Je comprends que les clients utilisent Citrix Receiver (maintenant Workspace) pour se connecter à un ADC, puis ils peuvent télécharger des fichiers ICA pour des applications spécifiques pour lesquelles ils souhaitent ouvrir une session à distance. Cependant, mes connaissances sur Citrix ne vont pas plus loin.
Cela dit, je souhaite savoir s’il existe une pratique recommandée pour que les utilisateurs finaux se connectent, notamment en utilisant la mise en place de l’ADC dans une DMZ ou en gardant votre ADC accessible uniquement via un VPN. J’ai lu un article de la base de connaissances de Citrix qui recommandait de maintenir l’ADC à jour, d’activer la MFA, et de s’assurer que des suites de chiffrement sécurisées soient utilisées, mais je ne comprends toujours pas quelle est la meilleure pratique (DMZ ou uniquement VPN ?).
Est-il considéré comme une implémentation assez sécurisée d’avoir votre ADC dans une DMZ tant que la MFA est configurée ? Des choses comme le blocage géographique des IP pour certains pays sont-elles généralement réalisées aussi ? La MFA semble être un facteur déterminant ici, mais si les identifiants AD d’un utilisateur sont phishés (par exemple via une page ADC factice) avec le OTP, cela pourrait ouvrir une porte. L’autre exemple concerne des exploits visant l’ADC puisqu’il est dans une DMZ.
Je m’excuse si je me trompe sur certains points — j’essaie simplement de comprendre.
Toutes vos inquiétudes peuvent également s’appliquer à l’accès VPN, et dans la plupart des cas, la défense repose sur la sensibilisation des utilisateurs.
La décision de mettre l’ADC dans une DMZ doit être considérée dans le contexte des ressources publiées, du profil des utilisateurs (seront-ils satisfaits d’un accès uniquement aux ressources publiées via Citrix ou ont-ils besoin d’un accès VPN plus large), de la structure du réseau interne et du coût.
J’avais un client qui était très satisfait des ADC en DMZ, les utilisateurs n’avaient besoin que de quelques applications et y accédaient avec des laptops et des iPads.
Un autre a opté pour un VPN Cisco toujours activé. L’appareil a internet = il est connecté au réseau de l’entreprise. Ils n’ont pas été convaincus de mettre l’ADC en DMZ, ce qui me semble compréhensible.
L’ADC offre-t-il une MFA pour les utilisateurs qui doivent se connecter ? J’ai demandé à mon intégrateur système, la réponse est non, nous devons implémenter par exemple une infra RSA (coûteuse et hors budget). Mais je n’utilise que XenApp et la base des utilisateurs n’est pas grande. Existe-t-il une autre meilleure solution ? L’entreprise utilise Okta mais la mettre en place avec l’équipe responsable est comme escalader l’Everest.
Si vous avez une connectivité VPN établie pour vos utilisateurs, vous pouvez leur faire se connecter directement à storefront. Ou vous pouvez avoir un Netscaler interne, où les utilisateurs VPN se connectent à la passerelle interne de Netscaler.
Si vous souhaitez une accès à la passerelle externe pour vos utilisateurs, oui, hébergez-la en DMZ, uniquement sur le port 443. Assurez-vous que vos DDC et serveurs SF ont des certificats liés et configurés pour des connexions HTTPS uniquement.
Et mettez en œuvre la MFA (radius) pour l’accès externe. Vous pouvez faire cela avec le rôle serveur MS NPS ou Azure MFA. Il y en a d’autres comme RSA et Symantec.
Ce n’est pas tout à fait exact. Le Netscaler peut être utilisé comme VPN, mais l’utilisation de connexions ICA uniquement avec Workspace/Receiver n’a pas besoin d’un VPN.
Nous utilisons MFA Azure avec Nfactor et FAS, synchronisé avec notre AD pour Office 365. Notre configuration comprend deux DMZ : une DMZ interne pour le storefront et des VIP WEP pour l’équilibrage de charge, et une DMZ externe pour la VIP de la passerelle externe.
J’utilise Okta MFA sur les services ADC depuis quelques années, très facile à configurer avec les tutoriels inclus d’Okta, un en moins de 30 minutes. Nous avons des passerelles ICA ainsi que des services SSL/VPN.
Le ADC NetScaler, lorsqu’il est utilisé avec des Applications et Desktops Virtuels, serait configuré comme un CAG, ce qui est un SSL-VPN. Ajouter un VPN devant la fonctionnalité CAG serait redondant et inutile.
Il semble que tu suggères qu’ils utilisent un VPN à la place de l’ADC ; ou que tu parles d’autres charges en plus des Applications et Desktops Virtuels.
Source : Je possède toutes les certifications CTXS.
Lorsque le Netscaler ADC est utilisé avec des Applications et Desktops Virtuels, il peut être configuré en tant que SSL VPN, proxy ICA, sans client, navigation sécurisée ou proxy RDP. Le SSL VPN est une de ces options. Lorsque tu dis “NetScaler ADC utilisé avec Virtual Apps and Desktop serait configuré comme un CAG qui est un SSL-VPN” ce n’est pas correct. Je suis d’accord que rajouter un VPN devant le Netscaler est redondant, mais honnêtement, il n’était pas clair pour moi si l’OP parlait du VPN Netscaler ou d’un autre produit.