99,5 % pour les machines virtuelles à instance unique. Le client peut toujours sauvegarder le profil utilisateur, mais toutes les personnalisations effectuées sur le VDA (telles que l’installation de programmes ou la configuration de Windows) seront perdues.
  • Aléatoire : chaque utilisateur est affecté aléatoirement à un VDA serveur au moment du lancement. Ce type de catalogue offre une haute disponibilité via la redondance. Si un VDA tombe en panne, aucune information n’est perdue car le profil de l’utilisateur se trouve ailleurs.
  • Multisession Windows 10 : ce type de catalogue fonctionne de la même manière que le type aléatoire, mais utilise les VDA de station de travail Windows 10 au lieu des VDA de serveur.

Sauvegardes de catalogues appartenant à un domaine

Si le client utilise des catalogues joints à un domaine avec un appairage VNet, il est responsable de la sauvegarde de ses profils utilisateur. Citrix recommande aux clients de configurer des partages de fichiers locaux et de définir des stratégies sur leur Active Directory ou leurs VDA pour extraire les profils utilisateur de ces partages de fichiers. Le client est responsable de la sauvegarde et de la disponibilité de ces partages de fichiers.

Récupération d’urgence

En cas de perte de données Azure, Citrix récupérera autant de ressources que possible dans l’abonnement Azure géré par Citrix. Citrix tentera de récupérer les Cloud Connectors et les VDA. Si Citrix ne réussit pas à récupérer ces éléments, les clients sont responsables de la création d’un nouveau catalogue. Citrix suppose que les images machine sont sauvegardées et que les clients ont sauvegardé leurs profils utilisateur, ce qui permet de reconstruire le catalogue.

En cas de perte d’une région Azure entière, le client est responsable de la reconstruction de son réseau virtuel géré par le client dans une nouvelle région et de la création d’un nouvel appairage de réseau virtuel ou d’une nouvelle instance SD-WAN dans Citrix Virtual Apps and Desktops Standard for Azure.

Responsabilités partagées entre Citrix et les clients

Citrix Cloud Connector pour les catalogues joints au domaine

Citrix Virtual Apps and Desktops Standard for Azure déploie au moins deux Cloud Connectors dans chaque emplacement de ressources. Certains catalogues peuvent partager un emplacement de ressources s’ils se trouvent dans la même région, l’appairage de réseau virtuel et le même domaine que d’autres catalogues pour le même client. Citrix configure les Cloud Connectors joints au domaine du client pour les paramètres de sécurité par défaut suivants sur l’image :

  • Mises à jour du système d’exploitation et correctifs
  • Logiciel antivirus
  • Mises à jour logicielles Cloud

Les clients n’ont normalement pas accès aux Cloud Connectors. Toutefois, ils peuvent obtenir un accès en utilisant les étapes de dépannage du catalogue et en se connectant à l’aide des informations d’identification du domaine. Le client est responsable des modifications qu’il apporte lors de la connexion via le bastion.

Les clients ont également le contrôle sur les Cloud Connectors joints au domaine via la stratégie de groupe Active Directory. Il incombe au client de s’assurer que les stratégies de groupe qui s’appliquent au Cloud Connector sont sûres et raisonnables. Par exemple, si le client choisit de désactiver les mises à jour du système d’exploitation à l’aide de la stratégie de groupe, il est responsable d’effectuer des mises à jour du système d’exploitation sur les Cloud Connectors. Le client peut également choisir d’utiliser la stratégie de groupe pour appliquer une sécurité plus stricte que les valeurs par défaut de Cloud Connector, par exemple en installant un autre logiciel antivirus. En général, Citrix recommande aux clients de placer Cloud Connectors dans leur propre unité organisationnelle Active Directory sans stratégie, car cela garantit que les valeurs par défaut utilisées par Citrix peuvent être appliquées sans problème.

Résolution des problèmes

Si le client rencontre des problèmes avec le catalogue dans Citrix Virtual Apps and Desktops Standard for Azure, il existe deux options de dépannage : l’utilisation de bastions et l’activation de l’accès RDP. Les deux options présentent un risque de sécurité pour le client. Le client doit comprendre et accepter ce risque avant d’utiliser ces options.

Citrix est responsable de l’ouverture et de la fermeture des ports nécessaires pour effectuer des opérations de dépannage et de limiter les machines accessibles pendant ces opérations.

Avec des bastions ou un accès RDP, l’utilisateur actif effectuant l’opération est responsable de la sécurité des machines auxquelles on accède. Si le client accède au VDA ou au Cloud Connector via RDP et contracte accidentellement un virus, le client est responsable. Si le personnel du support Citrix accède à ces machines, il incombe à ce personnel d’effectuer des opérations en toute sécurité. La responsabilité des vulnérabilités exposées par toute personne accédant au bastion ou à d’autres machines dans le déploiement (par exemple, la responsabilité du client d’ajouter des plages IP pour autoriser la liste, la responsabilité Citrix de mettre en œuvre correctement les plages IP) est traitée ailleurs dans ce document.

Dans les deux scénarios, Citrix est responsable de la création correcte des exceptions de pare-feu pour autoriser le trafic RDP. Citrix est également responsable de la révocation de ces exceptions lorsque le client a éliminé le bastion ou met fin à l’accès RDP via Citrix Virtual Apps and Desktops Standard for Azure.

Bastions

Citrix peut créer des bastions dans le réseau virtuel géré par Citrix du client au sein de l’abonnement géré par Citrix du client pour diagnostiquer et réparer les problèmes, soit de manière proactive (sans notification client), soit en réponse à un problème posé par le client. Le bastion est une machine à laquelle le client peut accéder via RDP, puis utiliser pour accéder aux VDA et (pour les catalogues joints à un domaine) Cloud Connector via RDP pour collecter des journaux, redémarrer les services ou effectuer d’autres tâches administratives. Par défaut, la création d’un bastion ouvre une règle de pare-feu externe pour autoriser le trafic RDP depuis une plage d’adresses IP spécifiée par le client vers la machine bastion. Il ouvre également une règle de pare-feu interne pour autoriser l’accès aux Cloud Connectors et aux VDA via RDP. L’ouverture de ces règles pose un risque important pour la sécurité.

Le client est responsable de fournir un mot de passe fort utilisé pour le compte Windows local. Le client est également responsable de fournir une plage d’adresses IP externe qui permet un accès RDP au bastion. Si le client choisit de ne pas fournir de plage IP (permettant à quiconque de tenter l’accès RDP), le client est responsable de toute tentative d’accès par des adresses IP malveillantes.

Le client est également responsable de la suppression du bastion une fois le dépannage terminé. L’hôte bastion expose une surface d’attaque supplémentaire, de sorte que Citrix arrête automatiquement la machine huit (8) heures après sa mise sous tension. Toutefois, Citrix ne supprime jamais automatiquement un bastion. Si le client choisit d’utiliser le bastion pendant une longue période, il est responsable de son application et de sa mise à jour. Citrix recommande qu’un bastion ne soit utilisé que pendant plusieurs jours avant de le supprimer. Si le client souhaite un bastion à jour, il peut supprimer son bastion actuel, puis créer un nouveau bastion, qui fournira à une nouvelle machine les derniers correctifs de sécurité.

Accès RDP

Pour les catalogues appartenant à un domaine, si l’appairage du réseau virtuel du client est fonctionnel, le client peut activer l’accès RDP depuis son réseau virtuel appairé vers son réseau virtuel géré par Citrix. Si le client utilise cette option, il est responsable de l’accès aux VDA et aux Cloud Connectors via l’appairage de réseau virtuel. Les plages d’adresses IP source peuvent être spécifiées afin que l’accès RDP puisse être encore restreint, même au sein du réseau interne du client. Le client devra utiliser les informations d’identification du domaine pour se connecter à ces machines. Si le client travaille avec Citrix Support pour résoudre un problème, il peut être nécessaire de partager ces informations d’identification avec le personnel de support. Une fois le problème résolu, le client est responsable de la désactivation de l’accès RDP. Garder l’accès RDP ouvert à partir du réseau appairé ou local du client pose un risque de sécurité.

Identifiants de domaine

Si le client choisit d’utiliser un catalogue joint à un domaine, il est responsable de fournir à Citrix Virtual Apps and Desktops Standard for Azure un compte de domaine (nom d’utilisateur et mot de passe) avec les autorisations nécessaires pour joindre des machines au domaine. Lors de la fourniture d’informations d’identification de domaine, le client est tenu de respecter les principes de sécurité suivants :

  • Auditable : Le compte doit être créé spécifiquement pour Citrix Virtual Apps and Desktops Standard for Azure, de sorte qu’il soit facile d’auditer à quoi sert le compte.
  • Étendue : le compte ne nécessite que des autorisations pour joindre des machines à un domaine. Il ne doit pas s’agir d’un administrateur de domaine complet.
  • Sécurisé : Un mot de passe fort doit être placé sur le compte.

Citrix est responsable du stockage sécurisé de ce compte de domaine dans un coffre-fort à clés Azure dans l’abonnement Azure géré par Citrix du client. Le compte est récupéré uniquement si une opération nécessite le mot de passe du compte de domaine.

Plus d’informations

Pour obtenir des informations connexes, voir :

Vue d’ensemble de la sécurité technique