Dans cet article, nous expliquons comment sécuriser votre déploiement Citrix dans Azure. Les sections expliquent comment mettre en œuvre les meilleures pratiques et les configurations détaillées recommandées par Microsoft et Citrix. Nous fournissons également des conseils sur les services de sécurité Microsoft Azure et Citrix appropriés pour sécuriser votre déploiement Citrix.
La première section présente la sécurité Azure, où nous abordons les principaux sujets liés à l’administration, à Azure Active Directory, à la mise en réseau, à la protection des données et à la stratégie Azure. La section suivante se concentre sur l’accès aux ressources depuis Citrix Cloud et fournit les autorisations de rôle minimales requises pour la gestion de la connexion d’hébergement et du catalogue de machines. La dernière section fournit des conseils sur les services Azure et Citrix qui offrent la meilleure protection pour votre déploiement Citrix.
Ce document suppose une compréhension de niveau administratif de Microsoft Azure et Citrix. Pour aider les lecteurs qui ne sont peut-être pas familiers avec tous les concepts abordés, nous incluons des explications utiles.
Étant donné que Microsoft Azure comprend de nombreux services, la sécurité au sein d’Azure nécessite une approche plus large. Nous commençons par sécuriser chacun des services au point d’accès. Cette section fournit des conseils sur la manière de sécuriser les services sur la base des recommandations de Microsoft et de Citrix.
La section Administration Azure traite de la sécurisation de l’environnement à l’aide de la gestion des identités et des accès (IAM) et du contrôle d’accès basé sur les rôles (RBAC) au sein d’un compte Azure. La section Azure Active Directory (AAD) traite de l’authentification et de l’utilisation de l’accès conditionnel pour sécuriser vos ressources Citrix. La section Mise en réseau répertorie les ports et les protocoles utilisés par Citrix Cloud et explique comment les points de terminaison privés empêchent votre trafic réseau de traverser l’Internet public. La section Sécurité du stockage couvre le chiffrement des données et les sauvegardes, tandis que la section Azure Policy recommande des stratégies pour sécuriser le compte. Enfin, la dernière section explique les avantages inestimables de l’utilisation d’Azure Tag et de Security Center dans votre déploiement Citrix.
Azure Identity and Access Management (IAM) est un service d’identité géré par Microsoft qui fournit des services d’authentification, d’autorisation et d’audit pour les ressources Azure. Azure IAM contrôle l’accès et les autorisations aux ressources Azure et doit être aussi renforcé que possible. Azure IAM constitue la première ligne de défense, car tous les accès aux ressources Azure sont accordés via IAM. Nous commençons par discuter du concept de contrôle d’accès basé sur les rôles, puis de la manière dont ces rôles s’appliquent aux ressources Azure au sein d’un compte.
Le contrôle d’accès basé sur les rôles (RBAC) Azure est un système d’autorisation qui fournit une gestion précise des accès aux ressources Azure. La meilleure pratique consiste à accorder l’accès à une ressource via un rôle Azure RBAC attribué à un groupe. Les utilisateurs sont ensuite placés dans le groupe pour y accéder. Azure RBAC inclut plus de 70 rôles intégrés avec prise en charge des rôles personnalisés. Un rôle est un ensemble d’autorisations, telles que la lecture, l’écriture et la suppression, qui sont appliquées à une ressource et attribuées à un principal de sécurité. Un principal de sécurité peut être un utilisateur, un groupe, une identité gérée ou un principal de service (application Azure).
Les quatre rôles fondamentaux d’Azure sont les suivants : propriétaire, contributeur, lecteur et administrateur d’accès utilisateur.
| **Propriétaire** : | Le rôle de propriétaire est attribué à l’administrateur du service et aux co-administrateurs dans le cadre de l’abonnement. Les propriétaires bénéficient d’un accès complet à toutes les ressources et peuvent déléguer l’accès à d’autres. Au moins un propriétaire est attribué à tous les types de ressources. | | Contributeur : | Les entités auxquelles un rôle de contributeur a été attribué peuvent créer et gérer tous les types de ressources Azure. Les contributeurs ont la possibilité de créer un nouveau tenant dans Azure Active Directory s’ils sont affectés au compte. Les contributeurs ne peuvent pas accorder l’accès aux autres Tous les types de ressources prennent en charge le rôle de contributeur. | | Lecteur : | Le rôle de lecteur accorde à l’entité des autorisations d’affichage (lecture seule) sur la ressource. Tous les types de ressources prennent en charge le rôle de lecteur. | | Administrateur d’accès utilisateur : | Le rôle d’administrateur d’accès utilisateur permet à l’entité de gérer l’accès des utilisateurs aux ressources Azure. |
Les rôles peuvent être limités par une portée. Un périmètre est un ensemble défini de ressources sur lesquelles le responsable de la sécurité peut agir. Les étendues peuvent être limitées à quatre niveaux : la ressource individuelle, un groupe de ressources, un abonnement ou un groupe de gestion.
L’accès à la ressource est accordé en créant une attribution de rôle, qui consiste à associer une définition de rôle à un principal de sécurité. La révocation de l’accès est terminée par la suppression de l’attribution du rôle. Lorsque des groupes imbriqués sont utilisés dans l’attribution des rôles, les membres des groupes imbriqués reçoivent également l’attribution du rôle. Si les membres sont liés à plusieurs groupes, les autorisations sont cumulatives et le refus des affectations est bloqué immédiatement au moment de l’évaluation. Les autorisations cumulatives s’appliquent à la fois aux actions et non aux actions et s’appliquent à tous les groupes.
Les abonnements Azure sont utilisés pour organiser l’accès aux ressources Azure. Chaque abonnement est associé à un seul compte Azure et ce compte prend en charge les frais associés à un abonnement. Chaque abonnement est associé à un annuaire Azure AD. Un abonnement Azure constitue une limite en termes d’administration, de sécurité, d’évolutivité et de stratégie.
CONSEIL
Citrix et Microsoft recommandent de placer les ressources Citrix dans leur propre ensemble d’abonnements lorsque cela est possible.
Les abonnements permettent en fin de compte de contrôler la façon dont les ressources Azure sont organisées, consultées et facturées. Les abonnements ont deux rôles qui donnent accès à toutes les ressources de l’abonnement : administrateur du service et co-administrateur.
Administrateur de service : Le rôle d’administrateur de service est attribué par défaut au compte de messagerie utilisé pour créer l’abonnement Azure. L’administrateur du service dispose du même accès que le rôle de propriétaire dans le cadre de l’abonnement. Seul l’administrateur du compte peut remplacer l’administrateur du service par un autre compte de messagerie. L’administrateur du service dispose d’un accès complet au portail Azure et un seul compte d’administrateur de service peut exister par abonnement. L’administrateur du service dispose des autorisations suivantes :
Gérez les services sur le portail Azure
Annulation de l’abonnement
Attribuer des utilisateurs au rôle de co-administrateur
Co-administrateur : ce rôle a le même accès que le rôle Propriétaire dans le cadre de l’abonnement. Chaque abonnement peut avoir jusqu’à 200 co-administrateurs et ces administrateurs bénéficient des autorisations et restrictions suivantes :
Mêmes privilèges d’accès que l’administrateur du service
Peut attribuer des utilisateurs au rôle de co-administrateur
Impossible de modifier l’association des abonnements aux annuaires Azure
Impossible de modifier l’administrateur du service
Les groupes de ressources sont des conteneurs logiques que vous utilisez pour regrouper les ressources associées dans un abonnement. Chaque ressource ne peut exister que dans un seul groupe de ressources. Les groupes de ressources permettent un regroupement plus précis au sein d’un abonnement. Les groupes de ressources sont généralement utilisés pour représenter un ensemble de ressources nécessaires à la prise en charge d’une charge de travail, d’une application ou d’une fonction spécifique au sein d’un abonnement. En général, les ressources d’un groupe de ressources partagent le même cycle de vie. Les groupes de ressources permettent également d’appliquer des autorisations granulaires à un ensemble de ressources au sein d’Azure.
REMARQUE
Les catalogues de machines Citrix sont liés à leurs groupes de ressources lors de la création du catalogue de machines. Toute modification apportée aux groupes de ressources nécessite la suppression et la recréation des catalogues de machines.
Les groupes de gestion sont des conteneurs logiques que vous utilisez pour un ou plusieurs abonnements et sont configurés au niveau du compte Azure. Vous pouvez définir une hiérarchie de groupes de gestion, d’abonnements, de groupes de ressources et de ressources afin de gérer efficacement les accès. Les groupes de gestion sont principalement utilisés à des fins de conformité par le biais des stratégies Azure et s’appuient largement sur l’héritage pour rationaliser l’administration.
CONSEIL
Microsoft et Citrix recommandent de placer tous les abonnements contenant des ressources Citrix dans un groupe de gestion au niveau du compte Azure.
Azure Active Directory (Azure AD) est le fournisseur d’identité pour Microsoft 365, le portail Azure et de nombreuses autres applications. Azure AD n’est pas une implémentation d’Active Directory (AD) basée sur le cloud, mais il peut être synchronisé avec votre domaine local via Azure AD Connect. Cette section fournit les recommandations de sécurité pour Citrix avec Azure AD. Les recommandations incluent l’authentification, la journalisation, l’accès conditionnel et les configurations d’Azure AD Connect.
Azure AD prend en charge plusieurs méthodes d’authentification multifactorielle (MFA). Les méthodes prises en charge incluent la clé de sécurité FIDO2, Microsoft Authenticator, les messages texte et les authentifications basées sur des certificats. L’authentification par message texte et par certificat est actuellement en version préliminaire. Pour une sécurité optimale, activez Microsoft Authenticator pour une utilisation MFA, car il est disponible pour une version générale. Activez également l’option SMS une fois qu’elle sera disponible pour la version générale afin de fournir des méthodes d’authentification secondaires aux utilisateurs d’Azure AD. Activez l’authentification multifacteur pour tous les comptes utilisateurs administratifs. Si Azure AD Premium est déployé, la meilleure pratique consiste à activer l’authentification multifacteur pour tous les utilisateurs.
Surveillez les journaux de connexion utilisateur d’Azure AD pour détecter les échecs de connexion et toutes les connexions provenant d’emplacements inattendus. La surveillance peut aller d’un simple examen hebdomadaire par les administrateurs à une solution automatisée utilisant Azure Monitor. Azure Monitor and Alerting peut envoyer un e-mail aux administrateurs lorsque des conditions suspectes se produisent. Veillez à surveiller les connexions interactives et non interactives.
Azure AD prend en charge l’utilisation de l’accès conditionnel pour empêcher les utilisateurs de s’authentifier en fonction de leur emplacement ou de leur appartenance à un groupe L’accès conditionnel peut être utilisé pour empêcher tout lieu ou adresse IP d’accéder à vos ressources Citrix. Utilisez l’accès conditionnel pour bloquer le trafic qui ne provient pas des emplacements où vous pensez que les utilisateurs se trouvent. Par exemple, si vous ne vous attendez à aucun trafic provenant de l’extérieur de votre pays, utilisez l’accès conditionnel pour autoriser uniquement les connexions qui partent de votre pays.
L’accès « juste à temps » (JIT) empêche tout le trafic réseau entrant vers une machine virtuelle (VM), sauf lorsqu’une personne doit se connecter à la machine virtuelle. Avec JIT, la fenêtre de connexion ne s’ouvre que quelques minutes à la demande de l’utilisateur. Ce comportement est similaire à la façon dont Citrix autorise temporairement les connexions entrantes vers un hôte. Lorsqu’un utilisateur se connecte à Citrix, le Virtual Delivery Agent (VDA) autorise les connexions entrantes pendant quelques minutes seulement pendant que l’utilisateur se connecte. Microsoft et Citrix recommandent tous deux d’activer l’accès JIT aux machines virtuelles de l’infrastructure Azure afin de réduire la probabilité que des utilisateurs non autorisés puissent se connecter aux ressources.
Comme indiqué précédemment, Azure AD peut se synchroniser avec votre domaine Active Directory local via Azure AD Connect. La synchronisation de votre domaine local avec Azure AD fournit une expérience utilisateur plus fluide pour votre déploiement Citrix. Les utilisateurs peuvent conserver une seule connexion pour les ressources hébergées dans le cloud et sur site.
Azure AD Connect peut synchroniser les objets utilisateur et leurs attributs associés à partir d’un Active Directory local avec Azure Active Directory. Lorsque vous utilisez Azure AD Connect, suivez ces directives pour bénéficier d’une sécurité optimale.
Activez la synchronisation par hachage des mots de passe. Le hachage est nécessaire pour empêcher le stockage du mot de passe réel de l’utilisateur dans Azure AD.
Ne synchronisez jamais les comptes à privilèges élevés, tels que les administrateurs d’entreprise ou de domaine, avec Azure AD. Par défaut, ce filtre est activé pour AD Connect et sert à protéger tout risque de compromission d’un compte Azure contre la compromission des centres de données locaux.
Utilisez des comptes Azure AD pour l’authentification dans la mesure du possible. Cette approche permet de réduire les frais de gestion.
Le contrôle d’accès réseau (NAC) permet de limiter la connectivité entre des périphériques ou des sous-réseaux spécifiques au sein d’un réseau virtuel. L’objectif du NAC est de restreindre l’accès à une machine virtuelle ou à un service aux seuls utilisateurs ou appareils approuvés. Le contrôle d’accès est basé sur les décisions d’autoriser ou de refuser les connexions sur plusieurs couches différentes d’Azure. Cette section couvre toutes les recommandations de confinement et de sécurité pour protéger votre déploiement Citrix dans le cloud Azure.
L’une des meilleures protections pour votre environnement Citrix Cloud consiste à contrôler strictement tous les accès entrants et sortants aux ressources Citrix. Configurez le contrôle d’accès à l’aide de groupes de sécurité réseau (NSG) et de pare-feux Azure. Les NSG Azure vous permettent d’autoriser ou de refuser le trafic entrant et sortant en définissant les cinq tuples : IP source, IP de destination, port source, port de destination et protocole. Les pare-feux peuvent être activés pour presque tous les services réseau.
Les NSG sont dotés d’états, de sorte que le trafic de retour est autorisé et peut être appliqué à une machine virtuelle, à un sous-réseau ou aux deux. Lorsque des NSG de sous-réseau et de machine virtuelle existent, ceux du sous-réseau sont appliqués en premier pour le trafic entrant et les NSG de machine virtuelle sont appliqués en premier pour le trafic sortant. Par défaut, tout le trafic au sein d’un réseau virtuel est autorisé entre les hôtes, ainsi que tout le trafic entrant provenant d’un équilibreur de charge. Par défaut, seul le trafic Internet sortant est autorisé et tout autre trafic sortant est refusé.
Utilisez des NSG pour limiter le trafic dans l’environnement Citrix Cloud au trafic attendu uniquement. Cette approche permet de limiter les vecteurs d’attaque potentiels et d’augmenter considérablement la sécurité du déploiement. Le Tableau 1 Ports et protocoles requis par Citrix Cloud fournit les ports et protocoles réseau requis pour votre déploiement Citrix. Ce tableau répertorie uniquement les ports utilisés pour l’infrastructure Citrix et n’inclut pas les ports utilisés par vos applications. Configurez ces ports dans le NSG protégeant les machines virtuelles Citrix.
| Source | Destination | Protocol | Port | Objectif |
|---|---|---|---|---|
| Cloud Connector | *.digicert.com | HTTP | 80 | Contrôle de révocation du certificat |
| Cloud Connector | *.digicert.com | HTTPS | 443 | Contrôle de révocation du certificat |
| Cloud Connector | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt | HTTPS | 443 | Contrôle de révocation du certificat |
| Cloud Connector | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.cert | HTTPS | 443 | Contrôle de révocation du certificat |
| Cloud Connector | Cloud Connector | TCP | 80 | Communication entre les contrôleurs |
| Cloud Connector | Cloud Connector | TCP | 89 | Cache d’hôte local |
| Cloud Connector | Cloud Connector | TCP | 9095 | Service d’orchestration |
| Cloud Connector | Cloud Connector | TCP/UDP | 1494 | Protocole ICA/HDX (EDT nécessite UDP) |
| Cloud Connector | Virtual Delivery Agent | TCP/UDP | 2598 | Fiabilité de session (EDT nécessite UDP) |
| Cloud Connector | Virtual Delivery Agent | TCP | 80(bidir) | Découverte des applications et des performances |
| Virtual Delivery Agent | Service de passerelle | TCP | 443 | Protocole Rendezvous |
| Virtual Delivery Agent | Service de passerelle | TCP | 443 | EDT UDP plus de 443 vers le service de passerelle |
| Virtual Delivery Agent | *.nssvc.net, *.c.nssv.net, *.g.nssv.net | TCP/UDP | 443 | Domaines/sous-domaines du service Gateway |
| Citrix Provisioning Services | Cloud Connector | HTTPS | 443 | Intégration à Citrix Cloud Studio |
| Serveur de licences Citrix | Citrix Cloud | HTTPS | 443 | Intégration des licences Citrix Cloud |
| SDK Remote Powershell de CVAD | Citrix Cloud | HTTPS | 443 | Tout système exécutant PSH à distance via le SDK |
| Agent WEM | Service WEM | HTTPS | 443 | Communication agent-service |
| Agent WEM | Cloud Connector | TCP | 443 | Trafic d’enregistrement |
Créez des groupes de sécurité des applications (ASG) pour simplifier la gestion des ressources Citrix au sein de l’entreprise. Les ASG permettent de définir la source/destination en fonction d’une étiquette plutôt que d’un protocole Internet (IP) ou d’une adresse réseau. Les ASG peuvent être définis pour les charges de travail, puis utilisés dans le cadre des NSG pour filtrer les charges de travail. Les ASG peuvent filtrer à la fois le trafic est-ouest entre les charges de travail et le trafic nord-sud entre vos centres de données et Azure. Les ASG vous permettent de microsegmenter davantage votre réseau et d’isoler le trafic entre des groupes d’applications à grande échelle. Par exemple, créer un groupe d’applications pour les serveurs de base de données qui communique avec les serveurs d’applications mais pas avec les serveurs Web.
Les balises de service Azure sont des surnoms qu’Azure attribue à un groupe d’adresses IP qui représentent un service Azure. Microsoft gère les adresses IP associées aux numéros de service. Les balises de service peuvent être utilisées à la place des adresses IP dans les NSG pour contrôler l’accès à un ensemble de ressources dynamiques. Par exemple, vous pouvez autoriser le trafic vers le service tag Storage, qui donne accès à toutes les adresses IP Azure Storage, ou vous pouvez le limiter aux seules adresses IP de stockage de l’ouest des États-Unis avec le numéro de service Storage.westus.
Les balises de service sont assorties de certaines restrictions d’utilisation concernant la direction, les restrictions régionales ou l’utilisation avec le pare-feu Azure. Pour obtenir la liste complète des numéros de service et de leurs règles d’utilisation, consultez le site Web de Microsoft, Virtual Network Service Tags.
Pour gérer à distance les hôtes de l’infrastructure Citrix exécutant Windows, le protocole le plus pratique à utiliser est le protocole RDP (Remote Desktop Protocol) de Microsoft. Le port par défaut pour RDP est TCP 3389 ; toutefois, modifiez ce port si la machine virtuelle autorise tout accès entrant depuis Internet. Les serveurs Windows connectés à Internet dont le port 3389 est ouvert sont attaqués dans les 24 heures suivant leur connexion à Internet. La clé de registre Windows suivante contrôle le numéro de port d’écoute entrant pour les sessions RDP. Utilisez cette clé de registre pour remplacer le numéro du port d’écoute par un port supérieur à 10000 :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp: PortNumber REG_DWORD
La modification du numéro de port RDP est exceptionnellement renforcée lorsqu’elle est associée à la recommandation d’accès JIT précédente.
Si vous utilisez vos propres appliances virtuelles Citrix Application Delivery Controller (ADC) VPX, elles utilisent probablement une adresse IP publique sur l’Azure Load Balancer. Dans certains déploiements, l’adresse IP publique est définie directement sur les appliances elles-mêmes afin d’accepter les connexions entrantes pour la ferme Citrix. Hormis ces configurations ADC, aucune adresse IP publique n’est requise pour le déploiement de Citrix. Citrix Cloud gère les Citrix Cloud Connectors et les met à jour selon les besoins. Les adresses IP publiques ne sont pas nécessaires pour les Cloud Connectors car elles initient toutes les connexions sortantes.
Comme indiqué précédemment, les Citrix Cloud Connectors doivent disposer d’une connectivité sortante pour atteindre l’infrastructure Citrix Cloud. La connectivité est utilisée pour recevoir leurs mises à jour et l’interface entre Citrix Cloud et votre déploiement Azure Citrix. D’autres infrastructures Citrix peuvent avoir besoin d’un accès sortant pour les mises à jour de maintenance ou l’accès utilisateur.
Les points de terminaison privés sont utilisés pour améliorer la communication entre les services Azure en éliminant les routes sur l’Internet public. Les terminaux privés fonctionnent en contrôlant l’itinéraire du trafic sur le réseau. Un point de terminaison privé Azure est une interface réseau qui se connecte de manière sécurisée à un service Azure. Le point de terminaison privé utilise une adresse IP sur votre réseau virtuel (VNet). Le point de terminaison achemine ensuite le trafic directement depuis votre réseau virtuel vers le service Azure via le réseau dorsal Microsoft Azure. L’utilisation du backbone Microsoft Azure empêche le trafic de traverser l’Internet public. Les terminaux privés sont intrinsèquement plus sécurisés car le trafic n’est pas exposé à Internet, où il peut être potentiellement compromis. Par exemple, vous pouvez créer un point de terminaison privé à partir du sous-réseau hôte Citrix vers le réseau de comptes de stockage Azure Files et éviter les points de terminaison publics.
Citrix recommande de créer des points de terminaison privés pour les services Azure suivants :
Stockage de blogs Azure
Fichiers Azure
Automatisation Azure
Azure Batch
Azure Managed Disks
Coffre-fort à clés Azure
Sauvegarde d’
Moniteur Azure
Par défaut, aucun contrôle d’accès n’existe entre les différents sous-réseaux au sein d’un réseau virtuel Azure. Microsoft et Citrix recommandent d’adopter une approche de confiance zéro au sein d’Azure. L’approche de confiance zéro signifie qu’une communication illimitée n’est pas autorisée en supposant que le trafic interne est fiable. Utilisez plutôt une méthodologie « tout refuser ». Autorisez uniquement les communications « fiables » provenant des appareils, des sites et des utilisateurs qui ont besoin d’un accès. Les conseils suivants peuvent améliorer considérablement la sécurité de votre réseau Citrix :
Utilisez des NSG pour contrôler le flux entre les sous-réseaux hébergeant des ressources Citrix
Utilisez l’accès conditionnel AD pour accorder l’accès en fonction de l’emplacement, de l’identité, de l’appareil ou du niveau d’assurance
Configurer l’accès juste à temps sur les machines virtuelles de l’infrastructure Citrix
Conservez l’infrastructure Citrix sur son propre sous-réseau
Conservez les machines virtuelles Citrix VDA sur leurs propres sous-réseaux
Les connexions réseau depuis l’extérieur d’Azure vers n’importe quelle ressource doivent se faire via une connexion de réseau privé virtuel (VPN) cryptée. Les VPN peuvent être une connexion point à site (P2S), site à site (S2S) ou une connexion ExpressRoute sécurisée.
N’exposez jamais des machines virtuelles Azure directement à Internet. S’il est exposé, activez l’accès JIT et modifiez les ports par défaut pour les connexions entrantes.
Au lieu du protocole HTTP non crypté standard pour les communications, exigez des protocoles avec cryptage pour protéger les données en transit. Des protocoles tels que HTTPS avec TLS 1.2 ou Citrix Gateway qui tunnel ICA/HDX à l’intérieur du protocole HTTPS sont recommandés.
Déployez des appliances de sécurité réseau natives d’Azure capables d’analyser le trafic sur les couches OSI (Open Systems Interconnect). Implémentez le routage défini par l’utilisateur (UDR) pour acheminer le trafic via ces appliances.
Activez la protection par déni de service distribué (DDoS) ainsi que les systèmes de détection d’intrusion (IDS) et de prévention des intrusions (IPS) au sein de votre réseau de périmètre Votre réseau de périmètre se trouve entre Internet et vos ressources Citrix hébergées dans Azure.
Cette section fournit des recommandations pour renforcer la sécurité et la protection de vos données stockées dans Azure Storage. Nous discutons des protections intégrées et fournissons des recommandations pour améliorer ces protections. Utilisez les recommandations pour augmenter la disponibilité de vos données et réduire les vecteurs d’attaque potentiels à leur encontre.
Azure Storage stocke plusieurs copies des données afin de les protéger contre les événements planifiés et imprévus. Ces événements incluent des pannes matérielles, des pannes de courant et des catastrophes naturelles. Chaque région Azure est associée à une autre région Azure. Microsoft réplique automatiquement le stockage entre les paires de régions. Lorsqu’une urgence est déclarée par Microsoft dans une région, les données stockées dans la région associée deviennent disponibles. La sélection des comptes de stockage contrôle également la redondance des données. Les choix de type de compte incluent le stockage des données uniquement au sein de la région ou leur réplication entre les régions. Citrix recommande de configurer les machines virtuelles d’infrastructure clés, telles que les contrôleurs de domaine, avec un stockage qui se réplique dans toutes les régions.
La plupart des serveurs Citrix de l’environnement sont des Virtual Delivery Agents (VDA) qui s’appuient sur Machine Creation Services (MCS) ou Provisioning Services (PVS) pour le déploiement. Les machines MCS et PVS utilisent une image principale dorée comme modèle. Pour ces hôtes, utilisez des instantanés d’une image dorée comme source pour le modèle de machine. Les restaurations peuvent facilement être effectuées vers n’importe quelle version d’un instantané de disque. Azure Backup doit être activé sur les autres serveurs de l’infrastructure Citrix ou être configurés dans Azure Site Recovery. Lorsque vous utilisez Azure Site Recovery, sélectionnez la région associée à Microsoft comme emplacement cible. Si les cibles ASR se trouvent dans la région associée et que Microsoft déclare un sinistre, vos comptes de stockage répliqués seront également présents dans cette région.
Azure chiffre automatiquement tout le stockage au repos à l’aide du chiffrement côté serveur (SSE) qui utilise un chiffrement par blocs AES (Advanced Encryption Standard) 256 bits. Vous pouvez utiliser des clés gérées par le client (CMK) pour crypter vos données et stocker ces clés dans Azure Key Vault. L’utilisation de CMK permet de crypter rapidement les données lorsque cela est nécessaire en détruisant les CMK.
Citrix recommande d’utiliser des disques gérés. Avec les disques gérés, Azure contrôle automatiquement le placement des disques, afin que les disques virtuels évitent tout point de défaillance unique. Dans le cas de disques non gérés, vous êtes responsable de les placer dans des comptes de stockage et de gérer les plans de récupération des données.
Les listes de contrôle d’accès (ACL) vous permettent de contrôler de manière granulaire l’accès à un fichier ou à un répertoire. Les ACL s’appliquent à tout utilisateur, groupe, identité gérée ou principal de service trouvé dans Azure AD. Lorsque vous utilisez une clé partagée ou un jeton de signature d’accès partagée (SAS), aucun principal de sécurité n’est présent. Par conséquent, les ACL ne s’appliquent pas à l’accès accordé lorsque le stockage est accessible via une clé ou un jeton. Les ACL se composent de simples autorisations de lecture (R), d’écriture (W) et d’exécution (X). Vous pouvez utiliser des ACL pour restreindre l’accès à tous les fichiers ou dossiers de stockage Azure et empêcher tout accès par inadvertance à un conteneur, un fichier ou un répertoire. Citrix recommande de toujours configurer l’accès aux données via des ACL à un public approprié afin de préserver la confidentialité.
Azure Policy est un moteur de gestion des états qui évalue activement les propriétés des ressources Azure. La stratégie Azure garantit que l’état d’une ressource reste conforme aux règles de gestion. Azure Policy peut bloquer des actions, même si les utilisateurs sont autorisés à effectuer ces actions. Les stratégies Azure s’appliquent au niveau de l’abonnement et aux niveaux inférieurs. Le Tableau 2 Stratégies Azure recommandées pour les déploiements Citrix fournit une liste des stratégies Azure recommandées. Activez ces stratégies au niveau du compte et appliquez-les aux abonnements contenant des ressources Citrix.
| Nom de la stratégie | Description |
|---|---|
| La méthode d’authentification locale doit être désactivée sur le compte Azure Automation | La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant que les comptes Azure Automation nécessitent exclusivement des identités Azure Active Directory pour l’authentification. |
| Les domaines gérés par Azure Active Directory Domain Services doivent utiliser le mode TLS 1.2 uniquement | Utilisez le mode TLS 1.2 uniquement pour vos domaines gérés. Par défaut, Azure AD Domain Services permet l’utilisation de chiffrements tels que NTLM v1 et TLS v1. Ces chiffrements peuvent être nécessaires pour certaines applications existantes. Toutefois, si vous n’en avez pas besoin, les chiffrements sont faibles et peuvent être désactivés. Lorsque le mode TLS 1.2 uniquement est activé, tout client qui fait une demande qui n’utilise pas TLS 1.2 échoue. |
| Les machines Windows ne doivent avoir que des comptes locaux autorisés | Exige que les prérequis soient déployés dans le périmètre d’attribution des stratégies. Pour plus de détails, visitez https://aka.ms/gcpol. Cette définition n’est pas prise en charge sur Windows Server 2012 ou 2012 R2. La gestion des comptes utilisateurs à l’aide d’Azure Active Directory est une bonne pratique pour la gestion des identités. La réduction du nombre de comptes de machines locales permet d’empêcher la prolifération des identités gérées en dehors d’un système central. Les machines ne sont pas conformes s’il existe des comptes utilisateur locaux qui sont activés et ne sont pas répertoriés dans le paramètre de stratégie. |
| Les espaces de travail Log Analytics doivent bloquer l’ingestion non basée sur Azure Active Directory. | Imposez l’ingestion de journaux pour exiger l’authentification Azure Active Directory. Cette protection empêche les attaquants de manipuler des journaux non authentifiés, ce qui peut entraîner des états erronés, de fausses alertes et des journaux incorrects stockés dans le système. |
| Les passerelles VPN doivent utiliser uniquement l’authentification Azure Active Directory (Azure AD) pour les utilisateurs point à site | La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant que les passerelles VPN utilisent uniquement les identités Azure Active Directory pour l’authentification. |
| Le MFA doit être un compte activé avec des autorisations d’écriture sur votre abonnement | L’authentification multifactorielle (MFA) doit être activée pour tous les comptes d’abonnement dotés de privilèges d’écriture afin d’éviter toute violation des comptes ou des ressources. |
| L’authentification multifacteur doit être activée sur les comptes dotés d’autorisations de propriétaire sur votre abonnement | L’authentification multifactorielle (MFA) doit être activée pour tous les comptes d’abonnement avec des autorisations de propriétaire afin d’éviter toute violation des comptes ou des ressources. |
| L’authentification multifacteur doit être activée sur les comptes disposant d’autorisations de lecture sur votre abonnement | L’authentification multifactorielle (MFA) doit être activée pour tous les comptes d’abonnement dotés de privilèges de lecture afin d’éviter toute violation des comptes ou des ressources. |
| Un administrateur Azure Active Directory doit être mis en service pour les serveurs SQL | Auditez la mise en service d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des identités des utilisateurs de bases de données et d’autres services Microsoft. |
| Exiger une balise et sa valeur sur les groupes de ressources | Impose une balise obligatoire et sa valeur sur les groupes de ressources. |
| Exiger un tag et sa valeur sur les ressources | Impose une balise obligatoire et sa valeur. Ne s’applique pas aux groupes de ressources. |
Une balise est une fonctionnalité qui permet d’attribuer des paires de clés et de valeurs spécifiques en tant que métadonnées aux ressources. Une balise se compose d’un nom et d’une valeur. Les noms de balises ne distinguent pas les majuscules des minuscules, tandis que les valeurs des balises font la distinction majuscules/minuscules. Toutes les ressources Citrix doivent être balisées au moins avec les balises suivantes :
Propriétaire : [Organisation ou service propriétaire] Adresse électronique : [Adresse e-mail ou liste de distribution à contacter en cas de problème avec la ressource] Environnement : [Production, préproduction, développement, test, bac à sable]
Les balises Azure constituent un puissant moyen d’organiser, de rechercher et de créer des rapports sur vos ressources Citrix dans l’environnement. Par exemple, vous pouvez utiliser le rapport d’analyse des coûts pour afficher les coûts par étendue en fonction d’un groupe de ressources ou d’une étiquette de ressources.
Le centre de sécurité surveille automatiquement les failles de sécurité dans tous les abonnements du compte Azure. Passez en revue ces recommandations tous les mois et mettez en œuvre toutes les recommandations de sévérité élevée ou moyenne dès que possible.
Cette section fournit des instructions détaillées sur la manière de configurer les rôles Azure RBAC requis par Citrix Cloud. Les ressources Citrix d’Azure sont accessibles via la console, l’interface de ligne de commande Azure, Azure PowerShell et l’API Rest. Azure RBAC est un système d’autorisation basé sur Azure Resource Manager (ARM) qui permet une gestion précise des accès aux ressources Azure.
Dans certains déploiements, l’octroi de l’accès à Citrix Cloud en utilisant le rôle de contributeur étendu est acceptable, en particulier lorsque les ressources Citrix disposent de leur propre abonnement. Toutefois, la meilleure approche pour sécuriser votre déploiement Citrix consiste généralement à limiter les rôles au minimum d’autorisations requises. Nous expliquons comment les groupes de ressources, les enregistrements d’applications et les rôles s’intègrent à Citrix Cloud. Nous vous proposons également des rôles personnalisés qui peuvent être facilement importés directement dans votre Azure AD.
Toutes les ressources Citrix doivent être contenues dans des groupes de ressources dédiés au déploiement de Citrix. Lorsque toutes les ressources liées à Citrix existent au sein d’un groupe de ressources, les stratégies RBAC peuvent être appliquées facilement au niveau du groupe de ressources.
Pour que l’environnement soit le plus sécurisé possible, au moins deux groupes de ressources doivent être créés :
Citrix_Infrastructure qui contient tous les composants de l’infrastructure Citrix, y compris les Cloud Connectors et les machines virtuelles Master Image. En général, un groupe de ressources par abonnement est suffisant pour l’infrastructure.
Citrix_MachineCatalog qui contient les machines virtuelles Citrix VDA. Comme l’assistant MCS demande de créer un nouveau groupe de ressources par défaut pour le catalogue de machines, vous disposez généralement de plusieurs groupes de ressources. Dans la plupart des déploiements Citrix, plusieurs catalogues de machines existent.
L’enregistrement d’une application est le processus qui consiste à créer une relation de confiance à sens unique entre votre compte Citrix Cloud et Azure, de telle sorte que Citrix Cloud fasse confiance à Azure. Au cours du processus, un compte Azure Service Principal est créé pour Citrix Cloud. Citrix Cloud utilise ce compte pour toutes les actions Azure via la connexion d’hébergement. La connexion d’hébergement est configurée dans la console Citrix Cloud. La connexion d’hébergement relie Citrix Cloud via les Cloud Connectors à un emplacement de ressources dans Azure.
Vous devez accorder au service principal l’accès aux groupes de ressources qui contiennent des ressources Citrix. La posture de sécurité de l’entreprise détermine la meilleure méthode pour accorder cet accès. Vous pouvez soit donner accès à l’abonnement au niveau du contributeur, soit créer un rôle personnalisé pour le responsable du service.
Lors de la création du service principal, vous définissez les valeurs suivantes :
URL de redirection Activée et définie sur Web avec la valeur https://citrix.cloud.com.
Lesautorisations d’API nécessitent l’ autorisation déléguée de user_impersonation sélectionnée dans l’ API de gestion des services Windows Azure qui se trouve sous l’onglet API que mon organisation utilise .
Certifications & secrets nécessite la création d’un nouveau secret client et la période d’expiration recommandée est d’un an. N’oubliez pas que ce certificat doit être mis à jour dans le cadre du calendrier de rotation de votre clé de sécurité.
Vous avez besoin de l’ID de l’application (client) et de la valeur ClientSecretKey provenant de l’enregistrement de l’application pour configurer la connexion d’hébergement dans Citrix Cloud.
En fonction de la configuration de Citrix Cloud et Azure AD, une ou plusieurs applications d’entreprise sont créées dans votre client Azure AD. Ces comptes permettent à Citrix Cloud d’accéder aux données stockées dans votre client Azure AD. Le tableau 3 Applications Citrix Cloud Enterprise dans Azure AD répertorie les ID des applications et leur objectif.
| ID d’application d’entreprise | Objectif |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | Connexion par défaut entre Azure AD et Citrix Cloud |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Invitations et identifiants d’administrateur |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | Connexion de l’abonné Workspace |
| 5c913119-2257-4316-9994-5e8f3832265b | Connexion par défaut entre Azure AD et Citrix Cloud avec Citrix Endpoint Management |
| e067934c-b52d-4e92-b1ca-70700bd1124e | Connexion d’ancienne génération entre Azure AD et Citrix Cloud avec Citrix Endpoint Management |
Chaque application d’entreprise accorde à Citrix Cloud des autorisations spécifiques à Microsoft Graph ou à l’API Windows Azure Active Directory. Par exemple, l’identifiant d’abonné à Workspace accorde des autorisations User.Read aux deux API afin que les utilisateurs puissent se connecter et lire leur profil. Vous trouverez plus d’informations sur les autorisations accordées ici.
Le rôle intégré de contributeur contient l’ensemble d’autorisations le plus large et fonctionne bien lorsqu’il est attribué à des comptes principaux de service au niveau de l’abonnement. L’octroi d’autorisations aux contributeurs au niveau de l’abonnement nécessite un compte administrateur global Azure AD. Une fois accordée, Azure demande les autorisations requises lors de la connexion initiale entre Citrix Cloud et Azure AD. Tous les comptes utilisés pour l’authentification lors de la création de la connexion hôte doivent également être au moins co-administrateurs de l’abonnement. Ce niveau d’autorisations permet à Citrix Cloud de créer tous les objets nécessaires sans restriction. Cette approche est généralement utilisée lorsque l’intégralité de l’abonnement est dédiée aux ressources Citrix.
Certains environnements n’autorisent pas les directeurs de service à disposer d’autorisations de contributeur au niveau de l’abonnement. Citrix a fourni une solution alternative appelée principal de service Narrow Scope. Avec un principal de service à portée limitée, l’administrateur global Azure AD effectue manuellement l’enregistrement de l’application. Ensuite, un administrateur d’abonnement accorde manuellement au compte principal du service les autorisations appropriées. Les principaux fournisseurs de services à portée limitée ne disposent pas d’autorisations de contribution sur l’ensemble de l’abonnement. Leurs autorisations de contributeur sont plutôt limitées aux groupes de ressources, aux réseaux et aux images requis pour gérer les catalogues de machines. Le principal de service à portée limitée nécessite les autorisations de contributeur suivantes.
Groupe de ressources pré-créé : contributeur de machine virtuelle, contributeur de compte de stockage et contributeur d’instantané de disque
Réseau virtuel : contributeur de machine virtuelle
Compte de stockage : contributeur de machine virtuelle
Les responsables du service Narrow Scope, bien que leur portée soit limitée, continuent d’accorder des autorisations étendues aux contributeurs, ce qui est toujours inacceptable pour les environnements sensibles à la sécurité. Citrix a développé deux rôles personnalisés qui peuvent être utilisés pour fournir uniquement les autorisations nécessaires au responsable du service. Le rôle d’hôte Citrix accorde l’accès à la connexion hôte à créer, tandis que le rôle Citrix Machine Catalog permet de créer les charges de travail Citrix.
Voici le JSON pour le rôle d’hôte Citrix avec les autorisations minimales requises pour utiliser la connexion d’hébergement. Si seuls des instantanés ou des disques sont utilisés pour l’image principale du catalogue de machines, l’action non utilisée peut être supprimée de la liste des « actions ».
Figure 1 Rôle d’hôte Citrix (JSON)
{
“id”: “”,
“properties”: {
“roleName”: “Citrix_Hosting_Connection”,
« description » : « Autorisations minimales pour créer une connexion d’hébergement. Attribuez à des groupes de ressources contenant une infrastructure Citrix, tels que des connecteurs Cloud, des images principales ou des ressources de réseau virtuel »,
“assignableScopes”: [
”/”
],
“permissions”: [
{
“actions”: [
“Microsoft.Resources/subscriptions/resourceGroups/read”,
“Microsoft.Compute/snapshots/read”
“Microsoft.Compute/disks/read”,
“Microsoft.Network/virtualNetworks/read”,
“Microsoft.Network/virtualNetworks/subnets/join/action”
],
“notActions”: [],
“dataActions”: [],
“notDataActions”: [] []
}
]
}
}
Le rôle personnalisé Citrix_Hosting_Connection est attribué aux groupes de ressources Citrix_Infrastructure qui possèdent les ressources Cloud Connector, Master Image ou Virtual Network. Ce JSON peut être copié et collé directement dans votre rôle Azure AD personnalisé.
Voici le JSON pour le rôle Citrix Machine Catalog utilisé par l’assistant Citrix Machine Catalog. Ce rôle fournit les autorisations minimales requises pour créer les ressources Citrix dans Azure :
Figure 2 Rôle du catalogue de machines Citrix (JSON)
{
“id”: “”,
“properties”: {
“roleName”: “Citrix_Machine_Catalog”,
« description » : « Autorisations minimales pour créer un catalogue de machines. Attribuez à des groupes de ressources contenant des serveurs de charge de travail Citrix qui exécutent le Virtual Delivery Agent.”,
“assignableScopes”: [
”/”
],
“permissions”: [
{
“actions”: [
“Microsoft.Resources/subscriptions/resourceGroups/read”,
“Microsoft.Storage/storageAccounts/listkeys/action”,
“Microsoft.Storage/storageAccounts/read”,
“Microsoft.Storage/storageAccounts/write”,
“Microsoft.Network/networkSecurityGroups/write”,
“Microsoft.Compute/virtualMachines/write”,
“Microsoft.Compute/virtualMachines/start/action”,
“Microsoft.Compute/virtualMachines/restart/action”,
“Microsoft.Compute/virtualMachines/read”,
“Microsoft.Compute/virtualMachines/powerOff/action”,
“Microsoft.Compute/virtualMachines/performMaintenance/action”,
“Microsoft.Compute/virtualMachines/deallocate/action”,
“Microsoft.Compute/virtualMachines/delete”,
“Microsoft.Compute/virtualMachines/convertToManagedDisks/action”,
“Microsoft.Compute/virtualMachines/capture/action”,
“Microsoft.Compute/snapshots/endGetAccess/action”,
“Microsoft.Compute/snapshots/beginGetAccess/action”,
“Microsoft.Compute/snapshots/delete”,
“Microsoft.Compute/snapshots/write”,
“Microsoft.Compute/snapshots/read”,
“Microsoft.Compute/disks/endGetAccess/action”,
“Microsoft.Compute/disks/delete”,
“Microsoft.Compute/disks/beginGetAccess/action”,
“Microsoft.Compute/disks/write”,
“Microsoft.Network/networkSecurityGroups/read”,
“Microsoft.Network/networkInterfaces/delete”,
“Microsoft.Network/networkInterfaces/join/action”,
“Microsoft.Network/networkInterfaces/write”,
“Microsoft.Network/networkInterfaces/read”,
“Microsoft.Storage/storageAccounts/listServiceSas/action”,
“Microsoft.Storage/storageAccounts/listAccountSas/action”,
“Microsoft.Storage/storageAccounts/delete”,
“Microsoft.Compute/disks/read”,
“Microsoft.Resources/subscriptions/resourceGroups/delete”,
“Microsoft.Resources/subscriptions/resourceGroups/write”,
“Microsoft.Network/virtualNetworks/subnets/join/action”,
“Microsoft.Network/virtualNetworks/subnets/read”,
“Microsoft.Network/virtualNetworks/read”,
“Microsoft.Network/networkSecurityGroups/join/action”
],
“notActions”: [],
“dataActions”: [],
“notDataActions”: [] []
}
]
}
}
Le rôle personnalisé Citrix_Machine_Catalog est attribué aux groupes de ressources Citrix_MachineCatalog qui contiennent les machines virtuelles Citrix VDA. Ce JSON peut être copié et collé directement dans votre rôle Azure AD personnalisé.
Microsoft et Citrix proposent tous deux des services basés sur la sécurité qui peuvent être utilisés pour vous avertir des événements de sécurité qui nécessitent votre attention. Cette section n’est pas conçue pour fournir une description complète de la manière d’utiliser ces services. La section répertorie plutôt les services recommandés ainsi que la manière dont leurs fonctionnalités peuvent être utilisées pour améliorer votre sécurité. Pour plus d’informations, consultez le document Surveillance d’un déploiement Citrix dans Azure .
Defender for Cloud est un service qui combine des fonctionnalités précédemment présentes dans Azure Security Center et Azure Defender. Ce service évalue en permanence vos ressources Azure et fournit un score global qui indique le niveau de sécurité de vos déploiements. Defender for Cloud fournit des conseils directs sur la manière de résoudre les problèmes identifiés par le service. Les recommandations proviennent de l’Azure Security Benchmark, un ensemble de directives spécifiques à Azure rédigé par Microsoft.
Microsoft Sentinel est à la fois un système de gestion des informations et des événements de sécurité (SIEM) et un système d’orchestration, d’automatisation et de réponse de sécurité (SOAR). Sentinel a été conçu et développé en tant que service cloud natif. À l’aide d’une intelligence artificielle sophistiquée, Sentinel surveille en permanence toutes les sources de contenu et recherche les activités suspectes. Sentinel fournit un emplacement central pour la collecte et la surveillance des données à grande échelle via des agents et des connecteurs de données. Les incidents de sécurité sont suivis grâce à des alertes déclenchées et à des réponses automatisées aux tâches courantes. Sentinel peut fonctionner sur plusieurs clouds et avec votre infrastructure sur site, ce qui en fait la solution idéale pour les environnements Citrix hybrides.
Microsoft Sentinel prend en charge les connecteurs de données d’un large éventail de fournisseurs. Ces fournisseurs incluent des fournisseurs de sécurité, de réseaux et d’applications. L’installation de ces connecteurs de données sera utile dans votre environnement Citrix.
Bien que Citrix soit conçu pour être sécurisé dès sa conception, les utilisateurs restent un maillon faible et les informations de connexion peuvent être compromises. Lorsque vous exécutez Citrix dans Azure, l’un des meilleurs moyens de sécuriser l’accès à vos applications et à vos données consiste à surveiller le trafic réseau. L’analyse du trafic est conçue pour vous fournir des informations pertinentes en analysant les flux de trafic réseau. En combinant des journaux de flux bruts avec une connaissance de la topologie du réseau, Traffic Analytics peut fournir une vue complète de la communication réseau. Les rapports incluent les hôtes ou les paires d’hôtes les plus actifs, les principaux protocoles utilisés, le trafic bloqué, les ports ouverts, les réseaux non fiables et la répartition du trafic.
Citrix Analytics est un service basé sur le cloud qui regroupe les données glanées auprès des utilisateurs de Citrix sur les appareils, les réseaux et les applications. Le seul objectif de Citrix Analytics est d’identifier les relations et les tendances qui peuvent mener à des informations exploitables. Analytics s’appuie sur des algorithmes d’apprentissage automatique (ML) intégrés pour détecter les anomalies comportementales pouvant indiquer des problèmes chez les utilisateurs de Citrix. Citrix Analytics travaille avec des fournisseurs tiers, dont Microsoft, pour collecter des données à des fins d’analyse.
Citrix Analytics for Security se concentre sur le comportement des utilisateurs et des applications. Le module d’analyse de sécurité recherche principalement les menaces internes ou les comportements malveillants externes. Citrix Analytics s’intègre aux produits Citrix et Microsoft suivants :
Les données peuvent être intégrées dans n’importe quel service SIEM prenant en charge les rubriques Kafka ou les connecteurs de données basés sur LogStash, tels que Microsoft Sentinel. Les données peuvent également être exportées au format CSV (valeurs séparées par des virgules) à des fins d’analyse sur d’autres systèmes.
https://docs.microsoft.com/en-us/azure/architecture/framework/security/overview
https://docs.microsoft.com/en-us/azure/role-based-access-control/overview
https://docs.microsoft.com/en-us/azure/virtual-network/network-security-groups-overview
https://docs.microsoft.com/en-us/azure/security/fundamentals/network-best-practices
https://azure.microsoft.com/fr-fr/blog/applicationsecuritygroups/
https://docs.microsoft.com/en-us/azure/virtual-network/service-tags-overview
https://docs.microsoft.com/en-us/azure/private-link/availability
https://docs.citrix.com/en-us/tech-zone/design/reference-architectures/gdpr.html
https://docs.citrix.com/en-us/tech-zone/build/tech-papers/antivirus-best-practices.html
https://docs.citrix.com/en-us/tech-zone/build/tech-papers/networking-tls-best-practices.html
https://docs.citrix.com/en-us/tech-zone/learn/tech-insights/federated-authentication-service.html
https://docs.citrix.com/en-us/tech-zone/learn/tech-insights/virtual-apps-and-desktops-service.html
https://docs.citrix.com/en-us/tech-zone/build/tech-papers/citrix-communication-ports.html
https://docs.citrix.com/en-us/citrix-gateway-service/hdx-edt-support-for-gateway-service.html