Produktdokumentation
Citrix Gateway Service
PDF anzeigen

Technischer Sicherheitsüberblick

August 8, 2025
Beitrag von: 
C

Citrix Cloud verwaltet den Betrieb für Citrix Gateway-Dienste und ersetzt die Notwendigkeit für Kunden, die NetScaler Gateway-Appliance zu verwalten. Der Citrix Gateway-Dienst wird über die Citrix Workspace-App bereitgestellt.

Der Citrix Gateway-Dienst bietet die folgenden Funktionen:

HDX-Konnektivität: Die Virtual Delivery Agents (VDAs), die die Apps und Desktops hosten, bleiben unter der Kontrolle des Kunden im Rechenzentrum seiner Wahl, entweder in der Cloud oder On-Premises. Diese Komponenten sind über einen Agenten, den Citrix Cloud Connector, mit dem Cloud-Dienst verbunden.

Unterstützung des DTLS 1.2-Protokolls: Der Citrix Gateway-Dienst unterstützt Datagram Transport Layer Security (DTLS) 1.2 für HDX-Sitzungen über EDT (UDP-basiertes Transportprotokoll). Die folgenden Cipher Suites werden unterstützt:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Unterstützung des TLS-Protokolls: Der Citrix Gateway-Dienst unterstützt die folgenden TLS-Cipher Suites:

  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-RSA-AES-256-SHA384
  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1.2-AES256-GCM-SHA384
  • TLS1-AES-256-CBC-SHA

Endpoint Management-Integration: Bei der Integration mit Citrix Endpoint Management plus Citrix Workspace bietet der Citrix Gateway-Dienst sicheren Remote-Gerätezugriff auf Ihr internes Netzwerk und Ihre Ressourcen. Die Inbetriebnahme des Citrix Gateway-Dienstes mit Endpoint Management ist schnell und einfach. Der Citrix Gateway-Dienst umfasst die vollständige Unterstützung von Citrix SSO für Apps wie Secure Mail und Secure Web.

Datenfluss

Der Citrix Gateway-Dienst ist ein global verteilter Multitenant-Dienst. Endbenutzer nutzen den nächstgelegenen Point-of-Presence (PoP), an dem die von ihnen benötigte Funktion verfügbar ist, unabhängig von der Geo-Auswahl der Citrix Cloud Control Plane oder dem Standort der aufgerufenen Anwendungen. Die Konfiguration, wie z. B. Autorisierungsmetadaten, wird auf alle PoPs repliziert.

Protokolle, die von Citrix für Diagnose, Überwachung, Geschäfts- und Kapazitätsplanung verwendet werden, sind gesichert und an einem zentralen Ort gespeichert.

Die Kundenkonfiguration wird an einem zentralen Ort gespeichert und global an alle PoPs verteilt.

Der Datenfluss zwischen der Cloud und den Kundenstandorten verwendet sichere TLS-Verbindungen über Port 443.

Verschlüsselungsschlüssel, die für die Benutzerauthentifizierung und das Single Sign-On verwendet werden, werden in Hardware-Sicherheitsmodulen gespeichert.

Datenisolation

Der Citrix Gateway-Dienst speichert die folgenden Daten:

  • Konfigurationsdaten, die für das Brokering und die Überwachung der Anwendungen des Kunden benötigt werden – die Daten werden beim Speichern vom Kunden festgelegt.
  • TOTP-Seeds für jedes Benutzergerät – TOTP-Seeds werden nach Kunde, Benutzer und Gerät festgelegt.

Audit und Änderungskontrolle

Der Citrix Gateway-Dienst stellt Kunden derzeit keine Audit- und Änderungskontrollprotokolle zur Verfügung. Protokolle sind für Citrix verfügbar und können zur Überprüfung der Aktivitäten von Endbenutzern und Administratoren verwendet werden.

Anmeldeinformationen

Der Dienst verarbeitet zwei Arten von Anmeldeinformationen:

  • Benutzeranmeldeinformationen: Endbenutzeranmeldeinformationen (Passwörter und Authentifizierungstoken) können dem Citrix Gateway-Dienst zur Verfügung gestellt werden, um Folgendes auszuführen:
    • Citrix Secure Private Access – Der Dienst verwendet die Identität des Benutzers, um den Zugriff auf SaaS- und Unternehmens-Webanwendungen sowie andere Ressourcen zu bestimmen.
    • Single Sign-On – Der Dienst kann Zugriff auf das Passwort des Benutzers haben, um die SSO-Funktion für interne Webanwendungen mithilfe von HTTP Basic-, NTLM- oder formularbasierter Authentifizierung abzuschließen. Das für Passwörter verwendete Verschlüsselungsprotokoll ist TLS, es sei denn, Sie konfigurieren explizit die HTTP Basic-Authentifizierung.
  • Administratoranmeldeinformationen: Administratoren authentifizieren sich gegenüber Citrix Cloud. Dies generiert ein einmalig signiertes JSON Web Token (JWT), das dem Administrator Zugriff auf die Verwaltungskonsolen in Citrix Cloud gewährt.

Hinweise

  • Der gesamte Datenverkehr über öffentliche Netzwerke wird durch TLS verschlüsselt, wobei von Citrix verwaltete Zertifikate verwendet werden.
  • Schlüssel, die für SaaS-App-SSO (SAML-Signaturschlüssel) verwendet werden, werden vollständig von Citrix verwaltet.
  • Für MFA speichert der Citrix Gateway-Dienst die pro Gerät verwendeten Schlüssel, um den TOTP-Algorithmus zu seeden.
  • Um die Kerberos Single Sign-On-Funktionalität zu ermöglichen, können Kunden den Connector Appliance mit Anmeldeinformationen (Benutzername + Passwort) für ein Dienstkonto konfigurieren, das zur Durchführung der Kerberos Constrained Delegation berechtigt ist.

Bereitstellungsüberlegungen

Citrix empfiehlt Benutzern, die veröffentlichte Best-Practice-Dokumentation für die Bereitstellung von Citrix Gateway-Diensten zu konsultieren. Weitere Überlegungen zur Bereitstellung von SaaS-Apps und Unternehmens-Web-Apps sowie zum Netzwerk-Connector sind wie folgt.

Auswahl des richtigen Connectors: Der richtige Connector muss je nach Anwendungsfall ausgewählt werden:

Anwendungsfall Connector Formfaktor
Benutzerauthentifizierung: Active Directory Citrix Cloud Connector Windows-Software
HDX-Konnektivität Citrix Cloud Connector Windows-Software
Zugriff auf SaaS-Apps Citrix Cloud Connector N/A
Zugriff auf Unternehmens-Web-Apps Citrix Cloud Connector, Citrix Connector Appliance N/A
Unternehmens-Apps und -Dateien, die von Citrix Endpoint Management bereitgestellt werden Citrix Cloud Connector, Citrix Connector Appliance N/A

Netzwerkanforderungen für Citrix Cloud Connector

Informationen zu den Netzwerkanforderungen für Citrix Cloud Connector finden Sie unter https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Citrix Gateway-Dienst HDX-Konnektivität

Die Verwendung des Citrix Gateway-Dienstes vermeidet die Notwendigkeit, NetScaler Gateway in den Rechenzentren des Kunden bereitzustellen. Um den Citrix Gateway-Dienst nutzen zu können, ist die Verwendung von Citrix Workspace, das von Citrix Cloud bereitgestellt wird, eine Voraussetzung.

Best Practices für Kunden

Kunden wird empfohlen, TLS innerhalb ihres Netzwerks zu verwenden und SSO für Anwendungen über HTTP nicht zu aktivieren.

Veraltete Cipher Suites

Die folgenden Cipher Suites sind aus Gründen der erhöhten Sicherheit veraltet:

  • TLS1.2-AES128-GCM-SHA256
  • TLS1.2-AES-128-SHA256
  • TLS1.2-AES256-GCM-SHA384
  • TLS1.2-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-128-SHA256
  • TLS1.2-DHE-RSA-AES256-GCM-SHA384
  • TLS1.2-DHE-RSA-AES128-GCM-SHA256
  • SSL3-DES-CBC3-SHA
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1-AES-256-CBC-SHA
  • TLS1-AES-128-CBC-SHA
  • TLS1-ECDHE-ECDSA-AES256-SHA
  • TLS1-ECDHE-ECDSA-AES128-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA
  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-DSS-AES-256-CBC-SHA
  • TLS1-DHE-DSS-AES-128-CBC-SHA
  • TLS1-ECDHE-RSA-DES-CBC3-SHA
  • TLS1.2-ECDHE-RSA-AES-128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
Technischer Sicherheitsüberblick
August 8, 2025
Beitrag von: 
C
August 8, 2025
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.