Citrix Virtual Apps and Desktops

Secure HDX (Technical Preview)

Secure HDX est une solution de cryptage au niveau de l’application (ALE) qui empêche tout élément de réseau sur le chemin du trafic de pouvoir inspecter le trafic HDX. Pour ce faire, il fournit un véritable cryptage de bout en bout (E2EE) au niveau de l’application entre l’application Citrix Workspace (client) et le VDA (hôte de session) à l’aide du cryptage AES-256-GCM.

Important :

Secure HDX est actuellement disponible en version Technical Preview. Cette fonctionnalité est fournie sans support et n’est pas encore recommandée pour une utilisation dans les environnements de production. Pour envoyer des commentaires ou signaler des problèmes, utilisez ce formulaire.

Configuration système requise

La liste suivante décrit la configuration requise pour utiliser Secure HDX.

  • Plan de contrôle
    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2402 ou ultérieure
  • Virtual Delivery Agent (VDA)
    • Windows : version 2402 ou ultérieure
  • Application Workspace
    • Windows : version 2402 ou ultérieure
  • Niveau d’accès
    • Citrix Workspace
    • Citrix StoreFront 2402 ou version ultérieure

Configuration

Secure HDX est désactivé par défaut. Vous pouvez configurer cette fonctionnalité à l’aide du paramètre HDX Secure dans la stratégie Citrix :

Secure HDX : définit s’il faut activer la fonctionnalité pour toutes les sessions, uniquement pour les connexions directes, ou la désactiver.

Considérations

Les points suivants sont à prendre en compte lors de l’utilisation de Secure HDX :

  • Si des utilisateurs essaient de se connecter à un hôte de session sur lequel Secure HDX est activé à l’aide d’un client qui ne prend pas en charge cette fonctionnalité, la connexion sera refusée.

  • Actuellement, Secure HDX ne prend pas en charge la continuité de service. Si vous activez la continuité de service dans votre environnement Citrix Cloud, il se peut que vous ne puissiez pas vous connecter à des hôtes de session sur lesquels Secure HDX est activé en cas de panne du service Cloud.

  • Si vous utilisez HDX Insight, notez que l’utilisation de Secure HDX empêche la collecte de données HDX Insight, car NetScaler n’est pas en mesure d’inspecter le trafic HDX crypté. Si vous devez utiliser HDX Insight, vous pouvez configurer Secure HDX pour l’activer uniquement lors des connexions directes.

  • Si vous utilisez SmartControl, notez que l’utilisation de Secure HDX empêche SmartControl de fonctionner, car NetScaler n’est pas en mesure d’inspecter le trafic HDX crypté. Si vous devez utiliser SmartControl, vous pouvez configurer Secure HDX pour l’activer uniquement lors de connexions directes.

  • L’ICA multi-stream n’est pas prise en charge lorsque Secure HDX est activé.

  • Si vous utilisez des solutions tierces qui reposent sur l’inspection du trafic HDX, elles ne fonctionneront plus si vous activez Secure HDX, car le trafic HDX est crypté.

Dépannage

Pour vérifier si Secure HDX est activé, vous pouvez exécuter l’utilitaire ctxsession.exe sur la machine VDA.

Pour exécuter l’utilitaire CtxSession.exe, lancez une invite de commandes ou PowerShell durant la session et exécutez ctxsession.exe -v. Si Secure HDX est activé, le cryptage ICA Encryption affiche SecureHDX AES-256 GCM.

Secure HDX

Lorsque Secure HDX ne s’active pas durant la session

  • Assurez-vous que la version du VDA utilisée prend en charge la fonctionnalité conformément à la configuration système requise.

  • Vérifiez qu’une stratégie est appliquée au VDA qui active HDX Direct et qu’aucune autre stratégie de priorité supérieure ne peut désactiver cette fonctionnalité.

  • Si la machine client se connecte via NetScaler Gateway ou Gateway Service, assurez-vous que Secure HDX n’est pas défini sur « Connexions directes uniquement ».

  • Si l’hôte de session était déjà en cours d’exécution lorsque vous avez configuré Secure HDX, redémarrez l’ordinateur pour garantir la prise d’effet des modifications.

Secure HDX (Technical Preview)