技术安全概述

Citrix Cloud 管理 Citrix Gateway 服务的运行,从而无需客户管理 NetScaler Gateway 设备。Citrix Gateway 服务通过 Citrix Workspace 应用程序进行预配。

Citrix Gateway 服务提供以下功能:

HDX 连接: 托管应用程序和桌面的虚拟投递代理 (VDA) 仍由客户在其选择的数据中心(无论是云端还是本地)进行控制。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。

DTLS 1.2 协议支持: Citrix Gateway 服务支持通过 EDT(基于 UDP 的传输协议)进行 HDX 会话的 Datagram Transport Layer Security (DTLS) 1.2。支持以下密码套件:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS 协议支持: Citrix Gateway 服务支持以下 TLS 密码套件:

  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-RSA-AES-256-SHA384
  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1.2-AES256-GCM-SHA384
  • TLS1-AES-256-CBC-SHA

Endpoint Management 集成: 当与 Citrix Endpoint Management 和 Citrix Workspace 集成时,Citrix Gateway 服务可为您的内部网络和资源提供安全的远程设备访问。将 Citrix Gateway 服务与 Endpoint Management 集成快速简便。Citrix Gateway 服务完全支持 Secure Mail 和 Secure Web 等应用程序的 Citrix SSO。

数据流

Citrix Gateway 服务是一个全球分布式多租户服务。最终用户使用最近的接入点 (PoP),无论 Citrix Cloud 控制平面地理位置选择或所访问应用程序的位置如何,该接入点都提供他们所需的特定功能。授权元数据等配置会复制到所有 PoP。

Citrix 用于诊断、监控、业务和容量规划的日志是安全的,并存储在一个中央位置。

客户配置存储在一个中央位置,并全球分发到所有 PoP。

云与客户场所之间的数据流通过端口 443 使用安全的 TLS 连接。

用于用户身份验证和单点登录的加密密钥存储在硬件安全模块中。

数据隔离

Citrix Gateway 服务存储以下数据:

  • 用于客户应用程序代理和监控所需的配置数据 – 数据在持久化时由客户限定范围。
  • 每个用户设备的 TOTP 种子 – TOTP 种子按客户、用户和设备限定范围。

审计和变更控制

目前,Citrix Gateway 服务不向客户提供审计和变更控制日志。日志可供 Citrix 使用,用于审计最终用户和管理员的活动。

凭据处理

该服务处理两种类型的凭据:

  • 用户凭据:最终用户凭据(密码和身份验证令牌)可能会提供给 Citrix Gateway 服务以执行以下操作:
    • Citrix Secure Private Access - 该服务使用用户的身份来确定对 SaaS 和企业 Web 应用程序以及其他资源的访问权限。
    • 单点登录 - 该服务可能拥有用户的密码访问权限,以使用 HTTP Basic、NTLM 或基于表单的身份验证完成对内部 Web 应用程序的 SSO 功能。除非您专门配置 HTTP Basic 身份验证,否则用于密码的加密协议是 TLS。
  • 管理员凭据:管理员针对 Citrix Cloud 进行身份验证。这会生成一个一次性签名的 JSON Web Token (JWT),该令牌授予管理员访问 Citrix Cloud 中管理控制台的权限。

注意事项

  • 所有通过公共网络的流量都由 Citrix 管理的证书进行 TLS 加密。
  • 用于 SaaS 应用程序 SSO(SAML 签名密钥)的密钥完全由 Citrix 管理。
  • 对于 MFA,Citrix Gateway 服务存储用于为 TOTP 算法播种的每设备密钥。
  • 要启用 Kerberos 单点登录功能,客户可以为受信任执行 Kerberos 约束委派的服务帐户配置 Connector Appliance 凭据(用户名 + 密码)。

部署注意事项

Citrix 建议用户查阅已发布的部署 Citrix Gateway 服务的最佳实践文档。有关 SaaS 应用程序和企业 Web 应用程序部署以及网络连接器的更多注意事项如下。

选择正确的连接器: 必须根据用例选择正确的连接器:

用例 连接器 外形规格
用户身份验证:Active Directory Citrix Cloud Connector Windows 软件
HDX 连接 Citrix Cloud Connector Windows 软件
SaaS 应用程序访问 Citrix Cloud Connector 不适用
企业 Web 应用程序访问 Citrix Cloud Connector, Citrix Connector Appliance 不适用
Citrix Endpoint Management 交付的企业应用程序和文件 Citrix Cloud Connector, Citrix Connector Appliance 不适用

Citrix Cloud Connector 网络访问要求

有关 Citrix Cloud Connector 网络访问要求的信息,请参阅 https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Citrix Gateway 服务 HDX 连接

使用 Citrix Gateway 服务可避免在客户数据中心内部署 NetScaler Gateway。要使用 Citrix Gateway 服务,前提是使用从 Citrix Cloud 交付的 Citrix Workspace。

客户最佳实践

建议客户在其网络中使用 TLS,并且不要为通过 HTTP 的应用程序启用 SSO。

已弃用的密码套件

以下密码套件已弃用以增强安全性:

  • TLS1.2-AES128-GCM-SHA256
  • TLS1.2-AES-128-SHA256
  • TLS1.2-AES256-GCM-SHA384
  • TLS1.2-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES-128-SHA256
  • TLS1.2-DHE-RSA-AES256-GCM-SHA384
  • TLS1.2-DHE-RSA-AES128-GCM-SHA256
  • SSL3-DES-CBC3-SHA
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1-AES-256-CBC-SHA
  • TLS1-AES-128-CBC-SHA
  • TLS1-ECDHE-ECDSA-AES256-SHA
  • TLS1-ECDHE-ECDSA-AES128-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA
  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-DSS-AES-256-CBC-SHA
  • TLS1-DHE-DSS-AES-128-CBC-SHA
  • TLS1-ECDHE-RSA-DES-CBC3-SHA
  • TLS1.2-ECDHE-RSA-AES-128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES128-SHA256
  • TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
  • TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
技术安全概述