技術的なセキュリティの概要

次の図は、Citrix DaaS Standard for Azure (旧称 Citrix Virtual Apps and Desktops Standard for Azure) 展開のコンポーネントを示しています。 この例では、VNet ピアリング接続を使用します。

Citrix DaaS for Azure コンポーネントと Azure VNet ピア接続

Citrix DaaS for Azure を使用すると、デスクトップとアプリを配信する顧客の Virtual Delivery Agent (VDA) と Citrix Cloud Connector が、Citrix が管理する Azure サブスクリプションとテナントに展開されます。

注記:

この記事では、Citrix Managed Azure サブスクリプションを使用して Citrix DaaS for Azure を展開するお客様のセキュリティ要件の概要を説明します。 セキュリティ情報を含む、顧客管理の Azure サブスクリプションを使用した Citrix DaaS for Azure の展開のアーキテクチャの概要については、「 リファレンスアーキテクチャ: Virtual Apps and Desktops サービス - Azure」を参照してください。

Citrix クラウドベースのコンプライアンス

2021 年 1 月現在、Citrix Managed Azure Capacity をさまざまな Citrix DaaS エディションおよび Workspace Premium Plus で使用する場合、Citrix SOC 2 (タイプ 1 または 2)、ISO 27001、HIPAA、またはその他のクラウド コンプライアンス要件について評価されていません。 Citrix Cloud 認定に関する詳細については、 Citrix Trust Center にアクセスし、頻繁に更新情報を確認してください。

Citrixの責任

ドメインに参加していないカタログ用の Citrix Cloud Connectors

Citrix DaaS for Azure は、各リソースの場所に少なくとも 2 つの Cloud Connector を展開します。 一部のカタログは、同じ顧客の他のカタログと同じ地域にある場合、リソースの場所を共有することがあります。

Citrix は、ドメインに参加していないカタログ Cloud Connector に対する次のセキュリティ操作を担当します。

  • オペレーティングシステムのアップデートとセキュリティパッチの適用
  • ウイルス対策ソフトウェアのインストールとメンテナンス
  • Cloud Connector ソフトウェア更新の適用

顧客は Cloud Connectors にアクセスできません。 したがって、ドメインに参加していないカタログの Cloud Connector のパフォーマンスについては、Citrix が全責任を負います。

Azure サブスクリプションと Azure Active Directory

Citrix は、顧客向けに作成された Azure サブスクリプションと Azure Active Directory (AAD) のセキュリティを担当します。 Citrix はテナントの分離を保証するため、各顧客は独自の Azure サブスクリプションと AAD を持ち、異なるテナント間のクロストークが防止されます。 Citrix では、AAD へのアクセスを Citrix DaaS for Azure および Citrix 運用担当者のみに制限しています。 Citrix による各顧客の Azure サブスクリプションへのアクセスが監査されます。

ドメインに参加していないカタログを使用しているお客様は、Citrix Workspace の認証手段として Citrix 管理の AAD を使用できます。 これらの顧客向けに、Citrix は Citrix 管理の AAD に制限された権限を持つユーザー アカウントを作成します。 ただし、顧客のユーザーも管理者も、Citrix が管理する AAD でアクションを実行することはできません。 これらの顧客が代わりに独自の AAD を使用することを選択した場合、そのセキュリティについては顧客が全責任を負います。

仮想ネットワークとインフラストラクチャ

Citrix は、顧客の Citrix Managed Azure サブスクリプション内で、リソースの場所を分離するための仮想ネットワークを作成します。 これらのネットワーク内で、Citrix は、ストレージ アカウント、キー コンテナー、その他の Azure リソースに加えて、VDA、クラウド コネクタ、イメージ ビルダー マシン用の仮想マシンを作成します。 Citrix は、Microsoft と提携して、仮想ネットワーク ファイアウォールを含む仮想ネットワークのセキュリティを担当しています。

Citrix は、VNet ピアリング接続のネットワーク インターフェイスへのアクセスを制限するように、既定の Azure ファイアウォール ポリシー (ネットワーク セキュリティ グループ) が構成されていることを確認します。 通常、これは VDA および Cloud Connector への着信トラフィックを制御します。 詳細については、以下を参照してください。

お客様はこのデフォルトのファイアウォール ポリシーを変更することはできませんが、Citrix が作成した VDA マシンに追加のファイアウォール ルールを展開して、たとえば、送信トラフィックを部分的に制限することができます。 Citrix が作成した VDA マシンに仮想プライベート ネットワーク クライアント、またはファイアウォール ルールをバイパスできるその他のソフトウェアをインストールするお客様は、発生する可能性のあるセキュリティ リスクについて責任を負います。

Citrix DaaS for Azure のイメージ ビルダーを使用して新しいマシン イメージを作成およびカスタマイズする場合、Citrix が管理する VNet でポート 3389 ~ 3390 が一時的に開かれ、顧客は新しいマシン イメージを含むマシンに RDP 接続してカスタマイズできるようになります。

Azure VNet ピアリング接続を使用する場合の Citrix の責任

Citrix DaaS for Azure の VDA がオンプレミスのドメイン コントローラー、ファイル共有、またはその他のイントラネット リソースに接続できるように、Citrix DaaS for Azure は接続オプションとして VNet ピアリング ワークフローを提供します。 顧客の Citrix 管理仮想ネットワークは、顧客管理の Azure 仮想ネットワークとピアリングされます。 顧客管理の仮想ネットワークでは、Azure ExpressRoute や iPsec トンネルなど、顧客が選択したクラウドからオンプレミスへの接続ソリューションを使用して、顧客のオンプレミス リソースとの接続が可能になります。

VNet ピアリングに関する Citrix の責任は、Citrix と顧客管理の VNet 間のピアリング関係を確立するためのワークフローと関連する Azure リソース構成のサポートに限定されます。

Azure VNet ピアリング接続のファイアウォール ポリシー

Citrix は、VNet ピアリング接続を使用する受信トラフィックと送信トラフィックに対して次のポートを開いたり閉じたりします。

ドメインに参加していないマシンを含む Citrix 管理の VNet
  • インバウンドルール
    • VDA から Cloud Connector へ、および Cloud Connector から VDA へのポート 80、443、1494、および 2598 の受信を許可します。
    • モニター シャドウイング機能で使用される IP 範囲から VDA へのポート 49152 ~ 65535 の受信を許可します。 Citrix Technologies が使用する通信ポートを参照してください。
    • その他のすべての受信を拒否します。 これには、VDA から VDA へ、および VDA から Cloud Connector への VNet 内トラフィックが含まれます。
  • アウトバウンドルール
    • すべての送信トラフィックを許可します。
ドメインに参加したマシンを持つ Citrix 管理の VNet
  • インバウンドルール:
    • VDA から Cloud Connector へ、および Cloud Connector から VDA へのポート 80、443、1494、および 2598 の受信を許可します。
    • モニター シャドウイング機能で使用される IP 範囲から VDA へのポート 49152 ~ 65535 の受信を許可します。 Citrix Technologies が使用する通信ポートを参照してください。
    • その他のすべての受信を拒否します。 これには、VDA から VDA へ、および VDA から Cloud Connector への VNet 内トラフィックが含まれます。
  • アウトバウンドルール
    • すべての送信トラフィックを許可します。
ドメインに参加しているマシンを持つ顧客管理の VNet
  • VNet を正しく構成するのはお客様の責任です。 これには、ドメイン参加のために次のポートを開くことが含まれます。
  • インバウンドルール:
    • 内部起動用に、クライアント IP からの 443、1494、2598 での受信を許可します。
    • Citrix VNet (顧客が指定した IP 範囲) からの 53、88、123、135-139、389、445、636 への受信を許可します。
    • プロキシ構成で開かれたポートでの受信を許可します。
    • 顧客によって作成されたその他のルール。
  • 送信ルール:
    • 内部起動用に、Citrix VNet (顧客が指定した IP 範囲) への 443、1494、2598 での送信を許可します。
    • 顧客によって作成されたその他のルール。

インフラへのアクセス

Citrix は、ログの収集 (Windows イベント ビューアーを含む) やサービスの再起動など、顧客に通知することなく特定の管理タスクを実行するために、顧客の Citrix 管理インフラストラクチャ (Cloud Connectors) にアクセスする場合があります。 Citrix は、これらのタスクを安全かつ確実に実行し、顧客への影響を最小限に抑える責任を負います。 Citrix は、ログ ファイルが安全かつ確実に取得、転送、処理されることを保証する責任も負います。 この方法では顧客 VDA にアクセスできません。

ドメインに参加していないカタログのバックアップ

Citrix は、ドメインに参加していないカタログのバックアップの実行については責任を負いません。

マシンイメージのバックアップ

Citrix は、イメージ ビルダーで作成されたイメージを含め、Citrix DaaS for Azure にアップロードされたすべてのマシン イメージのバックアップを担当します。 Citrix はこれらのイメージにローカル冗長ストレージを使用します。

ドメインに参加していないカタログの要塞

Citrix の運用担当者は、必要に応じて要塞を作成し、顧客の Citrix 管理 Azure サブスクリプションにアクセスして、顧客が問題に気付く前に、顧客の問題を診断および修復することができます。 Citrix では、要塞を作成するために顧客の同意は必要ありません。 Citrix が要塞を作成すると、Citrix は要塞用にランダムに生成された強力なパスワードを作成し、Citrix NAT IP アドレスへの RDP アクセスを制限します。 要塞が不要になると、Citrix はそれを破棄し、パスワードは無効になります。 操作が完了すると、要塞 (およびそれに付随する RDP アクセス ルール) は破棄されます。 Citrix は、要塞を使用して、顧客のドメインに参加していない Cloud Connector にのみアクセスできます。 Citrix には、ドメインに参加していない VDA またはドメインに参加している Cloud Connector および VDA にログインするためのパスワードがありません。

トラブルシューティングツールを使用する場合のファイアウォールポリシー

顧客がトラブルシューティングのために要塞マシンの作成を要求すると、Citrix が管理する VNet に対して次のセキュリティ グループの変更が行われます。

  • 顧客が指定した IP 範囲から要塞への 3389 の受信を一時的に許可します。
  • 要塞 IP アドレスから VNet (VDA および Cloud Connector) 内の任意のアドレスへの 3389 の受信を一時的に許可します。
  • Cloud Connector、VDA、およびその他の VDA 間の RDP アクセスを引き続きブロックします。

顧客がトラブルシューティングのために RDP アクセスを有効にすると、Citrix が管理する VNet に対して次のセキュリティ グループの変更が行われます。

  • 顧客が指定した IP 範囲から VNet (VDA および Cloud Connector) 内の任意のアドレスへの 3389 の受信を一時的に許可します。
  • Cloud Connector、VDA、およびその他の VDA 間の RDP アクセスを引き続きブロックします。

顧客管理サブスクリプション

顧客管理サブスクリプションの場合、Citrix は Azure リソースの展開中に上記の責任を遵守します。 展開後は、お客様が Azure サブスクリプションの所有者となるため、上記のすべてはお客様の責任となります。

顧客管理サブスクリプション

顧客の責任

VDAとマシンイメージ

お客様は、VDA マシンにインストールされたソフトウェアのすべての側面について責任を負います。これには以下が含まれます。

  • オペレーティングシステムのアップデートとセキュリティパッチ
  • ウイルス対策とマルウェア対策
  • VDAソフトウェアの更新とセキュリティパッチ
  • 追加のソフトウェア ファイアウォール ルール (特に送信トラフィック)
  • Citrix のセキュリティに関する考慮事項とベストプラクティスに従ってください

Citrix は、出発点として用意されたイメージを提供します。 お客様は、このイメージを概念実証やデモンストレーションの目的で使用したり、独自のマシン イメージを構築するためのベースとして使用したりできます。 Citrix は、この準備されたイメージのセキュリティを保証しません。 Citrix は、準備されたイメージ上のオペレーティング システムと VDA ソフトウェアを最新の状態に保ち、これらのイメージ上で Windows Defender を有効にするよう努めます。

VNet ピアリング使用時のお客様の責任

顧客は、ドメインに参加しているマシンを含む 顧客管理 VNetで指定されているすべてのポートを開く必要があります。

VNet ピアリングが構成されている場合、顧客は独自の仮想ネットワークのセキュリティとオンプレミス リソースへの接続の責任を負います。 お客様は、Citrix が管理するピアリングされた仮想ネットワークからの受信トラフィックのセキュリティについても責任を負います。 Citrix は、Citrix が管理する仮想ネットワークから顧客のオンプレミス リソースへのトラフィックをブロックするアクションを実行しません。

お客様には、着信トラフィックを制限するための次のオプションがあります。

  • Citrix が管理する仮想ネットワークに、顧客のオンプレミス ネットワークまたは顧客が管理する接続された仮想ネットワークの他の場所で使用されていない IP ブロックを割り当てます。 これは VNet ピアリングに必要です。
  • 顧客の仮想ネットワークとオンプレミス ネットワークに Azure ネットワーク セキュリティ グループとファイアウォールを追加して、Citrix が管理する IP ブロックからのトラフィックをブロックまたは制限します。
  • Citrix が管理する IP ブロックを対象に、侵入防止システム、ソフトウェア ファイアウォール、動作分析エンジンなどの対策を顧客の仮想ネットワークとオンプレミス ネットワークに導入します。

プロキシ

お客様は、VDA からの送信トラフィックにプロキシを使用するかどうかを選択できます。 プロキシを使用する場合、お客様は以下の責任を負います。

  • VDA マシン イメージでプロキシ設定を構成するか、VDA がドメインに参加している場合は Active Directory グループ ポリシーを使用します。
  • プロキシのメンテナンスとセキュリティ。

プロキシは、Citrix Cloud Connector またはその他の Citrix 管理インフラストラクチャでは使用できません。

カタログの復元力

Citrix は、回復力のレベルが異なる 3 種類のカタログを提供しています。

  • 静的: 各ユーザーには単一の VDA が割り当てられます。 このカタログ タイプでは高可用性は提供されません。 ユーザーの VDA がダウンした場合、回復するには新しい VDA に配置する必要があります。 Azure は、単一インスタンスの VM に対して 99.5% の SLA を提供します。 顧客は引き続きユーザー プロファイルをバックアップできますが、VDA に対して行われたカスタマイズ (プログラムのインストールや Windows の構成など) は失われます。
  • ランダム: 各ユーザーは起動時にサーバー VDA にランダムに割り当てられます。 このカタログ タイプは冗長性によって高可用性を実現します。 VDA がダウンしても、ユーザーのプロファイルは別の場所に保存されているため、情報は失われません。
  • Windows 10 マルチセッション: このカタログ タイプはランダム タイプと同じように動作しますが、サーバー VDA ではなく Windows 10 ワークステーション VDA を使用します。

ドメインに参加したカタログのバックアップ

顧客が VNet ピアリングを使用してドメインに参加しているカタログを使用する場合、顧客はユーザー プロファイルをバックアップする責任があります。 Citrix では、オンプレミスのファイル共有を構成し、Active Directory または VDA にポリシーを設定して、これらのファイル共有からユーザー プロファイルを取得することを推奨しています。 これらのファイル共有のバックアップと可用性については、お客様の責任となります。

災害復旧

Azure データが失われた場合、Citrix は Citrix が管理する Azure サブスクリプション内のリソースを可能な限り多く回復します。 Citrix は Cloud Connector と VDA の回復を試みます。 Citrix がこれらのアイテムの回復に失敗した場合、お客様は新しいカタログを作成する責任があります。 Citrix では、マシン イメージがバックアップされ、顧客がユーザー プロファイルをバックアップしてカタログを再構築できることを前提としています。

Azure リージョン全体が失われた場合、顧客は新しいリージョンで顧客管理の仮想ネットワークを再構築し、Citrix DaaS for Azure 内に新しい VNet ピアリングを作成する責任があります。

Citrixと顧客の責任の共有

ドメイン参加カタログ用のCitrix Cloud Connector

Citrix DaaS for Azure は、各リソースの場所に少なくとも 2 つの Cloud Connector を展開します。 一部のカタログは、同じ顧客の他のカタログと同じリージョン、VNet ピアリング、ドメインにある場合、リソースの場所を共有することがあります。 Citrix は、イメージ上で次のデフォルトのセキュリティ設定を使用して、顧客のドメインに参加している Cloud Connector を構成します。

  • オペレーティングシステムのアップデートとセキュリティパッチ
  • ウイルス対策ソフトウェア
  • クラウドコネクタソフトウェアの更新

通常、顧客は Cloud Connectors にアクセスできません。 ただし、カタログのトラブルシューティング手順を使用し、ドメイン資格情報を使用してログインすることで、アクセス権を取得できる場合があります。 お客様は、要塞を通じてログインする際に行った変更の責任を負います。

お客様は、Active Directory グループ ポリシーを通じて、ドメインに参加している Cloud Connector を制御することもできます。 お客様は、Cloud Connector に適用されるグループ ポリシーが安全かつ適切であることを確認する責任があります。 たとえば、顧客がグループ ポリシーを使用してオペレーティング システムの更新を無効にすることを選択した場合、顧客は Cloud Connector でオペレーティング システムの更新を実行する責任を負います。 顧客は、別のウイルス対策ソフトウェアをインストールするなど、グループ ポリシーを使用して、Cloud Connector のデフォルトよりも厳しいセキュリティを適用することもできます。 一般的に、Citrix では、Citrix が使用するデフォルトを問題なく適用できるように、Cloud Connector をポリシーなしで独自の Active Directory 組織単位に配置することをお客様に推奨しています。

トラブルシューティング

Citrix DaaS for Azure のカタログで問題が発生した場合、トラブルシューティングには、要塞を使用するか、RDP アクセスを有効にするかという 2 つのオプションがあります。 どちらのオプションも顧客にセキュリティ上のリスクをもたらします。 お客様は、これらのオプションを使用する前に、このリスクを理解し、同意する必要があります。

Citrix は、トラブルシューティング操作を実行するために必要なポートを開閉し、これらの操作中にアクセスできるマシンを制限する責任を負います。

要塞または RDP アクセスのいずれの場合でも、操作を実行するアクティブ ユーザーが、アクセス対象のマシンのセキュリティの責任を負います。 お客様が RDP 経由で VDA または Cloud Connector にアクセスし、誤ってウイルスに感染した場合、その責任はお客様にあります。 Citrix サポート担当者がこれらのマシンにアクセスする場合、操作を安全に実行する責任はその担当者にあります。 展開内の要塞またはその他のマシンにアクセスする人物によって露出される脆弱性に対する責任 (たとえば、IP 範囲を許可リストに追加する顧客の責任、IP 範囲を正しく実装する Citrix の責任) については、このドキュメントの別の箇所で説明します。

どちらのシナリオでも、Citrix は RDP トラフィックを許可するためのファイアウォール例外を正しく作成する責任があります。 Citrix は、顧客が要塞を廃棄した後、または Citrix DaaS for Azure 経由の RDP アクセスを終了した後に、これらの例外を取り消す責任も負います。

要塞

Citrix は、顧客の Citrix 管理サブスクリプション内の顧客の Citrix 管理仮想ネットワークに要塞を作成し、プロアクティブに (顧客に通知せずに)、または顧客が提起した問題に応じて、問題を診断して修復する場合があります。 要塞とは、顧客が RDP 経由でアクセスし、RDP 経由で VDA や (ドメインに参加しているカタログの場合) Cloud Connector にアクセスしてログを収集したり、サービスを再起動したり、その他の管理タスクを実行したりするために使用できるマシンです。 デフォルトでは、要塞を作成すると、外部ファイアウォール ルールが開き、顧客が指定した IP アドレス範囲から要塞マシンへの RDP トラフィックが許可されます。 また、内部ファイアウォール ルールを開き、RDP 経由での Cloud Connector および VDA へのアクセスを許可します。 これらのルールを公開すると、大きなセキュリティ リスクが生じます。

ローカル Windows アカウントに使用する強力なパスワードを提供するのはお客様の責任です。 お客様は、要塞への RDP アクセスを許可する外部 IP アドレス範囲を提供する責任も負います。 お客様が IP 範囲を指定しないことを選択した場合 (誰でも RDP アクセスを試行できるようにする)、悪意のある IP アドレスによるアクセス試行についてはお客様が責任を負います。

トラブルシューティングが完了した後、要塞を削除する責任もお客様にはあります。 要塞ホストは追加の攻撃対象領域を公開するため、Citrix はマシンの電源投入後 8 時間で自動的にシャットダウンします。 ただし、Citrix は要塞を自動的に削除することはありません。 顧客が長期間にわたって要塞を使用することを選択した場合、パッチの適用と更新は顧客の責任となります。 Citrix では、要塞を削除する前に数日間だけ使用することを推奨しています。 顧客が最新の要塞を希望する場合は、現在の要塞を削除してから新しい要塞を作成し、最新のセキュリティ パッチを適用した新しいマシンをプロビジョニングすることができます。

RDP アクセス

ドメインに参加しているカタログの場合、顧客の VNet ピアリングが機能している場合、顧客はピアリングされた VNet から Citrix が管理する VNet への RDP アクセスを有効にすることができます。 お客様がこのオプションを使用する場合、VNet ピアリングを介して VDA および Cloud Connector にアクセスする責任はお客様にあります。 ソース IP アドレスの範囲を指定できるため、顧客の内部ネットワーク内でも RDP アクセスをさらに制限できます。 顧客はこれらのマシンにログインするためにドメイン資格情報を使用する必要があります。 顧客が Citrix サポートと協力して問題を解決する場合、これらの資格情報をサポート担当者と共有する必要がある場合があります。 問題が解決したら、RDP アクセスを無効にするのはお客様の責任となります。 顧客のピアリングされたネットワークまたはオンプレミス ネットワークからの RDP アクセスを開いたままにしておくと、セキュリティ リスクが生じます。

ドメイン資格情報

お客様がドメインに参加したカタログを使用することを選択した場合、お客様は、マシンをドメインに参加させる権限を持つドメイン アカウント (ユーザー名とパスワード) を Citrix DaaS for Azure に提供する責任があります。 ドメイン資格情報を提供する場合、顧客は次のセキュリティ原則を遵守する責任があります。

  • 監査可能: アカウントの使用目的を簡単に監査できるように、アカウントは Citrix DaaS for Azure の使用専用に作成する必要があります。
  • スコープ: アカウントには、マシンをドメインに参加させるための権限のみが必要です。 完全なドメイン管理者であってはなりません。
  • 安全: アカウントには強力なパスワードを設定する必要があります。

Citrix は、顧客の Citrix 管理 Azure サブスクリプション内の Azure Key Vault にこのドメイン アカウントを安全に保存する責任を負います。 アカウントは、操作にドメイン アカウントのパスワードが必要な場合にのみ取得されます。

追加情報

関連情報については、以下を参照してください。

技術的なセキュリティの概要