Documentación de productos
Servicio Citrix Gateway
Ver PDF

Descripción general de la seguridad técnica

August 8, 2025
Contribución de: 
C

Citrix Cloud gestiona el funcionamiento de los servicios Citrix Gateway, sustituyendo la necesidad de que los clientes gestionen el dispositivo NetScaler Gateway. El servicio Citrix Gateway se aprovisiona a través de la aplicación Citrix Workspace.

El servicio Citrix Gateway ofrece las siguientes capacidades:

Conectividad HDX: Los Virtual Delivery Agents (VDA) que alojan las aplicaciones y los escritorios permanecen bajo el control del cliente en el centro de datos de su elección, ya sea en la nube o en las instalaciones. Estos componentes se conectan al servicio en la nube mediante un agente denominado Citrix Cloud Connector.

Compatibilidad con el protocolo DTLS 1.2: El servicio Citrix Gateway admite Datagram Transport Layer Security (DTLS) 1.2 para sesiones HDX a través de EDT (protocolo de transporte basado en UDP). Se admiten los siguientes conjuntos de cifrado:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Compatibilidad con el protocolo TLS: El servicio Citrix Gateway admite los siguientes conjuntos de cifrado TLS:

  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-RSA-AES-256-SHA384
  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1.2-AES256-GCM-SHA384
  • TLS1-AES-256-CBC-SHA

Integración con Endpoint Management: Cuando se integra con Citrix Endpoint Management y Citrix Workspace, el servicio Citrix Gateway proporciona acceso remoto seguro a dispositivos a tu red interna y recursos. La incorporación del servicio Citrix Gateway con Endpoint Management es rápida y sencilla. El servicio Citrix Gateway incluye compatibilidad total con Citrix SSO para aplicaciones como Secure Mail y Secure Web.

Flujo de datos

El servicio Citrix Gateway es un servicio multiusuario distribuido globalmente. Los usuarios finales utilizan el Punto de Presencia (PoP) más cercano donde la función específica que necesitan está disponible, independientemente de la selección geográfica del plano de control de Citrix Cloud o de la ubicación de las aplicaciones a las que se accede. La configuración, como los metadatos de autorización, se replica en todos los PoP.

Los registros utilizados por Citrix para el diagnóstico, la supervisión, el negocio y la planificación de la capacidad se protegen y almacenan en una ubicación central.

La configuración del cliente se almacena en una ubicación central y se distribuye globalmente a todos los PoP.

Los datos que fluyen entre la nube y las instalaciones del cliente utilizan conexiones TLS seguras a través del puerto 443.

Las claves de cifrado utilizadas para la autenticación de usuarios y el inicio de sesión único se almacenan en módulos de seguridad de hardware.

Aislamiento de datos

El servicio Citrix Gateway almacena los siguientes datos:

  • Datos de configuración necesarios para la intermediación y supervisión de las aplicaciones del cliente: los datos se delimitan por el cliente cuando se persisten.
  • Semillas TOTP para cada dispositivo de usuario: las semillas TOTP se delimitan por cliente, usuario y dispositivo.

Auditoría y control de cambios

Actualmente, el servicio Citrix Gateway no pone a disposición de los clientes los registros de auditoría y control de cambios. Los registros están disponibles para Citrix y pueden utilizarse para auditar las actividades del usuario final y del administrador.

Gestión de credenciales

El servicio gestiona dos tipos de credenciales:

  • Credenciales de usuario: Las credenciales de usuario final (contraseñas y tokens de autenticación) pueden ponerse a disposición del servicio Citrix Gateway para realizar lo siguiente:
    • Citrix Secure Private Access: el servicio utiliza la identidad del usuario para determinar el acceso a las aplicaciones web SaaS y empresariales, y a otros recursos.
    • Inicio de sesión único: el servicio puede tener acceso a la contraseña del usuario para completar la función de SSO en aplicaciones web internas mediante autenticación HTTP Basic, NTLM o basada en formularios. El protocolo de cifrado utilizado para la contraseña es TLS, a menos que configures específicamente la autenticación HTTP Basic.
  • Credenciales de administrador: Los administradores se autentican en Citrix Cloud. Esto genera un token web JSON (JWT) firmado de un solo uso que otorga al administrador acceso a las consolas de administración en Citrix Cloud.

Puntos a tener en cuenta

  • Todo el tráfico a través de redes públicas se cifra mediante TLS, utilizando certificados gestionados por Citrix.
  • Las claves utilizadas para el SSO de aplicaciones SaaS (claves de firma SAML) son gestionadas íntegramente por Citrix.
  • Para MFA, el servicio Citrix Gateway almacena las claves por dispositivo utilizadas para inicializar el algoritmo TOTP.
  • Para habilitar la funcionalidad de inicio de sesión único de Kerberos, los clientes pueden configurar Connector Appliance con credenciales (nombre de usuario + contraseña) para una cuenta de servicio de confianza para realizar la delegación restringida de Kerberos.

Consideraciones de implementación

Citrix recomienda a los usuarios consultar la documentación de mejores prácticas publicada para implementar los servicios de Citrix Gateway. A continuación, se presentan más consideraciones sobre la implementación de aplicaciones SaaS y aplicaciones web empresariales, y el conector de red.

Selección del conector correcto: Se debe seleccionar el conector correcto, según el caso de uso:

Caso de uso Conector Factor de forma
Autenticación de usuario: Active Directory Citrix Cloud Connector Software de Windows
Conectividad HDX Citrix Cloud Connector Software de Windows
Acceso a aplicaciones SaaS Citrix Cloud Connector N/A
Acceso a aplicaciones web empresariales Citrix Cloud Connector, Citrix Connector Appliance N/A
Aplicaciones y archivos empresariales entregados por Citrix Endpoint Management Citrix Cloud Connector, Citrix Connector Appliance N/A

Requisitos de acceso a la red de Citrix Cloud Connector

Para obtener información sobre los requisitos de acceso a la red de Citrix Cloud Connector, consulta https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Conectividad HDX del servicio Citrix Gateway

El uso del servicio Citrix Gateway evita la necesidad de implementar NetScaler Gateway en los centros de datos del cliente. Para utilizar el servicio Citrix Gateway, es un requisito previo usar Citrix Workspace entregado desde Citrix Cloud.

Mejores prácticas del cliente

Se recomienda a los clientes utilizar TLS dentro de su red y no habilitar el SSO para aplicaciones a través de HTTP.

Conjuntos de cifrado obsoletos

Los siguientes conjuntos de cifrado están obsoletos para una seguridad mejorada:

  • TLS1.2-AES128-GCM-SHA256
  • TLS1.2-AES-128-SHA256
  • TLS1.2-AES256-GCM-SHA384
  • TLS1.2-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-128-SHA256
  • TLS1.2-DHE-RSA-AES256-GCM-SHA384
  • TLS1.2-DHE-RSA-AES128-GCM-SHA256
  • SSL3-DES-CBC3-SHA
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1-AES-256-CBC-SHA
  • TLS1-AES-128-CBC-SHA
  • TLS1-ECDHE-ECDSA-AES256-SHA
  • TLS1-ECDHE-ECDSA-AES128-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA
  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-DSS-AES-256-CBC-SHA
  • TLS1-DHE-DSS-AES-128-CBC-SHA
  • TLS1-ECDHE-RSA-DES-CBC3-SHA
  • TLS1.2-ECDHE-RSA-AES-128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
Descripción general de la seguridad técnica
August 8, 2025
Contribución de: 
C
August 8, 2025
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.