セキュリティで保護されたCitrix Cloudプラットフォームの展開ガイド
セキュリティで保護されたCitrix Cloudの展開ガイドは、Citrix Cloudを使用するときのセキュリティのベストプラクティスの概要と、Citrix Cloudが収集し管理する情報が記載されています。
サービスのセキュリティの技術概要
Citrix Cloudサービス内のデータセキュリティについて詳しくは、次の記事を参照してください:
- Analyticsのセキュリティの技術概要
- Endpoint Managementのセキュリティの技術概要
- Remote Browser Isolationのセキュリティの技術概要
- Citrix DaaSテクニカルセキュリティの概要
- Citrix DaaS Standard for Azureテクニカルセキュリティの概要
管理者向けガイダンス
- 強力なパスワードを使用し、定期的にパスワードを変更してください。
- 顧客アカウント内のすべての管理者は、他の管理者を追加および削除できます。信頼できる管理者だけがCitrix Cloudにアクセスできるようにしてください。
- 顧客の管理者には、デフォルトですべてのサービスへのフルアクセス権があります。サービスによっては、管理者のアクセスを制限する機能があります。詳しくは、サービスごとのドキュメントを参照してください。
- Citrix Cloud管理者の2要素認証は、デフォルトのCitrix IDプロバイダーを使用して実行されます。管理者がCitrix Cloudに新規登録する、またはCitrix Cloudアカウントに招待される場合、多要素認証(MFA)に登録する必要があります。Microsoft Azureを使用してCitrix Cloud管理者を認証する場合、Microsoft社Webサイトの「Azure AD Multi-Factor Authenticationの設定を構成する」の説明に従うことで、多要素認証を構成できます。
- デフォルトでは、24分間何も操作しないと、Citrix Cloudはコンソールアクティビティの有無にかかわらず、管理者セッションを自動的に終了します。このタイムアウトは変更できません。
- 管理者アカウントは最大100の顧客アカウントに関連付けることができます。その管理者が100を超える顧客アカウントを管理する必要がある場合、追加の顧客を管理するには、別のメールアドレスで別の管理者アカウントを作成する必要があります。また、管理する必要がなくなった顧客アカウントから管理者を削除することもできます。
パスワードコンプライアンス
Citrix Cloudは、次のいずれかの条件にあてはまる場合、管理者にパスワードを変更するよう要求します:
- 現在のパスワードが、サインインに使用されずに60日経った。
- 現在のパスワードが、侵害されたパスワードの既知のデータベースにリストされている。
新しいパスワードは、次のすべての基準を満たす必要があります:
- 文字数は最低8文字(最大128文字)
- 大文字と小文字をそれぞれ1つ以上含む
- 数字を1つ以上含む
- 特殊文字を1つ以上含む:! @ # $ % ^ * ? + = -
パスワードの変更ルール:
- 現在のパスワードを新しいパスワードとして使用することはできません。
- 直近で使用した5個のパスワードは再利用できません。
- 新しいパスワードは、アカウントのユーザー名に似たものにすることはできません。
- 新しいパスワードが、侵害されたパスワードの既知のデータベースにリストされているものであってはいけません。Citrix Cloudは、新しいパスワードがこの条件に違反しているかどうかをhttps://haveibeenpwned.com/で提供されているリストを使用して判断します。
暗号化とキー管理
Citrix Cloudのコントロールプレーンには機密の顧客情報は保存されません。代わりに、Citrix Cloudは管理者のパスワードなどの情報をオンデマンドで取得します(管理者に明示的にプロンプトを表示します)。
保存データの場合、Citrix CloudストレージはAES-256ビット以上のキーを使用して暗号化されます。これらのキーはCitrixによって管理されます。
実行中のデータには、業界標準のTLS 1.2と最も強力な暗号の組み合わせがCitrixでは使用されます。Citrix CloudはCitrix所有のcloud.comドメインでホストされているため、顧客は使用中のTLS証明書を管理できません。Citrix Cloudにアクセスするには、TLS 1.2対応のブラウザーを使用して、承認済みの強力な暗号の組み合わせを構成している必要があります。
- Windows Server 2016、Windows Server 2019、またはWindows Server 2022からCitrix Cloudコントロールプレーンにアクセスする場合、次の強力な暗号をお勧めします:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Windows Server 2012 R2からCitrix Cloudコントロールプレーンにアクセスする場合、強力な暗号は使用できないため、次の暗号を使用する必要があります:TLS_DHE_RSA_WITH_AES_256_GCM_SHA384、TLS_DHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Citrix Cloudサービスのデータがどのように保護されるかについて詳しくは、Citrix Webサイトの「Citrix Cloud Services Data Protection Overview」を参照してください。
各クラウドサービスの暗号化とキー管理について詳しくは、サービスごとのドキュメントを参照してください。
TLS 1.2構成について詳しくは、次の記事を参照してください:
- クライアントマシンでTLS 1.2の使用を強制する:CTX245765、Monitoring ServiceのODataエンドポイントにクエリするときに、エラー:「基になっている接続が閉じられました:送信時に予期しないエラーが発生しました。」
- Microsoft Docs WebサイトでTLS1.2をサポートするように、.NET Frameworkを更新および構成します。
データ主権
Citrix Cloudコントロールプレーンは、米国および欧州連合でホストされています。顧客は管理できません。
顧客は、Citrix Cloudで使用するリソースの場所を所有および管理します。リソースの場所は、顧客が選択したデータセンター、クラウド、場所、または地理的な場所に作成できます。すべての重要なビジネスデータ(ドキュメント、スプレッドシートなど)はリソースの場所に保存され、顧客が管理します。
他のサービスでは、異なるリージョンにデータを格納するオプションがあります。各サービスについては、「地理的な考慮事項」のトピックまたはこの記事の冒頭に記載されている「セキュリティの技術概要」を参照してください。
セキュリティ問題に関する情報
Webサイトstatus.cloud.comでは、顧客に継続的な影響を与えるセキュリティ問題について確認できます。このサイトは状態と稼働時間に関する情報を記録します。また、プラットフォームや個別サービスへの更新をサブスクライブするオプションがあります。
Citrix Cloud Connector
Cloud Connectorのインストール
Citrixでは、セキュリティとパフォーマンスの観点から、ドメインコントローラーにCloud Connectorソフトウェアをインストールしないことをお勧めします。
さらに、Cloud Connectorソフトウェアがインストールされているマシンは、DMZ(Delimitarized Zone:非武装地帯)ではなく、顧客のプライベートネットワーク内に配置することを強くお勧めします。ネットワークとシステムの要件、およびCloud Connectorのインストール手順については、「Citrix Cloud Connector」を参照してください。
Cloud Connectorの構成
顧客は、Cloud ConnectorがインストールされているコンピューターをWindowsのセキュリティ更新プログラムで最新の状態に保つ責任があります。
Cloud Connectorは、ウイルス対策ソフトとともに使用できます。CitrixではMcAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8でテスト済みです。これ以外の業界標準のウイルス対策製品も使用できます。
顧客のActive Directory(AD)では、Cloud Connectorのマシンアカウントを読み取り専用アクセスに制限することを強くお勧めします。これはActive Directoryのデフォルトの構成です。また、Cloud ConnectorのマシンアカウントでADログおよび監査を有効にして、すべてのADアクセスアクティビティを監視できます。
Cloud Connectorをホストしているマシンへのログオン
Cloud Connectorを使用すると、機密性の高いセキュリティ情報をCitrix Cloudサービスの他のプラットフォームコンポーネントに渡すことができますが、次の機密情報も保存されます:
- Citrix Cloudと通信するためのサービスキー
- Citrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)の電源管理に使用するハイパーバイザーサービスの資格情報
この機密情報は、Cloud ConnectorをホストしているWindows Server上のデータ保護API(DPAPI)を使用して暗号化されます。最も権限のある管理者だけが、Cloud Connectorマシンに(メンテナンス操作のためなどに)ログオンできるようにすることをCitrixでは強くお勧めします。通常、Citrix製品を管理するために、管理者がこれらのマシンにログオンする必要はありません。Cloud Connectorには、自己管理機能があります。
Cloud Connectorをホストしているマシンには、エンドユーザーがログオンできないようにしてください。
Cloud Connectorマシンへの他のソフトウェアのインストール
顧客は、Cloud Connectorがインストールされているマシン上にウイルス対策ソフトウェアと(仮想マシンにインストールされている場合)ハイパーバイザーツールをインストールできます。ただし、Citrixは、これらのマシンに他のソフトウェアをインストールしないことをお勧めします。他のソフトウェアによって、セキュリティ攻撃の可能性を高めることになり、Citrix Cloudソリューション全体のセキュリティが低下することがあります。
送受信ポートの構成
Cloud Connectorでは、インターネットへのアクセスに送信ポート443を開く必要があります。Cloud Connectorにインターネットからアクセス可能な受信ポートを設定しないことをCitrixでは強くお勧めします。
顧客は、送信インターネット通信を監視するために、Webプロキシの背後にCloud Connectorを配置できます。ただし、WebプロキシはSSL/TLS暗号化通信をサポートする必要があります。
Cloud Connectorには、インターネットにアクセスできる送信ポートがある場合もあります。追加のポートが利用可能な場合、ネットワーク帯域幅とパフォーマンスを最適化するために、Cloud Connectorは幅広いポートにわたってネゴシエートします。
Cloud Connectorは、内部ネットワーク内で、広範囲の受信ポートと送信ポートを開く必要があります。次の表は、開放する必要があるポートの基本セットです。
| クライアントポート | サーバーポート。 | サービス |
|---|---|---|
| 49152~65535/UDP | 123/UDP | W32Time |
| 49152~65535/TCP | 135/TCP | RPCエンドポイントマッパー |
| 49152~65535/TCP | 464/TCP/UDP | Kerberosパスワードの変更 |
| 49152~65535/TCP | 49152~65535/TCP | LSA、SAM、NetlogonのRPC(*) |
| 49152~65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152~65535/TCP | 3268/TCP | LDAP GC |
| 53、49152~65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152~65535/TCP | 49152~65535/TCP | FRS RPC(*) |
| 49152~65535/TCP/UDP | 88/TCP/UDP | kerberos |
| 49152~65535/TCP/UDP | 445/TCP | SMB |
Cloud Connectorは、LDAP署名と封印を使用してドメインコントローラーへの接続を保護します。つまり、SSL経由のLDAP(LDAPS)は必要ありません。LDAP署名について詳しくは、「Windows ServerでLDAP署名を有効にする方法」および「LDAPチャネルバインディングとLDAP署名を有効にするためのマイクロソフトガイダンス」を参照してください。
Citrix Cloud内で使用される各サービスによっては、必要なオープンポート一覧は拡張されます。詳しくは、次のドキュメントを参照してください:
- 各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)
- Citrix Cloudサービスのインターネット接続の要件
- コンソールサービスのポート要件
- Endpoint Managementのポート要件
外部通信の監視
Cloud Connectorは、ポート443上でCitrix CloudサーバーとMicrosoft Azure Service Busサーバーの両方でインターネットに送信します。
Cloud Connectorは、ホストコンピューターが存在するActive Directoryフォレスト内にあるローカルネットワーク上のドメインコントローラーと通信します。
通常の操作では、 Cloud ConnectorはCitrix Cloudユーザーインターフェイスの [IDおよびアクセス管理] ページで無効になっていないドメイン内のドメインコントローラーとのみ通信します。
Citrix Cloud内のサービスごとに、Cloud Connectorが通常の操作の過程で通信する可能性があるサーバーと内部リソースの一覧は拡張されます。また、Cloud ConnectorがCitrixに送信するデータを顧客が管理することはできません。サービスの内部リソースとCitrixに送信されるデータについて詳しくは、次のドキュメントを参照してください:
- 各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)
- Citrix Cloudサービスのインターネット接続の要件
Cloud Connectorログの表示
管理者に関連する情報、または対応が必要な情報は、Cloud ConnectorマシンのWindowsイベントログで確認できます。
次のディレクトリでCloud Connectorのインストールログを表示します:
- %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
- %windir%\Temp\CitrixLogs\CloudServicesSetup
Cloud Connectorがクラウドに送信するログは、%ProgramData%\Citrix\WorkspaceCloud\Logsにあります。
WorkspaceCloud\Logsディレクトリのログは、指定したサイズのしきい値を超えると削除されます。管理者は、HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytesのレジストリキー値を調整することによって、このサイズのしきい値を制御できます。
SSL/TLS構成
Cloud ConnectorをホストするWindows Serverでは、「暗号化とキー管理」で説明されている暗号を有効にする必要があります。
Cloud Connectorが、Citrix Cloud SSL/TLS証明書およびMicrosoft Azure Service Bus SSL/TLS証明書で使用される証明機関(CA)を信頼する必要があります。CitrixとMicrosoftは今後、証明書とCAを変更する可能性がありますが、Windowsの標準の信頼された発行元一覧にあるCAを常に使用します。
Citrix Cloud内の各サービスのSSL構成要件は異なることがあります。詳しくは、各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)を参照してください。
セキュリティコンプライアンス
Cloud Connectorは、自己管理機能によって確実なセキュリティコンプライアンスを実現します。再起動を無効にしたり、Cloud Connectorに他の制限を設定したりしないでください。こうした操作により、重要な更新があるときにCloud Connectorがアップデートされなくなります。
顧客側で、セキュリティ上の問題に対応するための特別な操作は必要ありません。セキュリティ上の修正プログラムはCloud Connectorにより自動的に適用されます。
クラウドサービス用のCitrix Connector Appliance
Connector Applianceのインストール
Connector Applianceはハイパーバイザーでホストされます。このハイパーバイザーは、DMZではなく、プライベートネットワーク内にある必要があります。
Connector Applianceが、デフォルトでアクセスをブロックするファイアウォール内にあることを確認してください。許可リストを使用して、Connector Applianceからの想定されるトラフィックのみを許可します。
Connector Applianceをホストするハイパーバイザーが、最新のセキュリティアップデートが適用された状態でインストールされていることを確認してください。
ネットワークとシステムの要件、およびConnector Applianceのインストール手順については、「クラウドサービス用のConnector Appliance」を参照してください。
Connector Applianceをホストするハイパーバイザーへのログオン
Connector Applianceには、Citrix Cloudと通信するためのサービスキーが含まれています。最も権限のある管理者だけが、Connector Applianceをホストしているハイパーバイザーに(メンテナンス操作のためなどに)ログオンできるようにします。通常、Citrix製品を管理するために、管理者がこれらのハイパーバイザーにログオンする必要はありません。Connector Applianceには、自己管理機能があります。
送受信ポートの構成
Connector Applianceでは、インターネットへのアクセスに送信ポート443を開く必要があります。Connector Applianceにインターネットからアクセス可能な受信ポートを設定しないことをCitrixでは強くお勧めします。
送信インターネット通信を監視するために、Webプロキシの背後にConnector Applianceを配置できます。ただし、WebプロキシはSSL/TLS暗号化通信をサポートする必要があります。
Connector Applianceには、インターネットにアクセスできる送信ポートがある場合もあります。追加のポートが利用可能な場合、ネットワーク帯域幅とパフォーマンスを最適化するために、Connector Applianceは幅広いポートにわたってネゴシエートします。
内部ネットワーク内では、広範囲の受信ポートと送信ポートを開く必要があります。次の表は、開放する必要があるポートの基本セットです。
| 接続方向 | Connector Applianceポート | 外部ポート | サービス |
|---|---|---|---|
| 受信 | 443/TCP | 任意 | ローカルWeb UI |
| 送信 | 49152~65535/UDP | 123/UDP | NTP |
| 送信 | 53、49152~65535/TCP/UDP | 53/TCP/UDP | DNS |
| 送信 | 67/UDP | 68/UDP | DHCPとブロードキャスト |
| 送信 | 49152~65535/UDP | 123/UDP | W32Time |
| 送信 | 49152~65535/TCP | 464/TCP/UDP | Kerberosパスワードの変更 |
| 送信 | 49152~65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 送信 | 49152~65535/TCP | 3268/TCP | LDAP GC |
| 送信 | 49152~65535/TCP/UDP | 88/TCP/UDP | kerberos |
| 送信 | 49152~65535/TCP/UDP | 445/TCP | SMB |
| 送信 | 137/UDP | 137/UDP | NetBIOSネームサービス |
| 送信 | 138/UDP | 138/UDP | NetBIOSデータグラム |
| 送信 | 139/TCP | 139/TCP | NetBIOSセッション |
Citrix Cloud内で使用される各サービスによっては、必要なオープンポート一覧は拡張されます。詳しくは、次のドキュメントを参照してください:
- 各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)
- Citrix Cloudサービスのシステムと接続の要件
外部通信の監視
Connector Applianceは、ポート443においてCitrix Cloudサーバーでインターネットに送信します。
Citrix Cloud内のサービスごとに、Connector Applianceが通常の操作の過程で通信する可能性があるサーバーと内部リソースの一覧は拡張されます。また、Connector ApplianceがCitrixに送信するデータを顧客が管理することはできません。サービスの内部リソースとCitrixに送信されるデータについて詳しくは、次のドキュメントを参照してください:
- 各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)
- Citrix Cloudサービスのシステムと接続の要件
Connector Applianceログの表示
さまざまなログファイルを含むConnector Applianceの診断レポートをダウンロードできます。このレポートの取得について詳しくは、「クラウドサービス用のConnector Appliance」を参照してください。
SSL/TLS構成
Connector Applianceでは、特にSSL/TLS構成は必要ありません。
Connector Applianceは、Citrix Cloud SSL/TLS証明書で使用される証明機関(CA)を信頼します。Citrixは将来的に証明書とCAを変更する可能性がありますが、必ずConnector Applianceが信頼するCAを使用します。
Citrix Cloud内の各サービスのSSL構成要件は異なることがあります。詳しくは、各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)を参照してください。
セキュリティコンプライアンス
セキュリティコンプライアンスを確保するため、コネクタコンプライアンスは自己管理機能を備えており、コンソールからはログインできません。
コネクタのセキュリティ上の問題に対応するための特別な操作は必要ありません。セキュリティ上の修正プログラムは自動的に適用されます。
Connector Applianceをホストするハイパーバイザーが、最新のセキュリティアップデートが適用された状態でインストールされていることを確認してください。
Active Directory(AD)では、Connector Applianceのマシンアカウントを読み取り専用アクセスに制限することをお勧めします。これはActive Directoryのデフォルトの構成です。また、Connector ApplianceのマシンアカウントでADログおよび監査を有効にして、すべてのADアクセスアクティビティを監視できます。
不正使用されたアカウントの処理に関するガイダンス
- Citrix Cloudの管理者リストを監査し、信頼されていないユーザーを削除してください。
- 社内のActive Directory内の侵害されたアカウントを無効にしてください。
- Citrixに連絡して、すべての顧客のCloud Connectorに格納されている認証シークレットのローテーションを要求してください。違反の重大度に応じて、次の処置を講じてください。
- 低リスク: Citrixは、経過時間によってシークレットをローテーションできます。Cloud Connectorは引き続き通常どおりに機能します。古い認証シークレットは2〜4週間で無効になります。この間Cloud Connectorを監視して、予期しない操作がないことを確認します。
- 進行中の高リスク: Citrixはすべての古いシークレットを取り消すことができます。既存のCloud Connectorは機能しなくなります。通常の操作を再開するには、該当するすべてのマシンでCloud Connectorをアンインストールして再インストールする必要があります。