SeriousTek

¿Citrix Secure Gateway está realmente al final de su vida útil?

No really…it está vinculado al ciclo de vida del producto más reciente con el que se lanzó, que sería XenApp 6.5, que es, por cierto, el último producto con el que funciona. Secure Gateway tampoco funciona con ninguna versión de StoreFront, por lo que está atascado con la interfaz web. ¿Qué hace Secure gateway? Permite que una conexión SSL a los recursos de XenApp y XenDesktop sea proxy desde el mundo exterior. Eso es todo, más sobre eso más adelante.

He estado en varias llamadas últimamente hablando de actualizaciones y pasando de Citrix Secure Gateway a NetScaler Gateway o incluso NetScaler completo. ¿Por qué sigue saliendo esto? Pensé que habíamos terminado con esto. Lo entiendo, era un producto complementario gratuito que funcionaba bastante bien para lo que era y las pymes lo usaban bastante ampliamente. Ahora que esos mismos clientes quieren pasar de WI a StoreFront o de XenApp 6.5 a 7.línea x-esto se está convirtiendo en un problema. Hablemos de por qué CSG tuvo una adopción tan amplia.

Es gratis.

Mi respuesta a esto fue que obtienes lo que pagas. Sí, funcionó, pero las filtraciones de Snowden posteriores a 2013, la criptografía y la seguridad se han vuelto más importantes que nunca. Si desea discutir sobre seguridad, el hecho de que CSG sea un cuadro de Windows en su zona desmilitarizada prácticamente perderá cualquier argumento.

Así que ese es realmente el único punto que se me ocurre que es válido: si el entorno es demasiado pequeño para garantizar la necesidad de una solución de pago, entonces qué tal una licencia VPX express estándar de NetScaler completa. Sí, así es: no solo obtiene el reemplazo de la funcionalidad CSG, sino que también obtiene todas las características estándar de NetScaler, aunque limitadas por 5 Mbps de rendimiento. Pero de nuevo, es gratis. Y es mucho más seguro de lo que fue el CSG. La información de NetScaler VPX express está disponible aquí.

¿Qué tiene de malo Secure Gateway

O por qué debería esperar actualizar, sí, actualizar – su implementación de CSG? Bien, mucho de esto es exactamente lo que dijo Dan en su post aquí, pero voy a reescribirlo because porque de nuevo, aparentemente es un tema candente (5 años después).

Requiere un cuadro de Windows en su DMZ

Como mencioné anteriormente, CSG se ejecuta en un sistema Windows que probablemente necesite ir en su DMZ. Cualquier persona consciente de la seguridad le dirá que esto es una mala idea. NetScaler es un dispositivo de seguridad reforzado que cumple con los requisitos para ser utilizado incluso en las redes federales más seguras.

Alta disponibilidad

Comúnmente veo Windows NLB en su lugar para equilibrar la carga de los servidores CSG, por lo que ahora no solo tiene varios sistemas Windows en su zona desmilitarizada, sino que Windows NLB tiene una funcionalidad muy limitada. NetScaler tiene incorporada una alta disponibilidad avanzada y también puede equilibrar de forma inteligente la carga de otros servicios, como StoreFront, servidores XML, por ejemplo.

Controles de acceso

NetScaler gateway permite a los clientes permitir el acceso de forma inteligente en función de numerosos factores, como el software\V, la pertenencia a un dominio, etc. (consulte http://citrix.opswat.com/ para obtener una lista completa). Para explicarlo, consideremos el siguiente gráfico de ejemplo que muestra cómo funcionarían CSG y NetScaler Gateway con diferentes solicitudes de acceso remoto:

Citrix Secure Gateway NetScaler Gateway
Ordenador portátil de la empresa Acceso total concedido Acceso total concedido
Ordenador portátil de la empresa sin\V Acceso completo concedido Acceso personalizado a XenApp\XenDesktop: portapapeles e impresión permitidos, pero sin asignaciones de unidades locales
Portátil personal sin\V Acceso total concedido Acceso mínimo a XenApp\XenDesktop; No se permite portapapeles, asignaciones de unidades locales ni impresión
Laptop de la empresa que solicita VPN N / A Acceso VPN completo concedido
Laptop de la empresa sin solicitud de\V VPN N/A Acceso VPN completo denegado; VPN sin cliente y XenApp\XenDesktop acceso mínimo concedido

Como puede ver, SmartAccess y SmartControl ofrecen controles más detallados sobre las conexiones de acceso remoto; ninguna de estas tecnologías existe en CSG.

Autenticación

Toda la autenticación se realiza en la interfaz web cuando se utiliza CSG; con un NetScaler Gateway, esto se puede hacer en la puerta de enlace (en la zona desmilitarizada) antes de que el usuario final llegue a la interfaz web o al servidor StoreFront. Y sí, NetScaler Gateway admite la autenticación de dos factores (y muchos otros tipos de autenticación: tarjeta inteligente, SAML

A dónde va desde aquí

Lamento decir que tal vez tenga que comprar algo, pero tenga en cuenta que es para mejor more más funciones, mejor seguridad y más escalabilidad. Aquí están sus opciones:

  1. NetScaler Standard VPX Express
    1. $0.00
    2. Conjunto completo de características estándar de NetScaler, incluido NetScaler Gateway
    3. Limitado a un rendimiento de 5 Mbps

Editar Feb. 15 de 2019: Citrix ADC Express edition es ahora la edición ‘Freemium’; cualquier ADC que no tenga una licencia válida pasará a esta edición Freemium, que incluye todo lo anterior con la excepción de la funcionalidad de puerta de enlace; por lo que esta edición no es una opción para aquellos que necesitan capacidades de puerta de enlace. Este cambio se produjo con la compilación 12.0

  1. NetScaler Gateway Empresa local VPX
    1. $Muy Razonable (Visite el Citrix Tienda son baratos (en serio))
    2. NetScaler Gateway funcionalidad sólo
  2. Completa NetScaler Estándar\Empresa\Platino
    1. $Amplia gama de costos basado en diferentes plataformas
    2. Full NetScaler featureset

La mejor parte? Si termina comenzando con el VPX express, entonces necesita actualizar, es solo un archivo de licencia. El código subyacente y la configuración permanecen iguales. ¿Necesita actualizar a un dispositivo físico NetScaler MPX completo? No hay problema.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.