Configuration
Utilisez le portail de stratégie de configuration Citrix Secure Internet Access (CSIA) pour configurer les connecteurs cloud et les stratégies de sécurité, ainsi que pour surveiller les rapports et les journaux.
Pour accéder au portail des stratégies de configuration :
-
Connexion à Citrix Cloud
-
Sur la vignette Accès Internet sécurisé, sélectionnez Gérer
-
Dans le volet de navigation, sélectionnez Configuration
La page Configuration répertorie également les détails concernant les nœuds de cloud qui ont été configurés pour vous. Toutes les configurations que vous effectuez sont connectées à ces nœuds.
-
Sélectionnez Ouvrir la configuration Citrix SIA pour afficher le portail de stratégie de configuration et commencer à configurer les fonctionnalités et les stratégies de sécurité.
Comment obtenir de l’aide sur la configuration
Pour obtenir des instructions sur la configuration ou obtenir de l’aide sur n’importe quelle page de configuration, vous pouvez effectuer l’une des opérations suivantes :
-
Accédez à la documentation d’aide. Dans le coin supérieur droit du portail de stratégie de configuration, cliquez sur le menu (où votre nom apparaît) et sélectionnez HelpDocs. Vous pouvez consulter la documentation d’aide complète.
Remarque
La documentation d’aide inclut des références à la terminologie iboss, aux éléments de l’interface utilisateur iboss, aux fonctionnalités iboss non prises en charge par Citrix et aux informations de support iboss.
Consultez l’article suivant avant d’utiliser la documentation d’aide : Citrix Secure Internet Access et intégration iboss. Vous pouvez accéder à cet article uniquement après vous être connecté à Citrix Secure Internet Access.
-
Accédez à l’aide contextuelle. Dans le coin supérieur droit de chaque page de configuration, sélectionnez l’ icône d’aide (?) pour afficher la documentation d’aide relative à cette page.
-
Contactez l’assistance Citrix. Connectez-vous avec votre compte Citrix et ouvrez un dossier de support, démarrez un chat en direct ou explorez les autres options disponibles pour recevoir de l’aide.
Configurer les agents Citrix Secure Internet Access Cloud Connector
Les agents CSIA Cloud Connector sont des agents logiciels qui redirigent le trafic Internet via Citrix Secure Internet Access.
Une fois votre processus d’intégration terminé, procédez comme suit :
-
Installer l’agent CSIA Cloud Connector sur Virtual Delivery Agent (VDA) : pour accéder en toute sécurité aux applications Web et SaaS non autorisées à partir de bureaux virtuels sur Citrix Workspace, configurez les agents CSIA Cloud Connector pour rediriger le trafic via Citrix Secure Internet Access.
Pour connaître les étapes de configuration détaillées, consultez Citrix Secure Internet Access avec Citrix Virtual Apps and Desktops.
-
Installez l’agent Cloud Connector CSIA sur votre appareil hôte : pour accéder en toute sécurité au trafic Internet direct de vos systèmes hôtes tels que les ordinateurs portables et les appareils mobiles, installez des agents Cloud Connector sur chaque appareil.
Configurer les tunnels pour les succursales
Si vous avez un déploiement Citrix SD-WAN dans votre succursale, vous devez configurer des tunnels IPSEC ou GRE. Cela redirige le trafic des succursales vers des applications Web et SaaS non autorisées via Citrix Secure Internet Access. Vous utilisez Citrix SD-WAN Orchestrator pour configurer les tunnels.
Sur Citrix SD-WAN Orchestrator, le service Citrix Secure Internet Access est disponible dans Configuration > Services de livraison > Service et bande passante.
Remarque
Le lien de service n’est visible que si vous êtes un client SD-WAN Orchestrator et que vous disposez des droits Citrix Secure Internet Access.
La configuration inclut les étapes de haut niveau suivantes :
-
Créez un service Citrix Secure Internet Access en spécifiant le pourcentage de bande passante et le pourcentage de provisionnement pour les liens Internet.
-
Ajoutez et mappez des sites SD-WAN au service Citrix Secure Internet Access et sélectionnez le tunnel approprié (IPSEC ou GRE). Activez ensuite la configuration pour activer l’établissement d’un tunnel entre Citrix SD-WAN et le PoP Citrix Secure Internet Access.
-
Créez des itinéraires d’application pour orienter le trafic dans les tunnels.
Pour obtenir des instructions détaillées, reportez-vous à la section Services de mise à disposition - Service Citrix Secure Internet Access.
Réaffectation des utilisateurs
Vous pouvez réduire la latence pour les utilisateurs situés dans des emplacements particuliers en redistribuant les nœuds de cloud au sein d’une région géographique.
Vous pouvez faire une demande de redistribution à la fois des nœuds de rapport qui collectent des données d’utilisation et des nœuds de passerelle qui exécutent des fonctions de sécurité. Citrix vise à fournir les nœuds les plus proches des utilisateurs en fonction de la disponibilité des nœuds.
Important
La réallocation des nœuds entraîne une brève interruption du service. L’opération est généralement effectuée immédiatement après l’activation du compte, avant la configuration et la distribution des connecteurs clients. Citrix vous recommande de demander la réallocation des nœuds au début du déploiement afin de réaligner les nœuds les plus proches des utilisateurs et de réallouer les nœuds peu fréquemment.
Vous pouvez également déplacer des utilisateurs entre des nœuds ou les ajouter à un nœud s’ils ne sont pas déjà alloués à un nœud.
Pour afficher, redistribuer et gérer les nœuds, accédez à l’onglet Configuration dans le menu de gauche et sélectionnez Demander la réallocation des utilisateurs au-dessus du tableau.
Remarque
Vous ne pouvez redistribuer les nœuds que dans la même région géographique.
Paramètres du cloud
Pour configurer les paramètres de votre serveur NTP (Network Time Protocol), la maintenance de la plateforme et les versions de mise à jour, accédez à l’onglet Configuration et sélectionnez Paramètres du cloud.
Paramètres du compte
La fonctionnalité Paramètres du compte permet de modifier/remplacer le nom du compte d’utilisateur qui apparaît pour votre compte dans le portail de services Citrix Secure Internet Access.
Pour remplacer le nom du compte, accédez à Configuration > Paramètres du cloud > Paramètres du compte.
Vous pouvez consulter le numéro de compte Citrix Secure Internet Access.
Remarque
Le nom de compte initialement configuré est toujours présent dans le portail CSIA si vous n’avez créé aucun nom ou si le nom de compte de remplacement est désactivé.
-
Activez l’ option Remplacer le nom du compte et saisissez un nom. Par défaut, le nom de compte de remplacement est désactivé.
Attendez un certain temps pour afficher le nom de compte mis à jour sur le portail. Il se peut que vous deviez vous reconnecter une fois le nom du compte modifié.
-
Cliquez sur Enregistrer.
Serveur NTP
Pour synchroniser la date et l’heure, accédez au serveur NTP sous Paramètres du cloud. Entrez le fuseau horaire, le format de date, l’adresse du serveur NTP et les informations d’heure d’été.
Le fuseau horaire définit l’heure standard régionale utilisée pour les horodatages. Après avoir modifié le fuseau horaire, les horodatages des événements dans les rapports seront décalés pour s’aligner sur le nouveau fuseau horaire et maintenir la continuité. Les horodatages sont relatifs au nouveau fuseau horaire.
Le format de date définit la structure de la date sous forme numérique. Ce paramètre peut être réglé sur jj/mm/aaaa oujj/mm/aaaa**.
Le serveur NTP définit l’adresse du serveur NTP.
L’heure d’été définit si le fuseau horaire est conforme à l’heure d’été. Ce paramètre peut être défini sur États-Unis ou Royaume-Uni selon la région du fuseau horaire.
Maintenance des plateformes
Cette fonctionnalité vous permet de planifier les jours et les heures de maintenance afin de vous assurer que votre réseau est disponible pendant les heures de pointe.
Pour planifier la maintenance automatique effectuée en votre nom, accédez à Maintenance de la plateforme sous Paramètres du cloud, puis activez Fenêtre de maintenance préférée. Sélectionnez ensuite vos dates et heures préférées pour la maintenance automatique.
Paramètres de mise à jour
Pour choisir les types de mises à jour qui sont installées en votre nom, accédez aux paramètres de mise à jour des versions sous Paramètresdu cloud, puis sélectionnez l’un des niveaux de version suivants :
- Obligatoire, pour les mises à jour critiques de la plate-forme et les correctifs de sécurité, y compris les nouvelles fonctionnalités, les mises à jour des fonctionnalités, les corrections de bugs
- Facultatif, pour les versions recommandées mais qui n’incluent pas de correctifs critiques.
- Accès anticipé, pour un accès anticipé aux nouvelles fonctionnalités, aux mises à jour, aux corrections de bogues et aux améliorations des performances.
Paramètres de messagerie
Vous pouvez configurer les paramètres du serveur de messagerie pour relayer les e-mails contenant des alertes, des rapports planifiés et d’autres notifications. Pour autoriser les passerelles Web et les nœuds de création de rapports à envoyer des notifications par e-mail, remplissez le formulaire dans Paramètres de messagerie sous Paramètres du cloud. Ce processus implique la configuration de l’adresse du serveur SMTP afin que vous puissiez recevoir des notifications par e-mail.
Vous pouvez vérifier les paramètres d’e-mail à l’aide de l’option Tester les paramètres d’e-mail . Vous pouvez également renseigner les paramètres de messagerie par défaut à l’aide du bouton Définir les paramètres par défaut .
Configurez les adresses e-mail pour recevoir des alertes utilisateur et des demandes d’exception d’URL.
- E-mail d’alerte : adresse de destination des alertes déclenchées par des mots clés à haut risque.
- E-mail d’exception d’URL : adresse de destination pour les demandes d’exception d’URL envoyées à partir de pages de blocage.
Remarque
Des alertes par e-mail supplémentaires sont disponibles sur la page Alertes en temps réel .
Remarque :
En règle générale, les serveurs SMTP sont configurés avec des listes d’autorisation basées sur l’adresse IP pour empêcher le spam. Vous devez donc ajouter les adresses IP de tous les nœuds à la liste d’autorisation du serveur SMTP.
Pour réduire le spam, les serveurs SMTP utilisent parfois d’autres mécanismes, tels que DKIM. Il peut être nécessaire d’exempter les passerelles Web et les nœuds de reporting de ces restrictions sur le serveur SMTP.
Si vous ne disposez pas de votre propre serveur SMTP interne, vous pouvez utiliser l’un des services SMTP de Google. Pour cela, vous devez disposer d’un compte Gmail valide.
Les serveurs SMTP de Google utilisent les ports 25, 465, 587 ou une combinaison de ceux-ci. Le plus populaire est smtp.gmail.com, qui utilise les ports 465 (avec SSL) ou 587 (avec TLS).
Remarque :
Les serveurs SMTP écoutent généralement les ports TCP 25, 465 ou 587, mais peuvent écouter n’importe quel port sur lequel ils sont configurés pour fonctionner. Le protocole SMTP sur SSL utilise le port 465 et le protocole SMTP sur TLS utilise le port 587. Les ports 465 et 587 nécessitent des services d’authentification. Le port 25 n’est pas chiffré et ne nécessite aucune authentification.
Lorsque vous travaillez avec des passerelles Web locales ou des nœuds de reporting, assurez-vous que les ports requis ne sont pas restreints.
Les configurations pour chacun des trois serveurs SMTP de Google sont les suivantes :
Nom de domaine complet | Configuration requise | Configuration requise pour l’authentification |
---|---|---|
smtp-relay.gmail.com | Port 25, 465 ou 587, avec les protocoles Secure Socket Layer (SSL) ou TLS (Transport Layer Security), et une ou plusieurs adresses IP statiques. | Adresse IP. |
smtp.gmail.com | Port 465 avec SSL ou port 587 avec TLS. Les adresses IP dynamiques sont autorisées. | Votre adresse e-mail complète Gmail ou G Suite. |
aspmx.l.google.com | Le courrier ne peut être envoyé qu’aux utilisateurs de Gmail ou de G Suite. Les adresses IP dynamiques sont autorisées. | Aucune. |
smtp-relay.gmail.com est utilisé pour envoyer des messages de votre organisation en s’authentifiant avec les adresses IP associées. Vous pouvez envoyer des messages à toute personne se trouvant à l’intérieur ou à l’extérieur de votre domaine en utilisant les ports 25, 465 ou 587.
smtp.gmail.com est utilisé pour envoyer des e-mails à toute personne se trouvant à l’intérieur ou à l’extérieur de votre domaine. Vous devez vous authentifier à l’aide de votre compte Gmail ou G Suite et de votre mot de passe. Vous pouvez utiliser SMTP sur SSL (port 465) ou TLS (port 587).
aspmx.l.google.com est utilisé pour envoyer des messages aux utilisateurs de Gmail ou de G Suite uniquement. Cette option ne nécessite pas d’authentification. Vous ne pouvez pas utiliser SSL ou TLS avec ce serveur SMTP, et le trafic est donc en texte brut, ce qui n’est pas recommandé.
Journalisation anonymisée
Pour des raisons de conformité réglementaire et de confidentialité, la journalisation anonymisée dans les paramètres du cloud crypte les informations utilisateur personnelles que les administrateurs délégués utilisent pour surveiller l’utilisation du réseau.
Vous devez créer une clé de chiffrement avant d’activer la journalisation anonymisée en sélectionnant le bouton Ajouter une clé sous l’option Activer la journalisation anonymisée . Entrez une valeur de 64 caractères pour la clé de chiffrement dans le champ Clé de chiffrement . Vous pouvez entrer votre propre clé de chiffrement ou utiliser l’option Générer automatiquement la clé .
Important :
Citrix vous recommande vivement d’enregistrer la clé de chiffrement dans un emplacement distinct avant de continuer. Vous avez besoin de la clé de chiffrement pour déchiffrer les données qui lui sont associées tant qu’elles sont actives sur la plateforme.
Vous pouvez configurer une clé pour chiffrer les données identifiables d’une catégorie particulière en activant les options suivantes sous Chiffrer les catégories :
- Informations personnelles. Active et désactive le chiffrement de toutes les informations personnellement identifiables, y compris le nom d’utilisateur, le nom complet et le nom de machine de l’activité utilisateur signalée.
- Source de données. Active et désactive le chiffrement de toutes les informations relatives à la source de données de l’activité utilisateur signalée.
- Noms de groupes. Active et désactive le chiffrement des noms de groupe associés à l’activité utilisateur signalée.
Vous pouvez également configurer les clés de chiffrement pour qu’elles s’appliquent uniquement à un ensemble particulier de groupes dans l’onglet Association de groupe . Lorsque l’option Sélectionner tout est activée, la clé de chiffrement actuellement configurée s’applique à tous les groupes de sécurité. Lorsque l’option Sélectionner tout est désactivée, vous pouvez sélectionner les groupes de sécurité à chiffrer avec la clé de chiffrement.
Après avoir configuré une clé de chiffrement, activez la journalisation anonymisée pour surveiller l’utilisation du réseau en fonction des journaux anonymisés de l’activité en ligne des utilisateurs.
Pour supprimer une clé de chiffrement précédemment définie, sélectionnez les points de suspension en regard de la clé de chiffrement correspondante dans le tableau, puis sélectionnez Supprimer.
Sauvegarde dans le cloud
Les paramètres de sauvegarde hors ligne dans le cloud permettent de stocker/enregistrer les paramètres de sauvegarde et les journaux des nœuds de reporting en fonction de la région, de l’ emplacementet de l’ heure que vous sélectionnez. Avec l’option de sauvegarde cloud hors ligne, vous pouvez enregistrer les sauvegardes cloud via l’interface CSIA.
Pour activer les paramètres de sauvegarde dans le cloud, accédez à Configuration développez Paramètres du cloud sélectionnez Sauvegarde dans le cloud.
-
Activez le bouton bascule Activer la sauvegarde dans le cloud et sélectionnez la région et l’ emplacement dans la liste déroulante.
-
Vous pouvez également activer le bouton bascule Effectuer automatiquement la sauvegarde dans le cloud et définir l’intervalle de temps pour l’exécution et la création de la sauvegarde quotidienne. Cliquez sur Enregistrer.
Isolation du navigateur distant
L’isolation du navigateur à distance est une fonction de protection Web avancée qui assure la sécurité contre les logiciels malveillants/menaces malveillantes. Avec l’isolation du navigateur à distance, la fonctionnalité de filtrage Web Citrix Secure Internet Access peut être utilisée avec le service Secure Browser (SBS) pour protéger le réseau d’entreprise contre les attaques basées sur le navigateur. Pour plus d’informations, consultez Secure Browser Service.
Avec la fonctionnalité d’isolation du navigateur à distance, vous pouvez définir des règles pour certains sites Web ciblés qui ne sont pas fiables pour être isolés et lancés uniquement via le service de navigateur sécurisé distant basé sur le cloud. Vous pouvez créer et appliquer la règle à une combinaison de groupes d’utilisateurs et de types de trafic que vous souhaitez isoler.
Vous pouvez afficher la liste des règles créées pour invoquer l’isolation du navigateur distant.
Pour définir les règles de redirection pour le trafic qui doit être appelé, accédez à Configuration > Isolation du navigateur distant Cliquez sur Ajouter une règle de redirection à SBS.
- Nom de la règle : indiquez un nom de règle.
- Description de la règle : Fournissez une description de la règle.
- Type de correspondance : Sélectionnez un type de correspondance tel que Regex de domaine, Liste de domaines, Adresse IP, URL ou Catégories dans la liste déroulante.
- Valeur : Entrez le type de valeur de correspondance.
- Sélectionner un groupe : sélectionnez un groupe dans la liste déroulante.
Avec l’option Ajouter une règle de redirection à SBS, vous pouvez créer les règles de filtrage Web sur le portail d’accès Internet sécurisé pour rediriger le trafic vers le service de navigateur. Pour chaque règle d’isolation de navigateur distant, une URL de navigateur sécurisée est associée. Cela signifie que lorsque les URL sont lancées via le service d’accès Internet sécurisé, si l’URL correspond à l’une des règles de correspondance d’isolation de navigateur distant définies, la demande est alors redirigée vers le service de navigateur sécurisé associé.