Información técnica general sobre la seguridad

Citrix Cloud administra el funcionamiento de Citrix Gateway Services, lo que elimina la necesidad de que los clientes administren el dispositivo NetScaler Gateway. El servicio Citrix Gateway se suministra a través de la aplicación Citrix Workspace.

El servicio Citrix Gateway proporciona las siguientes capacidades:

Conectividad HDX: Los agentes de entrega virtual (VDA) que alojan las aplicaciones y los escritorios permanecen bajo el control del cliente en el centro de datos de su elección, ya sea en la nube o en las instalaciones. Estos componentes se conectan con el servicio de nube por medio de un agente llamado el Citrix Cloud Connector.

Compatibilidad con el protocolo DTLS 1.2: Citrix Gateway Service admite Datagram Transport Layer Security (DTLS) 1.2 para sesiones HDX a través de EDT (protocolo de transporte basado en UDP). Se admiten los siguientes conjuntos de cifrado:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Compatibilidad con el protocolo TLS: Citrix Gateway Service admite los siguientes conjuntos de cifrado TLS:

  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-RSA-AES-256-SHA384
  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1.2-AES256-GCM-SHA384
  • TLS1-AES-256-CBC-SHA

Integración de Endpoint Management: cuando se integra con Citrix Endpoint Management y Citrix Workspace, el servicio Citrix Gateway proporciona un acceso remoto seguro desde dispositivos a la red y los recursos internos. La incorporación del servicio Citrix Gateway con Endpoint Management es rápida y sencilla. El servicio Citrix Gateway incluye soporte completo de Citrix SSO para aplicaciones como Secure Mail y Secure Web.

Flujo de datos

El servicio Citrix Gateway es un servicio multiusuario distribuido globalmente. Los usuarios finales utilizan el punto de presencia (PoP) más cercano donde está disponible la función específica que necesitan, independientemente de la geoselección del plano de control de Citrix Cloud o de la ubicación de las aplicaciones a las que se accede. La configuración, como los metadatos de autorización, se replica en todos los POP.

Los registros utilizados por Citrix para el diagnóstico, la supervisión, el negocio y la planificación de la capacidad están protegidos y almacenados en una ubicación central.

La configuración del cliente se almacena en una ubicación central y se distribuye globalmente a todos los POP.

Los datos que transitan entre la nube y las instalaciones del cliente utilizan conexiones TLS seguras a través del puerto 443.

Las claves de cifrado utilizadas para la autenticación de usuarios y el inicio de sesión único se almacenan en módulos de seguridad de hardware.

Aislamiento de datos

El servicio Citrix Gateway almacena los siguientes datos:

  • Datos de configuración necesarios para la intermediación y la supervisión de las aplicaciones del cliente: El cliente determina el alcance de los datos cuando se conservan.
  • Semillas de TOTP para cada dispositivo de usuario: las semillas de TOTP se determinan por cliente, usuario y dispositivo.

Auditoría y control de cambios

Actualmente, el servicio Citrix Gateway no pone a disposición de los clientes los registros de auditoría y control de cambios. Citrix dispone de registros que se pueden utilizar para auditar las actividades del usuario final y del administrador.

Gestión de credenciales

El servicio maneja dos tipos de credenciales:

  • Credenciales de usuario: las credenciales de usuario final (contraseñas y fichas de autenticación) pueden ponerse a disposición del servicio Citrix Gateway para realizar lo siguiente:
    • Citrix Secure Private Access: el servicio usa la identidad del usuario para determinar el acceso a las aplicaciones web SaaS y empresariales y a otros recursos.
    • Inicio de sesión único: es posible que el servicio tenga acceso a la contraseña del usuario para completar la función SSO en aplicaciones web internas mediante HTTP Basic, NTLM o autenticación basada en formularios. El protocolo de cifrado que se usa para la contraseña es TLS, a menos que configure específicamente la autenticación HTTP Basic.
  • Credenciales de administrador: los administradores se autentican en Citrix Cloud. Esto genera un token web JSON (JWT) firmado una vez que le da al administrador acceso a las consolas de administración en Citrix Cloud.

Puntos que tener en cuenta

  • Todo el tráfico de las redes públicas se cifra mediante TLS, mediante certificados administrados por Citrix.
  • Citrix administra completamente las claves que se utilizan para el SSO (claves de firma SAML) de la aplicación SaaS.
  • En el caso de la MFA, el servicio Citrix Gateway almacena las claves por dispositivo utilizadas para iniciar el algoritmo TOTP.
  • Para habilitar la funcionalidad Single Sign-On de Kerberos, es posible que los clientes configuren Connector Appliance con las credenciales (nombre de usuario y contraseña) para una cuenta de servicio en la que se confíe para realizar la delegación limitada de Kerberos.

Consideraciones sobre la implementación

Citrix recomienda que los usuarios consulten la documentación de mejores prácticas publicada para implementar los servicios de Citrix Gateway. A continuación se presentan más consideraciones sobre la implementación de aplicaciones SaaS y aplicaciones web empresariales y el conector de red.

Selección del conector correcto: se debe seleccionar el conector correcto, según el caso de uso:

Caso de uso Conector Factor de forma
Autenticación de usuarios: Active Directory Citrix Cloud Connector Software Windows
Conectividad HDX Citrix Cloud Connector Software Windows
Acceso a aplicaciones SaaS Citrix Cloud Connector N/D
Acceso a aplicaciones web empresariales Citrix Cloud Connector, Citrix Connector Appliance N/D
Aplicaciones y archivos empresariales entregados por Citrix Endpoint Management Citrix Cloud Connector, Citrix Connector Appliance N/D

Requisitos de acceso de red del Citrix Cloud Connector

Para obtener información sobre los requisitos de acceso a la red de Citrix Cloud Connector, consulte https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Conectividad HDX del servicio Citrix Gateway

El uso del servicio Citrix Gateway evita la necesidad de implementar NetScaler Gateway en los centros de datos de los clientes. Para utilizar el servicio Citrix Gateway, es un requisito previo utilizar Citrix Workspace entregado desde Citrix Cloud.

Prácticas recomendadas para los clientes

Se recomienda a los clientes que usen TLS dentro de su red y no habiliten el SSO para las aplicaciones a través de HTTP.

Conjuntos de cifrado retirados

Estos conjuntos de cifrado se han retirado para mejorar la seguridad:

  • TLS1.2-AES128-GCM-SHA256
  • TLS1.2-AES-128-SHA256
  • TLS1.2-AES256-GCM-SHA384
  • TLS1.2-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-128-SHA256
  • TLS1.2-DHE-RSA-AES256-GCM-SHA384
  • TLS1.2-DHE-RSA-AES128-GCM-SHA256
  • SSL3-DES-CBC3-SHA
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1-AES-256-CBC-SHA
  • TLS1-AES-128-CBC-SHA
  • TLS1-ECDHE-ECDSA-AES256-SHA
  • TLS1-ECDHE-ECDSA-AES128-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA
  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-DSS-AES-256-CBC-SHA
  • TLS1-DHE-DSS-AES-128-CBC-SHA
  • TLS1-ECDHE-RSA-DES-CBC3-SHA
  • TLS1.2-ECDHE-RSA-AES-128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256