技術セキュリティの概要
Citrix CloudはCitrix Gatewayサービスの運用を管理し、お客様がNetScaler Gatewayアプライアンスを管理する必要性をなくします。Citrix GatewayサービスはCitrix Workspaceアプリを介してプロビジョニングされます。
Citrix Gatewayサービスは以下の機能を提供します。
HDX接続: アプリケーションとデスクトップをホストするVirtual Delivery Agent(VDA)は、お客様が選択したデータセンター(クラウドまたはオンプレミス)でお客様の管理下に置かれます。これらのコンポーネントは、Citrix Cloud Connectorと呼ばれるエージェントを使用してクラウドサービスに接続されます。
DTLS 1.2プロトコルのサポート: Citrix Gatewayサービスは、EDT(UDPベースのトランスポートプロトコル)を介したHDXセッション向けにDatagram Transport Layer Security(DTLS)1.2をサポートします。以下の暗号スイートがサポートされています。
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLSプロトコルのサポート: Citrix Gatewayサービスは以下のTLS暗号スイートをサポートします。
- TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
- TLS1.2-ECDHE-RSA-AES-256-SHA384
- TLS1-ECDHE-RSA-AES128-SHA
- TLS1.2-AES256-GCM-SHA384
- TLS1-AES-256-CBC-SHA
Endpoint Managementとの統合: Citrix Endpoint ManagementとCitrix Workspaceに統合すると、Citrix Gatewayサービスは社内ネットワークとリソースへの安全なリモートデバイスアクセスを提供します。Endpoint ManagementでCitrix Gatewayサービスをオンボーディングするのは迅速かつ簡単です。Citrix Gatewayサービスには、Secure MailやSecure Webなどのアプリケーションに対するCitrix SSOの完全なサポートが含まれます。
データフロー
Citrix Gatewayサービスは、グローバルに分散されたマルチテナントサービスです。エンドユーザーは、Citrix Cloud Controlプレーンの地理的選択やアクセスされるアプリケーションの場所に関係なく、必要な特定の機能が利用可能な最寄りのPoint-of-Presence(PoP)を使用します。承認メタデータなどの構成は、すべてのPoPに複製されます。
Citrixが診断、監視、ビジネス、およびキャパシティプランニングに使用するログは、保護され、1つの中央の場所に保存されます。
お客様の構成は、1つの中央の場所に保存され、すべてのPoPにグローバルに配布されます。
クラウドとお客様のオンプレミス間で流れるデータは、ポート443を介した安全なTLS接続を使用します。
ユーザー認証とシングルサインオンに使用される暗号化キーは、ハードウェアセキュリティモジュールに保存されます。
データ分離
Citrix Gatewayサービスは以下のデータを保存します。
- お客様のアプリケーションの仲介と監視に必要な構成データ – データは永続化される際にお客様によってスコープされます
- 各ユーザーデバイスのTOTPシード – TOTPシードは、お客様、ユーザー、デバイスによってスコープされます
監査と変更管理
現在、Citrix Gatewayサービスは監査および変更管理ログをお客様に提供していません。ログはCitrixが利用でき、エンドユーザーと管理者の活動を監査するために使用できます。
資格情報の処理
このサービスは2種類の資格情報を処理します。
- ユーザー資格情報: エンドユーザーの資格情報(パスワードと認証トークン)は、以下の実行のためにCitrix Gatewayサービスで利用可能になる場合があります。
- Citrix Secure Private Access - このサービスは、ユーザーのIDを使用して、SaaSおよびエンタープライズWebアプリケーションやその他のリソースへのアクセスを決定します。
- シングルサインオン - このサービスは、HTTP Basic、NTLM、またはフォームベース認証を使用して、社内WebアプリケーションへのSSO機能を完了するために、ユーザーのパスワードにアクセスする場合があります。パスワードに使用される暗号化プロトコルは、HTTP Basic認証を特に構成しない限りTLSです。
- 管理者資格情報: 管理者はCitrix Cloudに対して認証を行います。これにより、管理者にCitrix Cloudの管理コンソールへのアクセスを許可するワンタイム署名付きJSON Web Token(JWT)が生成されます。
注意点
- 公衆ネットワーク上のすべてのトラフィックは、Citrixが管理する証明書を使用してTLSによって暗号化されます。
- SaaSアプリSSO(SAML署名キー)に使用されるキーは、Citrixによって完全に管理されます。
- MFAの場合、Citrix GatewayサービスはTOTPアルゴリズムのシードに使用されるデバイスごとのキーを保存します。
- Kerberosシングルサインオン機能を有効にするには、お客様はKerberos Constrained Delegationを実行するために信頼されたサービスアカウントの資格情報(ユーザー名+パスワード)を使用してConnector Applianceを構成する場合があります。
展開に関する考慮事項
Citrixは、Citrix Gatewayサービスの展開に関する公開されているベストプラクティスドキュメントを参照することを推奨します。SaaSアプリとエンタープライズWebアプリの展開、およびネットワークコネクターに関するその他の考慮事項は以下のとおりです。
適切なコネクターの選択: ユースケースに応じて、適切なコネクターを選択する必要があります。
ユースケース | コネクター | フォームファクター |
---|---|---|
ユーザー認証: Active Directory | Citrix Cloud Connector | Windowsソフトウェア |
HDX接続 | Citrix Cloud Connector | Windowsソフトウェア |
SaaSアプリへのアクセス | Citrix Cloud Connector | N/A |
エンタープライズWebアプリへのアクセス | Citrix Cloud Connector、Citrix Connector Appliance | N/A |
Citrix Endpoint Managementによって配信されるエンタープライズアプリとファイル | Citrix Cloud Connector、Citrix Connector Appliance | N/A |
Citrix Cloud Connectorのネットワークアクセス要件
Citrix Cloud Connectorのネットワークアクセス要件については、https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.htmlを参照してください。
Citrix GatewayサービスのHDX接続
Citrix Gatewayサービスを使用すると、お客様のデータセンター内にNetScaler Gatewayを展開する必要がなくなります。Citrix Gatewayサービスを使用するには、Citrix Cloudから提供されるCitrix Workspaceを使用することが前提条件となります。
お客様のベストプラクティス
お客様は、ネットワーク内でTLSを使用し、HTTP経由のアプリケーションに対してSSOを有効にしないことを推奨します。
非推奨の暗号スイート
セキュリティ強化のため、以下の暗号スイートは非推奨です。
- TLS1.2-AES128-GCM-SHA256
- TLS1.2-AES-128-SHA256
- TLS1.2-AES256-GCM-SHA384
- TLS1.2-AES-256-SHA256
- TLS1.2-DHE-RSA-AES-256-SHA256
- TLS1.2-DHE-RSA-AES-128-SHA256
- TLS1.2-DHE-RSA-AES256-GCM-SHA384
- TLS1.2-DHE-RSA-AES128-GCM-SHA256
- SSL3-DES-CBC3-SHA
- TLS1-ECDHE-RSA-AES256-SHA
- TLS1-AES-256-CBC-SHA
- TLS1-AES-128-CBC-SHA
- TLS1-ECDHE-ECDSA-AES256-SHA
- TLS1-ECDHE-ECDSA-AES128-SHA
- TLS1-DHE-RSA-AES-256-CBC-SHA
- TLS1-DHE-RSA-AES-128-CBC-SHA
- TLS1-DHE-DSS-AES-256-CBC-SHA
- TLS1-DHE-DSS-AES-128-CBC-SHA
- TLS1-ECDHE-RSA-DES-CBC3-SHA
- TLS1.2-ECDHE-RSA-AES-128-SHA256
- TLS1.2-ECDHE-ECDSA-AES128-SHA256
- TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
- TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256