セキュリティで保護されたCitrix Cloud Japanの展開ガイド
セキュリティで保護されたCitrix Cloud Japanの展開ガイドには、Citrix Cloud Japanを使用するときのセキュリティのベストプラクティスの概要と、Citrixが収集し管理する情報が記載されています。
その他のサービスのセキュリティの技術概要
Citrix Cloud Japanサービス内のデータセキュリティについて詳しくは、次の記事を参照してください:
- Citrix Gatewayサービスのセキュリティの技術概要
- Citrix DaaSのセキュリティの技術概要(Virtual Apps and Desktopsサービスの新名称)
- Workspace Environment Managementサービスの顧客データ管理
管理者向けガイダンス
- 強力なパスワードを使用し、定期的にパスワードを変更してください。
- 顧客アカウント内のすべての管理者は、他の管理者を追加および削除できます。信頼できる管理者だけがCitrix Cloud Japanにアクセスできるようにしてください。
- 顧客の管理者には、デフォルトですべてのサービスへのフルアクセス権があります。サービスによっては、管理者のアクセスを制限する機能があります。詳しくは、サービスごとのドキュメントを参照してください。
- Citrix Cloud JapanとAzure Active Directoryとの統合により、管理者の2要素認証が実現します。
パスワードコンプライアンス
Citrix Cloud Japanは、次のいずれかの条件にあてはまる場合、管理者にパスワードを変更するよう要求します:
- 現在のパスワードが、サインインに使用されずに60日経った。
- 現在のパスワードが、侵害されたパスワードの既知のデータベースにリストされている。
新しいパスワードは、次のすべての基準を満たす必要があります:
- 文字数は最低8文字(最大128文字)
- 大文字と小文字をそれぞれ1つ以上含む
- 数字を1つ以上含む
- 特殊文字を1つ以上含む:! @ # $ % ^ * ? + = -
パスワードの変更ルール:
- 現在のパスワードを新しいパスワードとして使用することはできません。
- 直近で使用した5個のパスワードは再利用できません。
- 新しいパスワードは、アカウントのユーザー名に似たものにすることはできません。
- 新しいパスワードが、侵害されたパスワードの既知のデータベースにリストされているものであってはいけません。Citrix Cloudは、新しいパスワードがこの条件に違反しているかどうかをhttps://haveibeenpwned.com/で提供されているリストを使用して判断します。
暗号化とキー管理
Citrix Cloud Japanのコントロールプレーンには機密の顧客情報は保存されません。代わりに、Citrix Cloud Japanは管理者のパスワードなどの情報をオンデマンドで取得します(管理者に明示的に要求します)。重要なデータや暗号化されたデータは保存されていないため、キーを管理する必要はありません。
実行中のデータには、業界標準のTLS 1.2と最も強力な暗号の組み合わせがCitrixでは使用されます。Citrix Cloud JapanはCitrix所有のcloud.jpドメインでホストされているため、顧客は使用中のTLS証明書を管理できません。Citrix Cloud Japanにアクセスするには、TLS 1.2対応のブラウザーを使用して、承認済みの強力な暗号の組み合わせを構成している必要があります。
- Windows Server 2016、Windows Server 2019、またはWindows Server 2022からCitrix Cloudコントロールプレーンにアクセスする場合、次の強力な暗号をお勧めします:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Windows Server 2012 R2からCitrix Cloudコントロールプレーンにアクセスする場合、強力な暗号は使用できないため、次の暗号を使用する必要があります:TLS_DHE_RSA_WITH_AES_256_GCM_SHA384、TLS_DHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
各クラウドサービスの暗号化とキー管理について詳しくは、サービスごとのドキュメントを参照してください。
TLS 1.2構成について詳しくは、次の記事を参照してください:
- CTX245765 Monitoring ServiceのODataエンドポイントにクエリするときに、エラー:「基になっている接続が閉じられました:送信時に予期しないエラーが発生しました。」
- Microsoft Docs WebサイトでTLS1.2をサポートするように、.NET Frameworkを更新および構成します。
データ主権
Citrix Cloud Japanコントロールプレーンは、日本でホストされています。顧客は管理できません。
顧客は、Citrix Cloud Japanで使用するリソースの場所を所有および管理します。リソースの場所は、顧客が選択したデータセンター、クラウド、場所、または地理的な場所に作成できます。すべての重要なビジネスデータ(ドキュメント、スプレッドシートなど)はリソースの場所に保存され、顧客が管理します。
セキュリティ問題に関する情報
Webサイトstatus.cloud.comでは、顧客に継続的な影響を与えるセキュリティ問題について確認できます。このサイトは状態と稼働時間に関する情報を記録します。また、プラットフォームや個別サービスへの更新をサブスクライブするオプションがあります。
Citrix Cloud Connector
インストール
Citrixでは、セキュリティとパフォーマンスの観点から、ドメインコントローラーにCloud Connectorソフトウェアをインストールしないことをお勧めします。
さらに、Cloud Connectorソフトウェアがインストールされているマシンは、DMZ(Delimitarized Zone:非武装地帯)ではなく、顧客のプライベートネットワーク内に配置することをCitrixでは強くお勧めします。ネットワークとシステムの要件、およびCloud Connectorのインストール手順については、「リソースの場所の作成」を参照してください。
構成
顧客は、Cloud ConnectorがインストールされているコンピューターをWindowsのセキュリティ更新プログラムで最新の状態に保つ責任があります。
Cloud Connectorは、ウイルス対策ソフトとともに使用できます。CitrixではMcAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8でテスト済みです。これ以外の業界標準のウイルス対策製品もCitrixでは使用できます。
顧客のActive Directory(AD)では、Cloud Connectorのマシンアカウントを読み取り専用アクセスに制限する必要があります。これはActive Directoryのデフォルトの構成です。さらに、Cloud ConnectorのマシンアカウントでADログおよび監査を有効にして、すべてのADアクセスアクティビティを監視できます。
Cloud Connectorをホストしているマシンへのログオン
Cloud Connectorを使用すると、機密性の高いセキュリティ情報をCitrix Cloudサービスの他のプラットフォームコンポーネントに渡すことができますが、次の機密情報も保存されます:
- Citrix Cloudと通信するためのサービスキー
- Citrix DaaSの電源管理に使用するハイパーバイザーサービスの資格情報
この機密情報は、Cloud ConnectorをホストしているWindows Server上のデータ保護API(DPAPI)を使用して暗号化されます。最も権限のある管理者だけが、Cloud Connectorマシンに(メンテナンス操作のためなどに)ログオンできるようにすることをCitrixでは強くお勧めします。通常、Citrix製品を管理するために、管理者がこれらのマシンにログオンする必要はありません。Cloud Connectorには、自己管理機能があります。
Cloud Connectorをホストしているマシンには、エンドユーザーがログオンできないようにしてください。
Cloud Connectorマシンへの追加ソフトウェアのインストール
顧客は、Cloud Connectorがインストールされているマシン上にウイルス対策ソフトウェアと(仮想マシンにインストールされている場合)ハイパーバイザーツールをインストールできます。ただし、Citrixは、これらのマシンに他のソフトウェアをインストールしないことをお勧めします。他のソフトウェアによって、セキュリティ攻撃の可能性を高めることになり、Citrix Cloud Japanソリューション全体のセキュリティが低下することがあります。
送受信ポートの構成
Cloud Connectorでは、インターネットへのアクセスに送信ポート443を開く必要があります。Cloud Connectorにインターネットからアクセスするための受信ポートは必要ありません。
顧客は、送信インターネット通信を監視するために、Webプロキシの背後にCloud Connectorを配置できます。ただし、WebプロキシはSSL/TLS暗号化通信で動作する必要があります。
Cloud Connectorには、インターネットにアクセスできる追加の送信ポートがある場合もあります。追加のポートが利用可能な場合、ネットワーク帯域幅とパフォーマンスを最適化するために、Cloud Connectorは幅広いポートにわたってネゴシエートします。
Cloud Connectorは、内部ネットワーク内で、広範囲の受信ポートと送信ポートを開く必要があります。次の表は、開放する必要があるポートの基本セットです。
| クライアントポート | サーバーポート。 | サービス |
|---|---|---|
| 49152~65535/UDP | 123/UDP | W32Time |
| 49152~65535/TCP | 135/TCP | RPCエンドポイントマッパー |
| 49152~65535/TCP | 464/TCP/UDP | Kerberosパスワードの変更 |
| 49152~65535/TCP | 49152~65535/TCP | LSA、SAM、NetlogonのRPC(*) |
| 49152~65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152~65535/TCP | 3268/TCP | LDAP GC |
| 49152~65535/TCP | 3269/TCP | LDAP GC SSL |
| 53、49152~65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152~65535/TCP | 49152~65535/TCP | FRS RPC(*) |
| 49152~65535/TCP/UDP | 88/TCP/UDP | kerberos |
| 49152~65535/TCP/UDP | 445/TCP | SMB |
Citrix Cloud Japan内で使用される各サービスによっては、必要なオープンポート一覧は拡張されます。詳しくは、「Citrix Cloud Japanの接続の要件」を参照してください。
外部通信の監視
Cloud Connectorは、ポート443上でCitrix Cloud JapanサーバーとMicrosoft Azure Service Busサーバーの両方でインターネットと通信します。
Cloud Connectorは、ホストコンピューターが存在するActive Directoryフォレスト内にあるローカルネットワーク上のドメインコントローラーと通信します。
通常の操作では、 Cloud ConnectorはCitrix Cloud Japanユーザーインターフェイスの [IDおよびアクセス管理] ページで無効になっていないドメイン内のドメインコントローラーとのみ通信します。
Citrix Cloud Japan内のサービスごとに、Cloud Connectorが通常の操作の過程で通信する可能性があるサーバーと内部リソースの一覧は拡張されます。また、Cloud ConnectorがCitrixに送信するデータを顧客が管理することはできません。サービスの内部リソースとCitrixに送信されるデータについて詳しくは、次のドキュメントを参照してください:
- 各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)
- サポートされているクラウドサービスの接続要件
Cloud Connectorログの表示
管理者に関連する情報、または対応が必要な情報は、Cloud ConnectorマシンのWindowsイベントログで確認できます。
次のディレクトリでCloud Connectorのインストールログを表示します:
- %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
- %windir%\Temp\CitrixLogs\CloudServicesSetup
Cloud Connectorがクラウドに送信するログは、%ProgramData%\Citrix\WorkspaceCloud\Logsにあります。
WorkspaceCloud\Logsディレクトリのログは、指定したサイズのしきい値を超えると削除されます。管理者は、HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytesのレジストリキー値を調整することによって、このサイズのしきい値を制御できます。
SSL/TLS構成
Cloud ConnectorをホストするWindows Serverでは、「暗号化とキー管理」で説明されている暗号を有効にする必要があります。
Cloud Connectorが、Citrix Cloud SSL/TLS証明書およびMicrosoft Azure Service Bus SSL/TLS証明書で使用される証明機関(CA)を信頼する必要があります。CitrixとMicrosoftは今後、証明書とCAを変更する可能性がありますが、Windowsの標準の信頼された発行元一覧にあるCAを常に使用します。
Citrix Cloud Japan内の各サービスのSSL構成要件は異なることがあります。詳しくは、各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)を参照してください。
コネクタの更新
Citrixソフトウェアの更新が利用可能になると、デフォルトでは、Cloud Connectorが自己管理します。更新スケジュールの構成について詳しくは、「Connectorの更新」を参照してください。
再起動を無効にしたり、Cloud Connectorに他の制限を設定したりしないでください。こうした操作により、重要な更新があるときにCloud Connectorがアップデートされなくなります。
顧客側で、セキュリティ上の問題に対応するための特別な操作は必要ありません。Cloud Connectorにより、Citrixソフトウェアのセキュリティ上の修正プログラムと更新が自動的に適用されます。
不正使用されたアカウントの処理に関するガイダンス
- Citrix Cloud Japanの管理者リストを監査し、信頼されていない管理者を削除してください。
- 社内のActive Directory内の侵害されたアカウントを無効にしてください。
- Citrixに連絡して、すべての顧客のCloud Connectorに格納されている認証シークレットのローテーションを要求してください。違反の重大度に応じて、次の処置を講じてください。
- 低リスク: Citrixは、経過時間によってシークレットをローテーションできます。Cloud Connectorは引き続き通常どおりに機能します。古い認証シークレットは2〜4週間で無効になります。この間Cloud Connectorを監視して、予期しない操作がないことを確認します。
- 進行中の高リスク: Citrixはすべての古いシークレットを取り消すことができます。既存のCloud Connectorは機能しなくなります。通常の操作を再開するには、該当するすべてのマシンでCloud Connectorをアンインストールして再インストールする必要があります。