技术安全性概述

本文档适用于 Citrix Cloud 中托管 Citrix Gateway 服务的所有功能, 其中包括 HDX 传输、SaaS 应用程序和企业 Web 应用程序。

Citrix Cloud 负责管理 Citrix Gateway 服务的操作,从而使客户不必管理 Citrix Gateway 设备。Citrix Gateway 服务通过 Citrix Workspace 应用程序进行预配。

Citrix Gateway 服务提供以下功能:

  • HDX 连接性(面向 XenApp 用户) – 一项全局可用的服务,提供从任何位置的用户到虚拟应用程序和桌面的安全连接。
  • SaaS 应用程序的安全访问–统一的用户体验, 使已配置的 SaaS 应用程序能够向最终用户提供。
  • 对企业 web 应用程序的安全访问–向最终用户引入已配置的企业 web 应用程序的统一用户体验。
  • 安全访问数字工作空间中的所有应用程序和文件 — 这是一种通过 Citrix Endpoint Management 的单个平台管理所有设备的现代方法。支持的平台包括台式机、便携式计算机、智能手机、平板电脑和 IoT。

HDX 连接: 托管应用程序和桌面的 Virtual Delivery Agent (VDA) 在客户选择的数据中心(云或本地)下保持在客户的控制之下。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。

SaaS 应用程序: 软件即服务 (SaaS) 是一种软件分发模式,可将软件作为基于 Web 的服务进行远程交付。通常使用的 SaaS 应用程序包括 Salesforce、Workday、Concur、GoToMeeting 等等。

企业 Web 应用程序: 通过使用 Citrix Gateway 服务的企业 Web 应用程序交付,可以使企业特定的应用程序以基于 Web 的服务方式进行远程交付。通常使用的企业 web 应用程序包括 SharePoint、Confluence、OneBug, 等等。需要使用 Citrix Gateway Connector 才能访问企业 web 应用程序。

SaaS 应用程序和企业 web 应用程序通过使用 Citrix Gateway 服务的 Citrix Workspace 进行预配。Citrix Gateway 服务与 Citrix Workspace 结合使用,可为配置的企业 Web 应用程序、SaaS 应用程序、配置的虚拟应用程序或任何其他 Workspace 资源提供统一的用户体验。除了安全访问外,Citrix Gateway 服务还可以保护用户免受嵌入在用户生成的内容中的不受信任

Endpoint Management 集成: 与 Citrix Endpoint Management 和 Citrix Workspace 集成后,Citrix Gateway 服务可提供对内部网络和资源的安全远程设备访问。使用 Endpoint Management 加入 Citrix Gateway 服务既快速又简单。Citrix Gateway 服务包括对 Secure Mail 和 Secure Web 等应用程序的 Citrix SSO 的完全支持。

数据流

Citrix Gateway 服务是一项分布在全球的多租户服务。无论 Citrix Cloud Control 平面地理选择或访问的应用程序的位置如何,最终用户都可以使用他们所需的特定功能可用的最近的存在点 (PoP)。配置(例如授权元数据)将复制到所有 PoP。

Citrix 用于诊断、监控、业务和容量规划的日志安全并存储在一个中心位置。

客户配置存储在一个中央位置, 并全局性地分布到所有 PoP 中。

云与客户本地之间的数据流动使用安全的 TLS 连接通过端口 443 进行。

用于用户身份验证和单点登录的加密密钥存储在硬件安全模块中。

数据隔离

Citrix Gateway 服务存储以下数据:

  • 代理和监视客户应用程序所需的配置数据–当保持时, 数据将按客户来确定范围。
  • TOTP 种子适用于每个用户设备– TOTP 种子的作用域为客户、用户和设备。

审核和更改控制

当前 Citrix Gateway 服务不会使客户可以使用审核和更改控制日志。日志可供 Citrix 使用, 可用于审核最终用户和管理员的活动。

凭据处理

此服务处理两种类型的凭据:

  • 用户凭据:Citrix Gateway 服务可能会向最终用户凭据(密码和身份验证令牌)提供以下操作:
    • Secure Workspace Access-该服务使用用户的身份来确定对 SaaS 和企业 Web 应用程序和其他资源的访问权限。
    • 单点登录-该服务可能有权访问用户密码,以使用 HTTP Basic、NTLM 或基于表单的身份验证完成对内部 Web 应用程序的 SSO 功能。用于密码的加密协议为 TLS, 除非您专门配置了 HTTP 基本身份验证。
  • 管理员凭据:管理员针对 Citrix Cloud 进行身份验证。这将生成一个一次性签名的 JSON Web 令牌 (JWT),管理员通过该令牌可以访问 Citrix Cloud 中的管理控制台。

注意事项

  • 公用网络中的所有流量都通过 TLS 加密, 并使用 Citrix 管理的证书。
  • 用于 SaaS 应用程序 SSO(SAML 签名密钥)的密钥由 Citrix 完全管理。
  • 对于 MFA,Citrix Gateway 服务将存储用于播种 TOTP 算法的每设备密钥。
  • 要启用 Kerberos 单点登录功能,客户可以为受信执行 Kerberos 约束委派的服务帐户配置凭据(用户名 + 密码)的网关连接器。

部署注意事项

Citrix 建议用户查阅已发布的最佳做法文档, 以部署 Citrix Gateway 服务。有关 SaaS 应用程序和企业 Web 应用程序部署以及网络连接器的更多注意事项如下。

选择正确的连接器:必须选择正确的连接器,具体取决于用例:

用例 连接器 外形规格
用户身份验证:Active Directory Citrix Cloud Connector Windows 软件
HDX 连接 Citrix Cloud Connector Windows 软件
SaaS 应用程序访问 Citrix Cloud Connector 不适用
企业 web 应用程序访问 Citrix Cloud Connector、Citrix Gateway Connector 不适用
Citrix Endpoint Management 提供的企业应用程序和文件 Citrix Cloud Connector、Citrix Gateway Connector 不适用

Citrix Cloud Connector 网络访问要求

有关 Citrix Cloud Connector 网络访问要求的信息,请参阅 https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Citrix Gateway Connector 网络访问要求

有关 Citrix Cloud Connector 网络访问要求的信息,请参阅 https://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.html

Citrix Gateway 服务 HDX 连接性

使用 Citrix Gateway 服务后, 无需在客户数据中心中部署 Citrix Gateway。要使用 Citrix Gateway 服务,必须使用从 Citrix Cloud 交付的 StoreFront 服务。

客户最佳做法

建议客户在其网络中使用 TLS, 而不启用通过 HTTP 进行的应用程序的 SSO。

技术安全性概述