セキュリティで保護されたCitrix Cloudプラットフォームの展開ガイド

セキュリティで保護されたCitrix Cloudの展開ガイドは、Citrix Cloudを使用する時のセキュリティのベストプラクティスの概要と、Citrix Cloudが収集し管理する情報が記載されています。

以下の記事は、Citrix Cloudの他のサービスに関する同様の情報を提供しています:

コントロールプレーン

管理者向けガイダンス

  • 強力なパスワードを使用し、定期的にパスワードを変更してください。
  • 顧客アカウント内のすべての管理者は、他の管理者を追加および削除できます。信頼できる管理者だけがCitrix Cloudにアクセスできるようにしてください。
  • 顧客の管理者には、デフォルトですべてのサービスへのフルアクセス権があります。サービスによっては、管理者のアクセスを制限する機能があります。詳しくは、サービスごとのドキュメントを参照してください。
  • Citrix CloudとAzure Active Directoryとの統合により、管理者の2要素認証が実現します。

暗号化とキー管理

コントロールプレーンには機密の顧客情報は保存されません。代わりに、Citrix Cloudは管理者のパスワードなどの情報をオンデマンドで取得します(管理者に明示的にプロンプトを表示するよう求めます)。重要なデータや暗号化されたデータは保存されていないため、キーを管理する必要はありません。

実行中のデータには、業界標準のTLS 1.2と最も強力な暗号の組み合わせが使用されます。Citrix Cloudはシトリックス所有のcloud.comドメインでホストされているため、顧客は使用中のTLS証明書を管理できません。Citrix Cloudにアクセスするには、強力な暗号の組み合わせを備えたTLS 1.2対応のブラウザーを使用する必要があります。

各サービスの暗号化とキー管理について詳しくは、サービスごとのドキュメントを参照してください。

データ主権

Citrix Cloudコントロールプレーンは、米国および欧州連合でホストされています。顧客は管理できません。

顧客は、Citrix Cloudで使用するリソースの場所を所有および管理します。リソースの場所は、顧客が選択したデータセンター、クラウド、場所、または地理的な場所に作成できます。すべての重要なビジネスデータ(ドキュメント、スプレッドシートなど)はリソースの場所に保存され、顧客が管理します。

Content Collaborationでデータの格納場所を管理する方法については、次のドキュメントを参照してください:

他のサービスでは、異なる地域にデータを格納するオプションがあります。各サービスについては、「地理的な考慮事項」のトピックまたはこの記事の冒頭に記載されている「セキュリティの技術概要」を参照してください。

監査と変更管理

現在、Citrix CloudのユーザーインターフェイスまたはAPIには、ユーザーが表示できる監査や変更管理機能はありません。

シトリックスには、広範囲にわたる内部監査情報があります。不安を感じられた場合は、30日以内にシトリックスにお問い合わせください。シトリックスでは、監査ログを確認して、操作を実行した管理者、実行日、操作に関連付けられたIPアドレスなどを判断します。

セキュリティ問題に関する情報

Webサイトstatus.cloud.comでは、顧客に継続的な影響を与えるセキュリティ問題について確認できます。このサイトは状態と稼働時間に関する情報を記録します。また、プラットフォームや個別サービスへの更新をサブスクライブするオプションがあります。

Citrix Cloud Connector

Cloud Connectorのインストール

セキュリティとパフォーマンス上の理由から、ドメインコントローラーにCloud Connectorソフトウェアをインストールしないでください。

さらに、Cloud Connectorソフトウェアがインストールされているマシンは、DMZ(Delimitarized Zone:非武装地帯)ではなく、顧客のプライベートネットワーク内に配置する必要があります。ネットワークとシステムの要件、およびCloud Connectorのインストール手順については、「Citrix Cloud Connector」を参照してください。

Cloud Connectorの構成

顧客は、Cloud ConnectorがインストールされているコンピューターをWindowsのセキュリティ更新プログラムで最新の状態に保つ責任があります。

Cloud Connectorは、ウイルス対策ソフトとともに使用できます。McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8との使用はテスト済みです。これ以外の業界標準のウイルス対策製品も使用できます。

顧客のActive Directory(AD)では、Cloud Connectorのマシンアカウントを読み取り専用アクセスに制限する必要があります。これはActive Directoryのデフォルトの構成です。さらに、Cloud ConnectorのマシンアカウントでADログおよび監査を有効にして、すべてのADアクセスアクティビティを監視できます。

Cloud Connectorをホストしているマシンへのログオン

Cloud Connectorには、管理パスワードなどの機密情報が含まれています。最も権限のある管理者だけが、Cloud Connectorをホストしているマシンに(保守操作のためなどに)ログオンできるようにする必要があります。通常、シトリックス製品を管理するために、管理者がこれらのマシンにログオンする必要はありません。Cloud Connectorには、自己管理機能があります。

Cloud Connectorをホストしているマシンには、エンドユーザーがログオンできないようにしてください。

Cloud Connectorマシンへの追加ソフトウェアのインストール

顧客は、Cloud Connectorがインストールされているマシン上にウイルス対策ソフトウェアと(仮想マシンにインストールされている場合)ハイパーバイザーツールをインストールできます。これらのマシンには、それ以外のソフトウェアをインストールしないでください。他のソフトウェアによって、セキュリティ攻撃の可能性を高めることになり、Citrix Cloudソリューション全体のセキュリティが低下することがあります。

送受信ポートの構成

Cloud Connectorでは、インターネットへのアクセスに送信ポート443を開く必要があります。Cloud Connectorにインターネットからアクセスするための受信ポートは必要ありません。

顧客は、送信インターネット通信を監視するために、Webプロキシの背後にCloud Connectorを配置できます。ただし、WebプロキシはSSL/TLS暗号化通信で動作する必要があります。

Cloud Connectorには、インターネットにアクセスできる追加の送信ポートがある場合もあります。追加のポートが利用可能な場合、ネットワーク帯域幅とパフォーマンスを最適化するために、Cloud Connectorは幅広いポートにわたってネゴシエートします。

内部ネットワーク内では、広範囲の受信ポートと送信ポートを開く必要があります。次の表は、開放する必要があるポートの基本セットです。

クライアントポート サーバーポート サービス
49152~65535/UDP 123/UDP W32Time
49152~65535/TCP 135/TCP RPCエンドポイントマッパー
49152~65535/TCP 464/TCP/UDP Kerberosパスワードの変更
49152~65535/TCP 49152~65535/TCP LSA、SAM、NetlogonのRPC(*)
49152~65535/TCP/UDP 389/TCP/UDP LDAP
49152~65535/TCP 636/TCP LDAP SSL
49152~65535/TCP 3268/TCP LDAP GC
49152~65535/TCP 3269/TCP LDAP GC SSL
53、49152~65535/TCP/UDP 53/TCP/UDP DNS
49152~65535/TCP 49152~65535/TCP FRS RPC(*)
49152~65535/TCP/UDP 88/TCP/UDP kerberos
49152~65535/TCP/UDP 445/TCP SMB

Citrix Cloud内で使用される各サービスによっては、必要なオープンポート一覧は拡張されます。詳しくは、次のドキュメントを参照してください:

外部通信の監視

Cloud Connectorは、ポート443上でCitrix CloudサーバーとMicrosoft Azure Service Busサーバーの両方でインターネットと通信します。

Cloud Connectorは、ホストコンピューターが存在するActive Directoryフォレスト内にあるローカルネットワーク上のドメインコントローラーと通信します。

通常の操作では、Citrix Cloudユーザーインターフェイスの [IDおよびアクセス管理] ページで [サブスクリプションに使用] として一覧表示されているドメイン内のドメインコントローラーとのみ通信します。

[サブスクリプションに使用] として構成するためにドメインを選択する場合、Cloud Connectorをホストしているコンピューターが存在するActive Directoryフォレスト内にある、すべてのドメインコントローラーと通信します。

Citrix Cloud内のサービスごとに、Cloud Connectorが通常の操作の過程で通信する可能性があるサーバーと内部リソースの一覧は拡張されます。また、Cloud Connectorがシトリックスに送信するデータを顧客が管理することはできません。サービスの内部リソースとシトリックスに送信されるデータについて詳しくは、次のドキュメントを参照してください:

Cloud Connectorログの表示

管理者に関連する情報、または対応が必要な情報は、Cloud ConnectorマシンのWindowsイベントログで確認できます。

次のディレクトリでCloud Connectorのインストールログを表示します:

  • %AppData%\Local\Temp\CitrixLogs\CloudServicesSetup
  • %windir%\Temp\CitrixLogs\CloudServicesSetup

Cloud Connectorがクラウドに送信するログは、%ProgramData%\Citrix\WorkspaceCloud\Logsにあります。

WorkspaceCloud\Logsディレクトリのログは、指定したサイズのしきい値を超えると削除されます。管理者は、HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CloudServices\AgentAdministration\MaximumLogSpaceMegabytesのレジストリキー値を調整することによって、このサイズのしきい値を制御できます。

SSL/TLS構成

Cloud Connectorの基本構成では、特にSSL/TLS構成は必要ありません。

Cloud Connectorは、Citrix Cloud SSL/TLS証明書およびMicrosoft Azure Service Bus SSL/TLS証明書で使用される証明機関(CA)を信頼する必要があります。シトリックスとMicrosoftは今後、証明書とCAを変更する可能性がありますが、Windowsの標準の信頼された発行元一覧にあるCAを常に使用します。

Citrix Cloud内の各サービスには、異なるSSL構成要件があります。詳しくは、各サービスのセキュリティの技術概要(この記事の冒頭に記載されています)を参照してください。

セキュリティコンプライアンス

Cloud Connectorは、自己管理機能によって確実なセキュリティコンプライアンスを実現します。再起動を無効にしたり、Cloud Connectorに他の制限を設定したりしないでください。こうした操作により、重要な更新がある時にCloud Connectorが更新されなくなります。

顧客側で、セキュリティ上の問題に対応するための特別な操作は必要ありません。セキュリティ上の修正プログラムは自動的に適用されます。

不正使用されたアカウントの処理に関するガイダンス

  • Citrix Cloudの管理者リストを監査し、信頼されていないユーザーを削除してください。
  • 社内のActive Directory内の侵害されたアカウントを無効にしてください。
  • シトリックスに連絡して、すべての顧客のCloud Connectorに格納されている認証シークレットのローテーションを要求してください。違反の重大度に応じて、次の処置を講じてください。
    • 低リスク: シトリックスは、長期にわたりシークレットをローテーションできます。Cloud Connectorは引き続き通常どおりに機能します。古い認証シークレットは2〜4週間で無効になります。この間Cloud Connectorを監視して、予期しない操作がないことを確認します。
    • 進行中の高リスク: シトリックスはすべての古いシークレットを取り消すことができます。既存のCloud Connectorは機能しなくなります。通常の操作を再開するには、該当するすべてのマシンでCloud Connectorをアンインストールして再インストールする必要があります。

セキュリティで保護されたCitrix Cloudプラットフォームの展開ガイド