Technische Sicherheit
Citrix Cloud verwaltet den Betrieb für Citrix Gateway Services, sodass Kunden das NetScaler Gateway-Gerät nicht mehr verwalten müssen. Der Citrix Gateway Service wird über die Citrix Workspace-App bereitgestellt.
Citrix Gateway Service bietet die folgenden Funktionen:
HDX-Konnektivität: Die Virtual Delivery Agents (VDAs), die die Apps und Desktops hosten, bleiben unter der Kontrolle des Kunden im Rechenzentrum seiner Wahl, entweder in der Cloud oder on-premises. Diese Komponenten sind über einen Agent (“Citrix Cloud Connector”) mit dem Cloud-Service verbunden.
DTLS 1.2-Protokollunterstützung: Citrix Gateway Service unterstützt Datagram Transport Layer Security (DTLS) 1.2 für HDX-Sitzungen über EDT (UDP-basiertes Transportprotokoll). Die folgenden Verschlüsselungssammlungen werden unterstützt:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Unterstützung des TLS-Protokolls: Citrix Gateway Service unterstützt die folgenden TLS-Verschlüsselungssammlungen:
- TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
- TLS1.2-ECDHE-RSA-AES-256-SHA384
- TLS1-ECDHE-RSA-AES128-SHA
- TLS1.2-AES256-GCM-SHA384
- TLS1-AES-256-CBC-SHA
Endpoint Management-Integration: In Kombination mit Citrix Endpoint Management plus Citrix Workspace bietet der Citrix Gateway Service sicheren Remote-Gerätezugriff auf Ihr internes Netzwerk und Ihre Ressourcen. Das Onboarding des Citrix Gateway Service mit Endpoint Management ist schnell und einfach. Der Citrix Gateway Service beinhaltet die vollständige Unterstützung von Citrix SSO für Apps wie Secure Mail und Secure Web.
Datenfluss
Citrix Gateway Service ist ein global verteilter Multitenant-Service. Endbenutzer verwenden den nächstgelegenen Point-of-Presence (PoP), an dem die jeweilige Funktion verfügbar ist, die sie benötigen, unabhängig von der Geoauswahl der Citrix Cloud Control-Ebene oder dem Standort der Anwendungen, auf die zugegriffen wird. Konfigurationen, z. B. Autorisierungsmetadaten werden auf alle PoPs repliziert.
Protokolle, die von Citrix für Diagnose-, Überwachungs-, Geschäfts- und Kapazitätsplanung verwendet werden, werden an einem zentralen Ort gesichert und gespeichert.
Die Kundenkonfiguration wird an einem zentralen Ort gespeichert und global an alle PoPs verteilt.
Die Übertragung von Daten zwischen Cloud und Kundenstandort erfolgt über eine sichere TLS-Verbindung über Port 443.
Verschlüsselungsschlüssel, die für die Benutzerauthentifizierung und das einmalige Anmelden verwendet werden, werden in Hardware-Sicherheitsmodulen
Datenisolierung
Der Citrix Gateway Service speichert die folgenden Daten:
- Konfigurationsdaten, die für die Vermittlung und Überwachung der Kundenanwendungen benötigt werden — Daten werden vom Kunden erfasst, wenn sie bestehen bleiben.
- TOTP-Seeds für jedes Benutzergerät — TOTP-Seeds werden vom Kunden, Benutzer und Gerät erfasst.
Audit und Change Control
Derzeit stellt der Citrix Gateway Service Kunden keine Überwachungs- und Änderungskontrollprotokolle zur Verfügung. Für Citrix stehen Protokolle zur Verfügung, mit denen die Aktivitäten von Endbenutzer und Administrator überprüft werden können.
Handhabung von Anmeldeinformationen
Der Dienst verarbeitet zwei Arten von Anmeldeinformationen:
- Benutzeranmeldeinformationen: Anmeldeinformationen von Endbenutzern (Passwörter und Authentifizierungstoken) können dem Citrix Gateway Service zur Verfügung gestellt werden, um Folgendes auszuführen:
- Citrix Secure Private Access — Der Dienst verwendet die Identität des Benutzers, um den Zugriff auf SaaS- und Enterprise-Webanwendungen und andere Ressourcen zu bestimmen.
- Single Sign-On - Der Dienst hat möglicherweise Zugriff auf das Kennwort des Benutzers, um die SSO-Funktion für interne Webanwendungen mithilfe von HTTP Basic, NTLM oder formularbasierter Authentifizierung abzuschließen. Das Verschlüsselungsprotokoll, das für das Kennwort verwendet wird, ist TLS, es sei denn, Sie konfigurieren die HTTP Basic-Authentifizierung.
- Administratoranmeldeinformationen: Administratoren authentifizieren sich bei Citrix Cloud. Dadurch wird ein einmalig signiertes JSON-Web-Token (JWT) generiert, das dem Administrator Zugriff auf die Verwaltungskonsolen in Citrix Cloud ermöglicht.
Wichtige Hinweise
- Der gesamte Datenverkehr über öffentliche Netzwerke wird mit TLS verschlüsselt, wobei von Citrix verwaltete Zertifikate verwendet werden.
- Schlüssel, die für SaaS-App SSO (SAML-Signaturschlüssel) verwendet werden, werden vollständig von Citrix verwaltet.
- Für MFA speichert der Citrix Gateway Service die gerätespezifischen Schlüssel, die zum Starten des TOTP-Algorithmus verwendet werden.
- Um die Kerberos Single Sign-On-Funktion zu aktivieren, können Kunden die Connector Appliance mit Anmeldeinformationen (Benutzername und Kennwort) für ein Dienstkonto konfigurieren, dem die eingeschränkte Kerberos-Delegierung zuträglich ist.
Überlegungen zur Bereitstellung
Citrix empfiehlt Benutzern, die veröffentlichte Dokumentation zu bewährten Methoden für die Bereitstellung von Citrix Gateway Services zu lesen. Weitere Überlegungen zu SaaS-Apps und der Bereitstellung von Unternehmens-Web-Apps sowie zum Netzwerkconnector lauten wie folgt.
Auswahl des richtigen Connectors: Je nach Anwendungsfall muss der richtige Connector ausgewählt werden:
Anwendungsfall | Connector | Formfaktor |
---|---|---|
Benutzerauthentifizierung: Active Directory | Citrix Cloud Connector | Windows |
HDX-Konnektivität | Citrix Cloud Connector | Windows |
Zugriff auf SaaS-Apps | Citrix Cloud Connector | – |
Zugriff auf Unternehmens-Webanwendungen | Citrix Cloud Connector, Citrix Connector Appliance | – |
Von Citrix Endpoint Management bereitgestellte Unternehmensanwendungen und -dateien | Citrix Cloud Connector, Citrix Connector Appliance | – |
Anforderungen für den Citrix Cloud Connector-Netzwerkzugriff
Informationen zu den Anforderungen für den Netzwerkzugriff von Citrix Cloud Connector finden Sie unterhttps://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html
HDX-Konnektivität des Citrix Gateway-Dienstes
Durch die Verwendung des Citrix Gateway Service entfällt die Notwendigkeit, NetScaler Gateway in den Rechenzentren des Kunden bereitzustellen. Um den Citrix Gateway Service verwenden zu können, müssen Sie Citrix Workspace verwenden, der von Citrix Cloud bereitgestellt wird.
Best Practices für Kunden
Kunden werden empfohlen, TLS in ihrem Netzwerk zu verwenden und SSO für Anwendungen über HTTP nicht zu aktivieren.
Veraltete Verschlüsselungssammlungen
Die folgenden Verschlüsselungssammlungen sind aus Sicherheitsgründen veraltet:
- TLS1.2-AES128-GCM-SHA256
- TLS1.2-AES-128-SHA256
- TLS1.2-AES256-GCM-SHA384
- TLS1.2-AES-256-SHA256
- TLS1.2-DHE-RSA-AES-256-SHA256
- TLS1.2-DHE-RSA-AES-128-SHA256
- TLS1.2-DHE-RSA-AES256-GCM-SHA384
- TLS1.2-DHE-RSA-AES128-GCM-SHA256
- SSL3-DES-CBC3-SHA
- TLS1-ECDHE-RSA-AES256-SHA
- TLS1-AES-256-CBC-SHA
- TLS1-AES-128-CBC-SHA
- TLS1-ECDHE-ECDSA-AES256-SHA
- TLS1-ECDHE-ECDSA-AES128-SHA
- TLS1-DHE-RSA-AES-256-CBC-SHA
- TLS1-DHE-RSA-AES-128-CBC-SHA
- TLS1-DHE-DSS-AES-256-CBC-SHA
- TLS1-DHE-DSS-AES-128-CBC-SHA
- TLS1-ECDHE-RSA-DES-CBC3-SHA
- TLS1.2-ECDHE-RSA-AES-128-SHA256
- TLS1.2-ECDHE-ECDSA-AES128-SHA256
- TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
- TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256