技术安全概述
Citrix Cloud 管理 Citrix Gateway 服务的运行,从而取代了客户管理 NetScaler Gateway 设备的需求。Citrix Gateway 服务通过 Citrix Workspace app 进行预配。
Citrix Gateway 服务提供以下功能:
HDX 连接: 托管应用程序和桌面的 Virtual Delivery Agents (VDA) 仍由客户在其选择的数据中心(无论是云端还是本地)进行控制。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。
DTLS 1.2 协议支持: Citrix Gateway 服务支持通过 EDT(基于 UDP 的传输协议)的 HDX 会话使用数据报传输层安全性 (DTLS) 1.2。支持以下密码套件:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS 协议支持: Citrix Gateway 服务支持以下 TLS 密码套件:
- TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
- TLS1.2-ECDHE-RSA-AES-256-SHA384
- TLS1-ECDHE-RSA-AES128-SHA
- TLS1.2-AES256-GCM-SHA384
- TLS1-AES-256-CBC-SHA
Endpoint Management 集成: 当与 Citrix Endpoint Management 和 Citrix Workspace 集成时,Citrix Gateway 服务可为您的内部网络和资源提供安全的远程设备访问。将 Citrix Gateway 服务与 Endpoint Management 集成既快速又简单。Citrix Gateway 服务全面支持 Citrix SSO,适用于 Secure Mail 和 Secure Web 等应用程序。
数据流
Citrix Gateway 服务是一种全球分布式多租户服务。最终用户使用最近的接入点 (PoP),无论 Citrix Cloud 控制平面地理位置选择或所访问应用程序的位置如何,他们所需的特定功能都可在该接入点获得。配置(例如授权元数据)会复制到所有 PoP。
Citrix® 用于诊断、监控、业务和容量规划的日志经过安全处理并存储在一个中心位置。
客户配置存储在一个中心位置,并全球分发到所有 PoP。
云与客户场所之间的数据流通过端口 443 使用安全的 TLS 连接。
用于用户身份验证和单点登录的加密密钥存储在硬件安全模块中。
数据隔离
Citrix Gateway 服务存储以下数据:
- 客户应用程序的代理和监控所需的配置数据 – 数据在持久化时由客户确定范围。
- 每个用户设备的 TOTP 种子 – TOTP 种子由客户、用户和设备确定范围。
审计和变更控制
目前,Citrix Gateway 服务不向客户提供审计和变更控制日志。Citrix 可以获取日志,并可用于审计最终用户和管理员的活动。
凭据处理
该服务处理两种类型的凭据:
- 用户凭据:最终用户凭据(密码和身份验证令牌)可能会提供给 Citrix Gateway 服务以执行以下操作:
- Citrix Secure Private Access - 该服务使用用户的身份来确定对 SaaS 和企业 Web 应用程序以及其他资源的访问权限。
- 单点登录 - 该服务可能拥有用户的密码,以使用 HTTP Basic、NTLM 或基于表单的身份验证完成对内部 Web 应用程序的 SSO 功能。除非您专门配置 HTTP Basic 身份验证,否则用于密码的加密协议是 TLS。
- 管理员凭据:管理员针对 Citrix Cloud 进行身份验证。这将生成一个一次性签名的 JSON Web Token (JWT),该令牌授予管理员访问 Citrix Cloud 中管理控制台的权限。
注意事项
- 公共网络上的所有流量都通过 TLS 加密,使用由 Citrix 管理的证书。
- 用于 SaaS 应用程序 SSO 的密钥(SAML 签名密钥)完全由 Citrix 管理。
- 对于 MFA,Citrix Gateway 服务存储用于生成 TOTP 算法的每个设备密钥。
- 为了启用 Kerberos 单点登录功能,客户可以为受信任的服务帐户配置 Connector Appliance 凭据(用户名 + 密码),以执行 Kerberos Constrained Delegation。
部署注意事项
Citrix 建议用户查阅已发布的 Citrix Gateway 服务部署最佳实践文档。有关 SaaS 应用程序和企业 Web 应用程序部署以及网络连接器的更多注意事项如下。
选择正确的连接器:必须根据用例选择正确的连接器:
| 用例 | 连接器 | 外形规格 |
|---|---|---|
| 用户身份验证:Active Directory | Citrix Cloud Connector | Windows 软件 |
| HDX 连接 | Citrix Cloud Connector | Windows 软件 |
| SaaS 应用程序访问 | Citrix Cloud Connector | 不适用 |
| 企业 Web 应用程序访问 | Citrix Cloud Connector、Citrix Connector Appliance | 不适用 |
| Citrix Endpoint Management 交付的企业应用程序和文件 | Citrix Cloud Connector、Citrix Connector Appliance | 不适用 |
Citrix Cloud Connector 网络访问要求
有关 Citrix Cloud Connector 网络访问要求的信息,请参阅 https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html
Citrix Gateway 服务 HDX 连接
使用 Citrix Gateway 服务可避免在客户数据中心内部署 NetScaler Gateway。要使用 Citrix Gateway 服务,必须使用从 Citrix Cloud 交付的 Citrix Workspace。
客户最佳实践
建议客户在其网络中使用 TLS,并且不要为通过 HTTP 的应用程序启用 SSO。
已弃用的密码套件
为增强安全性,以下密码套件已弃用:
- TLS1.2-AES128-GCM-SHA256
- TLS1.2-AES-128-SHA256
- TLS1.2-AES256-GCM-SHA384
- TLS1.2-AES-256-SHA256
- TLS1.2-DHE-RSA-AES-256-SHA256
- TLS1.2-DHE-RSA-AES-128-SHA256
- TLS1.2-DHE-RSA-AES256-GCM-SHA384
- TLS1.2-DHE-RSA-AES128-GCM-SHA256
- SSL3-DES-CBC3-SHA
- TLS1-ECDHE-RSA-AES256-SHA
- TLS1-AES-256-CBC-SHA
- TLS1-AES-128-CBC-SHA
- TLS1-ECDHE-ECDSA-AES256-SHA
- TLS1-ECDHE-ECDSA-AES128-SHA
- TLS1-DHE-RSA-AES-256-CBC-SHA
- TLS1-DHE-RSA-AES-128-CBC-SHA
- TLS1-DHE-DSS-AES-256-CBC-SHA
- TLS1-DHE-DSS-AES-128-CBC-SHA
- TLS1-ECDHE-RSA-DES-CBC3-SHA
- TLS1.2-ECDHE-RSA-AES-128-SHA256
- TLS1.2-ECDHE-ECDSA-AES128-SHA256
- TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
- TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA384