Vue d’ensemble de la sécurité technique

Le diagramme suivant présente les composants d’un déploiement Citrix Virtual Apps and Desktops Standard pour Azure. Cet exemple utilise une connexion de peering de réseau virtuel.

Citrix Virtual Apps and Desktops Standard pour les composants Azure et la connexion pair Azure VNet

Avec Citrix Virtual Apps and Desktops Standard pour Azure, les agents de livraison virtuels (VDA) du client qui fournissent des postes de travail et des applications, ainsi que Citrix Cloud Connector, sont déployés dans un abonnement Azure et un client géré par Citrix.

Responsabilité Citrix

Citrix Cloud Connector pour les catalogues non rattachés à un domaine

Citrix Virtual Apps and Desktops Standard pour Azure déploie au moins deux Cloud Connector dans chaque emplacement de ressource. Certains catalogues peuvent partager un emplacement de ressource s’ils se trouvent dans la même région que d’autres catalogues pour le même client.

Citrix est responsable des opérations de sécurité suivantes sur le catalogue Cloud Connector non joint à un domaine :

  • Application des mises à jour et des correctifs de sécurité du
  • Installation et maintenance d’un logiciel antivirus
  • Application des mises à jour logicielles de Cloud

Les clients n’ont pas accès aux Cloud Connector. Par conséquent, Citrix est entièrement responsable des performances du catalogue Cloud Connector sans domaine.

Abonnement Azure et Azure Active Directory

Citrix est responsable de la sécurité de l’abonnement Azure et Azure Active Directory (AAD) qui sont créés pour le client. Citrix garantit l’isolement des locataires, de sorte que chaque client dispose de son propre abonnement Azure et de son AAD, et empêche les échanges croisés entre les différents locataires. Citrix limite également l’accès à l’AAD au service Citrix Virtual Apps and Desktops Standard pour Azure et au personnel des opérations Citrix uniquement. L’accès par Citrix à l’abonnement Azure de chaque client est audité.

Les clients qui utilisent des catalogues non rattachés à un domaine peuvent utiliser l’AAD géré par Citrix comme moyen d’authentification pour Citrix Workspace. Pour ces clients, Citrix crée des comptes d’utilisateur à privilèges limités dans l’AAD géré par Citrix. Toutefois, ni les utilisateurs des clients ni les administrateurs ne peuvent exécuter d’actions sur l’AAD géré par Citrix. Si ces clients choisissent d’utiliser leur propre AAD à la place, ils sont entièrement responsables de sa sécurité.

Réseaux virtuels et infrastructure

Dans l’abonnement Azure géré par Citrix du client, Citrix crée des réseaux virtuels pour isoler les emplacements de ressources. Au sein de ces réseaux, Citrix crée des machines virtuelles pour les VDA, Cloud Connector et les machines de générateur d’images, en plus des comptes de stockage, des coffres-forts et d’autres ressources Azure. Citrix, en partenariat avec Microsoft, est responsable de la sécurité des réseaux virtuels, y compris les pare-feu de réseau virtuel.

Citrix garantit que la stratégie de pare-feu Azure par défaut (groupes de sécurité réseau) est configurée pour limiter l’accès aux interfaces réseau dans le peering de réseau virtuel et les connexions SD-WAN. Généralement, cela contrôle le trafic entrant vers les VDA et Cloud Connector. Pour plus de détails, consultez :

Les clients ne peuvent pas modifier cette stratégie de pare-feu par défaut, mais peuvent déployer des règles de pare-feu supplémentaires sur des machines VDA créées par Citrix, par exemple pour limiter partiellement le trafic sortant. Les clients qui installent des clients de réseau privé virtuel, ou tout autre logiciel capable de contourner les règles de pare-feu, sur des machines VDA créées par Citrix sont responsables des risques de sécurité qui pourraient en résulter.

Lorsque vous utilisez le générateur d’images dans Citrix Virtual Apps and Desktops Standard pour Azure pour créer et personnaliser une nouvelle image principale, les ports 3389-3390 sont ouverts temporairement dans le vNet géré par Citrix, de sorte que le client peut RDP sur la machine contenant la nouvelle image principale, pour la personnaliser.

Responsabilité Citrix lors de l’utilisation de connexions de peering de réseau virtuel Azure

Pour que les VDA de Citrix Virtual Apps and Desktops Standard pour Azure contactent des contrôleurs de domaine locaux, des partages de fichiers ou d’autres ressources intranet, Citrix Virtual Apps and Desktops Standard pour Azure fournit un flux de travail de peering de réseau virtuel en tant qu’option de connectivité. Le réseau virtuel géré par Citrix du client est homologué avec un réseau virtuel Azure géré par le client. Le réseau virtuel géré par le client peut activer la connectivité avec les ressources locales du client à l’aide de la solution de connectivité cloud à local de son choix, telle que Azure ExpressRoute ou les tunnels IPSec.

La responsabilité Citrix en ce qui concerne le peering de réseau virtuel se limite à la prise en charge du workflow et de la configuration des ressources Azure associées pour établir une relation de peering entre Citrix et les réseaux virtuels gérés par le client.

Stratégie de pare-feu pour les connexions de peering de réseau virtuel Azure

Citrix ouvre ou ferme les ports suivants pour le trafic entrant et sortant qui utilise une connexion de peering de réseau virtuel.

VNet géré par Citrix avec des machines non jointes à un domaine
  • Règles entrantes
    • Autoriser les ports 80, 443, 1494 et 2598 entrants des VDA vers Cloud Connector, et de Cloud Connector vers VDA.
    • Autoriser les ports 49152-65535 entrants aux VDA à partir d’une plage IP utilisée par la fonction d’observation Monitor. Consultez CTX101810.
    • Refuser tous les autres trafics entrants. Cela inclut le trafic intra-VNET de VDA à VDA et de VDA à Cloud Connector.
  • Règles de trafic sortant
    • Autoriser tout le trafic sortant.
VNet géré Citrix avec des machines jointes au domaine
  • Règles de trafic entrant:
    • Autorisez les ports 80, 443, 1494 et 2598 entrants depuis les VDA vers Cloud Connector, et de Cloud Connector vers les VDA.
    • Autoriser les ports 49152-65535 entrants aux VDA à partir d’une plage IP utilisée par la fonction d’observation Monitor. Consultez CTX101810.
    • Refuser tous les autres trafics entrants. Cela inclut le trafic intra-VNET de VDA à VDA et de VDA à Cloud Connector.
  • Règles de trafic sortant
    • Autoriser tout le trafic sortant.
Réseau virtuel géré par le client avec des machines jointes au domaine
  • Il appartient au client de configurer correctement son réseau virtuel. Cela inclut l’ouverture des ports suivants pour la jointure de domaine.
  • Règles de trafic entrant:
    • Autoriser les envois entrants sur 443, 1494, 2598 à partir de leurs adresses IP clientes pour les lancements internes.
    • Autoriser l’entrée sur 53, 88, 123, 135-139, 389, 445, 636 à partir de Citrix vNet (plage IP spécifiée par le client).
    • Autoriser l’entrée sur les ports ouverts avec une configuration proxy.
    • Autres règles créées par le client.
  • Règles sortantes :
    • Autoriser le sortant sur 443, 1494, 2598 vers le vNet Citrix (plage IP spécifiée par le client) pour les lancements internes.
    • Autres règles créées par le client.

responsabilité Citrix lors de l’utilisation de la connectivité SD-WAN

Citrix prend en charge un moyen entièrement automatisé de déployer des instances Citrix SD-WAN virtuelles afin d’activer la connectivité entre Citrix Virtual Apps and Desktops Standard pour Azure et les ressources locales. La connectivité Citrix SD-WAN présente un certain nombre d’avantages par rapport au peering de réseau virtuel, notamment :

Fiabilité et sécurité élevées des connexions VDA vers Datacenter et VDA vers Branche (ICA)

  • Meilleure expérience utilisateur pour les employés de bureau, avec des fonctionnalités avancées de QoS et des optimisations VoIP.
  • Possibilité intégrée d’inspecter, de hiérarchiser et de générer des rapports sur le trafic réseau Citrix HDX et d’autres utilisations des applications.

Citrix exige que les clients qui souhaitent tirer parti de la connectivité SD-WAN pour Citrix Virtual Apps and Desktops Standard pour Azure utilisent SD-WAN Orchestrator pour gérer leurs réseaux Citrix SD-WAN.

Le diagramme suivant présente les composants ajoutés dans un déploiement Citrix Virtual Apps and Desktops Standard pour Azure à l’aide de la connectivité SD-WAN.

Citrix Virtual Apps and Desktops Standard pour Azure avec connectivité SD-WAN

Le déploiement SD-WAN Citrix pour Citrix Virtual Apps and Desktops Standard pour Azure est similaire à la configuration de déploiement Azure standard pour Citrix SD-WAN. Pour de plus amples informations, consultez Déployer l’instance Citrix SD-WAN Standard Edition sur Azure. Dans une configuration haute disponibilité, une paire active/de secours d’instances SD-WAN avec des équilibreurs de charge Azure est déployée en tant que Gateway entre le sous-réseau contenant des VDA et des Cloud Connector et Internet. Dans une configuration non HA, seule une seule instance SD-WAN est déployée en tant que Gateway. Les interfaces réseau des appliances SD-WAN virtuelles se voient attribuer des adresses à partir d’une petite plage d’adresses séparée divisée en deux sous-réseaux.

Lors de la configuration de la connectivité SD-WAN, Citrix apporte quelques modifications à la configuration de mise en réseau des postes de travail gérés décrite ci-dessus. En particulier, tout le trafic sortant du réseau virtuel géré par Citrix, y compris le trafic vers des destinations Internet, est acheminé via l’instance SD-WAN cloud. L’instance SD-WAN est également configurée pour être le serveur DNS pour le vNet géré par Citrix.

L’accès de gestion aux instances SD-WAN virtuelles nécessite un identifiant d’administrateur et un mot de passe. Chaque instance de SD-WAN se voit attribuer un mot de passe sécurisé unique et aléatoire qui peut être utilisé par les administrateurs SD-WAN pour la connexion à distance et le dépannage via l’interface utilisateur SD-WAN Orchestrator, l’interface utilisateur de gestion de l’appliance virtuelle et l’interface de ligne de commande.

Tout comme d’autres ressources spécifiques au locataire, les instances SD-WAN virtuelles déployées dans un réseau virtuel client spécifique sont entièrement isolées de tous les autres réseaux virtuels.

Lorsque le client active la connectivité Citrix SD-WAN, Citrix automatise le déploiement initial des instances SD-WAN virtuelles utilisées avec Citrix Virtual Apps and Desktops Standard pour Azure, maintient les ressources Azure sous-jacentes (machines virtuelles, équilibreurs de charge, etc.), fournit des fonctionnalités prêtes à l’emploi sécurisées et efficaces définit par défaut la configuration initiale des instances SD-WAN virtuelles et permet la maintenance et le dépannage continus via SD-WAN Orchestrator. Citrix prend également des mesures raisonnables pour valider automatiquement la configuration du réseau SD-WAN, vérifier les risques de sécurité connus et afficher les alertes correspondantes via SD-WAN Orchestrator.

Stratégie de pare-feu pour les connexions SD-WAN

Citrix utilise les stratégies de pare-feu Azure (groupes de sécurité réseau) et l’attribution d’adresses IP publiques pour limiter l’accès aux interfaces réseau des appliances SD-WAN virtuelles :

  • Seules les interfaces WAN et de gestion se voient attribuer des adresses IP publiques et permettent la connectivité sortante à Internet.
  • Les interfaces LAN, agissant en tant que passerelles pour le vNet géré par Citrix, sont uniquement autorisées à échanger du trafic réseau avec des machines virtuelles sur le même réseau virtuel.
  • Les interfaces WAN limitent le trafic entrant au port UDP 4980 (utilisé par Citrix SD-WAN pour la connectivité de chemin virtuel) et refusent le trafic sortant vers le réseau virtuel.
  • Les ports de gestion permettent le trafic entrant vers les ports 443 (HTTPS) et 22 (SSH).
  • Les interfaces HA sont uniquement autorisées à échanger le trafic de contrôle entre elles.

Accès à l’infrastructure

Citrix peut accéder à l’infrastructure gérée par Citrix (Cloud Connector) du client pour effectuer certaines tâches administratives telles que la collecte des journaux (y compris l’Observateur d’événements Windows) et le redémarrage des services sans en informer le client. Citrix est responsable de l’exécution de ces tâches en toute sécurité et avec un impact minimal sur le client. Citrix est également responsable de la récupération, du transport et du traitement sécurisé des fichiers journaux. Les VDA clients ne sont pas accessibles de cette façon.

Sauvegardes pour les catalogues non rattachés au domaine

Citrix n’est pas responsable de l’exécution des sauvegardes des catalogues non joints au domaine.

Sauvegardes des images principales

Citrix est responsable de la sauvegarde des images principales téléchargées sur Citrix Virtual Apps and Desktops Standard pour Azure, y compris les images créées avec le générateur d’images. Citrix utilise un stockage redondant localement pour ces images.

Bastions pour les catalogues non rattachés à un domaine

Le personnel des opérations Citrix a la possibilité de créer un bastion, si nécessaire, pour accéder à l’abonnement Azure géré par Citrix du client afin de diagnostiquer et de réparer les problèmes du client, potentiellement avant que le client n’ait connaissance d’un problème. Citrix n’exige pas le consentement du client pour créer un bastion. Lorsque Citrix crée le bastion, Citrix crée un mot de passe fort généré aléatoirement pour le bastion et restreint l’accès RDP aux adresses IP NAT Citrix. Lorsque le bastion n’est plus nécessaire, Citrix s’en débarrasse et le mot de passe n’est plus valide. Le bastion (et les règles d’accès RDP qui l’accompagnent) sont éliminés lorsque l’opération est terminée. Citrix ne peut accéder qu’aux connecteurs Cloud Connector du client qui ne sont pas rattachés au domaine avec le bastion. Citrix ne dispose pas du mot de passe pour se connecter aux VDA non joints au domaine ou Cloud Connector et VDA joints au domaine.

Stratégie de pare-feu lors de l’utilisation d’outils de résolution

Lorsqu’un client demande la création d’une machine bastion à des fins de dépannage, les modifications suivantes du groupe de sécurité sont apportées au réseau virtuel géré par Citrix :

  • Autorisez temporairement 3389 entrants à partir de la plage IP spécifiée par le client vers le bastion.
  • Autorisez temporairement 3389 entrants à partir de l’adresse IP bastion vers n’importe quelle adresse du vNet (VDA et Cloud Connector).
  • Continuez à bloquer l’accès RDP entre les Cloud Connector, les VDA et d’autres VDA.

Lorsqu’un client active l’accès RDP pour le dépannage, les modifications suivantes du groupe de sécurité sont apportées au réseau virtuel géré par Citrix :

  • Autorisez temporairement 3389 entrants à partir de la plage IP spécifiée par le client à n’importe quelle adresse du réseau virtuel (VDA et Cloud Connector).
  • Continuez à bloquer l’accès RDP entre les Cloud Connector, les VDA et d’autres VDA.

Abonnements gérés par le client

Pour les abonnements gérés par le client, Citrix assume les responsabilités ci-dessus lors du déploiement des ressources Azure. Après le déploiement, tout ce qui précède relève de la responsabilité du client, car le client est le propriétaire de l’abonnement Azure.

Abonnements gérés par le client

Responsabilité du client

VDA et images principales

Le client est responsable de tous les aspects du logiciel installé sur les machines VDA, y compris :

Citrix fournit une image préparée qui est conçue comme un point de départ. Les clients peuvent utiliser cette image à des fins de démonstration ou de démonstration ou comme base pour construire leur propre image principale. Citrix ne garantit pas la sécurité de cette image préparée. Citrix tente de maintenir à jour le système d’exploitation et le logiciel VDA sur l’image préparée et active Windows Defender sur ces images.

Responsabilité du client lors de l’utilisation du peering de réseau virtuel

Le client doit ouvrir tous les ports spécifiés dans Réseau virtuel géré par le client avec des machines jointes au domaine.

Lorsque le peering de réseau virtuel est configuré, le client est responsable de la sécurité de son propre réseau virtuel et de sa connectivité à ses ressources locales. Le client est également responsable de la sécurité du trafic entrant du réseau virtuel homologué géré par Citrix. Citrix ne prend aucune mesure pour bloquer le trafic du réseau virtuel géré par Citrix vers les ressources locales du client.

Les clients disposent des options suivantes pour restreindre le trafic entrant :

  • Donnez au réseau virtuel géré par Citrix un bloc IP qui n’est pas utilisé ailleurs dans le réseau local du client ou dans le réseau virtuel connecté géré par le client. Ceci est requis pour le peering de réseau virtuel.
  • Ajoutez des groupes de sécurité réseau Azure et des pare-feu dans le réseau virtuel et le réseau local du client pour bloquer ou restreindre le trafic à partir du bloc IP géré par Citrix.
  • Déployez des mesures telles que des systèmes de prévention des intrusions, des pare-feu logiciels et des moteurs d’analyse comportementale dans le réseau virtuel et le réseau local du client, en ciblant le bloc IP géré par Citrix.

Responsabilité du client lors de l’utilisation de la connectivité SD-WAN

Lorsque la connectivité SD-WAN est configurée, les clients disposent d’une flexibilité totale pour configurer les instances SD-WAN virtuelles utilisées avec Citrix Virtual Apps and Desktops Standard pour Azure en fonction de leurs besoins en réseau, à l’exception de quelques éléments requis pour assurer le bon fonctionnement du SD-WAN dans le réseau virtuel géré par Citrix. Les responsabilités du client comprennent :

  • Conception et configuration des règles de routage et de pare-feu, y compris des règles pour la répartition du trafic DNS et Internet.
  • Maintenance de la configuration du réseau SD-WAN.
  • Suivi de l’état opérationnel du réseau.
  • Déploiement rapide des mises à jour logicielles Citrix SD-WAN ou des correctifs de sécurité Étant donné que toutes les instances de Citrix SD-WAN sur un réseau client doivent exécuter la même version du logiciel SD-WAN, les déploiements de versions logicielles mises à jour vers des instances Citrix Virtual Apps and Desktops Standard pour Azure SD-WAN doivent être gérés par les clients en fonction de leurs calendriers et contraintes de maintenance réseau.

Une configuration incorrecte des règles de routage SD-WAN et de pare-feu, ou une mauvaise gestion des mots de passe de gestion SD-WAN, peut entraîner des risques de sécurité pour les ressources virtuelles dans Citrix Virtual Apps and Desktops Standard pour Azure, ainsi que pour les ressources locales accessibles via des chemins virtuels Citrix SD-WAN. Un autre risque de sécurité possible provient de la non-mise à jour du logiciel Citrix SD-WAN vers la dernière version du correctif disponible. Alors que SD-WAN Orchestrator et d’autres services Citrix Cloud fournissent les moyens de faire face à ces risques, les clients sont en dernier ressort responsables de veiller à ce que les instances SD-WAN virtuelles soient configurées de manière appropriée.

Proxy

Le client peut choisir d’utiliser un proxy pour le trafic sortant du VDA. Si un proxy est utilisé, le client est responsable de :

  • Configuration des paramètres de proxy sur l’image principale du VDA ou, si le VDA est joint à un domaine, à l’aide de la stratégie de groupe Active Directory.
  • Maintenance et sécurité du mandataire.

Les proxy ne sont pas autorisés à utiliser avec Citrix Cloud Connector ou une autre infrastructure gérée par Citrix.

Résilience du catalogue

Citrix fournit trois types de catalogues avec différents niveaux de résilience :

  • Statique : chaque utilisateur est affecté à un seul VDA. Ce type de catalogue ne fournit pas de haute disponibilité. Si un VDA d’un utilisateur tombe en panne, il devra être placé sur un nouveau pour récupérer. Azure fournit un contrat SLA de 99,5 % pour les machines virtuelles à instance unique. Le client peut toujours sauvegarder le profil utilisateur, mais toutes les personnalisations apportées au VDA (telles que l’installation de programmes ou la configuration de Windows) seront perdues.
  • Aléatoire : chaque utilisateur est affecté aléatoirement à un VDA serveur au moment du lancement. Ce type de catalogue offre une haute disponibilité via la redondance. Si un VDA tombe en panne, aucune information n’est perdue car le profil de l’utilisateur réside ailleurs.
  • Windows 10 multisession : ce type de catalogue fonctionne de la même manière que le type aléatoire, mais utilise des VDA de station de travail Windows 10 au lieu des VDA de serveur.

Sauvegardes pour les catalogues joints au domaine

Si le client utilise des catalogues joints à un domaine avec un peering de réseau virtuel, il est responsable de la sauvegarde de ses profils utilisateur. Citrix recommande aux clients de configurer des partages de fichiers locaux et de définir des stratégies sur leur Active Directory ou VDA pour extraire les profils utilisateur de ces partages de fichiers. Le client est responsable de la sauvegarde et de la disponibilité de ces partages de fichiers.

Récupération d’urgence

En cas de perte de données Azure, Citrix récupère autant de ressources que possible dans l’abonnement Azure géré par Citrix. Citrix tentera de récupérer les Cloud Connector et les VDA. Si Citrix échoue à récupérer ces éléments, les clients sont responsables de la création d’un nouveau catalogue. Citrix suppose que les images principales sont sauvegardées et que les clients ont sauvegardé leurs profils utilisateur, ce qui permet de reconstruire le catalogue.

En cas de perte d’une région Azure entière, le client est responsable de la reconstruction de son réseau virtuel géré par le client dans une nouvelle région et de la création d’un peering de réseau virtuel ou d’une nouvelle instance SD-WAN dans Citrix Virtual Apps and Desktops Standard pour Azure.

Responsabilités partagées entre Citrix et les clients

Citrix Cloud Connector pour les catalogues joints au domaine

Citrix Virtual Apps and Desktops Standard pour Azure déploie au moins deux Cloud Connector dans chaque emplacement de ressource. Certains catalogues peuvent partager un emplacement de ressources s’ils se trouvent dans la même région, le même peering de réseau virtuel et le même domaine que d’autres catalogues pour le même client. Citrix configure le Cloud Connector joint au domaine du client pour les paramètres de sécurité par défaut suivants sur l’image :

  • Mises à jour du système d’exploitation et correctifs
  • Logiciel antivirus
  • Mises à jour logicielles Cloud

Les clients n’ont normalement pas accès aux Cloud Connector. Toutefois, ils peuvent obtenir un accès en utilisant les étapes de dépannage du catalogue et en se connectant avec les informations d’identification du domaine. Le client est responsable de toutes les modifications qu’il apporte lors de sa connexion via le bastion.

Les clients ont également le contrôle sur les connecteurs cloud rattachés au domaine via la stratégie de groupe Active Directory. Il incombe au client de s’assurer que les stratégies de groupe qui s’appliquent au Cloud Connector sont sûres et sensées. Par exemple, si le client choisit de désactiver les mises à jour du système d’exploitation à l’aide de la stratégie de groupe, il est responsable des mises à jour du système d’exploitation sur Cloud Connector. Le client peut également choisir d’utiliser la stratégie de groupe pour appliquer une sécurité plus stricte que les valeurs par défaut du Cloud Connector, par exemple en installant un autre logiciel antivirus. En général, Citrix recommande aux clients de placer Cloud Connector dans leur propre unité d’organisation Active Directory sans stratégie, car cela garantira que les valeurs par défaut utilisées par Citrix peuvent être appliquées sans problème.

Résolution des problèmes

Dans le cas où le client rencontre des problèmes avec le catalogue dans Citrix Virtual Apps and Desktops Standard pour Azure, il existe deux options de dépannage : l’utilisation de bastions et l’activation de l’accès RDP. Les deux options présentent un risque de sécurité pour le client. Le client doit comprendre ce risque et y consentir avant d’utiliser ces options.

Citrix est responsable de l’ouverture et de la fermeture des ports nécessaires pour effectuer des opérations de dépannage et de la limitation des machines accessibles au cours de ces opérations.

Avec des bastions ou un accès RDP, l’utilisateur actif effectuant l’opération est responsable de la sécurité des machines auxquelles on accède. Si le client accède au VDA ou au Cloud Connector via RDP et qu’il contracte accidentellement un virus, le client en est responsable. Si le personnel de support Citrix accède à ces machines, il incombe à ce personnel d’effectuer des opérations en toute sécurité. La responsabilité des vulnérabilités exposées par une personne accédant au bastion ou à d’autres machines du déploiement (par exemple, la responsabilité du client d’ajouter des plages d’adresses IP pour autoriser la liste, la responsabilité Citrix d’implémenter correctement les plages d’adresses IP) est traitée ailleurs dans ce document.

Dans les deux scénarios, Citrix est responsable de la création correcte des exceptions de pare-feu pour autoriser le trafic RDP. Citrix est également responsable de la révocation de ces exceptions une fois que le client dispose du bastion ou met fin à l’accès RDP via Citrix Virtual Apps and Desktops Standard pour Azure.

Bastions

Citrix peut créer des bastions dans le réseau virtuel géré par Citrix du client dans l’abonnement géré par Citrix du client pour diagnostiquer et réparer les problèmes, soit de manière proactive (sans notification client), soit en réponse à un problème soulevé par le client. Le bastion est une machine à laquelle le client peut accéder via RDP, puis utiliser pour accéder aux VDA et (pour les catalogues joints au domaine) Cloud Connector via RDP pour collecter les journaux, redémarrer les services ou effectuer d’autres tâches administratives. Par défaut, la création d’un bastion ouvre une règle de pare-feu externe pour autoriser le trafic RDP à partir d’une plage d’adresses IP spécifiée par le client vers la machine bastion. Il ouvre également une règle de pare-feu interne pour autoriser l’accès aux Cloud Connector et aux VDA via RDP. L’ouverture de ces règles pose un risque important pour la sécurité.

Le client est responsable de fournir un mot de passe fort utilisé pour le compte Windows local. Le client est également responsable de fournir une plage d’adresses IP externe qui permet l’accès RDP au bastion. Si le client choisit de ne pas fournir de plage IP (permettant à quiconque de tenter l’accès RDP), le client est responsable de tout accès tenté par des adresses IP malveillantes.

Le client est également responsable de la suppression du bastion une fois le dépannage terminé. L’hôte de bastion expose une surface d’attaque supplémentaire, de sorte que Citrix arrête automatiquement la machine huit (8) heures après sa mise sous tension. Toutefois, Citrix ne supprime jamais automatiquement un bastion. Si le client choisit d’utiliser le bastion pendant une période prolongée, il est responsable de l’application des correctifs et de la mise à jour. Citrix recommande qu’un bastion ne soit utilisé que pendant plusieurs jours avant de le supprimer. Si le client souhaite un bastion à jour, il peut supprimer son bastion actuel, puis créer un nouveau bastion, qui approvisionnera une nouvelle machine avec les derniers correctifs de sécurité.

Accès RDP

Pour les catalogues joints à un domaine, si le peering de réseau virtuel du client est fonctionnel, le client peut activer l’accès RDP depuis son réseau virtuel homologué vers son réseau virtuel géré par Citrix. Si le client utilise cette option, il est responsable de l’accès aux VDA et aux Cloud Connectors via le peering de réseau virtuel. Les plages d’adresses IP source peuvent être spécifiées de sorte que l’accès RDP peut être restreint davantage, même au sein du réseau interne du client. Le client devra utiliser les informations d’identification de domaine pour se connecter à ces machines. Si le client travaille avec Citrix Support pour résoudre un problème, il peut être nécessaire de partager ces informations d’identification avec le personnel de support technique. Une fois le problème résolu, le client est responsable de la désactivation de l’accès RDP. Maintenir l’accès RDP ouvert à partir du réseau appairé ou local du client pose un risque de sécurité.

Identifiants de domaine

Si le client choisit d’utiliser un catalogue joint au domaine, il est responsable de fournir à Citrix Virtual Apps and Desktops Standard pour Azure un compte de domaine (nom d’utilisateur et mot de passe) avec les autorisations permettant de joindre des machines au domaine. Lors de la fourniture d’informations d’identification de domaine, le client est tenu de respecter les principes de sécurité suivants :

  • Auditable : le compte doit être créé spécifiquement pour l’utilisation de Citrix Virtual Apps and Desktops Standard pour Azure afin de faciliter l’audit de l’utilisation du compte.
  • Étendue : le compte ne nécessite que des autorisations pour joindre des machines à un domaine. Il ne doit pas être un administrateur de domaine complet.
  • Sécurisé : Un mot de passe fort doit être placé sur le compte.

Citrix est responsable du stockage sécurisé de ce compte de domaine dans un coffre-fort Azure Key Vault dans l’abonnement Azure géré par Citrix du client. Le compte n’est récupéré que si une opération nécessite le mot de passe du compte de domaine.

Plus d’informations

Pour plus d’informations connexes, voir :

Vue d’ensemble de la sécurité technique