Document technique : Meilleures pratiques en matière de sécurité pour Citrix Virtual Apps and Desktops

Clause de non-responsabilité : Ces informations sont fournies « EN L’ÉTAT » sans garantie d’aucune sorte. Il est fourni à titre informatif uniquement et peut être modifié à tout moment à la seule discrétion de Citrix.

Introduction

Les organisations internationales, y compris les services de santé, les administrations et les services financiers, font confiance à Citrix Virtual Apps and Desktops (CVAD) pour fournir un accès distant sécurisé aux environnements et aux applications. Lorsqu’il est correctement configuré, le CVAD peut fournir des mesures de sécurité qui vont bien au-delà de ce qui est disponible nativement dans les systèmes d’exploitation d’entreprise. Citrix fournit des contrôles supplémentaires que vous pouvez activer à l’aide de la virtualisation.

Ce document technique présente des recommandations et des ressources pour vous aider à établir une base de sécurité pour votre environnement virtualisé. Nous soulignons certaines des améliorations de sécurité les plus importantes que vous pouvez apporter. Essayez toujours de telles modifications dans un environnement de test ou de développement avant de modifier votre environnement de production. Les tests peuvent vous aider à éviter des problèmes ou des résultats inattendus.

Ce document technique utilise la méthodologie traditionnelle en couches développée par les services professionnels Citrix :

Dans le modèle en couches Citrix, la sécurité ne possède pas sa propre couche. Tout processus de sécurité ou fonctionnalité de sécurité est étroitement lié entre les couches. Il est essentiel que la sécurité soit couverte dans l’ensemble d’une infrastructure, y compris les processus qui l’entourent.

L’entreprise doit-elle respecter des normes de sécurité spécifiques pour satisfaire aux exigences réglementaires ? Ce document ne couvre pas ce sujet, car ces normes de sécurité évoluent au fil du temps. Pour obtenir des informations actualisées sur les normes de sécurité et les produits Citrix, consultezInformations sur la sécurité et la conformitéetCitrix Trust Center.

Couche utilisateur et appareil

Comment une entreprise permet-elle à ses utilisateurs finaux de se connecter à des bureaux virtuels ? Des options telles que Bring Your Own Device (BYOD) ou des appareils fournis par l’entreprise sont disponibles. Les deux ont leurs propres frais généraux opérationnels. Le modèle de mise à disposition des points de terminaison peut avoir de nombreuses implications en termes de conception, notamment des décisions concernant les fonctionnalités pouvant être déchargées vers le point Un utilisateur se connectant à partir d’un appareil BYOD peut ne pas avoir accès au presse-papiers, au mappage du lecteur client (CDM) ou à l’impression. Un utilisateur se connectant à partir d’un appareil appartenant à l’entreprise « de confiance » peut avoir accès au presse-papiers et aux lecteurs locaux. Il n’existe pas de « taille unique » pour les terminaux. Les clients des points de terminaison doivent être sélectionnés en fonction du cas d’utilisation, de la mobilité, des performances, du coût et des exigences de sécurité

Verrouillage de l’appareil

Le dispositif terminal peut être utilisé comme vecteur d’attaque, y compris des attaques telles que des enregistreurs de frappe ou des points d’entrée dans le réseau. L’avantage de l’utilisation de Citrix est la réduction du point d’entrée de la souris, du clavier et des actualisations d’écran. Les utilisateurs peuvent avoir besoin de fonctionnalités supplémentaires, telles que l’accès aux lecteurs clients locaux, aux fonctions d’impression et au presse-papiers. Cette fonctionnalité est configurable à l’aide des stratégies Citrix. Citrix dispose des contrôles nécessaires pour réduire le risque de vecteurs d’attaque tels que l’anti-keylogging et la désactivation des points d’entrée et de sortie.

Ces questions sont toutes destinées aux équipes de support informatique lorsqu’elles déploient des appareils auprès des utilisateurs finaux.

• Les utilisateurs ont-ils besoin d’autorisations administratives locales sur l’appareil ?
• Quels autres logiciels sont en cours d’exécution sur le terminal ? D’autres logiciels peuvent-ils être installés ?
• L’utilisateur dispose-t-il d’une fonction VPN ?
• Qui met à jour l’appareil en termes de correction du système d’exploitation et des applications ?
• À quelles ressources le terminal peut-il accéder ?
• Qui a accès au point final lui-même ?

Journalisationdes terminaux

Même si un utilisateur ne peut pas installer de logiciel sur le terminal, assurez-vous que les journaux sont activés et capturés de manière centralisée. Les journaux peuvent vous aider à comprendre ce qui s’est produit lors d’une violation. Ils peuvent également être remis à des analystes judiciaires pour un examen plus approfondi. La journalisation est un élément crucial de tout environnement et de ses processus de surveillance de la sécurité. Il est également recommandé de transmettre tous les journaux à un système de gestion des informations et des événements de sécurité (SIEM). Ce détail vous permet de définir des alertes pour les méthodes d’attaque connues ou d’autres événements clés.

Comme pour tout type de collecte de données, il est important non seulement de collecter des données, mais aussi de pouvoir les analyser. Il est facile de se laisser submerger par la quantité de données déclarées. Assurez-vous de pouvoir détecter une alerte potentielle et y répondre.

Terminaux clients légers

在我们的场景中,莱斯环城公路clients légers sont parfaits pour les environnements à haut risque. Les clients légers exécutent une version spécialisée d’un système d’exploitation, ne disposant que d’un système d’exploitation et d’une application suffisants pour se connecter à une session Citrix. Dans ce scénario, l’application de correctifs présente des avantages. Avec les clients légers, il existe un nombre limité d’applications à corriger et à maintenir. Généralement, les systèmes d’exploitation ont un encombrement réduit. Étant donné que les appareils disposent d’un système d’exploitation simplifié et spécialement conçu, les données au repos sur le terminal sont limitées.

Pour les terminaux clients légers qui exécutent un système d’exploitation complet, l’utilisation de filtres d’écriture pour arrêter la persistance des données est utile. La réinitialisation des terminaux lors d’un redémarrage réduit le risque qu’un attaquant conserve des données sur le terminal qui peuvent être utilisées pour formuler une attaque. Assurez-vous de ne pas détruire les journaux et autres données critiques, car cela est nécessaire pour des analyses judiciaires ultérieures. Les terminaux clients légers présentent l’avantage supplémentaire d’être généralement moins chers à l’achat et à la maintenance que les ordinateurs de bureau ou portables traditionnels.

Application de correctifs

La gestion des correctifs doit être l’une des principales considérations à prendre en compte lors du choix d’un point de terminaison. Comment l’entreprise applique-t-elle les correctifs de sécurité aux points de terminaison ? Dans la plupart des environnements Windows traditionnels, les machines reçoivent des correctifs via Windows Services Update Service (WSUS), System Center Configuration Manager (SCCM) ou d’autres services automatisés. Ces services sont très utiles si le service informatique de l’entreprise gère le terminal.

Qu’en est-il du BYOD ? Qui patche ces appareils pour s’assurer qu’ils sont à jour ? Avec la croissance rapide du télétravail, l’application de correctifs aux terminaux devient plus compliquée. Les stratégies doivent être définies avec des responsabilités claires pour l’utilisateur. Cette stratégie est nécessaire pour garantir que les utilisateurs savent comment appliquer des correctifs et des mises à jour sur leurs appareils. De simples notifications sur la page de connexion suggérant qu’une nouvelle mise à jour a été publiée et qu’elles doivent être corrigées dès que possible sont une méthode. Vous pouvez également utiliserEndpoint Analysis Scans (EPA)sur le terminal pour refuser l’accès à l’infrastructure, sauf s’il exécute un logiciel à jour.

Il est également important de s’assurer que l’application Citrix Workspace est corrigée et à jour sur le terminal. Citrix fournit non seulement des améliorations de fonctionnalités, mais également des correctifs de sécurité dans les nouvelles versions.

Stratégies de protection des applications

L’utilisateur final est largement considéré comme la pièce la plus faible sur la surface d’attaque d’une organisation. Il est devenu pratique courante pour les attaquants d’utiliser des méthodes sophistiquées pour tromper les utilisateurs pour qu’ils installent des logiciels malveillants sur leurs terminaux. Une fois installé, le logiciel malveillant peut collecter et exfiltrer en silence des données sensibles. Les informations d’identification de l’utilisateur, les informations sensibles, la propriété intellectuelle de l’entreprise ou les données confidentielles sont ciblées. Les points de terminaison deviennent une surface de menace encore plus exposée avec l’augmentation du nombre d’appareils BYO. Et lorsque vous accédez aux ressources de l’entreprise depuis des points de terminaison non gérés. Avec de nombreux utilisateurs travaillant à domicile, le risque pour les organisations est accru en raison de la méfiance de l’appareil terminal.

Grâce à l’utilisation d’applications et de postes virtuels, la surface d’attaque des points de terminaison a été considérablement réduite. Les données sont stockées de manière centralisée dans un centre de données et il est beaucoup plus difficile pour l’attaquant de les voler. La session virtuelle ne s’exécute pas sur le point de terminaison et les utilisateurs n’ont généralement pas l’autorisation d’installer des applications au sein de la session virtuelle. Les données de la session sont sécurisées dans le centre de données ou l’emplacement des ressources cloud. Toutefois, un point de terminaison compromis peut capturer les frappes de touches de session et les informations affichées sur le point de terminaison. Citrix offre aux administrateurs la possibilité de prévenir ces vecteurs d’attaque, à l’aide d’une fonctionnalité complémentaire appelée Protection des applications. Cette fonctionnalité permet aux administrateurs CVAD d’appliquer des stratégies spécifiques à un ou plusieurs groupes de mise à disposition. Lorsque les utilisateurs se connectent à des sessions à partir de ces groupes de mise à disposition, le point de terminaison de l’utilisateur a soit la capture d’écran ou l’anti-journalisation des clés, soit les deux appliqués sur les terminaux.

Vous trouverez plus d’informations dans lafiche technique des stratégies de protection des applications.

Gestion de compte

Au niveau des utilisateurs et des appareils, l’accent a été mis sur la sécurité des appareils. Des éléments tels que la création de comptes utilisateur et les processus d’autorisation d’attribution de ressources doivent être centralisés et gérés efficacement. Souvent, les comptes sont simplement « copiés » à partir d’utilisateurs ayant des rôles similaires. Cela peut accélérer l’intégration, mais cela crée une dérive en termes d’autorisations et d’adhésions non autorisées à des groupes au sein du répertoire central. La copie des autorisations d’un utilisateur à partir d’un compte précédent peut également entraîner un accès non autorisé aux données. Idéalement, le propriétaire des données doit autoriser toute demande de groupe avant d’être autorisé à y accéder.

Le démantèlement des comptes peut être simple s’il est correctement intégré aux systèmes RH. Parfois, les entreprises ont besoin d’intégrer et de retirer des ressources de tiers. Comptes fournisseurs et assistance supplémentaire pendant les périodes de forte activité et lors de l’externalisation des activités. Comment ces comptes sont-ils mis hors service et finalement supprimés ? Dans le meilleur des cas, l’entreprise dispose de procédures clairement définies pour l’intégration et la sortie de toute ressource contractuelle. Terminez le départ avec des dates de fin définies au minimum, désactivez le compte et déplacez-vous dans une « unité d’organisation en attente » dans Active Directory. Elle doit ensuite être supprimée lorsque la ressource est confirmée comme n’étant plus nécessaire. En fin de compte, nous ne voulons pas que les entrepreneurs se connectent des mois après avoir quitté l’entreprise.

Couche d’accès

Dans le processus de conception Citrix, la couche Access est l’endroit où les utilisateurs s’authentifient. Ici, les stratégies nécessaires sont appliquées et l’accès dynamique basé sur le contexte est évalué. Le niveau d’accès est conçu avec un haut niveau de sécurité à l’esprit et est essentiel.

Dans la section suivante, nous allons couvrir les principales tâches permettant de mieux sécuriser votre déploiement Citrix ADC. Il existe deux types de déploiement courants pour les Citrix ADC. L’une d’entre elles consiste à utiliser l’ADC comme proxy pour les déploiements CVAD. L’autre méthode consiste à améliorer la disponibilité et la sécurité des applications d’équilibrage de charge. Le fait de suivre les détails contenus dans ce document vous aide à réduire le risque et l’exposition aux éléments avec lesquels Citrix ADC interagit.

Authentification forte

L’authentification forte est recommandée pour toutes les connexions externes à un système interne. Malheureusement, il existe un grand nombre de noms d’utilisateur et de mots de passe qui peuvent être recherchés par des attaquants. Ils proviennent de brèches et de fuites passées, avec plus de 12,3 milliards d’enregistrements. Ce chiffre augmente les risques d’intrusion dans votre entreprise, au fur et à mesure que d’autres sont disponibles. La réutilisation d’un mot de passe est courante chez presque tout le monde dans le monde, et votre entreprise peut être mise en danger en raison des mauvaises habitudes de mot de passe de vos utilisateurs. Un nom d’utilisateur et un mot de passe ne doivent pas être votre seul moyen de défense contre vos applications. Vous ne devez pas faire confiance à des personnes qui n’ont que deux informations qui peuvent être facilement volées. L’ajout d’une authentification multifacteur à toutes les applications n’est pas toujours réalisable avec le flux de travail de l’utilisateur, mais nous recommandons de le déployer dans la mesure du possible, en particulier pour l’accès externe.

Vous trouverez de plus amples informations dans ladocumentation du produit.

Cryptage HDX

Depuis longtemps, il est devenu standard d’activer RC5 — 128 bits comme cryptage de sécurité pour le flux HDX/ICA. Il fournit un niveau de sécurité sur le flux ICA. Nous recommandons d’activer le protocole SSL du VDA sur le flux ICA entre le point de terminaison et le VDA. Activez SSL entre l’ADC et le VDA pour un niveau de chiffrement supplémentaire. La configuration lie un certificat au service Desktop. Il crypte le flux ICA selon la norme donnée du certificat lié. Pour plus d’informations sur la façon de réaliser ce processus, consultezCTX220062.

Chiffrements SSL/TLS

Validez les chiffrements TLS (Transport Layer Security) et le score SSL pour toutes les VIP externes (Citrix Gateway). Les protocoles SSL et TLS ont connu de nombreuses vulnérabilités au cours des dernières années. Assurez-vous d’utiliser toutes les meilleures pratiques TLS, car elles sont en constante évolution. Assurez-vous que les anciens protocoles tels que SSLv3, TLS 1.0 et TLS 1.1 sont désactivés.

Le choix entre un certificat Wildcard ou un certificat SAN est un autre aspect de ce processus. Les caractères génériques peuvent être rentables, mais ils peuvent également être plus compliqués. Les expirations de certificats ont un impact important sur les déploiements avec un grand nombre d’hôtes. Toutefois, un certificat SAN peut être un caractère générique restreint pour seulement 2 à 5 sites. Le tout avec la possibilité d’utiliser plus d’un TLD dans le même certificat.

Lisez lesmeilleures pratiques SSL/TLS Citrix Networkingpour connaître les dernières recommandations.

Chiffrement XML

Assurez-vous que votre trafic XML entre le Delivery Controller ou le Cloud Connector et les serveurs StoreFront est toujours chiffré. L’objectif est d’empêcher une personne disposant d’un accès simple au réseau de voir ce qui est demandé par les utilisateurs. Des certificats sont requis pour chaque serveur ainsi que la modification de la configuration de chaque serveur pour utiliser le nouveau port chiffré (par défaut, le port 443). Vous trouverez de plus amples informations dans ladocumentation du produit.

Recommandation de sécurité élevée- Pour un déploiement hautement sécurisé, il est recommandé d’utiliser des ports non standard pour l’obscurcissement. Assurez-vous également que des pare-feu sont configurés entre les rôles de serveur pour le trafic XML afin de contrôler le trafic de manière bidirectionnelle.

SSL StoreFront

Nous vous recommandons vivement d’utiliser une URL de base cryptée pour tout déploiement StoreFront. Le chiffrement garantit que ni les informations d’identification ni les données de lancement de session ne traversent un réseau sans protection de transport Dans la plupart des déploiements, le certificat peut être émis par une autorité de certification interne. Ces serveurs sont derrière un déploiement Citrix ADC dans le cadre des paramètresde profil ICApour Citrix Gateway pour périphériques externes. Ou ils se trouvent derrière une VIP Citrix ADC qui est généralement accessible uniquement par les appareils internes. Assurez-vous d’utiliser des chiffrements forts et TLS 1.1 ou 1.2 pour les communications avec le serveur. Les détails de ce processus sont décrits dansla documentation Microsoft.

Recommandation de sécurité élevée: dans les déploiements hautement sécurisés, nous vous recommandons d’activer la signature de fichier ICA pour garantir la fiabilité des fichiers reçus par l’application Citrix Workspace. Ce processus est décrit dans ladocumentation produit StoreFront.

Chiffrement VDA

Le chiffrement VDA est généralement l’un des derniers éléments configurés pour renforcer la sécurité du transport de session. La configuration est terminée sur le VDA et sur les objets du groupe de mise à disposition.

Recommandation haute sécurité: dans les déploiements haute sécurité, nous recommandons d’activer le chiffrement VDA afin de mieux protéger le transport des informations de session Citrix. L’utilisation d’un script PowerShell est la méthode la plus simple, et le processus est décrit dansla documentation produit.

Contrôle de l’accès physique

Les appliances Citrix ADC doivent être déployées dans un emplacement sécurisé avec un contrôle d’accès physique suffisant pour les protéger contre les accès non autorisés. Cette exigence s’applique aux modèles physiques et à leurs ports COM. Elle s’applique également aux modèles virtuels sur les hôtes de virtualisation et aux connexions ILO \ DRAC associées. Pour plus d’informations, consultez ladocumentation produit Citrix ADC - Bonnes pratiques en matière de sécurité physique.

Modifier les mots de passe

Avoir un mot de passe par défaut connu de la communauté informatique représente un risque énorme. Il existe des scanners réseau qui peuvent rechercher les informations d’identification par défaut utilisées sur un réseau donné. L’efficacité de ces scanners peut facilement être atténuée, voire éliminée, en changeant simplement le mot de passe par défaut. Tous les mots de passe des comptes de service doivent être stockés dans un emplacement sécurisé tel qu’un gestionnaire de mots de passe. Le stockage sécurisé de tous les mots de passe des comptes de service est une norme fondamentale de sécurité des informations. Le mot de passe de chaque rôle et déploiement (paire HA) doit être unique et les informations d’identification ne doivent jamais être réutilisées. Pour plus d’informations, consultez ladocumentation produit Citrix ADC - Modifier les mots de passe par défaut.

• nsroot- Modifiez la valeur par défaut lorsque vous démarrez la configuration initiale du périphérique. Ce compte permet un accès administratif complet et la protection de ce mot de passe doit être la priorité numéro un lors du déploiement de ce système. Si vous déployez un nouveau système Citrix ADC en 2020, il utilise le numéro de série de l’appliance comme mot de passe par défaut.
  • Créez un deuxième superutilisateur qui peut être utilisé en cas d’urgence lorsque l’authentification externe est arrêtée. Utilisez ce compte au lieu dunsrootcompte par défaut. Pour plus d’informations, consultez ladocumentation produit Citrix ADC - Créer un compte superutilisateur alternatif
  • Les utilisateurs SDX doivent également créer un profil administratif pour configurer le mot de passe administrateur par défaut pour chaque instance VPX provisionnée. Nous vous recommandons de créer un profil d’administrateur différent pour chaque instance. Chaque paire HA possède le même mot de passe mais est unique aux autres instances. Pour plus d’informations, consultezl’article de la base de connaissances CTX215678
• Lights on Management (LOM): ce compte est courant sur de nombreuses plates-formes physiques Citrix ADC. Il permet d’accéder à la ligne de commande et à la gestion de l’alimentation de l’appareil. Il possède également des mots de passe par défaut qui doivent être modifiés lors de la configuration initiale afin d’empêcher tout accès à distance non autorisé.
• Mot de passe Key-Encryption-Key (KEK)— Cette configuration crypte les zones de mot de passe sensibles localement sur chaque appliance. Vous trouverez plus d’informationsdans le chapitre KEK.
• Compte administrateur de la SVM: ce changement de compte et de mot de passe s’applique uniquement aux plates-formes Citrix ADC SDX. Il possède lensrootmot de passe par défaut et n’utilise pas le numéro de série comme les appareils physiques. Le mot de passe doit être modifié lors de sa configuration initiale afin d’empêcher tout accès à distance non autorisé.

Sécuriser le trafic NSIP depuis tous les accès réseau

Chaque appareil de votre réseau doit se voir refuser la possibilité de gérer vos appliances Citrix ADC. Vos adresses IP de gestion doivent se trouver dans un VLAN où vous contrôlez le trafic entrant et sortant. Cette configuration garantit que seuls les postes de travail privilégiés autorisés ou d’autres réseaux autorisés peuvent y accéder à des fins de gestion. Bon nombre des vulnérabilités découvertes au cours des 10 dernières années sont liées à l’accès aux NSIP. En sécurisant ces adresses IP de manière contrôlée, vous pouvez réduire considérablement ce vecteur d’attaque ou l’éliminer complètement. Chaque fois que vous limitez l’accès à la gestion d’un système informatique, vous devez le documenter de manière exhaustive. Il est préférable de mettre en place des plans de continuité des activités afin d’en comprendre clairement l’impact.

• Assurez-vous que la gestion n’est pas activée sur les adresses IP de sous-réseau (SNIP) et les adresses IP mappées (MIP). Si la gestion est activée, votre réseau DMZ aura accès à la console de gestion via le SNIP ou le MIP.
• Pour vérifier cela, accédez à votre SNIP ou MIP via HTTP et HTTPS. Dans la console, accédez à Système — Réseau — IP et sélectionnez l’adresse IP pour voir si la case à cocher Gestion est activée.
• Vous pouvez également utiliser des listes de contrôle d’accès pour limiter l’accès à la gestion de l’appliance ADC. La limitation à des hôtes ou sous-réseaux spécifiques peut être effectuée sans que l’interface de gestion soit placée derrière un pare-feu. Vous trouverez plus d’informations dansCTX228148 - How to Lock Down Citrix ADC Management Interfaces with ACLandCitrix ADC documentation produit - Network security.
• Si vous placez vos Citrix ADC derrière un pare-feu, vous devez planifier en fonction des services fournis par l’appliance. Prévoyez également l’accès à l’interface de gestion de chaque appareil. Prévoyez également des périphériques de maintenance ou de sécurité tels que Citrix Application Delivery Management (ADM) et Citrix Analytics. Vous trouverez plus d’informations dansles sections Ports de communication utilisés par Citrix Technologies) etCTX113250 - Exemple de configuration DMZ.
• Dans les déploiements à sécurité plus élevée, vous pouvez également modifier les ports de gestion par défaut HTTP (TCP 80) et HTTPS (TCP 443). Modifiez-les par un port personnalisé pour créer un brouillage et empêcher l’identification lors d’analyses classiques. Chaque appareil doit être changé individuellement. Vous trouverez plus d’informations dans ladocumentation produit Citrix ADC.
• Limitez tout le trafic sortant (sortant) et entrant (entrant) provenant des réseaux de gestion sur lesquels Citrix ADC est déployé. L’absence de restrictions et la surveillance de ces réseaux de gestion augmentent le risque pour cet appareil. Avec les appareils critiques tels que Citrix ADC, la gestion doit être limitée à des postes de travail privilégiés spécifiques afin de réduire le risque d’attaques potentielles. Contrôlez l’accès externe pour empêcher ou ralentir l’accès d’un attaquant à d’autres appareils. Empêche les attaquants d’accéder aux logiciels de commande et de contrôle hébergés en dehors de votre réseau.
• Séparez toutes les adresses NIIP, LOM, SVM et adresses IP de gestion Citrix ADC des autres équipements réseau. Selon les normes de votre stratégie, placez les LOM sur des réseaux de gestion physiques et hors bande avec d’autres systèmes similaires. Placez les NSIP et les SVM sur un autre réseau distinct. L’utilisation d’un VLAN uniquement pour les adresses IP de gestion Citrix ADC peut simplifier votre pare-feu et vos règles ACL. Limitez l’accès interne à un poste de travail privilégié et limitez l’accès externe.

Liez Citrix ADC à LDAPS

Nous ne recommandons pas d’utiliser des comptes de connexion génériques pour l’administration quotidienne. Lorsque toutes les modifications de configuration sont effectuées parnsrootune équipe informatique, vous ne pourrez pas savoir qui s’est connecté et a effectué une modification particulière. Une fois le mot de passe dunsrootcompte modifié, le système doit être immédiatement lié à LDAPS pour suivre l’utilisation d’un compte utilisateur spécifique. Cette étape fournit un contrôle délégué afin que vous puissiez créer des groupesAffichage uniquementpour les équipes d’audit et d’application. Vous pouvez ensuite accorder des droits d’administrateur complets à des groupes AD spécifiques. Nous ne recommandons pas la liaison à l’aide de LDAP non chiffré, car les informations d’identification peuvent être collectées avec des captures de paquets. Vous pouvez trouver plus d’informations dansCTX212422

Si vous êtes lié à Microsoft Active Directory, assurez-vous d’utiliser uniquement LDAPS comme protocole. Assurez-vous également que NTLMv2 est la seule méthode de hachage pour les informations d’identification et les sessions réseau. Cette étape est une bonne pratique en matière de sécurité AD. Il garantit que les informations d’identification sont aussi protégées que possible pendant le transit pour les demandes d’authentification et les sessions réseau. Testez correctement cette configuration et validez-la avec d’anciens clients Windows afin d’identifier les problèmes de compatibilité avec les anciennes versions de Windows.

Lorsque vous vous connectez à une source d’authentification externe, vous devez désactiver l’authentification locale pour les comptes tels quensroot. Vous pouvez également activer uniquement des comptes locaux spécifiques pour utiliser l’authentification locale. En fonction de vos exigences de déploiement, un chemin ou un autre peuvent être nécessaires. La plupart des déploiements ne nécessitent pas de comptes locaux. Si un compte de service est nécessaire, vous pouvez créer et déléguer un utilisateur LDAP.Ce guideexplique la configuration des deux méthodes, une méthode doit être déployée.

Journalisationet alertes

La pratique du Syslog Forwarding est essentielle pour fournir une réponse aux incidents ainsi qu’un dépannage plus avancé. Ces journaux vous permettent de voir les tentatives de connexion à l’ADC. Citrix Gateway peut prendre des mesures qui sont basées sur des stratégies issues des opérations sur les paquets et le système, telles que :

• Blocage GeoIP et BadIP
• Protection AppQoE
• Actions de stratégie du répondeur

所有信息peuvent可能precieuses倒资源udre les problèmes. Ce détail vous aide à comprendre une situation d’attaque potentielle en cours. Il permettra de déterminer la meilleure façon de réagir en fonction de données exploitables pour résoudre les problèmes, arrêter ou atténuer une attaque. Sans cible Syslog configurée sur votre Citrix ADC, les journaux requis sont supprimés pour économiser de l’espace afin que le système reste opérationnel. Vous trouverez plus d’informations dans ladocumentation produit Citrix ADC - Journalisation et surveillance.

它存在我们serveurs et collecteurs Syslog gratuits et payants. Certains sont facturés en fonction du nombre de messages par jour, de l’espace de stockage des messages ou simplement d’un abonnement continu. Ces solutions doivent être planifiées, car elles nécessitent une quantité importante d’espace de stockage à allouer. Votre serveur ou collecteur Syslog doit être dimensionné en fonction du nombre d’événements provenant d’autres services critiques. Ces services incluent Active Directory, les serveurs de base de données et de fichiers, les VDA et d’autres serveurs d’applications.

Citrix propose le service Citrix ADM en tant que collecteur Syslog. Citrix ADM peut vous permettre d’avoir une certaine rétention hors appareil. Citrix ADM est également un excellent outil pour rechercher et afficher ces journaux et utiliser ses tableaux de bord d’événements. Il existe de nombreuses vues par défaut intéressantes des données de journal pour vous aider à résoudre les problèmes, à afficher le matériel, les problèmes d’authentification, les modifications de configuration et bien plus encore. Vous pouvez trouver plus d’informations dans la documentation produit Citrix ADM -Configuration du journal système sur les instancesetAfficher et exporter les messages syslog.

Nous vous recommandons vivement d’utiliser cette liste de messages pour créer vos alertes en fonction des fonctionnalités de Citrix ADC que vous utilisez. Le simple fait que les journaux soient conservés et consultables est utile pour le dépannage et l’audit des événements de sécurité. Il est important de vous assurer que vous envoyez des alertes en fonction du seuil de mauvaises connexions ainsi que de toutes les connexions utilisant lesnsrootcomptes par défaut. Vous trouverez plus d’informations dansDeveloper Docs - Syslog Message Reference.

Configurez SNMP dans votre solution de surveillance pour vous assurer que la surveillance des niveaux de service et physique est activée. Ce paramètre garantit l’entretien et le fonctionnement de l’appareil. La configuration de la messagerie permet d’envoyer des notifications système à la boîte aux lettres appropriée. Cette étape vous permet également d’être averti de l’expiration des certificats et d’autres notifications.

Planifier des services de surveillance et de protection

Prendre le temps de planifier les services à utiliser sur votre Citrix ADC vous aide à comprendre quelles fonctionnalités peuvent être appliquées à ces adresses IP. C’est une excellente occasion de vérifier si vous avez des IP assignées à tester. Validez toujours tous les paramètres de sécurité d’un VIP de test avant d’appliquer le répondeur et d’autres stratégies à votre VIP de production. Cette étape peut nécessiter davantage d’enregistrements DNS, de certificats SSL, d’adresses IP et d’autres configurations pour fonctionner.

Les trois cas d’utilisation les plus courants de Citrix ADC sont l’équilibrage de charge, l’équilibrage de charge global des serveurs et Citrix Gateway.

Nous vous recommandons d’organiser tous les VIP planifiés en interne ou en externe. Les VIP internes peuvent ne pas avoir besoin de toutes les fonctionnalités de sécurité nécessaires pour les VIP externes. L’évaluation des pays qui ont besoin d’accéder à des ressources externes est une bonne étape de planification si vous envisagez d’utiliser les fonctionnalités GeoIP. Rencontrez la direction de votre entreprise et les propriétaires d’applications pour savoir si vous devez restreindre certains pays.

Si possible, déployez Citrix ADM avant de commencer à apporter des modifications à la configuration. Citrix ADM peut facilement sauvegarder régulièrement les appliances et fournir une meilleure visibilité des journaux ainsi que des métriques. D’autres fonctionnalités plus avancées peuvent être ajoutées à un déploiement Citrix ADC pour offrir encore plus de visibilité et de sécurité. Citrix ADM propose des éditions payantes ainsi que Citrix Analytics qui peuvent aller au-delà d’une simple solution de surveillance. Nous pouvons devenir un système de réponse de sécurité automatique.

Remplacer les certificats SSL par défaut

Les navigateurs现代你们avertissent痛风rtificat n’est pas valide et qu’il constituera un risque de sécurité s’il s’agit des certificats par défaut. Si vous reconnaissez cette erreur tous les jours, vous êtes vulnérable à une véritable attaque de type « man-in-the-middle ». Quelqu’un peut lire ce que vous tapez pendant que vous tapez parce qu’il peut accéder au flux TLS. Le remplacement du certificat peut être facile selon que vous hébergez votre propre autorité de certification interne, que vous utilisez un service tiers (coût éventuellement associé) ou que vous utilisez des certificats auto-signés. Une fois que vous avez mis à jour les certificats, votre navigateur doit approuver le nouveau certificat et ne doit pas générer d’erreur lors de l’accès à l’appareil. Si vous rencontrez à nouveau une erreur de certificat, vous devez vérifier la date d’expiration. Il est possible qu’il ait été remplacé à votre insu.

• NSIP— La modification de ce certificat doit d’abord être effectuée, car c’est là que s’effectue toute la gestion de l’appliance. Ce processus doit être effectué sur chaque appliance. Vous trouverez plus d’informations dansCTX122521.
• LOMde ces - La修改证书doit可能l传闻bjectif suivant une fois que les certificats de gestion NSIP ont été modifiés par rapport à la valeur par défaut. Ce processus doit être effectué sur chaque appliance. Vous trouverez de plus amples informations dans ladocumentation du produit.
• SVM SDX: si vous êtes un client SDX, assurez-vous que le certificat par défaut a été remplacé. La SVM SDX devient votre principale méthode de gestion de l’appliance au même titre que la gestion des instances elles-mêmes. Ce processus doit également être effectué sur chaque appliance. Vous trouverez plus d’informations dansCTX200284.

Mise à jour du

1. Déploiement initial: utilisez la dernière version de microprogramme disponible pour chaque plate-forme Citrix ADC. N’oubliez pas de consulter les notes de mise à jour pour voir s’il existe des « problèmes connus » susceptibles de vous affecter. La méthodologie N-1 est souvent utilisée pour rester en retard d’une version par rapport à la dernière version. Les mises à jour du microprogramme sont effectuées sur chaque instance, quelle que soit la plate-forme que vous utilisez, qu’il s’agisse d’un CPX, MPX, SDX ou VPX.
2. Mises à jour du microprogramme LOM \ IPMI- Nous recommandons de mettre à jour le microprogramme au moment du déploiement. Les mises à jour garantissent que vous disposez des dernières fonctionnalités et correctifs. Vous trouverez plus de détails ici ladocumentation du produit.
3. Mises à jour continues-Inscrivez-vous pour recevoir des alertespour les bulletins de sécurité Citrix et les notifications de mise à jour pour Citrix ADC, Citrix ADM et Citrix Web Application Firewall.

Planifiez la fréquence à laquelle vous choisissez de mettre à jour votre Citrix ADC chaque année. Les fonctionnalités déployées et les stratégies de l’organisation informatique doivent déterminer comment vous planifiez ces mises à jour. Nous voyons généralement des mises à jour publiées 2 à 4 fois par an. Également avec deux mises à jour de fonctionnalités et deux mises à jour qui corrigent des problèmes connus et des correctifs de sécurité. Des guides sont disponibles pour vous aider à planifier et à planifier ces mises à niveau sans interruption de service. S’applique également à d’autres systèmes de prise en charge tels que Citrix ADM, car la parité des versions est toujours recommandée. En savoir plus surla mise à niveau d’une paire haute disponibilité.

Protection des données avec KEK

En créant une paire de clés KEK, vous pouvez renforcer la protection des données. Nous vous recommandons vivement d’effectuer cette étape sur chaque appareil. La paire de clés crypte la configuration dans les zones liées aux mots de passe clés. Si quelqu’un accède à votrens.conffichier, il ne peut pas récupérer d’informations d’identification ou de mot de passe à partir de celui-ci. Les deux fichiers clés qui se trouvent à la racine du\flash\nsconfig\dossier doivent être considérés comme hautement sensibles et doivent être protégés en conséquence par des sauvegardes dotées d’une sécurité appropriée.

Cette mise en garde signifie que les migrations d’une appliance vers une autre nécessitent davantage d’étapes. La cléKEKdoit être ajoutée au nouveau déploiement avant que votre configuration puisse être déchiffrée.En savoir plussur la création d’une clé principale pour la protection des données (recherche de chaîneKEK).

Supprimer les paquets non valides

De nombreux paquets non valides sont envoyés chaque jour à votre appareil Citrix ADC. Certaines sont bénignes, mais la plupart sont utilisées à des fins de prise d’empreintes digitales avec des attaques basées sur des protocoles. L’activation de cette fonctionnalité permet d’économiser les ressources processeur et mémoire de votre appareil. Empêchez les attaques de protocole les plus connues en n’envoyant pas de paquet partiel ou défectueux à l’application back-end mandatée par l’ADC. Cette étape peut même bloquer d’éventuelles attaques futures qui reposent sur la manipulation de paquets.

Vous trouverez plus d’informations dansla documentation produit,CTX227979etCTX121149.

Sécurité stricte du transport HTTP

Assurez-vous que HSTS est configuré sur toutes les VIP SSL. L’objectif principal de HTTP Strict Transport Security est de protéger les applications contre diverses méthodes d’attaque telles que les attaques de rétrogradation, le détournement de cookies et le décapage SSL. Ceci est similaire àDrop Invalid Packetsmais est basé à la fois sur HTTP et HTTPS. Ceci est basé sur les normes trouvées dans laRFC 6797en utilisant une entrée dans l’en-tête HTTP. Cela ajoute une couche de défense supplémentaire à toutes les applications derrière Citrix ADC.

Couche de ressources

Les ressources qui hébergent la session utilisateur peuvent présenter un niveau de risque plus élevé de compromission. Un utilisateur exécutant une session VDI est similaire à un ordinateur connecté au réseau d’entreprise. L’utilisation de couches d’accès et de contrôle bien conçues permet à l’entreprise d’évoluer vers des modèles de confiance zéro. Avec la confiance zéro, l’accès est ajusté dynamiquement aux ressources présentées à l’utilisateur final en fonction d’un ensemble de variables donné. Les conseils suivants fournissent des niveaux de contrôle plus élevés dans la protection des actifs de l’entreprise contre les utilisateurs.

Durcissement de construction

Le renforcement des versions de systèmes d’exploitation peut être complexe et difficile à réaliser. Il s’agit d’un équilibre parfait entre l’expérience utilisateur, la convivialité et la sécurité. De nombreux clients choisissent de suivre les lignes de base du Center for Internet Security (CIS) pour renforcer les machines virtuelles dans différents rôles. Microsoft fournit également des guides de renforcement pour des charges de travail similaires. Il existe même les fichiers ADMX à implémenter directement dans la stratégie de groupe. Si vous choisissez cet itinéraire, faites preuve de prudence. Assurez-vous d’effectuer d’abord un test approfondi, si les stratégies initiales sont trop restrictives. Ces lignes de base constituent un excellent point de départ pour le durcissement. Cependant, ils ne sont pas censés être exhaustifs pour tous les scénarios. La clé du verrouillage consiste à effectuer des tests approfondis et à encourager les tests d’intrusion tiers. Les tests valident vos contrôles de sécurité et leur efficacité face aux méthodes d’attaque les plus récentes.

Dans le cadre du renforcement du système, nous avons recommandé aux administrateurs de consacrer un certain temps à l’optimisation des systèmes d’exploitation, des services et des tâches planifiées sous-jacents. Cette étape supprime tous les processus inutiles des systèmes sous-jacents. Il améliore également la réactivité de l’hôte de session et fournit une meilleure expérience utilisateur à l’utilisateur final. Citrix fournit l’outil d’optimisationCitrix Optimizerqui optimise automatiquement de nombreux éléments du système d’exploitation pour les administrateurs. Les résultats de Citrix Optimizer doivent être ajustés pour s’assurer qu’il n’y a aucun impact négatif sur votre environnement.

Tâches planifiées

在某些cas,常识德文郡我们环节planifiées pour effectuer une maintenance de routine ou pour résoudre un problème persistant sur l’environnement. Si, dans le cas où nous devons utiliser des tâches planifiées, quelques recommandations doivent être prises en compte au préalable.

Comptes privilégiés- Dans la mesure du possible, assurez-vous que toutes les tâches planifiées sont configurées avec des comptes dotés des autorisations appropriées pour ce qu’ils doivent faire. L’exécution de tâches planifiées avec des informations d’identification d’administrateur de domaine par exemple n’est pas recommandée.

Solutions derechange- Il se peut qu’une tâche planifiée soit utilisée comme un « pansement » sur un problème plus large. Existe-t-il un meilleur moyen que d’utiliser une tâche planifiée pour résoudre le problème ? Cela résout peut-être un problème temporaire, mais corrige la cause de l’itinéraire plutôt que de laisser une tâche planifiée en cours d’exécution. Cela est particulièrement vrai avec les mises à jour d’images, car il est possible que cela n’ait pas été documenté ou intégré dans les procédures de génération. Elle ne figurera pas dans les futures mises à jour et posera potentiellement plus de problèmes.

Correctifs et mises à jour

S’assurer que les systèmes informatiques sont corrigés et à jour est une pratique courante pour tous les logiciels, systèmes d’exploitation et hyperviseurs. Les fournisseurs ont l’obligation de s’assurer que leurs logiciels sont corrigés et n’autorisent aucune faille de sécurité. Certains offrent une plus grande stabilité et des fonctionnalités améliorées. Presque tous les fournisseurs disposent d’un calendrier ou d’un cycle de publication pour appliquer des correctifs et des mises à jour à leurs logiciels. Il est recommandé aux clients de lire et de comprendre ce qui est corrigé ou les nouvelles fonctionnalités introduites. Ces mises à jour sont souvent traitées par le biais de solutions route-to-live. Des tests appropriés peuvent aider à éviter les pannes causées par des modifications de l’environnement de production.

Anti-Malware

Il est toujours recommandé de déployer un anti-malware ou un antivirus sur tous les serveurs de l’infrastructure. L’antivirus fournit une bonne première ligne de défense contre les programmes malveillants connus et de nombreux autres types de virus. L’un des aspects les plus complexes de l’antivirus est de s’assurer que les définitions de virus sont mises à jour régulièrement. Une attention particulière est requise pour les charges de travail partagées hébergées ou VDI non persistantes. De nombreux articles détaillent les moyens de rediriger les définitions d’antivirus vers les lecteurs persistants. L’objectif est de s’assurer que les machines sont identifiées en tant qu’objets individuels dans la suite de gestion antivirus. Suivez ces directives pour vous assurer qu’une solution antivirus est correctement déployée et installée. Les fournisseurs d’antivirus ont leurs propres pratiques recommandées pour déployer leur logiciel anti-programme malveillant. Nous vous recommandons de suivre leurs directives pour une intégration correcte. Vous pouvez en savoir plus dansEndpoint Security and Antivirus Best Practices.

Contrôle des applications

Les technologies comme AppLocker peuvent être difficiles à mettre en œuvre, mais ce sont des outils puissants. En particulier en termes de protection des serveurs avec des applications publiées avec des modèles d’utilisation prévisibles. Être capable de verrouiller de manière granulaire l’environnement au niveau de l’exécutable. Il est très bénéfique de définir clairement ce qui peut ou ne peut pas être exécuté et par qui. Sans oublier les capacités de journalisation lors du lancement des applications. Dans un environnement de grande entreprise comptant plus de 500 applications, tous ces éléments doivent être soigneusement pris en compte.

Stratégies Windows

Lors de l’application de stratégies Windows à un hôte de session, qu’il s’agisse d’une charge de travail basée sur VDI ou d’un serveur, il peut jouer deux rôles principaux :

• Renforcement du système d’exploitation
• Optimisation de l’expérience utilisateur

倒简化物拉治理des系统d 'exploitation, ces stratégies doivent être appliquées via la stratégie de groupe Microsoft. Cela facilite le processus de création d’images. Si la stratégie de groupe n’est pas utilisée, une autre méthode de mise en œuvre des verrouillages doit être trouvée. Le renforcement et les optimisations qui ne peuvent pas être fournis par le biais d’une stratégie doivent être automatisés dans le cadre du processus de création d’image.

Assurez-vous始终是和d 'exploitation est renforcé avant que les utilisateurs puissent y accéder. Les utilisateurs ne doivent être en mesure d’effectuer que le nombre minimal de tâches nécessaires à l’exercice de leur rôle. Toutes les applications basées sur l’administration doivent être sécurisées et l’accès désactivé pour les utilisateurs généraux. Cette étape réduit le risque qu’un utilisateur puisse « interrompre » sa session. Empêchez les utilisateurs d’accéder à des données non autorisées ou de commettre des actes malveillants au sein du système d’exploitation.

Stratégies Citrix

Les stratégies peuvent être appliquées en fonction du scénario d’accès utilisateur. Parmi les évaluations de session Citrix, citons la désactivation de l’accès au presse-papiers ou le mappage des lecteurs clients si cela est jugé nécessaire. Même en activant le presse-papiers unidirectionnel pour permettre la copie de données dans une session, mais pas en dehors d’une session. Plusieurs stratégies peuvent aider à contrôler la sortie non autorisée de données depuis la session système. Chaque stratégie doit être soigneusement planifiée et comprise.

La plupart des configurations de renforcement décrites dans la sectionRenforcement du systèmede cet article peuvent être appliquées sous la forme de stratégies de groupe. Permettre une application cohérente sur tous les serveurs qui sont appliqués au démarrage avant que l’utilisateur ne se connecte. Cette étape permet une expérience utilisateur cohérente dans l’ensemble de l’infrastructure. Cela signifie moins de dépannage, tout en garantissant la cohérence des contrôles de sécurité sur l’ensemble des actifs et des utilisateurs.

Configurez les groupes de mise à disposition pour permettre au VDA de s’installer avant d’autoriser les utilisateurs à se connecter. Cette étape fournit suffisamment de temps pour que les stratégies et les verrouillages soient appliqués à la session. Il garantit que toutes les stratégies ont été appliquées au serveur avant que l’utilisateur ne se connecte. En savoir plus surSettlementPeriodBeforeUse dans la documentation des développeurs.

Gestion des images

La协定enœuvre correcte用品和德行为des images s’est révélée être un gain de temps considérable pour les clients. Nous prenons en charge Machine Creation Services (MCS) et Provisioning Services (PVS). La gestion des images apporte des avantages considérables aux fonctionnalités opérationnelles et de sécurité.

Tout d’abord, un verrouillage ou un contrôle est appliqué dans une version de manière cohérente sur toutes les machines depuis lesquelles les utilisateurs accèdent à leurs ressources. La création manuelle de machines individuelles prend non seulement du temps, mais il est également garanti que certaines configurations ou paramètres ne sont pas respectés ou qu’ils sont incohérents. Le fait de définir la configuration une seule fois et de la déployer sur chaque machine permet d’avoir l’esprit tranquille quant à la cohérence de la mise en œuvre de la sécurité sur toutes les machines.

Ensuite, au cours d’une session utilisateur sur un VDA, l’utilisateur ouvre d’autres applications, documents et accède à des données sensibles. Les données sont finalement mises en cache sur le bureau virtuel ou dans l’application. Une fois que l’utilisateur est déconnecté, les restes de données sont sans aucun doute laissés pour compte. Le redémarrage de la machine et le retour à l’image principale d’origine garantissent que toutes les données sensibles sont effacées. Tout est prêt pour que l’utilisateur suivant puisse se connecter et commencer à travailler sans risquer d’accéder aux données de l’utilisateur précédent. Vous trouverez plus d’informations iciArchitecture de référence de la gestion des images.

Voici quelques points à prendre en compte pour la gestion d’images uniques :

• 注意辅助configurations de l’antivirus.
• 不creez de点数es sur un modèle ou une image avant que Machine Creation Services ou Provisioning Services n’ait la possibilité de copier l’image entière.
• Ne planifiez pas de tâches à l’aide de comptes de domaine privilégiés stockés.
• Les comptes de service doivent disposer d’un compte dédié avec les autorisations appropriées.
• Assurez-vous de supprimer tous les fichiers journaux, fichiers de configuration et autres sources d’informations que l’attaquant peut utiliser pour en savoir plus sur votre environnement.

Le maintien de ces pratiques de sécurité permet d’empêcher une attaque de machine d’obtenir des mots de passe de compte persistants locaux Ce mot de passe est ensuite utilisé pour se connecter aux images partagées MCS/PVS appartenant à d’autres personnes.

Séparation des charges

砂矿les资源在des竖井separes une pratique recommandée depuis longtemps. Non seulement au niveau des ressources, mais également au niveau des couches matériel et réseau, que nous aborderons plus loin dans cet article. La séparation des charges de travail en différents groupes de mise à disposition ou catalogues de machines ne permet pas d’affiner les stratégies de sécurité pour un ensemble de machines. Cela permettra également de réduire l’impact d’une faille de sécurité. Si vous avez un ensemble d’utilisateurs à haut risque accédant à des données à fort impact, ceux-ci doivent être séparés dans un environnement séparé configuré de manière appropriée. L’environnement doit avoir des stratégies et des journaux beaucoup plus stricts. Des fonctionnalités telles que l’enregistrement de session fournissent une couche de protection supplémentaire lors de l’accès à ces données.

阵痛peuvent费用是独立分开différents niveaux : séparation matérielle (hôtes dédiés), séparation des machines virtuelles ou même séparation au sein du système d’exploitation (par exemple, masquage d’applications ou règles NTFS strictes). Dans le cadre de la séparation des utilisateurs en différents niveaux de profils de risque, les données auxquelles ils accèdent doivent également être traitées de la même manière. Cette étape implique l’application des autorisations de fichier et des règles d’accès correctes aux données.

Micro segmentation

Un concept qui est devenu de plus en plus important à mesure que le passage à une infrastructure hébergée dans le cloud et à des architectures Zero Trust est déployé. Si un attaquant réussit à accéder à des ressources, nous voulons limiter les dégâts qu’il pourrait causer. Qu’il s’agisse de dommages malveillants ou de fuites de données.

Par conséquent, la séparation de la charge de travail et des données est une bonne pratique à suivre. Cette étape implique des contributions de la part des Business Analysts (BA) pour aider à mettre en évidence les actifs et les données clés sur l’ensemble du réseau. Dans l’idéal, chaque portion de données peut être classée comme ayant un impact élevé, moyen ou faible sur l’entreprise en cas d’accès aux données.

En fonction de l’impact sur l’entreprise, chaque segment de données peut être traité différemment et séparé les uns des autres. Par exemple, un utilisateur qui navigue sur Internet peut présenter un risque élevé. Cela est particulièrement vrai s’ils ont la possibilité de télécharger des logiciels ou des documents et de les enregistrer dans leur session. Par conséquent, nous voudrions envisager d’isoler les ressources les plus critiques des activités des utilisateurs à haut risque. La navigation sur le Web et l’accès au courrier électronique sont séparés des données telles que les informations personnelles identifiables (IPI) ou même les informations de santé personnelles (PHI).

Séparez les charges de travail entre les pare-feu et contrôlez les applications et les protocoles qui peuvent traverser ces segments du réseau. Les charges de travail dans les zones « à haut risque » peuvent être verrouillées bien plus que les machines d’accès utilisateur « standard ». La clé ici est de mettre en œuvre les contrôles de sécurité nécessaires en fonction de la segmentation des utilisateurs et des données.

Enregistrement de session

L 'enregistrement de会话允许辅助装备正无穷ormatiques d’enregistrer et de rejouer la vidéo de ce qui s’est passé au cours d’une session utilisateur donnée. La vidéo est utilisée dans le cas où un utilisateur exécutait quelque chose de malveillant dans l’environnement. Cette capacité n’est peut-être pas nécessaire pour tous les utilisateurs. Il peut être activé pour des personnes clés, des groupes d’utilisateurs ou lors de l’accès à des applications, des postes de travail ou des ressources sensibles. De nombreux points à retenir peuvent être tirés de ces enregistrements qui ne sont peut-être pas possibles uniquement avec les journaux d’événements et d’applications Windows. Les vidéos peuvent être utiles dans un scénario de réponse à un incident ou une analyse des causes profondes. Cette fonctionnalité est puissante et doit être soigneusement étudiée en fonction de vos stratégies utilisateur et de vos accords avec l’approbation de votre équipe juridique et informatique.

Filigrane

Pour les sessions où un utilisateur accède à des données sensibles, un élément dissuasif important pour le vol des données est un filigrane. Surtout si le filigrane peut identifier de manière unique l’utilisateur. Citrix permet aux administrateurs de configurer les informations à afficher. Vous pouvez afficher :

• Nom de connexion de l’utilisateur
• Adresse IP du client
• 地址的IP du的共识
• Nom d’hôte du VDA
• Horodatage de connexion
• Texte personnalisé.

En tant que fonctionnalité côté serveur, elle est applicable à toutes les sessions (pas seulement sur des points de terminaison spécifiques). Il est immunisé contre l’arrêt du processus au point final par l’utilisateur comme solution de contournement.

En savoir plus sur le filigrane de sessiondans la documentation produit.

Utilisation simultanée

Un sujet plus controversé a été l’utilisation d’hôtes multisessions par rapport aux sessions VDI mono-utilisateur. Le fait que plusieurs utilisateurs se connectent à un seul serveur peut entraîner des problèmes. Cela est particulièrement vrai si un utilisateur mécontent peut exécuter un logiciel ou du code pour collecter d’autres informations d’identification ou accéder à d’autres données utilisateur. L’exécution d’une solide infrastructure de postes de travail virtuels entraîne un coût supplémentaire et ces compromis doivent être pris en compte. Modélisez les utilisateurs et sélectionnez le mécanisme de diffusion le plus efficace. Décidez si un hôte de session multi-utilisateur ou un hôte de session utilisateur unique est le chemin idéal. La taille unique ne convient pas à tous les utilisateurs. Procédez au profilage des utilisateurs pour comprendre leurs besoins, puis sélectionnez la meilleure méthode de livraison des charges de travail pour les groupes d’utilisateurs.

Sécurité basée sur la virtualisation

La sécurité basée sur la virtualisation (VBS) utilise une partie sécurisée de la mémoire pour stocker les ressources sécurisées de la session. Cette fonctionnalité nécessite un module de plateforme sécurisée (TPM) ou un module de plateforme sécurisée virtuelle (vTPM) s’exécutant sur une plate-forme prise en charge pour fournir une intégration sécurisée. Cela signifie que même si un logiciel malveillant est déployé avec succès dans le noyau, les données secrètes stockées par l’utilisateur restent protégées. Tout code pouvant s’exécuter dans l’environnement sécurisé doit être signé par Microsoft, fournissant ainsi une couche de contrôle supplémentaire. Microsoft VBS peut être activé à la fois sur les systèmes d’exploitation Windows Desktop et Server. Microsoft VBS est développé à partir d’une suite de technologies qui incluent la protection des informations d’identification et la protection des applications. Vous trouverezplus d’informations sur la sécurité basée sur la virtualisation ici.

Couche de contrôle

Le niveau de contrôle est la couche de la solution qui permet aux administrateurs de gérer l’environnement Citrix, tout en autorisant l’accès des utilisateurs aux ressources. Vous trouverez des informations détaillées sur la façon de permettre aux ressources de communiquer entre elles dans cette section. En raison de l’intégration de cette couche, il est essentiel de s’assurer que les composants peuvent s’intégrer et communiquer en toute sécurité. Les éléments suivants réduisent le niveau de sécurité des composants.

Garantir la disponibilité

Lors du déploiement d’une solution, les composants doivent être déployés de manière hautement disponible. Avoir des services qui subissent des interruptions constantes en raison de points uniques de défaillance est une mauvaise pratique. Par conséquent, l’utilisation de l’approche N+1 de la capacité garantit qu’il y a suffisamment de ressources disponibles pendant les tempêtes d’ouverture et de fermeture de session. Mais il existe un niveau acceptable de perte de composants pour conserver une « bonne » expérience utilisateur. Aujourd’hui, la plupart des clients suivent N+1 en termes de planification de la quantité de ressources qui doivent être disponibles. Toutefois, selon le niveau de risque tolérable, il peut être de N+2.

De plus, pour garantir que les ressources disponibles sont suffisantes pour gérer la charge utilisateur, les composants doivent être séparés sur des machines virtuelles dédiées. Exécuter des composants partagés sur des machines virtuelles est une mauvaise pratique, non seulement du point de vue des performances, mais également de la sécurité. Les principaux composants du point de vue de Citrix sont les suivants, mais sans s’y limiter :

• StoreFront
• Delivery Controller
• SQL Server
• Service d’authentification fédérée
• Director
• Serveur de licences
• Cloud Connector

Chiffrement des flux de données

Les entreprises adoptent une approche « Zero Trust » pour les services dans leurs environnements. Il est plus important que jamais de s’assurer que toutes les communications entre les composants sont sécurisées, voire authentifiées dans la mesure du possible. Cette étape réduit les chances que les attaquants puissent lire des informations confidentielles pendant qu’elles sont « en vol » sur le réseau. Du point de vue de Citrix, cette étape consiste essentiellement à lier un certificat aux services concernés à partir d’une infrastructure à clé publique (PKI) privée ou publique.

Recommandation de haute sécurité- Dans les déploiements de haute sécurité, les normes établies suggèrent que les normes fédérales de traitement de l’information (FIPS) peuvent devoir être respectées. Cette exigence implique des modifications des composants virtualisés, ainsi que lors de la prise en compte de composants tels que Citrix ADC. Il nécessite également des appareils matériels accrédités.Citrix Trust Center

Durcissement de construction

Comme indiqué dans la sectionResource Layer, il est fortement recommandé de renforcer le système d’exploitation et les services déployés. Cette étape implique la désactivation de tous les services, tâches planifiées ou fonctionnalités inutilisés. Veillez à ne pas affecter les éléments utilisés pour réduire le service d’attaque sur la machine. Il existe des lignes de base telles que les lignes de base de sécurité CIS et Microsoft qui peuvent être utilisées pour verrouiller les machines virtuelles exécutées dans l’environnement. Incluez à la fois les serveurs de session qui hébergent les sessions utilisateur et les services de contrôle tels que les connecteurs cloud et l’infrastructure de support. Une machine d’infrastructure doit également avoir tous les services, fonctionnalités ou tâches planifiées désactivés qui ne sont pas nécessaires au fonctionnement du service.

Renforcement des comptes de service

Certains éléments d’une solution Citrix nécessitent l’utilisation de comptes de service. Les comptes de service permettent aux fonctions automatisées de progresser avec un certain niveau d’authentification et d’autorisation. Un compte de service doit uniquement être autorisé à effectuer la tâche requise et ne doit pas disposer d’un accès élevé au réseau. Des comptes de service doivent être créés pour chaque fonction automatisée. Cette étape réduit intrinsèquement les éléments d’autorisation et garantit qu’aucun glissement de privilèges ne se produit au sein du service. Nous vous recommandons de vous assurer que les mots de passe des comptes de service sont réinitialisés au moins une fois par an ou plus fréquemment selon vos exigences Ces comptes et/ou groupes doivent également figurer dans des groupes d’utilisateurs protégés au sein d’Active Directory pour bénéficier d’une protection et d’une journalisation supplémentaires.

Pour renforcer davantage les comptes de service, il est également recommandé de refuser les droits d’ouverture de session interactive à ces comptes dans la mesure du possible afin de garantir que le compte ne puisse pas être réutilisé pour se connecter à un périphérique réseau en cas de compromission du mot de passe.

Assurez-vous que le compte ne peut pas se connecter de manière interactive à un compte du réseau, qu’il s’agisse d’un compte :

• Compte d’utilisateur
• Compte administrateur
• Compte du service

Les comptes doivent être vérifiés périodiquement et leurs autorisations vérifiées pour s’assurer que le compte est toujours requis. Vérifiez également qu’il n’y a pas eu de « fuite de privilèges » supplémentaire sur le réseau. Privilege Creeping se produit lorsqu’au fil du temps, des autorisations supplémentaires peuvent être attribuées à des comptes et ne jamais être retirées. Par exemple, des autorisations sont ajoutées pour résoudre un problème, mais elles ne sont jamais vérifiées ni supprimées. Le concept de moindre privilège n’est pas respecté.

Le moindre privilège

Ce framework est appliqué à n’importe quel compte du réseau. Cette étape garantit que tous les comptes créés disposent uniquement des autorisations nécessaires pour jouer le rôle. Lorsque l’accès administratif est requis, les utilisateurs doivent disposer de comptes séparés qui sont utilisés pour exécuter des fonctions administratives. Dans un scénario idéal, les autorisations d’accès aux comptes ne doivent être accordées que pour le temps nécessaire à l’exécution de cette tâche. Une fois les actions administratives terminées, toutes les autorisations qui ne sont plus nécessaires doivent être supprimées.

Contrôle des applications

Les contrôles d’application ont été couverts dans la couche de ressources. Cependant, une approche similaire peut être adoptée pour le niveau de contrôle. L’autorisation des exécutables spécifiques à une application réduit encore la surface d’attaque sur les machines en cours d’exécution. Les exécutables non autorisés ne seront pas autorisés à s’exécuter. Cela s’accompagne d’une surcharge administrative, mais ajoute un niveau de contrôle supplémentaire. Cette étape doit être appliquée à toutes les applications déployées. Cette approche tient compte du fait que les mises à jour qui modifient les fichiers finaux ou les exécutables exécutés sur le système doivent être préapprouvées. Cette étape leur permet de s’exécuter après une mise à jour.

Pare-feu sur hôte

Le plus souvent et probablement, la première chose que les administrateurs désactivent est le pare-feu basé sur l’hôte. Il peut toutefois être activé pour certains scénarios tels que le dépannage. Le fait de laisser ces services inactifs de façon permanente expose l’environnement à un risque élevé de compromission. Le pare-feu est conçu pour empêcher les attaquants d’accéder au serveur par le biais d’outils ou d’applications inconnus ou fallacieux. Assurez-vous que le pare-feu est configuré pour empêcher l’exécution de tout élément non autorisé. Mais il doit être configuré pour permettre aux applications de fonctionner et de communiquer entre elles. Lorsque vous installez le VDA Citrix, il crée automatiquement les règles de pare-feu nécessaires à la communication VDA de base. Il peut également ajouter l’assistance à distance Windows et les ports audio en temps réel requis. Les environnements de test sont nécessaires pour permettre aux administrateurs de comprendre clairement le fonctionnement des applications. Cette étape vous permet de configurer les pare-feu et les services dans l’environnement de production en toute confiance. Évitez tout impact négatif sur l’application ou sur l’expérience utilisateur. Pour connaître les ports requis pour permettre aux environnements Citrix de fonctionner, consultezCTX101810.

Transport Layer Security (TLS)

Le protocole TLS crypte les communications entre deux composants ou plus. L’authentification, l’énumération et le lancement d’une session nécessitent le transfert d’informations sensibles. Si ces communications ne sont pas cryptées, un attaquant peut potentiellement récupérer les informations d’identification de l’utilisateur ou d’autres données sensibles. Lors du renforcement des environnements, l’activation de TLS est l’une des premières choses à faire. Lorsque vous activez TLS, suivez les pratiques recommandées pour la création des clés privées. Il existe de nombreux articles sur la gestion des clés et la création de pratiques recommandées par les certificats. Nous vous recommandons d’activer le protocole TLS au minimum pour les communications suivantes :

• Service STA
• Courtage XML
• StoreFront (URL de base)
• Interface de gestion ADC
• Gateway
• Director en cas d’exécution sur site

Couche hôte

Chaque environnement virtuel comprend plusieurs composants tels que le stockage, le calcul, l’hyperviseur et la mise en réseau. Concevez et implémentez toujours ces composants dans un souci de sécurité. Cela a un impact significatif sur la réduction continue de votre surface d’attaque. Avec les services cloud, tous ne sont pas applicables, mais la plupart s’appliquent quel que soit l’emplacement des ressources.

Séparation matérielle

À l’ère du cloud, le concept de séparation matérielle est devenu moins préoccupant pour les administrateurs. En outre, de plus en plus d’entreprises recherchent un meilleur retour sur investissement en s’assurant que tout le matériel est pleinement utilisé. Avec certains fournisseurs de cloud, cela n’est même pas possible. Toutefois, avec les infrastructures physiques sur site, vous pouvez toujours séparer les ressources dans des environnements d’hébergement uniques. Ces attaques incluent l’hyper jacking, où un attaquant peut explorer une machine virtuelle via la pile d’outils de la machine virtuelle. Ensuite, l’attaquant accède à l’hyperviseur.

Bon nombre des attaques documentées sont théoriques. Mais le fait qu’elles soient documentées publiquement suggère que ce type d’attaque peut être efficace. Comme il s’agit d’une réelle possibilité, il s’agit de protéger les données. Séparez les charges de travail en clusters uniques et assurez-vous que les charges de travail hébergeant la même classification de données sont conservées au sein de ces clusters uniques. Si un attaquant s’introduit dans la couche de l’hyperviseur d’une manière ou d’une autre, les classifications supérieures des données ne sont pas compromises

Séparation du réseau

La division des charges de travail en sous-réseaux séparés logiquement peut réduire considérablement l’impact ou la propagation d’une attaque. En général, ces dispositions de sous-réseau constituent un point de départ idéal :

• Composants d’accès.Petit sous-réseau compromettant les adresses IP ADC et la passerelle de rappel.
• Infrastructure Citrix.Le sous-réseau de l’infrastructure Citrix en fonction de l’infrastructure déployée comprend les éléments suivants : StoreFront, Cloud Connectors/Controllers, serveurs Director, Citrix ADM.
• Infrastructure de soutien.En fonction des composants d’infrastructure requis, ces services constituent de bons exemples de séparation : serveurs SQL, serveurs de saut et serveurs de licences. Cela dépend de vos besoins en matière de conformité.
• Sous-réseaux VDA.Il n’y a pas de bonne ou de mauvaise réponse lors du dimensionnement des sous-réseaux VDA. Dans le passé, nous avons utilisé des données historiques pour nous guider dans le dimensionnement des sous-réseaux PVS. Au fil du temps, les pratiques recommandées par PVS ont évolué. La principale chose à noter est que le dimensionnement du sous-réseau doit être alloué en fonction du nombre d’utilisateurs et de VDA et du contexte de sécurité auquel ils accèdent. Le fait de placer des utilisateurs présentant un profil de risque similaire dans un sous-réseau unique peut également garantir que chacun de ces sous-réseaux peut être séparé par un pare-feu.

Pare-feux

Les pare-feux sont l’un des principaux éléments de la mise en œuvre de la sécurité dans un environnement. La mise en œuvre de pare-feu basés sur l’hôte et sur le réseau entraînera une surcharge opérationnelle importante. La mise en œuvre de deux niveaux de pare-feu, à la fois au niveau de l’hôte et du réseau, permettra de séparer les tâches. Cette étape permet à une application de communiquer d’un serveur à un autre. Toutes les règles de pare-feu doivent être bien documentées et clairement identifiées quant aux rôles ou fonctions attribués. Ces informations vous aideront à obtenir des approbations pour les exceptions de la part de vos équipes de sécurité et de réseau.

Renforcement de l’hyperviseur

Pour qu’un hyperviseur fonctionne correctement, un certain niveau de service et de processus doit être activé. Comme dans n’importe quel système d’exploitation, de nombreux services au niveau de l’hyperviseur peuvent être désactivés afin de réduire la surface d’attaque au niveau de l’hyperviseur. La compromission de l’hyperviseur peut être la déclaration d’un dépassement complet par un attaquant. L’attaquant a accès à la mémoire de lecture, aux instructions du processeur et aux machines de contrôle. Si un attaquant pénètre dans cette couche, ce serait grave.

Introspection de la mémoire

Les fournisseurs offrent désormais la possibilité d’introspecter la mémoire active d’une machine virtuelle. La surveillance de cet espace mémoire actif fournit un niveau de protection plus élevé contre un niveau d’attaque plus sophistiqué. Consultez Citrix Ready pouren savoir plus sur l’introspection de la mémoire de l’hyperviseur.

Couche Opérations

Les procédures opérationnelles pour exécuter un environnement sécurisé sont aussi critiques que la configuration technique elle-même. Les éléments suivants constituent un excellent point de départ pour établir une base solide d’excellence en matière de sécurité opérationnelle.

Formation des utilisateurs

Fournir une formation suffisante aux utilisateurs et à l’administration. Il promeut de bonnes pratiques de sécurité et la sensibilisation est l’une des bases les plus faciles à couvrir. Un exemple consiste à s’assurer que les utilisateurs sont conscients du comportement normal attendu d’une page de connexion. Déterminez quels détails le personnel de support a besoin. Formez le personnel à gérer les fenêtres contextuelles et les redoutables tentatives d’hameçonnage par e-mail. Les utilisateurs doivent savoir comment réagir et comprendre où et comment signaler les problèmes de sécurité aux centres opérationnels de sécurité.

Surveillance des utilisateurs

L’activation d’une surveillance utilisateur améliorée, telle que l’enregistrement de session utilisateur, peut parfois être controversée. Informez les utilisateurs dans le cadre de leur contrat de travail, par exemple, que leurs actions sur les systèmes informatiques peuvent être enregistrées à des fins d’audit. Vous pouvez fournir un niveau de couverture approprié pour toutes les implications juridiques en matière de ressources humaines. Plus controversé, il est possible d’activer l’enregistrement au clavier. Ce type d’outils doit être abordé avec une certaine prudence, car il existe un risque de problèmes. Cela dépend de ce que l’utilisateur accède lorsqu’il se trouve sur les machines de l’entreprise. Les administrateurs peuvent collecter des noms d’utilisateur ou des mots de passe sur des e-mails personnels ou même des comptes bancaires, à l’insu de l’utilisateur. Cela doit être abordé avec prudence et, encore une fois, les utilisateurs ont été informés que de telles actions sont entreprises.

Journalisationet audit

Assurez-vous de consigner toutes les actions des administrateurs informatiques et des utilisateurs. Journalisation activée dans l’ensemble de l’environnement. Incluez toutes les couches décrites dans cet article. Rassemblez et stockez ces journaux à des fins d’audit. Conservez les journaux, au cas où ils seraient nécessaires pour révision, en cas de violation. Cette étape nécessite que vous gériez et agissiez en permanence sur les journaux générés. Certaines applications fournissent un certain niveau d’automatisation qui permet de traiter les journaux et les alertes en vue d’une action.

Citrix propose une solution basée sur le cloud dans le cadre du service d’analyse. Ce service permet d’évaluer les risques de sécurité d’un utilisateur. En fonction du score de risque, vous pouvez augmenter votre niveau de sécurité, déconnecter ou même verrouiller le compte automatiquement. Ces événements peuvent ensuite activer automatiquement des fonctions telles quel’enregistrement de session, comme indiqué précédemment dans cet article. Nous pouvons désactiver les fonctionnalités de Citrix et déconnecter la session, jusqu’à ce qu’un administrateur puisse examiner les actions de cet utilisateur.Security Analyticspeut établir une corrélation automatisée entre les analyses comportementales des utilisateurs et les contrôles de sécurité appliqués. Vous trouverez plus d’informations dans la缩微胶片de Citrix技术分析.

Séparation des tâches

Assurez-vous que de bons mécanismes de contrôle d’accès basés sur les rôles sont mis en œuvre Cependant, c’est également une bonne approche pour s’assurer qu’aucun administrateur ne peut agir seul pour activer une fonctionnalité ou un point de sortie. Dans l’idéal, mettez en œuvre une séparation des tâches pour obliger plusieurs administrateurs à agir indépendamment pour activer une fonctionnalité. L’activation du mappage des lecteurs clients dans une session Citrix constitue un bon exemple. Cela peut être contrôlé à l’aide d’une stratégie d’administration Citrix activée dans Citrix ADC au sein d’une stratégie SmartControl. Nécessite deux modifications distinctes pour activer la fonction CDM.

是重要的获得两个administrateurs倒activer une fonctionnalité. Les administrateurs doivent également disposer de comptes distincts de leur compte utilisateur normal. Les comptes d’administrateur sont réservés à l’exécution de tâches administratives. Cette étape réduit le vecteur d’attaque des attaques de phishing. Si les informations d’identification d’un administrateur sont mises en cache et que ces informations d’identification disposent d’autorisations d’administrateur de domaine, cela aura un impact significatif sur l’environnement. Le compte utilisateur normal de l’administrateur n’est donc pas en mesure d’effectuer des tâches administratives. Les utilisateurs ne doivent pas disposer de droits d’administration globaux sur un réseau ou un domaine. Idéalement, l’utilisation de groupes de contrôles d’accès basés sur les rôles (RBAC) doit être utilisée pour fournir des autorisations pour les fonctions administratives à un niveau plus précis.

Gestion des changements

L’une des choses courantes que certains clients considèrent rarement est l’importance d’avoir des environnements de test et de développement séparés. Ces environnements sont des éléments essentiels pour tester en profondeur les mises à jour et les modifications afin de comprendre leur impact sur l’environnement utilisateur. Les infrastructures doivent être étroitement liées aux processus de contrôle des modifications pour obliger les administrateurs à apporter des modifications à l’environnement de test et de développement avant de passer en production. Dans le cadre du test des modifications apportées à l’installation ou à la mise à niveau dans les environnements de développement, il est tout aussi important de tester minutieusement l’annulation des modifications. De cette façon, les administrateurs connaissent mieux le processus, s’ils ont besoin d’invoquer un processus de restauration en production. Des tests approfondis et des plans de déploiement solides protègent l’environnement de production contre les pannes inutiles. Idéalement, les grandes lignes de la mise en ligne doivent comprendre les phases suivantes :

• Tester. Un environnement peu contrôlé et une zone plus sandbox permettant aux administrateurs de se familiariser avec le logiciel mis à jour et les nouvelles fonctionnalités.
• Pré-production. La pré-production doit être traitée de la même manière que la production, étroitement protégée par le contrôle des modifications et maintenue en phase avec la production. Cela donne l’assurance que les comportements des mises à niveau en pré-production sont en phase avec ceux de la production, mais à plus petite échelle.
• La production. La production va sans dire, sa production. Les modifications non autorisées sans contrôle des modifications ne doivent pas être autorisées.

Hachages logiciels

Lors du téléchargement de logiciels à partir des sites Web de fournisseurs, il est recommandé de valider le hachage fourni sur la page de téléchargement. Cela permet de vérifier que le fichier téléchargé n’a pas été falsifié par un adversaire.

Audits de sécurité

Les opérations de sécurité sont un sujet vaste et comprennent de nombreux éléments de documentation utilisateur, de documentation juridique et de tout environnement. Dans la mesure où les aspects techniques de toute infrastructure sont essentiels. Il est important de garder à l’esprit que les documents justificatifs, les aspects juridiques et les bilans de santé informatique menant finalement à « l’approbation » de l’utilisation ou de la conservation de données telles que les informations personnelles identifiables (PII) ou le secteur des cartes de paiement (PCI) sont cruciaux. Il est fortement recommandé de procéder régulièrement à des audits de sécurité et à des tests d’intrusion pour valider vos opérations et contrôles de sécurité.

Résumé

我们还安全范围是中国哒ns un environnement au cours des premières phases d’un projet. Cependant, les risques de sécurité évoluent constamment et la révision des contrôles et des procédures en place est un processus continu. Il doit être revu fréquemment. Tous les efforts doivent être renforcés et validés par des tests d’intrusion sur l’environnement virtualisé dans son ensemble. Cette approche offre le plus haut niveau de résilience face à une attaque du monde réel.