Produktdokumentation
Citrix Gateway-Dienst
PDF anzeigen

Technischer Sicherheitsüberblick

March 11, 2026
Beitrag von: 
C C

Citrix Cloud verwaltet den Betrieb für Citrix Gateway-Dienste und macht es für Kunden überflüssig, die NetScaler Gateway-Appliance zu verwalten. Der Citrix Gateway-Dienst wird über die Citrix Workspace-App bereitgestellt.

Der Citrix Gateway-Dienst bietet die folgenden Funktionen:

HDX-Konnektivität: Die Virtual Delivery Agents (VDAs), die die Apps und Desktops hosten, bleiben unter der Kontrolle des Kunden im Rechenzentrum seiner Wahl, entweder in der Cloud oder On-Premises. Diese Komponenten werden über einen Agenten, den Citrix Cloud Connector, mit dem Cloud-Dienst verbunden.

DTLS 1.2-Protokollunterstützung: Der Citrix Gateway-Dienst unterstützt Datagram Transport Layer Security (DTLS) 1.2 für HDX-Sitzungen über EDT (UDP-basiertes Transportprotokoll). Die folgenden Cipher Suites werden unterstützt:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS-Protokollunterstützung: Der Citrix Gateway-Dienst unterstützt die folgenden TLS Cipher Suites:

  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-RSA-AES-256-SHA384
  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1.2-AES256-GCM-SHA384
  • TLS1-AES-256-CBC-SHA

Hinweis:

Der Citrix Gateway-Dienst unterstützt die TLS-Versionen 1.0 und 1.1 nicht.

Endpoint Management-Integration: In Verbindung mit Citrix Endpoint Management und Citrix Workspace bietet der Citrix Gateway-Dienst sicheren Remote-Gerätezugriff auf Ihr internes Netzwerk und Ihre Ressourcen. Das Onboarding des Citrix Gateway-Dienstes mit Endpoint Management ist schnell und einfach. Der Citrix Gateway-Dienst umfasst die vollständige Unterstützung von Citrix SSO für Apps wie Secure Mail und Secure Web.

Datenfluss

Der Citrix Gateway-Dienst ist ein global verteilter Mehrmandantendienst. Endbenutzer nutzen den nächstgelegenen Point-of-Presence (PoP), an dem die von ihnen benötigte Funktion verfügbar ist, unabhängig von der Geo-Auswahl der Citrix Cloud Control Plane oder dem Standort der aufgerufenen Anwendungen. Die Konfiguration, wie z. B. Autorisierungsmetadaten, wird auf alle PoPs repliziert.

Protokolle, die von Citrix® für Diagnose, Überwachung, Geschäfts- und Kapazitätsplanung verwendet werden, sind gesichert und an einem zentralen Ort gespeichert.

Die Kundenkonfiguration wird an einem zentralen Ort gespeichert und global an alle PoPs verteilt.

Der Datenfluss zwischen der Cloud und den Kundenstandorten erfolgt über sichere TLS-Verbindungen über Port 443.

Verschlüsselungsschlüssel, die für die Benutzerauthentifizierung und das Single Sign-On verwendet werden, werden in Hardware-Sicherheitsmodulen gespeichert.

Datenisolation

Der Citrix Gateway-Dienst speichert die folgenden Daten:

  • Konfigurationsdaten, die für die Vermittlung und Überwachung der Anwendungen des Kunden erforderlich sind – die Daten werden vom Kunden beim Speichern festgelegt.
  • TOTP-Seeds für jedes Benutzergerät – TOTP-Seeds werden nach Kunde, Benutzer und Gerät festgelegt.

Audit und Änderungskontrolle

Der Citrix Gateway-Dienst stellt Kunden derzeit keine Audit- und Änderungskontrollprotokolle zur Verfügung. Protokolle sind für Citrix verfügbar und können zur Überprüfung der Aktivitäten von Endbenutzern und Administratoren verwendet werden.

Umgang mit Anmeldeinformationen

Der Dienst verarbeitet zwei Arten von Anmeldeinformationen:

  • Benutzeranmeldeinformationen: Endbenutzer-Anmeldeinformationen (Passwörter und Authentifizierungstoken) können dem Citrix Gateway-Dienst zur Verfügung gestellt werden, um Folgendes auszuführen:
    • Citrix Secure Private Access – Der Dienst verwendet die Identität des Benutzers, um den Zugriff auf SaaS- und Enterprise-Webanwendungen sowie andere Ressourcen zu bestimmen.
    • Single Sign-On – Der Dienst kann auf das Passwort des Benutzers zugreifen, um die SSO-Funktion für interne Webanwendungen mithilfe von HTTP Basic-, NTLM- oder formularbasierter Authentifizierung abzuschließen. Das für Passwörter verwendete Verschlüsselungsprotokoll ist TLS, es sei denn, Sie konfigurieren explizit die HTTP Basic-Authentifizierung.
  • Administratoranmeldeinformationen: Administratoren authentifizieren sich bei Citrix Cloud. Dadurch wird ein einmalig signiertes JSON Web Token (JWT) generiert, das dem Administrator Zugriff auf die Verwaltungskonsolen in Citrix Cloud gewährt.

Wichtige Hinweise

  • Der gesamte Datenverkehr über öffentliche Netzwerke wird durch TLS verschlüsselt, wobei von Citrix verwaltete Zertifikate verwendet werden.
  • Schlüssel, die für SaaS-App-SSO (SAML-Signaturschlüssel) verwendet werden, werden vollständig von Citrix verwaltet.
  • Für MFA speichert der Citrix Gateway-Dienst die gerätebezogenen Schlüssel, die zur Initialisierung des TOTP-Algorithmus verwendet werden.
  • Um die Kerberos Single Sign-On-Funktionalität zu aktivieren, können Kunden die Connector Appliance mit Anmeldeinformationen (Benutzername + Passwort) für ein Dienstkonto konfigurieren, das zur Durchführung der Kerberos Constrained Delegation berechtigt ist.

Bereitstellungsüberlegungen

Citrix empfiehlt Benutzern, die veröffentlichte Best-Practice-Dokumentation für die Bereitstellung von Citrix Gateway-Diensten zu konsultieren. Weitere Überlegungen zur Bereitstellung von SaaS-Apps und Enterprise-Webanwendungen sowie zum Netzwerk-Connector sind wie folgt.

Auswahl des richtigen Connectors: Der richtige Connector muss je nach Anwendungsfall ausgewählt werden:

Anwendungsfall Connector Formfaktor
Benutzerauthentifizierung: Active Directory Citrix Cloud Connector Windows-Software
HDX-Konnektivität Citrix Cloud Connector Windows-Software
SaaS-App-Zugriff Citrix Cloud Connector N/A
Enterprise-Web-App-Zugriff Citrix Cloud Connector, Citrix Connector Appliance N/A
Enterprise-Apps und -Dateien, bereitgestellt von Citrix Endpoint Management Citrix Cloud Connector, Citrix Connector Appliance N/A

Netzwerkanforderungen für Citrix Cloud Connector

Informationen zu den Netzwerkanforderungen für Citrix Cloud Connector finden Sie unter https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

HDX-Konnektivität des Citrix Gateway-Dienstes

Die Verwendung des Citrix Gateway-Dienstes macht die Bereitstellung von NetScaler Gateway in den Rechenzentren des Kunden überflüssig. Um den Citrix Gateway-Dienst nutzen zu können, ist die Verwendung von Citrix Workspace, das aus Citrix Cloud bereitgestellt wird, eine Voraussetzung.

Best Practices für Kunden

Kunden wird empfohlen, TLS innerhalb ihres Netzwerks zu verwenden und SSO für Anwendungen über HTTP nicht zu aktivieren.

Veraltete Cipher Suites

Die folgenden Cipher Suites sind aus Sicherheitsgründen veraltet:

  • TLS1.2-AES128-GCM-SHA256
  • TLS1.2-AES-128-SHA256
  • TLS1.2-AES256-GCM-SHA384
  • TLS1.2-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-128-SHA256
  • TLS1.2-DHE-RSA-AES256-GCM-SHA384
  • TLS1.2-DHE-RSA-AES128-GCM-SHA256
  • SSL3-DES-CBC3-SHA
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1-AES-256-CBC-SHA
  • TLS1-AES-128-CBC-SHA
  • TLS1-ECDHE-ECDSA-AES256-SHA
  • TLS1-ECDHE-ECDSA-AES128-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA
  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-DSS-AES-256-CBC-SHA
  • TLS1-DHE-DSS-AES-128-CBC-SHA
  • TLS1-ECDHE-RSA-DES-CBC3-SHA
  • TLS1.2-ECDHE-RSA-AES-128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
Technischer Sicherheitsüberblick
March 11, 2026
Beitrag von: 
C C
March 11, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.