セキュリティの技術概要

このドキュメントは、HDXトランスポート、SaaSアプリ、エンタープライズWebアプリなど、Citrix CloudでホストされるCitrix Gatewayサービスに関連するすべての機能に適用されます。

Citrix CloudはCitrix Gatewayサービスの操作を管理し、お客様がCitrix Gatewayアプライアンスを管理する必要性を置き換えます。Citrix GatewayサービスはCitrix Workspaceアプリを使用してプロビジョニングされます

Citrix Gatewayサービスでは、次の機能を提供します。

  • XenAppユーザー向けのHDX接続 — 場所を問わず、ユーザーから仮想アプリやデスクトップへのセキュアな接続を提供するサービスです。
  • SaaSアプリケーションへの安全なアクセス — 統合されたユーザーエクスペリエンスにより、構成済みのSaaSアプリケーションをエンドユーザーに提供します。
  • エンタープライズWebアプリケーションへの安全なアクセス — 統合されたユーザーエクスペリエンスにより、構成済みのエンタープライズWebアプリケーションをエンドユーザーに提供します。
  • デジタルワークスペース内のすべてのアプリとファイルへの安全なアクセス — 単一のプラットフォームであるCitrix Endpoint Managementを通じてすべてのデバイスを管理するための最新のアプローチです。サポートされているプラットフォームには、デスクトップ、ラップトップ、スマートフォン、タブレット、IoT などがあります。

HDX接続: アプリとデスクトップをホストする仮想配信エージェント (VDA) は、クラウドまたはオンプレミスのいずれかのデータセンターで、お客様の制御下にとどまります。これらのコンポーネントは、Citrix Cloud Connectorと呼ばれるエージェントを使用してクラウドサービスに接続されます。

SaaS アプリ: サービスとしてのソフトウェア (SaaS) は、ソフトウェアを Web ベースのサービスとしてリモートで提供するためのソフトウェア配布モデルです。一般的に使用される SaaS アプリケーションには、Salesforce、Workday, Concur、GoToMeeting などがあります。

エンタープライズWebアプリ: Citrix Gatewayサービスを使用したエンタープライズWebアプリ配信では、エンタープライズ固有のアプリケーションをWebベースのサービスとしてリモートで配信できます。一般的に使用されるエンタープライズ Web アプリには、SharePoint、Confluence、OneBug などがあります。エンタープライズWebアプリケーションにアクセスするには、Citrix Gateway Connectorが必要です。

SaaSアプリケーションとエンタープライズWebアプリケーションは、Citrix Gatewayサービスを使用してCitrix Workspace を介してプロビジョニングされます。Citrix GatewayサービスとCitrix Workspaceを組み合わせることで、構成済みのエンタープライズWebアプリ、SaaSアプリ、構成済みの仮想アプリ、またはその他のワークスペースリソースに対する統一されたユーザーエクスペリエンスが提供されます。Secure Accessに加えて、Citrix Gatewayサービスでは、ユーザーが生成したコンテンツに埋め込まれた信頼できないリンクからユーザーを保護します。

Endpoint Managementの統合: Citrix Endpoint ManagementとCitrix Workspaceに統合すると、Citrix Gatewayサービスにより内部ネットワークとリソースへのセキュアなリモートデバイスアクセスを提供します。Endpoint Management によるCitrix Gatewayサービスのオンボーディングは迅速かつ簡単です。Citrix Gateway サービスには、Secure MailやSecure Web などのアプリに対するCitrix SSO の完全なサポートが含まれています。

データフロー

Citrix Gatewayサービスは、グローバルに分散されたマルチテナントサービスです。エンドユーザーは、Citrix Cloudコントロールプレーンのジオ選択やアクセスするアプリケーションの場所に関係なく、必要な特定の機能を利用できる最も近いPoP(ポイントオブプレゼンス)を利用します。認可メタデータなどの設定は、すべての POP に複製されます。

診断、監視、ビジネス、および容量計画のためにCitrixが使用するログは、一元化された場所にセキュリティで保護され、保存されます。

お客様の構成は、一元化された場所に保存され、すべての POP にグローバルに分散されます。

クラウドとお客様の施設間でのデータ通信には、ポート443を介した安全なTLS接続が使用されます。

ユーザー認証およびシングルサインオンに使用される暗号化キーは、ハードウェアセキュリティモジュールに格納されます。

データ分離

Citrix Gatewayサービスには、次のデータが格納されます。

  • お客様のアプリケーションの仲介と監視に必要な構成データ。データの範囲はお客様によって保存される場合です。
  • 各ユーザデバイスの TOTP シード — TOTP シードのスコープは、顧客、ユーザー、およびデバイスによって設定されます。

監査と変更管理

現在、Citrix Gatewayサービスでは、監査および変更制御ログを顧客が使用できるようにしていません。Citrixでは、エンドユーザーと管理者のアクティビティを監査するために使用できるログを使用できます。

資格情報の処理

サービスは、次の 2 種類の認証情報を処理します。

  • ユーザー資格情報:Citrix Gatewayサービスでエンドユーザー資格情報(パスワードと認証トークン)を使用して、次の操作を実行できます。
    • Secure Workspace Access-サービスは、ユーザーの ID を使用して SaaS、エンタープライズ Web アプリケーション、およびその他のリソースへのアクセスを決定します。
    • シングルサインオン-サービスは、HTTP Basic、NTLM、またはフォームベースの認証を使用して、内部 Web アプリケーションへの SSO 機能を完了するために、ユーザーのパスワードにアクセスできる場合があります。HTTP 基本認証を特に構成しない限り、パスワードに使用される暗号化プロトコルは TLS です。
  • 管理者資格情報:管理者はCitrix Cloudに対して認証を行います。これにより、管理者がCitrix Cloudの管理コンソールにアクセスできる、ワンタイム署名付きJSON Webトークン(JWT)が生成されます。

注意事項

  • パブリックネットワーク上のすべてのトラフィックは、Citrixが管理する証明書を使用して、TLSによって暗号化されます。
  • SaaSアプリSSO(SAML署名キー)に使用されるキーは、Citrixによって完全に管理されます。
  • MFAの場合、Citrix Gatewayサービスには、TOTPアルゴリズムのシードに使用されるデバイスごとのキーが格納されます。
  • Kerberos シングルサインオン機能を有効にするには、Kerberos 制約付き委任を実行するために信頼されたサービスアカウントの資格情報 (ユーザー名+パスワード) を使用して Gateway Connector を構成できます。

展開に関する考慮事項

Citrix Gateway サービスの展開については、公開されているベストプラクティスのドキュメントを参照することをお勧めします。SaaS アプリとエンタープライズ Web アプリの展開、およびネットワークコネクタに関する考慮事項の詳細については、以下のとおりです。

正しいコネクタの選択: ユースケースに応じて、正しいコネクタを選択する必要があります。

使用例 コネクタ フォームファクター
ユーザー認証:Active Directory Citrix Cloud Connector Windowsソフトウェア
HDXコネクティビティ Citrix Cloud Connector Windowsソフトウェア
SaaS アプリへのアクセス Citrix Cloud Connector -
エンタープライズ Web アプリへのアクセス Citrix Cloud Connector、Citrix Gateway Connector -
Citrix Endpoint Management によって提供されるエンタープライズアプリとファイル Citrix Cloud Connector、Citrix Gateway Connector -

Citrix Cloud Connectorのネットワークアクセス要件

Citrix Cloud Connectorのネットワークアクセスの要件については、次を参照してください:https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html

Citrix Gateway Connectorのネットワークアクセス要件

Citrix Cloud Connectorのネットワークアクセスの要件については、次を参照してください:https://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.html

Citrix GatewayサービスHDX接続

Citrix Gatewayサービスを使用すると、お客様のデータセンター内にCitrix Gatewayを展開する必要がなくなります。Citrix Gatewayサービスを使用するには、Citrix Cloudから提供されるStoreFront サービスを使用することが前提条件です。

お客様のベストプラクティス

お客様は、ネットワーク内で TLS を使用し、HTTP を介したアプリケーションに対して SSO を有効にしないことを推奨します。