Citrix Gateway Service

Technische Sicherheit

December 5, 2022

Beitrag von:

Citrix Cloud verwaltet den Betrieb für Citrix Gateway Services, wodurch Kunden die Citrix Gateway-Appliance verwalten müssen. Der Citrix Gateway Service wird über die Citrix Workspace-App bereitgestellt.

Der Citrix Gateway Service bietet die folgenden Funktionen:

HDX-Konnektivität: Die Virtual Delivery Agents (VDAs), die die Apps und Desktops hosten, bleiben unter der Kontrolle des Kunden im Rechenzentrum seiner Wahl, entweder in der Cloud oder on-premises. Diese Komponenten sind über einen Agent (“Citrix Cloud Connector”) mit dem Cloud-Service verbunden.

DTLS 1.2-Protokollunterstützung: Citrix Gateway Service unterstützt Datagram Transport Layer Security (DTLS) 1.2 für HDX-Sitzungen über EDT (UDP-basiertes Transportprotokoll). Die folgenden Verschlüsselungssammlungen werden unterstützt:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Endpoint Management-Integration: Bei Integration mit Citrix Endpoint Management plus Citrix Workspace bietet Citrix Gateway Service sicheren Remote-Gerätezugriff auf Ihr internes Netzwerk und Ihre Ressourcen. Das Onboarding von Citrix Gateway Service mit Endpoint Management ist schnell und einfach. Citrix Gateway Service umfasst die vollständige Unterstützung von Citrix SSO für Apps wie Secure Mail und Secure Web.

Datenfluss

Der Citrix Gateway Service ist ein global verteilter Multitenant-Service. Endbenutzer verwenden den nächstgelegenen Point-of-Presence (PoP), an dem die jeweilige Funktion verfügbar ist, die sie benötigen, unabhängig von der Geoauswahl der Citrix Cloud Control-Ebene oder dem Standort der Anwendungen, auf die zugegriffen wird. Konfigurationen, z. B. Autorisierungsmetadaten werden auf alle PoPs repliziert.

Protokolle, die von Citrix für Diagnose-, Überwachungs-, Geschäfts- und Kapazitätsplanung verwendet werden, werden an einem zentralen Ort gesichert und gespeichert.

Die Kundenkonfiguration wird an einem zentralen Ort gespeichert und global an alle PoPs verteilt.

Die Übertragung von Daten zwischen Cloud und Kundenstandort erfolgt über eine sichere TLS-Verbindung über Port 443.

Verschlüsselungsschlüssel, die für die Benutzerauthentifizierung und das einmalige Anmelden verwendet werden, werden in Hardware-Sicherheitsmodulen

Datenisolierung

Der Citrix Gateway Service speichert die folgenden Daten:

Konfigurationsdaten, die für die Vermittlung und Überwachung der Kundenanwendungen benötigt werden — Daten werden vom Kunden erfasst, wenn sie bestehen bleiben.
TOTP-Seeds für jedes Benutzergerät — TOTP-Seeds werden vom Kunden, Benutzer und Gerät erfasst.

Audit und Change Control

Derzeit stellt Citrix Gateway Service Kunden keine Überwachungs- und Änderungssteuerungsprotokolle zur Verfügung. Für Citrix stehen Protokolle zur Verfügung, mit denen die Aktivitäten von Endbenutzer und Administrator überprüft werden können.

Handhabung von Anmeldeinformationen

Der Dienst verarbeitet zwei Arten von Anmeldeinformationen:

Benutzeranmeldeinformationen: Endbenutzer-Anmeldeinformationen (Kennwörter und Authentifizierungstoken) können Citrix Gateway Service zur Verfügung gestellt werden, um Folgendes auszuführen:
- Sicherer privater Zugriff — Der Dienst verwendet die Benutzeridentität, um den Zugriff auf SaaS- und Enterprise-Webanwendungen und andere Ressourcen zu bestimmen.
- Single Sign-On - Der Dienst hat möglicherweise Zugriff auf das Kennwort des Benutzers, um die SSO-Funktion für interne Webanwendungen mit HTTP Basic, NTLM oder formularbasierter Authentifizierung abzuschließen. Das Verschlüsselungsprotokoll, das für das Kennwort verwendet wird, ist TLS, es sei denn, Sie konfigurieren die HTTP Basic-Authentifizierung.
Administratoranmeldeinformationen: Administratoren authentifizieren sich bei Citrix Cloud. Dadurch wird ein einmalig signiertes JSON-Web-Token (JWT) generiert, das dem Administrator Zugriff auf die Verwaltungskonsolen in Citrix Cloud ermöglicht.

Wichtige Hinweise

Der gesamte Datenverkehr über öffentliche Netzwerke wird mit TLS verschlüsselt, wobei von Citrix verwaltete Zertifikate verwendet werden.
Schlüssel, die für SaaS-App SSO (SAML-Signaturschlüssel) verwendet werden, werden vollständig von Citrix verwaltet.
Für MFA speichert Citrix Gateway Service die gerätebezogenen Schlüssel, die zum Seeding des TOTP-Algorithmus verwendet werden.
Um die Kerberos Single Sign-On-Funktion zu aktivieren, können Kunden die Connector Appliance mit Anmeldeinformationen (Benutzername und Kennwort) für ein Dienstkonto konfigurieren, dem die eingeschränkte Kerberos-Delegierung zuträglich ist.

Überlegungen zur Bereitstellung

Citrix empfiehlt Benutzern, die veröffentlichten Best Practices Dokumentation zum Bereitstellen von Citrix Gateway Services zu konsultieren. Weitere Überlegungen zu SaaS-Apps und der Bereitstellung von Unternehmens-Web-Apps sowie zum Netzwerkconnector lauten wie folgt.

Auswahl des richtigen Connectors: Je nach Anwendungsfall muss der richtige Connector ausgewählt werden:

Anwendungsfall	Connector	Formfaktor
Benutzerauthentifizierung: Active Directory	Citrix Cloud Connector	Windows
HDX-Konnektivität	Citrix Cloud Connector	Windows
Zugriff auf SaaS-Apps	Citrix Cloud Connector	Nicht zutreffend
Zugriff auf Unternehmens-Webanwendungen	Citrix Cloud Connector, Citrix Connector Appliance	Nicht zutreffend
Von Citrix Endpoint Management bereitgestellte Unternehmensanwendungen und -dateien	Citrix Cloud Connector, Citrix Connector Appliance	Nicht zutreffend

Anforderungen für den Citrix Cloud Connector-Netzwerkzugriff

Informationen zu den Anforderungen für den Netzwerkzugriff von Citrix Cloud Connector finden Sie unterhttps://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Citrix Gateway Service HDX-Konnektivität

Die Verwendung des Citrix Gateway Services vermeidet die Bereitstellung von Citrix Gateway in den Rechenzentren des Kunden. Um den Citrix Gateway Service zu verwenden, müssen Sie den StoreFront-Dienst verwenden, der von Citrix Cloud bereitgestellt wird.

Best Practices für Kunden

Kunden werden empfohlen, TLS in ihrem Netzwerk zu verwenden und SSO für Anwendungen über HTTP nicht zu aktivieren.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Citrix Dokumentation maschinell übersetzt. Citrix hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Citrix Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Citrix gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Citrix kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Technische Sicherheit

December 5, 2022

Beitrag von:

December 5, 2022

Beitrag von:

In diesem Artikel

Datenfluss
Datenisolierung
Audit und Change Control
Handhabung von Anmeldeinformationen
Überlegungen zur Bereitstellung
Anforderungen für den Citrix Cloud Connector-Netzwerkzugriff
Citrix Gateway Service HDX-Konnektivität
Best Practices für Kunden

War dieser Artikel hilfreich?