Session Managerと社内のXenAppおよびXenDesktopのセキュリティの技術概要

Session ManagerはCitrix Cloudによって管理される製品です。Session Manager Serviceを使用してオンプレミスのデータセンターへのセッションを事前起動する場合、Desktop Delivery Controllers(DDC)、Storefrontサーバー、Virtual Delivery Agent(VDA)、およびリモートアクセスに使用されるすべてのCitrix Gatewayが顧客の管理下に置かれます。顧客はこれらのコンポーネントに対するセキュリティ所有権を持っています。TrustManagedAnonymousXmlServiceRequests設定を使用して、新しい機能を有効にします。この設定を使用する場合、XML Serviceは信頼できるStorefrontサーバーからの着信要求のみを受け付ける必要があります。

Session Managerサービスは、内部VDAへの外部ICA接続を使用してセッションを事前起動し、Citrix Cloud Connectorを介してオンプレミスのDesktop Delivery Controllerから限られた量のデータを収集して、事前起動構成とクラウドからの監視を可能にします。次の図は、サービスとそのセキュリティ境界です。

XML Serviceの匿名事前起動に関する考慮事項

Session Managerのコンポーネント図

Session Managerサービスの構成の一部として、TrustRequestsSentTotheXmlServicePortおよびTrustManagedAnonymousXmlServiceRequestsフラグの両方を有効にする必要があります。TrustManagedAnonymousXmlServiceRequestsフラグを使用すると、XML ServiceがStorefrontからの匿名の事前起動要求を受け付けることができます。これらの要求はXML Serviceによって検証されないため、これらの設定のいずれかを使用する場合は、信頼できるStoreFrontサーバーがXML Serviceと通信することのみを許可することを覚えておくことが重要です。

XML Serviceを分離するために、XML Serviceポートを変更することができます。シトリックスサポートKnowledge Centerの記事「XenDesktopでXMLポートを変更する方法」の指示に従って、XML Serviceポートを変更します。サービスが独自のポートで実行されている場合は、ファイアウォールを介したネットワークの分離やその他の技術を使用して、XML Serviceをユーザーのトラフィックから分離することができます。

事前起動された匿名セッション

サイトのデータベースに格納されているセッション追跡メタデータは、Session Managerで作成された、事前起動された匿名セッションを指定します。ユーザーが事前起動されたセッションのICAファイルを取得すると、セッションは標準の匿名セッションに変換され、再利用したり再接続したりすることはできません。事前起動されていない標準の匿名セッションは、Session Managerサービスによって接続または変更できません。

データフロー

Citrix Cloud Connectorは、ブローカー委任管理APIを介してクエリされる限られたメタデータセットを定期的にアップロードすることで、Session Managerサービスからの事前起動構成および監視を可能にしています。データには、デリバリーグループ名、セッション数、アプリケーション名、VDA数が含まれます。データは、ポート443のHTTPSサーバーにアップロードされます。

オンプレミスのStorefrontサーバーは標準の外部アクセス構成で構成され、すべてのICAトラフィックがNetscaler Gatewayを介してチャネルされます。Session Managerサービスは、Netscaler Gatewayを介してオンプレミスのStoreFrontに呼び出しを行い、匿名アプリケーションを列挙して起動します。オンプレミスのStorefrontサーバーは、単一のテナントおよびStorefrontストアに対してのみ要求が有効であることを保証する証明書ピン留めメカニズムを使用して、Session Managerサービスを信頼します。内部StoreFrontを外部アクセス用に構成する場合、内部StoreFrontから取得したICAファイルには、Session Managerサービスからの事前起動シーケンスを実行するために必要なすべての情報が含まれます。

データ分離

Session Managerサービスは、マルチテナントサービスです。各顧客のCitrix Cloud Connectorから収集されたメタデータは、このサービス内に保存されます。収集されたメタデータと構成情報は、テナント間に分離されます。承認されたCitrix管理者は、メンテナンスやトラブルシューティングの目的で収集されたメタデータや構成情報への内部アクセス権限を持っています。収集された顧客データおよび設定情報の外部クエリには、一意のWorkspace Cloud管理者資格情報が必要です。

Citrix Cloud Connectorのネットワークアクセス要件

Citrix Cloud Connectorではインターネットへの送信トラフィック用にポート443が開いている必要があり、HTTPプロキシの背後でホストできます。Citrix CloudでHTTPS用に使用される通信プロトコルは、TLS 1.0、1.1、または1.2です。内部ネットワーク内では、コネクタには、ヘルプデスク管理者レベルのブローカーへの委任管理アクセス権限が必要です。これは、Active DirectoryマシングループおよびCitrix Studioの管理者設定を使用して構成できます。

Citrix Gatewayアクセスの要件

Session Managerサービスは、NetScaler Gatewayを介して内部StoreFrontサーバーにトンネリングできる必要があります。アクセスを付与するには、少なくとも1つのCitrix Cloud ConnectorをゲートウェイのSTAサーバーとして構成します。Session Managerサービスは、内部接続用のCitrix Cloud STAサーバーからSTAチケットを取得します。チケットは、同じクラウドベースSTAサーバーへのCitrix Cloud Connectorの接続を介してNetScaler Gatewayによって引き換えられます。Citrix Cloud STAサーバーにアクセスできるCitrix Cloudサービスは、この構成で、NetScaler Gatewayを介して内部リソースに接続できます。

詳細情報

セキュリティ情報について詳しくは、次のリソースを参照してください:

注:

本記事は、Citrix Cloudのセキュリティ機能の概要を説明し、Citrix Cloud環境の保護に関するCitrixとお客様との間の責任分担を定義することを目的としています。Citrix Cloud、またはそのコンポーネントやサービスの構成および管理に関するガイダンスマニュアルではありません。