Gouvernance de la sécurité et conformité pour Citrix sur Azure
Les déploiements Citrix DaaS sur Azure nécessitent une gouvernance et une conformité de sécurité appropriées. Pour atteindre l’excellence opérationnelle et le succès, concevez votre environnement Citrix DaaS avec des stratégies appropriées.
Considérations et recommandations relatives à la conception
Azure Policy est un outil important pour les déploiements Citrix sur Azure. Les politiques peuvent vous aider à respecter les normes de sécurité définies par votre équipe de plateforme cloud. Pour assurer une conformité réglementaire continue, les politiques peuvent automatiquement appliquer des réglementations et fournir des rapports.
Examinez votre base de politiques avec votre équipe de plateforme conformément aux directives de gouvernance Azure. Appliquez les définitions de politique au niveau racine du groupe d’administration principal afin de pouvoir assigner des définitions aux étendues héritées.
Cet article se concentre sur les recommandations concernant l’identité, la mise en réseau et les antivirus.
Les sections sur l’identité décrivent l’identité du service Citrix DaaS et ses exigences.
La section sur la mise en réseau décrit les exigences des groupes de sécurité réseau (NSG).
La section sur les antivirus fournit un lien vers les bonnes pratiques pour configurer la protection antivirus dans un environnement DaaS.
Identité et rôles de principal de service
Les sections suivantes décrivent la création, les rôles et les exigences des principaux services Citrix DaaS.
Inscription d'application
L’enregistrement d’application est le processus de création d’une relation de confiance unidirectionnelle entre un compte Citrix Cloud et Azure afin que Citrix Cloud fasse confiance à Azure. Le processus d’enregistrement d’application crée un compte principal de service Azure que Citrix Cloud peut utiliser pour toutes les actions Azure via la connexion d’hébergement. La connexion d’hébergement configurée dans la console Citrix Cloud relie Citrix Cloud aux emplacements de ressources dans Azure via les connecteurs cloud.
Vous devez accorder au principal de service l’accès aux groupes de ressources qui contiennent des ressources Citrix. En fonction de la posture de sécurité de votre organisation, vous pouvez soit fournir un accès à l’abonnement au niveau Contributeur, soit créer un rôle personnalisé pour le principal du service.
Lorsque vous créez le service principal dans Microsoft Entra ID, définissez les valeurs suivantes :
Ajoutez un URI de redirection et définissez-le sur Web avec la valeur
https://citrix.cloud.com.Pour Autorisations d’API, ajoutez l’API Gestion des services Azure à partir de l’onglet API utilisées par mon organisation, puis sélectionnez la permission déléguée user_impersonation.
Pour les Certificats & secrets, créez un nouveau secret client avec une période d’expiration recommandée d’un an. Vous devez régulièrement mettre à jour ce secret dans le cadre de votre calendrier de rotation des clés de sécurité.
Vous avez besoin à la fois de l’ID d’application (client) et de la Valeur du secret client issus de l’enregistrement d’application pour configurer la connexion d’hébergement au sein de Citrix Cloud.
Applications d’entreprise
Selon la configuration de votre Citrix Cloud et de Microsoft Entra, vous pouvez ajouter une ou plusieurs applications d’entreprise Citrix Cloud à votre locataire Microsoft Entra. Ces applications accordent à Citrix Cloud l’accès aux données stockées dans le locataire Microsoft Entra. Le tableau suivant répertorie les ID d’application et les fonctions des applications d’entreprise Citrix Cloud dans Microsoft Entra ID.
| ID de l’application d’entreprise | Objectif |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | La connexion par défaut entre Microsoft Entra ID et Citrix Cloud |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | Invitations et connexions de l’administrateur |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | La connexion de l’abonné à l’espace de travail |
| 5c913119-2257-4316-9994-5e8f3832265b | La connexion par défaut entre Microsoft Entra ID et Citrix Cloud avec Citrix Endpoint Management |
| e067934c-b52d-4e92-b1ca-70700bd1124e | La connexion héritée entre Microsoft Entra ID et Citrix Cloud avec Citrix Endpoint Management |
Chaque application d’entreprise accorde à Citrix Cloud des autorisations spécifiques soit à l’API Microsoft Graph, soit à l’API Microsoft Entra. Par exemple, l’application de connexion de l’abonné à l’espace de travail accorde les autorisations User.Read aux deux API pour que les utilisateurs puissent se connecter et lire leurs profils. Pour plus d’informations, veuillez consulter la section Autorisations Microsoft Entra pour Citrix Cloud.
Rôles intégrés
Après avoir créé le principal de service, accordez-lui le rôle de Contributeur au niveau de l’abonnement. Pour accorder des autorisations de Contributeur au niveau de l’abonnement, vous devez avoir au moins le rôle d’administrateur du contrôle d’accès basé sur les rôles Azure (RBAC). Azure demande les autorisations nécessaires lors de la connexion initiale entre Citrix Cloud et Microsoft Entra ID.
Tout compte utilisé pour l’authentification lors de la création de la connexion d’hébergement doit également être au moins Contributeur sur l’abonnement. Ce niveau d’autorisations permet à Citrix Cloud de créer des objets nécessaires sans restriction. Généralement, vous utilisez cette approche lorsque l’abonnement entier ne contient que des ressources Citrix.
Certains environnements n’autorisent pas les principaux de service à disposer d’autorisations Contributeur au niveau de l’abonnement. Citrix fournit une solution alternative appelée principal de service à étendue étroite. Pour un principal de service à étendue étroite, un administrateur d'application cloud complète manuellement l’inscription de l’application, puis un administrateur d’abonnement accorde manuellement les autorisations appropriées au compte du principal de service.
Les principaux de service à portée limitée n’ont pas les autorisations de Contributeur sur l’intégralité de l’abonnement. Ils disposent uniquement des autorisations sur les groupes de ressources, les réseaux et les images dont ils ont besoin pour créer et gérer des catalogues de machines. Les principaux de service à portée limitée nécessitent les rôles suivants :
Les groupes de ressources précréés nécessitent un Contributeur de machine virtuelle, un Contributeur de compte de stockage, et un Contributeur de capture instantanée de disque.
Les réseaux virtuels nécessitent un Contributeur de machine virtuelle.
Les comptes de stockage nécessitent un Contributeur de machine virtuelle.
Rôles personnalisés
Les principaux de service à portée limitée ont de larges autorisations de Contributeur, ce qui peut ne pas convenir aux environnements sensibles à la sécurité. Pour fournir une approche plus précise, vous pouvez utiliser deux rôles personnalisés afin de fournir aux principaux de service les autorisations nécessaires. Le rôle Citrix_Hosting_Connection accorde l’accès pour créer une connexion d’hébergement, et le rôle Citrix_Machine_Catalog accorde l’accès pour créer des charges de travail Citrix.
Rôle Citrix_Hosting_Connection
La description JSON suivante du rôle Citrix_Hosting_Connection contient les autorisations minimales nécessaires pour créer une connexion d’hébergement. Si vous n’utilisez que des captures instantanées ou uniquement des disques pour les images dorées de catalogue de machines, vous pouvez supprimer l’autorisation inutilisée de la liste actions.
{
"id": "",
"properties": {
"roleName": "Citrix_Hosting_Connection",
"description": "Minimum permissions to create a hosting connection. Assign to resource groups that contain Citrix infrastructure such as cloud connectors, golden images, or virtual network resources.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Assignez le rôle personnalisé Citrix_Hosting_Connection aux groupes de ressources Citrix_Infrastructure qui contiennent des connecteurs cloud, des images dorées ou des ressources de réseaux virtuels. Vous pouvez copier et coller cette description de rôle JSON directement dans votre définition de rôle Microsoft Entra personnalisée.
Rôle Citrix_Machine_Catalog
La description JSON suivante du rôle Citrix_Machine_Catalog contient les autorisations minimales nécessaires pour que l’assistant Citrix Machine Catalog crée les ressources requises dans Azure.
{
"id": "",
"properties": {
"roleName": "Citrix_Machine_Catalog",
"description": "The minimum permissions to create a machine catalog. Assign to resource groups that contain Citrix workload servers that run the Virtual Delivery Agent.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/performMaintenance/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/convertToManagedDisks/action",
"Microsoft.Compute/virtualMachines/capture/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Storage/storageAccounts/listServiceSas/action",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Attribuez le rôle personnalisé Citrix_Machine_Catalog aux groupes de ressources Citrix_MachineCatalog qui contiennent les machines virtuelles Citrix Virtual Delivery Agent (VDA). Vous pouvez copier et coller cette description de rôle JSON directement dans votre définition de rôle Microsoft Entra personnalisée.
Mise en réseau
Les NSG étant avec état, ils autorisent le trafic de retour qui peut s’appliquer à une machine virtuelle, à un sous-réseau ou aux deux. Lorsqu’il existe à la fois des NSG de sous-réseau et de machines virtuelles, les NSG de sous-réseau s’appliquent en premier au trafic entrant, et les NSG de machine virtuelle s’appliquent en premier au trafic sortant. Par défaut, un réseau virtuel permet tout le trafic entre les hôtes et tout le trafic entrant provenant d’un équilibreur de charge. Par défaut, un réseau virtuel ne permet que le trafic Internet sortant et refuse tout autre trafic sortant.
Pour limiter les vecteurs d’attaque potentiels et améliorer la sécurité du déploiement, utilisez des NSG pour n’autoriser que le trafic attendu dans l’environnement Citrix Cloud. Le tableau suivant liste les ports et protocoles réseau requis qu’un déploiement Citrix doit autoriser. Cette liste inclut uniquement les ports utilisés par l’infrastructure Citrix et n’inclut pas les ports utilisés par vos applications. Dans le NSG qui protège les VM, veillez à définir tous les ports.
| Source | Destination | Protocol | Port | Objectif |
|---|---|---|---|---|
| Connecteurs cloud | *.digicert.com |
HTTP | 80 | Vérification de la révocation de certificat |
| Connecteurs cloud | *.digicert.com |
HTTPS | 443 | Vérification de la révocation de certificat |
| Connecteurs cloud | dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | Vérification de la révocation de certificat |
| Connecteurs cloud | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 | Vérification de la révocation de certificat |
| Connecteurs cloud | Connecteurs cloud | Protocole TCP (Transmission Control Protocol) | 80 | Communication entre les contrôleurs |
| Connecteurs cloud | Connecteurs cloud | TCP | 89 | Cache d’hôte local |
| Connecteurs cloud | Connecteurs cloud | TCP | 9095 | Service d’orchestration |
| Connecteurs cloud | VDA | TCP, Protocole de datagramme utilisateur (UDP) | 1494 | Protocole ICA/HDX Enlightened Data Transport (EDT) nécessite UDP |
| Connecteurs cloud | VDA | TCP, UDP | 2598 | Fiabilité de session EDT nécessite UDP |
| Connecteur cloud | VDA | TCP | 80 (bidirectionnel) | Découverte des applications et des performances |
| VDA | Service de passerelle | TCP | 443 | Protocole Rendezvous |
| VDA | Service de passerelle | UDP | 443 | EDT et UDP sur 443 vers le service Gateway |
| VDA | *.nssvc.net *.c.nssv.net *.g.nssv.net |
TCP, UDP | 443 | Domaines et sous-domaines de service de passerelle |
| Services de provisionnement Citrix | Connecteurs cloud | HTTPS | 443 | Intégration de Citrix Cloud Studio |
| Serveur de licences Citrix | Citrix Cloud | HTTPS | 443 | Intégration des licences Cloud Citrix |
| SDK PowerShell à distance CVAD | Citrix Cloud | HTTPS | 443 | Tout système exécutant des scripts PowerShell à distance via le SDK |
| Agent de gestion de l’environnement de l’espace de travail (WEM) | Service WEM | HTTPS | 443 | Communication de l’agent vers le service |
| Agent WEM | Connecteurs cloud | TCP | 443 | Trafic d’inscription |
Pour obtenir des informations sur les exigences réseau et de port pour Citrix Application Delivery Management, veuillez consulter la section Exigences système.
Antivirus
Les logiciels antivirus sont un élément crucial pour la protection de l’environnement utilisateur. Pour assurer un fonctionnement fluide, configurez correctement l’antivirus dans un environnement Citrix DaaS. Une mauvaise configuration de l’antivirus peut entraîner des problèmes de performance, une dégradation de l’expérience client, ou des délais d’attente et des échecs de divers composants. Pour plus d’informations sur la configuration de l’antivirus dans votre environnement Citrix DaaS, veuillez consulter la section Bonnes pratiques concernant la sécurité des points de terminaison, les antivirus et les anti-programmes malveillants.
Étape suivante
Examinez les considérations et recommandations de conception critiques pour la continuité des activités et la récupération d’urgence spécifiques au déploiement de Citrix sur Azure.