Produktdokumentation
Citrix Gateway-Dienst
PDF anzeigen

Technischer Sicherheitsüberblick

September 16, 2025
Beitrag von: 
C C

Citrix Cloud verwaltet den Betrieb der Citrix Gateway Services und ersetzt die Notwendigkeit für Kunden, die NetScaler Gateway Appliance selbst zu verwalten. Der Citrix Gateway Service wird über die Citrix Workspace App bereitgestellt.

Der Citrix Gateway Service bietet die folgenden Funktionen:

HDX-Konnektivität: Die Virtual Delivery Agents (VDAs), die die Anwendungen und Desktops hosten, bleiben unter der Kontrolle des Kunden im Rechenzentrum seiner Wahl, entweder in der Cloud oder On-Premises. Diese Komponenten werden über einen Agenten namens Citrix Cloud Connector mit dem Cloud-Dienst verbunden.

DTLS 1.2 Protokollunterstützung: Der Citrix Gateway Service unterstützt Datagram Transport Layer Security (DTLS) 1.2 für HDX-Sitzungen über EDT (UDP-basiertes Transportprotokoll). Die folgenden Cipher Suites werden unterstützt:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS-Protokollunterstützung: Der Citrix Gateway Service unterstützt die folgenden TLS-Cipher Suites:

  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-RSA-AES-256-SHA384
  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1.2-AES256-GCM-SHA384
  • TLS1-AES-256-CBC-SHA

Endpoint Management-Integration: Bei der Integration mit Citrix Endpoint Management plus Citrix Workspace bietet der Citrix Gateway Service sicheren Remote-Gerätezugriff auf Ihr internes Netzwerk und Ihre Ressourcen. Die Integration des Citrix Gateway Service mit Endpoint Management ist schnell und einfach. Der Citrix Gateway Service beinhaltet die vollständige Unterstützung von Citrix SSO für Anwendungen wie Secure Mail und Secure Web.

Datenfluss

Der Citrix Gateway Service ist ein global verteilter Multi-Tenant-Dienst. Endbenutzer nutzen den nächstgelegenen Point-of-Presence (PoP), wo die benötigte Funktion verfügbar ist, unabhängig von der Geo-Auswahl der Citrix Cloud Control Plane oder dem Standort der aufgerufenen Anwendungen. Konfigurationen, wie z. B. Autorisierungs-Metadaten, werden auf alle PoPs repliziert.

Protokolle, die von Citrix® für Diagnose, Überwachung, Geschäfts- und Kapazitätsplanung verwendet werden, werden gesichert und an einem zentralen Ort gespeichert.

Die Kundenkonfiguration wird an einem zentralen Ort gespeichert und global an alle PoPs verteilt.

Der Datenfluss zwischen der Cloud und den Kundenstandorten erfolgt über sichere TLS-Verbindungen über Port 443.

Verschlüsselungsschlüssel, die für die Benutzerauthentifizierung und das Single Sign-On verwendet werden, werden in Hardware-Sicherheitsmodulen gespeichert.

Datenisolation

Der Citrix Gateway Service speichert die folgenden Daten:

  • Konfigurationsdaten, die für das Brokering und die Überwachung der Kundenanwendungen benötigt werden – Daten werden vom Kunden beim Speichern bereichsbezogen festgelegt.
  • TOTP-Seeds für jedes Benutzergerät – TOTP-Seeds werden nach Kunde, Benutzer und Gerät bereichsbezogen festgelegt.

Audit und Änderungskontrolle

Der Citrix Gateway Service stellt Kunden derzeit keine Audit- und Änderungskontrollprotokolle zur Verfügung. Protokolle stehen Citrix zur Verfügung und können zur Überprüfung der Aktivitäten von Endbenutzern und Administratoren verwendet werden.

Anmeldeinformationsverwaltung

Der Dienst verarbeitet zwei Arten von Anmeldeinformationen:

  • Benutzeranmeldeinformationen: Endbenutzer-Anmeldeinformationen (Passwörter und Authentifizierungstoken) können dem Citrix Gateway Service zur Verfügung gestellt werden, um Folgendes durchzuführen:
    • Citrix Secure Private Access – Der Dienst verwendet die Identität des Benutzers, um den Zugriff auf SaaS- und Enterprise-Webanwendungen sowie andere Ressourcen zu bestimmen.
    • Single Sign-On – Der Dienst kann auf das Passwort des Benutzers zugreifen, um die SSO-Funktion für interne Webanwendungen mittels HTTP Basic, NTLM oder formularbasierter Authentifizierung abzuschließen. Das für Passwörter verwendete Verschlüsselungsprotokoll ist TLS, es sei denn, Sie konfigurieren explizit die HTTP Basic Authentifizierung.
  • Administrator-Anmeldeinformationen: Administratoren authentifizieren sich gegenüber Citrix Cloud. Dies generiert ein einmalig signiertes JSON Web Token (JWT), das dem Administrator Zugriff auf die Verwaltungskonsolen in Citrix Cloud gewährt.

Hinweise

  • Der gesamte Datenverkehr über öffentliche Netzwerke wird durch TLS verschlüsselt, unter Verwendung von Zertifikaten, die von Citrix verwaltet werden.
  • Schlüssel, die für SaaS-App-SSO (SAML-Signaturschlüssel) verwendet werden, werden vollständig von Citrix verwaltet.
  • Für MFA speichert der Citrix Gateway Service die pro Gerät verwendeten Schlüssel, um den TOTP-Algorithmus zu initialisieren.
  • Um die Kerberos Single Sign-On-Funktionalität zu ermöglichen, können Kunden die Connector Appliance mit Anmeldeinformationen (Benutzername + Passwort) für ein Dienstkonto konfigurieren, das für die Durchführung der Kerberos Constrained Delegation vertrauenswürdig ist.

Bereitstellungsüberlegungen

Citrix empfiehlt Benutzern, die veröffentlichte Best-Practice-Dokumentation für die Bereitstellung von Citrix Gateway Services zu konsultieren. Weitere Überlegungen zur Bereitstellung von SaaS-Anwendungen und Enterprise-Webanwendungen sowie zum Netzwerk-Konnektor sind wie folgt.

Auswahl des richtigen Konnektors: Der richtige Konnektor muss je nach Anwendungsfall ausgewählt werden:

Anwendungsfall Konnektor Formfaktor
Benutzerauthentifizierung: Active Directory Citrix Cloud Connector Windows-Software
HDX-Konnektivität Citrix Cloud Connector Windows-Software
Zugriff auf SaaS-Anwendungen Citrix Cloud Connector N/A
Zugriff auf Enterprise-Webanwendungen Citrix Cloud Connector, Citrix Connector Appliance N/A
Enterprise-Anwendungen und -Dateien, bereitgestellt durch Citrix Endpoint Management Citrix Cloud Connector, Citrix Connector Appliance N/A

Netzwerkanforderungen für Citrix Cloud Connector

Informationen zu den Netzwerkanforderungen für Citrix Cloud Connector finden Sie unter https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Citrix Gateway Service HDX-Konnektivität

Die Nutzung des Citrix Gateway Service macht die Bereitstellung von NetScaler Gateway in den Rechenzentren des Kunden überflüssig. Um den Citrix Gateway Service nutzen zu können, ist die Verwendung von Citrix Workspace, das von Citrix Cloud bereitgestellt wird, eine Voraussetzung.

Best Practices für Kunden

Kunden wird empfohlen, TLS innerhalb ihres Netzwerks zu verwenden und SSO für Anwendungen nicht über HTTP zu aktivieren.

Veraltete Cipher Suites

Die folgenden Cipher Suites sind aus Gründen der erhöhten Sicherheit veraltet:

  • TLS1.2-AES128-GCM-SHA256
  • TLS1.2-AES-128-SHA256
  • TLS1.2-AES256-GCM-SHA384
  • TLS1.2-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-128-SHA256
  • TLS1.2-DHE-RSA-AES256-GCM-SHA384
  • TLS1.2-DHE-RSA-AES128-GCM-SHA256
  • SSL3-DES-CBC3-SHA
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1-AES-256-CBC-SHA
  • TLS1-AES-128-CBC-SHA
  • TLS1-ECDHE-ECDSA-AES256-SHA
  • TLS1-ECDHE-ECDSA-AES128-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA
  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-DSS-AES-256-CBC-SHA
  • TLS1-DHE-DSS-AES-128-CBC-SHA
  • TLS1-ECDHE-RSA-DES-CBC3-SHA
  • TLS1.2-ECDHE-RSA-AES-128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
Technischer Sicherheitsüberblick
September 16, 2025
Beitrag von: 
C C
September 16, 2025
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.