Technische Sicherheit im Überblick

Dieses Dokument gilt für alle Funktionen des Citrix Gateway Services, der in Citrix Cloud gehostet wird, einschließlich HDX-Transport, SaaS-Apps und Enterprise Web Apps.

Citrix Cloud verwaltet den Betrieb für Citrix Gateway Services, wodurch Kunden die Citrix Gateway-Appliance verwalten müssen. Der Citrix Gateway Service wird über die Citrix Workspace-App bereitgestellt.

Der Citrix Gateway Service bietet die folgenden Funktionen:

  • HDX-Konnektivität für XenApp-Benutzer — ein weltweit verfügbarer Dienst, der sichere Konnektivität von Benutzern an jedem Standort zu virtuellen Apps und Desktops bietet.
  • Sicherer Zugriff auf SaaS-Anwendungen — eine einheitliche Benutzererfahrung, die konfigurierte SaaS-Anwendungen für Endbenutzer bietet.
  • Sicherer Zugriff auf Enterprise-Webanwendungen — eine einheitliche Benutzererfahrung, die den Endbenutzern konfigurierte Enterprise-Webanwendungen ermöglicht.
  • Sicherer Zugriff auf alle Apps und Dateien in einem digitalen Workspace — ein moderner Ansatz zur Verwaltung aller Geräte über eine einzige Plattform, Citrix Endpoint Management. Zu den unterstützten Plattformen zählen Desktops, Laptops, Smartphones, Tablets und IoT.

HDX-Konnektivität: Die Virtual Delivery Agents (VDAs), die die Apps und Desktops hosten, bleiben im Rechenzentrum ihrer Wahl, entweder in der Cloud oder lokal, unter der Kontrolle des Kunden. Diese Komponenten sind über einen Agent (“Citrix Cloud Connector”) mit dem Cloud-Service verbunden.

SaaS-Apps: Software as a Service (SaaS) ist ein Software-Distributionsmodell, um Software remote als webbasierten Dienst bereitzustellen. Häufig verwendete SaaS-Apps umfassen Salesforce, Workday, Concur, GoToMeeting usw.

Enterprise-Web-Apps: Die Bereitstellung von Enterprise Web Apps mithilfe des Citrix Gateway Services ermöglicht die Remote-Bereitstellung von unternehmensspezifischen Anwendungen als webbasierter Dienst.** Häufig verwendete Enterprise-Web-Apps umfassen SharePoint, Confluence, OneBug usw. Sie benötigen Citrix Gateway Connector, um auf die Enterprise-Web-Apps zugreifen zu können.

SaaS-Apps und Enterprise-Webanwendungen werden über Citrix Workspace mithilfe des Citrix Gateway Services bereitgestellt. Der Citrix Gateway Service in Verbindung mit Citrix Workspace bietet eine einheitliche Benutzererfahrung für die konfigurierten Enterprise-Webanwendungen, SaaS-Apps, konfigurierten virtuellen Apps oder andere Workspace-Ressourcen. Zusammen mit Secure Access schützt der Citrix Gateway Service Benutzer auch vor nicht vertrauenswürdigen Links, die in benutzergenerierte Inhalte eingebettet sind.

Integration von Endpoint Management: Bei der Integration mit Citrix Endpoint Management und Citrix Workspace bietet Citrix Gateway Dienst sicheren Remote-Gerätezugriff auf Ihr internes Netzwerk und Ihre Ressourcen. Das Onboarding des Citrix Gateway Dienstes mit Endpoint Management ist schnell und einfach. Der Citrix Gateway Dienst umfasst die vollständige Unterstützung von Citrix SSO für Apps wie Secure Mail und Secure Web.

Datenfluss

Der Citrix Gateway Service ist ein global verteilter Multitenant-Service. Endbenutzer nutzen den nächstgelegenen Point-of-Presence (PoP), wo die jeweilige Funktion verfügbar ist, unabhängig von der Geo-Auswahl der Citrix Cloud Control-Ebene oder dem Standort der Anwendungen, auf die zugegriffen wird. B. Autorisierungsmetadaten werden auf alle POPs repliziert.

Protokolle, die von Citrix für Diagnose-, Überwachungs-, Geschäfts- und Kapazitätsplanung verwendet werden, werden an einem zentralen Ort gesichert und gespeichert.

Die Kundenkonfiguration wird an einem zentralen Ort gespeichert und global an alle POPs verteilt.

Die Übertragung von Daten zwischen Cloud und Kundenstandort erfolgt über eine sichere TLS-Verbindung über Port 443.

Verschlüsselungsschlüssel, die für die Benutzerauthentifizierung und Single Sign-On verwendet werden, werden in Hardware-Sicherheitsmodulen gespeichert.

Datenisolation

Der Citrix Gateway Service speichert die folgenden Daten:

  • Konfigurationsdaten, die für die Vermittlung und Überwachung der Anwendungen des Kunden benötigt werden — die Daten werden vom Kunden erfasst, wenn sie beibehalten werden.
  • TOTP Seeds für jedes Benutzergerät — TOTP Seeds werden nach Kunde, Benutzer und Gerät umgerechnet.

Audit und Change Control

Aktuell stellt der Citrix Gateway Service keine Überwachungs- und Änderungssteuerungsprotokolle für Kunden zur Verfügung. Protokolle stehen für Citrix zur Verfügung, die zur Überwachung von Aktivitäten von Endbenutzern und Administratoren verwendet werden können.

Verarbeitung von Anmeldeinformationen

Der Dienst verarbeitet zwei Arten von Anmeldeinformationen:

  • Anmeldeinformationen für Benutzer: Anmeldeinformationen für Endbenutzer (Kennwörter und Authentifizierungstoken) werden dem Citrix Gateway Service möglicherweise zur Verfügung gestellt, um
    • Secure Workspace Access - Der Service verwendet die Identität des Benutzers, um den Zugriff auf SaaS und Enterprise Webanwendungen und andere Ressourcen zu bestimmen.
    • Single Sign-On - Der Dienst hat möglicherweise Zugriff auf das Kennwort des Benutzers, um die SSO-Funktion für interne Webanwendungen mithilfe von HTTP Basic, NTLM oder formularbasierter Authentifizierung abzuschließen. Das Verschlüsselungsprotokoll, das für das Kennwort verwendet wird, ist TLS, es sei denn, Sie konfigurieren die HTTP Basic-Authentifizierung.
  • Administratoranmeldeinformationen: Administratoren authentifizieren sich für Citrix Cloud. Dadurch wird ein einmaliges signiertes JSON-Web-Token (JWT) generiert, das dem Administrator Zugriff auf die Verwaltungskonsolen in Citrix Cloud gewährt.

Punkte zu beachten

  • Der gesamte Datenverkehr über öffentliche Netzwerke wird durch TLS verschlüsselt, wobei Zertifikate verwendet werden, die von Citrix verwaltet werden.
  • Schlüssel, die für SaaS-App SSO (SAML-Signaturschlüssel) verwendet werden, werden vollständig von Citrix verwaltet.
  • Für MFA speichert Citrix Gateway Service Schlüssel pro Gerät, die zum Seeding des TOTP-Algorithmus verwendet werden.
  • Um die Kerberos-Single Sign-On-Funktionalität zu aktivieren, können Kunden Gateway Connector mit Anmeldeinformationen (Benutzername + Kennwort) für ein Dienstkonto konfigurieren, dem vertraut wird, dass er Kerberos Constrained Delegation durchführt.

Überlegungen zur Bereitstellung

Citrix empfiehlt Benutzern, die veröffentlichten Best Practices Dokumentation zum Bereitstellen von Citrix Gateway Services zu konsultieren. Weitere Überlegungen zu SaaS-Apps und der Bereitstellung von Unternehmens-Web-Apps sowie zum Netzwerkconnector lauten wie folgt.

Auswahl des richtigen Connectors: Je nach Anwendungsfall muss der richtige Connector ausgewählt werden:

Anwendungsfall Connector Formfaktor
Benutzerauthentifizierung: Active Directory Citrix Cloud Connector Windows Software
HDX-Konnektivität Citrix Cloud Connector Windows Software
Zugriff auf SaaS-Apps Citrix Cloud Connector Nicht zutreffend
Zugriff auf Unternehmens-Web-Apps Citrix Cloud Connector, Citrix Gateway Connector Nicht zutreffend
Unternehmens-Apps und -Dateien, die von Citrix Endpoint Management bereitgestellt werden Citrix Cloud Connector, Citrix Gateway Connector Nicht zutreffend

Anforderungen für den Netzwerkzugriff von Citrix Cloud Connector

Informationen zu den Anforderungen für den Netzwerkzugriff von Citrix Cloud Connector finden Sie unterhttps://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Anforderungen für den Netzwerkzugriff von Citrix Gateway Connector

Informationen zu den Anforderungen für den Netzwerkzugriff von Citrix Cloud Connector finden Sie unterhttps://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.html

Citrix Gateway Service HDX-Konnektivität

Die Verwendung des Citrix Gateway Services vermeidet die Bereitstellung von Citrix Gateway in den Rechenzentren des Kunden. Um den Citrix Gateway Service zu verwenden, müssen Sie den StoreFront-Dienst verwenden, der von Citrix Cloud bereitgestellt wird.

Best Practices für Kunden

Kunden werden empfohlen, TLS in ihrem Netzwerk zu verwenden und SSO für Anwendungen über HTTP nicht zu aktivieren.