セキュリティで保護されたCitrix Cloudプラットフォームの展開ガイド
セキュリティで保護されたCitrix Cloudの展開ガイドは、Citrix Cloudを使用する時のセキュリティのベストプラクティスの概要と、Citrix Cloudが収集し管理する情報が記載されています。
以下の記事は、Citrix Cloudの他のサービスに関する同様の情報を提供しています:
- 分析技術セキュリティの概要
- Endpoint Managementのセキュリティの技術概要
- Secure Browserのセキュリティの技術概要
- ShareFileのセキュリティの技術概要
- Virtual Apps and Desktopsのセキュリティの技術概要
- Virtual Apps and Desktops Standard for Azureのセキュリティの技術概要
コントロールプレーン
管理者向けガイダンス
- 強力なパスワードを使用し、定期的にパスワードを変更してください。
- 顧客アカウント内のすべての管理者は、他の管理者を追加および削除できます。信頼できる管理者だけがCitrix Cloudにアクセスできるようにしてください。
- 顧客の管理者には、デフォルトですべてのサービスへのフルアクセス権があります。サービスによっては、管理者のアクセスを制限する機能があります。詳しくは、サービスごとのドキュメントを参照してください。
- Citrix CloudとAzure Active Directoryとの統合により、管理者の2要素認証が実現します。
- デフォルトでは、Citrix Cloudは60分間何も操作しないと管理者セッションを自動的に終了します。この60分のタイムアウトは変更できません。_非アクティブ_とは、セッションが完全にアイドル状態であり、管理者がCitrix Cloudコンソールを操作していないことを意味します。_アクティビティ_とは、グラフィックインターフェイスのナビゲート、構成オプションの選択、構成変更の保存、変更が有効になるまでの待機などのアクションを指します。
パスワードコンプライアンス
現在のパスワードが設定から60日以上経過している場合、Citrix Cloudで管理者にパスワードの変更が要求されます。新しいパスワードは、次のすべての基準を満たす必要があります:
- 長さが12文字以上
- 大文字と小文字をそれぞれ1つ以上含む
- 数字を1つ以上含む
- 特殊文字を1つ以上含む:! @ # $ % ^ * ? + = -
パスワードの変更ルール:
- 現在のパスワード内の文字を少なくとも1つ変更する必要があります。現在のパスワードを新しいパスワードとして使用することはできません。
- 直近で使用した24個のパスワードは再利用できません。
- 新しいパスワードは、設定から1日間は変更できません。
暗号化とキー管理
コントロールプレーンには機密の顧客情報は保存されません。代わりに、Citrix Cloudは管理者のパスワードなどの情報をオンデマンドで取得します(管理者に明示的にプロンプトを表示します)。重要なデータや暗号化されたデータは保存されていないため、キーを管理する必要はありません。
実行中のデータには、業界標準のTLS 1.2と最も強力な暗号の組み合わせがCitrixでは使用されます。Citrix Cloudはシトリックス所有のcloud.comドメインでホストされているため、顧客は使用中のTLS証明書を管理できません。Citrix Cloudにアクセスするには、TLS 1.2対応のブラウザーを使用して、承認済みの強力な暗号の組み合わせを構成している必要があります。
- Cloud ConnectorがWindows Server 2016またはWindows Server 2019にインストールされている場合は、次の強力な暗号の組み合わせをお勧めします:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- Cloud ConnectorがWindows Server 2012 R2にインストールされている場合、強力な暗号の組み合わせは使用できないため、次の暗号の組み合わせを使用する必要があります:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
各サービスの暗号化とキー管理について詳しくは、サービスごとのドキュメントを参照してください。
データ主権
Citrix Cloudコントロールプレーンは、米国および欧州連合でホストされています。顧客は管理できません。
顧客は、Citrix Cloudで使用するリソースの場所を所有および管理します。リソースの場所は、顧客が選択したデータセンター、クラウド、場所、または地理的な場所に作成できます。すべての重要なビジネスデータ(ドキュメント、スプレッドシートなど)はリソースの場所に保存され、顧客が管理します。
Content Collaborationでデータの格納場所を管理する方法については、次のドキュメントを参照してください:
- Content Collaborationサービスのドキュメント
- ShareFileのセキュリティに関するよくある質問(英語)
- Citrix ShareFileのセキュリティとコンプライアンス(英語)
- オンプレミスストレージのストレージゾーンを実装する方法
他のサービスでは、異なるリージョンにデータを格納するオプションがあります。各サービスについては、「地理的な考慮事項」のトピックまたはこの記事の冒頭にも記載されているセキュリティの技術概要を参照してください。
セキュリティ問題に関する情報
Webサイトstatus.cloud.comでは、顧客に継続的な影響を与えるセキュリティ問題について確認できます。このサイトは状態と稼働時間に関する情報を記録します。また、プラットフォームや個別サービスへの更新をサブスクライブするオプションがあります。
Citrix Cloud Connector
Cloud Connectorのインストール
セキュリティとパフォーマンス上の理由から、ドメインコントローラーにCloud Connectorソフトウェアをインストールしないでください。
さらに、Cloud Connectorソフトウェアがインストールされているマシンは、DMZ(Delimitarized Zone:非武装地帯)ではなく、顧客のプライベートネットワーク内に配置することを強くお勧めします。ネットワークとシステムの要件、およびCloud Connectorのインストール手順については、「Citrix Cloud Connector」を参照してください。
Cloud Connectorの構成
顧客は、Cloud ConnectorがインストールされているコンピューターをWindowsのセキュリティ更新プログラムで最新の状態に保つ責任があります。
Cloud Connectorは、ウイルス対策ソフトとともに使用できます。CitrixではMcAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8でテスト済みです。これ以外の業界標準のウイルス対策製品も使用できます。
顧客のActive Directory(AD)では、Cloud Connectorのマシンアカウントを読み取り専用アクセスに制限することを強くお勧めします。これはActive Directoryのデフォルトの構成です。また、Cloud ConnectorのマシンアカウントでADログおよび監査を有効にして、すべてのADアクセスアクティビティを監視できます。
Cloud Connectorをホストしているマシンへのログオン
Cloud Connectorを使用すると、機密性の高いセキュリティ情報をCitrix Cloudサービスの他のプラットフォームコンポーネントに渡すことができますが、次の機密情報も保存されます:
- Citrix Cloudと通信するためのサービスキー
- Citrix Virtual Apps and Desktopsの電源管理に使用するハイパーバイザーサービスの資格情報
この機密情報は、Cloud ConnectorをホストしているWindows Server上のデータ保護API(DPAPI)を使用して暗号化されます。最も権限のある管理者だけが、Cloud Connectorマシンに(保守操作のためなどに)ログオンできるようにすることを強くお勧めします。通常、Citrix製品を管理するために、管理者がこれらのマシンにログオンする必要はありません。Cloud Connectorには、自己管理機能があります。
Cloud Connectorをホストしているマシンには、エンドユーザーがログオンできないようにしてください。
Cloud Connectorマシンへの他のソフトウェアのインストール
顧客は、Cloud Connectorがインストールされているマシン上にウイルス対策ソフトウェアと(仮想マシンにインストールされている場合)ハイパーバイザーツールをインストールできます。これらのマシンには、それ以外のソフトウェアをインストールしないでください。他のソフトウェアによって、セキュリティ攻撃の可能性を高めることになり、Citrix Cloudソリューション全体のセキュリティが低下することがあります。
送受信ポートの構成
Cloud Connectorでは、インターネットへのアクセスに送信ポート443を開く必要があります。Cloud Connectorにインターネットからアクセス可能な受信ポートを設定しないことを強くお勧めします。
顧客は、送信インターネット通信を監視するために、Webプロキシの背後にCloud Connectorを配置できます。ただし、WebプロキシはSSL/TLS暗号化通信をサポートする必要があります。
Cloud Connectorには、インターネットにアクセスできる送信ポートがある場合もあります。追加のポートが利用可能な場合、ネットワーク帯域幅とパフォーマンスを最適化するために、Cloud Connectorは幅広いポートにわたってネゴシエートします。
内部ネットワーク内では、Citrix Connector用に広範囲の受信ポートと送信ポートを開く必要があります。次の表は、開放する必要があるポートの基本セットです。
| クライアントポート | サーバーポート | サービス |
|---|---|---|
| 49152~65535/UDP | 123/UDP | W32Time |
| 49152~65535/TCP | 135/TCP | RPCエンドポイントマッパー |
| 49152~65535/TCP | 464/TCP/UDP | Kerberosパスワードの変更 |
| 49152~65535/TCP | 49152~65535/TCP | LSA、SAM、NetlogonのRPC(*) |
| 49152~65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152~65535/TCP | 636/TCP | LDAP SSL |
| 49152~65535/TCP | 3268/TCP | LDAP GC |
| 49152~65535/TCP | 3269/TCP | LDAP GC SSL |
| 53、49152~65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152~65535/TCP | 49152~65535/TCP | FRS RPC(*) |
| 49152~65535/TCP/UDP | 88/TCP/UDP | kerberos |
| 49152~65535/TCP/UDP | 445/TCP | SMB |
Citrix Cloud内で使用される各サービスによっては、必要なオープンポート一覧は拡張されます。詳しくは、次のドキュメントを参照してください:
- 各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)
- Citrix Cloudサービスの「インターネット接続の要件」
- Application Delivery Managementサービスポートの要件
- Endpoint Managementポートの要件
外部通信の監視
Cloud Connectorは、ポート443上でCitrix CloudサーバーとMicrosoft Azure Service Busサーバーの両方でインターネットと通信します。
Cloud Connectorは、ホストコンピューターが存在するActive Directoryフォレスト内にあるローカルネットワーク上のドメインコントローラーと通信します。
通常の操作では、 Cloud ConnectorはCitrix Cloudユーザーインターフェイスの [IDおよびアクセス管理] ページで無効になっていないドメイン内のドメインコントローラーとのみ通信します。
Citrix Cloud内のサービスごとに、Cloud Connectorが通常の操作の過程で通信する可能性があるサーバーと内部リソースの一覧は拡張されます。また、Cloud Connectorがシトリックスに送信するデータを顧客が管理することはできません。サービスの内部リソースとシトリックスに送信されるデータについて詳しくは、次のドキュメントを参照してください:
- 各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)
- Citrix Cloudサービスの「インターネット接続の要件」
Cloud Connectorログの表示
管理者に関連する情報、または対応が必要な情報は、Cloud ConnectorマシンのWindowsイベントログで確認できます。
次のディレクトリでCloud Connectorのインストールログを表示します:
- %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
- %windir%\Temp\CitrixLogs\CloudServicesSetup
Cloud Connectorがクラウドに送信するログは、%ProgramData%\Citrix\WorkspaceCloud\Logsにあります。
WorkspaceCloud\Logsディレクトリのログは、指定したサイズのしきい値を超えると削除されます。管理者は、HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytesのレジストリキー値を調整することによって、このサイズのしきい値を制御できます。
SSL/TLS構成
Cloud Connectorの基本構成では、特にSSL/TLS構成は必要ありません。
Cloud Connectorは、Citrix Cloud SSL/TLS証明書およびMicrosoft Azure Service Bus SSL/TLS証明書で使用される証明機関(CA)を信頼する必要があります。シトリックスとMicrosoftは今後、証明書とCAを変更する可能性がありますが、Windowsの標準の信頼された発行元一覧にあるCAを常に使用します。
Citrix Cloud内の各サービスのSSL構成要件は異なることがあります。詳しくは、各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)を参照してください。
セキュリティコンプライアンス
Cloud Connectorは、自己管理機能によって確実なセキュリティコンプライアンスを実現します。再起動を無効にしたり、Cloud Connectorに他の制限を設定したりしないでください。こうした操作により、重要な更新がある時にCloud Connectorが更新されなくなります。
顧客側で、セキュリティ上の問題に対応するための特別な操作は必要ありません。セキュリティ上の修正プログラムは自動的に適用されます。
クラウドサービス用のCitrixコネクタアプライアンス
コネクタアプライアンスのインストール
コネクタアプライアンスはハイパーバイザーでホストされます。このハイパーバイザーは、DMZではなく、プライベートネットワーク内にある必要があります。
コネクタアプライアンスが、デフォルトでアクセスをブロックするファイアウォール内にあることを確認してください。許可リストを使用して、コネクタアプライアンスからの想定されるトラフィックのみを許可します。
コネクタアプライアンスをホストするハイパーバイザーが、最新のセキュリティアップデートが適用された状態でインストールされていることを確認してください。
ネットワークとシステムの要件、およびコネクタアプライアンスのインストール手順については、「クラウドサービス用のコネクタアプライアンス」を参照してください。
コネクタアプライアンスをホストするハイパーバイザーへのログオン
コネクタアプライアンスには、Citrix Cloudと通信するためのサービスキーが含まれています。最も権限のある管理者だけが、コネクタアプライアンスをホストしているハイパーバイザーに(保守操作のためなどに)ログオンできるようにします。通常、シトリックス製品を管理するために、管理者がこれらのハイパーバイザーにログオンする必要はありません。コネクタアプライアンスには、自己管理機能があります。
送受信ポートの構成
コネクタアプライアンスでは、インターネットへのアクセスに送信ポート443を開く必要があります。コネクタアプライアンスにインターネットからアクセス可能な受信ポートを設定しないことを強くお勧めします。
送信インターネット通信を監視するために、Webプロキシの背後にコネクタアプライアンスを配置できます。ただし、WebプロキシはSSL/TLS暗号化通信をサポートする必要があります。
コネクタアプライアンスには、インターネットにアクセスできる送信ポートがある場合もあります。追加のポートが利用可能な場合、ネットワーク帯域幅とパフォーマンスを最適化するために、コネクタアプライアンスは幅広いポートにわたってネゴシエートします。
内部ネットワーク内では、広範囲の受信ポートと送信ポートを開く必要があります。次の表は、開放する必要があるポートの基本セットです。
| 接続方向 | コネクタアプライアンスポート | 外部ポート | サービス |
|---|---|---|---|
| 受信 | 443/TCP | 任意 | ローカルWeb UI |
| 送信 | 49152-65535/UDP | 123/UDP | NTP |
| 送信 | 53、49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 送信 | 67/UDP | 68/UDP | DHCPとブロードキャスト |
Citrix Cloud内で使用される各サービスによっては、必要なオープンポート一覧は拡張されます。詳しくは、次のドキュメントを参照してください:
- 各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)
- Citrix Cloudサービスの「システムおよび接続要件」
外部通信の監視
コネクタアプライアンスは、ポート443においてCitrix Cloudサーバーでインターネットと通信します。
Citrix Cloud内のサービスごとに、コネクタアプライアンスが通常の操作の過程で通信する可能性があるサーバーと内部リソースの一覧は拡張されます。また、コネクタアプライアンスがシトリックスに送信するデータを顧客が管理することはできません。サービスの内部リソースとシトリックスに送信されるデータについて詳しくは、次のドキュメントを参照してください:
- 各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)
- Citrix Cloudサービスの「システムおよび接続要件」
コネクタアプライアンスログの表示
さまざまなログファイルを含むコネクタアプライアンスの診断レポートをダウンロードできます。このレポートの取得について詳しくは、「クラウドサービス用のコネクタアプライアンス」を参照してください。
SSL/TLS構成
コネクタアプライアンスでは、特にSSL/TLS構成は必要ありません。
コネクタアプライアンスは、Citrix Cloud SSL/TLS証明書で使用される証明機関(CA)を信頼します。シトリックスは将来的に証明書とCAを変更する可能性がありますが、必ずコネクタアプライアンスが信頼するCAを使用します。
Citrix Cloud内の各サービスのSSL構成要件は異なることがあります。詳しくは、各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)を参照してください。
セキュリティコンプライアンス
セキュリティコンプライアンスを確保するため、コネクタコンプライアンスは自己管理機能を備えており、コンソールからはログインできません。
コネクタのセキュリティ上の問題に対応するための特別な操作は必要ありません。セキュリティ上の修正プログラムは自動的に適用されます。
コネクタアプライアンスをホストするハイパーバイザーが、最新のセキュリティアップデートが適用された状態でインストールされていることを確認してください。
不正使用されたアカウントの処理に関するガイダンス
- Citrix Cloudの管理者リストを監査し、信頼されていないユーザーを削除してください。
- 社内のActive Directory内の侵害されたアカウントを無効にしてください。
- シトリックスに連絡して、すべての顧客のCloud Connectorに格納されている認証シークレットのローテーションを要求してください。違反の重大度に応じて、次の処置を講じてください。
- 低リスク: シトリックスは、長期にわたりシークレットをローテーションできます。Cloud Connectorは引き続き通常どおりに機能します。古い認証シークレットは2〜4週間で無効になります。この間Cloud Connectorを監視して、予期しない操作がないことを確認します。
- 進行中の高リスク: シトリックスはすべての古いシークレットを取り消すことができます。既存のCloud Connectorは機能しなくなります。通常の操作を再開するには、該当するすべてのマシンでCloud Connectorをアンインストールして再インストールする必要があります。