Sécurisation de Citrix XenApp
Cryptage et communications réseau
Comprendre les processus de communications réseau et les éléments de cryptage disponibles sur une infrastructure Citrix XenApp permet la conception d’une infrastructure sécurisée. En outre, l’utilisation d’une solution de gestion de qualité de services optimise la maîtrise des flux sur un réseau d’entreprise et améliore l’expérience utilisateur.
La mise en œuvre d’une solution sécurisée incluant le cryptage du protocole ICA, par exemple, nécessite une analyse approfondie des besoins et exigences en matière de sécurité de l’infrastructure cible.
La maîtrise opérationnelle de la sécurisation d’une infrastructure Citrix XenApp repose sur la mise en œuvre de technologies au niveau réseau et au niveau système, comme par exemple le cryptage du protocole ICA.
1. Ports TCP utilisés dans l’environnement Citrix XenApp
L’environnement Citrix XenApp utilise de nombreux ports TCP pour la communication des éléments de l’infrastructure. Les événements d’ouverture et de négociation de session utilisateur, mais aussi de synchronisation et mise à niveau du cache local sollicitent certains de ces ports de communication.
Les ports de communication peuvent être modifiés en fonction des exigences et des spécificités de l’infrastructure cible. La connaissance des ports de communication de l’infrastructure Citrix XenApp est donc requise pour la mise en œuvre de cette plate-forme.
Le tableau ci-dessous identifie les principaux ports utilisés par les composants de la plate-forme Citrix XenApp :
Composant |
Description |
Protocole |
Port |
Ports de communication communs pour l’ensemble des composants |
|||
Protocole HDX/ ICA (Citrix ICA service) |
Communication client-serveur |
TCP |
1494 |
Fiabilité de session |
Fonctionnalité de fiabilité de session (protocole CGP) |
TCP |
2598 |
Citrix Studio |
Console d’administration |
TCP |
80 |
Service XML |
Gestion des requêtes de connexion aux ressources |
TCP |
80/8080/443 |
Receiver |
Client Citrix Receiver |
TCP |
80/443 |
Receiver pour HTML5 |
Client Citrix Receiver pour HTML5 |
TCP |
8008 |
XenServer |
Connexion avec le gestionnaire de pool de ressources XenServer |
TCP |
22/80/443 |
XenApp... |
Gestion de l’authentification
La mise en œuvre de solutions de sécurisation de la gestion de l’authentification sur une plate-forme Citrix XenApp nécessite la compréhension de la gestion de l’authentification en environnement Active Directory.
L’utilisation détaillée de solutions de PKI (Public Key Infrastructure) ne sera pas abordée dans cet ouvrage. Toutefois la sécurisation renforcée de la plate-forme Citrix XenApp demande la mise en œuvre de ce type de solution.
Citrix NetScaler Gateway est un composant disponible pour l’édition Platinum de Citrix XenApp. Citrix NetScaler Gateway est la solution VPN SSL sécurisée proposée par Citrix et optimisée pour l’infrastructure Citrix XenApp.
Vous pouvez utiliser la solution NetScaler Gateway de manière indépendante.
1. Présentation de Citrix NetScaler Gateway
Citrix NetScaler Gateway est la solution de boîtier VPN SSL proposée par Citrix...
Options de sécurisation des composants de la plate-forme Citrix XenApp
1. Sécurisation des serveurs Citrix XenApp
On identifie plusieurs axes de sécurisation des serveurs Citrix XenApp. On distingue en particulier la disponibilité des serveurs au niveau des pools de ressources pour les sessions utilisateur. La défaillance d’un des serveurs ne doit pas compromettre la charge admissible par le pool de ressources pour l’ensemble des sessions utilisateur.
Au niveau du serveur Delivery Controller, vous devez vous assurer contre la défaillance d’un serveur de ce type. L’ajout d’un deuxième serveur Delivery Controller permet d’assurer la redondance et la répartition de charge de ce service. Les deux serveurs sont actifs et indépendants mais membres d’un même site, ce qui permet d’assurer le niveau de service requis sans la contrainte de la mise en œuvre d’une solution de type cluster.
L’agent Virtual Delivery Agent (VDA) doit, dans ce cas, connaître l’ensemble des serveurs Delivery Controller pour pouvoir assurer le processus d’enregistrement sur le site Citrix XenApp.
La protection des serveurs contre les tentatives d’accès non autorisés ou les vulnérabilités du système d’exploitation est également un axe de sécurisation important des serveurs Citrix XenApp. Il est donc recommandé de mettre à jour les serveurs avec les correctifs de sécurité du système d’exploitation et de la couche Citrix XenApp.
Bonnes pratiques pour la configuration d’un client antivirus sur un serveur Citrix XenApp
-
Surveillez uniquement les accès en écriture et limitez la surveillance aux disques locaux.
-
Configurez le client antivirus pour exclure de la surveillance et de l’analyse le fichier d’échange, le dossier d’installation de Citrix et le dossier du spouleur d’impression.
-
Évitez le processus de scannage, qui consomme des ressources systèmes, en période active d’exploitation des serveurs Citrix XenApp. Réservez l’utilisation de ce processus sur des plages horaires hors production.
-
Évitez le démarrage du client antivirus pour tous les utilisateurs de la plate-forme dans la clé Run de la base de registre des serveurs...
Plan de reprise d’activité informatique (PRA)
Vous devez prendre en compte le plan de reprise d’activité informatique dès la phase d’étude et de conception de l’infrastructure Citrix XenApp. Cela implique de réfléchir au plan de sauvegarde et de restauration des éléments constituant l’infrastructure Citrix XenApp, mais aussi au maintien du plan de reprise en situation opérationnelle.
1. Analyse des besoins
La première étape de la mise en œuvre du plan de reprise d’activité informatique concerne l’analyse du besoin. Elle consiste à déterminer, suivant les conventions de services négociées avec le client, le délai de reprise maximal et la perte de données maximale admissible, appelés respectivement Recovery Time Objective (RTO) et Recovery Point Objective (RPO).
La détermination des éléments de RTO et RPO oriente le choix et la mise en œuvre des technologies de sauvegarde et sécurisation de l’infrastructure Citrix XenApp. Par exemple, pour un redémarrage dans l’heure, la réplication ou la mise en cluster de la base de données est la solution la plus pertinente. Dans cet exemple, une sauvegarde puis restauration de la base de données ne permettrait pas le redémarrage du service dans le délai imparti.