技術セキュリティの概要
次の図は、Citrix DaaS Standard for Azure (旧称 Citrix Virtual Apps and Desktops Standard for Azure) 展開におけるコンポーネントを示しています。この例では、VNetピアリング接続を使用しています。
Citrix DaaS for Azureでは、デスクトップとアプリを提供するお客様のVirtual Delivery Agent (VDA) とCitrix Cloud™ Connectorが、Citrixが管理するAzureサブスクリプションとテナントに展開されます。
注:
この記事では、Citrix管理のAzureサブスクリプションを使用してCitrix DaaS for Azureを展開するお客様向けのセキュリティ要件の概要を説明します。お客様管理のAzureサブスクリプションを使用したCitrix DaaS for Azure展開のアーキテクチャ概要(セキュリティ情報を含む)については、「Reference Architecture: Virtual Apps and Desktops Service - Azure」を参照してください。
Citrix®の責任
AzureサブスクリプションとAzure Active Directory
Citrixは、お客様のために作成されたAzureサブスクリプションとAzure Active Directory (AAD) のセキュリティに責任を負います。Citrixはテナント分離を保証し、各お客様が独自のAzureサブスクリプションとAADを持つことで、異なるテナント間のクロストークを防ぎます。また、CitrixはAADへのアクセスをCitrix DaaS™ for AzureおよびCitrixの運用担当者のみに制限します。Citrixによる各お客様のAzureサブスクリプションへのアクセスは監査されます。
ドメインに参加していないカタログを使用するお客様は、Citrix Workspaceの認証手段としてCitrix管理のAADを使用できます。これらの顧客向けに、CitrixはCitrix管理のAADに限定された特権ユーザーアカウントを作成します。ただし、お客様のユーザーも管理者も、Citrix管理のAAD上でいかなるアクションも実行できません。これらの顧客が代わりに独自のAADを使用することを選択した場合、そのセキュリティについては全面的に責任を負います。
仮想ネットワークとインフラストラクチャ
お客様のCitrix管理のAzureサブスクリプション内で、Citrixはリソースロケーションを分離するための仮想ネットワークを作成します。これらのネットワーク内で、CitrixはVDA、Cloud Connector、およびイメージビルダーマシン用の仮想マシンを、ストレージアカウント、Key Vault、その他のAzureリソースに加えて作成します。CitrixはMicrosoftと提携して、仮想ネットワークファイアウォールを含む仮想ネットワークのセキュリティに責任を負います。
Citrixは、デフォルトのAzureファイアウォールポリシー(ネットワークセキュリティグループ)が、VNetピアリング接続におけるネットワークインターフェースへのアクセスを制限するように構成されていることを保証します。一般的に、これはVDAおよびCloud Connectorへの受信トラフィックを制御します。詳細については、以下を参照してください。
お客様はこのデフォルトのファイアウォールポリシーを変更できませんが、Citrixが作成したVDAマシンに追加のファイアウォールルールを展開できます。たとえば、送信トラフィックを部分的に制限するためです。Citrixが作成したVDAマシンに仮想プライベートネットワーククライアント、またはファイアウォールルールをバイパスできるその他のソフトウェアをインストールするお客様は、その結果生じる可能性のあるセキュリティリスクについて責任を負います。
Citrix DaaS for Azureのイメージビルダーを使用して新しいマシンイメージを作成およびカスタマイズする場合、Citrix管理のVNetでポート3389が一時的に開かれ、お客様が新しいマシンイメージを含むマシンにRDP接続してカスタマイズできるようにします。
Azure VNetピアリング接続使用時のCitrixの責任
Citrix DaaS for AzureのVDAがオンプレミスのドメインコントローラ、ファイル共有、またはその他のイントラネットリソースに接続できるように、Citrix DaaS for Azureは接続オプションとしてVNetピアリングワークフローを提供します。お客様のCitrix管理仮想ネットワークは、お客様管理のAzure仮想ネットワークとピアリングされます。お客様管理の仮想ネットワークは、Azure ExpressRouteやIPsecトンネルなど、お客様が選択したクラウドからオンプレミスへの接続ソリューションを使用して、お客様のオンプレミスリソースとの接続を可能にする場合があります。
VNetピアリングに関するCitrixの責任は、Citrixとお客様管理のVNet間のピアリング関係を確立するためのワークフローと関連するAzureリソース構成のサポートに限定されます。
Azure VNetピアリング接続のファイアウォールポリシー
Citrixは、VNetピアリング接続を使用するインバウンドおよびアウトバウンドトラフィックに対して、次のポートを開閉します。
ドメインに参加していないマシンを持つCitrix管理VNet
- インバウンドルール
- すべてのインバウンドを拒否。これには、VDAからVDAへのVNet内トラフィックが含まれます。
- アウトバウンドルール
- すべてのトラフィックのアウトバウンドを許可。
ドメインに参加しているマシンを持つCitrix管理VNet
- インバウンドルール:
- VDAからCloud Connectorへ、およびCloud ConnectorからVDAへのポート80、443、1494、2598のインバウンドを許可。
- モニターシャドウイング機能で使用されるIP範囲からVDAへのポート49152-65535のインバウンドを許可。「Communications Ports Used by Citrix Technologies」を参照してください。
- その他のすべてのインバウンドを拒否。これには、VDAからVDAへ、およびVDAからCloud ConnectorへのVNet内トラフィックが含まれます。
- アウトバウンドルール
- すべてのトラフィックのアウトバウンドを許可。
ドメインに参加しているマシンを持つお客様管理VNet
- お客様はVNetを正しく構成する必要があります。これには、ドメイン参加のために次のポートを開放することが含まれます。
- インバウンドルール:
- 内部起動のために、クライアントIPから443、1494、2598のインバウンドを許可。
- Citrix VNet(お客様が指定したIP範囲)から53、88、123、135-139、389、445、636のインバウンドを許可。
- プロキシ構成で開かれたポートのインバウンドを許可。
- お客様が作成したその他のルール。
- アウトバウンドルール:
- 内部起動のために、Citrix VNet(お客様が指定したIP範囲)への443、1494、2598のアウトバウンドを許可。
- お客様が作成したその他のルール。
インフラストラクチャへのアクセス
Citrixは、お客様に通知することなく、ログの収集(Windowsイベントビューアを含む)やサービスの再起動などの特定の管理タスクを実行するために、お客様のCitrix管理インフラストラクチャ(Cloud Connector)にアクセスする場合があります。Citrixは、これらのタスクを安全かつセキュアに、お客様への影響を最小限に抑えて実行する責任を負います。Citrixはまた、ログファイルが安全かつセキュアに取得、転送、処理されることを保証する責任を負います。お客様のVDAにはこの方法でアクセスすることはできません。
ドメインに参加していないカタログのバックアップ
Citrixは、ドメインに参加していないカタログのバックアップを実行する責任を負いません。
マシンイメージのバックアップ
Citrixは、イメージビルダーで作成されたイメージを含む、Citrix DaaS for Azureにアップロードされたすべてのマシンイメージのバックアップに責任を負います。Citrixはこれらのイメージにローカル冗長ストレージを使用します。
トラブルシューティングツール使用時のファイアウォールポリシー
お客様がトラブルシューティングのためにBastionマシンの作成を要求した場合、Citrix管理VNetに対して次のセキュリティグループ変更が行われます。
- お客様が指定したIP範囲からBastionへの3389のインバウンドを一時的に許可。
- Bastion IPアドレスからVNet内の任意のアドレス(VDAおよびCloud Connector)への3389のインバウンドを一時的に許可。
- Cloud Connector、VDA、およびその他のVDA間のRDPアクセスは引き続きブロック。
お客様がトラブルシューティングのためにRDPアクセスを有効にした場合、Citrix管理VNetに対して次のセキュリティグループ変更が行われます。
- お客様が指定したIP範囲からVNet内の任意のアドレス(VDAおよびCloud Connector)への3389のインバウンドを一時的に許可。
- Cloud Connector、VDA、およびその他のVDA間のRDPアクセスは引き続きブロック。
お客様管理のサブスクリプション
お客様管理のサブスクリプションの場合、CitrixはAzureリソースの展開中に上記の責任を遵守します。展開後、お客様がAzureサブスクリプションの所有者であるため、上記のすべてはお客様の責任となります。
お客様の責任
VDAとマシンイメージ
お客様は、VDAマシンにインストールされているソフトウェアのすべての側面について責任を負います。これには以下が含まれます。
- オペレーティングシステムの更新とセキュリティパッチ
- アンチウイルスおよびアンチマルウェア
- VDAソフトウェアの更新とセキュリティパッチ
- 追加のソフトウェアファイアウォールルール(特にアウトバウンドトラフィック)
- Citrixのセキュリティに関する考慮事項とベストプラクティスに従う
Citrixは、出発点として意図された準備済みイメージを提供します。お客様はこのイメージを概念実証やデモンストレーション目的、または独自のイメージを構築するためのベースとして使用できます。Citrixは、この準備済みイメージのセキュリティを保証しません。Citrixは、準備済みイメージ上のオペレーティングシステムとVDAソフトウェアを最新の状態に保つよう努め、これらのイメージでWindows Defenderを有効にします。
VNetピアリング使用時のお客様の責任
お客様は、ドメインに参加しているマシンを持つお客様管理VNetで指定されたすべてのポートを開放する必要があります。
VNetピアリングが構成されている場合、お客様は自身の仮想ネットワークのセキュリティと、オンプレミスリソースへの接続に責任を負います。お客様はまた、Citrix管理のピアリングされた仮想ネットワークからの受信トラフィックのセキュリティにも責任を負います。Citrixは、Citrix管理仮想ネットワークからお客様のオンプレミスリソースへのトラフィックをブロックするためのいかなる措置も講じません。
お客様は、受信トラフィックを制限するために次のオプションを利用できます。
- Citrix管理仮想ネットワークに、お客様のオンプレミスネットワークまたはお客様管理の接続済み仮想ネットワークの他の場所で使用されていないIPブロックを割り当てる。これはVNetピアリングに必要です。
- お客様の仮想ネットワークおよびオンプレミスネットワークにAzureネットワークセキュリティグループとファイアウォールを追加して、Citrix管理IPブロックからのトラフィックをブロックまたは制限する。
- お客様の仮想ネットワークおよびオンプレミスネットワークに、侵入防止システム、ソフトウェアファイアウォール、行動分析エンジンなどの対策を展開し、Citrix管理IPブロックをターゲットにする。
プロキシ
お客様は、VDAからのアウトバウンドトラフィックにプロキシを使用するかどうかを選択できます。プロキシを使用する場合、お客様は以下について責任を負います。
- VDAマシンイメージ上のプロキシ設定の構成、またはVDAがドメインに参加している場合はActive Directoryグループポリシーの使用。
- プロキシのメンテナンスとセキュリティ。
プロキシは、Citrix Cloud Connectorまたはその他のCitrix管理インフラストラクチャでの使用は許可されていません。
カタログの回復性
Citrixは、回復性のレベルが異なる3種類のカタログを提供します。
- 静的: 各ユーザーは単一のVDAに割り当てられます。このカタログタイプは高可用性を提供しません。ユーザーのVDAがダウンした場合、回復するには新しいVDAに配置する必要があります。Azureは、標準SSDを備えた単一インスタンスVMに対して99.5%のSLAを提供します。お客様は引き続きユーザープロファイルをバックアップできますが、VDAに対して行われたカスタマイズ(プログラムのインストールやWindowsの構成など)は失われます。
- ランダム: 各ユーザーは起動時にサーバーVDAにランダムに割り当てられます。このカタログタイプは、冗長性により高可用性を提供します。VDAがダウンしても、ユーザープロファイルは別の場所にあるため、情報は失われません。
- Windows 10マルチセッション: このカタログタイプはランダムタイプと同じ方法で動作しますが、サーバーVDAの代わりにWindows 10ワークステーションVDAを使用します。
ドメインに参加しているカタログのバックアップ
お客様がVNetピアリングでドメインに参加しているカタログを使用する場合、お客様はユーザープロファイルのバックアップに責任を負います。Citrixは、お客様がオンプレミスのファイル共有を構成し、これらのファイル共有からユーザープロファイルをプルするようにActive DirectoryまたはVDAにポリシーを設定することを推奨します。お客様は、これらのファイル共有のバックアップと可用性に責任を負います。
ディザスタリカバリ
Azureデータ損失が発生した場合、CitrixはCitrix管理のAzureサブスクリプション内の可能な限り多くのリソースを回復します。CitrixはCloud ConnectorとVDAの回復を試みます。Citrixがこれらのアイテムの回復に失敗した場合、お客様は新しいカタログを作成する責任を負います。Citrixは、マシンイメージがバックアップされており、お客様がユーザープロファイルをバックアップしていることを前提としており、これによりカタログを再構築できます。
Azureリージョン全体の損失が発生した場合、お客様は新しいリージョンで顧客管理の仮想ネットワークを再構築し、Citrix DaaS for Azure内で新しいVNetピアリングを作成する責任を負います。
Citrixとお客様の共有責任
ドメインに参加しているカタログ用のCitrix Cloud Connector™
Citrix DaaS for Azureは、各リソースロケーションに少なくとも2つのCloud Connectorを展開します。一部のカタログは、同じお客様の他のカタログと同じリージョン、VNetピアリング、およびドメインにある場合、リソースロケーションを共有する場合があります。Citrixは、お客様のドメインに参加しているCloud Connectorを、イメージ上の次のデフォルトセキュリティ設定で構成します。
- オペレーティングシステムの更新とセキュリティパッチ
- アンチウイルスソフトウェア
- Cloud Connectorソフトウェアの更新
お客様は通常、Cloud Connectorにアクセスできません。ただし、カタログのトラブルシューティング手順を使用し、ドメイン資格情報でログインすることでアクセスを取得できます。お客様は、Bastion経由でログインする際に行った変更について責任を負います。
お客様はまた、Active Directoryグループポリシーを通じてドメインに参加しているCloud Connectorを制御できます。お客様は、Cloud Connectorに適用されるグループポリシーが安全かつ適切であることを保証する責任を負います。たとえば、お客様がグループポリシーを使用してオペレーティングシステムの更新を無効にすることを選択した場合、お客様はCloud Connectorでオペレーティングシステムの更新を実行する責任を負います。お客様はまた、異なるアンチウイルスソフトウェアをインストールするなど、Cloud Connectorのデフォルトよりも厳格なセキュリティを強制するためにグループポリシーを使用することもできます。一般的に、Citrixは、お客様がCloud Connectorをポリシーなしで独自のActive Directory組織単位に配置することを推奨します。これにより、Citrixが使用するデフォルトが問題なく適用されることが保証されます。
トラブルシューティング
お客様がCitrix DaaS for Azureのカタログで問題が発生した場合、トラブルシューティングには2つのオプションがあります。Bastionの使用とRDPアクセスの有効化です。どちらのオプションもお客様にセキュリティリスクをもたらします。お客様は、これらのオプションを使用する前に、このリスクを理解し、引き受けることに同意する必要があります。
Citrixは、トラブルシューティング操作を実行するために必要なポートを開閉し、これらの操作中にアクセスできるマシンを制限する責任を負います。
BastionまたはRDPアクセスのいずれを使用する場合でも、操作を実行するアクティブユーザーは、アクセスされるマシンのセキュリティに責任を負います。お客様がRDPを介してVDAまたはCloud Connectorにアクセスし、誤ってウイルスに感染した場合、お客様が責任を負います。Citrixサポート担当者がこれらのマシンにアクセスする場合、安全に操作を実行するのはその担当者の責任です。Bastionまたは展開内の他のマシンにアクセスする人物によって露呈された脆弱性(たとえば、許可リストにIP範囲を追加するお客様の責任、IP範囲を正しく実装するCitrixの責任など)に関する責任は、このドキュメントの別の場所で説明されています。
どちらのシナリオでも、CitrixはRDPトラフィックを許可するためのファイアウォール例外を正しく作成する責任を負います。Citrixはまた、お客様がBastionを破棄するか、Citrix DaaS for Azureを介したRDPアクセスを終了した後、これらの例外を取り消す責任を負います。
Bastion
Citrixは、お客様のCitrix管理サブスクリプション内のお客様のCitrix管理仮想ネットワークにBastionを作成し、問題の診断と修復を行う場合があります。これは、プロアクティブに(お客様への通知なしに)またはお客様が提起した問題に対応して行われます。Bastionは、お客様がRDPを介してアクセスし、その後RDPを介してVDAおよび(ドメインに参加しているカタログの場合は)Cloud Connectorにアクセスして、ログを収集したり、サービスを再起動したり、その他の管理タスクを実行したりできるマシンです。デフォルトでは、Bastionを作成すると、お客様が指定したIPアドレス範囲からBastionマシンへのRDPトラフィックを許可する外部ファイアウォールルールが開かれます。また、RDPを介してCloud ConnectorとVDAへのアクセスを許可する内部ファイアウォールルールも開かれます。これらのルールを開放することは、大きなセキュリティリスクをもたらします。
お客様は、ローカルWindowsアカウントに使用される強力なパスワードを提供する責任を負います。お客様はまた、BastionへのRDPアクセスを許可する外部IPアドレス範囲を提供する責任を負います。お客様がIP範囲を提供しないことを選択した場合(誰でもRDPアクセスを試行できるようにする場合)、お客様は悪意のあるIPアドレスによるアクセス試行について責任を負います。
お客様はまた、トラブルシューティングが完了した後、Bastionを削除する責任を負います。Bastionホストは追加の攻撃対象領域を露呈するため、Citrixは電源投入後8時間で自動的にマシンをシャットダウンします。ただし、CitrixがBastionを自動的に削除することはありません。お客様がBastionを長期間使用することを選択した場合、そのパッチ適用と更新に責任を負います。Citrixは、Bastionを削除する前に数日間のみ使用することを推奨します。お客様が最新のBastionを希望する場合、現在のものを削除して新しいBastionを作成できます。これにより、最新のセキュリティパッチが適用された新しいマシンがプロビジョニングされます。
RDPアクセス
ドメインに参加しているカタログの場合、お客様のVNetピアリングが機能している場合、お客様はピアリングされたVNetからCitrix管理VNetへのRDPアクセスを有効にできます。お客様がこのオプションを使用する場合、お客様はVNetピアリングを介してVDAおよびCloud Connectorにアクセスする責任を負います。ソースIPアドレス範囲を指定することで、お客様の内部ネットワーク内でもRDPアクセスをさらに制限できます。お客様は、これらのマシンにログインするためにドメイン資格情報を使用する必要があります。お客様がCitrixサポートと協力して問題を解決している場合、お客様はこれらの資格情報をサポート担当者と共有する必要がある場合があります。問題が解決した後、お客様はRDPアクセスを無効にする責任を負います。お客様のピアリングされたネットワークまたはオンプレミスネットワークからRDPアクセスを開放したままにすることは、セキュリティリスクをもたらします。
ドメイン資格情報
お客様がドメインに参加しているカタログを使用することを選択した場合、お客様はマシンをドメインに参加させる権限を持つドメインアカウント(ユーザー名とパスワード)をCitrix DaaS for Azureに提供する責任を負います。ドメイン資格情報を提供する際、お客様は次のセキュリティ原則を遵守する責任を負います。
- 監査可能: アカウントはCitrix DaaS for Azureの使用のために特別に作成され、アカウントが何に使用されているかを簡単に監査できるようにする必要があります。
- スコープ設定済み: アカウントはマシンをドメインに参加させる権限のみを必要とします。完全なドメイン管理者であってはなりません。
- 安全: アカウントには強力なパスワードを設定する必要があります。
Citrixは、お客様のCitrix管理Azureサブスクリプション内のAzure Key Vaultにこのドメインアカウントを安全に保存する責任を負います。アカウントは、操作にドメインアカウントのパスワードが必要な場合にのみ取得されます。
詳細情報
関連情報については、以下を参照してください。
- Secure Deployment Guide for the Citrix Cloud Platform:Citrix Cloudプラットフォームのセキュリティ情報。
- Technical security overview:Citrix DaaSのセキュリティ情報。
- Third party notifications