技术安全概述
本文档适用于所有与在Citrix Cloud中托管的Citrix Gateway服务相关的功能,包括HDX传输、SaaS应用程序和企业Web应用程序。
Citrix Cloud管理Citrix Gateway服务的运营,取代了客户管理Citrix Gateway设备的需求。Citrix Gateway服务是通过Citrix Workspace app提供的。
Citrix Gateway服务提供以下功能:
- 适用于XenApp用户的HDX连接-一种全球可用的服务,提供从任何位置的用户到虚拟应用程序和桌面的安全连接。
- 安全访问SaaS应用程序-统一的用户体验,为终端用户提供配置好的SaaS应用。
- 安全访问企业web应用程序-一个统一的用户体验,为终端用户带来配置好的企业web应用程序。
- 在数字工作区中安全访问所有应用程序和文件-一种通过单一平台管理所有设备的现代方法,Citrix Endpoint Management。支持的平台包括台式机、笔记本电脑、智能手机、平板电脑和物联网。
HDX连接:托管应用和桌面的虚拟交付代理(VDAs)仍然在客户选择的数据中心(云或本地)的控制之下。这些组件使用名为Citrix cloud Connector的代理连接到云服务。
SaaS应用程序:软件即服务(SaaS)是一种软件分发模型,用于将软件作为基于web的服务远程交付。常用的SaaS应用程序包括Salesforce、Workday、Concur、GoToMeeting等。
企业web应用程序:使用Citrix Gateway服务的企业web应用程序交付使企业特定的应用程序能够作为基于web的服务远程交付。常用的企业网络应用包括SharePoint、Confluence、OneBug等。您需要Citrix网关连接器来访问企业web应用程序。
SaaS应用程序和企业web应用程序使用Citrix网关服务通过Citrix Workspace进行配置。Citrix网关服务与Citrix Workspace相结合,为配置的企业web应用程序、SaaS应用程序、配置的虚拟应用程序或任何其他工作区资源提供统一的用户体验。除了安全访问,Citrix网关服务还可以保护用户不受嵌入在用户生成内容中的不可信链接的影响。
端点管理集成:当与Citrix端点管理和Citrix工作区集成时,Citrix网关服务提供安全的远程设备访问您的内部网络和资源。使用端点管理的Citrix网关服务是快速和简单的。Citrix网关服务包括完全支持Citrix SSO应用程序,如安全邮件和安全Web。
数据流
Citrix网关服务是一种全球分布的多租户服务。最终用户利用最近的存在点(PoP),在那里他们需要的特定功能可用,而不管Citrix云控制平面地理位置选择或正在访问的应用程序的位置如何。将授权元数据等配置复制到所有POP。
Citrix用于诊断、监控、业务和容量规划的日志是安全的,并存储在一个中心位置。
客户配置存储在一个中心位置,并分发到全球所有PoPs。
云和客户场所之间的数据流动使用端口443上的安全TLS连接。
用于用户认证和单点登录的密钥存储在硬件安全模块中。
数据隔离
Citrix Gateway服务中存储的数据如下:
- 代理和监视客户应用程序所需的配置数据—数据在持久化时由客户确定范围。
- 每个用户设备的TOTP种子—TOTP种子的范围由客户、用户和设备确定。
审核及变更控制
目前,Citrix Gateway服务不向客户提供审计和更改控制日志。日志提供给Citrix,可用于审计终端用户和管理员的活动。
凭证处理
该服务处理两种类型的凭据:
- 用户凭据:最终用户凭据(密码和身份验证令牌)可供Citrix网关服务使用,以执行以下操作:
- 安全工作区访问-该服务使用用户的身份来确定对SaaS和企业web应用程序以及其他资源的访问。
- 单点登录-该服务可以使用HTTP Basic、NTLM或基于表单的身份验证访问用户密码,以完成内部web应用程序的SSO功能。密码使用的加密协议是TLS,除非您专门配置HTTP基本身份验证。
- 管理员凭据:管理员根据Citrix云进行身份验证。这将生成一个一次性签名的JSON Web令牌(JWT),管理员可以访问Citrix Cloud中的管理控制台。
点需要注意
- 公共网络上的所有通信都使用由Citrix管理的证书进行TLS加密。
- 用于SaaS应用程序单点登录的密钥(SAML签名密钥)完全由Citrix管理。
- 对于MFA,Citrix网关服务存储用于为TOTP算法播种的每个设备密钥。
- 要启用Kerberos单点登录功能,客户可以为执行Kerberos约束委托的受信任的服务帐户配置网关连接器凭据(用户名+密码)。
部署注意事项
Citrix建议用户参考已发布的最佳实践文档,以部署Citrix网关服务。有关SaaS应用程序和企业web应用程序部署以及network connector的更多注意事项如下。
选择正确的连接器:必须选择正确的连接器,这取决于用例:
| 用例 | 连接器 | 形成的因素 |
|---|---|---|
| 用户身份验证:Active Directory | Citrix云连接器 | Windows软件 |
| HDX连接 | Citrix云连接器 | Windows软件 |
| SaaS应用程序访问 | Citrix云连接器 | 不适用 |
| 企业web应用程序访问 | Citrix Cloud Connector, Citrix Gateway Connector | 不适用 |
| Citrix Endpoint Management提供的企业应用程序和文件 | Citrix Cloud Connector, Citrix Gateway Connector | 不适用 |
Citrix云连接器网络访问要求
有关Citrix Cloud Connector网络接入要求的信息,请参见https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html
Citrix网关连接器网络访问要求
有关Citrix Cloud Connector网络接入要求的信息,请参见https://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.html
Citrix网关服务HDX连通性
使用Citrix Gateway服务可以避免在客户数据中心内部署Citrix Gateway。要使用Citrix Gateway服务,必须使用从Citrix Cloud提供的StoreFront服务。
客户的最佳实践
建议客户在其网络中使用TLS,而不要为HTTP上的应用程序启用SSO。