セキュリティで保護されたCitrix Cloudプラットフォームの展開ガイド
セキュリティで保護されたCitrix Cloudの展開ガイドは、Citrix Cloudを使用する時のセキュリティのベストプラクティスの概要と、Citrix Cloudが収集し管理する情報が記載されています。
サービスのセキュリティの技術概要
Citrix Cloudサービス内のデータセキュリティについて詳しくは、次の記事を参照してください:
- Analyticsのセキュリティの技術概要
- Endpoint Managementのセキュリティの技術概要
- Secure Browserのセキュリティの技術概要
- ShareFileのセキュリティの技術概要
- Citrix DaaSテクニカルセキュリティの概要
- Citrix DaaS Standard for Azureテクニカルセキュリティの概要
管理者向けガイダンス
- 強力なパスワードを使用し、定期的にパスワードを変更してください。
- 顧客アカウント内のすべての管理者は、他の管理者を追加および削除できます。信頼できる管理者だけがCitrix Cloudにアクセスできるようにしてください。
- 顧客の管理者には、デフォルトですべてのサービスへのフルアクセス権があります。サービスによっては、管理者のアクセスを制限する機能があります。詳しくは、サービスごとのドキュメントを参照してください。
- Citrix CloudとAzure Active Directoryとの統合により、管理者の2要素認証が実現します。
- デフォルトでは、Citrix Cloudは60分間何も操作しないと管理者セッションを自動的に終了します。この60分のタイムアウトは変更できません。_非アクティブ_とは、セッションが完全にアイドル状態であり、管理者がCitrix Cloudコンソールを操作していないことを意味します。_アクティビティ_とは、グラフィックインターフェイスのナビゲート、構成オプションの選択、構成変更の保存、変更が有効になるまでの待機などのアクションを指します。
パスワードコンプライアンス
Citrix Cloudは、次のいずれかの条件にあてはまる場合、管理者にパスワードを変更するよう要求します:
- 現在のパスワードが、サインインに使用されずに60日経った。
- 現在のパスワードが、侵害されたパスワードの既知のデータベースにリストされている。
新しいパスワードは、次のすべての基準を満たす必要があります:
- 文字数は最低8文字(最大128文字)
- 大文字と小文字をそれぞれ1つ以上含む
- 数字を1つ以上含む
- 特殊文字を1つ以上含む:! @ # $ % ^ * ? + = -
パスワードの変更ルール:
- 現在のパスワードを新しいパスワードとして使用することはできません。
- 直近で使用した5個のパスワードは再利用できません。
- 新しいパスワードは、アカウントのユーザー名に似たものにすることはできません。
- 新しいパスワードが、侵害されたパスワードの既知のデータベースにリストされているものであってはいけません。Citrix Cloudは、新しいパスワードがこの条件に違反しているかどうかをhttps://haveibeenpwned.com/で提供されているリストを使用して判断します。
暗号化とキー管理
Citrix Cloudのコントロールプレーンには機密の顧客情報は保存されません。代わりに、Citrix Cloudは管理者のパスワードなどの情報をオンデマンドで取得します(管理者に明示的にプロンプトを表示します)。重要なデータや暗号化されたデータは保存されていないため、キーを管理する必要はありません。
実行中のデータには、業界標準のTLS 1.2と最も強力な暗号の組み合わせがCitrixでは使用されます。Citrix CloudはCitrix所有のcloud.comドメインでホストされているため、顧客は使用中のTLS証明書を管理できません。Citrix Cloudにアクセスするには、TLS 1.2対応のブラウザーを使用して、承認済みの強力な暗号の組み合わせを構成している必要があります。
- Windows Server 2016、Windows Server 2019、またはWindows Server 2022からCitrix Cloudコントロールプレーンにアクセスする場合、次の強力な暗号をお勧めします:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Windows Server 2012 R2からCitrix Cloudコントロールプレーンにアクセスする場合、強力な暗号は使用できないため、次の暗号を使用する必要があります:TLS_DHE_RSA_WITH_AES_256_GCM_SHA384、TLS_DHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
各クラウドサービスの暗号化とキー管理について詳しくは、サービスごとのドキュメントを参照してください。
TLS 1.2構成について詳しくは、次の記事を参照してください:
- クライアントマシンでTLS 1.2の使用を強制する:CTX245765、エラー:「基になっている接続が閉じられました:送信時に予期しないエラーが発生しました」。Monitoring ServiceのODataエンドポイントにクエリするとき
- TLS 1.2用にShareFileストレージゾーンコントローラーを構成する:CTX209211、TLS v1.2受信接続用にStorageZoneコントローラーを構成します
- Microsoft Docs WebサイトでTLS1.2をサポートするように、.NET Frameworkを更新および構成します。
データ主権
Citrix Cloudコントロールプレーンは、米国および欧州連合でホストされています。顧客は管理できません。
顧客は、Citrix Cloudで使用するリソースの場所を所有および管理します。リソースの場所は、顧客が選択したデータセンター、クラウド、場所、または地理的な場所に作成できます。すべての重要なビジネスデータ(ドキュメント、スプレッドシートなど)はリソースの場所に保存され、顧客が管理します。
Content Collaborationでデータの格納場所を管理する方法については、次のドキュメントを参照してください:
- Content Collaborationのサービスに関するトピック
- ShareFileのセキュリティに関するよくある質問(英語)
- Citrix ShareFileのセキュリティとコンプライアンス(英語)
- オンプレミスストレージのストレージゾーンを実装する方法
他のサービスでは、異なるリージョンにデータを格納するオプションがあります。各サービスについては、「地理的な考慮事項」のトピックまたはこの記事の冒頭に記載されている「セキュリティの技術概要」を参照してください。
セキュリティ問題に関する情報
Webサイトstatus.cloud.comでは、顧客に継続的な影響を与えるセキュリティ問題について確認できます。このサイトは状態と稼働時間に関する情報を記録します。また、プラットフォームや個別サービスへの更新をサブスクライブするオプションがあります。
Citrix Cloud Connector
Cloud Connectorのインストール
セキュリティとパフォーマンスの観点から、ドメインコントローラーにCloud ConnectorソフトウェアをインストールしないことをCitrixではお勧めします。
さらに、Cloud Connectorソフトウェアがインストールされているマシンは、DMZ(Delimitarized Zone:非武装地帯)ではなく、顧客のプライベートネットワーク内に配置することを強くお勧めします。ネットワークとシステムの要件、およびCloud Connectorのインストール手順については、「Citrix Cloud Connector」を参照してください。
Cloud Connectorの構成
顧客は、Cloud ConnectorがインストールされているコンピューターをWindowsのセキュリティ更新プログラムで最新の状態に保つ責任があります。
Cloud Connectorは、ウイルス対策ソフトとともに使用できます。CitrixではMcAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8でテスト済みです。これ以外の業界標準のウイルス対策製品も使用できます。
顧客のActive Directory(AD)では、Cloud Connectorのマシンアカウントを読み取り専用アクセスに制限することを強くお勧めします。これはActive Directoryのデフォルトの構成です。また、Cloud ConnectorのマシンアカウントでADログおよび監査を有効にして、すべてのADアクセスアクティビティを監視できます。
Cloud Connectorをホストしているマシンへのログオン
Cloud Connectorを使用すると、機密性の高いセキュリティ情報をCitrix Cloudサービスの他のプラットフォームコンポーネントに渡すことができますが、次の機密情報も保存されます:
- Citrix Cloudと通信するためのサービスキー
- Citrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)の電源管理に使用するハイパーバイザーサービスの資格情報
この機密情報は、Cloud ConnectorをホストしているWindows Server上のデータ保護API(DPAPI)を使用して暗号化されます。最も権限のある管理者だけが、Cloud Connectorマシンに(保守操作のためなどに)ログオンできるようにすることをCitrixでは強くお勧めします。通常、Citrix製品を管理するために、管理者がこれらのマシンにログオンする必要はありません。Cloud Connectorには、自己管理機能があります。
Cloud Connectorをホストしているマシンには、エンドユーザーがログオンできないようにしてください。
Cloud Connectorマシンへの他のソフトウェアのインストール
顧客は、Cloud Connectorがインストールされているマシン上にウイルス対策ソフトウェアと(仮想マシンにインストールされている場合)ハイパーバイザーツールをインストールできます。ただし、Citrixは、これらのマシンに他のソフトウェアをインストールしないことをお勧めします。他のソフトウェアによって、セキュリティ攻撃の可能性を高めることになり、Citrix Cloudソリューション全体のセキュリティが低下することがあります。
送受信ポートの構成
Cloud Connectorでは、インターネットへのアクセスに送信ポート443を開く必要があります。Cloud Connectorにインターネットからアクセス可能な受信ポートを設定しないことを強くお勧めします。
顧客は、送信インターネット通信を監視するために、Webプロキシの背後にCloud Connectorを配置できます。ただし、WebプロキシはSSL/TLS暗号化通信をサポートする必要があります。
Cloud Connectorには、インターネットにアクセスできる送信ポートがある場合もあります。追加のポートが利用可能な場合、ネットワーク帯域幅とパフォーマンスを最適化するために、Cloud Connectorは幅広いポートにわたってネゴシエートします。
Cloud Connectorは、内部ネットワーク内で、広範囲の受信ポートと送信ポートを開く必要があります。次の表は、開放する必要があるポートの基本セットです。
| クライアントポート | サーバーポート | Service |
|---|---|---|
| 49152~65535/UDP | 123/UDP | W32Time |
| 49152~65535/TCP | 135/TCP | RPCエンドポイントマッパー |
| 49152~65535/TCP | 464/TCP/UDP | Kerberosパスワードの変更 |
| 49152~65535/TCP | 49152~65535/TCP | LSA、SAM、NetlogonのRPC(*) |
| 49152~65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152~65535/TCP | 636/TCP | LDAP SSL |
| 49152~65535/TCP | 3268/TCP | LDAP GC |
| 49152~65535/TCP | 3269/TCP | LDAP GC SSL |
| 53、49152~65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152~65535/TCP | 49152~65535/TCP | FRS RPC(*) |
| 49152~65535/TCP/UDP | 88/TCP/UDP | kerberos |
| 49152~65535/TCP/UDP | 445/TCP | SMB |
Citrix Cloud内で使用される各サービスによっては、必要なオープンポート一覧は拡張されます。詳しくは、次のドキュメントを参照してください:
- 各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)
- Citrix Cloudサービスのインターネット接続の要件
- Application Delivery Managementサービスポートの要件
- Endpoint Managementポートの要件
外部通信の監視
Cloud Connectorは、ポート443上でCitrix CloudサーバーとMicrosoft Azure Service Busサーバーの両方でインターネットと通信します。
Cloud Connectorは、ホストコンピューターが存在するActive Directoryフォレスト内にあるローカルネットワーク上のドメインコントローラーと通信します。
通常の操作では、 Cloud ConnectorはCitrix Cloudユーザーインターフェイスの [IDおよびアクセス管理] ページで無効になっていないドメイン内のドメインコントローラーとのみ通信します。
Citrix Cloud内のサービスごとに、Cloud Connectorが通常の操作の過程で通信する可能性があるサーバーと内部リソースの一覧は拡張されます。また、Cloud ConnectorがCitrixに送信するデータを顧客が管理することはできません。サービスの内部リソースとCitrixに送信されるデータについて詳しくは、次のドキュメントを参照してください:
- 各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)
- Citrix Cloudサービスのインターネット接続の要件
Cloud Connectorログの表示
管理者に関連する情報、または対応が必要な情報は、Cloud ConnectorマシンのWindowsイベントログで確認できます。
次のディレクトリでCloud Connectorのインストールログを表示します:
- %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
- %windir%\Temp\CitrixLogs\CloudServicesSetup
Cloud Connectorがクラウドに送信するログは、%ProgramData%\Citrix\WorkspaceCloud\Logsにあります。
WorkspaceCloud\Logsディレクトリのログは、指定したサイズのしきい値を超えると削除されます。管理者は、HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytesのレジストリキー値を調整することによって、このサイズのしきい値を制御できます。
SSL/TLS構成
Cloud ConnectorをホストするWindows Serverでは、「暗号化とキー管理」で説明されている暗号を有効にする必要があります。
Cloud Connectorが、Citrix Cloud SSL/TLS証明書およびMicrosoft Azure Service Bus SSL/TLS証明書で使用される証明機関(CA)を信頼する必要があります。CitrixとMicrosoftは今後、証明書とCAを変更する可能性がありますが、Windowsの標準の信頼された発行元一覧にあるCAを常に使用します。
Citrix Cloud内の各サービスのSSL構成要件は異なることがあります。詳しくは、各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)を参照してください。
セキュリティコンプライアンス
Cloud Connectorは、自己管理機能によって確実なセキュリティコンプライアンスを実現します。再起動を無効にしたり、Cloud Connectorに他の制限を設定したりしないでください。こうした操作により、重要な更新がある時にCloud Connectorが更新されなくなります。
顧客側で、セキュリティ上の問題に対応するための特別な操作は必要ありません。セキュリティ上の修正プログラムは自動的に適用されます。
クラウドサービス用のCitrixコネクタアプライアンス
コネクタアプライアンスのインストール
コネクタアプライアンスはハイパーバイザーでホストされます。このハイパーバイザーは、DMZではなく、プライベートネットワーク内にある必要があります。
コネクタアプライアンスが、デフォルトでアクセスをブロックするファイアウォール内にあることを確認してください。許可リストを使用して、コネクタアプライアンスからの想定されるトラフィックのみを許可します。
コネクタアプライアンスをホストするハイパーバイザーが、最新のセキュリティアップデートが適用された状態でインストールされていることを確認してください。
ネットワークとシステムの要件、およびコネクタアプライアンスのインストール手順については、「クラウドサービス用のコネクタアプライアンス」を参照してください。
コネクタアプライアンスをホストするハイパーバイザーへのログオン
コネクタアプライアンスには、Citrix Cloudと通信するためのサービスキーが含まれています。最も権限のある管理者だけが、コネクタアプライアンスをホストしているハイパーバイザーに(保守操作のためなどに)ログオンできるようにします。通常、Citrix製品を管理するために、管理者がこれらのハイパーバイザーにログオンする必要はありません。コネクタアプライアンスには、自己管理機能があります。
送受信ポートの構成
コネクタアプライアンスでは、インターネットへのアクセスに送信ポート443を開く必要があります。コネクタアプライアンスにインターネットからアクセス可能な受信ポートを設定しないことを強くお勧めします。
送信インターネット通信を監視するために、Webプロキシの背後にコネクタアプライアンスを配置できます。ただし、WebプロキシはSSL/TLS暗号化通信をサポートする必要があります。
コネクタアプライアンスには、インターネットにアクセスできる送信ポートがある場合もあります。追加のポートが利用可能な場合、ネットワーク帯域幅とパフォーマンスを最適化するために、コネクタアプライアンスは幅広いポートにわたってネゴシエートします。
内部ネットワーク内では、広範囲の受信ポートと送信ポートを開く必要があります。次の表は、開放する必要があるポートの基本セットです。
| 接続方向 | コネクタアプライアンスポート | 外部ポート | Service |
|---|---|---|---|
| 受信 | 443/TCP | 任意 | ローカルWeb UI |
| 送信 | 49152-65535/UDP | 123/UDP | NTP |
| 送信 | 53、49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 送信 | 67/UDP | 68/UDP | DHCPとブロードキャスト |
| 送信 | 49152~65535/UDP | 123/UDP | W32Time |
| 送信 | 49152~65535/TCP | 464/TCP/UDP | Kerberosパスワードの変更 |
| 送信 | 49152~65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 送信 | 49152~65535/TCP | 636/TCP | LDAP SSL |
| 送信 | 49152~65535/TCP | 3268/TCP | LDAP GC |
| 送信 | 49152~65535/TCP | 3269/TCP | LDAP GC SSL |
| 送信 | 49152~65535/TCP/UDP | 88/TCP/UDP | kerberos |
| 送信 | 49152~65535/TCP/UDP | 445/TCP | SMB |
| 送信 | 137/UDP | 137/UDP | NetBIOSネームサービス |
| 送信 | 138/UDP | 138/UDP | NetBIOSデータグラム |
| 送信 | 139/TCP | 139/TCP | NetBIOSセッション |
Citrix Cloud内で使用される各サービスによっては、必要なオープンポート一覧は拡張されます。詳しくは、次のドキュメントを参照してください:
- 各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)
- Citrix Cloudサービスのシステムと接続の要件
外部通信の監視
コネクタアプライアンスは、ポート443においてCitrix Cloudサーバーでインターネットと通信します。
Citrix Cloud内のサービスごとに、コネクタアプライアンスが通常の操作の過程で通信する可能性があるサーバーと内部リソースの一覧は拡張されます。また、コネクタアプライアンスがCitrixに送信するデータを顧客が管理することはできません。サービスの内部リソースとCitrixに送信されるデータについて詳しくは、次のドキュメントを参照してください:
- 各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)
- Citrix Cloudサービスのシステムと接続の要件
コネクタアプライアンスログの表示
さまざまなログファイルを含むコネクタアプライアンスの診断レポートをダウンロードできます。このレポートの取得について詳しくは、「クラウドサービス用のコネクタアプライアンス」を参照してください。
SSL/TLS構成
コネクタアプライアンスでは、特にSSL/TLS構成は必要ありません。
コネクタアプライアンスは、Citrix Cloud SSL/TLS証明書で使用される証明機関(CA)を信頼します。Citrixは将来的に証明書とCAを変更する可能性がありますが、必ずコネクタアプライアンスが信頼するCAを使用します。
Citrix Cloud内の各サービスのSSL構成要件は異なることがあります。詳しくは、各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)を参照してください。
セキュリティコンプライアンス
セキュリティコンプライアンスを確保するため、コネクタコンプライアンスは自己管理機能を備えており、コンソールからはログインできません。
コネクタのセキュリティ上の問題に対応するための特別な操作は必要ありません。セキュリティ上の修正プログラムは自動的に適用されます。
コネクタアプライアンスをホストするハイパーバイザーが、最新のセキュリティアップデートが適用された状態でインストールされていることを確認してください。
Active Directory(AD)では、コネクタアプライアンスのマシンアカウントを読み取り専用アクセスに制限することをお勧めします。これはActive Directoryのデフォルトの構成です。また、コネクタアプライアンスのマシンアカウントでADログおよび監査を有効にして、すべてのADアクセスアクティビティを監視できます。
不正使用されたアカウントの処理に関するガイダンス
- Citrix Cloudの管理者リストを監査し、信頼されていないユーザーを削除してください。
- 社内のActive Directory内の侵害されたアカウントを無効にしてください。
- Citrixに連絡して、すべての顧客のCloud Connectorに格納されている認証シークレットのローテーションを要求してください。違反の重大度に応じて、次の処置を講じてください。
- 低リスク: Citrixは、経過時間によってシークレットをローテーションできます。Cloud Connectorは引き続き通常どおりに機能します。古い認証シークレットは2〜4週間で無効になります。この間Cloud Connectorを監視して、予期しない操作がないことを確認します。
- 進行中の高リスク: Citrixはすべての古いシークレットを取り消すことができます。既存のCloud Connectorは機能しなくなります。通常の操作を再開するには、該当するすべてのマシンでCloud Connectorをアンインストールして再インストールする必要があります。