技術的なセキュリティ概要

Citrix CloudはCitrix Gatewayサービス運用の管理を行い、お客様がNetScaler Gatewayアプライアンスを管理する必要性をなくします。Citrix GatewayサービスはCitrix Workspaceアプリを通じてプロビジョニングされます。

Citrix Gatewayサービスは以下の機能を提供します。

HDX接続: アプリとデスクトップをホストするVirtual Delivery Agent (VDA) は、お客様が選択したデータセンター（クラウドまたはオンプレミス）で、お客様の管理下に置かれます。これらのコンポーネントは、Citrix Cloud Connectorと呼ばれるエージェントを使用してクラウドサービスに接続されます。

DTLS 1.2プロトコルサポート: Citrix Gatewayサービスは、EDT（UDPベースのトランスポートプロトコル）を介したHDXセッション向けにDatagram Transport Layer Security (DTLS) 1.2をサポートします。以下の暗号スイートがサポートされています。

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLSプロトコルサポート: Citrix Gatewayサービスは以下のTLS暗号スイートをサポートします。

• TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
• TLS1.2-ECDHE-RSA-AES-256-SHA384
• TLS1-ECDHE-RSA-AES128-SHA
• TLS1.2-AES256-GCM-SHA384
• TLS1-AES-256-CBC-SHA

注:

Citrix GatewayサービスはTLS 1.0およびTLS 1.1バージョンをサポートしていません。

Endpoint Managementとの統合: Citrix Endpoint ManagementとCitrix Workspaceを統合すると、Citrix Gatewayサービスは社内ネットワークおよびリソースへのセキュアなリモートデバイスアクセスを提供します。Endpoint ManagementとのCitrix Gatewayサービスのオンボーディングは迅速かつ簡単です。Citrix Gatewayサービスには、Secure MailやSecure Webなどのアプリ向けCitrix SSOの完全なサポートが含まれています。

データフロー

Citrix Gatewayサービスは、グローバルに分散されたマルチテナントサービスです。エンドユーザーは、Citrix Cloudコントロールプレーンの地理的選択やアクセスされるアプリケーションの場所に関係なく、必要な特定の機能が利用可能な最寄りのPoint-of-Presence (PoP) を使用します。認証メタデータなどの構成は、すべてのPoPに複製されます。

Citrix®が診断、監視、ビジネス、およびキャパシティプランニングに使用するログは、保護され、一元的な場所に保存されます。

お客様の構成は一元的な場所に保存され、すべてのPoPにグローバルに配布されます。

クラウドとお客様のオンプレミス間で流れるデータは、ポート443を介したセキュアなTLS接続を使用します。

ユーザー認証およびシングルサインオンに使用される暗号化キーは、ハードウェアセキュリティモジュールに保存されます。

データ分離

Citrix Gatewayサービスは以下のデータを保存します。

• お客様のアプリケーションの仲介と監視に必要な構成データ – データは永続化される際にお客様によってスコープが設定されます。
• 各ユーザーデバイスのTOTPシード – TOTPシードは、お客様、ユーザー、デバイスによってスコープが設定されます。

監査と変更管理

現在、Citrix Gatewayサービスは監査および変更管理ログをお客様に提供していません。ログはCitrixが利用でき、エンドユーザーおよび管理者の活動を監査するために使用できます。

資格情報の処理

サービスは2種類の資格情報を処理します。

• ユーザー資格情報: エンドユーザーの資格情報（パスワードおよび認証トークン）は、以下の目的でCitrix Gatewayサービスに提供される場合があります。
  • Citrix Secure Private Access - サービスはユーザーのIDを使用して、SaaSおよびエンタープライズWebアプリケーションやその他のリソースへのアクセスを決定します。
  • シングルサインオン - サービスは、HTTP Basic、NTLM、またはフォームベース認証を使用して、社内WebアプリケーションへのSSO機能を完了するためにユーザーのパスワードにアクセスする場合があります。パスワードに使用される暗号化プロトコルは、HTTP Basic認証を明示的に構成しない限りTLSです。
• 管理者資格情報: 管理者はCitrix Cloudに対して認証を行います。これにより、Citrix Cloudの管理コンソールへの管理者アクセスを許可するワンタイム署名付きJSON Web Token (JWT) が生成されます。

注意点

• パブリックネットワーク上のすべてのトラフィックは、Citrixが管理する証明書を使用してTLSによって暗号化されます。
• SaaSアプリSSO（SAML署名キー）に使用されるキーは、Citrixによって完全に管理されます。
• MFAの場合、Citrix GatewayサービスはTOTPアルゴリズムのシードに使用されるデバイスごとのキーを保存します。
• Kerberosシングルサインオン機能を有効にするために、お客様はKerberos Constrained Delegationを実行することを信頼されたサービスアカウントの資格情報（ユーザー名 + パスワード）でConnector Applianceを構成する場合があります。

展開に関する考慮事項

Citrixは、Citrix Gatewayサービスの展開に関する公開されているベストプラクティスドキュメントを参照することを推奨します。SaaSアプリおよびエンタープライズWebアプリの展開、およびネットワークコネクタに関するその他の考慮事項は以下のとおりです。

適切なコネクタの選択: ユースケースに応じて、適切なコネクタを選択する必要があります。

Citrix Cloud Connectorのネットワークアクセス要件

Citrix Cloud Connectorのネットワークアクセス要件については、https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.htmlを参照してください。

Citrix GatewayサービスHDX接続

Citrix Gatewayサービスを使用すると、お客様のデータセンター内にNetScaler Gatewayを展開する必要がなくなります。Citrix Gatewayサービスを使用するには、Citrix Cloudから提供されるCitrix Workspaceを使用することが前提条件です。

お客様のベストプラクティス

お客様は、ネットワーク内でTLSを使用し、HTTP経由でアプリケーションのSSOを有効にしないことを推奨します。

非推奨の暗号スイート

セキュリティ強化のため、以下の暗号スイートは非推奨です。

• TLS1.2-AES128-GCM-SHA256
• TLS1.2-AES-128-SHA256
• TLS1.2-AES256-GCM-SHA384
• TLS1.2-AES-256-SHA256
• TLS1.2-DHE-RSA-AES-256-SHA256
• TLS1.2-DHE-RSA-AES-128-SHA256
• TLS1.2-DHE-RSA-AES256-GCM-SHA384
• TLS1.2-DHE-RSA-AES128-GCM-SHA256
• SSL3-DES-CBC3-SHA
• TLS1-ECDHE-RSA-AES256-SHA
• TLS1-AES-256-CBC-SHA
• TLS1-AES-128-CBC-SHA
• TLS1-ECDHE-ECDSA-AES256-SHA
• TLS1-ECDHE-ECDSA-AES128-SHA
• TLS1-DHE-RSA-AES-256-CBC-SHA
• TLS1-DHE-RSA-AES-128-CBC-SHA
• TLS1-DHE-DSS-AES-256-CBC-SHA
• TLS1-DHE-DSS-AES-128-CBC-SHA
• TLS1-ECDHE-RSA-DES-CBC3-SHA
• TLS1.2-ECDHE-RSA-AES-128-SHA256
• TLS1.2-ECDHE-ECDSA-AES128-SHA256
• TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
• TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256