-
セキュリティの技術概要
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
セキュリティの技術概要
セキュリティの概要
この記事の対象は、Citrix CloudでホストされているCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)です。この情報には、Citrix Virtual Apps EssentialsとCitrix Virtual Desktops Essentialsが含まれます。
Citrix DaaS環境のコントロールプレーンの操作は、Citrix Cloudにより管理されます。コントロールプレーンには、Delivery Controller、管理コンソール、SQLデータベース、ライセンスサーバーが含まれ、オプションでStoreFrontとCitrix Gateway(旧称NetScaler Gateway)が含まれます。アプリとデスクトップをホストするVirtual Delivery Agents(VDA)は、クラウドまたはオンプレミスのいずれかのデータセンターでお客様が管理します。これらのコンポーネントは、Citrix Cloud Connectorと呼ばれるエージェントを使用してクラウドサービスに接続されます。Citrix Workspaceを使用することを選択した場合、お客様はデータセンター内でCitrix Gatewayを実行する代わりに、Citrix Gatewayサービスを使用することもできます。次の図は、Citrix DaaSとそのセキュリティ境界を示しています。
Citrixクラウドベースのコンプライアンス
2021年1月時点で、さまざまなエディションのCitrix DaaSおよびWorkspace Premium PlusでのCitrix Managed Azure Capacityの使用は、Citrix SOC 2(タイプ1または2)、ISO 27001、HIPAA、またはその他のクラウドコンプライアンスの要件に対して評価されていません。Citrix Cloudの認定について詳しくは、「Citrix Trust Center」を参照してください。また、頻繁に更新を確認してください。
データフロー
Citrix DaaSはVDAをホストしないため、プロビジョニングに必要なお客様のアプリケーションデータとイメージは、常にお客様の構成内でホストされます。コントロールプレーンはユーザー名、マシン名、アプリケーションショートカットなどのメタデータにアクセスできますが、お客様の知的財産へのアクセスは制限されています。
クラウドとお客様の施設間でのデータ通信には、ポート443を介した安全なTLS接続が使用されます。
データ分離
Citrix DaaSには、お客様のアプリケーションとデスクトップの仲介および監視に必要なメタデータのみが格納されます。イメージ、ユーザープロファイル、その他のアプリケーションデータなどの機密情報は、お客様の施設内、またはパブリッククラウドベンダーのサブスクリプション内に留まります。
サービスのエディション
Citrix DaaSの機能はエディションによって異なります。たとえば、Citrix Virtual Apps Essentialsでは、Citrix GatewayサービスとCitrix Workspaceのみがサポートされます。サポートされる機能について詳しくは、各製品のマニュアルを参照してください。
ICAのセキュリティ
Citrix DaaSは、転送中のICAトラフィックを保護するためのさまざまなオプションを提供します。使用可能なオプションは次のとおりです:
- Basic encryption: デフォルト設定。
- SecureICA: RC5(128ビット)暗号化を使用してセッションデータを暗号化できます。
- VDA TLS/DTLS: TLS/DTLSを使用してネットワークレベルの暗号化を使用できるようにします。
- Rendezvous protocol: Citrix Gatewayサービスを使用している場合にのみ使用できます。Rendezvousプロトコルを使用する場合、ICAセッションはTLS/DTLSを使用してエンドツーエンドで暗号化されます。
基本の暗号化
基本の暗号化を使用する場合、トラフィックは次の図に示すように暗号化されます。
SecureICA
SecureICAを使用する場合、トラフィックは次の図に示すように暗号化されます。
注:
HTML5向けWorkspaceアプリを使用する場合、SecureICAはサポートされません。
VDA TLS/DTLS
VDA TLS/DTLS暗号化を使用する場合、トラフィックは次の図に示すように暗号化されます。
注:
RendezvousなしでGatewayサービスを使用する場合、VDAとCloud Connector間のトラフィックはTLS暗号化されません。これは、Cloud Connectorはネットワークレベルの暗号化によるVDAへの接続をサポートしていないためです。
その他のリソース
ICAセキュリティオプションとその設定方法について詳しくは、以下を参照してください。
- SecureICA:セキュリティのポリシー設定
- VDA TLS/DTLS:Transport Layer Security
- Rendezvousプロトコル:Rendezvousプロトコル
資格情報の処理
Citrix DaaSは、次の4種類の資格情報を処理します:
-
ユーザーの資格情報:ユーザー管理StoreFrontを使用する場合、ユーザーの資格情報は、AES-256暗号化および起動のたびに生成されるランダムなワンタイムキーを使用してCitrix Cloud Connectorにより暗号化されます。このキーは、クラウドに渡されることはなく、Citrix Workspaceアプリにのみ返されます。その後、シングルサインオンを実現するために、Citrix WorkspaceアプリからVDAに渡され、セッションの開始時にユーザーパスワードの暗号化が解除されます。フローを次の図に示します。
デフォルトでは、ユーザー資格情報は信頼されていないドメイン境界を越えて転送されません。VDAとStoreFrontが1つのドメインにインストールされていて、別のドメインのユーザーがVDAに接続しようとすると、ドメイン間で信頼が確立されていない限り、ログオンの試みは失敗します。DaaS PowerShell SDKを使用してこの動作を無効にし、信頼されていないドメイン間で資格情報を転送できるようにすることができます。詳しくは、Set-Brokersiteを参照してください。
- 管理者資格情報:管理者は、Citrix Cloudに対して認証を行います。認証により、管理者がCitrix DaaSにアクセスできるようにする1回限りの署名付きJSON Web Token(JWT)が生成されます。
- ハイパーバイザーパスワード:認証にパスワードが必要なオンプレミスハイパーバイザーでは、管理者が生成したパスワードがクラウドのSQLデータベースに暗号化され保存されています。認証済みのプロセスでのみハイパーバイザーの資格情報が使用されるよう、Citrixがピアキーを管理します。
- Active Directory(AD)資格情報:Machine Creation Servicesでは、お客様のADでマシンアカウントを作成するためにCloud Connectorを使用します。Cloud ConnectorのマシンアカウントにはADの読み取りアクセス権しかないため、管理者はマシンを作成または削除するたびに資格情報の入力を求められます。これらの資格情報はメモリ内にのみ保管され、単一のプロビジョニングイベントの間だけ保持されます。
展開に関する考慮事項
環境内にCitrix GatewayアプリケーションおよびVDAを導入する場合は、公開されているベストプラクティスのドキュメントを参照することをお勧めします。
Citrix Cloud Connectorのネットワークアクセス要件
Citrix Cloud Connectorには、インターネットへのポート443の送信トラフィックのみが必要であるため、HTTPプロキシの背後でホストできます。
- Citrix CloudでHTTPS用に使用される通信は、TLSです。(「TLSバージョンの廃止」を参照してください。)
- 内部ネットワーク内では、Cloud ConnectorはCitrix DaaSの次のものにアクセスする必要があります:
- VDA:送信と受信の両方でポート80。追加でCitrix Gatewayサービスを使用する場合は受信ポート1494と2598
- StoreFrontサーバー:受信ポート80。
- Citrix Gateway(STAとして構成されている場合):受信ポート80。
- Active Directoryドメインコントローラー
- Hypervisor:送信のみ。特定のポートについては、「Citrixテクノロジで使用される通信ポート」を参照してください。
VDAとCloud Connectorとの間のトラフィックは、Kerberosのメッセージレベルのセキュリティを使用して暗号化されます。
ユーザー管理StoreFront
ユーザー管理StoreFrontは、オンプレミスでのユーザー資格の情報の管理機能など、高度なセキュリティ構成オプションと展開アーキテクチャの柔軟性を備えています。このStoreFrontをCitrix Gatewayの背後に配置することで、リモートアクセスをセキュリティで保護し、多要素認証を適用できるほか、その他のセキュリティ機能も追加できます。
Citrix Gatewayサービス
Citrix Gatewayサービスを使用すると、お客様のデータセンター内にCitrix Gatewayを導入する必要はなくなります。
詳しくは、「Citrix Gatewayサービス」を参照してください。
Cloud ConnectorとCitrix Cloud間のすべてのTLS接続は、Cloud ConnectorからCitrix Cloudに対して開始されます。受信ファイアウォールポートのマッピングは必要ありません。
XML信頼
この設定は、[完全な構成]>[設定]>[XML信頼を有効にする] で使用でき、デフォルトでは無効になっています。また、Citrix DaaS Remote PowerShell SDKを使用して、XML信頼を管理できます。
XML信頼は、以下を使用する展開に適用されます:
- オンプレミスStoreFront。
- パスワードを必要としない利用者(ユーザー)認証テクノロジ。このようなテクノロジの例がドメインパススルー、スマートカード、SAML、Veridiumソリューションです。
XML信頼を有効にすると、ユーザーはアプリケーションを正常に認証して起動できます。Cloud Connectorは、StoreFrontから送信された資格情報を信頼します。Citrix Cloud ConnectorとStoreFront間の通信を保護している場合にのみXML信頼を有効にします(ファイアウォール、IPsec、またはその他のセキュリティ推奨事項を使用)。
このチェックボックスは、デフォルトでオフになっています。
Citrix DaaS Remote PowerShell SDKを使用して、XML信頼を管理します。
- XML信頼の現在の値を確認するには、
Get-BrokerSite
を実行してTrustRequestsSentToTheXMLServicePort
の値を調べます。 - XML信頼を有効にするには、
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
を実行します。 - XML信頼を無効にするには、
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false
を実行します。
HTTPSまたはHTTPトラフィックの適用
XML Serviceを使用してHTTPSまたはHTTPトラフィックを適用するには、各Cloud Connectorで次のレジストリ値セットのいずれかを構成します。
設定を構成したら、各Cloud ConnectorでRemote Broker Provider Serviceを再起動します。
HKLM\Software\Citrix\DesktopServer\
で:
- HTTPS(HTTPを無視)トラフィックを適用するには:
XmlServicesEnableSsl
を1
に設定し、XmlServicesEnableNonSsl
を0
に設定します。 - HTTP(HTTPSを無視)トラフィックを適用するには:
XmlServicesEnableNonSsl
を1
に設定し、XmlServicesEnableSsl
を0
に設定します。
TLSバージョンの廃止
Citrix DaaSのセキュリティを向上させるため、2019年3月15日以降、Transport Layer Security(TLS)1.0および1.1を介した通信をブロックすることになりました。
Citrix Cloud ConnectorからCitrix Cloudサービスへのすべての接続には、TLS 1.2が必要です。
ユーザーのデバイスからCitrix Workspaceに正常に接続するには、インストールされているCitrix Receiverが以下のバージョン以降であることを確認してください。
Receiver | バージョン |
---|---|
Windows | 4.2.1000 |
Mac | 12.0 |
Linux | 13.2 |
Android | 3.7 |
iOS | 7.0 |
Chrome/HTML5 | 最新(ブラウザーでのTLS 1.2のサポートが必要です) |
Citrix Receiverの最新バージョンにアップグレードするには、https://www.citrix.com/products/receiver/にアクセスしてください。
また、TLS 1.2を使用する新しいCitrix Workspaceアプリにアップグレードする方法もあります。Citrix Workspaceアプリをダウンロードするには、https://www.citrix.com/downloads/workspace-app/にアクセスしてください。
引き続きTLS 1.0または1.1を使用する必要がある場合(たとえば、以前のバージョンのReceiver for Linuxに基づいてシンクライアントを使用している場合)、リソースの場所にStoreFrontをインストールします。次に、すべてのCitrix Receiverがそれを指すようにします。
追加情報
セキュリティ情報について詳しくは、次のリソースを参照してください:
-
セキュリティおよびコンプライアンスの情報:最新のセキュリティ情報などが見つかるセキュリティおよびコンプライアンスセンターです。このセンターには、セキュアで準拠したIT環境を維持するために重要な標準と認証に関するドキュメントもあります。
-
セキュリティで保護されたCitrix Cloudプラットフォームの展開ガイド:このガイドには、Citrix Cloudを使用するときのセキュリティのベストプラクティスの概要と、Citrix Cloudが収集し管理する情報が記載されています。このガイドには、Citrix Cloud Connectorに関する総合的な情報へのリンクも含まれています。
- セキュリティに関する考慮事項およびベストプラクティス。
- スマートカード。
- Transport Layer Security(TLS)。
注:
本記事は、Citrix Cloudのセキュリティ機能の概要を説明し、Citrix Cloud環境の保護に関するCitrixとお客様との間の責任分担を定義することを目的としています。Citrix Cloud、またはそのコンポーネントやサービスの構成および管理に関するガイダンスではありません。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.