Technische Sicherheit

Citrix Cloud verwaltet den Betrieb für Citrix Gateway Services, sodass Kunden das NetScaler Gateway-Gerät nicht mehr verwalten müssen. Der Citrix Gateway Service wird über die Citrix Workspace-App bereitgestellt.

Citrix Gateway Service bietet die folgenden Funktionen:

HDX-Konnektivität: Die Virtual Delivery Agents (VDAs), die die Apps und Desktops hosten, bleiben unter der Kontrolle des Kunden im Rechenzentrum seiner Wahl, entweder in der Cloud oder on-premises. Diese Komponenten sind über einen Agent (“Citrix Cloud Connector”) mit dem Cloud-Service verbunden.

DTLS 1.2-Protokollunterstützung: Citrix Gateway Service unterstützt Datagram Transport Layer Security (DTLS) 1.2 für HDX-Sitzungen über EDT (UDP-basiertes Transportprotokoll). Die folgenden Verschlüsselungssammlungen werden unterstützt:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Unterstützung des TLS-Protokolls: Citrix Gateway Service unterstützt die folgenden TLS-Verschlüsselungssammlungen:

  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-RSA-AES-256-SHA384
  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1.2-AES256-GCM-SHA384
  • TLS1-AES-256-CBC-SHA

Endpoint Management-Integration: In Kombination mit Citrix Endpoint Management plus Citrix Workspace bietet der Citrix Gateway Service sicheren Remote-Gerätezugriff auf Ihr internes Netzwerk und Ihre Ressourcen. Das Onboarding des Citrix Gateway Service mit Endpoint Management ist schnell und einfach. Der Citrix Gateway Service beinhaltet die vollständige Unterstützung von Citrix SSO für Apps wie Secure Mail und Secure Web.

Datenfluss

Citrix Gateway Service ist ein global verteilter Multitenant-Service. Endbenutzer verwenden den nächstgelegenen Point-of-Presence (PoP), an dem die jeweilige Funktion verfügbar ist, die sie benötigen, unabhängig von der Geoauswahl der Citrix Cloud Control-Ebene oder dem Standort der Anwendungen, auf die zugegriffen wird. Konfigurationen, z. B. Autorisierungsmetadaten werden auf alle PoPs repliziert.

Protokolle, die von Citrix für Diagnose-, Überwachungs-, Geschäfts- und Kapazitätsplanung verwendet werden, werden an einem zentralen Ort gesichert und gespeichert.

Die Kundenkonfiguration wird an einem zentralen Ort gespeichert und global an alle PoPs verteilt.

Die Übertragung von Daten zwischen Cloud und Kundenstandort erfolgt über eine sichere TLS-Verbindung über Port 443.

Verschlüsselungsschlüssel, die für die Benutzerauthentifizierung und das einmalige Anmelden verwendet werden, werden in Hardware-Sicherheitsmodulen

Datenisolierung

Der Citrix Gateway Service speichert die folgenden Daten:

  • Konfigurationsdaten, die für die Vermittlung und Überwachung der Kundenanwendungen benötigt werden — Daten werden vom Kunden erfasst, wenn sie bestehen bleiben.
  • TOTP-Seeds für jedes Benutzergerät — TOTP-Seeds werden vom Kunden, Benutzer und Gerät erfasst.

Audit und Change Control

Derzeit stellt der Citrix Gateway Service Kunden keine Überwachungs- und Änderungskontrollprotokolle zur Verfügung. Für Citrix stehen Protokolle zur Verfügung, mit denen die Aktivitäten von Endbenutzer und Administrator überprüft werden können.

Handhabung von Anmeldeinformationen

Der Dienst verarbeitet zwei Arten von Anmeldeinformationen:

  • Benutzeranmeldeinformationen: Anmeldeinformationen von Endbenutzern (Passwörter und Authentifizierungstoken) können dem Citrix Gateway Service zur Verfügung gestellt werden, um Folgendes auszuführen:
    • Citrix Secure Private Access — Der Dienst verwendet die Identität des Benutzers, um den Zugriff auf SaaS- und Enterprise-Webanwendungen und andere Ressourcen zu bestimmen.
    • Single Sign-On - Der Dienst hat möglicherweise Zugriff auf das Kennwort des Benutzers, um die SSO-Funktion für interne Webanwendungen mithilfe von HTTP Basic, NTLM oder formularbasierter Authentifizierung abzuschließen. Das Verschlüsselungsprotokoll, das für das Kennwort verwendet wird, ist TLS, es sei denn, Sie konfigurieren die HTTP Basic-Authentifizierung.
  • Administratoranmeldeinformationen: Administratoren authentifizieren sich bei Citrix Cloud. Dadurch wird ein einmalig signiertes JSON-Web-Token (JWT) generiert, das dem Administrator Zugriff auf die Verwaltungskonsolen in Citrix Cloud ermöglicht.

Wichtige Hinweise

  • Der gesamte Datenverkehr über öffentliche Netzwerke wird mit TLS verschlüsselt, wobei von Citrix verwaltete Zertifikate verwendet werden.
  • Schlüssel, die für SaaS-App SSO (SAML-Signaturschlüssel) verwendet werden, werden vollständig von Citrix verwaltet.
  • Für MFA speichert der Citrix Gateway Service die gerätespezifischen Schlüssel, die zum Starten des TOTP-Algorithmus verwendet werden.
  • Um die Kerberos Single Sign-On-Funktion zu aktivieren, können Kunden die Connector Appliance mit Anmeldeinformationen (Benutzername und Kennwort) für ein Dienstkonto konfigurieren, dem die eingeschränkte Kerberos-Delegierung zuträglich ist.

Überlegungen zur Bereitstellung

Citrix empfiehlt Benutzern, die veröffentlichte Dokumentation zu bewährten Methoden für die Bereitstellung von Citrix Gateway Services zu lesen. Weitere Überlegungen zu SaaS-Apps und der Bereitstellung von Unternehmens-Web-Apps sowie zum Netzwerkconnector lauten wie folgt.

Auswahl des richtigen Connectors: Je nach Anwendungsfall muss der richtige Connector ausgewählt werden:

Anwendungsfall Connector Formfaktor
Benutzerauthentifizierung: Active Directory Citrix Cloud Connector Windows
HDX-Konnektivität Citrix Cloud Connector Windows
Zugriff auf SaaS-Apps Citrix Cloud Connector
Zugriff auf Unternehmens-Webanwendungen Citrix Cloud Connector, Citrix Connector Appliance
Von Citrix Endpoint Management bereitgestellte Unternehmensanwendungen und -dateien Citrix Cloud Connector, Citrix Connector Appliance

Anforderungen für den Citrix Cloud Connector-Netzwerkzugriff

Informationen zu den Anforderungen für den Netzwerkzugriff von Citrix Cloud Connector finden Sie unterhttps://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

HDX-Konnektivität des Citrix Gateway-Dienstes

Durch die Verwendung des Citrix Gateway Service entfällt die Notwendigkeit, NetScaler Gateway in den Rechenzentren des Kunden bereitzustellen. Um den Citrix Gateway Service verwenden zu können, müssen Sie Citrix Workspace verwenden, der von Citrix Cloud bereitgestellt wird.

Best Practices für Kunden

Kunden werden empfohlen, TLS in ihrem Netzwerk zu verwenden und SSO für Anwendungen über HTTP nicht zu aktivieren.

Veraltete Verschlüsselungssammlungen

Die folgenden Verschlüsselungssammlungen sind aus Sicherheitsgründen veraltet:

  • TLS1.2-AES128-GCM-SHA256
  • TLS1.2-AES-128-SHA256
  • TLS1.2-AES256-GCM-SHA384
  • TLS1.2-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-128-SHA256
  • TLS1.2-DHE-RSA-AES256-GCM-SHA384
  • TLS1.2-DHE-RSA-AES128-GCM-SHA256
  • SSL3-DES-CBC3-SHA
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1-AES-256-CBC-SHA
  • TLS1-AES-128-CBC-SHA
  • TLS1-ECDHE-ECDSA-AES256-SHA
  • TLS1-ECDHE-ECDSA-AES128-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA
  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-DSS-AES-256-CBC-SHA
  • TLS1-DHE-DSS-AES-128-CBC-SHA
  • TLS1-ECDHE-RSA-DES-CBC3-SHA
  • TLS1.2-ECDHE-RSA-AES-128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256