Información técnica general sobre la seguridad

Este documento se aplica a todas las características del servicio Citrix Gateway alojado en Citrix Cloud, incluido el transporte HDX, las aplicaciones SaaS y las aplicaciones web empresariales.

Citrix Cloud administra la operación de los servicios de Citrix Gateway, sustituyendo la necesidad de que los clientes administren el dispositivo Citrix Gateway. El servicio Citrix Gateway se aprovisiona a través de la aplicación Citrix Workspace.

El servicio Citrix Gateway ofrece las siguientes capacidades:

  • Conectividad HDX para usuarios de XenApp: Un servicio disponible en todo el mundo que proporciona conectividad segura desde usuarios de cualquier ubicación a aplicaciones virtuales y escritorios.
  • Acceso seguro a las aplicaciones SaaS: Una experiencia de usuario unificada que ofrece aplicaciones SaaS configuradas a los usuarios finales.
  • Acceso seguro a aplicaciones web empresariales: Una experiencia de usuario unificada que proporciona aplicaciones web empresariales configuradas a los usuarios finales.
  • Acceso seguro a todas las aplicaciones y archivos en un Workspace digital: Un enfoque moderno para administrar todos sus dispositivos a través de una única plataforma, Citrix Endpoint Management. Las plataformas compatibles incluyen computadoras de escritorio, portátiles, smartphones, tabletas e IoT.

Conectividad HDX: Los agentes de entrega virtual (VDA) que alojan las aplicaciones y los escritorios permanecen bajo el control del cliente en el centro de datos de su elección, ya sea en la nube o en las instalaciones. Estos componentes se conectan con el servicio de nube por medio de un agente llamado el Citrix Cloud Connector.

Aplicaciones SaaS: Software as a Service (SaaS) es un modelo de distribución de software para entregar software de forma remota como un servicio basado en la web. Las aplicaciones SaaS más utilizadas incluyen Salesforce, Workday, Concur, GoToMeeting, etc.

Aplicaciones web empresariales: la entrega de aplicaciones web empresariales mediante el servicio Citrix Gateway permite que las aplicaciones específicas de la empresa se entreguen de forma remota como un servicio basado en Web. Las aplicaciones web empresariales más utilizadas incluyen SharePoint, Confluence, OneBug, etc. Necesita Citrix Gateway Connector para acceder a las aplicaciones web de Enterprise.

Las aplicaciones SaaS y las aplicaciones web empresariales se aprovisionan a través de Citrix Workspace mediante el servicio Citrix Gateway. El servicio Citrix Gateway junto con Citrix Workspace proporciona una experiencia de usuario unificada para las aplicaciones web empresariales configuradas, aplicaciones SaaS, aplicaciones virtuales configuradas o cualquier otro recurso de espacio de trabajo configurado. Junto con Secure Access, el servicio Citrix Gateway también protege a los usuarios de vínculos no confiables incrustados en contenido generado por el usuario.

Integración de Endpoint Management: Cuando se integra con Citrix Endpoint Management y Citrix Workspace, el servicio Citrix Gateway proporciona acceso remoto seguro a los dispositivos a la red interna y a los recursos. La incorporación del servicio Citrix Gateway con Endpoint Management es rápida y sencilla. El servicio Citrix Gateway incluye compatibilidad completa con Citrix SSO para aplicaciones como Secure Mail y Secure Web.

Flujo de datos

El servicio Citrix Gateway es un servicio multiinquilino distribuido globalmente. Los usuarios finales utilizan el punto de presencia (PoP) más cercano donde está disponible la función particular que necesitan, independientemente de la geoselección del plano de Citrix Cloud Control o la ubicación de las aplicaciones a las que se accede. La configuración, como los metadatos de autorización, se replican en todos los POP.

Los registros utilizados por Citrix para diagnóstico, supervisión, negocio y planificación de capacidad se protegen y almacenan en una ubicación central.

La configuración del cliente se almacena en una ubicación central y se distribuye globalmente a todos los POP.

Los datos que transitan entre la nube y las instalaciones del cliente utilizan conexiones TLS seguras a través del puerto 443.

Las claves de cifrado utilizadas para la autenticación de usuario y el inicio de sesión único se almacenan en módulos de seguridad de hardware.

Aislamiento de datos

El servicio Citrix Gateway almacena los siguientes datos:

  • Datos de configuración necesarios para la intermediación y el monitoreo de las aplicaciones del cliente: los datos son objeto por el cliente cuando persisten.
  • Semillas TOTP para cada dispositivo de usuario: las semillas TOTP se encuentran en el ámbito del cliente, el usuario y el dispositivo.

Auditoría y control de cambios

Actualmente, el servicio Citrix Gateway no pone a disposición de los clientes los registros de auditoría y control de cambios. Citrix dispone de registros que se pueden utilizar para auditar las actividades del usuario final y del administrador.

Gestión de credenciales

El servicio maneja dos tipos de credenciales:

  • Credenciales de usuario: es posible que las credenciales de usuario final (contraseñas y tokens de autenticación) estén disponibles para el servicio Citrix Gateway para realizar lo siguiente:
    • Secure Workspace Access: el servicio utiliza la identidad del usuario para determinar el acceso a aplicaciones web SaaS y Enterprise y otros recursos.
    • Inicio de sesión único: el servicio puede tener acceso a la contraseña del usuario para completar la función de inicio de sesión único en aplicaciones web internas mediante HTTP Basic, NTLM o autenticación basada en formularios. El protocolo de cifrado utilizado para la contraseña es TLS a menos que configure específicamente la autenticación HTTP Basic.
  • Credenciales de administrador: los administradores se autentican en Citrix Cloud. Esto genera un token web JSON (JWT) firmado de una sola vez que proporciona al administrador acceso a las consolas de administración en Citrix Cloud.

Puntos a tener en cuenta

  • TLS cifra todo el tráfico a través de redes públicas mediante certificados administrados por Citrix.
  • Citrix administra completamente las claves utilizadas para el inicio de sesión único de la aplicación SaaS (claves de firma SAML).
  • Para MFA, el servicio Citrix Gateway almacena claves por dispositivo utilizadas para sembrar el algoritmo TOTP.
  • Para habilitar la funcionalidad de inicio de sesión único de Kerberos, los clientes pueden configurar Gateway Connector con credenciales (nombre de usuario + contraseña) para una cuenta de servicio de confianza para realizar la delegación restringida de Kerberos.

Consideraciones sobre la implementación

Citrix recomienda que los usuarios consulten la documentación de prácticas recomendadas publicada para implementar los servicios de Citrix Gateway. Más consideraciones acerca de las aplicaciones SaaS y la implementación de aplicaciones web empresariales, así como el conector de red son las siguientes.

Selección del conector correcto: Se debe seleccionar el conector correcto, dependiendo del caso de uso:

Caso de uso Conector Factor de forma
Autenticación de Usuarios: Active Directory Citrix Cloud Connector Software de Windows
Conectividad HDX Citrix Cloud Connector Software de Windows
Acceso a aplicaciones SaaS Citrix Cloud Connector N/D
Acceso a aplicaciones web empresariales Citrix Cloud Connector, Citrix Gateway Connector N/D
Aplicaciones y archivos empresariales entregados por Citrix Endpoint Management Citrix Cloud Connector, Citrix Gateway Connector N/D

Requisitos de acceso de red del Citrix Cloud Connector

Para obtener información sobre los requisitos de acceso a la red de Citrix Cloud Connector, consulte https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Requisitos de acceso a la red de Citrix Gateway

Para obtener información sobre los requisitos de acceso a la red de Citrix Cloud Connector, consulte https://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.html

Servicio Citrix Gateway Conectividad HDX

El uso del servicio Citrix Gateway evita la necesidad de implementar Citrix Gateway en los centros de datos del cliente. Para utilizar el servicio Citrix Gateway, es un requisito previo utilizar el servicio StoreFront proporcionado desde Citrix Cloud.

Prácticas recomendadas del cliente

Se recomienda a los clientes utilizar TLS dentro de su red y no habilitar el SSO para aplicaciones a través de HTTP.