技術セキュリティの概要

Citrix CloudはCitrix Gatewayサービスの運用を管理し、顧客がNetScaler Gatewayアプライアンスを管理する必要性をなくします。Citrix Gatewayサービスは、Citrix Workspaceアプリを介してプロビジョニングされます。

Citrix Gatewayサービスは以下の機能を提供します。

HDX接続: アプリとデスクトップをホストするVirtual Delivery Agent (VDA) は、顧客が選択したデータセンター（クラウドまたはオンプレミス）で顧客の管理下に置かれます。これらのコンポーネントは、Citrix Cloud Connectorと呼ばれるエージェントを使用してクラウドサービスに接続されます。

DTLS 1.2プロトコルのサポート: Citrix Gatewayサービスは、EDT (UDPベースのトランスポートプロトコル) を介したHDXセッション向けにDatagram Transport Layer Security (DTLS) 1.2をサポートします。以下の暗号スイートがサポートされています。

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLSプロトコルのサポート: Citrix Gatewayサービスは以下のTLS暗号スイートをサポートします。

• TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
• TLS1.2-ECDHE-RSA-AES-256-SHA384
• TLS1-ECDHE-RSA-AES128-SHA
• TLS1.2-AES256-GCM-SHA384
• TLS1-AES-256-CBC-SHA

Endpoint Managementとの統合: Citrix Endpoint ManagementとCitrix Workspaceを統合すると、Citrix Gatewayサービスは内部ネットワークとリソースへの安全なリモートデバイスアクセスを提供します。Endpoint ManagementへのCitrix Gatewayサービスのオンボーディングは迅速かつ簡単です。Citrix Gatewayサービスには、Secure MailやSecure Webなどのアプリ向けCitrix SSOが完全にサポートされています。

データフロー

Citrix Gatewayサービスは、グローバルに分散されたマルチテナントサービスです。エンドユーザーは、Citrix Cloud Controlプレーンの地理的選択やアクセスされるアプリケーションの場所に関係なく、必要な特定の機能が利用可能な最寄りのPoint-of-Presence (PoP) を使用します。承認メタデータなどの構成は、すべてのPoPにレプリケートされます。

Citrix®が診断、監視、ビジネス、およびキャパシティプランニングに使用するログは保護され、一元的に保存されます。

顧客の構成は一元的に保存され、すべてのPoPにグローバルに配布されます。

クラウドと顧客のオンプレミス間で流れるデータは、ポート443を介した安全なTLS接続を使用します。

ユーザー認証とシングルサインオンに使用される暗号化キーは、ハードウェアセキュリティモジュールに保存されます。

データ分離

Citrix Gatewayサービスは以下のデータを保存します。

• 顧客のアプリケーションの仲介と監視に必要な構成データ – データは永続化時に顧客によってスコープされます
• 各ユーザーデバイスのTOTPシード – TOTPシードは顧客、ユーザー、デバイスによってスコープされます

監査と変更管理

現在、Citrix Gatewayサービスは監査および変更管理ログを顧客に提供していません。ログはCitrixが利用でき、エンドユーザーと管理者の活動を監査するために使用できます。

資格情報の処理

サービスは2種類の資格情報を処理します。

• ユーザー資格情報: エンドユーザー資格情報 (パスワードと認証トークン) は、以下の操作を実行するためにCitrix Gatewayサービスに提供される場合があります。
  • Citrix Secure Private Access - サービスはユーザーのIDを使用して、SaaSおよびエンタープライズWebアプリケーションやその他のリソースへのアクセスを決定します
  • シングルサインオン - サービスは、HTTP Basic、NTLM、またはフォームベース認証を使用して内部WebアプリケーションへのSSO機能を完了するために、ユーザーのパスワードにアクセスする場合があります。パスワードに使用される暗号化プロトコルは、HTTP Basic認証を明示的に構成しない限りTLSです
• 管理者資格情報: 管理者はCitrix Cloudに対して認証を行います。これにより、管理者にCitrix Cloudの管理コンソールへのアクセスを許可するワンタイム署名付きJSON Web Token (JWT) が生成されます。

注意事項

• 公衆ネットワーク上のすべてのトラフィックは、Citrixが管理する証明書を使用してTLSによって暗号化されます。
• SaaSアプリSSO (SAML署名キー) に使用されるキーは、Citrixによって完全に管理されます。
• MFAの場合、Citrix GatewayサービスはTOTPアルゴリズムのシードに使用されるデバイスごとのキーを保存します。
• Kerberosシングルサインオン機能を有効にするには、顧客はKerberos Constrained Delegationを実行するために信頼されたサービスアカウントの資格情報 (ユーザー名 + パスワード) を使用してConnector Applianceを構成する場合があります。

展開に関する考慮事項

Citrixは、Citrix Gatewayサービスの展開に関する公開されているベストプラクティスドキュメントを参照することを推奨します。SaaSアプリとエンタープライズWebアプリの展開、およびネットワークコネクタに関するその他の考慮事項は以下のとおりです。

適切なコネクタの選択: ユースケースに応じて、適切なコネクタを選択する必要があります。

Citrix Cloud Connectorのネットワークアクセス要件

Citrix Cloud Connectorのネットワークアクセス要件については、https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.htmlを参照してください。

Citrix GatewayサービスのHDX接続

Citrix Gatewayサービスを使用すると、顧客のデータセンター内にNetScaler Gatewayを展開する必要がなくなります。Citrix Gatewayサービスを使用するには、Citrix Cloudから提供されるCitrix Workspaceを使用することが前提条件です。

顧客のベストプラクティス

顧客は、ネットワーク内でTLSを使用し、HTTP経由のアプリケーションに対してSSOを有効にしないことを推奨します。

非推奨の暗号スイート

以下の暗号スイートは、セキュリティ強化のため非推奨です。

• TLS1.2-AES128-GCM-SHA256
• TLS1.2-AES-128-SHA256
• TLS1.2-AES256-GCM-SHA384
• TLS1.2-AES-256-SHA256
• TLS1.2-DHE-RSA-AES-256-SHA256
• TLS1.2-DHE-RSA-AES-128-SHA256
• TLS1.2-DHE-RSA-AES256-GCM-SHA384
• TLS1.2-DHE-RSA-AES128-GCM-SHA256
• SSL3-DES-CBC3-SHA
• TLS1-ECDHE-RSA-AES256-SHA
• TLS1-AES-256-CBC-SHA
• TLS1-AES-128-CBC-SHA
• TLS1-ECDHE-ECDSA-AES256-SHA
• TLS1-ECDHE-ECDSA-AES128-SHA
• TLS1-DHE-RSA-AES-256-CBC-SHA
• TLS1-DHE-RSA-AES-128-CBC-SHA
• TLS1-DHE-DSS-AES-256-CBC-SHA
• TLS1-DHE-DSS-AES-128-CBC-SHA
• TLS1-ECDHE-RSA-DES-CBC3-SHA
• TLS1.2-ECDHE-RSA-AES-128-SHA256
• TLS1.2-ECDHE-ECDSA-AES128-SHA256
• TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
• TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256