Información técnica general sobre la seguridad

Este documento se aplica a todas las características del servicio Citrix Gateway alojado en Citrix Cloud, incluido el transporte HDX, las aplicaciones SaaS y las aplicaciones web empresariales.

Citrix Cloud administra la operación de los servicios de Citrix Gateway, reemplazando la necesidad de que los clientes administren el dispositivo Citrix Gateway. El servicio de Citrix Gateway se aprovisiona a través de la aplicación Citrix Workspace.

El servicio Citrix Gateway proporciona las siguientes capacidades:

  • Conectividad HDX para usuarios de XenApp: Un servicio disponible en todo el mundo que proporciona conectividad segura desde usuarios de cualquier ubicación a aplicaciones virtuales y escritorios.
  • Acceso seguro a las aplicaciones SaaS: Una experiencia de usuario unificada que ofrece aplicaciones SaaS configuradas a los usuarios finales.
  • Acceso seguro a aplicaciones web empresariales: Una experiencia de usuario unificada que proporciona aplicaciones web empresariales configuradas a los usuarios finales.
  • Acceso seguro a todas las aplicaciones y archivos en un Workspace digital: Un enfoque moderno para administrar todos sus dispositivos a través de una única plataforma, Citrix Endpoint Management. Las plataformas compatibles incluyen computadoras de escritorio, portátiles, smartphones, tabletas e IoT.

Conectividad HDX: Los agentes de entrega virtual (VDA) que alojan las aplicaciones y los escritorios permanecen bajo el control del cliente en el centro de datos de su elección, ya sea en la nube o en las instalaciones. Estos componentes se conectan al servicio en la nube mediante un agente llamado Citrix Cloud Connector.

Aplicaciones SaaS: Software as a Service (SaaS) es un modelo de distribución de software para ofrecer software de forma remota como un servicio basado en Web. Las aplicaciones SaaS de uso común incluyen Salesforce, Workday, Concur, GoToMeeting, etc.

Aplicaciones web empresariales: la entrega de aplicaciones web empresariales mediante el servicio Citrix Gateway permite que las aplicaciones específicas de la empresa se entreguen de forma remota como un servicio basado en web. Las aplicaciones web empresariales de uso común incluyen SharePoint, Confluence, OneBug, etc. Necesita Citrix Gateway Connector para acceder a las aplicaciones web empresariales.

Las aplicaciones SaaS y las aplicaciones web empresariales se aprovisionan a través de Citrix Workspace mediante el servicio Citrix Gateway. El servicio Citrix Gateway junto con Citrix Workspace proporciona una experiencia de usuario unificada para las aplicaciones web corporativas configuradas, las aplicaciones SaaS, las aplicaciones virtuales configuradas o cualquier otro recurso de Workspace. Junto con Secure Access, el servicio Citrix Gateway protege además a los usuarios de vínculos que no son de confianza incrustados en el contenido generado por el usuario.

Integración de Endpoint Management: Cuando se integra con Citrix Endpoint Management y Citrix Workspace, el servicio Citrix Gateway proporciona acceso seguro de dispositivos remotos a la red interna y a los recursos. Incorporar el servicio Citrix Gateway con Endpoint Management es rápido y sencillo. El servicio Citrix Gateway incluye soporte completo de Citrix SSO para aplicaciones como Secure Mail y Secure Web.

Flujo de datos

El servicio Citrix Gateway es un servicio multiarrendatario distribuido globalmente. Los usuarios finales utilizan el punto de presencia (PoP) más cercano donde está disponible la función particular que necesitan, independientemente de la geo-selección del plano de Citrix Cloud Control o la ubicación de las aplicaciones a las que se accede. La configuración, como los metadatos de autorización, se replican en todos los POP.

Los registros utilizados por Citrix para el diagnóstico, la supervisión, la planificación empresarial y la capacidad están protegidos y almacenados en una ubicación central.

La configuración del cliente se almacena en una ubicación central y se distribuye globalmente a todos los POP.

Los datos que transitan entre la nube y las instalaciones del cliente utilizan conexiones TLS seguras a través del puerto 443.

Las claves de cifrado utilizadas para la autenticación de usuario y el inicio de sesión único se almacenan en módulos de seguridad de hardware.

Aislamiento de datos

El servicio Citrix Gateway almacena los siguientes datos:

  • Datos de configuración necesarios para la intermediación y supervisión de las aplicaciones del cliente: los datos son incluidos por el cliente cuando persisten.
  • Semillas de TOTP para cada dispositivo de usuario: las semillas de TOTP son objeto de alcance por cliente, usuario y dispositivo.

Auditoría y control de cambios

Actualmente, el servicio Citrix Gateway no pone a disposición de los clientes registros de auditoría y control de cambios. Los registros están disponibles para Citrix, que se pueden utilizar para auditar las actividades del usuario final y del administrador.

Gestión de credenciales

El servicio maneja dos tipos de credenciales:

  • Credenciales de usuario: las credenciales de usuario final (contraseñas y tokens de autenticación) pueden estar disponibles para el servicio Citrix Gateway para realizar lo siguiente:
    • Control de acceso: el servicio utiliza la identidad del usuario para determinar el acceso a las aplicaciones web SaaS y Enterprise y otros recursos.
    • Inicio de sesión único: el servicio puede tener acceso a la contraseña del usuario para completar la función SSO en aplicaciones web internas mediante HTTP Basic, NTLM o autenticación basada en formularios. El protocolo de cifrado utilizado para la contraseña es TLS a menos que configure específicamente la autenticación HTTP Basic.
  • Credenciales de administrador: los administradores se autentican en Citrix Cloud. Esto genera un JSON Web Token (JWT) firmado por una sola vez que da acceso al administrador a las consolas de administración en Citrix Cloud.

Puntos a tener en cuenta

  • Todo el tráfico a través de redes públicas se cifra mediante TLS, utilizando certificados administrados por Citrix.
  • Citrix administra completamente las claves utilizadas para SSO de aplicación SaaS (claves de firma SAML).
  • Para MFA, el servicio Citrix Gateway almacena claves por dispositivo utilizadas para generar el algoritmo TOTP.
  • Para habilitar la funcionalidad de inicio de sesión único de Kerberos, los clientes pueden configurar el Gateway Connector con credenciales (nombre de usuario + contraseña) para una cuenta de servicio de confianza para realizar la delegación restringida de Kerberos.

Consideraciones sobre la implementación

Citrix recomienda que los usuarios consulten la documentación de prácticas recomendadas publicada para implementar los servicios de Citrix Gateway. A continuación se indican consideraciones adicionales sobre las aplicaciones SaaS y la implementación de aplicaciones web empresariales y el conector de red.

Selección del conector correcto: se debe seleccionar el conector correcto, dependiendo del caso de uso:

Caso de uso Conector Factor de forma
Autenticación de usuario: Active Directory Citrix Cloud Connector Software de Windows
Conectividad HDX Citrix Cloud Connector Software de Windows
Acceso a aplicaciones SaaS Citrix Cloud Connector N/D
Acceso a aplicaciones web empresariales Citrix Cloud Connector, Citrix Gateway Connector N/D
Aplicaciones empresariales y archivos entregados por Citrix Endpoint Management Citrix Cloud Connector, Citrix Gateway Connector N/D

Requisitos de acceso de red del Citrix Cloud Connector

Para obtener información sobre los requisitos de acceso a la red de Citrix Cloud Connector, consulte https://docs.citrix.com/es-es/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Requisitos de acceso a la red de Citrix Gateway Connector

Para obtener información sobre los requisitos de acceso a la red de Citrix Cloud Connector, consulte https://docs.citrix.com/es-es/citrix-gateway-service/gateway-connector.html

Conectividad HDX del servicio de Citrix Gateway

El uso del servicio Citrix Gateway evita la necesidad de implementar Citrix Gateway en los centros de datos del cliente. Para utilizar el servicio Citrix Gateway, es un requisito previo utilizar el servicio StoreFront suministrado desde Citrix Cloud.

Prácticas recomendadas para el cliente

Se recomienda a los clientes que utilicen TLS dentro de su red y que no habilite el SSO para aplicaciones a través de HTTP.