Información técnica general sobre la seguridad

Este documento se aplica a todas las funciones relacionadas con Citrix Gateway Service alojado en Citrix Cloud, incluido el transporte HDX, las aplicaciones SaaS y las aplicaciones web empresariales.

Citrix Cloud administra la operación de los servicios de Citrix Gateway, lo que elimina la necesidad de que los clientes administren el dispositivo Citrix Gateway. Citrix Gateway Service se aprovisiona mediante la aplicación Citrix Workspace.

Citrix Gateway Service proporciona las siguientes capacidades:

  • Conectividad HDX para usuarios de XenApp: Un servicio disponible en todo el mundo que proporciona conectividad segura desde usuarios de cualquier ubicación a aplicaciones virtuales y escritorios.
  • Acceso seguro a las aplicaciones SaaS: Una experiencia de usuario unificada que ofrece aplicaciones SaaS configuradas a los usuarios finales.
  • Acceso seguro a las aplicaciones web empresariales: Una experiencia de usuario unificada que lleva las aplicaciones web empresariales configuradas a los usuarios finales.
  • Acceso seguro a todas las aplicaciones y archivos en un espacio de trabajo digital: Un enfoque moderno para administrar todos sus dispositivos a través de una única plataforma, Citrix Endpoint Management. Las plataformas compatibles incluyen equipo de escritorio, portátiles, smartphones, tabletas e IoT.

Conectividad HDX: Los agentes de entrega virtual (VDA) que alojan las aplicaciones y los escritorios permanecen bajo el control del cliente en el centro de datos de su elección, ya sea en la nube o en las instalaciones. Estos componentes se conectan al servicio en la nube mediante un agente llamado Citrix Cloud Connector.

Aplicaciones SaaS: El software como servicio (SaaS) es un modelo de distribución de software para entregar software de forma remota como un servicio basado en la web. Las aplicaciones SaaS más utilizadas incluyen Salesforce, Workday, Concur, GoToMeeting, etc.

Aplicaciones web empresariales: La entrega de aplicaciones web empresariales mediante Citrix Gateway Service permite que las aplicaciones específicas de la empresa se entreguen de forma remota como un servicio basado en web. Las aplicaciones web empresariales más utilizadas incluyen SharePoint, Confluence, OneBug, etc. Necesita Citrix Gateway Connector para acceder a las aplicaciones web empresariales.

Las aplicaciones SaaS y las aplicaciones web empresariales se aprovisionan a través de Citrix Workspace mediante Citrix Gateway Service. Citrix Gateway Service junto con Citrix Workspace proporciona una experiencia de usuario unificada para las aplicaciones web empresariales configuradas, las aplicaciones SaaS, las aplicaciones virtuales configuradas o cualquier otro recurso del espacio de trabajo. Junto con Secure Access, Citrix Gateway Service también protege a los usuarios de vínculos no fiables incrustados en el contenido generado por el usuario.

Integración de Endpoint Management: Cuando se integra con Citrix Endpoint Management y Citrix Workspace, Citrix Gateway Service proporciona acceso remoto seguro a los dispositivos a la red y los recursos internos. La incorporación de Citrix Gateway Service con Endpoint Management es rápida y sencilla. Citrix Gateway Service incluye compatibilidad total de Citrix SSO con aplicaciones como Secure Mail y Secure Web.

Flujo de datos

Citrix Gateway Service es un servicio multiarrendatario distribuido globalmente. Los usuarios finales utilizan el punto de presencia (PoP) más cercano donde está disponible la función particular que necesitan, independientemente de la selección geográfica del plano de Citrix Cloud Control o la ubicación de las aplicaciones a las que se accede. La configuración, como los metadatos de autorización, se replica en todos los POP.

Los registros utilizados por Citrix para el diagnóstico, la supervisión, el negocio y la planificación de la capacidad están protegidos y almacenados en una ubicación central.

La configuración del cliente se almacena en una ubicación central y se distribuye globalmente a todos los POP.

Los datos que transitan entre la nube y las instalaciones del cliente utilizan conexiones TLS seguras a través del puerto 443.

Las claves de cifrado utilizadas para la autenticación de usuarios y el inicio de sesión único se almacenan en módulos de seguridad de hardware.

Aislamiento de datos

Citrix Gateway Service almacena los siguientes datos:

  • Datos de configuración necesarios para la intermediación y la supervisión de las aplicaciones del cliente; los datos son analizados por el cliente cuando persisten.
  • Semillas de TOTP para cada dispositivo de usuario: las semillas de TOTP se determinan por cliente, usuario y dispositivo.

Auditoría y control de cambios

Actualmente, Citrix Gateway Service no pone a disposición de los clientes los registros de auditoría y control de cambios. Los registros están disponibles para Citrix que se pueden usar para auditar las actividades del usuario final y el administrador.

Gestión de credenciales

El servicio maneja dos tipos de credenciales:

  • Credenciales de usuario: Las credenciales de usuario final (contraseñas y tokens de autenticación) pueden estar disponibles para Citrix Gateway Service para realizar lo siguiente:
    • Secure Private Access: El servicio utiliza la identidad del usuario para determinar el acceso a las aplicaciones web SaaS y empresariales y a otros recursos.
    • Inicio de sesión único: es posible que el servicio tenga acceso a la contraseña del usuario para completar la función SSO en aplicaciones web internas mediante HTTP Basic, NTLM o autenticación basada en formularios. El protocolo de cifrado que se usa para la contraseña es TLS, a menos que configure específicamente la autenticación HTTP Basic.
  • Credenciales de administrador: los administradores se autentican en Citrix Cloud. Esto genera un token web JSON (JWT) firmado una vez que le da al administrador acceso a las consolas de administración en Citrix Cloud.

Puntos que tener en cuenta

  • Todo el tráfico de las redes públicas se cifra mediante TLS, mediante certificados administrados por Citrix.
  • Citrix administra completamente las claves que se utilizan para el SSO (claves de firma SAML) de la aplicación SaaS.
  • Para la MFA, Citrix Gateway Service almacena las claves por dispositivo que se utilizan para iniciar el algoritmo TOTP.
  • Para habilitar la funcionalidad de inicio de sesión único de Kerberos, los clientes pueden configurar Gateway Connector con credenciales (nombre de usuario y contraseña) para que una cuenta de servicio de confianza realice la delegación restringida de Kerberos.

Consideraciones sobre la implementación

Citrix recomienda que los usuarios consulten la documentación de mejores prácticas publicada para implementar los servicios de Citrix Gateway. A continuación se presentan más consideraciones sobre la implementación de aplicaciones SaaS y aplicaciones web empresariales y el conector de red.

Selección del conector correcto: se debe seleccionar el conector correcto, según el caso de uso:

Caso de uso Conector Factor de forma
Autenticación de usuarios: Active Directory Citrix Cloud Connector Software Windows
Conectividad HDX Citrix Cloud Connector Software Windows
Acceso a aplicaciones SaaS Citrix Cloud Connector N/D
Acceso a aplicaciones web empresariales Citrix Cloud Connector, conector de Citrix Gateway N/D
Aplicaciones y archivos empresariales entregados por Citrix Endpoint Management Citrix Cloud Connector, conector de Citrix Gateway N/D

Requisitos de acceso de red del Citrix Cloud Connector

Para obtener información sobre los requisitos de acceso a la red de Citrix Cloud Connector, consulte https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Requisitos de acceso a redes de Citrix Gateway

Para obtener información sobre los requisitos de acceso a la red de Citrix Cloud Connector, consulte https://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.html

Servicio de conectividad HDX de Citrix Gateway

El uso de Citrix Gateway Service evita la necesidad de implementar Citrix Gateway en los centros de datos del cliente. Para usar Citrix Gateway Service, es un requisito previo usar el servicio de StoreFront que se entrega desde Citrix Cloud.

Prácticas recomendadas para los clientes

Se recomienda a los clientes que usen TLS dentro de su red y no habiliten el SSO para las aplicaciones a través de HTTP.