技術セキュリティの概要

以下の図は、Citrix DaaS Standard for Azure (旧称 Citrix Virtual Apps and Desktops Standard for Azure) の展開におけるコンポーネントを示しています。この例では、VNet ピアリング接続を使用しています。

Citrix DaaS for Azure では、デスクトップとアプリを提供するお客様のVirtual Delivery Agent (VDA) とCitrix Cloud Connector が、Citrix が管理するAzure サブスクリプションとテナントに展開されます。

注:

この記事では、Citrix Managed Azure サブスクリプションを使用してCitrix DaaS for Azure を展開するお客様向けのセキュリティ要件の概要を説明します。お客様が管理するAzure サブスクリプションを使用してCitrix DaaS for Azure を展開する場合のアーキテクチャの概要 (セキュリティ情報を含む) については、「リファレンスアーキテクチャ: Virtual Apps and Desktops Service - Azure」を参照してください。

Citrix の責任

Azure サブスクリプションとAzure Active Directory

Citrix は、お客様のために作成されたAzure サブスクリプションとAzure Active Directory (AAD) のセキュリティに責任を負います。Citrix はテナントの分離を保証し、各お客様が独自のAzure サブスクリプションとAAD を持ち、異なるテナント間のクロストークが防止されるようにします。Citrix はまた、AAD へのアクセスをCitrix DaaS for Azure およびCitrix の運用担当者のみに制限します。Citrix による各お客様のAzure サブスクリプションへのアクセスは監査されます。

ドメインに参加していないカタログを使用しているお客様は、Citrix Workspace の認証手段としてCitrix が管理するAAD を使用できます。これらの顧客のために、Citrix はCitrix が管理するAAD に制限付き特権ユーザーアカウントを作成します。ただし、お客様のユーザーも管理者も、Citrix が管理するAAD に対してアクションを実行することはできません。これらの顧客が代わりに独自のAAD を使用することを選択した場合、そのセキュリティについては全面的に責任を負います。

仮想ネットワークとインフラストラクチャ

お客様のCitrix Managed Azure サブスクリプション内で、Citrix はリソースの場所を分離するための仮想ネットワークを作成します。これらのネットワーク内で、Citrix はストレージアカウント、Key Vault、その他のAzure リソースに加えて、VDA、Cloud Connector、およびイメージビルダーマシン用の仮想マシンを作成します。Citrix はMicrosoft と提携して、仮想ネットワークファイアウォールを含む仮想ネットワークのセキュリティに責任を負います。

Citrix は、VNet ピアリング接続におけるネットワークインターフェイスへのアクセスを制限するように、デフォルトのAzure ファイアウォールポリシー (ネットワークセキュリティグループ) が構成されていることを保証します。一般的に、これはVDA およびCloud Connector への受信トラフィックを制御します。詳細については、以下を参照してください。

• Azure VNet ピアリング接続のファイアウォールポリシー

お客様はこのデフォルトのファイアウォールポリシーを変更できませんが、Citrix が作成したVDA マシンに追加のファイアウォールルールを展開できます。たとえば、送信トラフィックを部分的に制限するためなどです。Citrix が作成したVDA マシンに仮想プライベートネットワーククライアント、またはファイアウォールルールをバイパスできるその他のソフトウェアをインストールするお客様は、発生する可能性のあるセキュリティリスクについて責任を負います。

Citrix DaaS for Azure のイメージビルダーを使用して新しいマシンイメージを作成およびカスタマイズする場合、Citrix が管理するVNet でポート3389 が一時的に開かれ、お客様が新しいマシンイメージを含むマシンにRDP 接続してカスタマイズできるようにします。

Azure VNet ピアリング接続使用時のCitrix の責任

Citrix DaaS for Azure のVDA がオンプレミスのドメインコントローラー、ファイル共有、またはその他のイントラネットリソースと通信できるように、Citrix DaaS for Azure は接続オプションとしてVNet ピアリングワークフローを提供します。お客様のCitrix が管理する仮想ネットワークは、お客様が管理するAzure 仮想ネットワークとピアリングされます。お客様が管理する仮想ネットワークは、Azure ExpressRoute やiPsec トンネルなど、お客様が選択したクラウドからオンプレミスへの接続ソリューションを使用して、お客様のオンプレミスリソースとの接続を可能にする場合があります。

VNet ピアリングに関するCitrix の責任は、Citrix とお客様が管理するVNet 間のピアリング関係を確立するためのワークフローと関連するAzure リソース構成のサポートに限定されます。

Azure VNet ピアリング接続のファイアウォールポリシー

Citrix は、VNet ピアリング接続を使用する受信および送信トラフィックに対して、以下のポートを開閉します。

ドメインに参加していないマシンを含むCitrix 管理VNet

• 受信ルール
  • すべての受信を拒否。これには、VDA からVDA へのVNet 内トラフィックが含まれます。
• 送信ルール
  • すべての送信トラフィックを許可。

ドメインに参加しているマシンを含むCitrix 管理VNet

• 受信ルール:
  • VDA からCloud Connector へ、およびCloud Connector からVDA へ、ポート80、443、1494、2598 の受信を許可。
  • モニターシャドウ機能で使用されるIP 範囲からVDA へ、ポート49152-65535 の受信を許可。「Citrix テクノロジーで使用される通信ポート」を参照。
  • その他のすべての受信を拒否。これには、VDA からVDA へ、およびVDA からCloud Connector へのVNet 内トラフィックが含まれます。
• 送信ルール
  • すべての送信トラフィックを許可。

ドメインに参加しているマシンを含むお客様管理VNet

• お客様がVNet を正しく構成する必要があります。これには、ドメイン参加のために以下のポートを開放することが含まれます。
• 受信ルール:
  • 内部起動のために、クライアントIP から443、1494、2598 の受信を許可。
  • Citrix VNet (お客様が指定するIP 範囲) から53、88、123、135-139、389、445、636 の受信を許可。
  • プロキシ構成で開かれたポートの受信を許可。
  • お客様が作成したその他のルール。
• 送信ルール:
  • 内部起動のために、Citrix VNet (お客様が指定するIP 範囲) へ443、1494、2598 の送信を許可。
  • お客様が作成したその他のルール。

インフラストラクチャへのアクセス

Citrix は、お客様に通知することなく、ログの収集 (Windows イベントビューアーを含む) やサービスの再起動などの特定の管理タスクを実行するために、お客様のCitrix が管理するインフラストラクチャ (Cloud Connector) にアクセスする場合があります。Citrix は、これらのタスクを安全かつ確実に、お客様への影響を最小限に抑えて実行する責任を負います。Citrix はまた、ログファイルが安全かつ確実に取得、転送、処理されることを保証する責任を負います。お客様のVDA はこの方法でアクセスできません。

ドメインに参加していないカタログのバックアップ

Citrix は、ドメインに参加していないカタログのバックアップを実行する責任を負いません。

マシンイメージのバックアップ

Citrix は、イメージビルダーで作成されたイメージを含む、Citrix DaaS for Azure にアップロードされたすべてのマシンイメージのバックアップに責任を負います。Citrix はこれらのイメージにローカル冗長ストレージを使用します。

トラブルシューティングツール使用時のファイアウォールポリシー

お客様がトラブルシューティングのために踏み台マシンの作成を要求すると、Citrix が管理するVNet に対して以下のセキュリティグループの変更が行われます。

• お客様が指定したIP 範囲から踏み台へのポート3389 の受信を一時的に許可。
• 踏み台のIP アドレスからVNet 内の任意のアドレス (VDA およびCloud Connector) へのポート3389 の受信を一時的に許可。
• Cloud Connector、VDA、およびその他のVDA 間のRDP アクセスは引き続きブロック。

お客様がトラブルシューティングのためにRDP アクセスを有効にすると、Citrix が管理するVNet に対して以下のセキュリティグループの変更が行われます。

• お客様が指定したIP 範囲からVNet 内の任意のアドレス (VDA およびCloud Connector) へのポート3389 の受信を一時的に許可。
• Cloud Connector、VDA、およびその他のVDA 間のRDP アクセスは引き続きブロック。

お客様管理サブスクリプション

お客様管理サブスクリプションの場合、Citrix はAzure リソースの展開中に上記の責任を遵守します。展開後、お客様がAzure サブスクリプションの所有者であるため、上記のすべてはお客様の責任となります。

お客様の責任

VDA とマシンイメージ

お客様は、VDA マシンにインストールされているソフトウェアのすべての側面について責任を負います。これには以下が含まれます。

• オペレーティングシステムの更新とセキュリティパッチ
• アンチウイルスとアンチマルウェア
• VDA ソフトウェアの更新とセキュリティパッチ
• 追加のソフトウェアファイアウォールルール (特に送信トラフィック)
• Citrix のセキュリティに関する考慮事項とベストプラクティスに従う

Citrix は、開始点として意図された準備済みのイメージを提供します。お客様はこのイメージを概念実証やデモンストレーションの目的、または独自のマシンイメージを構築するためのベースとして使用できます。Citrix はこの準備済みイメージのセキュリティを保証しません。Citrix は、準備済みイメージ上のオペレーティングシステムとVDA ソフトウェアを最新の状態に保つよう努め、これらのイメージでWindows Defender を有効にします。

VNet ピアリング使用時のお客様の責任

お客様は、ドメインに参加しているマシンを含むお客様管理VNetで指定されているすべてのポートを開放する必要があります。

VNet ピアリングが構成されている場合、お客様は自身の仮想ネットワークのセキュリティと、オンプレミスリソースへの接続に責任を負います。お客様はまた、Citrix が管理するピアリングされた仮想ネットワークからの受信トラフィックのセキュリティにも責任を負います。Citrix は、Citrix が管理する仮想ネットワークからお客様のオンプレミスリソースへのトラフィックをブロックするためのいかなる措置も講じません。

お客様には、受信トラフィックを制限するための以下のオプションがあります。

• Citrix が管理する仮想ネットワークに、お客様のオンプレミスネットワークまたはお客様が管理する接続済み仮想ネットワークの他の場所で使用されていないIP ブロックを割り当てる。これはVNet ピアリングに必要です。
• お客様の仮想ネットワークおよびオンプレミスネットワークにAzure ネットワークセキュリティグループとファイアウォールを追加し、Citrix が管理するIP ブロックからのトラフィックをブロックまたは制限する。
• お客様の仮想ネットワークおよびオンプレミスネットワークに、侵入防止システム、ソフトウェアファイアウォール、行動分析エンジンなどの対策を展開し、Citrix が管理するIP ブロックをターゲットにする。

プロキシ

お客様は、VDA からの送信トラフィックにプロキシを使用するかどうかを選択できます。プロキシを使用する場合、お客様は以下に責任を負います。

• VDA マシンイメージ上のプロキシ設定を構成するか、VDA がドメインに参加している場合はActive Directory グループポリシーを使用。
• プロキシのメンテナンスとセキュリティ。

プロキシは、Citrix Cloud Connector またはその他のCitrix が管理するインフラストラクチャでの使用は許可されていません。

カタログの回復性

Citrix は、回復性のレベルが異なる3 種類のカタログを提供します。

• 静的: 各ユーザーは単一のVDA に割り当てられます。このカタログタイプは高可用性を提供しません。ユーザーのVDA がダウンした場合、回復するには新しいVDA に配置する必要があります。Azure は、標準SSD を搭載した単一インスタンスVM に対して99.5% のSLA を提供します。お客様はユーザープロファイルをバックアップできますが、VDA に対して行われたカスタマイズ (プログラムのインストールやWindows の構成など) は失われます。
• ランダム: 各ユーザーは起動時にサーバーVDA にランダムに割り当てられます。このカタログタイプは、冗長性により高可用性を提供します。VDA がダウンしても、ユーザープロファイルは別の場所に存在するため、情報は失われません。
• Windows 10 マルチセッション: このカタログタイプはランダムタイプと同じ方法で動作しますが、サーバーVDA の代わりにWindows 10 ワークステーションVDA を使用します。

ドメイン参加カタログのバックアップ

お客様がVNet ピアリングでドメイン参加カタログを使用する場合、お客様はユーザープロファイルのバックアップに責任を負います。Citrix は、お客様がオンプレミスのファイル共有を構成し、Active Directory またはVDA にポリシーを設定して、これらのファイル共有からユーザープロファイルをプルすることを推奨します。お客様はこれらのファイル共有のバックアップと可用性に責任を負います。

ディザスターリカバリー

Azure のデータ損失が発生した場合、Citrix はCitrix が管理するAzure サブスクリプション内の可能な限り多くのリソースを回復します。Citrix はCloud Connector とVDA の回復を試みます。Citrix がこれらのアイテムの回復に失敗した場合、お客様は新しいカタログを作成する責任を負います。Citrix は、マシンイメージがバックアップされており、お客様がユーザープロファイルをバックアップしているため、カタログを再構築できると想定しています。

Azure リージョン全体の損失が発生した場合、お客様は新しいリージョンでお客様管理仮想ネットワークを再構築し、Citrix DaaS for Azure 内で新しいVNet ピアリングを作成する責任を負います。

Citrix とお客様の共有責任

ドメイン参加カタログ用Citrix Cloud Connector

Citrix DaaS for Azure は、各リソースの場所に少なくとも2 つのCloud Connector を展開します。一部のカタログは、同じお客様の他のカタログと同じリージョン、VNet ピアリング、およびドメインにある場合、リソースの場所を共有する場合があります。Citrix は、お客様のドメイン参加Cloud Connector を、イメージ上の以下のデフォルトセキュリティ設定に構成します。

• オペレーティングシステムの更新とセキュリティパッチ
• アンチウイルスソフトウェア
• Cloud Connector ソフトウェアの更新

お客様は通常、Cloud Connector にアクセスできません。ただし、カタログのトラブルシューティング手順を使用し、ドメイン資格情報でログインすることでアクセスを取得できます。お客様は、踏み台を介してログインする際に行った変更について責任を負います。

お客様は、Active Directory グループポリシーを通じてドメイン参加Cloud Connector を制御することもできます。お客様は、Cloud Connector に適用されるグループポリシーが安全かつ適切であることを保証する責任を負います。たとえば、お客様がグループポリシーを使用してオペレーティングシステムの更新を無効にすることを選択した場合、お客様はCloud Connector でオペレーティングシステムの更新を実行する責任を負います。お客様はまた、異なるアンチウイルスソフトウェアをインストールするなど、Cloud Connector のデフォルトよりも厳格なセキュリティを強制するためにグループポリシーを使用することもできます。一般的に、Citrix はお客様がCloud Connector をポリシーなしで独自のActive Directory 組織単位に配置することを推奨します。これにより、Citrix が使用するデフォルトが問題なく適用されることが保証されます。

トラブルシューティング

お客様がCitrix DaaS for Azure のカタログで問題が発生した場合、トラブルシューティングには踏み台の使用とRDP アクセスの有効化という2 つのオプションがあります。どちらのオプションもお客様にセキュリティリスクをもたらします。お客様はこれらのオプションを使用する前に、このリスクを理解し、引き受けることに同意する必要があります。

Citrix は、トラブルシューティング操作を実行するために必要なポートを開閉し、これらの操作中にアクセスできるマシンを制限する責任を負います。

踏み台またはRDP アクセスのいずれを使用する場合でも、操作を実行するアクティブユーザーは、アクセスされているマシンのセキュリティに責任を負います。お客様がRDP を介してVDA またはCloud Connector にアクセスし、誤ってウイルスに感染した場合、お客様が責任を負います。Citrix サポート担当者がこれらのマシンにアクセスする場合、それらの担当者は安全に操作を実行する責任を負います。展開内の踏み台またはその他のマシンにアクセスする人物によって露出される脆弱性 (たとえば、許可リストにIP 範囲を追加するお客様の責任、IP 範囲を正しく実装するCitrix の責任など) に関する責任は、このドキュメントの別の場所で説明されています。

どちらのシナリオでも、Citrix はRDP トラフィックを許可するためのファイアウォール例外を正しく作成する責任を負います。Citrix はまた、お客様が踏み台を破棄するか、Citrix DaaS for Azure を介したRDP アクセスを終了した後、これらの例外を取り消す責任を負います。

踏み台

Citrix は、お客様のCitrix が管理するサブスクリプション内のCitrix が管理する仮想ネットワークに踏み台を作成し、問題を診断および修復する場合があります。これは、プロアクティブに (お客様への通知なしに) 行われる場合もあれば、お客様が提起した問題に対応して行われる場合もあります。踏み台は、お客様がRDP を介してアクセスし、その後RDP を介してVDA および (ドメイン参加カタログの場合は) Cloud Connector にアクセスして、ログの収集、サービスの再起動、またはその他の管理タスクを実行できるマシンです。デフォルトでは、踏み台を作成すると、お客様が指定したIP アドレス範囲からのRDP トラフィックを踏み台マシンに許可する外部ファイアウォールルールが開かれます。また、RDP を介してCloud Connector とVDA へのアクセスを許可する内部ファイアウォールルールも開かれます。これらのルールを開放することは、大きなセキュリティリスクをもたらします。

お客様は、ローカルWindows アカウントに使用される強力なパスワードを提供する責任を負います。お客様はまた、踏み台へのRDP アクセスを許可する外部IP アドレス範囲を提供する責任も負います。お客様がIP 範囲を提供しないことを選択した場合 (誰でもRDP アクセスを試行できるようにする場合)、お客様は悪意のあるIP アドレスによるアクセス試行について責任を負います。

お客様は、トラブルシューティングが完了した後、踏み台を削除する責任も負います。踏み台ホストは追加の攻撃対象領域を露出させるため、Citrix は電源投入後8 時間でマシンを自動的にシャットダウンします。ただし、Citrix が踏み台を自動的に削除することはありません。お客様が踏み台を長期間使用することを選択した場合、そのパッチ適用と更新に責任を負います。Citrix は、踏み台は削除する前に数日間のみ使用することを推奨します。お客様が最新の踏み台を希望する場合、現在のものを削除してから新しい踏み台を作成できます。これにより、最新のセキュリティパッチが適用された新しいマシンがプロビジョニングされます。

RDP アクセス

ドメイン参加カタログの場合、お客様のVNet ピアリングが機能している場合、お客様はピアリングされたVNet からCitrix が管理するVNet へのRDP アクセスを有効にできます。お客様がこのオプションを使用する場合、お客様はVNet ピアリングを介してVDA およびCloud Connector にアクセスする責任を負います。ソースIP アドレス範囲を指定することで、お客様の内部ネットワーク内であってもRDP アクセスをさらに制限できます。お客様はこれらのマシンにログインするためにドメイン資格情報を使用する必要があります。お客様がCitrix サポートと協力して問題を解決している場合、お客様はこれらの資格情報をサポート担当者と共有する必要がある場合があります。問題が解決した後、お客様はRDP アクセスを無効にする責任を負います。お客様のピアリングされたネットワークまたはオンプレミスネットワークからRDP アクセスを開放したままにすることは、セキュリティリスクをもたらします。

ドメイン資格情報

お客様がドメイン参加カタログを使用することを選択した場合、お客様はマシンをドメインに参加させる権限を持つドメインアカウント (ユーザー名とパスワード) をCitrix DaaS for Azure に提供する責任を負います。ドメイン資格情報を提供する際、お客様は以下のセキュリティ原則を遵守する責任を負います。

• 監査可能: アカウントはCitrix DaaS for Azure の使用のために特別に作成され、その使用目的を簡単に監査できるようにする必要があります。
• スコープ: アカウントはマシンをドメインに参加させる権限のみを必要とします。完全なドメイン管理者であるべきではありません。
• 安全: アカウントには強力なパスワードを設定する必要があります。

Citrix は、お客様のCitrix が管理するAzure サブスクリプション内のAzure Key Vault にこのドメインアカウントを安全に保管する責任を負います。アカウントは、操作にドメインアカウントのパスワードが必要な場合にのみ取得されます。

詳細情報

関連情報については、以下を参照してください。

• Citrix Cloud Platform のセキュア展開ガイド: Citrix Cloud プラットフォームのセキュリティ情報。
• 技術セキュリティの概要: Citrix DaaS のセキュリティ情報。
• サードパーティ通知