技术安全性概述

Citrix Cloud 管理 Citrix Gateway 服务的运营,无需客户管理 NetScaler Gateway 设备。Citrix Gateway 服务通过 Citrix Workspace 应用程序进行配置。

Citrix Gateway 服务提供以下功能:

HDX 连接: 托管应用程序和桌面的 Virtual Delivery Agent (VDA) 在客户选择的数据中心(云端或本地)中仍受客户的控制。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。

DTLS 1.2 协议支持: Citrix Gateway 服务支持通过 EDT(基于 UDP 的传输协议)进行 HDX 会话的数据报传输层安全 (DTLS) 1.2。支持以下密码套件:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS 协议支持: Citrix Gateway 服务支持以下 TLS 密码套件:

  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-RSA-AES-256-SHA384
  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1.2-AES256-GCM-SHA384
  • TLS1-AES-256-CBC-SHA

Endpoint Management 集成: 与 Citrix Endpoint Management 和 Citrix Workspace 集成后,Citrix Gateway 服务提供对内部网络和资源的安全远程设备访问。使用 Endpoint Management 加入 Citrix Gateway 服务既快速又简单。Citrix Gateway 服务包括对 Secure Mail 和 Secure Web 等应用程序的 Citrix SSO 的全面支持。

数据流

Citrix Gateway 服务是一项全球分布式多租户服务。无论 Citrix Cloud Control 平面地理选择或访问的应用程序的位置如何,最终用户都可以使用他们所需的特定功能可用的最近的存在点 (PoP)。配置(例如授权元数据)将复制到所有 PoP。

Citrix 用于诊断、监控、业务和容量规划的日志安全并存储在一个中心位置。

客户配置存储在一个中央位置, 并全局性地分布到所有 PoP 中。

云与客户本地之间的数据流动使用安全的 TLS 连接通过端口 443 进行。

用于用户身份验证和单点登录的加密密钥存储在硬件安全模块中。

数据隔离

Citrix Gateway 服务存储以下数据:

  • 代理和监视客户应用程序所需的配置数据 – 当保持时, 数据将按客户来确定范围。
  • 每个用户设备的 TOTP 种子 — TOTP 种子的范围由客户、用户和设备确定。

审核和更改控制

目前,Citrix Gateway 服务不向客户提供审计和变更控制日志。日志可供 Citrix 使用,可用于审核最终用户和管理员的活动。

凭据处理

此服务处理两种类型的凭据:

  • 用户凭证:可以向 Citrix Gateway 服务提供最终用户凭证(密码和身份验证令牌)以执行以下操作:
    • Citrix Secure Private Access - 该服务使用用户的身份来确定对 SaaS 和企业 Web 应用程序以及其他资源的访问权限。
    • 单点登录-该服务可能有权访问用户密码,以使用 HTTP Basic、NTLM 或基于表单的身份验证完成对内部 Web 应用程序的 SSO 功能。用于密码的加密协议为 TLS, 除非您专门配置了 HTTP 基本身份验证。
  • 管理员凭据:管理员通过 Citrix Cloud 进行身份验证。这将生成一次性签名的 JSON Web 令牌 (JWT),该令牌允许管理员访问 Citrix Cloud 中的管理控制台。

注意事项

  • 公共网络上的所有流量均由 TLS 加密,并使用 Citrix 管理的证书。
  • 用于 SaaS 应用程序 SSO(SAML 签名密钥)的密钥由 Citrix 完全管理。
  • 对于 MFA,Citrix Gateway 服务存储用于为 TOTP 算法提供种子的每台设备的密钥。
  • 要启用 Kerberos 单点登录功能,客户可以为可信执行 Kerberos 受限委派的服务帐户配置连接器设备(用户名+ 密码)。

部署注意事项

Citrix 建议用户查阅已发布的部署 Citrix Gateway 服务的最佳实践文档。有关 SaaS 应用程序和企业 Web 应用程序部署以及网络连接器的更多注意事项如下。

选择正确的连接器:必须选择正确的连接器,具体取决于用例:

用例 连接器 外形因素
用户身份验证:Active Directory Citrix Cloud Connector Windows 软件
HDX 连接 Citrix Cloud Connector Windows 软件
SaaS 应用程序访问权限 Citrix Cloud Connector 不适用
企业 Web 应用程序访问权限 Citrix Cloud Connector、Citrix Connector Appliance 不适用
Citrix Endpoint Management 提供的企业应用程序和文件 Citrix Cloud Connector、Citrix Connector Appliance 不适用

Citrix Cloud Connector 网络访问要求

有关 Citrix Cloud Connector 网络访问要求的信息,请参阅 https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Citrix Gateway 服务 HDX 连接

使用 Citrix Gateway 服务可以避免在客户数据中心内部署 NetScaler Gateway。要使用 Citrix Gateway 服务,必须使用由 Citrix Cloud 提供的 Citrix Workspace。

客户最佳做法

建议客户在其网络中使用 TLS, 而不启用通过 HTTP 进行的应用程序的 SSO。

弃用的密码套件

为了增强安全性,以下密码套件已弃用:

  • TLS1.2-AES128-GCM-SHA256
  • TLS1.2-AES-128-SHA256
  • TLS1.2-AES256-GCM-SHA384
  • TLS1.2-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-128-SHA256
  • TLS1.2-DHE-RSA-AES256-GCM-SHA384
  • TLS1.2-DHE-RSA-AES128-GCM-SHA256
  • SSL3-DES-CBC3-SHA
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1-AES-256-CBC-SHA
  • TLS1-AES-128-CBC-SHA
  • TLS1-ECDHE-ECDSA-AES256-SHA
  • TLS1-ECDHE-ECDSA-AES128-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA
  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-DSS-AES-256-CBC-SHA
  • TLS1-DHE-DSS-AES-128-CBC-SHA
  • TLS1-ECDHE-RSA-DES-CBC3-SHA
  • TLS1.2-ECDHE-RSA-AES-128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256