技术安全性概述
Citrix Cloud 负责管理针对 Citrix Gateway 服务的操作,客户无需再管理 Citrix Gateway 设备。Citrix Gateway 服务是通过 Citrix Workspace 应用程序预配的。
Citrix Gateway 服务提供以下功能:
HDX 连接: 托管应用程序和桌面的 Virtual Delivery Agent (VDA) 在客户选择的数据中心(云或本地)中仍处于客户的控制之下。这些组件使用名为 Citrix Cloud Connector 的代理连接到云服务。
DTLS 1.2 协议支持: Citrix Gateway 服务支持通过 EDT(基于 UDP 的传输协议)的 HDX 会话的数据报传输层安全性 (DTLS) 1.2。支持以下密码套件:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Endpoint Management 集成: 与 Citrix Endpoint Management 和 Citrix Workspace 集成后,Citrix Gateway 服务可提供对内部网络和资源的安全远程设备访问权限。通过 Endpoint Management 登录 Citrix Gateway 服务既快速又简单。Citrix Gateway 服务包括对 Secure Mail 和 Secure Web 等应用程序的 Citrix SSO 的全面支持。
数据流
Citrix Gateway 服务是一种全球分布式多租户服务。无论 Citrix Cloud 控制平面的地理选择或正在访问的应用程序的位置如何,最终用户都可以使用自己所需的特定功能的最近接入点 (Point-of-Presence, PoP)。诸如授权元数据之类的配置将复制到所有 POP。
Citrix 用于诊断、监视、业务和容量规划的日志受到保护,并存储在一个中心位置。
客户配置存储在一个中心位置,并在全球范围内分发给所有 POP。
云与客户本地之间的数据流动使用安全的 TLS 连接通过端口 443 进行。
用于用户身份验证和单点登录的加密密钥存储在硬件安全模块中。
数据隔离
Citrix Gateway 服务存储以下数据:
- 代理和监视客户的应用程序所需的配置数据 - 数据在保留时由客户划定范围。
- 每个用户设备的 TOTP 种子 - TOTP 种子按客户、用户和设备划定范围。
审核和更改控制
目前,Citrix Gateway 服务不向客户提供审核和更改控制日志。Citrix 可以使用日志,这些日志可用于审核最终用户和管理员的活动。
凭据处理
此服务处理两种类型的凭据:
- 用户凭据:最终用户凭据(密码和身份验证令牌)可供 Citrix Gateway 服务使用,以执行以下操作:
- Secure Private Access - 此服务使用用户的身份来确定对 SaaS 和企业 Web 应用程序以及其他资源的访问权限。
- 单点登录 - 此服务可能有权访问用户的密码,以便使用 HTTP Basic、NTLM 或基于表单的身份验证完成对内部 Web 应用程序的 SSO 功能。除非您专门配置了 HTTP Basic 身份验证,否则用于密码的加密协议为 TLS。
- 管理员凭据:管理员针对 Citrix Cloud 进行身份验证。这将生成一次性签名的 JSON Web 令牌 (JWT),管理员通过该令牌访问 Citrix Cloud 中的管理控制台。
注意事项
- 所有通过公共网络传输的流量均由 TLS 使用 Citrix 管理的证书进行加密。
- 用于 SaaS 应用程序 SSO 的密钥(SAML 签名密钥)完全由 Citrix 管理。
- 对于 MFA,Citrix Gateway 服务存储用于为 TOTP 算法播种的每设备密钥。
- 要启用 Kerberos 单点登录功能,客户可以为 ConnectConnector Appliance 配置可信服务帐户的凭据(用户名 + 密码),以执行 Kerberos 约束委派。
部署注意事项
Citrix 建议用户查阅已发布的部署 Citrix Gateway 服务的最佳实践文档。有关 SaaS 应用程序和企业 Web 应用程序部署以及网络连接器的更多注意事项如下。
选择正确的连接器:必须选择正确的连接器,具体取决于用例:
| 用例 | 连接器 | 外形规格 |
|---|---|---|
| 用户身份验证:Active Directory | Citrix Cloud Connector | Windows 软件 |
| HDX 连接 | Citrix Cloud Connector | Windows 软件 |
| SaaS 应用程序访问权限 | Citrix Cloud Connector | 不适用 |
| 企业 Web 应用程序访问权限 | Citrix Cloud Connector、Citrix Connector Appliance | 不适用 |
| Citrix Endpoint Management 提供的企业应用程序和文件 | Citrix Cloud Connector、Citrix Connector Appliance | 不适用 |
Citrix Cloud Connector 网络访问要求
有关 Citrix Cloud Connector 网络访问要求的信息,请参阅 https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html
Citrix Gateway 服务 HDX 连接
如果使用 Citrix Gateway 服务,则不需要再在客户数据中心中部署 Citrix Gateway。要使用 Citrix Gateway 服务,必须使用从 Citrix Cloud 提供的 StoreFront 服务。
客户最佳做法
建议客户在其网络中使用 TLS,不要通过 HTTP 为应用程序启用 SSO。