Fiche technique : Service de passerelle pour proxy HDX

Le service Citrix Gateway pour HDX Proxy fournit aux utilisateurs un accès distant sécurisé à Citrix DaaS sans avoir à déployer une appliance Citrix Gateway dans la zone démilitarisée locale ou à reconfigurer des pare-feux. Citrix Cloud Services héberge une suite de services fournis par Citrix DaaS, le service Citrix Gateway, etc. Tous ces services sont fournis dans un seul volet à l’aide de Workspace Experience.

Sur site vs. Cloud

Sur site

Citrix Gateway est une appliance renforcée (physique ou virtuelle) qui assure le proxy et sécurise l’ensemble du trafic Citrix DaaS à l’aide d’un chiffrement SSL/TLS basé sur des normes. La configuration de déploiement la plus courante consiste à placer l’appliance Citrix Gateway dans la zone DMZ. Cela place NetScaler Gateway entre le réseau interne sécurisé d’une organisation et Internet (ou tout autre réseau externe).

L’appliance NetScaler Gateway répond aux besoins des entreprises depuis des décennies, mais celles-ci ont des exigences supplémentaires pour fournir un accès à distance, telles que :

  • Implémentation et maintenance des appliances NetScaler Gateway sur site.
  • Implémentation et maintenance de plusieurs sites à des fins de redondance.
  • Implémentation et maintenance d’adresses IP publiques.
  • Implémentation et maintenance des périphériques réseau.
  • Mise en œuvre et maintenance des règles de pare-feu.

On-Premises

Cloud

Le service Citrix Gateway pour HDX Proxy fournit aux utilisateurs un accès distant sécurisé à Citrix DaaS sans avoir à déployer l’appliance Citrix Gateway dans la zone démilitarisée locale ou à reconfigurer les pare-feux. Citrix héberge la totalité des frais d’infrastructure liés à la gestion de l’accès à distance dans le cloud. Grâce aux services Citrix Cloud et Citrix Gateway, les entreprises peuvent désormais fournir un accès à distance à Citrix DaaS sans ces exigences supplémentaires, ainsi que d’autres avantages :

  • Plusieurs sites sont mis en œuvre et gérés dans le monde entier par Citrix.
  • Les adresses IP publiques sont mises en œuvre et gérées par Citrix.
  • Sécurité avancée de Citrix Cloud avec Citrix Analytics.
  • Le DNS prédictif offre une meilleure expérience utilisateur.
  • Aucune modification de l’environnement Virtual Apps and Desktops n’est requise.
  • Les certificats sont mis en œuvre et gérés par Citrix.
  • L’évolutivité élastique et la haute disponibilité sont fournies et gérées par Citrix.
  • Les entreprises paient au fur et à mesure de leur croissance et réduisent leurs dépenses d’exploitation.
  • Intégration plus rapide pour les nouveaux clients.

Cloud

Citrix Cloud Services

Citrix Workspace

Citrix Workspace regroupe et intègre les services Citrix Cloud, permettant un accès unifié à toutes les ressources disponibles pour vos utilisateurs finaux, soit via le navigateur avec l’URL de l’espace de travail, soit via l’ application Citrix Workspace, qui remplace Citrix Receiver. Pour plus d’informations sur la manière dont les utilisateurs accèdent à leur Citrix Workspace, consultez la section Accès à l’espace de travail.

Citrix Cloud Connector

Le Citrix Cloud Connector est un package logiciel qui déploie un ensemble de services exécutés sur des serveurs Microsoft Windows. L’ordinateur hébergeant le Cloud Connector se trouve dans le réseau sur lequel résident les ressources que vous utilisez avec Citrix Cloud. Le Cloud Connector authentifie et crypte toutes les communications entre Citrix Cloud et vos emplacements de ressources. Une fois installé, le Cloud Connector initie la communication avec Citrix Cloud via une connexion sortante. Toutes les connexions sont établies depuis le Cloud Connector vers le cloud à l’aide du port HTTPS standard (443) et du protocole TCP. Aucune connexion entrante n’est acceptée.

Citrix Gateway Service

Le service Citrix Gateway fait partie des services Citrix Cloud pour fournir un accès distant sécurisé. Le service Citrix Gateway est un service mutualisé distribué dans le monde entier. Les utilisateurs finaux utilisent le point de présence (PoP) le plus proche où la fonction spécifique dont ils ont besoin est disponible, indépendamment de la géo-sélection du plan de contrôle Citrix Cloud ou de l’emplacement des applications auxquelles ils accèdent. La configuration, telle que les métadonnées d’autorisation, est répliquée sur tous les points de présence.

Le service Citrix Gateway fournit les fonctionnalités suivantes :

  • Connectivité HDX : les agents de livraison virtuels (VDA) hébergeant les applications et les postes de travail restent sous le contrôle du client dans le centre de données de son choix, dans le cloud ou sur site.
  • Prise en charge du protocole DTLS 1.2 : le service Citrix Gateway prend en charge le protocole Datagram Transport Layer Security (DTLS) 1.2 pour les sessions HDX via EDT (protocole de transport basé sur UDP) :
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • Prise en charge du protocole TLS : le service Citrix Gateway prend en charge les suites de chiffrement TLS suivantes :
    • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
    • TLS1.2-ECDHE-RSA-AES-256-SHA384
    • TLS1-ECDHE-RSA-AES128-SHA
    • TLS1.2-AES256-GCM-SHA384
    • TLS1-AES-256-CBC-SHA
  • Intégration Endpoint Management : lorsqu’il est intégré à Citrix Endpoint Management plus Citrix Workspace, le service Citrix Gateway fournit un accès distant sécurisé à votre réseau interne et à vos ressources. L’intégration du service Citrix Gateway à Endpoint Management est rapide et simple. Le service Citrix Gateway inclut la prise en charge complète de Citrix SSO pour les applications telles que Secure Mail et Secure Web.

Flux de données

Le service Citrix Gateway est un service mutualisé distribué dans le monde entier. Les utilisateurs finaux utilisent le point de présence (PoP) le plus proche où la fonction spécifique dont ils ont besoin est disponible, indépendamment de la géo-sélection du plan de contrôle Citrix Cloud ou de l’emplacement des applications auxquelles ils accèdent. La configuration, telle que les métadonnées d’autorisation, est répliquée sur tous les points de présence.

  • Les journaux utilisés par Citrix à des fins de diagnostic, de surveillance, d’activité et de planification des capacités sont sécurisés et stockés dans un emplacement central.
  • La configuration du client est stockée dans un emplacement central et distribuée dans le monde entier à tous les points de présence.
  • Les données qui transitent entre le cloud et les locaux du client utilisent une connexion sécurisée TLS sur le port 443.
  • Les clés de chiffrement utilisées pour l’authentification des utilisateurs et l’authentification unique sont stockées dans des modules de sécurité matériels.

Protocole Rendezvous

Lorsque vous utilisez le service Citrix Gateway, le protocole Rendezvous permet au trafic de contourner les Citrix Cloud Connector et de se connecter directement et en toute sécurité au plan de contrôle Citrix Cloud. Il existe deux types de trafic à prendre en compte :

  1. Trafic du contrôle pour l’enregistrement du VDA et la négociation des sessions.
  2. Trafic des sessions HDX.

Rendezvous V1 : lorsque vous utilisez le Citrix Gateway Service, la version V1 du protocole Rendezvous permet aux VDA de contourner les Citrix Cloud Connector pour se connecter directement au PoP de la passerelle pour le trafic des chemins de données. Reportez-vous au Rendezvous V1 pour connaître les exigences relatives à la mise en œuvre du protocole Rendezvous V1.

Rendezvous V2 - La version V2 du protocole Rendezvous permet de contourner les Citrix Cloud Connectors à la fois pour le trafic de contrôle et le trafic de session HDX. Reportez-vous au Rendezvous V2 pour connaître les exigences relatives à la mise en œuvre du protocole Rendezvous.

Flux de trafic Rendez-vous

Le schéma suivant illustre la séquence des étapes relatives au flux de trafic Rendezvous.

Flux de trafic Rendez-vous

  1. Le VDA établit une connexion WebSocket avec Citrix Cloud et s’enregistre.
  2. Le VDA s’enregistre auprès du service Citrix Gateway et obtient un jeton dédié.
  3. Le VDA établit une connexion de contrôle permanente avec Gateway Service.
  4. L’utilisateur accède à Citrix Workspace.
  5. Workspace évalue la configuration de l’authentification et redirige les utilisateurs vers le fournisseur d’identité approprié pour l’authentification.
  6. L’utilisateur saisit ses informations d’identification.
  7. Une fois les informations d’identification de l’utilisateur validées, l’utilisateur est redirigé vers Workspace.
  8. Workspace compte les ressources liées à l’utilisateur et les affiche.
  9. L’utilisateur sélectionne un bureau ou une application dans Workspace. Workspace envoie la demande à Citrix DaaS qui négocie la connexion et demande au VDA de préparer la session.
  10. Le VDA répond à l’aide de la fonctionnalité Rendezvous et de son identité.
  11. Citrix DaaS génère un ticket de lancement et l’envoie à la machine utilisateur via Workspace.
  12. Le terminal de l’utilisateur se connecte au service Citrix Gateway et fournit le ticket de lancement pour authentifier et identifier la ressource à laquelle se connecter.
  13. Gateway Service envoie les informations de connexion au VDA.
  14. Le VDA établit une connexion directe pour la session avec Gateway Service.
  15. Le service Citrix Gateway établit la connexion entre le terminal et le VDA.
  16. Le VDA vérifie les licences pour la session.
  17. Citrix DaaS envoie les stratégies applicables au VDA.

Résilience

Le service Citrix Gateway est conçu pour être hautement disponible avec plusieurs instances du service, déployées sur plusieurs points de présence (POP) sur différents emplacements dans le monde. En outre, le service est hébergé sur différents fournisseurs de cloud. Pour obtenir la liste des POP du service Citrix Gateway, consultez la section Service Citrix Gateway — Points de présence (POP). Au sein d’un service Citrix Gateway PoP, les micro-services et les locataires sont déployés dans un modèle actif-actif entièrement redondant. Cette fonctionnalité permet à n’importe quel composant de basculer sur la veille en cas de panne. Ce n’est que dans de rares cas, si tous les services d’un composant dans un POP échouent, le Gateway Service se marque comme étant hors service. Citrix utilise Intelligent Traffic Manager pour surveiller l’intégrité du POP et utilise automatiquement le DNS pour basculer le trafic vers un autre POP si nécessaire.

Points de présence mondiaux Citrix

Support du service Citrix Gateway sur Google Cloud Platform (GCP)

Grâce à la prise en charge du service Citrix Gateway sur Google Cloud Platform (GCP), les clients qui exécutent leurs charges de travail sur Google Cloud peuvent tirer parti du réseau mondial très performant de Google Cloud grâce à la fonctionnalité de routage optimal de Citrix Gateway. La fonctionnalité de routage de passerelle optimale dirige les clients vers le PoP GCP Citrix Gateway Service le plus proche. De plus, le service Citrix Gateway sur Google Cloud fournit une connectivité sécurisée entre les clients Citrix Workspace et les ressources de virtualisation afin de proposer des sessions avec la latence la plus faible et la meilleure expérience utilisateur possible. Pour plus de détails, service Citrix Gateway sur Google Cloud Platform

Déploiement

Activer le Citrix Gateway Service

Les clients qui ont droit au Citrix DaaS voient le service Citrix Gateway activé par défaut. Les clients n’ont pas besoin de demander un essai de Citrix Gateway Service distinct. Pour plus de détails, consultez la section Inscription au service.

Voici les étapes à suivre pour activer le service Citrix Gateway pour les utilisateurs de Citrix Workspace.

  1. Connectez-vous à Citrix Cloud Services en tant qu’administrateur.
  2. Cliquez sur l’icône représentant un hamburger et choisissez Configuration de l’espace de travail
  3. Dans l’onglet Accès de la section Connectivité externe, localisez les ellipses à côté de My Resource Location, présentées sous Citrix DaaS. Cliquez sur les points de suspension, puis sur Configurer la connectivité. Activer le service Citrix Gateway
  4. Choisissez le service Citrix Gateway dans la fenêtre contextuelle et cliquez sur Enregistrer. Activer le service Citrix Gateway

Proxy Web/SSL

Lorsque le déchiffrement SSL est activé sur certains proxys, certains services peuvent rencontrer des difficultés pour se connecter à Citrix Cloud. Ces difficultés de connexion peuvent être observées sous la forme d’une défaillance de connexion fiable, d’une panne de connexion intermittente ou d’un délai d’attente. Les proxies peuvent provoquer les problèmes suivants :

  • Randomisez l’adresse IP de la source DNS, ce qui conduit les utilisateurs à être dirigés vers un PoP sous-optimal.
  • Ajoutez de la latence aux connexions qui sont dirigées vers le mauvais PoP (plus de 100 ms, avec une gigue excessive).
  • L’inspection TLS interrompt le service Citrix Gateway car il ne prend pas en charge l’interception TLS.

Il est recommandé d’exclure les noms de domaine complets du service Citrix Gateway de tout filtrage DNS et de toute inspection du trafic. Consultez les exigences en matière de système et de connectivité pour connaître les adresses Internet joignables requises et les considérations relatives à l’établissement de la connectivité entre vos ressources et Citrix Cloud.

Le fichier allowlist.json se trouve sur https://fqdnallowlistsa.blob.core.windows.net/fqdnallowlist-commercial/allowlist.json et répertorie les noms de domaine complets auxquels le Cloud Connector accède. Cette liste est regroupée par produit et inclut un journal des modifications pour chaque groupe de noms de domaine complets.

Si vous utilisez Zscaler Private Access (ZPA), il est recommandé de configurer les paramètres de contournement pour le service Citrix Gateway afin d’éviter une latence accrue et l’impact sur les performances associé. Pour ce faire, vous devez définir des segments d’application pour les adresses de service Citrix Gateway, spécifiées dans les exigences, et les configurer pour qu’ils soient toujours contournés. Pour plus d’informations sur la configuration des segments d’application pour contourner le ZPA, consultez la section Accès privé sécurisé (ZPA) — Configuration des paramètres de contournement.

VPN

Il est recommandé aux VPN de mettre en œuvre une répartition locale pour les domaines de service Citrix Gateway : https://..nssvc.net, https://.g.nssvc.net, and https://.c.nssvc.net

  • Activez le split tunneling, afin que le client VPN n’envoie que le trafic destiné aux réseaux internes protégés par le tunnel VPN.
  • Le trafic destiné au service Citrix Gateway serait envoyé directement via leur connexion Internet locale, au lieu d’être redirigé via le tunnel VPN et le réseau interne.

Pour l’implémenter avec Citrix Gateway VPN, apportez les modifications suivantes :

  • Activez le spit tunneling dans l’onglet Expérience client de la stratégie de session VPN en réglant le champ « Split Tunnel » sur « ON ».
  • Configurez des entrées transparentes de l’application Intranet avec les plages d’adresses IP du réseau interne.
  • Sous l’onglet Expérience client, paramètre avancé, assurez-vous que « Split DNS » est défini sur Local. Configurez également la liste des suffixe DNS sous Gestion du trafic > DNS > Suffixe DNS. Les requêtes correspondantes sont transmises à la passerelle, tandis que les autres sont transmises au DNS local.

Pour plus d’informations, consultez Configuration complète du VPN sur NetScaler Gateway - Configurer le split tunneling

Facilité de gestion

Le service Citrix Gateway, en tant que solution d’accès à distance basée sur le cloud, peut simplifier les frais opérationnels en centralisant la gestion, en réduisant la complexité de l’infrastructure, en fournissant des mises à jour automatisées et en proposant des solutions évolutives et élastiques. Les entreprises peuvent bénéficier de la commodité des services cloud, permettant aux équipes informatiques de se concentrer sur des initiatives stratégiques plutôt que sur des tâches opérationnelles quotidiennes.

  • Gestion centralisée : le service Citrix Gateway faisant partie de Citrix Cloud, les administrateurs peuvent gérer le service Citrix Gateway de manière centralisée via une console unifiée. Il n’est plus nécessaire de gérer individuellement plusieurs passerelles NetScaler sur site, ce qui réduit la complexité des opérations.
  • Gestion d’infrastructure réduite : le service Citrix Gateway élimine la nécessité pour les entreprises de gérer et de maintenir les appliances Citrix Gateway sur site. Réduisez de manière significative la charge opérationnelle associée à la maintenance des serveurs physiques, de l’équipement réseau et des composants associés.
  • Mises à jour et correctifs automatiques : le service Citrix Gateway inclut des mises à jour et une gestion des correctifs automatisées. Garantit que le service exécute les dernières améliorations de sécurité et mises à jour des fonctionnalités sans nécessiter d’intervention manuelle de la part des administrateurs.
  • Évolutivité et élasticité : le service Citrix Gateway permet aux entreprises d’augmenter ou de réduire facilement leur infrastructure d’accès à distance selon les besoins, sans les complexités associées à la mise à l’échelle de l’infrastructure traditionnelle.
  • Maintenance et support externalisés : en utilisant un service basé sur le cloud, les entreprises peuvent utiliser l’expertise et les services de support fournis par Citrix. Décharger l’équipe informatique interne de l’organisation de certaines tâches de maintenance et de certaines responsabilités de dépannage.

L’engagement de Citrix en matière de service consiste à maintenir une disponibilité mensuelle des services d’au moins 99,9 %. Pour plus d’informations, consultez le contrat de niveau de serviceCitrix Cloud. Le Citrix Cloud Health Dashboard fournit des mises à jour de statut concernant les incidents importants ou la maintenance planifiée de nos services Cloud, par région géographique. Pour plus d’informations, consultez la documentation Citrix Cloud Service Health. Tableau de bord Citrix Cloud Health

Fiche technique : Service de passerelle pour proxy HDX