Je comprends que les clients utilisent Citrix Receiver (maintenant Workspace) pour se connecter à un ADC, puis ils peuvent télécharger des fichiers ICA pour des applications spécifiques auxquelles ils veulent accéder à distance. Cependant, ma connaissance de Citrix ne dépasse pas cela.
Cela dit, je suis intéressé de savoir s’il existe une pratique recommandée pour faire connecter les utilisateurs finaux en termes d’utilisation de l’ADC dans une DMZ ou en gardant votre ADC accessible uniquement via un VPN. J’ai lu un article de la base de connaissances de Citrix qui décrivait de maintenir l’ADC à jour, d’activer MFA, et de s’assurer que des suites chiffrées sécurisées sont utilisées, mais je ne comprends toujours pas quelle est la meilleure pratique (DMZ ou utilisation uniquement d’un VPN ?).
Est-il considéré comme une implémentation assez sécurisée d’avoir votre ADC dans une DMZ tant que MFA est configuré ? Des choses comme le blocage géographique par IP pour certains pays sont-elles également mises en place ? Le MFA semble être un facteur décisif ici, mais si les identifiants AD d’un utilisateur étaient obtenus via une attaque de phishing (par exemple avec une fausse page ADC) avec le OTP, cela pourrait donner accès. L’autre problème concerne les exploits visant l’ADC qui est en DMZ.
Je m’excuse si je me trompe totalement sur certains points - j’essaie simplement de comprendre.
Toutes tes préoccupations peuvent aussi s’appliquer à l’accès VPN et dans la plupart des cas, la défense dépend de la conscience des utilisateurs.
La décision de mettre l’ADC en DMZ doit être considérée en fonction des ressources publiées, du profil des utilisateurs (seront-ils satisfaits d’accéder uniquement aux ressources publiées par Citrix ou ont-ils besoin d’un accès VPN plus large), de la structure du réseau interne et du coût.
J’avais un client très satisfait d’avoir l’ADC dans la DMZ avec quelques applications, accessibles via portables et iPads.
Un autre a tout misé sur un VPN Cisco en mode toujours connecté. Avec Internet, l’appareil est connecté au réseau de l’entreprise. Ils n’ont pas été convaincus de mettre l’ADC en DMZ, et je comprends leur point.
L’ADC fournit-il une MFA pour les utilisateurs qui doivent se connecter ? J’ai demandé à mon intégrateur système, la réponse est non, il faut implémenter par exemple une infra RSA (coûteuse et hors budget). Mais je n’utilise que XenApp et la base d’utilisateurs n’est pas grande. Existe-t-il une autre solution meilleure ? L’entreprise utilise Okta mais la configuration avec l’équipe responsable est comme escalader le mont Everest.
Si tu as établi une connectivité VPN pour tes utilisateurs, tu peux leur permettre de se connecter directement à storefront. Ou tu peux avoir un Netscaler interne, où les utilisateurs connectés via VPN accèdent à la passerelle du Netscaler interne.
Si tu veux une passerelle externe pour tes utilisateurs, oui, héberge la passerelle en DMZ, uniquement sur le port 443. Assure-toi que tes DDC et serveurs SF ont des certificats liés et configurés pour des connexions HTTPS uniquement.
Et bien sûr, mets en place une MFA (radius) pour l’accès externe. Tu peux le faire avec le rôle de serveur MS NPS, ou Azure MFA. Il y en a d’autres comme RSA et Symantec.
Ce n’est pas tout à fait exact. Le Netscaler peut être utilisé comme VPN mais l’utilisation de connexions ICA uniquement avec Workspace/Receiver ne nécessite pas l’utilisation d’un VPN.
Nous utilisons Azure MFA avec Nfactor et FAS, synchronisé avec notre AD pour Office 365. Nous avons deux DMZ, une DMZ interne pour le storefront et des VIPs WEP pour l’équilibrage de charge, et une DMZ externe pour la VIP de la passerelle externe.
Nous avons récemment mis en place Cisco Duo. Vous l’installez sur vos serveurs d’applications et il demande une 2FA lors de la connexion à la session sur Windows.
J’utilise Okta MFA sur les services ADC depuis quelques années, très facile à configurer avec les tutoriels fournis par Okta, cela peut se faire en moins de 30 minutes. Nous avons des passerelles ICA ainsi que des services SSL/VPN.
L’ADC NetScaler, utilisé avec des applications et bureaux virtuels, serait configuré comme un CAG, qui est un SSL-VPN. Ajouter un VPN devant la fonction du CAG est redondant et inutile.
Il semble que tu suggères d’utiliser un VPN à la place de l’ADC ; ou tu parles d’autres charges que les applications et bureaux virtuels.
Source : je possède toutes les certifications CTXS.
Quand le Netscaler ADC est utilisé avec des applications et bureaux virtuels, il peut être configuré comme SSL VPN, proxy ICA, sans client, navigation sécurisée ou proxy RDP. Le SSL VPN est une de ces options. Lorsque tu dis “NetScaler ADC utilisé avec Virtual Apps and Desktop serait configuré comme un CAG qui est un SSL-VPN” ce n’est pas exact. Je suis d’accord que mettre un VPN devant le Netscaler est redondant, mais ce n’était pas clair si tu parlais du VPN du Netscaler ou d’un autre produit.