Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler.

Citrix NetScaler
Livre blanc
Sécuriser une
infrastructure de
postes virtuels
avec Citrix
NetScaler.
www.citrix.fr
Citrix NetScaler
Livre blanc
Les entreprises adoptent désormais la virtualisation de postes
comme un moyen de réduction des coûts d’exploitation, de
flexibilisation du travail, d’amélioration de la réactivité commerciale
et de renforcement de la sécurité et de la conformité des
données. Mais pour pouvoir réellement tirer profit de ces divers
avantages, il est essentiel d’assurer la sécurité et la disponibilité
de l’infrastructure de postes virtuels. Ce livre blanc explique
pourquoi Citrix® NetScaler® est idéalement adapté à cet objectif.
Grâce à l’intégration d’un large éventail de mécanismes de
protection des couches réseau et applicative, de fonctionnalités
avancées de contrôle d’accès et d’action et de fonctionnalités
supplémentaires de mise à disposition de services, NetScaler
garantit et maximise les avantages associés aux postes virtuels.
L’état de la sécurité grâce à la virtualisation de postes
Passer des environnements et des méthodes de gestion des postes de travail traditionnels aux
technologies et techniques de virtualisation de postes est, partout dans le monde, une initiative
d’importance vitale pour les entreprises de toutes tailles. Ainsi, Gartner prévoit que les utilisateurs
de postes virtuels hébergés seront près de 70 millions d’ici à 2014.1 A l’origine de ce formidable
essor, on trouve un éventail extraordinaire d’avantages. Avec une solution complète de virtualisation
de postes, les entreprises peuvent réduire durablement et significativement leurs coûts de
possession et d’exploitation, permettre la flexibilité du travail, et renforcer leur réactivité
commerciale grâce au soutien rapide des initiatives stratégiques de type fusion et acquisition,
expansion géographique ou accord de partenariat dynamique.
Un autre avantage majeur de la virtualisation de postes est le renforcement considérable de la
sécurité et de la conformité des données. Cet avantage découle principalement de la capacité à
centraliser toutes les données et toutes les applications au sein du datacenter d’entreprise. Les
utilisateurs visualisant et manipulant leurs postes à distance, aucune donnée sensible n’a besoin
de résider sur le périphérique local.
En outre, la sécurité est également renforcée parce que la centralisation des postes, des applications
et des systèmes d’exploitation renforce le contrôle des administrateurs informatiques sur ces
ressources cruciales. Le contrôle centralisé ne se contente pas de faciliter la standardisation pour
réduire la complexité, les coûts et la surface de vulnérabilité de l’entreprise, il favorise également
la simplicité, la rapidité et la rigueur avec laquelle les mises à jour et les correctifs de sécurité sont
appliqués. Un des autres avantages du modèle centralisé est que l’octroi et la suppression des
droits d’accès et des privilèges peuvent s’effectuer d’une manière rapide et efficace. De plus,
les utilisateurs n’ont plus besoin de restituer des données, des logiciels ou des périphériques
distribués, puisque grâce à la virtualisation de postes, plus rien n’est distribué.
1
“Forecast: Hosted Virtual Desktops, Worldwide, 2010-2014,” Gartner, novembre 2010.
www.citrix.fr
2
Citrix NetScaler
3
Livre blanc
Rien n’est gratuit
La virtualisation de postes a clairement beaucoup à offrir aux entreprises. Cependant, pouvoir
bénéficier pleinement de ses avantages n’est pas automatique. Afin de préserver les gains
potentiels de cette technologie, les entreprises doivent, entre autres, garantir la sécurité de leur
environnement de virtualisation de postes. Au prime abord, cela peut faire penser à un cercle
vicieux (les entreprises doivent investir dans un premier ensemble de fonctionnalités de sécurité
pour bénéficier réellement des avantages d’un second ensemble de fonctionnalités), et en
l’occurrence, c’est exactement le cas. De robustes fonctionnalités de sécurité sont absolument
essentielles pour plusieurs raisons :
• Accès distant. Avec l’essor des initiatives de mobilité et de télétravail, un pourcentage significatif
d’utilisateurs est susceptible de devoir accéder aux postes de travail depuis un site distant, et
bien souvent via un réseau public non sécurisé.
• Prolifération des périphériques. La consumérisation a rendu nécessaire la prise en charge
d’un éventail toujours plus étendu de périphériques clients, chacun doté de ses propres
caractéristiques et profils de sécurité. La situation est en outre encore compliquée par le fait
que la plupart de ces périphériques ne sont plus détenus et contrôlés par l’entreprise. Le
point important à souligner, c’est que dans tous les cas, même si la virtualisation de postes
permet d’éliminer l’hébergement local de données sensibles, un périphérique client compromis
demeure toujours une menace. Les données sensibles peuvent toujours être visualisées et
les droits attribués au périphérique ou à son utilisateur peuvent être exploités pour lancer une
attaque dévastatrice.
• Etendue de l’accès. Grâce à la virtualisation de postes, les utilisateurs accèdent à des postes
de travail complets. Ils peuvent ainsi accéder non seulement à leurs applications et à leurs
données personnelles, mais également à toutes les ressources de l’entreprise auxquelles leur
poste est en droit d’accéder. Cet état de fait rend considérablement plus cruciale l’importance
de la sécurité en général, et du contrôle d’accès en particulier.
• Concentration des ressources. Disposer de défenses robustes est d’autant plus important
que la virtualisation de postes implique de mettre de nombreux œufs dans le même panier.
Contrairement à ce qui était le cas avec les postes traditionnels distribués, une seule et même
attaque réussie peut désormais impacter un nombre considérable d’utilisateurs et de postes
de travail.
Il faut également avoir une vision plus large du problème. Les pirates modernes sont
extrêmement motivés et bien organisés, et cherchent à occasionner un maximum de dommages
à partir de données de valeur. De fait, disposer de défenses robustes devient un impératif, ne
serait-ce que pour assurer la protection de son environnement dans un paysage de menaces de
plus en plus hostile et sophistiqué.
En quoi Citrix NetScaler vous aide-t-il ?
Solution avancée de mise à disposition d’applications et de services cloud et d’entreprise, NetScaler
offre un éventail étendu de fonctionnalités qui en font un système de protection frontal idéal pour
toute infrastructure de virtualisation de postes. Les multiples mécanismes et fonctionnalités de
sécurisation de NetScaler, particulièrement adaptés au contexte décrit précédemment, contribuent
à protéger efficacement votre infrastructure de postes virtuels. Ces fonctionnalités sont regroupées
en trois catégories.
Client
Citrix
NetScaler
• Accès sécurisé
• Sécurité applicative • Haute disponibilité
www.citrix.fr
Infrastructure de
postes virtuels
Citrix NetScaler
Livre blanc
Protection de la couche réseau
Citrix NetScaler en bref
NetScaler est une solution
d’entreprise qui améliore
cinq fois la performance
des applications et des
services, grâce à une
combinaison puissante
de fonctionnalités réseau
d’accélération applicative,
de délestage des serveurs,
de haute disponibilité et de
sécurisation applicative.
Solution éprouvée,
NetScaler est utilisé par les
principaux sites Web, dans
le monde entier. On estime
que 75% des internautes
accèdent quotidiennement à
un site délivré par NetScaler.
De plus, des milliers
d’entreprise s’appuient sur
NetScaler pour leurs sites
Web publics, leur intranet
et leur mise à disposition
de postes virtuels.
NetScaler protège la couche réseau des infrastructures VDI de plusieurs façons. Pour commencer,
les administrateurs peuvent utiliser NetScaler pour appliquer directement un contrôle d’accès de
base à l’aide des listes de contrôle d’accès (ou ACL) des couches 3 et 4, afin d’autoriser de manière
sélective le trafic autorisé et de bloquer le trafic jugé peu sûr. En outre, diverses fonctionnalités clés
de conception permettent de protéger efficacement toute infrastructure NetScaler. Par exemple,
NetScaler intègre une pile TCP/IP hautement performante et conforme aux normes, spécialement
améliorée pour :
• automatiquement abandonner le trafic malformé et pouvant représenter une menace pour
toute l’infrastructure de postes virtuels,
• prévenir la divulgation de données de connexion de base (adresses IP, numéros de ports
serveur, etc.) potentiellement utiles aux pirates souhaitant perpétrer une attaque,
• entraver automatiquement de nombreuses attaques de type déni de service exploitant les
failles des protocoles courants.
Protection de la couche applicative
En remontant plus haut dans la pile informatique, on trouve une autre fonctionnalité de
conception de NetScaler particulièrement intéressante : son architecture proxy. Associée
aux fonctionnalités de réécriture d’URL/HTTP et de filtrage de contenu de la couche 7, cette
architecture permet à NetScaler de :
• protéger les gestionnaires de connexion et autres composants VDI placés en aval contre
les connexions directes UDP et TCP initiées par des utilisateurs externes, réduisant ainsi
l’exposition aux malwares et autres types d’attaques,
• garantir le masquage et la sécurisation du contenu de ces mêmes composants afin de cacher
efficacement les codes d’erreur serveur, les URL réelles et les autres données pouvant fournir
aux pirates les informations dont ils ont besoin pour formuler leurs attaques personnalisées.
De nombreux environnements VDI contiennent des composants Web exigeant également une
robuste protection contre les attaques. Le pare-feu intégré NetScaler App FirewallTM assure
une protection efficace contre les attaques de la couche applicative (injection SQL, cross-site
scripting, dépassement de tampon, etc.).
NetScaler App Firewall offre :
• un modèle de sécurité hybride et flexible qui assure une protection efficace contre les vulnérabilités
connues, en s’appuyant sur une base de signatures d’attaques régulièrement mise à jour et sur
un modèle de sécurité positive permettant de contrer les attaques de type « zero day » pour
lesquelles aucune signature n’est encore connue,
• des modèles et stratégies de sécurité simples à configurer, qui garantissent un déploiement et
une gestion à la fois simples et rapides,
• une intégration complète à NetScaler, permettant de gérer la sécurité et la disponibilité du VDI
à partir d’une seule console et de stratégies communes.
La protection de la couche applicative est également renforcée par l’amélioration de la prise en
charge des clés de chiffrement SSL 2 048 bits. Conformément aux directives de la publication
spéciale 800-57 du NIST, les longueurs de clé des certificats prenant en charge le chiffrement à
clé publique (un composant sous-jacent du chiffrement SSL) sont désormais fixées de façon
standard à 2 048 bits (contre 1 024 bits auparavant). Ce doublement de la taille de clé constitue
une augmentation exponentielle du nombre de cycles CPU nécessaire au traitement des
transactions SSL (cinq fois plus en moyenne). Afin de simplifier le passage aux certificats SSL
2 048 bits, NetScaler augmente significativement les performances SSL grâce à diverses
fonctionnalités d’accélération avancée, permettant ainsi aux entreprises de ne pas avoir à sacrifier
leur sécurité pour préserver leurs performances.
www.citrix.fr
4
Citrix NetScaler
Livre blanc
Contrôle d’accès et d’action avancé
Composant intégré au produit, NetScaler Access Gateway™ est un VPN SSL complet qui offre
aux administrateurs un contrôle granulaire sur les applications tout en offrant aux utilisateurs un
accès distant à leurs postes virtuels depuis tout endroit. Grâce à Access Gateway, les administrateurs
informatiques peuvent gérer le contrôle d’accès et limiter les actions possibles au sein des sessions
en fonction de l’identité de l’utilisateur et de la nature du périphérique qu’il utilise. Le résultat ?
Une sécurité applicative, une protection des données et une gestion de la conformité réglementaire
considérablement simplifiées et renforcées, sans qu’il ne soit nécessaire de déployer un
quelconque périphérique supplémentaire.
En premier lieu, Access Gateway prend en charge l’accès distant aux postes virtuels en fournissant
un tunnel chiffré et en acceptant un large éventail de méthodes d’authentification des utilisateurs.
Les sessions de postes de travail traversant les réseaux publics sont efficacement protégées
contre les tentatives d’interception, et l’entreprise peut continuer à utiliser son infrastructure existante
de gestion des identités et des annuaires.
Ensuite, Access Gateway permet un contrôle d’accès granulaire et adaptatif. Grâce à Access
Gateway, les administrateurs peuvent étroitement contrôler l’accès aux postes virtuels à l’aide
de stratégies composées d’attributs fixes et dynamiques (identité et fonction de l’utilisateur,
niveau de l’authentification, localisation, moment de la journée, identité et statut de sécurité du
périphérique client, etc.). Un autre mécanisme clé de sécurisation est associé à cette dernière
fonctionnalité : l’analyse du point de connexion. L’analyse intégrée du point de connexion peut
servir à surveiller en permanence les périphériques clients afin de déterminer si les logiciels de
sécurité clients (antivirus, pare-feu personnel ou autres programmes obligatoires) sont bien actifs
et mis à jour. Les périphériques qui échouent à ces contrôles se voient refuser l’accès, accorder
un accès limité ou sont mis en quarantaine et leur accès est limité aux sites leur fournissant les
outils nécessaires à la restauration d’une configuration conforme.
Les fonctionnalités de contrôle avancé des données et des actions constituent une couche
supplémentaire cruciale de protection, indispensable du fait de la prolifération des périphériques
clients et de l’essor de la consumérisation. Quelques autres fonctionnalités associées :
• contrôle renforcé du split tunneling : les utilisateurs peuvent accéder à leur poste et au sousréseau local du client, mais n’accèdent pas directement à Internet
• contrôle d’action adaptatif : l’impression, la copie, le collage et la sauvegarde en local sont
restreints à l’aide de stratégies adaptatives
• nettoyage de cache de navigateur : les données et les objets stockés sur le navigateur local
sont supprimés dès l’achèvement de la session de poste virtuel
Outre ce portefeuille étendu de fonctionnalités de protection, NetScaler offre de nombreuses
fonctionnalités de tenue de journaux, d’audit et de publication de comptes-rendus, toutes délivrées
via la console de gestion centralisée de NetScaler : Citrix Command Center. Ces fonctionnalités
sont non seulement indispensables au dépannage, mais également à la détection de toute utilisation
frauduleuse ou de tout indice pouvant révéler l’existence d’un poste virtuel ou d’un client compromis,
voire d’une attaque plus large ciblant l’environnement de postes virtuels de l’entreprise.
Considérations complémentaires
La sécurisation du réseau n’est qu’un composant de la stratégie globale de sécurisation du VDI,
mais un composant essentiel. Ce n’est également que l’un des nombreux domaines dans lequel
NetScaler a beaucoup à offrir.
Au delà de NetScaler
Aussi efficaces que puissent être les fonctionnalités de NetScaler en matière de protection
des postes virtuels, elles ne doivent demeurer qu’un composant parmi d’autres au sein d’une
stratégie globale de sécurisation de l’environnement VDI. Car au delà de la sécurité du réseau,
les entreprises doivent penser à assurer :
www.citrix.fr
5
Citrix NetScaler
Livre blanc
• La sécurité des clients. Malgré les avantages du modèle d’exploitation centralisé des postes
virtuels, un périphérique client compromis demeure toujours une menace. Les fonctionnalités
d’analyse du point de connexion, de contrôle d’action et de nettoyage des données de NetScaler
sont donc essentielles. Mais dans certains scénarios d’accès à haut risque, il peut être nécessaire
de les compléter par la mise en œuvre d’une suite complète de logiciels de sécurisation des
points de connexion.
• La sécurité des systèmes virtuels. Ce qui implique le maintien d’un suivi des machines
virtuelles (afin de s’assurer que les postes virtuels utilisent les dernières versions totalement
corrigées des systèmes d’exploitation et des applications, de supprimer les machines virtuelles
qui ne sont plus utilisées, etc.). Et implique également de garantir l’isolation de tous les composants
VDI et le chiffrement éventuel des volumes de stockage associés étant donné la concentration
des ressources concernées.
• La sécurité des postes virtuels. Le VDI met en fait le périphérique de l’utilisateur (avec tous
les risques que comporte la connexion au réseau d’ordinateurs dotés de niveaux de confiance
variés) directement au contact du datacenter de l’entreprise. De fait, il est impératif d’envisager
la mise en œuvre (au niveau des machines virtuelles et/ou de l’hyperviseur) d’agents antimalware
et antivirus, de logiciels de prévention des menaces et de suivi de l’activité. Il peut également
être utile de créer différentes classes d’utilisateurs avec différentes configurations de postes
virtuels, pour pouvoir ainsi différencier les machines virtuelles en fonction de leur niveau de
confiance respectif.
Au delà de la sécurité
En soi, sécuriser de façon adéquate l’infrastructure de postes virtuels ne suffit pas à préserver
totalement les avantages offerts par la virtualisation de postes. Les entreprises doivent également
garantir la disponibilité, les performances et l’évolutivité de toutes les solutions qu’elles décident
de mettre en œuvre. Après tout, à quoi peut servir un environnement de postes virtuels hautement
sécurisé s’il n’est pas disponible en permanence ? Ou si ses performances sont si médiocres
que les utilisateurs ont l’impression qu’il est indisponible alors qu’il ne l’est pas ?
C’est pourquoi la présence de NetScaler en solution frontale est si indispensable pour toute
infrastructure VDI d’entreprise. Outre son très large éventail de fonctionnalités de sécurité réseau,
NetScaler offre :
• une combinaison de fonctionnalités avancées de répartition de la charge serveur, de répartition
globale de la charge serveur et de contrôle d’état, afin de garantir la disponibilité continue des
postes virtuels et la continuité de service,
• un ensemble étendu de mécanismes qui améliorent non seulement les performances des
postes virtuels sur le réseau, mais rationalisent également l’expérience des utilisateurs,
• des fonctionnalités de distribution intelligente des charges et de délestage des serveurs qui
permettent une évolutivité transparente des infrastructures de postes virtuels.
Conclusion
Proposé sous la forme d’une appliance matérielle haute performance ou d’une appliance virtuelle
logicielle particulièrement flexible, NetScaler peut être déployé facilement et à moindre coût en
amont des solutions modernes de virtualisation de postes. En offrant un ensemble complet et
puissant de fonctionnalités de sécurisation de la couche réseau, de sécurisation de la couche
applicative et de contrôle avancé des données et de l’accès, NetScaler préserve et étend les
avantages dont l’entreprise peut bénéficier en adoptant la virtualisation de postes. Bien plus
qu’une simple solution de sécurité, NetScaler aide également les responsables informatiques à
améliorer significativement la disponibilité, les performances et l’évolutivité de leur environnement
de postes virtuels.
www.citrix.fr
6
Citrix NetScaler
7
Livre blanc
Siège en
Europe du Sud
Succursale en
Belgique
Succursale au
Canada
Siège en
Europe
Citrix Systems SARL
7, place de la Défense
92974 Paris la Défense
4 Cedex, France
Tel: +33 1 49 00 33 00
Citrix Systems
Belgium BVBA
Pegasuslaan 5
1831 Diegem
Belgique
Tel: +32 2 709 2231
Citrix Systems Canada
2680 Skymark Avenue,
Suite 200
Mississauga,
ON L4W 5L6
Canada
Tel: +1 905 602 6031
Citrix Systems
International GmbH
Rheinweg 9
8200 Schaffhausen
Switzerland
Tel: +41 52 635 7700
Siège aux
Etats-Unis
Citrix Online
Division
Citrix Systems, Inc.
851 West Cypress
Creek Road
Fort Lauderdale,
FL 33309, USA
Tel: +1 800 393 1888
Tel: +1 954 267 3000
5385 Hollister Avenue
Santa Barbara,
CA 93111
Tel: +1 805 690 6400
À propos de Citrix
Citrix Systems, Inc. (NASDAQ:CTXS) est l’entreprise qui révolutionne la façon dont les individus, les entreprises et les directions
informatiques travaillent et collaborent dans l’ère du cloud. Grâce à ses technologies leaders dans les domaines du cloud, de la
collaboration, de la mise en réseau et de la virtualisation, Citrix favorise le travail mobile et l’adoption des services cloud, en rendant
l’informatique de 260 000 entreprises plus simple et plus accessible. Citrix touche quotidiennement 75% des utilisateurs Internet et
dispose d’un réseau de plus de 10 000 partenaires et revendeurs dans plus de 100 pays. Le chiffre d’affaires annuel de l’entreprise
a atteint 2,21 milliards de dollars en 2011.
© 2012 Citrix Systems, Inc. Tous droits réservés. Citrix®, NetScaler ®, NetScaler App Firewall™ et NetScaler Access Gateway™ sont des
marques commerciales de Citrix Systems, Inc. et/ou de l’une ou plusieurs de ses filiales, et peuvent être déposées aux Etats-Unis ou
dans d’autres pays. Toutes les autres marques commerciales et marques déposées appartiennent à leurs propriétaires respectifs.
0512/PDF
www.citrix.com