Documentación de productos
Servicio Citrix Gateway
Ver PDF

Resumen de seguridad técnica

September 16, 2025
Contribución de: 
C C

Citrix Cloud gestiona el funcionamiento de los servicios de Citrix Gateway, lo que elimina la necesidad de que los clientes gestionen el dispositivo NetScaler Gateway. El servicio Citrix Gateway se aprovisiona a través de la aplicación Citrix Workspace.

El servicio Citrix Gateway ofrece las siguientes capacidades:

Conectividad HDX: Los Virtual Delivery Agents (VDA) que alojan las aplicaciones y los escritorios permanecen bajo el control del cliente en el centro de datos de su elección, ya sea en la nube o en las instalaciones. Estos componentes se conectan al servicio en la nube mediante un agente llamado Citrix Cloud Connector.

Compatibilidad con el protocolo DTLS 1.2: El servicio Citrix Gateway es compatible con Datagram Transport Layer Security (DTLS) 1.2 para sesiones HDX a través de EDT (protocolo de transporte basado en UDP). Se admiten los siguientes conjuntos de cifrado:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Compatibilidad con el protocolo TLS: El servicio Citrix Gateway es compatible con los siguientes conjuntos de cifrado TLS:

  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-RSA-AES-256-SHA384
  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1.2-AES256-GCM-SHA384
  • TLS1-AES-256-CBC-SHA

Integración con Endpoint Management: Cuando se integra con Citrix Endpoint Management y Citrix Workspace, el servicio Citrix Gateway proporciona acceso remoto seguro a dispositivos a tu red interna y a tus recursos. La incorporación del servicio Citrix Gateway con Endpoint Management es rápida y sencilla. El servicio Citrix Gateway incluye compatibilidad total con Citrix SSO para aplicaciones como Secure Mail y Secure Web.

Flujo de datos

El servicio Citrix Gateway es un servicio multitenant distribuido globalmente. Los usuarios finales usan el Punto de Presencia (PoP) más cercano donde la función particular que necesitan está disponible, independientemente de la selección geográfica del plano de control de Citrix Cloud o de la ubicación de las aplicaciones a las que se accede. La configuración, como los metadatos de autorización, se replica en todos los PoP.

Los registros usados por Citrix® para el diagnóstico, la supervisión, el negocio y la planificación de la capacidad se protegen y almacenan en una ubicación central.

La configuración del cliente se almacena en una ubicación central y se distribuye globalmente a todos los PoP.

Los datos que fluyen entre la nube y las instalaciones del cliente usan conexiones TLS seguras a través del puerto 443.

Las claves de cifrado usadas para la autenticación de usuarios y el inicio de sesión único se almacenan en módulos de seguridad de hardware.

Aislamiento de datos

El servicio Citrix Gateway almacena los siguientes datos:

  • Datos de configuración necesarios para la intermediación y supervisión de las aplicaciones del cliente: los datos son definidos por el cliente cuando se persisten.
  • Semillas TOTP para cada dispositivo de usuario: las semillas TOTP son definidas por el cliente, el usuario y el dispositivo.

Auditoría y control de cambios

Actualmente, el servicio Citrix Gateway no pone a disposición de los clientes los registros de auditoría y control de cambios. Los registros están disponibles para Citrix y se pueden usar para auditar las actividades del usuario final y del administrador.

Gestión de credenciales

El servicio gestiona dos tipos de credenciales:

  • Credenciales de usuario: Las credenciales del usuario final (contraseñas y tokens de autenticación) pueden ponerse a disposición del servicio Citrix Gateway para realizar lo siguiente:
    • Citrix Secure Private Access: El servicio usa la identidad del usuario para determinar el acceso a aplicaciones web SaaS y empresariales, y a otros recursos.
    • Inicio de sesión único: El servicio puede tener acceso a la contraseña del usuario para completar la función SSO en aplicaciones web internas usando autenticación HTTP Basic, NTLM o basada en formularios. El protocolo de cifrado usado para la contraseña es TLS, a menos que configures específicamente la autenticación HTTP Basic.
  • Credenciales de administrador: Los administradores se autentican en Citrix Cloud. Esto genera un JSON Web Token (JWT) firmado de un solo uso que otorga al administrador acceso a las consolas de administración en Citrix Cloud.

Puntos a tener en cuenta

  • Todo el tráfico a través de redes públicas se cifra mediante TLS, usando certificados gestionados por Citrix.
  • Las claves usadas para el SSO de aplicaciones SaaS (claves de firma SAML) son gestionadas íntegramente por Citrix.
  • Para MFA, el servicio Citrix Gateway almacena las claves por dispositivo usadas para sembrar el algoritmo TOTP.
  • Para habilitar la funcionalidad de inicio de sesión único de Kerberos, los clientes pueden configurar Connector Appliance con credenciales (nombre de usuario + contraseña) para una cuenta de servicio de confianza para realizar la delegación restringida de Kerberos.

Consideraciones de implementación

Citrix recomienda que los usuarios consulten la documentación de mejores prácticas publicada para implementar los servicios de Citrix Gateway. A continuación, se presentan más consideraciones sobre la implementación de aplicaciones SaaS y aplicaciones web empresariales, y el conector de red.

Selección del conector correcto: Se debe seleccionar el conector correcto, según el caso de uso:

Caso de uso Conector Factor de forma
Autenticación de usuario: Active Directory Citrix Cloud Connector Software de Windows
Conectividad HDX Citrix Cloud Connector Software de Windows
Acceso a aplicaciones SaaS Citrix Cloud Connector N/A
Acceso a aplicaciones web empresariales Citrix Cloud Connector, Citrix Connector Appliance N/A
Aplicaciones y archivos empresariales entregados por Citrix Endpoint Management Citrix Cloud Connector, Citrix Connector Appliance N/A

Requisitos de acceso a la red de Citrix Cloud Connector

Para obtener información sobre los requisitos de acceso a la red de Citrix Cloud Connector, consulta https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Conectividad HDX del servicio Citrix Gateway

El uso del servicio Citrix Gateway evita la necesidad de implementar NetScaler Gateway en los centros de datos del cliente. Para usar el servicio Citrix Gateway, es un requisito previo usar Citrix Workspace entregado desde Citrix Cloud.

Mejores prácticas del cliente

Se recomienda a los clientes que usen TLS dentro de su red y que no habiliten el SSO para aplicaciones a través de HTTP.

Conjuntos de cifrado obsoletos

Los siguientes conjuntos de cifrado están obsoletos para una seguridad mejorada:

  • TLS1.2-AES128-GCM-SHA256
  • TLS1.2-AES-128-SHA256
  • TLS1.2-AES256-GCM-SHA384
  • TLS1.2-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-128-SHA256
  • TLS1.2-DHE-RSA-AES256-GCM-SHA384
  • TLS1.2-DHE-RSA-AES128-GCM-SHA256
  • SSL3-DES-CBC3-SHA
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1-AES-256-CBC-SHA
  • TLS1-AES-128-CBC-SHA
  • TLS1-ECDHE-ECDSA-AES256-SHA
  • TLS1-ECDHE-ECDSA-AES128-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA
  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-DSS-AES-256-CBC-SHA
  • TLS1-DHE-DSS-AES-128-CBC-SHA
  • TLS1-ECDHE-RSA-DES-CBC3-SHA
  • TLS1.2-ECDHE-RSA-AES-128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
Resumen de seguridad técnica
September 16, 2025
Contribución de: 
C C
September 16, 2025
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.