セキュリティの技術概要

Citrix CloudはCitrix Gatewayサービスの運用を管理するため、お客様がNetScaler Gatewayアプライアンスを管理する必要がなくなります。Citrix Gatewayサービスは、Citrix Workspace アプリを通じてプロビジョニングされます。

Citrix Gatewayサービスには次の機能があります：

HDX接続: アプリとデスクトップをホストする仮想配信エージェント (VDA) は、クラウドまたはオンプレミスのいずれかのデータセンターで、お客様の制御下にとどまります。これらのコンポーネントは、Citrix Cloud Connectorと呼ばれるエージェントを使用してクラウドサービスに接続されます。

DTLS 1.2プロトコルのサポート： Citrix Gateway Serviceは、EDT（UDPベースのトランスポートプロトコル）を介したHDXセッションのデータグラムトランスポート層セキュリティ（DTLS）1.2をサポートしています。次の暗号スイートがサポートされています：

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLSプロトコルのサポート： Citrix Gateway サービスは、次のTLS暗号スイートをサポートしています：

• TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
• TLS1.2-ECDHE-RSA-AES-256-SHA384
• TLS1-ECDHE-RSA-AES128-SHA
• TLS1.2-AES256-GCM-SHA384
• TLS1-AES-256-CBC-SHA

Endpoint Management 統合： Citrix Endpoint Management とCitrix Workspaceを統合すると、Citrix Gateway Serviceは内部ネットワークとリソースへの安全なリモートデバイスアクセスを提供します。Endpoint Management によるCitrix Gateway サービスのオンボーディングは迅速かつ簡単です。Citrix Gateway Serviceには、Secure Mail やSecure Web などのアプリケーションに対するCitrix SSOのフルサポートが含まれています。

データフロー

Citrix Gateway サービスは、グローバルに分散されたマルチテナントサービスです。エンドユーザーは、Citrix Cloud Controlプレーンの地理的選択やアクセスされるアプリケーションの場所に関係なく、必要な特定の機能を利用できる最も近いPoP（PoP）を使用します。認可メタデータなどの設定は、すべての POP に複製されます。

診断、監視、ビジネス、および容量計画のためにCitrixが使用するログは、一元化された場所にセキュリティで保護され、保存されます。

お客様の構成は、一元化された場所に保存され、すべての POP にグローバルに分散されます。

クラウドとお客様の施設間でのデータ通信には、ポート443を介した安全なTLS接続が使用されます。

ユーザー認証とシングルサインオンに使用される暗号化キーは、ハードウェアセキュリティモジュールに保存されます。

データ分離

Citrix Gatewayサービスは以下のデータを保存します：

• お客様のアプリケーションの仲介と監視に必要な構成データ。データは、永続化されると顧客によってスコープに含まれます。
• 各ユーザデバイスの TOTP シード — TOTP シードのスコープは、顧客、ユーザー、およびデバイスによって設定されます。

監査と変更管理

現在、Citrix Gateway Serviceでは、監査ログと変更管理ログを顧客に提供していません。ログはCitrix が利用でき、エンドユーザーと管理者のアクティビティを監査するために使用できます。

資格情報の処理

サービスは、次の 2 種類の認証情報を処理します：

• ユーザー資格情報：エンドユーザーの資格情報（パスワードと認証トークン）をCitrix Gateway Serviceに提供して、次のことを実行できます：
  • Citrix Secure Private Access-このサービスは、ユーザーのIDを使用して、SaaSやエンタープライズWebアプリケーション、その他のリソースへのアクセスを決定します。
  • シングルサインオン-サービスは、HTTP Basic、NTLM、またはフォームベースの認証を使用して、内部 Web アプリケーションへの SSO 機能を完了するために、ユーザーのパスワードにアクセスできる場合があります。HTTP 基本認証を特に構成しない限り、パスワードに使用される暗号化プロトコルは TLS です。
• 管理者資格情報：管理者はCitrix Cloudに対して認証を行います。これにより、管理者がCitrix Cloudの管理コンソールにアクセスできる、ワンタイム署名付きJSON Webトークン（JWT）が生成されます。

注意事項

• パブリックネットワーク上のすべてのトラフィックは、Citrixが管理する証明書を使用して、TLSによって暗号化されます。
• SaaSアプリSSO（SAML署名キー）に使用されるキーは、Citrixによって完全に管理されます。
• MFAの場合、Citrix Gateway サービスはTOTPアルゴリズムのシードに使用されるデバイスごとのキーを保存します。
• Kerberosのシングル・サインオン機能を有効にするために、お客様は、Kerberos制約付き委任の実行が信頼できるサービス・アカウントの認証情報（ユーザー名+パスワード）を使用してConnector Applianceを構成する場合があります。

展開に関する考慮事項

Citrix Gateway Servicesの展開については、公開されているベストプラクティスドキュメントを参照することをお勧めします。SaaS アプリとエンタープライズ Web アプリの展開、およびネットワークコネクタに関する考慮事項の詳細については、以下のとおりです。

正しいコネクタの選択: ユースケースに応じて、正しいコネクタを選択する必要があります：

Citrix Cloud Connectorのネットワークアクセス要件

Citrix Cloud Connectorのネットワークアクセスの要件については、次を参照してください：https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Citrix Gatewayサービス HDX 接続

Citrix Gatewayサービスを使用すると、お客様のデータセンター内にNetScaler Gatewayを導入する必要がなくなります。Citrix Gatewayサービスを使用するには、Citrix Cloudから配信されるCitrix Workspaceを使用することが前提条件です。

お客様のベストプラクティス

お客様は、ネットワーク内で TLS を使用し、HTTP を介したアプリケーションに対して SSO を有効にしないことを推奨します。

廃止された暗号の組み合わせ

次の暗号の組み合わせは、セキュリティを強化するために廃止されました：

• TLS1.2-AES128-GCM-SHA256
• TLS1.2-AES-128-SHA256
• TLS1.2-AES256-GCM-SHA384
• TLS1.2-AES-256-SHA256
• TLS1.2-DHE-RSA-AES-256-SHA256
• TLS1.2-DHE-RSA-AES-128-SHA256
• TLS1.2-DHE-RSA-AES256-GCM-SHA384
• TLS1.2-DHE-RSA-AES128-GCM-SHA256
• SSL3-DES-CBC3-SHA
• TLS1-ECDHE-RSA-AES256-SHA
• TLS1-AES-256-CBC-SHA
• TLS1-AES-128-CBC-SHA
• TLS1-ECDHE-ECDSA-AES256-SHA
• TLS1-ECDHE-ECDSA-AES128-SHA
• TLS1-DHE-RSA-AES-256-CBC-SHA
• TLS1-DHE-RSA-AES-128-CBC-SHA
• TLS1-DHE-DSS-AES-256-CBC-SHA
• TLS1-DHE-DSS-AES-128-CBC-SHA
• TLS1-ECDHE-RSA-DES-CBC3-SHA
• TLS1.2-ECDHE-RSA-AES-128-SHA256
• TLS1.2-ECDHE-ECDSA-AES128-SHA256
• TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
• TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256