SeriousTek

Citrix Secure Gateway est-il vraiment en fin de vie?

Pas really…it est lié au cycle de vie du dernier produit avec lequel il a été publié, qui serait XenApp 6.5 – qui est d’ailleurs le dernier produit avec lequel il fonctionne. Secure Gateway ne fonctionne pas non plus avec aucune version de StoreFront, vous êtes donc coincé avec l’interface Web. Que fait secure Gateway ? Il permet une connexion SSL aux ressources XenApp et XenDesktop d’être mandatée depuis le monde extérieur. C’est tout – plus à ce sujet plus tard.

J’ai reçu plusieurs appels ces derniers temps pour parler de mises à niveau et passer de Citrix Secure Gateway – mise à niveau vers NetScaler Gateway ou même NetScaler complet. Pourquoi cela continue-t-il? Je pensais qu’on en avait fini avec ça. Je comprends – c’était un produit compagnon gratuit qui fonctionnait assez bien pour ce qu’il était et les PME l’utilisaient assez largement. Alors maintenant que ces mêmes clients cherchent à passer du WI à StoreFront ou de XenApp 6.5 au 7.ligne x – cela devient un problème. Parlons de la raison pour laquelle la CSG a eu une adoption aussi large.

C’est gratuit.

Ma réponse à cela était que vous obtenez ce que vous payez. Oui, cela a fonctionné, mais après les fuites de Snowden en 2013, la cryptographie et la sécurité sont devenues plus importantes que jamais. Si vous voulez discuter de la sécurité, le fait que CSG soit une boîte Windows dans votre DMZ perdra à peu près tout argument.

C’est donc vraiment le seul point que je peux trouver qui soit valide – si l’environnement est trop petit pour justifier la nécessité d’une solution payante, alors que diriez-vous d’une licence VPX express standard complète de NetScaler. Oui, c’est vrai – non seulement vous bénéficiez du remplacement des fonctionnalités CSG, mais vous bénéficiez également de toutes les fonctionnalités standard de NetScaler – bien que limitées par un débit de 5 Mbps. Mais encore une fois, c’est gratuit. Et il est BEAUCOUP plus sûr que le CSG ne l’a jamais été. Les informations NetScaler VPX express sont disponibles ici.

Qu’est–ce qui ne va pas avec Secure Gateway

Ou, pourquoi vous devriez attendre avec impatience la mise à niveau – oui, la mise à niveau – de votre déploiement CSG. OK, donc une grande partie de cela est exactement ce que Dan a dit dans son post ici, mais je vais le réécrirebecause car encore une fois, c’est apparemment un sujet brûlant (5 ans plus tard).

Il nécessite une boîte Windows dans votre DMZ

Comme je l’ai mentionné plus tôt, CSG fonctionne sur un système Windows qui doit probablement aller dans votre DMZ. Toute personne soucieuse de la sécurité vous dira que c’est une mauvaise idée. Le NetScaler est un dispositif de sécurité renforcé qui répond aux exigences pour être utilisé même dans les réseaux fédéraux les plus sécurisés.

Haute disponibilité

Je vois généralement Windows NLB en place pour équilibrer la charge des serveurs CSG – donc maintenant, non seulement vous avez plusieurs systèmes Windows dans votre DMZ, mais Windows NLB est sévèrement limité en fonctionnalités. NetScaler intègre une haute disponibilité avancée et est également capable d’équilibrer intelligemment la charge d’autres services – StoreFront, serveurs XML, par exemple.

Contrôles d’accès

La passerelle NetScaler permet aux clients d’autoriser intelligemment l’accès en fonction de nombreux facteurs tels qu’un logiciel \V, l’appartenance à un domaine, etc. (voir http://citrix.opswat.com/ pour une liste complète). Pour expliquer cela, considérons l’exemple de graphique suivant montrant comment CSG et NetScaler Gateway fonctionneraient avec différentes demandes d’accès distant:

Citrix Secure Gateway Passerelle NetScaler
Ordinateur portable de l’entreprise Accès complet accordé Accès complet accordé
Ordinateur portable d’entreprise sans \V Accès complet accordé Accès personnalisé à XenApp \XenDesktop: presse-papiers et impression autorisés, mais pas de mappages de disques locaux
Ordinateur portable personnel sans \V Accès complet accordé Accès minimal à XenApp\XenDesktop; Pas de presse-papiers, de mappages de disques locaux ou d’impression autorisés
Ordinateur portable de l’entreprise demandant un VPN N/A Accès VPN complet accordé
Ordinateur portable de l’entreprise sans A\V demandant un VPN N/A Accès VPN complet refusé; VPN sans client et accès minimal XenApp\XenDesktop accordé

Comme vous pouvez le voir, SmartAccess et SmartControl offrent des contrôles plus granulaires sur les connexions d’accès à distance – aucune de ces technologies n’existe dans CSG.

Authentification

Toute authentification se produit à l’interface Web lors de l’utilisation de CSG – avec une passerelle NetScaler, cela peut être fait à la passerelle (dans la zone démilitarisée) avant que l’utilisateur final n’accède à l’interface Web ou au serveur StoreFront. Et oui, NetScaler Gateway prend en charge l’authentification à deux facteurs (et de nombreux autres types d’authentification – carte à puce, SAML…)

Où allez–vous d’ici

Je suis désolé de dire que vous devrez peut-être acheter quelque chose – mais sachez que c’est pour le mieuxmore plus de fonctionnalités, une meilleure sécurité et plus d’évolutivité. Voici vos options:

  1. NetScaler Standard VPX Express
    1. $0.00
    2. Ensemble complet de fonctionnalités standard NetScaler, y compris NetScaler Gateway
    3. Limité à un débit de 5 Mbps

Modifier Fév. 15 2019 : Citrix ADC Express edition est désormais l’édition “Freemium” ; tout ADC qui ne porte pas de licence valide passera à cette édition Freemium qui inclut tout ce qui précède à l’exception des fonctionnalités de passerelle ; cette édition n’est donc pas une option pour ceux qui ont besoin de fonctionnalités de passerelle. Ce changement s’est produit avec la version 12.0

  1. NetScaler Gateway Enterprise VPX sur site
    1. Very Très raisonnable (Visitez le magasin Citrix – ils sont bon marché (sérieusement))
    2. Fonctionnalité NetScaler Gateway uniquement
  2. Full NetScaler Standard\Enterprise\Platinum
    1. WideLarge gamme de coûts basée sur de nombreuses plates-formes différentes
    2. Full NetScaler featureset

La meilleure partie? Si vous commencez par le VPX express, vous devez effectuer une mise à niveau – ce n’est qu’un fichier de licence. Le code et la configuration sous-jacents restent les mêmes. Besoin de passer à une appliance physique NetScaler MPX complète ? Pas de problème.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.