Resumen técnico: Servicio de puerta de enlace para proxy HDX

El servicio Citrix Gateway para HDX Proxy proporciona a los usuarios un acceso remoto seguro a Citrix DaaS sin tener que implementar un dispositivo NetScaler Gateway en la DMZ local ni reconfigurar los firewalls. Citrix Cloud Services aloja un conjunto de servicios proporcionados por Citrix DaaS, Citrix Gateway Service, etc. Todos estos servicios se entregan en un único panel mediante la experiencia de Workspace.

En las instalaciones frente a Cloud

En las instalaciones

Citrix Gateway es un dispositivo reforzado (físico o virtual) que envía por proxy y protege todo el tráfico de Citrix DaaS con un cifrado SSL/TLS basado en estándares. La configuración de implementación más común es colocar el dispositivo NetScaler Gateway en la DMZ. Esto coloca NetScaler Gateway entre la red interna segura de una organización y la Internet (o cualquier red externa).

El dispositivo NetScaler Gateway ha servido bien a las empresas durante décadas, pero tienen requisitos adicionales para proporcionar acceso remoto, como:

  • Implementación y mantenimiento de los dispositivos NetScaler Gateway locales.
  • Implementación y mantenimiento de varios sitios para garantizar la redundancia.
  • Implementación y mantenimiento de direcciones IP públicas.
  • Implementación y mantenimiento de dispositivos de red.
  • Implementación y mantenimiento de las reglas de firewall.

On-Premises

Cloud

El servicio Citrix Gateway para HDX Proxy proporciona a los usuarios un acceso remoto seguro a Citrix DaaS sin tener que implementar el dispositivo NetScaler Gateway en la DMZ local ni reconfigurar los firewalls. Citrix aloja toda la sobrecarga de infraestructura de administrar el acceso remoto en la nube. Con los servicios Citrix Cloud y Citrix Gateway, las empresas ahora pueden proporcionar acceso remoto a Citrix DaaS sin esos requisitos adicionales, además de otras ventajas:

  • Citrix implementa y mantiene varios sitios en todo el mundo.
  • Citrix implementa y mantiene las direcciones IP públicas.
  • Seguridad avanzada de Citrix Cloud con Citrix Analytics.
  • El DNS predictivo proporciona una mejor experiencia de usuario.
  • No se requieren cambios en el entorno de Virtual Apps and Desktops.
  • Citrix implementa y mantiene los certificados.
  • Citrix proporciona y administra la escalabilidad elástica y la alta disponibilidad.
  • Las empresas pagan a medida que crecen y reducen los gastos operativos.
  • Incorporación más rápida para nuevos clientes.

Cloud

Servicios de Citrix Cloud

Citrix Workspace

Citrix Workspace agrega e integra los servicios de Citrix Cloud, lo que permite un acceso unificado a todos los recursos disponibles para los usuarios finales, ya sea a través del explorador con la URL de Workspace o mediante la aplicación Citrix Workspace, que reemplaza a Citrix Receiver. Para obtener más información sobre cómo los usuarios acceden a Citrix Workspace, visite Workspace access.

Citrix Cloud Connector

Citrix Cloud Connector es un paquete de software que implementa un conjunto de servicios que se ejecutan en servidores Windows de Microsoft. La máquina que aloje el Cloud Connector se encuentra dentro de la red donde residen los recursos que se usan con Citrix Cloud. Cloud Connector autentica y cifra toda la comunicación entre Citrix Cloud y las ubicaciones de recursos. Una vez instalado, el Cloud Connector inicia la comunicación con Citrix Cloud a través de una conexión saliente. Todas las conexiones se establecen desde Cloud Connector hacia la nube mediante el puerto HTTPS estándar (443) y el protocolo TCP. No se aceptan conexiones entrantes.

Citrix Gateway Service

El servicio NetScaler Gateway forma parte de Citrix Cloud Services para proporcionar acceso remoto seguro. NetScaler Gateway Service es un servicio multiarrendatario distribuido globalmente. Los usuarios finales utilizan el punto de presencia (PoP) más cercano donde está disponible la función específica que necesitan, independientemente de la geoselección del plano de control de Citrix Cloud o de la ubicación de las aplicaciones a las que se accede. La configuración, como los metadatos de autorización, se replica en todos los POP.

El servicio Citrix Gateway ofrece las siguientes funciones:

  • Conectividad HDX: los agentes de entrega virtual (VDA) que alojan las aplicaciones y los escritorios permanecen bajo el control del cliente en el centro de datos que elija, ya sea en la nube o en las instalaciones.
  • Compatibilidad con el protocolo DTLS 1.2: el servicio Citrix Gateway admite Datagram Transport Layer Security (DTLS) 1.2 para sesiones HDX a través de EDT (protocolo de transporte basado en UDP):
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • Compatibilidad con el protocolo TLS: el servicio Citrix Gateway admite los siguientes conjuntos de cifrado TLS:
    • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
    • TLS1.2-ECDHE-RSA-AES-256-SHA384
    • TLS1-ECDHE-RSA-AES128-SHA
    • TLS1.2-AES256-GCM-SHA384
    • TLS1-AES-256-CBC-SHA
  • Integración de Endpoint Management: Cuando se integra en Citrix Endpoint Management y Citrix Workspace, NetScaler Gateway Service proporciona acceso remoto seguro a los dispositivos a la red y los recursos internos. La incorporación de NetScaler Gateway Service con Endpoint Management es rápida y sencilla. NetScaler Gateway Service incluye compatibilidad total con Citrix SSO para aplicaciones como Secure Mail y Secure Web.

Flujo de datos

El servicio Citrix Gateway es un servicio multiinquilino distribuido globalmente. Los usuarios finales utilizan el punto de presencia (PoP) más cercano donde está disponible la función específica que necesitan, independientemente de la geoselección del plano de control de Citrix Cloud o de la ubicación de las aplicaciones a las que se accede. La configuración, como los metadatos de autorización, se replica en todos los POP.

  • Los registros utilizados por Citrix para el diagnóstico, la supervisión, el negocio y la planificación de la capacidad están protegidos y almacenados en una ubicación central.
  • La configuración del cliente se almacena en una ubicación central y se distribuye globalmente a todos los POP.
  • Los datos que transitan entre la nube y las instalaciones del cliente utilizan conexiones TLS seguras a través del puerto 443.
  • Las claves de cifrado utilizadas para la autenticación de usuarios y el inicio de sesión único se almacenan en módulos de seguridad de hardware.

Protocolo Rendezvous

Cuando se utiliza el servicio Citrix Gateway, el protocolo Rendezvous permite que el tráfico eluda los Citrix Cloud Connectors y se conecte de forma directa y segura con el plano de control de Citrix Cloud. Hay dos tipos de tráfico que deben tenerse en cuenta:

  1. Tráfico de control para registro de VDA e intermediación de sesiones.
  2. Tráfico de sesiones HDX.

Rendezvous V1: cuando se utiliza Citrix Gateway Service, la versión V1 del protocolo Rendezvous permite a los VDA eludir los Citrix Cloud Connectors para conectarse directamente al PoP de la puerta de enlace para el tráfico de rutas de datos. Consulte Rendezvous V1 para conocer los requisitos para implementar el protocolo Rendezvous V1.

Rendezvous V2: La versión V2 del protocolo Rendezvous permite omitir los Citrix Cloud Connectors tanto para el tráfico de control como para el tráfico de sesiones HDX. Consulte Rendezvous V2 para conocer los requisitos para implementar el protocolo Rendezvous.

Flujo de tráfico de Rendezvous

En el siguiente diagrama, se ilustra la secuencia de pasos en el flujo de tráfico de Rendezvous.

Flujo de tráfico de Rendezvous

  1. El VDA establece una conexión de WebSockets con Citrix Cloud y se registra.
  2. El VDA se registra en el servicio Citrix Gateway y obtiene un token dedicado.
  3. El VDA establece una conexión de control persistente con Gateway Service.
  4. El usuario navega a Citrix Workspace.
  5. Workspace evalúa la configuración de la autenticación y redirige a los usuarios al proveedor de identidades (IdP) adecuado para la autenticación.
  6. El usuario introduce sus credenciales.
  7. Tras validarse correctamente las credenciales de usuario, se redirige a este a Workspace.
  8. Workspace hace recuento de los recursos del usuario y los muestra.
  9. El usuario selecciona un escritorio o una aplicación de Workspace. Workspace envía la solicitud a Citrix DaaS, que hace de intermediario en la conexión e indica al VDA que se prepare para la sesión.
  10. El VDA responde con la funcionalidad Rendezvous y su identidad.
  11. Citrix DaaS genera un tíquet de inicio y lo envía al dispositivo del usuario a través de Workspace.
  12. El punto final del usuario se conecta al servicio Citrix Gateway y proporciona el ticket de inicio para autenticar e identificar el recurso al que conectarse.
  13. Gateway Service envía la información de conexión al VDA.
  14. El VDA establece una conexión directa para la sesión con Gateway Service.
  15. El servicio Citrix Gateway completa la conexión entre el terminal y el VDA.
  16. El VDA verifica las licencias de la sesión.
  17. Citrix DaaS envía las directivas aplicables al VDA.

Resiliencia

Citrix Gateway Service está diseñado para estar altamente disponible con múltiples instancias del servicio, implementadas en múltiples puntos de presencia (PoP) en varias ubicaciones del mundo. Además, el servicio está alojado en diferentes proveedores de nube. Para ver la lista de los POP del servicio Citrix Gateway, consulte Citrix Gateway Service: puntos de presencia (PoP). Dentro de un PoP de Citrix Gateway Service, los microservicios y los arrendatarios se implementan en un modelo activo-activo totalmente redundante. Esta funcionalidad permite que cualquier componente cambie al modo de espera si hay una falla. Solo en casos raros, si fallan todos los servicios de un componente dentro de un PoP, Gateway Service se marca como inactivo. Citrix utiliza Intelligent Traffic Manager para supervisar el estado de PoP y utiliza automáticamente DNS para cambiar el tráfico a un PoP alternativo si es necesario.

Puntos de presencia globales de Citrix

Soporte del servicio Citrix Gateway en Google Cloud Platform (GCP)

Con la compatibilidad de Citrix Gateway Service en Google Cloud Platform (GCP), los clientes que ejecutan sus cargas de trabajo en Google Cloud pueden aprovechar la red global de alto rendimiento de Google Cloud mediante la función de enrutamiento óptimo de Citrix Gateway. La función de enrutamiento de puerta de enlace óptima dirige a los clientes al PoP de GCP Citrix Gateway Service más cercano. Además, el servicio Citrix Gateway de Google Cloud proporciona conectividad segura entre los clientes de Citrix Workspace y los recursos de virtualización para ofrecer sesiones con la menor latencia y la mejor experiencia de usuario posible. Para obtener más información, el servicio Citrix Gateway en Google Cloud Platform

Implementación

Habilitar NetScaler Gateway Service

Los clientes que tienen derecho a usar Citrix DaaS tienen el servicio Citrix Gateway habilitado de forma predeterminada. Los clientes no tienen que solicitar una prueba de NetScaler Gateway Service por separado. Para obtener más información, consulta Suscribirse al servicio.

A continuación se presentan los pasos para habilitar NetScaler Gateway Service para los usuarios de Citrix Workspace.

  1. Inicie sesión en Citrix Cloud Services como usuario administrador.
  2. Haga clic en el icono de tres líneas y seleccione Configuración de Workspace.
  3. En la pestaña Acceso, en la sección Conectividad externa, busque los puntos suspensivos junto a Mi ubicación de recursos que aparecen en Citrix DaaS. Haga clic en los puntos suspensivos y haga clic en Configurar conectividad. Habilitar el servicio Citrix Gateway
  4. Elija el servicio Citrix Gateway en la ventana emergente y haga clic en Guardar. Habilitar el servicio Citrix Gateway

Proxy web/SSL

Cuando el descifrado SSL está habilitado en ciertos proxies, es posible que algunos servicios tengan problemas para conectarse a Citrix Cloud. Estas dificultades de conexión pueden observarse como un fallo de conexión fiable, un fallo de conexión intermitente o un tiempo de espera. Los proxies pueden causar los siguientes problemas:

  • Distribuya aleatoriamente la IP de origen del DNS, lo que lleva a los usuarios a un PoP subóptimo.
  • Añada latencia a las conexiones que se dirigen al PoP incorrecto (más de 100 ms, con una fluctuación excesiva).
  • La inspección de TLS interrumpe el servicio Citrix Gateway porque no admite la intercepción de TLS.

Se recomienda excluir los FQDN del servicio Citrix Gateway de cualquier inspección de tráfico y filtrado de DNS. Consulte los requisitos del sistema y de conectividad para ver las direcciones de Internet de contacto necesarias y las consideraciones para establecer la conectividad entre sus recursos y Citrix Cloud.

El archivo allowlist.json se encuentra en https://fqdnallowlistsa.blob.core.windows.net/fqdnallowlist-commercial/allowlist.json y muestra los FQDN a los que accede Cloud Connector. Esta lista se agrupa por producto e incluye un registro de cambios para cada grupo de FQDN.

Si utiliza Zscaler Private Access (ZPA), se recomienda configurar los parámetros de omisión para el servicio Citrix Gateway para evitar el aumento de la latencia y el impacto asociado en el rendimiento. Para ello, debe definir segmentos de aplicaciones para las direcciones del servicio Citrix Gateway (especificadas en los requisitos) y configurarlos para que siempre se omitan. Para obtener información sobre la configuración de segmentos de aplicaciones para eludir la ZPA, consulte Secure Private Access (ZPA): Configuración de las opciones de omisión.

VPN

Se recomienda que las VPN implementen la división local para los dominios del servicio Citrix Gateway: https://..nssvc.net, https://.g.nssvc.net y https://.c.nssvc.net

  • Habilite la tunelización dividida para que el cliente VPN envíe solo el tráfico destinado a las redes internas protegidas por el túnel VPN.
  • El tráfico destinado al servicio Citrix Gateway se enviaría directamente a través de su red local de Internet, en lugar de enviarse a través del túnel VPN y la red interna.

Para implementarlo con Citrix Gateway VPN, realice los siguientes cambios:

  • Habilite el túnel dividido en la pestaña Experiencia del cliente de la política de sesión VPN configurando el campo «Túnel dividido» en «ACTIVADO».
  • Configure las entradas transparentes de la aplicación de intranet con los rangos de direcciones IP de la red interna.
  • En la ficha Experiencia del cliente, configuración avanzada, asegúrese de que “Dividir DNS” esté configurado en Local. Configure también la Lista de sufijos DNS en Administración de tráfico > DNS > Sufijo DNS. Las consultas coincidentes se reenvían a la puerta de enlace, mientras que las demás se reenvían al DNS local.

Para obtener más información, consulte Configuración completa de VPN en NetScaler Gateway: Configurar túneles divididos

Capacidad de administración

El servicio Citrix Gateway, como solución de acceso remoto basada en la nube, puede simplificar la sobrecarga operativa al centralizar la administración, reducir la complejidad de la infraestructura, proporcionar actualizaciones automatizadas y ofrecer soluciones escalables y elásticas. Las organizaciones pueden beneficiarse de la comodidad de los servicios en la nube, lo que permite a los equipos de TI centrarse en iniciativas estratégicas en lugar de en las tareas operativas diarias.

  • Administración centralizada: dado que el servicio Citrix Gateway forma parte de Citrix Cloud, los administradores pueden administrar el servicio Citrix Gateway de forma centralizada a través de una consola unificada. Elimina la necesidad de administrar de forma individual varios NetScaler Gateways locales de forma individual, lo que reduce la complejidad de las operaciones.
  • Administración de infraestructura reducida: el servicio Citrix Gateway elimina la necesidad de que las organizaciones administren y mantengan los dispositivos NetScaler Gateway locales. Reduzca significativamente la carga operativa asociada con el mantenimiento de los servidores físicos, los equipos de red y los componentes relacionados.
  • Actualizaciones y parches automáticos: el servicio Citrix Gateway incluye actualizaciones y administración de parches automatizadas. Garantiza que el servicio ejecute las últimas mejoras de seguridad y actualizaciones de funciones sin que sea necesaria la intervención manual de los administradores.
  • Escalabilidad y elasticidad: el servicio Citrix Gateway permite a las organizaciones escalar fácilmente su infraestructura de acceso remoto hacia arriba o hacia abajo según sea necesario, sin las complejidades asociadas con el escalamiento de la infraestructura tradicional.
  • Mantenimiento y soporte subcontratados: al utilizar un servicio basado en la nube, las organizaciones pueden utilizar la experiencia y los servicios de soporte que proporciona Citrix. Traspasar algunas de las tareas de mantenimiento y las responsabilidades de solución de problemas al equipo de TI interno de la organización.

El compromiso de servicio de Citrix es mantener al menos un 99,9% de tiempo de actividad mensual en los Servicios. Para obtener información adicional, consulte el Acuerdo de nivel de servicio de Citrix Cloud. El Citrix Cloud Health Dashboard proporciona actualizaciones de estado sobre incidentes importantes o el mantenimiento programado de nuestros servicios en la nube, por región geográfica. Para obtener información adicional, consulte la documentación de Citrix Cloud Service Health. Panel de estado de Citrix Cloud

Resumen técnico: Servicio de puerta de enlace para proxy HDX