Technische Sicherheit

Citrix Cloud verwaltet den Betrieb für Citrix Gateway Services, wodurch Kunden die Citrix Gateway-Appliance verwalten müssen. Der Citrix Gateway Service wird über die Citrix Workspace-App bereitgestellt.

Der Citrix Gateway Service bietet die folgenden Funktionen:

HDX-Konnektivität: Die Virtual Delivery Agents (VDAs), die die Apps und Desktops hosten, bleiben unter der Kontrolle des Kunden im Rechenzentrum seiner Wahl, entweder in der Cloud oder on-premises. Diese Komponenten sind über einen Agent (“Citrix Cloud Connector”) mit dem Cloud-Service verbunden.

DTLS 1.2-Protokollunterstützung: Citrix Gateway Service unterstützt Datagram Transport Layer Security (DTLS) 1.2 für HDX-Sitzungen über EDT (UDP-basiertes Transportprotokoll). Die folgenden Verschlüsselungssammlungen werden unterstützt:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Endpoint Management-Integration: Bei Integration mit Citrix Endpoint Management plus Citrix Workspace bietet Citrix Gateway Service sicheren Remote-Gerätezugriff auf Ihr internes Netzwerk und Ihre Ressourcen. Das Onboarding von Citrix Gateway Service mit Endpoint Management ist schnell und einfach. Citrix Gateway Service umfasst die vollständige Unterstützung von Citrix SSO für Apps wie Secure Mail und Secure Web.

Datenfluss

Der Citrix Gateway Service ist ein global verteilter Multitenant-Service. Endbenutzer verwenden den nächstgelegenen Point-of-Presence (PoP), an dem die jeweilige Funktion verfügbar ist, die sie benötigen, unabhängig von der Geoauswahl der Citrix Cloud Control-Ebene oder dem Standort der Anwendungen, auf die zugegriffen wird. Konfigurationen, z. B. Autorisierungsmetadaten werden auf alle PoPs repliziert.

Protokolle, die von Citrix für Diagnose-, Überwachungs-, Geschäfts- und Kapazitätsplanung verwendet werden, werden an einem zentralen Ort gesichert und gespeichert.

Die Kundenkonfiguration wird an einem zentralen Ort gespeichert und global an alle PoPs verteilt.

Die Übertragung von Daten zwischen Cloud und Kundenstandort erfolgt über eine sichere TLS-Verbindung über Port 443.

Verschlüsselungsschlüssel, die für die Benutzerauthentifizierung und das einmalige Anmelden verwendet werden, werden in Hardware-Sicherheitsmodulen

Datenisolierung

Der Citrix Gateway Service speichert die folgenden Daten:

  • Konfigurationsdaten, die für die Vermittlung und Überwachung der Kundenanwendungen benötigt werden — Daten werden vom Kunden erfasst, wenn sie bestehen bleiben.
  • TOTP-Seeds für jedes Benutzergerät — TOTP-Seeds werden vom Kunden, Benutzer und Gerät erfasst.

Audit und Change Control

Derzeit stellt Citrix Gateway Service Kunden keine Überwachungs- und Änderungssteuerungsprotokolle zur Verfügung. Für Citrix stehen Protokolle zur Verfügung, mit denen die Aktivitäten von Endbenutzer und Administrator überprüft werden können.

Handhabung von Anmeldeinformationen

Der Dienst verarbeitet zwei Arten von Anmeldeinformationen:

  • Benutzeranmeldeinformationen: Endbenutzer-Anmeldeinformationen (Kennwörter und Authentifizierungstoken) können Citrix Gateway Service zur Verfügung gestellt werden, um Folgendes auszuführen:
    • Sicherer privater Zugriff — Der Dienst verwendet die Benutzeridentität, um den Zugriff auf SaaS- und Enterprise-Webanwendungen und andere Ressourcen zu bestimmen.
    • Single Sign-On - Der Dienst hat möglicherweise Zugriff auf das Kennwort des Benutzers, um die SSO-Funktion für interne Webanwendungen mithilfe von HTTP Basic, NTLM oder formularbasierter Authentifizierung abzuschließen. Das Verschlüsselungsprotokoll, das für das Kennwort verwendet wird, ist TLS, es sei denn, Sie konfigurieren die HTTP Basic-Authentifizierung.
  • Administratoranmeldeinformationen: Administratoren authentifizieren sich bei Citrix Cloud. Dadurch wird ein einmalig signiertes JSON-Web-Token (JWT) generiert, das dem Administrator Zugriff auf die Verwaltungskonsolen in Citrix Cloud ermöglicht.

Wichtige Hinweise

  • Der gesamte Datenverkehr über öffentliche Netzwerke wird mit TLS verschlüsselt, wobei von Citrix verwaltete Zertifikate verwendet werden.
  • Schlüssel, die für SaaS-App SSO (SAML-Signaturschlüssel) verwendet werden, werden vollständig von Citrix verwaltet.
  • Für MFA speichert Citrix Gateway Service die gerätebezogenen Schlüssel, die zum Seeding des TOTP-Algorithmus verwendet werden.
  • Um die Kerberos-Single Sign-On-Funktionalität zu aktivieren, können Kunden Gateway Connector mit Anmeldeinformationen (Benutzername + Kennwort) für ein Dienstkonto konfigurieren, dem vertraut wird, dass er Kerberos Constrained Delegation durchführt.

Überlegungen zur Bereitstellung

Citrix empfiehlt Benutzern, die veröffentlichten Best Practices Dokumentation zum Bereitstellen von Citrix Gateway Services zu konsultieren. Weitere Überlegungen zu SaaS-Apps und der Bereitstellung von Unternehmens-Web-Apps sowie zum Netzwerkconnector lauten wie folgt.

Auswahl des richtigen Connectors: Je nach Anwendungsfall muss der richtige Connector ausgewählt werden:

Anwendungsfall Connector Formfaktor
Benutzerauthentifizierung: Active Directory Citrix Cloud Connector Windows
HDX-Konnektivität Citrix Cloud Connector Windows
Zugriff auf SaaS-Apps Citrix Cloud Connector Nicht zutreffend
Zugriff auf Unternehmens-Webanwendungen Citrix Cloud Connector, Citrix Gateway Connector Nicht zutreffend
Von Citrix Endpoint Management bereitgestellte Unternehmensanwendungen und -dateien Citrix Cloud Connector, Citrix Gateway Connector Nicht zutreffend

Anforderungen für den Citrix Cloud Connector-Netzwerkzugriff

Informationen zu den Anforderungen für den Netzwerkzugriff von Citrix Cloud Connector finden Sie unterhttps://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Citrix Gateway Connector-Netzwerkzugriffsanforderungen

Informationen zu den Anforderungen für den Netzwerkzugriff von Citrix Cloud Connector finden Sie unterhttps://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.html

Citrix Gateway Service HDX-Konnektivität

Die Verwendung des Citrix Gateway Services vermeidet die Bereitstellung von Citrix Gateway in den Rechenzentren des Kunden. Um den Citrix Gateway Service zu verwenden, müssen Sie den StoreFront-Dienst verwenden, der von Citrix Cloud bereitgestellt wird.

Best Practices für Kunden

Kunden werden empfohlen, TLS in ihrem Netzwerk zu verwenden und SSO für Anwendungen über HTTP nicht zu aktivieren.