Gouvernance de la sécurité et conformité pour Citrix sur Azure
La gouvernance de la sécurité et la conformité sont essentielles pour les déploiements Citrix DaaS sur Azure. Pour atteindre l’excellence opérationnelle et le succès, concevez votre environnement Citrix DaaS avec des stratégies appropriées.
Considérations et recommandations relatives à la conception
Azure Policy est un outil important pour les déploiements Citrix sur Azure. Les stratégies peuvent vous aider à respecter les normes de sécurité définies par votre équipe de plateforme cloud. Les stratégies fournissent une application et des rapports automatiques pour prendre en charge la conformité réglementaire continue.
Passez en revue votre base de référence de stratégie avec votre équipe de plateforme conformément aux instructions fournies dans Zone de conception : gouvernance Azure. Appliquez des définitions de stratégie au groupe d’administration racine de niveau supérieur afin de pouvoir les attribuer à des étendues héritées.
Les sections suivantes sont axées sur les recommandations en matière d’identité, de réseau et d’antivirus.
- Les sections sur l’identité traitent de l’identité du service Citrix DaaS et de ses exigences.
- La section sur le réseau explore les exigences des groupes de sécurité réseau (NSG).
- La section sur l’antivirus fournit un lien vers les bonnes pratiques en matière de configuration de la protection antivirus dans un environnement DaaS.
Identité et rôles de principal de service
Les sections suivantes traitent de la création, des rôles et des exigences du principal de service Citrix DaaS.
Inscription d'application
L’inscription d’application est le processus de création d’une relation d’approbation unidirectionnelle entre un compte Citrix Cloud et Azure, de sorte que Citrix Cloud approuve Azure. Le processus d’inscription d’application crée un compte de principal de service Azure que Citrix Cloud peut utiliser pour toutes les actions Azure via la connexion d’hébergement. La connexion d’hébergement configurée dans la console Citrix Cloud lie Citrix Cloud à des emplacements de ressources dans Azure par le biais de Connecteurs cloud.
Vous devez accorder au principal de service l’accès aux groupes de ressources qui contiennent des ressources Citrix. En fonction de la posture de sécurité de votre organisation, vous pouvez fournir l’accès à l’abonnement au niveau Contributeur, ou créer un rôle personnalisé pour le principal de service.
Lorsque vous créez le service principal dans Microsoft Entra ID, définissez les valeurs suivantes :
- Ajoutez un URI de redirection et définissez-le sur Web avec la valeur
https://citrix.cloud.com. - Pour Autorisations d’API, ajoutez l’API Gestion des services Azure à partir de l’onglet API utilisées par mon organisation, puis sélectionnez la permission déléguée user_impersonation.
- Pour Certificats et secrets, créez une Nouvelle clé secrète client avec une période d’expiration recommandée d’un an. Vous devez tenir ce secret à jour dans le cadre de votre planification de permutation des clés de sécurité.
Vous avez besoin à la fois de l’ID d’application (client) et de la Valeur de la clé secrète client de l’inscription d’application pour définir la configuration de la connexion d’hébergement dans Citrix Cloud.
Applications d’entreprise
Vous pouvez ajouter une ou plusieurs applications d’entreprise Citrix Cloud à votre locataire Microsoft Entra, selon la configuration de Citrix Cloud et de Microsoft Entra. Ces applications permettent à Citrix Cloud d’accéder aux données stockées dans le locataire Microsoft Entra. Le tableau suivant répertorie les ID d’application et les fonctions des applications Citrix Cloud Enterprise dans Microsoft Entra ID.
| ID d’application d’entreprise | Objectif |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | Connexion par défaut entre Microsoft Entra ID et Citrix Cloud |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Invitations et connexions de l’administrateur |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | Connexion de l’abonné Workspace |
| 5c913119-2257-4316-9994-5e8f3832265b | Connexion par défaut entre Microsoft Entra ID et Citrix Cloud avec Citrix Endpoint Management |
| e067934c-b52d-4e92-b1ca-70700bd1124e | Connexion héritée entre Microsoft Entra ID et Citrix Cloud avec Citrix Endpoint Management |
Chaque application d’entreprise accorde à Citrix Cloud des autorisations spécifiques pour l’API Microsoft Graph ou l’API Microsoft Entra. Par exemple, l’application Connexion de l’abonné Workspace accorde des autorisations User.Read aux deux API, afin que les utilisateurs puissent se connecter et lire leurs profils. Pour plus d’informations sur les autorisations accordées, consultez Autorisations Microsoft Entra pour Citrix Cloud.
Rôles intégrés
Le rôle intégré Contributeur contient le jeu d’autorisations le plus large, et convient bien à l’attribution aux comptes de principal de service au niveau de l’abonnement. Vous devez disposer d’un compte d’administrateur général Microsoft Entra pour pouvoir accorder des permissions aux contributeurs au niveau de l’abonnement. Une fois ces autorisations accordées, Azure demande les autorisations requises lors de la connexion initiale entre Citrix Cloud et Microsoft Entra ID.
Tous les comptes utilisés pour l’authentification lors de la création de la connexion hôte doivent également être au moins coadministrateurs sur l’abonnement. Ce niveau d’autorisations permet à Citrix Cloud de créer des objets nécessaires sans restriction. En règle générale, vous adoptez cette approche lorsque l’abonnement entier est dédié aux ressources Citrix.
Certains environnements n’autorisent pas les principaux de service à disposer d’autorisations Contributeur au niveau de l’abonnement. Citrix fournit une solution alternative appelée principal de service à étendue étroite. Pour un service principal à étendue limitée, un administrateur général Microsoft Entra complète manuellement l’enregistrement de l’application, puis un administrateur d’abonnement accorde manuellement les autorisations appropriées au compte du service principal.
Les principaux de service à étendue étroite ne disposent pas des autorisations Contributeur sur l’abonnement entier, mais uniquement sur les groupes de ressources, les réseaux et les images nécessaires pour créer et gérer des catalogues de machines. Les principaux de service à étendue étroite nécessitent les autorisations Contributeur suivantes :
- Groupes de ressources précréés : Contributeur de machines virtuelles, Contributeur de comptes de stockage et Contributeur d’instantanés de disque
- Réseaux virtuels : Contributeur de machines virtuelles
- Comptes de stockage : Contributeur de machines virtuelles
Rôles personnalisés
Les principaux de service à étendue étroite, bien que limités en étendue, bénéficient toujours d’autorisations de Contributeur étendues, ce qui peut encore être inacceptable dans les environnements sensibles à la sécurité. Pour fournir une approche plus précise, vous pouvez utiliser deux rôles personnalisés afin de fournir aux principaux de service les autorisations nécessaires. Le rôle Citrix_Hosting_Connection accorde l’accès pour créer une connexion d’hébergement, et le rôle Citrix_Machine_Catalog accorde l’accès pour créer des charges de travail Citrix.
Rôle Citrix_Hosting_Connection
La description JSON suivante du rôle Citrix_Hosting_Connection a les autorisations minimales nécessaires pour créer une connexion d’hébergement. Si vous utilisez uniquement des instantanés ou uniquement des disques pour les images principales du catalogue de machines, vous pouvez supprimer l’autorisation inutilisée de la liste actions.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as Cloud Connectors, master images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read"
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Le rôle personnalisé Citrix_Hosting_Connection doit être attribué aux groupes de ressources Citrix_Infrastructure qui contiennent des ressources Connecteur cloud, d’image principale ou de réseau virtuel. Vous pouvez copier et coller cette description de rôle JSON directement dans votre définition de rôle Microsoft Entra personnalisée.
Rôle Citrix_Machine_Catalog
La description JSON suivante du rôle Citrix_Machine_Catalog a les autorisations minimales requises par l’Assistant Catalogue de machines Citrix pour créer les ressources nécessaires dans Azure.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "Minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that are running the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Attribuez le rôle personnalisé Citrix_Machine_Catalog aux groupes de ressources Citrix_MachineCatalog qui contiennent les machines virtuelles Citrix Virtual Delivery Agent (VDA). Vous pouvez copier et coller cette description de rôle JSON directement dans votre définition de rôle Microsoft Entra personnalisée.
Mise en réseau
Les NSG étant avec état, ils autorisent le trafic de retour qui peut s’appliquer à une machine virtuelle, à un sous-réseau ou aux deux. Lorsqu’il existe à la fois des NSG de sous-réseau et de machines virtuelles, les NSG de sous-réseau s’appliquent en premier au trafic entrant, et les NSG de machine virtuelle s’appliquent en premier au trafic sortant. Par défaut, tout le trafic entre les hôtes est autorisé au sein d’un réseau virtuel, ainsi que tout le trafic entrant provenant d’un équilibreur de charge. Par défaut, seul le trafic Internet sortant est autorisé, et tout autre trafic sortant est refusé.
En utilisant des NSG pour autoriser uniquement le trafic attendu dans l’environnement Citrix Cloud, vous pouvez limiter les vecteurs d’attaque potentiels et augmenter considérablement la sécurité du déploiement. Le tableau suivant liste les ports et protocoles réseau requis qu’un déploiement Citrix doit autoriser. Cette liste inclut uniquement les ports utilisés par l’infrastructure Citrix, et n’inclut pas les ports utilisés par vos applications. Veillez à définir tous les ports dans le NSG qui protège les machines virtuelles.
| Source | Destination | Protocol | Port | Objectif |
|---|---|---|---|---|
| Connecteurs cloud | *.digicert.com |
HTTP | 80 | Vérification de la révocation des certificats |
| Connecteurs cloud | *.digicert.com |
HTTPS | 443 | Vérification de la révocation des certificats |
| Connecteurs cloud | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Vérification de la révocation des certificats |
| Connecteurs cloud | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Vérification de la révocation des certificats |
| Connecteurs cloud | Connecteurs cloud | TCP | 80 | Communication entre les contrôleurs |
| Connecteurs cloud | Connecteurs cloud | TCP | 89 | Cache d’hôte local |
| Connecteurs cloud | Connecteurs cloud | TCP | 9095 | Service d’orchestration |
| Connecteurs cloud | VDA | TCP UDP | 1494 | Protocole ICA/HDX EDT nécessite UDP |
| Connecteurs cloud | VDA | TCP UDP | 2598 | Fiabilité de session EDT nécessite UDP |
| Connecteur cloud | VDA | TCP | 80 (bidirectionnel) | Découverte des applications et des performances |
| VDA | Service de passerelle | TCP | 443 | Protocole Rendezvous |
| VDA | Service de passerelle | UDP | 443 | UDP EDT sur 443 vers le service de passerelle |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP UDP | 443 | Domaines et sous-domaines de service de passerelle |
| Services de provisionnement Citrix | Connecteurs cloud | HTTPS | 443 | Intégration de Citrix Cloud Studio |
| Serveur de licences Citrix | Citrix Cloud | HTTPS | 443 | Intégration des licences Cloud Citrix |
| SDK PowerShell à distance CVAD | Citrix Cloud | HTTPS | 443 | Tout système exécutant des scripts PowerShell distants via le SDK |
| Agent WEM | Service WEM | HTTPS | 443 | Communication de l’agent vers le service |
| Agent WEM | Connecteurs cloud | TCP | 443 | Trafic d’inscription |
Si vous utilisez Citrix Application Delivery Management (ADM), consultez Configuration système requise pour connaître les exigences relatives au réseau et aux ports.
Antivirus
Le logiciel antivirus est un élément crucial pour la protection de l’environnement des utilisateurs finaux. La configuration appropriée de l’antivirus dans un environnement Citrix DaaS est la clé d’un fonctionnement fluide. Une configuration incorrecte de l’antivirus peut entraîner des problèmes de performances, une dégradation de l’expérience utilisateur, ou des expirations de délai d’attente et des défaillances de différents composants. Pour plus d’informations sur la configuration de l’antivirus dans votre environnement Citrix DaaS, consultez Document technique : Meilleures pratiques en matière de sécurité des terminaux, d’antivirus et de protection contre les programmes.
Étape suivante
Passez en revue les considérations et recommandations de conception critiques pour la continuité d’activité et la reprise d’activité (BCDR) propres au déploiement de Citrix sur Azure.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour