技术安全性概述

本文档适用于 Citrix Cloud 中托管 Citrix Gateway 服务的所有功能, 其中包括 HDX 传输、SaaS 应用程序和企业 Web 应用程序。

Citrix Cloud 负责管理 Citrix Gateway 服务的操作,从而使客户不必管理 Citrix Gateway 设备。Citrix Gateway 服务通过 Citrix Workspace 应用程序进行预配。

Citrix Gateway 服务提供以下功能:

  • HDX 连接性(面向 XenApp 用户) – 一项全局可用的服务,提供从任何位置的用户到虚拟应用程序和桌面的安全连接。
  • SaaS 应用程序的安全访问–统一的用户体验, 使已配置的 SaaS 应用程序能够向最终用户提供。
  • 对企业 web 应用程序的安全访问–向最终用户引入已配置的企业 web 应用程序的统一用户体验。

HDX 连接: 托管应用程序和桌面的 Virtual Delivery Agent (VDA) 在客户选择的数据中心(云或本地)下保持在客户的控制之下。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。

SaaS 应用程序: 软件即服务 (SaaS) 是一种软件分发模型,用于以基于 Web 的服务方式远程交付软件。通常使用的 SaaS 应用程序包括 Salesforce、Workday、Concur、GoToMeeting 等等。

企业 Web 应用程序: 通过使用 Citrix Gateway 服务的企业 Web 应用程序交付,可以使企业特定的应用程序以基于 Web 的服务方式进行远程交付。通常使用的企业 web 应用程序包括 SharePoint、Confluence、OneBug, 等等。需要使用 Citrix Gateway Connector 才能访问企业 web 应用程序。

SaaS 应用程序和企业 web 应用程序通过使用 Citrix Gateway 服务的 Citrix Workspace 进行预配。Citrix Gateway 服务与 Citrix Workspace 结合使用,可为配置的企业 Web 应用程序、SaaS 应用程序、配置的虚拟应用程序或任何其他 Workspace 资源提供统一的用户体验。除了安全访问外,Citrix Gateway 服务还会保护用户不受用户生成的内容中嵌入的不受信任的链接干扰。

数据流

Citrix Gateway 服务是一项全局分发的多租户服务。最终用户利用最接近的接入点 (PoP),而无论所需的特定功能是 Citrix Cloud 控制平面地理选择还是所访问的应用程序的位置。配置 (如授权元数据) 会复制到所有 PoP。

用于诊断、监视、业务和容量规划的 Citrix 日志在一个中央位置受到保护, 并存储在一个中心位置。

客户配置存储在一个中央位置, 并全局性地分布到所有 PoP 中。

云与客户本地之间的数据流动使用安全的 TLS 连接通过端口 443 进行。

用于用户身份验证和单点登录的加密密钥存储在硬件安全模块中。

数据隔离

Citrix Gateway 服务存储以下数据:

  • 代理和监视客户应用程序所需的配置数据–当保持时, 数据将按客户来确定范围。
  • TOTP 种子适用于每个用户设备– TOTP 种子的作用域为客户、用户和设备。

审核和更改控制

当前 Citrix Gateway 服务不会使客户可以使用审核和更改控制日志。日志可供 Citrix 使用, 可用于审核最终用户和管理员的活动。

凭据处理

此服务处理两种类型的凭据:

  • 用户凭据:可以通过 Citrix Gateway 服务使用最终用户凭据(密码和身份验证令牌)执行以下操作:
    • 访问控制-服务使用用户的标识来确定对 SaaS 和企业 web 应用程序以及其他资源的访问权限。
    • 单点登录 - 服务可能有权访问用户的密码,以便使用 HTTP Basic、NTLM 或基于表单的身份验证向内部 Web 应用程序完成 SSO 功能。用于密码的加密协议为 TLS, 除非您专门配置了 HTTP 基本身份验证。
  • 管理员凭据:管理员针对 Citrix Cloud 进行身份验证。这将生成一个一次性签名的 JSON Web 令牌 (JWT),管理员通过该令牌可以访问 Citrix Cloud 中的管理控制台。

需要注意的事项

  • 公用网络中的所有流量都通过 TLS 加密, 并使用 Citrix 管理的证书。
  • 用于 SaaS 应用程序 SSO(SAML 签名密钥)的密钥由 Citrix 完全管理。
  • 对于 MFA,Citrix Gateway 服务将存储用于播种 TOTP 算法的每设备密钥。
  • 要启用 Kerberos 单点登录功能,客户可以为信任的服务帐户配置 Gateway Connector 凭据(用户名 + 密码),以执行 Kerberos 约束委派。

部署注意事项

Citrix 建议用户查阅已发布的最佳做法文档, 以部署 Citrix Gateway 服务。有关 SaaS 应用程序和企业 web 应用程序部署以及网络连接器的其他注意事项如下所述。

选择正确的连接器:必须选择正确的连接器,具体取决于用例:

用例 手指 外形规格
用户身份验证:Active Directory Citrix Cloud Connector Windows 软件
HDX 连接 Citrix Cloud Connector Windows 软件
SaaS 应用程序访问 Citrix Cloud Connector 不适用
企业 web 应用程序访问 Citrix Cloud Connector、Citrix Gateway Connector 不适用

Citrix Cloud Connector 网络访问要求

有关 Citrix Cloud Connector 网络访问要求的信息,请参阅 https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Citrix Gateway Connector 网络访问要求

有关 Citrix Cloud Connector 网络访问要求的信息,请参阅 https://docs.citrix.com/zh-cn/citrix-gateway-service/gateway-connector.html

Citrix Gateway 服务 HDX 连接性

使用 Citrix Gateway 服务后, 无需在客户数据中心中部署 Citrix Gateway。要使用 Citrix Gateway 服务,必须使用从 Citrix Cloud 交付的 StoreFront 服务。

客户最佳做法

建议客户在其网络中使用 TLS, 而不启用通过 HTTP 进行的应用程序的 SSO。