セキュリティの技術概要
Citrix CloudはCitrix Gatewayサービスの操作を管理し、お客様がCitrix Gatewayアプライアンスを管理する必要性を置き換えます。Citrix GatewayサービスはCitrix Workspaceアプリを使用してプロビジョニングされます
Citrix Gatewayサービスでは、次の機能を提供します。
HDX接続: アプリとデスクトップをホストする仮想配信エージェント (VDA) は、クラウドまたはオンプレミスのいずれかのデータセンターで、お客様の制御下にとどまります。これらのコンポーネントは、Citrix Cloud Connectorと呼ばれるエージェントを使用してクラウドサービスに接続されます。
DTLS 1.2プロトコルのサポート: Citrix Gateway サービスは、EDT(UDPベースのトランスポートプロトコル)を介したHDXセッションのデータグラムトランスポート層セキュリティ(DTLS)1.2をサポートします。次の暗号スイートがサポートされています。
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Endpoint Management 統合: Citrix Endpoint Management Citrix Workspace と統合すると、Citrix Gatewayサービスは、内部ネットワークとリソースへの安全なリモートデバイスアクセスを提供します。Endpoint Management を使用したCitrix Gatewayサービスのオンボーディングは迅速かつ簡単です。Citrix Gateway サービスには、Secure MailやSecure Webなどのアプリケーション向けのCitrix SSOのフルサポートが含まれています。
データフロー
Citrix Gatewayサービスは、グローバルに分散されたマルチテナントサービスです。エンドユーザーは、Citrix Cloud Controlプレーンの地理的選択やアクセスされるアプリケーションの場所に関係なく、必要な特定の機能を利用できる最も近いPoP(PoP)を使用します。認可メタデータなどの設定は、すべての POP に複製されます。
診断、監視、ビジネス、および容量計画のためにCitrixが使用するログは、一元化された場所にセキュリティで保護され、保存されます。
お客様の構成は、一元化された場所に保存され、すべての POP にグローバルに分散されます。
クラウドとお客様の施設間でのデータ通信には、ポート443を介した安全なTLS接続が使用されます。
ユーザー認証とシングルサインオンに使用される暗号化キーは、ハードウェアセキュリティモジュールに保存されます。
データ分離
Citrix Gatewayサービスには、次のデータが格納されます。
- お客様のアプリケーションの仲介と監視に必要な構成データ。データは、永続化されると顧客によってスコープに含まれます。
- 各ユーザデバイスの TOTP シード — TOTP シードのスコープは、顧客、ユーザー、およびデバイスによって設定されます。
監査と変更管理
現在、Citrix Gateway サービスは、監査ログと変更制御ログをお客様に提供していません。ログはCitrix が利用でき、エンドユーザーと管理者のアクティビティを監査するために使用できます。
資格情報の処理
サービスは、次の 2 種類の認証情報を処理します。
- ユーザー資格情報:エンドユーザーの資格情報(パスワードと認証トークン)は、Citrix Gateway サービスで次の操作を実行するために使用できます。
- Secure Private Access-このサービスは、ユーザーの ID を使用して、SaaS および Enterprise Web アプリケーション、およびその他のリソースへのアクセスを決定します。
- シングルサインオン-サービスは、HTTP Basic、NTLM、またはフォームベースの認証を使用して、内部 Web アプリケーションへの SSO 機能を完了するために、ユーザーのパスワードにアクセスできる場合があります。HTTP 基本認証を特に構成しない限り、パスワードに使用される暗号化プロトコルは TLS です。
- 管理者資格情報:管理者はCitrix Cloudに対して認証を行います。これにより、管理者がCitrix Cloudの管理コンソールにアクセスできる、ワンタイム署名付きJSON Webトークン(JWT)が生成されます。
注意事項
- パブリックネットワーク上のすべてのトラフィックは、Citrixが管理する証明書を使用して、TLSによって暗号化されます。
- SaaSアプリSSO(SAML署名キー)に使用されるキーは、Citrixによって完全に管理されます。
- MFAの場合、Citrix Gateway サービスは、TOTPアルゴリズムをシードするために使用されるデバイスごとのキーを保存します。
- Kerberosのシングル・サインオン機能を有効にするために、お客様は、Kerberos制約付き委任の実行が信頼できるサービス・アカウントの認証情報(ユーザー名+パスワード)を使用してConnector Applianceを構成する場合があります。
展開に関する考慮事項
Citrix Gateway サービスの展開については、公開されているベストプラクティスのドキュメントを参照することをお勧めします。SaaS アプリとエンタープライズ Web アプリの展開、およびネットワークコネクタに関する考慮事項の詳細については、以下のとおりです。
正しいコネクタの選択: ユースケースに応じて、正しいコネクタを選択する必要があります。
| 使用例 | コネクタ | フォームファクター |
|---|---|---|
| ユーザー認証:Active Directory | Citrix Cloud Connector | Windowsソフトウェア |
| HDXコネクティビティ | Citrix Cloud Connector | Windowsソフトウェア |
| SaaS アプリへのアクセス | Citrix Cloud Connector | - |
| エンタープライズ Web アプリへのアクセス | Citrix Cloud Connector、Citrix Connector Appliance | - |
| Citrix Endpoint Management によって提供されるエンタープライズアプリとファイル | Citrix Cloud Connector、Citrix Connector Appliance | - |
Citrix Cloud Connectorのネットワークアクセス要件
Citrix Cloud Connectorのネットワークアクセスの要件については、次を参照してください:https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html
Citrix GatewayサービスHDX接続
Citrix Gatewayサービスを使用すると、お客様のデータセンター内にCitrix Gatewayを展開する必要がなくなります。Citrix Gatewayサービスを使用するには、Citrix Cloudから提供されるStoreFront サービスを使用することが前提条件です。
お客様のベストプラクティス
お客様は、ネットワーク内で TLS を使用し、HTTP を介したアプリケーションに対して SSO を有効にしないことを推奨します。