Guide de déploiement sécurisé pour la plate-forme Citrix Cloud
Le Guide de déploiement sécurisé de Citrix Cloud fournit une vue d’ensemble des recommandations en matière de sécurité lors de l’utilisation de Citrix Cloud et décrit les informations recueillies et gérées par Citrix Cloud.
Vues d’ensemble de la sécurité technique pour les différents services
Consultez les articles suivants pour plus d’informations sur la sécurité des données au sein des services Citrix Cloud :
- Vue d’ensemble de la sécurité technique de Analytics
- Vue d’ensemble de la sécurité technique de Endpoint Management
- Vue d’ensemble de la sécurité technique de Remote Browser Isolation
- Vue d’ensemble de la sécurité technique Citrix DaaS
- Vue d’ensemble de la sécurité technique de Citrix DaaS Standard pour Azure
Instructions pour les administrateurs
- Utilisez des mots de passe forts et changez-les régulièrement.
- Tous les administrateurs d’un compte client peuvent ajouter et supprimer d’autres administrateurs. Assurez-vous que seuls des administrateurs de confiance ont accès à Citrix Cloud.
- Les administrateurs d’un client ont, par défaut, un accès complet à tous les services. Certains services permettent de restreindre l’accès d’un administrateur. Pour plus d’informations, consultez la documentation de chaque service.
- L’authentification à deux facteurs pour les administrateurs de Citrix Cloud est réalisée à l’aide du fournisseur d’identité Citrix par défaut. Lorsque les administrateurs s’inscrivent à Citrix Cloud ou sont invités à accéder à un compte Citrix Cloud, ils doivent s’inscrire à l’authentification multifacteur (MFA). Si un client utilise Microsoft Azure pour authentifier les administrateurs de Citrix Cloud, l’authentification multifacteur peut être configurée comme décrit dans la section Configurer les paramètres d’authentification multifacteur Azure AD sur le site Web de Microsoft.
- Par défaut, Citrix Cloud met automatiquement fin aux sessions d’administrateur après 24 minutes, quelle que soit l’activité de la console. Ce délai d’expiration ne peut pas être modifié.
- Les comptes d’administrateur peuvent être associés à un maximum de 100 comptes clients. Si un administrateur doit gérer plus de 100 comptes clients, il doit créer un compte administrateur distinct avec une adresse e-mail différente pour gérer les comptes clients supplémentaires. Vous pouvez également supprimer un administrateur des comptes clients qu’il n’a plus besoin de gérer.
Conformité des mots de passe
Citrix Cloud invite les administrateurs à modifier leurs mots de passe si l’une des conditions suivantes existe :
- Le mot de passe actuel n’a pas été utilisé pour se connecter depuis plus de 60 jours.
- Le mot de passe actuel a été répertorié dans une base de données connue de mots de passe compromis.
Les nouveaux mots de passe doivent répondre à tous les critères suivants :
- Au moins 8 caractères (128 caractères maximum)
- Inclure au moins une lettre majuscule et une lettre minuscule
- Inclure au moins un chiffre
- Inclure au moins un caractère spécial : ! @ # $ % ^ * ? + = -
Règles de modification des mots de passe :
- Le mot de passe actuel ne peut pas être utilisé comme nouveau mot de passe.
- Les 5 mots de passe précédents ne peuvent pas être réutilisés.
- Le nouveau mot de passe ne peut pas être similaire au nom d’utilisateur du compte.
- Le nouveau mot de passe ne doit pas figurer dans une base de données connue de mots de passe compromis. Citrix Cloud utilise une liste fournie par https://haveibeenpwned.com/ pour déterminer si les nouveaux mots de passe ne respectent pas cette condition.
Cryptage et gestion des clés
Le plan de contrôle Citrix Cloud ne stocke pas les informations sensibles du client. Citrix Cloud récupère les informations telles que les mots de passe administrateur sur demande uniquement (en effectuant un demande explicite à l’administrateur).
Pour les données au repos, le stockage Citrix Cloud est crypté à l’aide de clés AES-256 bits ou supérieures. Ces clés sont gérées par Citrix.
Pour les données en vol, Citrix utilise la norme standard TLS 1.2 avec les suites de chiffrement les plus puissantes. Les clients ne peuvent pas contrôler le certificat TLS utilisé, car Citrix Cloud est hébergé sur le domaine cloud.com appartenant à Citrix. Pour accéder à Citrix Cloud, les clients doivent utiliser un navigateur compatible TLS 1.2 et avoir configuré des suites de chiffrement acceptées.
- Si vous accédez au plan de contrôle Citrix Cloud à partir de Windows Server 2016, Windows Server 2019 ou Windows Server 2022, les chiffrements forts suivants sont recommandés : TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Si vous accédez au plan de contrôle Citrix Cloud à partir de Windows Server 2012 R2, les chiffrements forts ne sont pas disponibles ; les chiffrements suivants doivent donc être utilisés : TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Pour savoir comment les données des services Citrix Cloud sont protégées, consultez Citrix Cloud Services Data Protection Overview sur le site Web de Citrix.
Pour plus d’informations sur le chiffrement et la gestion des clés au sein de chaque service cloud, consultez la documentation du service.
Pour plus d’informations sur la configuration de TLS 1.2, consultez les articles suivants :
- Appliquer l’utilisation de TLS 1.2 sur les ordinateurs clients : CTX245765, Erreur : « La connexion sous-jacente a été fermée : une erreur inattendue s’est produite lors d’un envoi. » lors de l’interrogation du point de terminaison OData de Monitoring Service
- Mettre à jour et configurer le .NET Framework pour prendre en charge TLS 1.2 sur le site Web Microsoft Docs.
Souveraineté des données
Le plan de contrôle Citrix Cloud est hébergé aux États-Unis, dans l’Union Européenne et en Australie. Les clients ne peuvent pas le gérer.
Le client possède et gère les emplacements de ressources qu’il utilise avec Citrix Cloud. Un emplacement de ressources peut être créé dans un datacenter, un cloud, un emplacement où une zone géographique choisis par le client. Toutes les données stratégiques de l’entreprise (telles que les documents, les feuilles de calcul, etc.) sont stockées dans les emplacements de ressources et contrôlées par le client.
D’autres services peuvent proposer la possibilité de stocker des données dans différentes régions. Consultez les rubriques Considérations géographiques ou Vue d’ensemble de la sécurité technique (répertoriées au début de cet article) pour chaque service.
Aperçu des problèmes de sécurité
Le site Web status.cloud.com offre une vue globale des problèmes de sécurité qui ont un impact continu sur le client. Ce site enregistre l’état et les informations de disponibilité. Il existe une option pour vous abonner aux mises à jour de la plate-forme ou de services individuels.
Citrix Cloud Connector
Installation du Cloud Connector
Pour des raisons de sécurité et de performance, Citrix recommande de ne pas installer le logiciel Cloud Connector sur un contrôleur de domaine.
En outre, Citrix recommande fortement que les machines sur lesquelles le logiciel Cloud Connector est installé se trouvent à l’intérieur du réseau privé du client et non dans la DMZ. Pour la configuration système et réseau requise et des instructions sur l’installation du Cloud Connector, consultez la section Citrix Cloud Connector.
Configuration du Cloud Connector
Le client est responsable de l’installation des mises à jour de sécurité de Windows sur les machines sur lesquelles le Cloud Connector est installé.
Les clients peuvent utiliser un anti-virus avec le Cloud Connector. Citrix effectue des tests avec McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8. Citrix apporte son assistance aux clients qui utilisent d’autres antivirus standard.
Dans l’Active Directory (AD) du client, Citrix recommande fortement que le compte d’ordinateur du Cloud Connector soit limité à un accès en lecture seule. Il s’agit de la configuration par défaut dans Active Directory. En outre, le client peut activer la journalisation et l’audit AD sur le compte d’ordinateur du Cloud Connector pour surveiller toute activité d’accès à AD.
Connexion à l’ordinateur hébergeant le Cloud Connector
Le Cloud Connector permet aux informations de sécurité sensibles d’être transmises à d’autres composants de plate-forme dans les services Citrix Cloud, mais stocke également les informations sensibles suivantes :
- Clés de service pour communiquer avec Citrix Cloud
- Informations d’identification du service Hypervisor pour la gestion de l’alimentation dans Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service)
Ces informations sensibles sont chiffrées à l’aide de l’API de protection des données (DPAPI) sur le serveur Windows hébergeant le Cloud Connector. Citrix recommande fortement d’autoriser uniquement les administrateurs les plus privilégiés à se connecter aux machines Cloud Connector (par exemple, pour réaliser des opérations de maintenance). En général, il n’est pas nécessaire qu’un administrateur se connecte à ces machines pour gérer des produits Citrix. Le Cloud Connector se gère tout seul.
N’autorisez pas les utilisateurs à se connecter à des machines hébergeant le Cloud Connector.
Installation d’autres logiciels sur des machines Cloud Connector
Les clients peuvent installer des logiciels antivirus et des outils d’hyperviseur (si installés sur une machine virtuelle) sur les machines sur lesquelles le Cloud Connector est installé. Toutefois, Citrix recommande aux clients de ne pas installer d’autres logiciels sur ces machines. D’autres logiciels créent des vecteurs d’attaque possibles et peuvent réduire la sécurité de la solution globale de Citrix Cloud.
Configuration des ports entrants et sortants
Le Cloud Connector nécessite que le port sortant 443 soit ouvert avec accès à Internet. Citrix recommande fortement que le Cloud Connector ne dispose pas de ports entrants accessibles depuis Internet.
Les clients peuvent placer le Cloud Connector derrière un proxy Web pour surveiller ses communications Internet sortantes. Cependant, le proxy Web doit fonctionner avec une communication cryptée SSL/TLS.
Le Cloud Connector peut avoir d’autres ports sortants avec accès à Internet. Le Cloud Connector négocie sur une large gamme de ports pour optimiser la bande passante et les performances du réseau si d’autres ports sont disponibles.
Le Cloud Connector doit avoir une large gamme de ports entrants et sortants ouverts dans le réseau interne. Le tableau ci-dessous répertorie les ports ouverts requis.
Port client | Port du serveur | Service |
---|---|---|
49152 -65535/UDP | 123/UDP | W32Time |
49152 -65535/TCP | 135/TCP | Mappeur de points de terminaison RPC |
49152 -65535/TCP | 464/TCP/UDP | Changement de mot de passe Kerberos |
49152 -65535/TCP | 49152-65535/TCP | RPC pour LSA, SAM, Netlogon (*) |
49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
49152 -65535/TCP | 3268/TCP | LDAP GC |
53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS |
49152 -65535/TCP | 49152 -65535/TCP | FRS RPC (*) |
49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
49152 -65535/TCP/UDP | 445/TCP | SMB |
Le Cloud Connector utilise la signature et le scellement LDAP pour sécuriser les connexions au contrôleur de domaine. Cela signifie que LDAP sur SSL (LDAPS) n’est pas nécessaire. Pour plus d’informations sur la signature LDAP, consultez Comment activer la signature LDAP dans Windows Server et Instructions de Microsoft concernant l’activation de la liaison de canaux LDAP et la signature LDAP.
Chacun des services utilisés dans Citrix Cloud étend la liste des ports ouverts requis. Pour plus d’informations, veuillez consulter les ressources suivantes :
- Vue d’ensemble de la sécurité technique pour chaque service (répertoriée au début de cet article)
- Exigences en terme de connexion Internet pour les services Citrix Cloud
- Exigences relatives aux ports de service de la console
- Exigences requises par Endpoint Management en matière de port
Contrôle des communications sortantes
Le Cloud Connector communique vers Internet sur le port 443, à la fois vers les serveurs Citrix Cloud et vers les serveurs Microsoft Azure Service Bus.
Le Cloud Connector communique avec les contrôleurs de domaine du réseau local se trouvant au sein de la forêt Active Directory sur laquelle résident les machines hébergeant le Cloud Connector.
En mode de fonctionnement normal, le Cloud Connector communique uniquement avec les contrôleurs de domaine des domaines qui ne sont pas désactivés sur la page Gestion des identités et des accès de l’interface utilisateur Citrix Cloud.
Chaque service dans le Citrix Cloud étend la liste des serveurs et des ressources internes que le Cloud Connector peut contacter au cours de ses opérations normales. En outre, les clients ne peuvent pas contrôler les données que le Cloud Connector envoie à Citrix. Pour plus d’informations sur les ressources internes des services et les données envoyées à Citrix, consultez les ressources suivantes :
- Vue d’ensemble de la sécurité technique pour chaque service (répertoriée au début de cet article)
- Exigences en terme de connexion Internet pour les services Citrix Cloud
Affichage des journaux Cloud Connector
Toute information pertinente ou exploitable par un administrateur est disponible dans le journal des événements Windows sur la machine Cloud Connector.
Afficher les journaux d’installation du Cloud Connector dans les répertoires suivants :
- %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
- %windir%\Temp\CitrixLogs\CloudServicesSetup
Les journaux que le Cloud Connector envoie au cloud figurent dans : %ProgramData%\Citrix\WorkspaceCloud\Logs.
Les journaux du répertoire WorkspaceCloud\Logs sont supprimés lorsqu’ils dépassent un seuil de taille spécifié. L’administrateur peut contrôler ce seuil de la taille en réglant la valeur de clé de Registre pour HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytes.
Configuration de SSL/TLS
Les chiffrements détaillés dans la section Cryptage et gestion des clés doivent être activés sur le serveur Windows Server hébergeant le Cloud Connector.
Le Cloud Connector doit faire confiance à l’autorité de certification utilisée par les certificats SSL/TLS de Citrix Cloud et les certificats SSL/TLS de Microsoft Azure Service Bus. Citrix et Microsoft peuvent changer les certificats et les autorités de certification à l’avenir, mais utilisent toujours des autorités de certification qui font partie de la liste des éditeurs approuvés Windows standard.
Chaque service de Citrix Cloud peut avoir différentes exigences de configuration SSL. Pour de plus amples informations, consultez la Vue d’ensemble de la sécurité technique pour chaque service (répertoriée au début de cet article).
Conformité aux normes de sécurité
Pour assurer la conformité aux normes de sécurité, le Cloud Connector s’auto-gère. Ne désactivez pas les redémarrages et ne placez pas d’autres restrictions sur le Cloud Connector. Ces actions empêchent le Cloud Connector de se mettre à jour lorsqu’il y a une mise à jour critique.
Le client n’est pas tenu de prendre d’autres mesures pour réagir aux problèmes de sécurité. Le Cloud Connector applique automatiquement les correctifs de sécurité.
Citrix Connector Appliance pour les services cloud
Installation du Connector Appliance
Le Connector Appliance est hébergé sur un hyperviseur. Cet hyperviseur doit se trouver à l’intérieur de votre réseau privé et non dans la zone DMZ.
Vérifiez que le Connector Appliance se trouve dans un pare-feu qui bloque l’accès par défaut. Utilisez une liste d’autorisation pour autoriser uniquement le trafic attendu du Connector Appliance.
Assurez-vous que les hyperviseurs qui hébergent vos appliances Connector sont installés avec des mises à jour de sécurité à jour.
Pour la configuration système et réseau requise et des instructions sur l’installation du Connector Appliance, consultez la section Connector Appliance pour Cloud Services.
Connexion à l’hyperviseur hébergeant un Connector Appliance
Le Connector Appliance contient une clé de service permettant de communiquer avec Citrix Cloud. Seuls les administrateurs les plus privilégiés doivent être en mesure de se connecter à un hyperviseur hébergeant le Connector Appliance (par exemple, pour effectuer des opérations de maintenance). En général, il n’est pas nécessaire qu’un administrateur se connecte à ces hyperviseurs pour gérer des produits Citrix. Le Connector Appliance est auto-géré.
Configuration des ports entrants et sortants
Le Connector Appliance nécessite que le port sortant 443 soit ouvert avec accès à Internet. Citrix recommande fortement que le Connector Appliance ne dispose pas de ports entrants accessibles depuis Internet.
Vous pouvez placer le Connector Appliance derrière un proxy Web pour surveiller ses communications Internet sortantes. Cependant, le proxy Web doit fonctionner avec une communication cryptée SSL/TLS.
Le Connector Appliance peut avoir d’autres ports sortants avec accès à Internet. Le Connector Appliance négocie sur une large gamme de ports pour optimiser la bande passante et les performances du réseau si d’autres ports sont disponibles.
Le Connector Appliance doit avoir une large gamme de ports entrants et sortants ouverts dans le réseau interne. Le tableau ci-dessous répertorie les ports ouverts requis.
Direction de la connexion | Port du Connector Appliance | Port externe | Service |
---|---|---|---|
Entrante | 443/TCP | N’importe lequel | Interface Web locale |
Sortante | 49152-65535/UDP | 123/UDP | NTP |
Sortante | 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
Sortante | 67/UDP | 68/UDP | DHCP et diffusion |
Sortante | 49152 -65535/UDP | 123/UDP | W32Time |
Sortante | 49152 -65535/TCP | 464/TCP/UDP | Changement de mot de passe Kerberos |
Sortante | 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
Sortante | 49152 -65535/TCP | 3268/TCP | LDAP GC |
Sortante | 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
Sortante | 49152 -65535/TCP/UDP | 445/TCP | SMB |
Sortante | 137/UDP | 137/UDP | Service de noms NetBIOS |
Sortante | 138/UDP | 138/UDP | Datagramme NetBIOS |
Sortante | 139/TCP | 139/TCP | Session NetBIOS |
Chacun des services utilisés dans Citrix Cloud étend la liste des ports ouverts requis. Pour plus d’informations, veuillez consulter les ressources suivantes :
- Vue d’ensemble de la sécurité technique pour chaque service (répertoriée au début de cet article)
- Configuration requise pour le système et la connectivité pour Citrix Cloud Services
Contrôle des communications sortantes
Le Connector Appliance communique vers Internet sur le port 443 vers les serveurs Citrix Cloud.
Chaque service dans le Citrix Cloud étend la liste des serveurs et des ressources internes que le Connector Appliance peut contacter au cours de ses opérations normales. En outre, les clients ne peuvent pas contrôler les données que le Connector Appliance envoie à Citrix. Pour plus d’informations sur les ressources internes des services et les données envoyées à Citrix, consultez les ressources suivantes :
- Vue d’ensemble de la sécurité technique pour chaque service (répertoriée au début de cet article)
- Configuration requise pour le système et la connectivité pour Citrix Cloud Services
Affichage des journaux du Connector Appliance
Vous pouvez télécharger un rapport de diagnostic pour votre Connector Appliance qui inclut divers fichiers journaux. Pour plus d’informations sur l’obtention de ce rapport, consultez Connector Appliance pour Cloud Services.
Configuration de SSL/TLS
Le Connector Appliance n’a pas besoin de configuration SSL/TLS spéciale.
Le Connector Appliance approuve l’autorité de certification utilisée par les certificats SSL/TLS de Citrix Cloud. Citrix peut modifier les certificats et les autorités de certification à l’avenir, mais toujours utiliser les autorités de certification que le Connector Appliance approuve.
Chaque service de Citrix Cloud peut avoir différentes exigences de configuration SSL. Pour de plus amples informations, consultez la Vue d’ensemble de la sécurité technique pour chaque service (répertoriée au début de cet article).
Conformité aux normes de sécurité
Pour garantir la conformité à la sécurité, le Connector Appliance s’auto-gère et vous ne pouvez pas vous connecter via la console.
Vous n’êtes pas tenu de prendre d’autres mesures pour réagir aux problèmes de sécurité du connecteur. Le Connector Appliance applique automatiquement les correctifs de sécurité.
Assurez-vous que les hyperviseurs qui hébergent vos appliances Connector sont installés avec des mises à jour de sécurité à jour.
Dans votre Active Directory (AD), nous vous recommandons de restreindre l’accès en lecture seule au compte de machine du Connector Appliance. Il s’agit de la configuration par défaut dans Active Directory. En outre, le client peut activer la journalisation et l’audit AD sur le compte d’ordinateur du Connector Appliance pour surveiller toute activité d’accès à AD.
Conseils de gestion des comptes compromis
- Vérifiez la liste des administrateurs de Citrix Cloud et supprimez ceux qui ne sont pas approuvés.
- Désactivez tous les comptes compromis dans l’annuaire Active Directory de votre entreprise.
- Contactez Citrix et demandez-leur d’alterner les secrets d’autorisation stockés pour tous les Cloud Connector du client. En fonction de la gravité du problème de sécurité, effectuez les actions suivantes :
- Faible risque : Citrix peut alterner progressivement les secrets. Les Cloud Connector continuent à fonctionner normalement. Les anciens secrets d’autorisation deviennent invalides dans un délai de 2 à 4 semaines. Surveillez le Cloud Connector pendant ce temps pour vous assurer qu’aucune opération inattendue n’est effectuée.
- Risque élevé continu : Citrix peut révoquer tous les anciens secrets. Les Cloud Connector existants ne fonctionneront plus. Pour reprendre le fonctionnement normal, le client doit désinstaller et réinstaller le Cloud Connector sur toutes les machines applicables.
Dans cet article
- Vues d’ensemble de la sécurité technique pour les différents services
- Instructions pour les administrateurs
- Conformité des mots de passe
- Cryptage et gestion des clés
- Souveraineté des données
- Aperçu des problèmes de sécurité
- Citrix Cloud Connector
- Citrix Connector Appliance pour les services cloud
- Conseils de gestion des comptes compromis