Citrix Gateway Service

Información técnica general sobre la seguridad

December 5, 2022

Contribución de:

Citrix Cloud administra la operación de los servicios de Citrix Gateway, lo que elimina la necesidad de que los clientes administren el dispositivo Citrix Gateway. Citrix Gateway Service se aprovisiona mediante la aplicación Citrix Workspace.

Citrix Gateway Service proporciona las siguientes capacidades:

Conectividad HDX: Los agentes de entrega virtual (VDA) que alojan las aplicaciones y los escritorios permanecen bajo el control del cliente en el centro de datos de su elección, ya sea en la nube o en las instalaciones. Estos componentes se conectan con el servicio de nube por medio de un agente llamado el Citrix Cloud Connector.

Compatibilidad con el protocolo DTLS 1.2: Citrix Gateway Servuce admite Datagram Transport Layer Security (DTLS) 1.2 para sesiones HDX a través de EDT (protocolo de transporte basado en UDP). Se admiten los siguientes conjuntos de cifrado:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Integración de Endpoint Management: Cuando se integra en Citrix Endpoint Management y Citrix Workspace, Citrix Gateway Service proporciona acceso remoto seguro a los dispositivos a la red y los recursos internos. La incorporación de Citrix Gateway Service con Endpoint Management es rápida y sencilla. Citrix Gateway Service incluye compatibilidad total con Citrix SSO para aplicaciones como Secure Mail y Secure Web.

Flujo de datos

Citrix Gateway Service es un servicio multiarrendatario distribuido globalmente. Los usuarios finales utilizan el punto de presencia (PoP) más cercano donde está disponible la función específica que necesitan, independientemente de la geoselección del plano de control de Citrix Cloud o de la ubicación de las aplicaciones a las que se accede. La configuración, como los metadatos de autorización, se replica en todos los POP.

Los registros utilizados por Citrix para el diagnóstico, la supervisión, el negocio y la planificación de la capacidad están protegidos y almacenados en una ubicación central.

La configuración del cliente se almacena en una ubicación central y se distribuye globalmente a todos los POP.

Los datos que transitan entre la nube y las instalaciones del cliente utilizan conexiones TLS seguras a través del puerto 443.

Las claves de cifrado utilizadas para la autenticación de usuarios y el inicio de sesión único se almacenan en módulos de seguridad de hardware.

Aislamiento de datos

Citrix Gateway Service almacena los siguientes datos:

Datos de configuración necesarios para la intermediación y la supervisión de las aplicaciones del cliente: El cliente determina el alcance de los datos cuando se conservan.
Semillas de TOTP para cada dispositivo de usuario: las semillas de TOTP se determinan por cliente, usuario y dispositivo.

Auditoría y control de cambios

Actualmente, Citrix Gateway Service no pone a disposición de los clientes los registros de auditoría y control de cambios. Citrix dispone de registros que se pueden utilizar para auditar las actividades del usuario final y del administrador.

Gestión de credenciales

El servicio maneja dos tipos de credenciales:

Credenciales de usuario: las credenciales de usuario final (contraseñas y tokens de autenticación) pueden estar disponibles para Citrix Gateway Service para realizar lo siguiente:
- Secure Private Access: El servicio utiliza la identidad del usuario para determinar el acceso a las aplicaciones web SaaS y empresariales y a otros recursos.
- Inicio de sesión único: es posible que el servicio tenga acceso a la contraseña del usuario para completar la función SSO en aplicaciones web internas mediante HTTP Basic, NTLM o autenticación basada en formularios. El protocolo de cifrado que se usa para la contraseña es TLS, a menos que configure específicamente la autenticación HTTP Basic.
Credenciales de administrador: los administradores se autentican en Citrix Cloud. Esto genera un token web JSON (JWT) firmado una vez que le da al administrador acceso a las consolas de administración en Citrix Cloud.

Puntos que tener en cuenta

Todo el tráfico de las redes públicas se cifra mediante TLS, mediante certificados administrados por Citrix.
Citrix administra completamente las claves que se utilizan para el SSO (claves de firma SAML) de la aplicación SaaS.
Para MFA, Citrix Gateway Service almacena las claves por dispositivo que se utilizan para iniciar el algoritmo TOTP.
Para habilitar la funcionalidad Single Sign-On de Kerberos, es posible que los clientes configuren Connector Appliance con las credenciales (nombre de usuario y contraseña) para una cuenta de servicio en la que se confíe para realizar la delegación limitada de Kerberos.

Consideraciones sobre la implementación

Citrix recomienda que los usuarios consulten la documentación de mejores prácticas publicada para implementar los servicios de Citrix Gateway. A continuación se presentan más consideraciones sobre la implementación de aplicaciones SaaS y aplicaciones web empresariales y el conector de red.

Selección del conector correcto: se debe seleccionar el conector correcto, según el caso de uso:

Caso de uso	Conector	Factor de forma
Autenticación de usuarios: Active Directory	Citrix Cloud Connector	Software Windows
Conectividad HDX	Citrix Cloud Connector	Software Windows
Acceso a aplicaciones SaaS	Citrix Cloud Connector	N/D
Acceso a aplicaciones web empresariales	Citrix Cloud Connector, Citrix Connector Appliance	N/D
Aplicaciones y archivos empresariales entregados por Citrix Endpoint Management	Citrix Cloud Connector, Citrix Connector Appliance	N/D

Requisitos de acceso de red del Citrix Cloud Connector

Para obtener información sobre los requisitos de acceso a la red de Citrix Cloud Connector, consulte https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Servicio de conectividad HDX de Citrix Gateway

El uso de Citrix Gateway Service evita la necesidad de implementar Citrix Gateway en los centros de datos del cliente. Para usar Citrix Gateway Service, es un requisito previo usar el servicio de StoreFront que se entrega desde Citrix Cloud.

Prácticas recomendadas para los clientes

Se recomienda a los clientes que usen TLS dentro de su red y no habiliten el SSO para las aplicaciones a través de HTTP.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Citrix solo tiene traducción automática. Citrix no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Citrix se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Citrix, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Citrix no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Información técnica general sobre la seguridad

December 5, 2022

Contribución de:

December 5, 2022

Contribución de:

En este artículo

Flujo de datos
Aislamiento de datos
Auditoría y control de cambios
Gestión de credenciales
Consideraciones sobre la implementación
Requisitos de acceso de red del Citrix Cloud Connector
Servicio de conectividad HDX de Citrix Gateway
Prácticas recomendadas para los clientes

¿Le ha resultado útil?