技术安全概述
Citrix Cloud 管理 Citrix Gateway 服务 的运行,从而无需客户管理 NetScaler Gateway 设备。Citrix Gateway 服务 通过 Citrix Workspace 应用程序进行预配。
Citrix Gateway 服务 提供以下功能:
HDX 连接: 托管应用程序和桌面的 Virtual Delivery Agent (VDA) 仍由客户在其选择的数据中心(无论是云端还是本地)中控制。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。
DTLS 1.2 协议支持: Citrix Gateway 服务 支持通过 EDT(基于 UDP 的传输协议)进行 HDX 会话的 Datagram Transport Layer Security (DTLS) 1.2。支持以下密码套件:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS 协议支持: Citrix Gateway 服务 支持以下 TLS 密码套件:
- TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
- TLS1.2-ECDHE-RSA-AES-256-SHA384
- TLS1-ECDHE-RSA-AES128-SHA
- TLS1.2-AES256-GCM-SHA384
- TLS1-AES-256-CBC-SHA
注意:
Citrix Gateway Service 不支持 TLS 1.0 和 TLS 1.1 版本。
Endpoint Management 集成: 当与 Citrix Endpoint Management 和 Citrix Workspace 集成时,Citrix Gateway 服务 可为您的内部网络和资源提供安全的远程设备访问。将 Citrix Gateway 服务 与 Endpoint Management 集成既快速又简单。Citrix Gateway 服务 完全支持 Secure Mail 和 Secure Web 等应用程序的 Citrix SSO。
数据流
Citrix Gateway 服务 是一种全球分布式多租户服务。最终用户使用最近的接入点 (PoP),在该接入点中提供他们所需的特定功能,而无论 Citrix Cloud Control plane 的地理位置选择或所访问应用程序的位置如何。配置(例如授权元数据)会复制到所有 PoP。
Citrix® 用于诊断、监控、业务和容量规划的日志是安全的,并存储在一个中心位置。
客户配置存储在一个中心位置,并全球分发到所有 PoP。
云与客户本地之间的数据流通过端口 443 使用安全的 TLS 连接。
用于用户身份验证和单点登录的加密密钥存储在硬件安全模块中。
数据隔离
Citrix Gateway 服务 存储以下数据:
- 客户应用程序的代理和监控所需的配置数据 – 数据在持久化时由客户限定范围。
- 每个用户设备的 TOTP 种子 – TOTP 种子由客户、用户和设备限定范围。
审计和变更控制
目前,Citrix Gateway 服务 不向客户提供审计和变更控制日志。日志可供 Citrix 使用,用于审计最终用户和管理员的活动。
凭据处理
该服务处理两种类型的凭据:
- 用户凭据:最终用户凭据(密码和身份验证令牌)可能会提供给 Citrix Gateway 服务 以执行以下操作:
- Citrix Secure Private Access - 该服务使用用户的身份来确定对 SaaS 和企业 Web 应用程序以及其他资源的访问权限。
- 单点登录 - 该服务可能拥有用户密码的访问权限,以使用 HTTP Basic、NTLM 或基于表单的身份验证完成对内部 Web 应用程序的 SSO 功能。除非您专门配置 HTTP Basic 身份验证,否则用于密码的加密协议是 TLS。
- 管理员凭据:管理员针对 Citrix Cloud 进行身份验证。这将生成一个一次性签名的 JSON Web Token (JWT),该令牌授予管理员访问 Citrix Cloud 中管理控制台的权限。
要点
- 所有通过公共网络的流量都通过 TLS 加密,使用由 Citrix 管理的证书。
- 用于 SaaS 应用程序 SSO(SAML 签名密钥)的密钥完全由 Citrix 管理。
- 对于 MFA,Citrix Gateway 服务 存储用于为 TOTP 算法播种的每个设备密钥。
- 要启用 Kerberos 单点登录功能,客户可以配置 Connector Appliance,其中包含受信任的服务帐户的凭据(用户名 + 密码),以执行 Kerberos 约束委派。
部署注意事项
Citrix 建议用户查阅已发布的部署 Citrix Gateway 服务 的最佳实践文档。有关 SaaS 应用程序和企业 Web 应用程序部署以及网络连接器的更多注意事项如下。
选择正确的连接器: 必须根据用例选择正确的连接器:
| 用例 | 连接器 | 外形规格 |
|---|---|---|
| 用户身份验证:Active Directory | Citrix Cloud Connector | Windows 软件 |
| HDX 连接 | Citrix Cloud Connector | Windows 软件 |
| SaaS 应用程序访问 | Citrix Cloud Connector | 不适用 |
| 企业 Web 应用程序访问 | Citrix Cloud Connector、Citrix Connector Appliance | 不适用 |
| 由 Citrix Endpoint Management 交付的企业应用程序和文件 | Citrix Cloud Connector、Citrix Connector Appliance | 不适用 |
Citrix Cloud Connector 网络访问要求
有关 Citrix Cloud Connector 网络访问要求的信息,请参阅 https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html
Citrix Gateway 服务 HDX 连接
使用 Citrix Gateway 服务 可避免在客户数据中心内部署 NetScaler Gateway。要使用 Citrix Gateway 服务,前提是使用从 Citrix Cloud 交付的 Citrix Workspace。
客户最佳实践
建议客户在其网络中使用 TLS,并且不要为通过 HTTP 的应用程序启用 SSO。
已弃用的密码套件
为了增强安全性,以下密码套件已弃用:
- TLS1.2-AES128-GCM-SHA256
- TLS1.2-AES-128-SHA256
- TLS1.2-AES256-GCM-SHA384
- TLS1.2-AES-256-SHA256
- TLS1.2-DHE-RSA-AES-256-SHA256
- TLS1.2-DHE-RSA-AES-128-SHA256
- TLS1.2-DHE-RSA-AES256-GCM-SHA384
- TLS1.2-DHE-RSA-AES128-GCM-SHA256
- SSL3-DES-CBC3-SHA
- TLS1-ECDHE-RSA-AES256-SHA
- TLS1-AES-256-CBC-SHA
- TLS1-AES-128-CBC-SHA
- TLS1-ECDHE-ECDSA-AES256-SHA
- TLS1-ECDHE-ECDSA-AES128-SHA
- TLS1-DHE-RSA-AES-256-CBC-SHA
- TLS1-DHE-RSA-AES-128-CBC-SHA
- TLS1-DHE-DSS-AES-256-CBC-SHA
- TLS1-DHE-DSS-AES-128-CBC-SHA
- TLS1-ECDHE-RSA-DES-CBC3-SHA
- TLS1.2-ECDHE-RSA-AES-128-SHA256
- TLS1.2-ECDHE-ECDSA-AES128-SHA256
- TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
- TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256