セキュリティとネットワーク構成
Federated Authentication Service (FAS) は、Microsoft Active Directory および Microsoft 証明機関と密接に統合されています。ドメインコントローラーやその他の重要なインフラストラクチャと同様に、システムが適切に管理および保護されるようにセキュリティポリシーを策定することが不可欠です。
このドキュメントでは、FAS を展開する際に考慮すべきセキュリティ問題の概要を説明します。また、インフラストラクチャの保護に役立つ利用可能な機能の概要も提供します。
ネットワークアーキテクチャ
次の図は、FAS 展開で使用される主要なコンポーネントとセキュリティ境界を示しています。
FAS サーバーは、証明機関およびドメインコントローラーと同様に、セキュリティ上重要なインフラストラクチャの一部として扱われるべきです。フェデレーション環境では、Citrix Gateway と Citrix StoreFront はユーザー認証を実行するために信頼されるコンポーネントであり、他の Citrix Virtual Apps and Desktops™ コンポーネントは FAS の導入による影響を受けません。
ファイアウォールとネットワークセキュリティ
Citrix Gateway、StoreFront、および Delivery Controller™ コンポーネント間の通信は、ポート 443 経由の TLS によって保護される必要があります。StoreFront サーバーは送信接続のみを実行し、Citrix Gateway はインターネット経由の HTTPS ポート 443 を使用した接続のみを受け入れる必要があります。
StoreFront サーバーは、相互認証された Kerberos を使用してポート 80 経由で FAS サーバーに接続します。認証には、FAS サーバーの Kerberos HOST/fqdn ID と、StoreFront サーバーの Kerberos マシンアカウント ID が使用されます。これにより、Citrix Virtual Delivery Agent (VDA) がユーザーをログオンするために必要な単一使用の「資格情報ハンドル」が生成されます。
HDX セッションが VDA に接続されると、VDA もポート 80 経由で FAS サーバーに接続します。認証には、FAS サーバーの Kerberos HOST/fqdn ID と、VDA の Kerberos マシン ID が使用されます。さらに、VDA は証明書と秘密キーにアクセスするために「資格情報ハンドル」を提供する必要があります。
-
Microsoft 証明機関は、Kerberos 認証された DCOM を使用した通信を受け入れます。これは、固定 TCP ポートを使用するように構成できます。証明機関はさらに、FAS サーバーが信頼された登録エージェント証明書によって署名された CMC パケットを提供することを要求します。
-
サーバー ファイアウォールポート - |————————–|——————————————————|
-
Federated Authentication Service [in] StoreFront™ および VDA からの HTTP 経由の Kerberos、[out] Microsoft 証明機関への DCOM Citrix Gateway [in] クライアントマシンからの HTTPS、[in/out] StoreFront サーバーへの/からの HTTPS、[out] VDA への HDX StoreFront [in] Citrix Gateway からの HTTPS、[out] Delivery Controller への HTTPS、[out] FAS への Kerberos HTTP Delivery Controller [in] StoreFront サーバーからの HTTPS、[in/out] VDA からの HTTP 経由の Kerberos VDA [in/out] Delivery Controller からの HTTP 経由の Kerberos、[in] Citrix Gateway からの HDX、[out] FAS への Kerberos HTTP Microsoft 証明機関 [in] FAS からの DCOM および署名済み
-
Citrix Federated Authentication Service と Citrix Cloud™ 間の接続
コンソールと FAS は、それぞれユーザーアカウントとネットワークサービスアカウントを使用して、次のアドレスにアクセスします。
- ユーザーアカウント下の FAS 管理コンソール
*.cloud.com*.citrixworkspacesapi.net- 環境でサードパーティの ID プロバイダーを使用している場合に必要となるアドレス
- ネットワークサービスアカウント下の FAS サービス:
*.citrixworkspacesapi.net
環境にプロキシサーバーが含まれている場合は、FAS 管理コンソールのアドレスでユーザープロキシを構成します。また、netsh または同様のツールを使用して、ネットワークサービスアカウントのアドレスが構成されていることを確認してください。
管理者の責任
-
環境の管理は、次のグループに分けることができます。
-
名前 責任 -
Enterprise Administrator フォレスト内の証明書テンプレートのインストールと保護 Domain Administrator グループポリシー設定の構成 証明機関管理者 証明機関の構成 FAS Administrator FAS サーバーのインストールと構成 StoreFront/Citrix Gateway 管理者 ユーザー認証の構成 Citrix Virtual Desktops™ 管理者 VDA とコントローラーの構成
-
各管理者は、全体的なセキュリティモデルの異なる側面を制御し、システムを保護するための多層防御アプローチを可能にします。
グループポリシー設定
信頼された FAS マシンは、グループポリシーを通じて構成された「インデックス番号 -> FQDN」のルックアップテーブルによって識別されます。FAS サーバーに接続する際、クライアントは FAS サーバーの HOST\<fqdn> Kerberos ID を検証します。FAS サーバーにアクセスするすべてのサーバーは、同じインデックスに対して同一の FQDN 構成を持つ必要があります。そうでない場合、StoreFront と VDA は異なる FAS サーバーに接続する可能性があります。
誤構成を避けるため、Citrix は環境内のすべてのマシンに単一のポリシーを適用することを推奨します。FAS サーバーのリストを変更する際は、特にエントリの削除や並べ替えを行う場合に注意してください。
この GPO の制御は、FAS サーバーをインストールおよび廃止する FAS 管理者 (および/またはドメイン管理者) に限定されるべきです。FAS サーバーを廃止した直後にマシンの FQDN 名を再利用しないように注意してください。
-
証明書テンプレート
FAS に付属の Citrix_SmartcardLogon 証明書テンプレートを使用しない場合は、そのコピーを変更できます。次の変更がサポートされています。
証明書テンプレートの名前を変更する
Citrix_SmartcardLogon の名前を組織のテンプレート命名標準に合わせて変更する場合は、次の手順を実行する必要があります。
- 証明書テンプレートのコピーを作成し、組織のテンプレート命名標準に合わせて名前を変更します。
- 管理ユーザーインターフェイスではなく、FAS PowerShell コマンドを使用して FAS を管理します。(管理ユーザーインターフェイスは、Citrix のデフォルトテンプレート名でのみ使用することを目的としています。)
- Microsoft MMC 証明書テンプレートスナップインまたは Publish-FasMsTemplate コマンドを使用してテンプレートを公開し、
- New-FasCertificateDefinition コマンドを使用して、テンプレートの名前で FAS を構成します。
一般プロパティの変更
証明書テンプレートの有効期間を変更できます。
更新期間は変更しないでください。FAS は証明書テンプレートのこの設定を無視します。FAS は、有効期間の途中で証明書を自動的に更新します。
要求処理プロパティの変更
これらのプロパティは変更しないでください。FAS は、証明書テンプレート内のこれらの設定を無視します。FAS は常に 秘密キーのエクスポートを許可する の選択を解除し、同じキーで更新する の選択を解除します。
暗号化プロパティの変更
これらのプロパティは変更しないでください。FAS は、証明書テンプレート内のこれらの設定を無視します。
FAS が提供する同等の設定については、「秘密キーの保護」を参照してください。
キー構成証明プロパティの変更
これらのプロパティは変更しないでください。FAS はキー構成証明をサポートしていません。
上書きされたテンプレートプロパティの変更
これらのプロパティは変更しないでください。FAS はテンプレートの上書きをサポートしていません。
拡張機能プロパティの変更
これらの設定は、組織のポリシーに合わせて変更できます。
注: 不適切な拡張機能設定は、セキュリティ上の問題を引き起こしたり、使用できない証明書になる可能性があります。
セキュリティプロパティの変更
Citrix は、これらの設定を、FAS サーバーのマシンアカウントのみに 読み取り および 登録 のアクセス許可を許可するように変更することを推奨します。FAS サービスには、他のアクセス許可は必要ありません。ただし、他の証明書テンプレートと同様に、以下を行うことができます。
- 管理者がテンプレートを読み取りまたは書き込みできるようにする
- 認証されたユーザーがテンプレートを読み取れるようにする
サブジェクト名プロパティの変更
-
Citrix は、これらのプロパティを変更しないことを推奨します。
-
テンプレートは この Active Directory 情報から構築 が選択されており、これにより証明機関はユーザーの SID を証明書拡張に含めます。これにより、ユーザーの Active Directory アカウントへの強力なマッピングが提供されます。
サーバープロパティの変更
Citrix は推奨しませんが、必要に応じてこれらの設定を組織のポリシーに合わせて変更できます。
発行要件プロパティの変更
これらの設定は変更しないでください。これらの設定は、表示されているとおりである必要があります。
互換性プロパティの変更
これらの設定は変更できます。設定は少なくとも Windows Server 2003 CA (スキーマバージョン 2) である必要があります。ただし、FAS は Windows Server 2008 以降の CA のみをサポートします。また、上記で説明したように、FAS は Windows Server 2008 CA (スキーマバージョン 3) または Windows Server 2012 CA (スキーマバージョン 4) を選択することで利用できる追加設定を無視します。
証明機関の管理
証明機関管理者は、証明機関サーバーの構成と、それが使用する発行証明書の秘密キーに責任を負います。
テンプレートの公開
証明機関がエンタープライズ管理者によって提供されたテンプレートに基づいて証明書を発行するには、証明機関管理者がそのテンプレートを公開することを選択する必要があります。
簡単なセキュリティ対策としては、FAS サーバーのインストール時に登録機関証明書テンプレートのみを公開するか、完全にオフラインの発行プロセスを要求することです。いずれの場合も、証明機関管理者は登録機関証明書要求の承認を完全に制御し、FAS サーバーを承認するためのポリシーを持つ必要があります。
ファイアウォール設定
一般的に、証明機関管理者は証明機関のネットワークファイアウォール設定も制御し、受信接続を制御できます。証明機関管理者は、FAS サーバーのみが証明書を要求できるように DCOM TCP およびファイアウォールルールを構成できます。
登録の制限
既定では、登録機関証明書を保持するすべてのユーザーは、アクセスを許可する任意の証明書テンプレートを使用して、任意のユーザーに証明書を発行できます。これは、「登録エージェントの制限」証明機関プロパティを使用して、非特権ユーザーのグループに制限する必要があります。
ポリシーモジュールと監査
高度な展開の場合、カスタムセキュリティモジュールを使用して証明書の発行を追跡し、拒否できます。
FAS管理
FASにはいくつかのセキュリティ機能があります。
ACLによるStoreFront、ユーザー、およびVDAの制限
FASセキュリティモデルの中心は、どのKerberosアカウントが機能にアクセスできるかを制御することです。
| アクセスベクター | 説明 |
|---|---|
| StoreFront [IdP] | これらのKerberosアカウントは、ユーザーが正しく認証されたことを宣言するために信頼されています。これらのアカウントのいずれかが侵害された場合、FASの構成によって許可されたユーザーに対して証明書が作成され、使用される可能性があります。 |
| VDA [証明書利用者] | これらは、証明書と秘密キーへのアクセスが許可されているマシンです。IdPによって取得された資格情報ハンドルも必要であるため、このグループ内の侵害されたVDAアカウントがシステムを攻撃する範囲は限られています。 |
| ユーザー | これは、IdPによってアサートできるユーザーを制御します。証明機関の「登録エージェントの制限」構成オプションと重複があることに注意してください。一般に、このリストには非特権アカウントのみを含めることをお勧めします。これにより、侵害されたStoreFrontアカウントがより高い管理レベルに特権を昇格させることを防ぎます。特に、ドメイン管理者アカウントはこのACLによって許可されるべきではありません。 |
ルールの構成
複数の独立したCitrix Virtual Apps™またはCitrix Virtual Desktops展開が同じFASサーバーインフラストラクチャを使用する場合、ルールは役立ちます。各ルールには個別の構成オプションセットがあり、特にACLは個別に構成できます。
証明機関とテンプレートの構成
異なる証明書テンプレートとCAは、異なるアクセス権に対して構成できます。高度な構成では、環境に応じて、より強力な証明書またはより強力でない証明書を使用することを選択できます。たとえば、「外部」として識別されたユーザーは、「内部」ユーザーよりも少ない特権を持つ証明書を持つ場合があります。
インセッション証明書と認証証明書
FAS管理者は、認証に使用される証明書がユーザーセッションで使用可能であるかどうかを制御できます。たとえば、これにより、「署名」証明書のみをセッション内で利用可能にし、より強力な「ログオン」証明書はログオン時のみに使用するようにできます。
秘密キーの保護とキー長
FAS管理者は、秘密キーをハードウェアセキュリティモジュール (HSM) またはトラステッドプラットフォームモジュール (TPM) に保存するようにFASを構成できます。Citrixは、少なくとも登録機関証明書の秘密キーをTPMに保存して保護することを推奨しています。このオプションは、「オフライン」証明書要求プロセスの一部として提供されます。
同様に、ユーザー証明書の秘密キーはTPMまたはHSMに保存できます。すべてのキーは「エクスポート不可」として生成され、長さは2048ビット以上である必要があります。
イベントログ
FASサーバーは、監査および侵入検知に使用できる詳細な構成およびランタイムイベントログを提供します。
管理アクセスと管理ツール
FASには、リモート管理機能 (相互認証Kerberos) とツールが含まれています。「ローカル管理者グループ」のメンバーは、FAS構成を完全に制御できます。このリストは慎重に維持する必要があります。
Citrix Virtual Apps、Citrix Virtual Desktops、およびVDA管理者
一般に、FASの「資格情報ハンドル」は「Active Directoryパスワード」を置き換えるだけであるため、FASの使用はDelivery ControllerおよびVDA管理者のセキュリティモデルを変更しません。ControllerおよびVDA管理グループには、信頼できるユーザーのみを含める必要があります。監査およびイベントログは維持する必要があります。
一般的なWindowsサーバーセキュリティ
すべてのサーバーは完全にパッチが適用され、標準のファイアウォールおよびウイルス対策ソフトウェアが利用可能である必要があります。セキュリティ上重要なインフラストラクチャサーバーは、ディスク暗号化と仮想マシンのメンテナンスオプションに注意を払い、物理的に安全な場所に保管する必要があります。
監査およびイベントログは、リモートマシンに安全に保存する必要があります。
RDPアクセスは、承認された管理者に制限する必要があります。可能な限り、ユーザーアカウントはスマートカードログオンを要求する必要があります。特に、証明機関およびドメイン管理者アカウントの場合です。