Aperçu de la sécurité technique

Le diagramme suivant montre les composants d’un déploiement Citrix DaaS Standard pour Azure (anciennement Citrix Virtual Apps and Desktops Standard pour Azure). Cet exemple utilise une connexion de peering VNet.

Avec Citrix DaaS pour Azure, les agents de distribution virtuels (VDA) du client qui fournissent des postes de travail et des applications, ainsi que les connecteurs Citrix Cloud, sont déployés dans un abonnement et un locataire Azure gérés par Citrix.

NOTE:

Cet article fournit un aperçu des exigences de sécurité pour les clients déployant Citrix DaaS pour Azure à l’aide d’un abonnement Citrix Managed Azure. Pour obtenir une vue d’ensemble de l’architecture d’un déploiement de Citrix DaaS pour Azure à l’aide d’un abonnement Azure géré par le client, y compris des informations de sécurité, consultez Architecture de référence : Service d’applications et de postes de travail virtuels - Azure.

Conformité basée sur le cloud Citrix

Depuis janvier 2021, l’utilisation de Citrix Managed Azure Capacity avec différentes éditions de Citrix DaaS et Workspace Premium Plus n’a pas été évaluée pour Citrix SOC 2 (Type 1 ou 2), ISO 27001, HIPAA ou d’autres exigences de conformité cloud. Visitez le Citrix Trust Center pour plus d’informations sur les certifications Citrix Cloud et revenez fréquemment pour les mises à jour.

Responsabilité de Citrix

Connecteurs Citrix Cloud pour les catalogues non joints à un domaine

Citrix DaaS pour Azure déploie au moins deux connecteurs cloud dans chaque emplacement de ressources. Certains catalogues peuvent partager un emplacement de ressource s’ils se trouvent dans la même région que d’autres catalogues pour le même client.

Citrix est responsable des opérations de sécurité suivantes sur les connecteurs Cloud de catalogue non joints à un domaine :

• Application des mises à jour du système d’exploitation et des correctifs de sécurité
• Installation et maintenance d’un logiciel antivirus
• Application des mises à jour du logiciel Cloud Connector

Les clients n’ont pas accès aux connecteurs Cloud. Par conséquent, Citrix est entièrement responsable des performances des connecteurs Cloud du catalogue non joint au domaine.

Abonnement Azure et Azure Active Directory

Citrix est responsable de la sécurité de l’abonnement Azure et d’Azure Active Directory (AAD) créés pour le client. Citrix garantit l’isolement des locataires, de sorte que chaque client dispose de son propre abonnement Azure et de son propre AAD, et que les communications croisées entre les différents locataires sont évitées. Citrix limite également l’accès à l’AAD au personnel d’exploitation Citrix DaaS pour Azure et Citrix uniquement. L’accès de Citrix à l’abonnement Azure de chaque client est audité.

Les clients utilisant des catalogues non joints à un domaine peuvent utiliser l’AAD géré par Citrix comme moyen d’authentification pour Citrix Workspace. Pour ces clients, Citrix crée des comptes d’utilisateurs à privilèges limités dans l’AAD géré par Citrix. Cependant, ni les utilisateurs ni les administrateurs des clients ne peuvent exécuter aucune action sur l’AAD géré par Citrix. Si ces clients choisissent d’utiliser leur propre AAD, ils sont entièrement responsables de sa sécurité.

Réseaux et infrastructures virtuels

Dans le cadre de l’abonnement Citrix Managed Azure du client, Citrix crée des réseaux virtuels pour isoler les emplacements des ressources. Au sein de ces réseaux, Citrix crée des machines virtuelles pour les VDA, les connecteurs cloud et les machines de création d’images, en plus des comptes de stockage, des coffres de clés et d’autres ressources Azure. Citrix, en partenariat avec Microsoft, est responsable de la sécurité des réseaux virtuels, y compris des pare-feu de réseaux virtuels.

Citrix garantit que la stratégie de pare-feu Azure par défaut (groupes de sécurité réseau) est configurée pour limiter l’accès aux interfaces réseau dans les connexions de peering VNet. En général, cela contrôle le trafic entrant vers les VDA et les connecteurs Cloud. Pour plus de détails, voir :

• Stratégie de pare-feu pour les connexions de peering Azure VNet

Les clients ne peuvent pas modifier cette stratégie de pare-feu par défaut, mais peuvent déployer des règles de pare-feu supplémentaires sur les machines VDA créées par Citrix ; par exemple, pour restreindre partiellement le trafic sortant. Les clients qui installent des clients de réseau privé virtuel ou d’autres logiciels capables de contourner les règles de pare-feu sur des machines VDA créées par Citrix sont responsables de tous les risques de sécurité qui pourraient en résulter.

Lors de l’utilisation du générateur d’images dans Citrix DaaS pour Azure pour créer et personnaliser une nouvelle image de machine, les ports 3389-3390 sont ouverts temporairement dans le réseau virtuel géré par Citrix, afin que le client puisse se connecter via RDP à la machine contenant la nouvelle image de machine, pour la personnaliser.

Responsabilité de Citrix lors de l’utilisation de connexions de peering Azure VNet

Pour que les VDA dans Citrix DaaS pour Azure contactent les contrôleurs de domaine locaux, les partages de fichiers ou d’autres ressources intranet, Citrix DaaS pour Azure fournit un workflow de peering VNet comme option de connectivité. Le réseau virtuel géré par Citrix du client est couplé à un réseau virtuel Azure géré par le client. Le réseau virtuel géré par le client peut permettre la connectivité avec les ressources locales du client à l’aide de la solution de connectivité cloud vers local choisie par le client, telle qu’Azure ExpressRoute ou les tunnels iPsec.

La responsabilité de Citrix en matière de peering de réseaux virtuels se limite à la prise en charge du flux de travail et de la configuration des ressources Azure associées pour établir une relation de peering entre Citrix et les réseaux virtuels gérés par le client.

Stratégie de pare-feu pour les connexions de peering Azure VNet

Citrix ouvre ou ferme les ports suivants pour le trafic entrant et sortant qui utilise une connexion de peering VNet.

Réseau virtuel géré par Citrix avec des machines non jointes à un domaine

• Règles entrantes
  • Autoriser les ports 80, 443, 1494 et 2598 entrants des VDA vers les connecteurs Cloud et des connecteurs Cloud vers les VDA.
  • Autoriser les ports 49152-65535 entrants vers les VDA à partir d’une plage IP utilisée par la fonction d’observation du moniteur. Voir Ports de communication utilisés par Citrix Technologies.
  • Refuser tous les autres appels entrants. Cela inclut le trafic intra-VNet de VDA à VDA et de VDA à Cloud Connector.
• Règles de sortie
  • Autoriser tout le trafic sortant.

Réseau virtuel géré par Citrix avec machines jointes au domaine

• Règles entrantes :
  • Autoriser les ports 80, 443, 1494 et 2598 entrants depuis les VDA vers les connecteurs Cloud et depuis les connecteurs Cloud vers les VDA.
  • Autoriser les ports 49152-65535 entrants vers les VDA à partir d’une plage IP utilisée par la fonction d’observation du moniteur. Voir Ports de communication utilisés par Citrix Technologies.
  • Refuser tous les autres appels entrants. Cela inclut le trafic intra-VNet de VDA à VDA et de VDA à Cloud Connector.
• Règles de sortie
  • Autoriser tout le trafic sortant.

Réseau virtuel géré par le client avec des machines jointes au domaine

• Il appartient au client de configurer correctement son VNet. Cela inclut l’ouverture des ports suivants pour rejoindre le domaine.
• Règles entrantes :
  • Autoriser les appels entrants sur 443, 1494, 2598 à partir de leurs IP client pour les lancements internes.
  • Autoriser les appels entrants sur 53, 88, 123, 135-139, 389, 445, 636 depuis Citrix VNet (plage IP spécifiée par le client).
  • Autoriser les entrées sur les ports ouverts avec une configuration proxy.
  • Autres règles créées par le client.
• Règles de sortie :
  • Autoriser les communications sortantes sur 443, 1494, 2598 vers le réseau virtuel Citrix (plage d’adresses IP spécifiée par le client) pour les lancements internes.
  • Autres règles créées par le client.

Accès aux infrastructures

Citrix peut accéder à l’infrastructure gérée par Citrix du client (Cloud Connectors) pour effectuer certaines tâches administratives telles que la collecte des journaux (y compris l’Observateur d’événements Windows) et le redémarrage des services sans en informer le client. Citrix est responsable de l’exécution de ces tâches en toute sécurité, avec un impact minimal sur le client. Citrix est également responsable de garantir que tous les fichiers journaux sont récupérés, transportés et traités de manière sûre et sécurisée. Les VDA clients ne sont pas accessibles de cette manière.

Sauvegardes pour les catalogues non liés à un domaine

Citrix n’est pas responsable de l’exécution des sauvegardes de catalogues non joints à un domaine.

Sauvegardes pour les images de machines

Citrix est responsable de la sauvegarde de toutes les images de machine téléchargées sur Citrix DaaS pour Azure, y compris les images créées avec le générateur d’images. Citrix utilise un stockage localement redondant pour ces images.

Bastions pour les catalogues non liés à un domaine

Le personnel des opérations Citrix a la possibilité de créer un bastion, si nécessaire, pour accéder à l’abonnement Azure géré par Citrix du client afin de diagnostiquer et de réparer les problèmes du client, potentiellement avant que le client ne soit conscient d’un problème. Citrix n’exige pas le consentement du client pour créer un bastion. Lorsque Citrix crée le bastion, Citrix crée un mot de passe fort généré aléatoirement pour le bastion et restreint l’accès RDP aux adresses IP Citrix NAT. Lorsque le bastion n’est plus nécessaire, Citrix s’en débarrasse et le mot de passe n’est plus valide. Le bastion (et les règles d’accès RDP qui l’accompagnent) sont supprimés une fois l’opération terminée. Citrix ne peut accéder qu’aux connecteurs Cloud non joints au domaine du client avec le bastion. Citrix ne dispose pas du mot de passe pour se connecter aux VDA non joints au domaine ou aux Cloud Connectors et VDA joints au domaine.

Politique de pare-feu lors de l’utilisation d’outils de dépannage

Lorsqu’un client demande la création d’une machine bastion à des fins de dépannage, les modifications du groupe de sécurité suivantes sont apportées au réseau virtuel géré par Citrix :

• Autoriser temporairement 3389 entrées depuis la plage IP spécifiée par le client vers le bastion.
• Autorisez temporairement 3389 entrées depuis l’adresse IP du bastion vers n’importe quelle adresse du VNet (VDA et connecteurs Cloud).
• Continuer à bloquer l’accès RDP entre les connecteurs Cloud, les VDA et les autres VDA.

Lorsqu’un client active l’accès RDP à des fins de dépannage, les modifications du groupe de sécurité suivantes sont apportées au réseau virtuel géré par Citrix :

• Autorisez temporairement 3389 entrées depuis la plage d’adresses IP spécifiée par le client vers n’importe quelle adresse du VNet (VDA et connecteurs Cloud).
• Continuer à bloquer l’accès RDP entre les connecteurs Cloud, les VDA et les autres VDA.

Abonnements gérés par le client

Pour les abonnements gérés par le client, Citrix adhère aux responsabilités ci-dessus lors du déploiement des ressources Azure. Après le déploiement, tout ce qui précède relève de la responsabilité du client, car le client est le propriétaire de l’abonnement Azure.

Responsabilité du client

VDA et images de machines

Le client est responsable de tous les aspects du logiciel installé sur les machines VDA, y compris :

• Mises à jour du système d’exploitation et correctifs de sécurité
• Antivirus et antimalware
• Mises à jour du logiciel VDA et correctifs de sécurité
• Règles de pare-feu logiciel supplémentaires (en particulier le trafic sortant)
• Suivez les considérations de sécurité et les meilleures pratiques de Citrix

Citrix fournit une image préparée destinée à servir de point de départ. Les clients peuvent utiliser cette image à des fins de preuve de concept ou de démonstration ou comme base pour créer leur propre image de machine. Citrix ne garantit pas la sécurité de cette image préparée. Citrix tentera de maintenir à jour le système d’exploitation et le logiciel VDA sur l’image préparée et activera Windows Defender sur ces images.

Responsabilité du client lors de l’utilisation du peering VNet

Le client doit ouvrir tous les ports spécifiés dans VNet géré par le client avec des machines jointes au domaine.

Lorsque le peering VNet est configuré, le client est responsable de la sécurité de son propre réseau virtuel et de sa connectivité à ses ressources sur site. Le client est également responsable de la sécurité du trafic entrant provenant du réseau virtuel homologue géré par Citrix. Citrix ne prend aucune mesure pour bloquer le trafic du réseau virtuel géré par Citrix vers les ressources locales du client.

Les clients disposent des options suivantes pour restreindre le trafic entrant :

• Donnez au réseau virtuel géré par Citrix un bloc IP qui n’est pas utilisé ailleurs dans le réseau local du client ou dans le réseau virtuel connecté géré par le client. Ceci est nécessaire pour le peering VNet.
• Ajoutez des groupes de sécurité réseau Azure et des pare-feu au réseau virtuel et au réseau local du client pour bloquer ou restreindre le trafic provenant du bloc IP géré par Citrix.
• Déployez des mesures telles que des systèmes de prévention des intrusions, des pare-feu logiciels et des moteurs d’analyse comportementale dans le réseau virtuel du client et sur le réseau local, en ciblant le bloc IP géré par Citrix.

Procuration

Le client peut choisir d’utiliser ou non un proxy pour le trafic sortant du VDA. Si un proxy est utilisé, le client est responsable de :

• Configuration des paramètres proxy sur l’image de la machine VDA ou, si le VDA est joint à un domaine, à l’aide de la stratégie de groupe Active Directory.
• Maintenance et sécurité du proxy.

Les proxys ne sont pas autorisés pour une utilisation avec Citrix Cloud Connectors ou d’autres infrastructures gérées par Citrix.

Résilience du catalogue

Citrix propose trois types de catalogues avec différents niveaux de résilience :

• Statique : Chaque utilisateur est affecté à un seul VDA. Ce type de catalogue n’offre pas de haute disponibilité. Si le VDA d’un utilisateur tombe en panne, il devra être placé sur un nouveau pour récupérer. Azure fournit un SLA de 99,5 % pour les machines virtuelles à instance unique. Le client peut toujours sauvegarder le profil utilisateur, mais toutes les personnalisations apportées au VDA (telles que l’installation de programmes ou la configuration de Windows) seront perdues.
• Aléatoire : Chaque utilisateur est affecté aléatoirement à un serveur VDA au moment du lancement. Ce type de catalogue offre une haute disponibilité via la redondance. Si un VDA tombe en panne, aucune information n’est perdue car le profil de l’utilisateur réside ailleurs.
• Windows 10 multisession : Ce type de catalogue fonctionne de la même manière que le type aléatoire, mais utilise des VDA de poste de travail Windows 10 au lieu de VDA de serveur.

Sauvegardes pour les catalogues joints au domaine

Si le client utilise des catalogues joints à un domaine avec un peering VNet, le client est responsable de la sauvegarde de ses profils utilisateur. Citrix recommande aux clients de configurer des partages de fichiers sur site et de définir des stratégies sur leur Active Directory ou VDA pour extraire les profils utilisateur de ces partages de fichiers. Le client est responsable de la sauvegarde et de la disponibilité de ces partages de fichiers.

Reprise après sinistre

En cas de perte de données Azure, Citrix récupérera autant de ressources que possible dans l’abonnement Azure géré par Citrix. Citrix tentera de récupérer les connecteurs Cloud et les VDA. Si Citrix ne parvient pas à récupérer ces éléments, les clients sont responsables de la création d’un nouveau catalogue. Citrix suppose que les images des machines sont sauvegardées et que les clients ont sauvegardé leurs profils utilisateur, ce qui permet de reconstruire le catalogue.

En cas de perte d’une région Azure entière, le client est responsable de la reconstruction de son réseau virtuel géré par le client dans une nouvelle région et de la création d’un nouveau peering VNet dans Citrix DaaS pour Azure.

Responsabilités partagées entre Citrix et le client

Citrix Cloud Connector pour les catalogues joints à un domaine

Citrix DaaS pour Azure déploie au moins deux connecteurs cloud dans chaque emplacement de ressources. Certains catalogues peuvent partager un emplacement de ressource s’ils se trouvent dans la même région, le même peering VNet et le même domaine que d’autres catalogues pour le même client. Citrix configure les Cloud Connectors joints au domaine du client pour les paramètres de sécurité par défaut suivants sur l’image :

• Mises à jour du système d’exploitation et correctifs de sécurité
• Logiciel antivirus
• Mises à jour du logiciel Cloud Connector

Les clients n’ont normalement pas accès aux connecteurs Cloud. Cependant, ils peuvent obtenir l’accès en utilisant les étapes de dépannage du catalogue et en se connectant avec les informations d’identification du domaine. Le client est responsable de toute modification qu’il apporte lors de sa connexion via le bastion.

Les clients ont également le contrôle sur les connecteurs Cloud joints au domaine via la stratégie de groupe Active Directory. Le client est responsable de s’assurer que les stratégies de groupe qui s’appliquent au Cloud Connector sont sûres et judicieuses. Par exemple, si le client choisit de désactiver les mises à jour du système d’exploitation à l’aide de la stratégie de groupe, il est responsable de l’exécution des mises à jour du système d’exploitation sur les connecteurs Cloud. Le client peut également choisir d’utiliser la stratégie de groupe pour appliquer une sécurité plus stricte que les valeurs par défaut de Cloud Connector, par exemple en installant un autre logiciel antivirus. En général, Citrix recommande aux clients de placer les connecteurs Cloud dans leur propre unité organisationnelle Active Directory sans aucune stratégie, car cela garantira que les valeurs par défaut utilisées par Citrix peuvent être appliquées sans problème.

Dépannage

Si le client rencontre des problèmes avec le catalogue dans Citrix DaaS pour Azure, il existe deux options de dépannage : utiliser des bastions et activer l’accès RDP. Les deux options présentent un risque de sécurité pour le client. Le client doit comprendre et accepter ce risque avant d’utiliser ces options.

Citrix est responsable de l’ouverture et de la fermeture des ports nécessaires pour effectuer les opérations de dépannage et de restreindre les machines accessibles pendant ces opérations.

Avec un accès bastions ou RDP, l’utilisateur actif effectuant l’opération est responsable de la sécurité des machines auxquelles il accède. Si le client accède au VDA ou au Cloud Connector via RDP et contracte accidentellement un virus, le client en est responsable. Si le personnel de support Citrix accède à ces machines, il est de la responsabilité de ce personnel d’effectuer les opérations en toute sécurité. La responsabilité de toute vulnérabilité exposée par toute personne accédant au bastion ou à d’autres machines du déploiement (par exemple, la responsabilité du client d’ajouter des plages d’adresses IP à la liste autorisée, la responsabilité de Citrix d’implémenter correctement les plages d’adresses IP) est traitée ailleurs dans ce document.

Dans les deux scénarios, Citrix est responsable de la création correcte des exceptions de pare-feu pour autoriser le trafic RDP. Citrix est également responsable de la révocation de ces exceptions une fois que le client a supprimé le bastion ou mis fin à l’accès RDP via Citrix DaaS pour Azure.

Bastions

Citrix peut créer des bastions dans le réseau virtuel géré par Citrix du client au sein de l’abonnement géré par Citrix du client pour diagnostiquer et réparer les problèmes, soit de manière proactive (sans notification au client), soit en réponse à un problème soulevé par le client. Le bastion est une machine à laquelle le client peut accéder via RDP, puis l’utiliser pour accéder aux VDA et (pour les catalogues joints au domaine) aux connecteurs Cloud via RDP pour collecter les journaux, redémarrer les services ou effectuer d’autres tâches administratives. Par défaut, la création d’un bastion ouvre une règle de pare-feu externe pour autoriser le trafic RDP d’une plage d’adresses IP spécifiée par le client vers la machine bastion. Il ouvre également une règle de pare-feu interne pour autoriser l’accès aux connecteurs Cloud et aux VDA via RDP. L’ouverture de ces règles pose un risque de sécurité important.

Le client est responsable de fournir un mot de passe fort utilisé pour le compte Windows local. Le client est également responsable de fournir une plage d’adresses IP externes qui permet l’accès RDP au bastion. Si le client choisit de ne pas fournir de plage d’adresses IP (permettant à quiconque de tenter un accès RDP), le client est responsable de tout accès tenté par des adresses IP malveillantes.

Le client est également responsable de la suppression du bastion une fois le dépannage terminé. L’hôte bastion expose une surface d’attaque supplémentaire, donc Citrix arrête automatiquement la machine huit (8) heures après sa mise sous tension. Cependant, Citrix ne supprime jamais automatiquement un bastion. Si le client choisit d’utiliser le bastion pendant une période prolongée, il est responsable de sa correction et de sa mise à jour. Citrix recommande de n’utiliser un bastion que pendant quelques jours avant de le supprimer. Si le client souhaite un bastion à jour, il peut supprimer son bastion actuel, puis créer un nouveau bastion, qui fournira une nouvelle machine avec les derniers correctifs de sécurité.

Accès RDP

Pour les catalogues joints à un domaine, si le peering VNet du client est fonctionnel, le client peut activer l’accès RDP depuis son VNet couplé vers son VNet géré par Citrix. Si le client utilise cette option, il est responsable de l’accès aux VDA et aux connecteurs Cloud via le peering VNet. Les plages d’adresses IP sources peuvent être spécifiées afin que l’accès RDP puisse être davantage restreint, même au sein du réseau interne du client. Le client devra utiliser les informations d’identification du domaine pour se connecter à ces machines. Si le client travaille avec le support Citrix pour résoudre un problème, il peut être amené à partager ces informations d’identification avec le personnel de support. Une fois le problème résolu, le client est responsable de la désactivation de l’accès RDP. Garder l’accès RDP ouvert à partir du réseau homologue ou local du client présente un risque de sécurité.

Informations d’identification du domaine

Si le client choisit d’utiliser un catalogue joint à un domaine, il est responsable de fournir à Citrix DaaS pour Azure un compte de domaine (nom d’utilisateur et mot de passe) avec des autorisations pour joindre des machines au domaine. Lors de la fourniture des informations d’identification du domaine, le client est responsable du respect des principes de sécurité suivants :

• Auditable : Le compte doit être créé spécifiquement pour l’utilisation de Citrix DaaS pour Azure afin qu’il soit facile de vérifier à quoi sert le compte.
• Étendue : Le compte nécessite uniquement des autorisations pour joindre des machines à un domaine. Il ne doit pas s’agir d’un administrateur de domaine complet.
• Sécurisé : Un mot de passe fort doit être placé sur le compte.

Citrix est responsable du stockage sécurisé de ce compte de domaine dans un coffre de clés Azure dans l’abonnement Azure géré par Citrix du client. Le compte est récupéré uniquement si une opération nécessite le mot de passe du compte de domaine.

Informations supplémentaires

Pour des informations connexes, voir :

• Guide de déploiement sécurisé pour la plateforme Citrix Cloud: Informations de sécurité pour la plateforme Citrix Cloud.
• Présentation de la sécurité technique: Informations de sécurité pour Citrix DaaS
• Notifications de tiers