Vue d’ensemble de la sécurité technique pour Azure géré par Citrix
Remarque :
Depuis juillet 2023, Microsoft a renommé Azure Active Directory (Azure AD) Microsoft Entra ID. Dans ce document, toute occurrence de l’appellation Azure Active Directory, Azure AD ou de l’acronyme AAD fait désormais référence à Microsoft Entra ID.
Le diagramme suivant illustre les composants d’un déploiement Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) qui utilise Azure géré par Citrix. Cet exemple utilise une connexion d’appairage de réseaux virtuels.
Avec Azure géré par Citrix, les Virtual Delivery Agent (VDA) du client qui fournissent des bureaux et des applications, ainsi que des Citrix Cloud Connector, sont déployés dans un abonnement Azure et un locataire gérés par Citrix.
Conformité cloud de Citrix
L’utilisation de Citrix Managed Azure Capacity avec diverses éditions de Citrix DaaS et Workspace Premium Plus n’a pas été évaluée pour Citrix SOC 2 (Type 1 ou 2), ISO 27001, HIPAA ou d’autres exigences de conformité cloud. (Janvier 2021). Visitez le Citrix Trust Center pour en savoir plus sur les certifications Citrix Cloud et consultez-le fréquemment pour obtenir les informations les plus récentes.
Responsabilité de Citrix
Citrix Cloud Connector pour catalogues non joints à un domaine
Lorsque vous utilisez un abonnement Azure géré par Citrix, Citrix DaaS déploie au moins deux Cloud Connector dans chaque emplacement de ressources. Certains catalogues peuvent partager un emplacement de ressources s’ils se trouvent dans la même région que d’autres catalogues pour le même client.
Citrix est responsable des opérations de sécurité suivantes sur les Cloud Connector de catalogues non joints à un domaine :
- Installation des mises à jour du système d’exploitation et des correctifs
- Installation et maintenance d’un logiciel antivirus
- Installation des mises à jour logicielles des Cloud Connector
Les clients n’ont pas accès aux Cloud Connector. Citrix est donc entièrement responsable des performances des Cloud Connector de catalogues qui ne sont pas joints à un domaine.
Abonnement Azure et Azure Active Directory
Citrix est responsable de la sécurité de l’abonnement Azure et d’Azure Active Directory (AAD) créés pour le client. Citrix garantit l’isolation des locataires, de sorte que chaque client dispose de son propre abonnement Azure et AAD, et les échanges croisés entre différents locataires sont évités. Citrix limite également l’accès à AAD à Citrix DaaS et au personnel des opérations Citrix uniquement. L’accès de Citrix à l’abonnement Azure de chaque client est vérifié.
Les clients utilisant des catalogues non joints à un domaine peuvent utiliser AAD géré par Citrix comme moyen d’authentification pour Citrix Workspace. Pour ces clients, Citrix crée des comptes utilisateurs à privilèges limités dans AAD géré par Citrix. Toutefois, ni les utilisateurs ni les administrateurs des clients ne peuvent exécuter d’actions sur AAD géré par Citrix. Si ces clients choisissent plutôt d’utiliser leur propre AAD, ils sont entièrement responsables de sa sécurité.
Infrastructure et réseaux virtuels
Au sein de l’abonnement Azure géré par Citrix du client, Citrix crée des réseaux virtuels pour isoler les emplacements de ressources. Au sein de ces réseaux, Citrix crée des machines virtuelles pour les VDA, les Cloud Connector et les machines de création d’images, en plus des comptes de stockage, des coffres de clés et d’autres ressources Azure. Citrix, en partenariat avec Microsoft, est responsable de la sécurité des réseaux virtuels, y compris des pare-feu de réseau virtuel.
Citrix garantit que la stratégie de pare-feu Azure par défaut (groupes de sécurité réseau) est configurée de façon à limiter l’accès aux interfaces réseau dans l’appairage de réseau virtuel et les connexions SD-WAN. En règle générale, cela contrôle le trafic entrant vers les VDA et Cloud Connector. Pour plus de détails, consultez :
- Stratégie de pare-feu pour les connexions d’appairage de réseaux virtuels Azure
- Stratégie de pare-feu pour les connexions SD-WAN
Les clients ne peuvent pas modifier cette stratégie de pare-feu par défaut, mais ils peuvent déployer des règles de pare-feu supplémentaires sur des machines VDA créées par Citrix. Par exemple, pour limiter partiellement le trafic sortant. Les clients qui installent des clients de réseau privé virtuel, ou d’autres logiciels capables de contourner les règles de pare-feu, sur des machines VDA créées par Citrix sont responsables de tous les risques de sécurité pouvant en découler.
Lorsque le générateur d’images dans Citrix DaaS est utilisé pour créer et personnaliser une nouvelle image de machine, les ports 3389-3390 sont ouverts temporairement dans le réseau virtuel géré par Citrix, de sorte que le client peut utiliser le Remote Desktop Protocol vers la machine contenant la nouvelle image de machine, pour la personnaliser.
Responsabilité de Citrix lors de l’utilisation de connexions d’appairage de réseaux virtuels Azure
Pour que les VDA de Citrix DaaS contactent des contrôleurs de domaine locaux, des partages de fichiers ou d’autres ressources intranet, Citrix DaaS fournit un flux de travail d’appairage de réseaux virtuels comme option de connectivité. Le réseau virtuel géré par Citrix du client est associé à un réseau virtuel Azure géré par le client. Le réseau virtuel géré par le client peut permettre la connectivité avec les ressources locales du client à l’aide de la solution de connectivité cloud vers site de son choix, comme Azure ExpressRoute ou les tunnels IPSec.
La responsabilité de Citrix pour l’appairage de réseaux virtuels se limite à la prise en charge du flux de travail et de la configuration des ressources Azure associée pour établir une relation d’appairage entre Citrix et les réseaux virtuels gérés par le client.
Stratégie de pare-feu pour les connexions d’appairage de réseaux virtuels Azure
Citrix ouvre ou ferme les ports suivants pour le trafic entrant et sortant qui utilise une connexion d’appairage de réseaux virtuels.
Réseau virtuel géré par Citrix avec des machines non jointes à un domaine
- Règles du trafic entrant
- Autorisez les ports 80, 443, 1494 et 2598 entrants des VDA vers les Cloud Connector et des Cloud Connector vers les VDA.
- Autorisez les ports 49152-65535 entrants vers les VDA à partir d’une plage IP utilisée par la fonction d’observation de Gérer. Consultez Ports de communication utilisés par les technologies Citrix.
- Refusez tout autre trafic entrant. Cela inclut le trafic intra-réseau virtuel depuis VDA vers VDA et VDA vers Cloud Connector.
- Règles du trafic sortant
- Autorisez tout le trafic sortant.
Réseau virtuel géré par Citrix avec des machines jointes à un domaine
- Règles du trafic entrant
- Autorisez les ports 80, 443, 1494 et 2598 entrants des VDA vers les Cloud Connector et des Cloud Connector vers les VDA.
- Autorisez les ports 49152-65535 entrants vers les VDA à partir d’une plage IP utilisée par la fonction d’observation de Gérer. Consultez Ports de communication utilisés par les technologies Citrix.
- Refusez tout autre trafic entrant. Cela inclut le trafic intra-réseau virtuel depuis VDA vers VDA et VDA vers Cloud Connector.
- Règles du trafic sortant
- Autorisez tout le trafic sortant.
Réseau virtuel géré par le client avec des machines jointes à un domaine
- Il appartient au client de configurer correctement son réseau virtuel. Cela inclut l’ouverture des ports suivants pour rejoindre un domaine.
- Règles du trafic entrant
- Autorisez le trafic entrant sur 443, 1494 et 2598 à partir des adresses IP clientes pour les lancements internes.
- Autorisez le trafic entrant sur 53, 88, 123, 135-139, 389, 445, 636 à partir de réseau virtuel Citrix (plage IP spécifiée par le client).
- Autorisez le trafic entrant sur les ports ouverts avec une configuration proxy.
- Autres règles créées par le client.
- Règles du trafic sortant
- Autorisez le trafic entrant sur 443, 1494 et 2598 vers un réseau virtuel Citrix (plage IP spécifiée par le client) pour les lancements internes.
- Autres règles créées par le client.
Responsabilité Citrix lors de l’utilisation de la connectivité SD-WAN
Citrix prend en charge une méthode entièrement automatisée pour déployer des instances virtuelles de Citrix SD-WAN pour permettre la connectivité entre Citrix DaaS et les ressources locales. La connectivité Citrix SD-WAN présente plusieurs avantages par rapport à l’appairage de réseaux virtuels, notamment :
Fiabilité et sécurité élevées des connexions VDA vers centre de données et VDA vers branche (ICA).
- Meilleure expérience utilisateur final pour les employés de bureau, avec des capacités QoS avancées et des optimisations VoIP.
- Possibilité intégrée d’inspecter, de hiérarchiser et de générer des rapports sur le trafic réseau Citrix HDX et l’utilisation d’autres applications.
Citrix exige que les clients qui souhaitent tirer parti de la connectivité SD-WAN pour Citrix DaaS utilisent SD-WAN Orchestrator pour gérer leurs réseaux Citrix SD-WAN.
Le diagramme suivant montre les composants ajoutés dans un déploiement Citrix DaaS utilisant un abonnement Azure géré par Citrix et une connectivité SD-WAN.
Le déploiement Citrix SD-WAN pour Citrix DaaS est similaire à la configuration du déploiement Azure standard pour Citrix SD-WAN. Pour plus d’informations, consultez Déployer une instance Citrix SD-WAN Standard Edition sur Azure. Dans une configuration haute disponibilité, une paire d’instances SD-WAN active/en veille avec des équilibreurs de charge Azure est déployée en tant que passerelle entre le sous-réseau contenant des VDA et des Cloud Connector, et Internet. Dans une configuration sans haute disponibilité, seule une seule instance SD-WAN est déployée en tant que passerelle. Les interfaces réseau des appliances SD-WAN virtuelles se voient attribuer des adresses provenant d’une petite plage d’adresses distincte divisée en deux sous-réseaux.
Lors de la configuration de la connectivité SD-WAN, Citrix apporte quelques modifications à la configuration réseau des bureaux gérés décrite ci-dessus. En particulier, tout le trafic sortant du réseau virtuel, y compris le trafic vers les destinations Internet, est acheminé via l’instance Cloud SD-WAN. L’instance SD-WAN est également configurée pour être le serveur DNS du réseau virtuel géré par Citrix.
L’accès de gestion aux instances SD-WAN virtuelles nécessite un identifiant et un mot de passe administrateur. Chaque instance SD-WAN se voit attribuer un mot de passe sécurisé unique et aléatoire qui peut être utilisé par les administrateurs SD-WAN pour la connexion et le dépannage à distance via l’interface utilisateur SD-WAN Orchestrator, l’interface utilisateur de gestion des appliances virtuelles et l’interface de ligne de commande.
Tout comme les autres ressources spécifiques au locataire, les instances SD-WAN virtuelles déployées dans un réseau virtuel client spécifique sont complètement isolées de tous les autres réseaux virtuels.
Lorsque le client active la connectivité Citrix SD-WAN, Citrix automatise le déploiement initial des instances SD-WAN virtuelles utilisées avec Citrix DaaS, gère les ressources Azure sous-jacentes (machines virtuelles, équilibreurs de charge, etc.), fournit une solution prête à l’emploi sécurisée et efficace pour la configuration initiale des instances SD-WAN virtuelles, et permet la maintenance continue et le dépannage via SD-WAN Orchestrator. Citrix prend également des mesures raisonnables pour effectuer une validation automatique de la configuration réseau SD-WAN, vérifier les risques de sécurité connus et afficher les alertes correspondantes via SD-WAN Orchestrator.
Stratégie de pare-feu pour les connexions SD-WAN
Citrix utilise des stratégies de pare-feu Azure (groupes de sécurité réseau) et l’attribution d’adresses IP publiques pour limiter l’accès aux interfaces réseau des appliances SD-WAN virtuelles :
- Seules les interfaces WAN et de gestion se voient attribuer des adresses IP publiques et permettent la connectivité sortante à Internet.
- Les interfaces LAN, agissant comme passerelles pour le réseau virtuel géré par Citrix, sont uniquement autorisées à échanger du trafic réseau avec des machines virtuelles sur le même réseau virtuel.
- Les interfaces WAN limitent le trafic entrant au port UDP 4980 (utilisé par Citrix SD-WAN pour la connectivité des chemins virtuels) et refusent le trafic sortant vers le réseau virtuel.
- Les ports de gestion autorisent le trafic entrant vers les ports 443 (HTTPS) et 22 (SSH).
- Les interfaces haute disponibilité ne sont autorisées qu’à échanger le trafic de contrôle entre elles.
Accès à l’infrastructure
Citrix peut accéder à l’infrastructure gérée par Citrix (Cloud Connector) du client pour effectuer certaines tâches administratives telles que la collecte des journaux (y compris l’Observateur d’événements Windows) et le redémarrage des services sans en avertir le client. Citrix est responsable de l’exécution de ces tâches en toute sécurité, avec un impact minimal sur le client. Citrix est également responsable de s’assurer que tous les fichiers journaux sont récupérés, transportés et traités en toute sécurité. Les VDA clients ne sont pas accessibles de cette façon.
Sauvegardes pour catalogues non joints à un domaine
Citrix n’est pas responsable des sauvegardes de catalogues non joints à un domaine.
Sauvegardes d’images de machine
Citrix est responsable de la sauvegarde de toutes les images de machine chargées sur Citrix DaaS, y compris les images créées avec le générateur d’images. Citrix utilise un stockage redondant localement pour ces images.
Bastions pour catalogues non joints à un domaine
Le personnel des opérations Citrix a la capacité de créer un bastion, si nécessaire, pour accéder à l’abonnement Azure géré par Citrix du client pour diagnostiquer et réparer les problèmes des clients, potentiellement avant que le client ne soit conscient d’un problème. Citrix n’a pas besoin du consentement du client pour créer un bastion. Lorsque Citrix crée le bastion, Citrix crée un mot de passe fort généré aléatoirement pour le bastion et restreint l’accès RDP aux adresses IP NAT Citrix. Lorsque le bastion n’est plus nécessaire, Citrix le retire et le mot de passe n’est plus valide. Le bastion (et les règles d’accès RDP qui l’accompagnent) est retiré lorsque l’opération est terminée. Citrix peut accéder uniquement aux Cloud Connector non joints à un domaine du client avec le bastion. Citrix ne dispose pas du mot de passe nécessaire pour se connecter à des VDA non joints à un domaine ou à des Cloud Connector et VDA appartenant à un domaine.
Stratégie de pare-feu lors de l’utilisation d’outils de dépannage
Lorsqu’un client demande la création d’une machine bastion à des fins de dépannage, les modifications suivantes du groupe de sécurité sont apportées au réseau virtuel géré par Citrix :
- Autorisez temporairement le trafic entrant 3389 de la plage IP spécifiée par le client vers le bastion.
- Autorisez temporairement le trafic entrant 3389 depuis l’adresse IP du bastion vers n’importe quelle adresse du réseau virtuel (VDA et Cloud Connector).
- Continuez à bloquer l’accès RDP entre les Cloud Connector, les VDA et les autres VDA.
Lorsqu’un client autorise l’accès RDP à des fins de dépannage, les modifications suivantes du groupe de sécurité sont apportées au réseau virtuel géré par Citrix :
- Autorisez temporairement le trafic entrant 3389 depuis la plage IP spécifiée par le client vers n’importe quelle adresse du réseau virtuel (VDA et Cloud Connector).
- Continuez à bloquer l’accès RDP entre les Cloud Connector, les VDA et les autres VDA.
Abonnements gérés par le client
Pour les abonnements gérés par le client, Citrix adhère aux responsabilités ci-dessus lors du déploiement des ressources Azure. Après le déploiement, tout ce qui précède relève de la responsabilité du client, car le client est propriétaire de l’abonnement Azure.
Responsabilité du client
VDA et images de machine
Le client est responsable de tous les aspects du logiciel installé sur les machines VDA, y compris :
- mises à jour du système d’exploitation et correctifs de sécurité
- antivirus et antimalware
- mises à jour logicielles VDA et correctifs de sécurité
- règles de pare-feu logiciel supplémentaires (en particulier le trafic sortant)
- suivre les considérations de sécurité et les meilleures pratiques Citrix
Citrix fournit une image préparée destinée à servir de point de départ. Les clients peuvent utiliser cette image à des fins de preuve de concept ou de démonstration ou comme base pour créer leur propre image de machine. Citrix ne garantit pas la sécurité de cette image préparée. Citrix tentera de maintenir à jour le système d’exploitation et le logiciel VDA de l’image préparée et activera Windows Defender sur ces images.
Responsabilité du client lors de l’utilisation de l’appairage de réseaux virtuels
Le client doit ouvrir tous les ports spécifiés dans Réseau virtuel géré par le client avec des machines jointes à un domaine.
Lorsque l’appairage de réseaux virtuels est configuré, le client est responsable de la sécurité de son propre réseau virtuel et de sa connectivité à ses ressources locales. Le client est également responsable de la sécurité du trafic entrant provenant du réseau virtuel appairé géré par Citrix. Citrix ne prend aucune mesure pour bloquer le trafic entre le réseau virtuel géré par Citrix et les ressources locales du client.
Les clients disposent des options suivantes pour limiter le trafic entrant :
- Donnez au réseau virtuel géré par Citrix un bloc IP qui n’est pas utilisé ailleurs dans le réseau local du client ou dans le réseau virtuel connecté géré par le client. Ceci est nécessaire pour l’appairage de réseaux virtuels.
- Ajoutez des groupes de sécurité réseau Azure et des pare-feu au réseau virtuel du client et au réseau local pour bloquer ou restreindre le trafic provenant du bloc IP géré par Citrix.
- Déployez des mesures telles que des systèmes de prévention des intrusions, des pare-feu logiciels et des moteurs d’analyse comportementale dans le réseau virtuel du client et le réseau local, avec le bloc IP géré par Citrix comme cible.
Responsabilité du client lors de l’utilisation de la connectivité SD-WAN
Lorsque la connectivité SD-WAN est configurée, les clients disposent d’une flexibilité totale pour configurer les instances SD-WAN virtuelles utilisées avec Citrix DaaS en fonction de leurs besoins réseau, à l’exception de quelques éléments requis pour garantir le bon fonctionnement du SD-WAN dans le réseau virtuel géré par Citrix. Responsabilités du client :
- Conception et configuration de règles de routage et de pare-feu, y compris les règles relatives à la rupture du trafic DNS et Internet
- Maintenance de la configuration réseau SD-WAN
- Surveillance de l’état opérationnel du réseau
- Déploiement rapide des mises à jour logicielles Citrix SD-WAN ou des correctifs de sécurité Étant donné que toutes les instances de Citrix SD-WAN sur un réseau client doivent exécuter la même version du logiciel SD-WAN, les déploiements de versions logicielles mises à jour sur les instances SD-WAN de Citrix DaaS doivent être gérés par les clients en fonction des calendriers et des contraintes de maintenance du réseau.
Une configuration incorrecte des règles de routage et de pare-feu SD-WAN ou une mauvaise gestion des mots de passe de gestion SD-WAN peuvent entraîner des risques de sécurité pour les ressources virtuelles de Citrix DaaS et les ressources locales accessibles via les chemins virtuels Citrix SD-WAN. Un autre risque de sécurité possible provient de la non-mise à jour du logiciel Citrix SD-WAN vers la dernière version du correctif disponible. Bien que SD-WAN Orchestrator et d’autres services Citrix Cloud fournissent les moyens de faire face à ces risques, il incombe aux clients de s’assurer que les instances SD-WAN virtuelles sont configurées de manière appropriée.
Proxy
Le client peut choisir d’utiliser un proxy pour le trafic sortant du VDA. Si un proxy est utilisé, le client a les responsabilités suivantes :
- Configuration des paramètres proxy sur l’image de machine VDA ou, si le VDA est joint à un domaine, utilisation de la stratégie de groupe Active Directory
- Maintenance et sécurité du proxy
Les proxy ne peuvent pas être utilisés avec Citrix Cloud Connector ou une autre infrastructure gérée par Citrix.
Résilience du catalogue
Citrix fournit trois types de catalogues avec différents niveaux de résilience :
- Statique : chaque utilisateur est affecté à un seul VDA. Ce type de catalogue n’offre pas de haute disponibilité. Si le VDA d’un utilisateur tombe en panne, il devra être placé sur un nouveau VDA. Azure fournit un contrat de niveau de service de 99,5 % pour les machines virtuelles à instance unique. Le client peut toujours sauvegarder le profil utilisateur, mais toutes les personnalisations effectuées sur le VDA (telles que l’installation de programmes ou la configuration de Windows) seront perdues.
- Aléatoire : chaque utilisateur est affecté aléatoirement à un VDA serveur au moment du lancement. Ce type de catalogue offre une haute disponibilité via la redondance. Si un VDA tombe en panne, aucune information n’est perdue car le profil de l’utilisateur se trouve ailleurs.
- Multisession Windows 10 : ce type de catalogue fonctionne de la même manière que le type aléatoire, mais utilise des VDA de station de travail Windows 10 au lieu de VDA de serveur.
Sauvegardes pour catalogues joints à un domaine
Si le client utilise des catalogues joints à un domaine avec un appairage de réseaux virtuels, il est responsable de la sauvegarde de ses profils utilisateur. Citrix recommande aux clients de configurer des partages de fichiers locaux et de définir des stratégies sur leur Active Directory ou leurs VDA pour extraire les profils utilisateur de ces partages de fichiers. Le client est responsable de la sauvegarde et de la disponibilité de ces partages de fichiers.
Récupération d’urgence
En cas de perte de données Azure, Citrix récupérera autant de ressources que possible dans l’abonnement Azure géré par Citrix. Citrix tentera de récupérer les Cloud Connector et les VDA. Si Citrix ne réussit pas à récupérer ces éléments, les clients sont responsables de la création d’un nouveau catalogue. Citrix suppose que les images machine sont sauvegardées et que les clients ont sauvegardé leurs profils utilisateur, ce qui permet de reconstruire le catalogue.
En cas de perte d’une région Azure entière, le client est responsable de la reconstruction de son réseau virtuel qu’il gère lui-même dans une nouvelle région et de la création d’un nouvel appairage de réseaux virtuels ou d’une nouvelle instance SD-WAN au sein de Citrix DaaS.
Responsabilités partagées des clients et de Citrix
Citrix Cloud Connector pour catalogues joints à un domaine
Citrix DaaS déploie au moins deux Cloud Connector dans chaque emplacement de ressources. Certains catalogues peuvent partager un emplacement de ressources s’ils se trouvent dans la même région, le même appairage de réseaux virtuels et le même domaine que d’autres catalogues pour le même client. Citrix configure les Cloud Connector du client joints à un domaine pour les paramètres de sécurité par défaut suivants sur l’image :
- mises à jour du système d’exploitation et correctifs de sécurité
- logiciel antivirus
- mises à jour logicielles des Cloud Connector
Les clients n’ont normalement pas accès aux Cloud Connector. Toutefois, ils peuvent obtenir un accès en utilisant les étapes de dépannage du catalogue et en se connectant à l’aide des informations d’identification du domaine. Le client est responsable des modifications qu’il apporte lors d’une connexion via le bastion.
Les clients ont également le contrôle sur les Cloud Connector joints à un domaine via la stratégie de groupe Active Directory. Il incombe au client de s’assurer que les stratégies de groupe qui s’appliquent au Cloud Connector sont sûres et raisonnables. Par exemple, si le client choisit de désactiver les mises à jour du système d’exploitation à l’aide de la stratégie de groupe, il doit effectuer les mises à jour du système d’exploitation sur les Cloud Connector. Le client peut également choisir d’utiliser la stratégie de groupe pour appliquer une sécurité plus stricte que les valeurs par défaut de Cloud Connector, par exemple en installant un autre logiciel antivirus. En général, Citrix recommande aux clients de placer les Cloud Connector dans leur propre unité organisationnelle Active Directory sans stratégie, car cela garantit que les valeurs par défaut utilisées par Citrix peuvent être appliquées sans problème.
Dépannage
Si le client rencontre des problèmes avec le catalogue dans Citrix DaaS, il existe deux options de dépannage : utiliser des bastions et activer l’accès RDP. Les deux options présentent un risque de sécurité pour le client. Le client doit comprendre et accepter ce risque avant d’utiliser ces options.
Il incombe à Citrix d’ouvrir et de fermer les ports nécessaires pour effectuer des opérations de dépannage, et de limiter les machines accessibles pendant ces opérations.
Avec des bastions ou un accès RDP, l’utilisateur actif effectuant l’opération est responsable de la sécurité des machines auxquelles il accède. Si le client accède au VDA ou au Cloud Connector via RDP et contracte accidentellement un virus, le client est responsable. Si le personnel du support Citrix accède à ces machines, il incombe à ce personnel d’effectuer les opérations en toute sécurité. La responsabilité des vulnérabilités exposées par toute personne accédant au bastion ou à d’autres machines du déploiement (par exemple, la responsabilité du client d’ajouter des plages IP pour autoriser la liste, la responsabilité Citrix de mettre en œuvre correctement les plages IP) est traitée ailleurs dans ce document.
Dans les deux scénarios, Citrix est responsable de la création correcte d’exceptions de pare-feu pour autoriser le trafic RDP. Citrix est également responsable de la révocation de ces exceptions après que le client a supprimé le bastion ou mis fin à l’accès RDP via Citrix DaaS.
Bastions
Citrix peut créer des bastions dans le réseau virtuel du client géré par Citrix au sein de l’abonnement du client géré par Citrix pour diagnostiquer et réparer les problèmes, soit de manière proactive (sans notification du client), soit en réponse à un problème signalé par le client. Le bastion est une machine à laquelle le client peut accéder via RDP, puis utiliser pour accéder aux VDA et (pour les catalogues joints à un domaine) Cloud Connector via RDP pour collecter des journaux, redémarrer les services ou effectuer d’autres tâches administratives. Par défaut, la création d’un bastion ouvre une règle de pare-feu externe pour autoriser le trafic RDP depuis une plage d’adresses IP spécifiée par le client vers la machine bastion. Il ouvre également une règle de pare-feu interne pour autoriser l’accès aux Cloud Connector et aux VDA via RDP. L’ouverture de ces règles pose un risque important pour la sécurité.
Le client est responsable de fournir un mot de passe fort utilisé pour le compte Windows local. Le client est également responsable de fournir une plage d’adresses IP externe qui permet un accès RDP au bastion. Si le client choisit de ne pas fournir de plage IP (permettant à quiconque de tenter l’accès RDP), le client est responsable de toute tentative d’accès par des adresses IP malveillantes.
Le client est également responsable de la suppression du bastion une fois le dépannage terminé. L’hôte bastion exposant une surface d’attaque supplémentaire, Citrix arrête automatiquement la machine huit (8) heures après sa mise sous tension. Toutefois, Citrix ne supprime jamais automatiquement un bastion. Si le client choisit d’utiliser le bastion pendant une longue période, il est responsable de l’application des correctifs et des mises à jour. Citrix recommande qu’un bastion ne soit utilisé que pendant plusieurs jours avant sa suppression. Si le client souhaite utiliser un bastion à jour, il peut supprimer son bastion actuel, puis créer un nouveau bastion, qui fournira à une nouvelle machine les derniers correctifs de sécurité.
Accès RDP
Pour les catalogues appartenant à un domaine, si l’appairage de réseaux virtuels du client est fonctionnel, le client peut activer l’accès RDP depuis son réseau virtuel appairé vers son réseau virtuel géré par Citrix. Si le client utilise cette option, il est responsable de l’accès aux VDA et aux Cloud Connector via l’appairage de réseaux virtuels. Des plages d’adresses IP source peuvent être spécifiées afin que l’accès RDP puisse être encore plus restreint, même au sein du réseau interne du client. Le client devra utiliser les informations d’identification du domaine pour se connecter à ces machines. Si le client travaille avec le support Citrix pour résoudre un problème, il peut être nécessaire de partager ces informations d’identification avec le personnel de support. Une fois le problème résolu, le client est responsable de la désactivation de l’accès RDP. Garder l’accès RDP ouvert à partir du réseau appairé ou local du client présente un risque de sécurité.
Informations d’identification du domaine
Si le client choisit d’utiliser un catalogue joint à un domaine, il lui incombe de fournir à Citrix DaaS un compte de domaine (nom d’utilisateur et mot de passe) avec les autorisations nécessaires pour joindre des machines au domaine. Lorsqu’il fournit des informations d’identification de domaine, le client doit respecter les principes de sécurité suivants :
- Audit : le compte doit être créé spécifiquement pour l’utilisation de Citrix DaaS de sorte qu’il soit facile d’auditer à quoi sert le compte.
- Étendue : le compte nécessite uniquement des autorisations pour joindre des machines à un domaine. Il ne doit pas s’agir d’un administrateur de domaine complet.
- Sécurité : Un mot de passe fort doit être placé sur le compte.
Citrix est responsable du stockage sécurisé de ce compte de domaine dans un trousseau de clés Azure dans l’abonnement Azure du client géré par Citrix. Le compte est récupéré uniquement si une opération nécessite le mot de passe du compte de domaine.
Informations supplémentaires
Pour obtenir des informations connexes, voir :
- Guide de déploiement sécurisé pour la plate-forme Citrix Cloud : informations de sécurité pour la plateforme Citrix Cloud.
- Vue d’ensemble de la sécurité technique : informations de sécurité pour Citrix DaaS.
- Avis de tiers