Citrix Cloud™プラットフォームのセキュア展開ガイド
Citrix Cloudのセキュア展開ガイドは、Citrix Cloudを使用する際のセキュリティベストプラクティスの概要を提供し、Citrix Cloudが収集および管理する情報について説明します。
-
サービスに関する技術セキュリティの概要
-
Citrix Cloudサービス内のデータセキュリティに関する詳細については、以下の記事を参照してください。
- Analyticsの技術セキュリティ概要
- Endpoint Managementの技術セキュリティ概要
- Remote Browser Isolationの技術セキュリティ概要
- Citrix DaaSの技術セキュリティ概要
-
管理者向けガイダンス
- 強力なパスワードを使用し、定期的にパスワードを変更してください。
- 顧客アカウント内のすべての管理者は、他の管理者を追加および削除できます。信頼できる管理者のみがCitrix Cloudにアクセスできるようにしてください。
- 顧客の管理者は、デフォルトですべてのサービスにフルアクセスできます。一部のサービスでは、管理者のアクセスを制限する機能が提供されています。詳細については、サービスごとのドキュメントを参照してください。
- Citrix Cloud管理者向けの2要素認証は、デフォルトのCitrix IDプロバイダーを使用して実現されます。管理者がCitrix Cloudにサインアップするか、Citrix Cloudアカウントに招待されると、多要素認証 (MFA) への登録が求められます。顧客がMicrosoft Azureを使用してCitrix Cloud管理者を認証する場合、多要素認証はMicrosoft WebサイトのAzure AD Multi-Factor Authentication設定の構成で説明されているように構成できます。
- デフォルトでは、Citrix Cloudはコンソールアクティビティに関係なく、72時間後に管理者セッションを自動的に終了します。このタイムアウトは変更できません。
-
管理者アカウントは、最大100の顧客アカウントに関連付けることができます。管理者が100を超える顧客アカウントを管理する必要がある場合は、追加の顧客アカウントを管理するために、別のメールアドレスで個別の管理者アカウントを作成する必要があります。または、管理する必要がなくなった顧客アカウントから管理者として削除することもできます。
-
パスワードのコンプライアンス
Citrix Cloudは、以下のいずれかの条件が存在する場合、管理者にパスワードの変更を促します。
- 現在のパスワードが60日以上サインインに使用されていない場合。
- 現在のパスワードが、既知の侵害されたパスワードのデータベースにリストされている場合。
新しいパスワードは、以下のすべての条件を満たす必要があります。
- 8文字以上(最大128文字)
- 大文字と小文字をそれぞれ1文字以上含む
- 数字を1文字以上含む
- 特殊文字(! @ # $ % ^ * ? + = -)を1文字以上含む
パスワード変更のルール:
- 現在のパスワードを新しいパスワードとして使用することはできません。
- 以前の5つのパスワードを再利用することはできません。
- 新しいパスワードは、アカウントのユーザー名と類似していることはできません。
- 新しいパスワードは、既知の侵害されたパスワードのデータベースにリストされていてはなりません。Citrix Cloudは、https://haveibeenpwned.com/が提供するリストを使用して、新しいパスワードがこの条件に違反しているかどうかを判断します。
暗号化とキー管理
Citrix Cloudコントロールプレーンは、機密性の高い顧客情報を保存しません。代わりに、Citrix Cloudは、管理者パスワードなどの情報をオンデマンドで(管理者に明示的にプロンプトを表示して)取得します。
保存データの場合、Citrix CloudストレージはAES-256ビット以上のキーを使用して暗号化されます。これらのキーはCitrixによって管理されます。
転送データの場合、Citrixは業界標準のTLS 1.2と最強の暗号スイートを使用します。Citrix CloudはCitrixが所有するcloud.comドメインでホストされているため、顧客は使用中のTLS証明書を制御できません。Citrix Cloudにアクセスするには、顧客はTLS 1.2に対応したブラウザーを使用し、承認された暗号スイートが構成されている必要があります。
以下の強力な暗号が推奨されます: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
注:
TLS 1.2は必須ですが、一部のサービスではセキュリティとパフォーマンスを向上させるためにTLS 1.3をネゴシエートできます。顧客は、クライアントがTLS 1.2とTLS 1.3の両方をネゴシエートできるようにすることをお勧めします。以下の強力な暗号が推奨されます。
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Citrix Cloudサービスデータがどのように保護されているかの詳細については、Citrix WebサイトのCitrix Cloud Services Data Protection Overviewを参照してください。
各クラウドサービス内の暗号化とキー管理の詳細については、サービスのドキュメントを参照してください。
データ主権
Citrix Cloudコントロールプレーンは、米国、欧州連合、およびオーストラリアでホストされています。顧客はこれを制御できません。
顧客は、Citrix Cloudで使用するリソースの場所を所有および管理します。リソースの場所は、顧客が希望する任意のデータセンター、クラウド、場所、または地理的領域に作成できます。すべての重要なビジネスデータ(ドキュメント、スプレッドシートなど)はリソースの場所に保存され、顧客の管理下にあります。
他のサービスでは、異なるリージョンにデータを保存するオプションがある場合があります。各サービスについては、地理的考慮事項のトピックまたは技術セキュリティ概要(この記事の冒頭に記載)を参照してください。
セキュリティ問題に関する洞察
ウェブサイト status.cloud.com は、顧客に継続的な影響を与えるセキュリティ問題に関する透明性を提供します。このサイトは、ステータスと稼働時間情報を記録します。プラットフォームまたは個々のサービスへの更新を購読するオプションがあります。
Citrix Cloud Connector™
Cloud Connector のインストール
セキュリティとパフォーマンスの理由から、Citrix® は、顧客がドメインコントローラーに Cloud Connector ソフトウェアをインストールしないことを推奨します。
また、Citrix は、Cloud Connector ソフトウェアがインストールされているマシンが、顧客のプライベートネットワーク内にあり、DMZ にないことを強く推奨します。ネットワークおよびシステム要件、ならびに Cloud Connector のインストール手順については、Citrix Cloud Connector を参照してください。
顧客は、Cloud Connector とともにアンチウイルスを使用できます。Citrix は、業界標準の AV 製品を使用する顧客をサポートします。
顧客の Active Directory (AD) では、Citrix は Cloud Connector のマシンアカウントを読み取り専用アクセスに制限することを強く推奨します。これは Active Directory のデフォルト構成です。また、顧客は Cloud Connector のマシンアカウントで AD ロギングと監査を有効にして、AD アクセスアクティビティを監視できます。
Cloud Connector は、機密性の高いセキュリティ情報が Citrix Cloud サービスの他のプラットフォームコンポーネントに渡されることを許可しますが、以下の機密情報も保存します。
- Citrix Cloud と通信するためのサービスキー
- Citrix DaaS (旧称 Citrix Virtual Apps and Desktops™ サービス) での電源管理のためのハイパーバイザーサービス資格情報
この機密情報は、Cloud Connector をホストする Windows サーバー上の Data Protection API (DPAPI) を使用して暗号化されます。Citrix は、最も特権のある管理者のみが Cloud Connector マシンにログオンすることを強く推奨します (たとえば、メンテナンス操作を実行するため)。一般に、管理者が Citrix 製品を管理するためにこれらのマシンにログオンする必要はありません。その点において、Cloud Connector は自己管理型です。
エンドユーザーが Cloud Connector をホストするマシンにログオンすることを許可しないでください。
Cloud Connector マシンへの他のソフトウェアのインストール
顧客は、Cloud Connector がインストールされているマシンに、アンチウイルスソフトウェアとハイパーバイザーツール (仮想マシンにインストールされている場合) をインストールできます。ただし、Citrix は、顧客がこれらのマシンに他のソフトウェアをインストールしないことを推奨します。他のソフトウェアは、潜在的なセキュリティ攻撃ベクトルを作成し、Citrix Cloud ソリューション全体のセキュリティを低下させる可能性があります。
インバウンドおよびアウトバウンドポートの構成
Cloud Connector は、インターネットへのアクセスを伴うアウトバウンドポート 443 が開いている必要があります。Citrix は、Cloud Connector がインターネットからアクセス可能なインバウンドポートを持たないことを強く推奨します。
顧客は、Cloud Connector をウェブプロキシの背後に配置して、そのアウトバウンドインターネット通信を監視できます。ただし、ウェブプロキシは SSL/TLS 暗号化通信をサポートしている必要があります。
Cloud Connector は、インターネットへのアクセスを伴う他のアウトバウンドポートを持つ場合があります。Cloud Connector は、他のポートが利用可能な場合、ネットワーク帯域幅とパフォーマンスを最適化するために、広範囲のポートでネゴシエートします。
Cloud Connector は、内部ネットワーク内で広範囲のインバウンドおよびアウトバウンドポートが開いている必要があります。次の表に、必要なオープンポートの基本セットを示します。
| クライアントポート | サーバーポート | サービス |
|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time |
| 49152 -65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 49152 -65535/TCP | 464/TCP/UDP | Kerberos password change |
| 49152 -65535/TCP | 49152-65535/TCP | RPC for LSA, SAM, Netlogon (*) |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152 -65535/TCP | 3268/TCP | LDAP GC |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152 -65535/TCP | 49152 -65535/TCP | FRS RPC (*) |
| 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP | SMB |
Cloud Connector は、LDAP 署名とシーリングを使用して、ドメインコントローラーへの接続を保護します。これは、LDAP over SSL (LDAPS) が不要であることを意味します。LDAP 署名の詳細については、Windows Server で LDAP 署名を有効にする方法 および Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing を参照してください。
Citrix Cloud 内で使用される各サービスは、必要なオープンポートのリストを拡張します。詳細については、以下のリソースを参照してください。
- 各サービスに関する 技術セキュリティ概要 (この記事の冒頭に記載)
- Citrix Cloud サービスに関する インターネット接続要件
- コンソールサービスポート要件
- Endpoint Management ポート要件
送信通信の監視
Cloud Connectorは、Citrix CloudサーバーとMicrosoft Azure Service Busサーバーの両方に対して、ポート443でインターネットに送信通信を行います。
- Cloud Connectorは、Cloud Connectorをホストするマシンが存在するActive Directoryフォレスト内のローカルネットワーク上のドメインコントローラーと通信します。
通常の操作中、Cloud Connectorは、Citrix Cloudユーザーインターフェイスの[IDおよびアクセス管理]ページで無効になっていないドメイン内のドメインコントローラーとのみ通信します。
Citrix Cloud内の各サービスは、通常の操作中にCloud Connectorが接続する可能性のあるサーバーと内部リソースのリストを拡張します。また、お客様はCloud ConnectorがCitrixに送信するデータを制御できません。サービスの内部リソースとCitrixに送信されるデータに関する詳細については、以下のリソースを参照してください。
- 各サービス(この記事の冒頭に記載)の技術セキュリティ概要
- Citrix Cloudサービスのインターネット接続要件
Cloud Connectorログの表示
管理者に関連する、または管理者が対処できる情報はすべて、Cloud ConnectorマシンのWindowsイベントログで確認できます。
-
Cloud Connectorのインストールログは、次のディレクトリで確認できます。
- %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
- %windir%\Temp\CitrixLogs\CloudServicesSetup
Cloud Connectorがクラウドに送信するログは、%ProgramData%\Citrix\WorkspaceCloud\Logsにあります。
WorkspaceCloud\Logsディレクトリ内のログは、指定されたサイズしきい値を超えると削除されます。管理者は、HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytesのレジストリキー値を調整することで、このサイズしきい値を制御できます。
SSL/TLS構成
Cloud ConnectorをホストするWindows Serverでは、暗号化とキー管理で詳述されている暗号が有効になっている必要があります。
Cloud Connectorは、Citrix Cloud SSL/TLS証明書およびMicrosoft Azure Service Bus SSL/TLS証明書が使用する認証局(CA)を信頼する必要があります。CitrixとMicrosoftは将来的に証明書とCAを変更する可能性がありますが、常に標準のWindows信頼された発行元リストの一部であるCAを使用します。
Citrix Cloud内の各サービスには、異なるSSL構成要件がある場合があります。詳細については、各サービス(この記事の冒頭に記載)の技術セキュリティ概要を参照してください。
セキュリティコンプライアンス
セキュリティコンプライアンスを確保するため、Cloud Connectorは自己管理します。再起動を無効にしたり、Cloud Connectorにその他の制限を設けたりしないでください。これらの操作は、重要な更新がある場合にCloud Connectorが自身を更新するのを妨げます。
お客様は、セキュリティ問題に対応するために他のアクションを実行する必要はありません。Cloud Connectorは、セキュリティ修正を自動的に適用します。
Citrix Connector™ Appliance for Cloud Services
Connector Applianceのインストール
Connector Applianceはハイパーバイザー上でホストされます。このハイパーバイザーは、プライベートネットワーク内にあり、DMZ内にはない必要があります。
Connector Applianceが、デフォルトでアクセスをブロックするファイアウォール内にあることを確認してください。許可リストを使用して、Connector Applianceからの予期されるトラフィックのみを許可します。
Connector Applianceをホストするハイパーバイザーに、最新のセキュリティ更新プログラムがインストールされていることを確認してください。
ネットワークおよびシステム要件、ならびにConnector Applianceのインストール手順については、Connector Appliance for Cloud Servicesを参照してください。
Connector Applianceをホストするハイパーバイザーへのログオン
コネクタアプライアンスには、Citrix Cloud と通信するためのサービスキーが含まれています。コネクタアプライアンスをホストしているハイパーバイザー(例えば、メンテナンス操作を実行するため)には、最も特権のある管理者のみがログオンできるようにしてください。一般的に、Citrix 製品を管理するために管理者がこれらのハイパーバイザーにログオンする必要はありません。コネクタアプライアンスは自己管理型です。
インバウンドおよびアウトバウンドポートの構成
コネクタアプライアンスは、インターネットへのアクセスを伴うアウトバウンドポート 443 が開いている必要があります。Citrix は、コネクタアプライアンスにインターネットからアクセス可能なインバウンドポートがないことを強く推奨します。
コネクタアプライアンスのアウトバウンドインターネット通信を監視するために、Web プロキシの背後に配置できます。ただし、Web プロキシは SSL/TLS 暗号化通信をサポートしている必要があります。
コネクタアプライアンスは、インターネットへのアクセスを伴う他のアウトバウンドポートを持つ場合があります。他のポートが利用可能な場合、コネクタアプライアンスは広範囲のポートでネゴシエートし、ネットワーク帯域幅とパフォーマンスを最適化します。
コネクタアプライアンスは、内部ネットワーク内で広範囲のインバウンドおよびアウトバウンドポートが開いている必要があります。次の表に、必要なオープンポートの基本セットを示します。
| 接続方向 | コネクタアプライアンスポート | 外部ポート | サービス |
|---|---|---|---|
| インバウンド | 443/TCP | 任意 | ローカル Web UI |
| アウトバウンド | 49152-65535/UDP | 123/UDP | NTP |
| アウトバウンド | 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| アウトバウンド | 67/UDP | 68/UDP | DHCP およびブロードキャスト |
| アウトバウンド | 49152 -65535/UDP | 123/UDP | W32Time |
| アウトバウンド | 49152 -65535/TCP | 464/TCP/UDP | Kerberos パスワード変更 |
| アウトバウンド | 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| アウトバウンド | 49152 -65535/TCP | 3268/TCP | LDAP GC |
| アウトバウンド | 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| アウトバウンド | 49152 -65535/TCP/UDP | 445/TCP | SMB |
| アウトバウンド | 137/UDP | 137/UDP | NetBIOS 名前サービス |
| アウトバウンド | 138/UDP | 138/UDP | NetBIOS データグラム |
| アウトバウンド | 139/TCP | 139/TCP | NetBIOS セッション |
Citrix Cloud 内で使用される各サービスは、必要なオープンポートのリストを拡張します。詳細については、以下のリソースを参照してください。
- 各サービスの技術セキュリティ概要(この記事の冒頭に記載)
- Citrix Cloud サービス向けのシステムおよび接続要件
アウトバウンド通信の監視
コネクタアプライアンスは、ポート 443 でインターネットにアウトバウンド通信を行い、Citrix Cloud サーバーと通信します。
Citrix Cloud 内の各サービスは、コネクタアプライアンスが通常の操作中に接続する可能性のあるサーバーと内部リソースのリストを拡張します。また、お客様はコネクタアプライアンスが Citrix に送信するデータを制御できません。サービスの内部リソースおよび Citrix に送信されるデータに関する詳細については、以下のリソースを参照してください。
- 各サービスの技術セキュリティ概要(この記事の冒頭に記載)
- Citrix Cloud サービス向けのシステムおよび接続要件
コネクタアプライアンスログの表示
さまざまなログファイルを含むコネクタアプライアンスの診断レポートをダウンロードできます。このレポートの取得に関する詳細については、Cloud Services 用コネクタアプライアンスを参照してください。
SSL/TLS 構成
コネクタアプライアンスには、特別な SSL/TLS 構成は必要ありません。
コネクタアプライアンスは、Citrix Cloud SSL/TLS 証明書で使用される認証局 (CA) を信頼します。Citrix は将来的に証明書と CA を変更する可能性がありますが、常にコネクタアプライアンスが信頼する CA を使用します。
Citrix Cloud 内の各サービスには、異なる SSL 構成要件がある場合があります。詳細については、各サービスの技術セキュリティ概要(この記事の冒頭に記載)を参照してください。
セキュリティコンプライアンス
セキュリティコンプライアンスを確保するため、コネクタアプライアンスは自己管理型であり、コンソールからログオンすることはできません。
コネクタのセキュリティ問題に対応するために、他の措置を講じる必要はありません。コネクタアプライアンスは、セキュリティ修正を自動的に適用します。
コネクタアプライアンスをホストするハイパーバイザーが、最新のセキュリティ更新プログラムでインストールされていることを確認してください。
Active Directory (AD) では、コネクタアプライアンスのマシンアカウントを読み取り専用アクセスに制限することを推奨します。これは Active Directory のデフォルト構成です。また、お客様はコネクタアプライアンスのマシンアカウントで AD ログ記録と監査を有効にして、AD アクセスアクティビティを監視できます。
侵害されたアカウントの処理に関するガイダンス
- Citrix Cloud の管理者リストを監査し、信頼できない管理者を削除します。
- 会社の Active Directory 内の侵害されたアカウントを無効にします。
- Citrix に連絡し、お客様のすべての Cloud Connector に保存されている認証シークレットのローテーションを要求します。侵害の重大度に応じて、次のアクションを実行します。
- 低リスク: Citrix は時間をかけてシークレットをローテーションできます。Cloud Connector は正常に機能し続けます。古い認証シークレットは 2~4 週間で無効になります。この期間中、予期しない操作がないことを確認するために Cloud Connector を監視してください。
- 継続的な高リスク: Citrix はすべての古いシークレットを取り消すことができます。既存の Cloud Connector は機能しなくなります。通常の操作を再開するには、お客様はすべての該当するマシンで Cloud Connector をアンインストールして再インストールする必要があります。