Product Documentation

XenApp und Secure Gateway

May 17, 2016

Dokumentationsaktualisierung April 2016:

Für XenApp 6.5 und Secure Gateway 3.3 sind Softwareaktualisierungen verfügbar, die Unterstützung für die Versionen 1.1 und 1.2 des Transport Layer Security (TLS)-Protokolls umfassen. Zum Aktualisieren Ihrer XenApp- und/oder Secure Gateway-Bereitstellungen laden Sie die folgenden Softwareupdates herunter und wenden Sie sie an:

Für XenApp 6.5: Update XA650R06W2K8R2X64021

Für Secure Gateway 3.3: Update 4 (Englisch: SGE330W004; JA: SGJ330W004)

Mit Secure Gateway für Windows sichern Sie den Zugriff auf Computer mit Citrix XenApp im Unternehmensnetzwerk und stellen einen sicheren Internetgateway zwischen Citrix XenApp und den Benutzergeräten bereit. Secure Gateway sorgt für transparente Verschlüsselung und Authentifizierung aller Benutzerverbindungen, um so Schutz vor Datenmanipulation und -diebstahl zu gewährleisten. Alle Daten, die über das Internet zwischen einer Remotearbeitsstation und dem Secure Gateway übertragen werden, werden mit dem SSL- (Secure Sockets Layer) oder TLS-Protokoll (Transport Layer Security) verschlüsselt. 

Secure Gateway ist eine Anwendung, die als Dienst auf einem Server ausgeführt wird, der in der DMZ bereitgestellt wird. Der Server, auf dem Secure Gateway ausgeführt wird, stellt einen zentralen Zugriffspunkt auf das gesicherte Unternehmensnetzwerk dar. Secure Gateway vermittelt jede Verbindungsanfrage vom Internet zum Unternehmensnetzwerk. Für ein höheres Sicherheitsniveau wird der Secure Gateway Proxy mit Secure Gateway in einer Double-Hop-DMZ-Bereitstellung verwendet. Secure Gateway wird in der ersten DMZ und der Secure Gateway Proxy wird in der zweiten DMZ installiert. Der Secure Gateway Proxy leitet Datenverkehr vom Secure Gateway an die Server im gesicherten Netzwerk und von den Servern im gesicherten Netzwerk an den Secure Gateway weiter.

Ihr Unternehmensnetzwerk kann mehrere Server mit Citrix XenApp enthalten. Eine Serverfarm hostet veröffentlichte Ressourcen, auf die Benutzer über das Netzwerk zugreifen.

Die folgenden Citrix XenApp-Komponenten können von Secure Gateway für die Anmeldung und Authentifizierung verwendet werden:

Citrix Webinterface
Ermöglicht Benutzern über einen Webbrowser Zugriff auf veröffentlichte Ressourcen in einer Serverfarm. Das Webinterface bietet zusammen mit dem Secure Gateway eine Benutzeroberfläche für die Anmeldung und ermöglicht Authentifizierung und Autorisierung von Verbindungsanfragen an die Serverfarm.
Secure Ticket Authority (STA)
Die STA stellt als Reaktion auf Verbindungsanfragen Sitzungstickets für auf XenApp veröffentlichte Ressourcen aus. Auf diesen Sitzungstickets basiert die Authentifizierung und Berechtigung für den Zugriff auf veröffentlichte Ressourcen. Während der Installation von Citrix XenApp wird die STA automatisch installiert. Es ist nicht mehr nötig, einen separaten Server für die STA zu reservieren.
Citrix XML Service Test
Wenn das Secure Gateway sicheren Zugriff auf veröffentlichte Ressourcen in einer Serverfarm bietet, wird der Citrix XML-Dienst hinsichtlich Verfügbarkeit und Ort von veröffentlichten Ressourcen kontaktiert. Der Citrix XML-Dienst dient als Kontaktpunkt einer Serverfarm und als HTTP-Schnittstelle zum Benutzergerät. Der Dienst verwendet das TCP-Protokoll und nicht UDP; dies ermöglicht ordnungsgemäße Verbindungen über die meisten Firewalls. Standardmäßig verwendet der Citrix XML-Dienst den Port 80. Stellen Sie sicher, dass dieser Port konfiguriert ist, dass er ordnungsgemäß funktioniert und dass der Zugriff auf ihn durch die Firewall vor dem sicheren Netzwerk möglich ist.
Citrix Receiver Web
Citrix Receiver Web ermöglicht den Zugriff auf Ressourcen, die über das Webinterface verfügbar sind, und auf Ressourcen, die mit traditionellem ALE (Application Launching and Embedding) veröffentlicht wurden.
Wichtig: Secure Gateway und Secure Gateway Proxy werden in Umgebungen mit Advanced Access Control nicht unterstützt.

Planen einer Secure Gateway-Bereitstellung

Die Bereitstellung des Secure Gateways hängt von verschiedenen Faktoren ab, einschließlich den Citrix Komponenten, die zum Unternehmensnetzwerk gehören. Das Secure Gateway ist für die Verwendung mit Citrix XenApp konzipiert.

Wenn es in Ihrem Unternehmensnetzwerk eine Serverfarm gibt, können Sie das Secure Gateway implementieren und so sicheren Internetzugang auf veröffentlichte Ressourcen bereitstellen. In Bereitstellungen dieser Art ermöglicht das Secure Gateway mit dem Webinterface die Authentifizierung, Autorisierung und Umleitung veröffentlichter Ressourcen, die auf einem Citrix XenApp-Server gehostet werden.

Damit die Sicherheit des Secure Gateways gewährleistet ist, empfiehlt Citrix, Server exklusiv für Secure Gateways zu reservieren.

Hinweis: Citrix empfiehlt, das Secure Gateway vor der Implementierung in der Produktionsumgebung in einer Testumgebung zu installieren und sicherzustellen, dass alle Features richtig funktionieren.

Platzieren Sie das Secure Gateway für maximale Sicherheit in der DMZ zwischen zwei Firewalls. Sichern Sie die DMZ zusätzlich physisch, damit innerhalb der DMZ kein Zugriff auf die Firewalls und Server möglich ist. Eine Sicherheitsverletzung der DMZ-Server hat bestenfalls Ausfallzeit zur Folge, während Sie die Sicherheitslücke beheben.

Wichtig: Citrix empfiehlt das Konfigurieren der Firewalls, sodass nur der Zugriff auf bestimmte TCP-Ports beschränkt ist. Wenn Sie die Firewalls so konfigurieren, dass der Zugriff auf andere TCP-Ports als die für HTTP-, ICA-, SSL- und XML-Daten verwendeten Ports möglich ist, erhalten Benutzer u. U. Zugriff auf nicht autorisierte Ports auf dem Server.

Installieren der Secure Ticket Authority

Wenn Citrix XenApp installiert ist, ist die Secure Ticket Authority (STA) automatisch installiert und konfiguriert.

Die STA macht Internet Information Services (IIS) von Microsoft als Voraussetzung überflüssig. Die STA kann vom Citrix XML-Dienst gehostet werden. Wenn die STA vom Citrix XML-Dienst gehostet wird, konfigurieren Sie Citrix SSL-Relay.

Geben Sie während der Installation des Secure Gateway den vollqualifizierten Domänennamen (FQDN) des Servers ein, auf dem Citrix XenApp ausgeführt wird. Wenn Sie eine SSL-aktivierte Verbindung zwischen dem Secure Gateway und der STA verwenden, stellen Sie sicher, dass die richtigen Zertifikate von einer Zertifizierungsstelle installiert sind.

Planen einer Secure Gateway-Bereitstellung

Die Bereitstellung des Secure Gateways hängt von verschiedenen Faktoren ab, einschließlich den Citrix Komponenten, die zum Unternehmensnetzwerk gehören. Das Secure Gateway ist für die Verwendung mit Citrix XenApp konzipiert.

Wenn es in Ihrem Unternehmensnetzwerk eine Serverfarm gibt, können Sie das Secure Gateway implementieren und so sicheren Internetzugang auf veröffentlichte Ressourcen bereitstellen. In Bereitstellungen dieser Art ermöglicht das Secure Gateway mit dem Webinterface die Authentifizierung, Autorisierung und Umleitung veröffentlichter Ressourcen, die auf einem Citrix XenApp-Server gehostet werden.

Damit die Sicherheit des Secure Gateways gewährleistet ist, empfiehlt Citrix, Server exklusiv für Secure Gateways zu reservieren.

Hinweis: Citrix empfiehlt, das Secure Gateway vor der Implementierung in der Produktionsumgebung in einer Testumgebung zu installieren und sicherzustellen, dass alle Features richtig funktionieren.

Platzieren Sie das Secure Gateway für maximale Sicherheit in der DMZ zwischen zwei Firewalls. Sichern Sie die DMZ zusätzlich physisch, damit innerhalb der DMZ kein Zugriff auf die Firewalls und Server möglich ist. Eine Sicherheitsverletzung der DMZ-Server hat bestenfalls Ausfallzeit zur Folge, während Sie die Sicherheitslücke beheben.

Wichtig: Citrix empfiehlt das Konfigurieren der Firewalls, sodass nur der Zugriff auf bestimmte TCP-Ports beschränkt ist. Wenn Sie die Firewalls so konfigurieren, dass der Zugriff auf andere TCP-Ports als die für HTTP-, ICA-, SSL- und XML-Daten verwendeten Ports möglich ist, erhalten Benutzer u. U. Zugriff auf nicht autorisierte Ports auf dem Server.

Features von Secure Gateway

Sicherheit schon im Design
Secure Gateway bietet Authentifizierungs-, Autorisierungs- und Kryptografiefunktionalität, die mit den bewährten Methoden von Microsoft für sichere Software konsistent ist.
Netzwerkprotokollunterstützung
Secure Gateway unterstützt TCP/IP-Protokolle, wie FTP, HTTP und Telnet.
Unterstützung für IPv4- und IPv6-Protokoll
Secure Gateway kann für eingehende Verbindungen von Clients mit IPv4- und IPv6-Adressen konfiguriert werden.
Unterstützung für SSL (Secure Sockets Layer)
Secure Gateway bietet SSL-Unterstützung für eine sichere Kommunikation zwischen dem Client und den Secure Gateway-Komponenten.
Einfache Bereitstellung
Citrix XenApp enthält die Secure Ticket Authority (STA) und ist in einem einzelnen Windows Installer-Paket, was zu einer effizienteren Bereitstellung führt. Die STA wird automatisch auf dem gleichen Computer wie Citrix XenApp bereitgestellt. So wird die Anzahl der Computer reduziert, die für eine Basisbereitstellung erforderlich sind. Internet Information Server ist keine Anforderung mehr für die Installation der STA. Die Internet Information Server-Bereitstellung ist einer unterstützte Optionen während der Installation von Citrix XenApp.
Zertifikatverwaltung
Der Secure Gateway-Konfigurationsassistent verhindert die Auswahl eines Zertifikats, das keinen privaten Schlüssel hat und prüft, dass das richtige Zertifikat im Zertifikatspeicher des lokalen Computers installiert ist. Unterstützung von Platzhalterzertifikaten Platzhalterzertifikate können in Secure Gateway, dem Secure Gateway Proxy und auf dem Computer bereitgestellt werden, auf dem Citrix XenApp die STA hostet.
Lastausgleich
Secure Gateway bietet Lastausgleich für Secure Gateway Proxy. IP-Adressen werden vom DNS mit dem Domänennamen abgerufen oder individuell aufgelistet.
Protokollierung
Secure Gateway verwendet die Standarddateien von Apache für Zugriffsprotokolle und unterstützt das Rotieren von Protokolldateien für die Zugriffsprotokolle. Zugriffsprotokolldateien bieten Verbindungsinformationen zu Secure Gateway oder dem Secure Gateway Proxy.
Instrumentierung
Secure Gateway enthält einen neuen Satz von Leistungsindikatoren zum Analysieren der Verwendung und Auslastung auf dem Secure Gateway-Server.
Basierend auf Apache-Technologie
Der Softwarecode basierend auf Apache-Technologie dient als Grundlage für Secure Gateway.
Behindertengerechte Softwaregestaltung (Section 508)
Secure Gateway entspricht den Vorgaben von Section 508 des United States Workforce Rehabilitation Act von 1973.
Sitzungszuverlässigkeit
Verbesserungen bei der Sitzungszuverlässigkeit nutzen mobilen und lokalen Benutzern, denn deren Arbeit bleibt geöffnet, wenn die Netzwerkkonnektivität verloren geht, und wird dann nahtlos wiederaufgenommen, wenn die Konnektivität wiederhergestellt ist. Diese Funktion ist besonders für mobile Benutzer mit drahtlosen Verbindungen geeignet, deren Verbindungen unterbrochenen werden oder ausfallen. Bei einer Unterbrechung der Verbindung zu einer Sitzung bleiben alle geöffneten Fenster zu veröffentlichten Ressourcen sichtbar, während automatisch die Wiederverbindung im Hintergrund versucht wird.
Relaymodus
Secure Gateway kann im Relaymodus zum Sichern der internen Kommunikation installiert werden. Der Relaymodus kann in gesicherten Unternehmensumgebungen wie Intranet, LAN und WAN verwendet werden. Der Relaymodus wird nicht für externe Verbindungen vom Internet zu einer Serverfarm oder Serverzugriffsfarm empfohlen.
Unterstützung für Single-Hop- oder Double-Hop-DMZ-Bereitstellung
Secure Gateway kann zum Überbrücken einer Single-Hop- oder einer Double-Hop-DMZ installiert werden. Wenn Ihre DMZ in zwei Stufen aufgeteilt ist, installieren Sie die jeweiligen Secure Gateway-Komponente in jedem DMZ-Segment, um sicher HTTP/S- und ICA-Verkehr zum und vom sicheren Netzwerk zu transportieren.
Unterstützt sichere Kommunikation zwischen den Secure Gateway-Komponenten
Die Secure Gateway-Komponenten unterstützen die Verwendung von digitalen Zertifikaten und die Sicherung von Verbindungen, indem SSL/TLS zwischen Komponenten verwendet wird.
Konfigurations-, Verwaltungs- und Diagnosetools
Die Secure Gateway Management Console ist ein MMC-Snap-In (Microsoft Management Console), mit dem Sie die Secure Gateway-Bereitstellung verwalten, analysieren und auftretende Probleme behandeln. Das Secure Gateway-Diagnosetool, auf das Sie über die Secure Gateway Management Console zugreifen, berichtet Konfigurationswerte, Zertifikatdetails und den Zustand jeder konfigurierten Komponente.
Minimale Clientkonfiguration
Benutzergeräte benötigen keine vorinstalliert Software für die Sicherheit. Sicherer Remotezugriff kann einfach unterstützt werden, mit nur geringem Aufwand für die IT-Abteilung.
Zertifikatbasierte Sicherheit
Secure Gateway verwendet die Standardtechnologie Public Key Infrastructure (PKI), um das Framework und die Vertrauensstellungsinfrastruktur für die Authentifizierung und Autorisierung bereitzustellen.
Standardverschlüsselungsprotokolle
Secure Gateway verwendet die SSL- oder TLS-Standardverschlüsselungstechnologien, um den Web- und Anwendungsverkehr zwischen Client und Server zu sichern. Verbindungen zwischen Clients und Secure Gateway werden mit den SSL- oder TLS-Protokollen verschlüsselt. Sie können die Sicherheit noch weiter verbessern, indem Sie Secure Gateway so konfigurieren, dass Sie Verwendung von Verschlüsselungssammlungen auf die Verschlüsselungssammlungen einschränken, die den FIPS 140-Anforderungen (Federal Information Processing Standard) entsprechen.
Authentifizierung und Autorisierung
Secure Gateway ermöglicht zusammen mit dem Webinterface die Authentifizierung der Benutzer, die Verbindungen zu der Serverfarm herstellen. Die Autorisierung erfolgt, wenn Secure Gateway bestätigt, dass der Benutzer von dem Unternehmensnetzwerk authentifiziert wurde. Der Autorisierungsvorgang ist vollständig transparent für den Benutzer.
Einziger Zugangspunkt
Es muss nicht mehr die Adresse jedes Citrix XenApp-Servers veröffentlicht werden und die Verwaltung der Serverzertifikate ist vereinfacht. Secure Gateway ermöglicht einen einzigen Punkt für Verschlüsselung und Zugriff auf Computer, auf denen Citrix XenApp ausgeführt wird.
Firewalldurchquerung
Verbindungen von Clients werden mit Standardprotokollen gesichert und verwenden Ports, die üblicherweise in Unternehmensfirewalls geöffnet sind. Dies ermöglicht eine leichte Firewalldurchquerung ohne Konfigurationsanpassungen.
Einfache Installation und Verwaltung
Secure Gateway kann verhältnismäßig einfach und schnell einer bestehenden Serverfarm hinzugefügt werden. Es ist nur minimale Konfiguration erforderlich, dies verringert Zeit und Verwaltungskosten.
Zuverlässigkeit und Fehlertoleranz
Die Lösung lässt das Einrichten duplizierter Komponenten zu, um ein redundantes System zu aktivieren. Große Arrays können mit Standardsystemen für den SSL-Lastausgleich erstellt werden, um die Skalierbarkeit zu gewährleisten. Selbst wenn Hardware ausfällt, bleiben die Serverfarmen geschützt.
Skalierbare und erweiterbare Lösung
Ein einzelner Server mit Secure Gateway kann eine kleine Unternehmenssite mit hunderten von Benutzern unterstützen. Sie können mittelgroße bis große Sites für tausende von Benutzern unterstützen, die die Verbindung zu einem Array von lastausgeglichenen Secure Gateway-Serverm herstellen. Für die Secure Gateway-Komponenten sind keine speziellen Hardwaregeräte oder Upgrades für Netzwerkgeräte erforderlich.
Ereignis- und Überwachungsprotokollierung
Kritische und schwerwiegende Systemereignisse werden in das Secure Gateway-Anwendungsprotokoll geschrieben, um Administratoren bei der Diagnose von Systemproblemen zu unterstützen. Der Protokollierungsgrad ist konfigurierbar und kann in der Benutzeroberfläche eingestellt werden. Abhängig von dem konfigurierten Protokolliergrad können Sie ein vollständiges Protokoll der versuchten Netzwerkverbindungen mit Secure Gateway abrufen. Sie können Secure Gateway auch so konfigurieren, dass Protokolleinträge für Abfragen von Netzwerkgeräten wie Load Balancer ausgelassen werden.