Citrix Gateway

始める前に

Citrix Gateway をインストールする前に、インフラストラクチャを評価し、情報を収集して、組織の特定のニーズを満たすアクセス戦略を計画する必要があります。アクセス戦略を定義するときは、セキュリティの影響を考慮し、リスク分析を完了する必要があります。また、ユーザーが接続できるネットワークを決定し、ユーザー接続を有効にするポリシーを決定する必要があります。

ユーザーが使用できるリソースの計画に加えて、展開シナリオも計画する必要があります。Citrix Gateway は以下のCitrix 製品に対応しています。

  • Citrix Endpoint Management
  • Citrix Virtual Apps
  • Citrix Virtual Desktops
  • StoreFront
  • Web Interface
  • Citrix SD-WAN

Citrix Gateway の展開について詳しくは、「 一般的な展開」および「 Citrix 製品との統合」を参照してください。

アクセス戦略を準備するには、次の予備的な手順を実行します。

  • リソースを特定する。リスク分析で定義したWeb、SaaS、モバイルまたは公開アプリケーション、仮想デスクトップ、サービス、データなど、アクセスを提供するネットワークリソースを一覧表示します。
  • アクセスシナリオを開発する。ユーザーがネットワークリソースにアクセスする方法を説明するアクセスシナリオを作成します。アクセスシナリオは、ネットワークへのアクセスに使用される仮想サーバー、エンドポイント分析スキャン結果、認証タイプ、またはその組み合わせによって定義されます。また、ユーザがネットワークにログオンする方法を定義することもできます。
  • クライアントソフトウェアを識別します。Citrix Secure Accessエージェントを使用して完全なVPNアクセスを提供し、ユーザーはCitrix Workspace アプリ、Secure Hub、またはクライアントレスアクセスを使用してログオンする必要があります。また、Outlook Web App または WorxMail への電子メールアクセスを制限することもできます。これらのアクセスシナリオは、ユーザーがアクセス権を取得したときに実行できるアクションも決定します。たとえば、ユーザーが公開アプリケーションを使用してドキュメントを変更できるか、ファイル共有に接続してドキュメントを変更できるかを指定できます。
  • ポリシーをユーザー、グループ、または仮想サーバーに関連付けます。Citrix Gateway で作成するポリシーは、個人またはユーザーのセットが指定された条件を満たすときに適用されます。条件は、作成したアクセスシナリオに基づいて決定します。次に、ユーザーがアクセスできるリソースと、それらのリソースに対してユーザーが実行できるアクションを制御することにより、ネットワークのセキュリティを拡張するポリシーを作成します。ポリシーは、適切なユーザー、グループ、仮想サーバー、またはグローバルに関連付けます。

このセクションでは、アクセス戦略の計画に役立つ次のトピックについて説明します。

  • セキュリティの計画には、認証と証明書に関する情報が含まれています。
  • 必要になる可能性があるネットワークハードウェアとソフトウェアを定義する前提条件。
  • Citrix Gateway を構成する前に設定を書き留めるために使用できるインストール前チェックリスト。

Citrix Gateway をインストールするための前提条件

Citrix Gateway の設定を構成する前に、次の前提条件を確認してください。

  • Citrix Gateway はネットワークに物理的にインストールされ、ネットワークにアクセスできます。Citrix Gateway は、DMZまたはファイアウォールの背後にある内部ネットワークに展開されています。また、ダブルホップDMZでCitrix Gateway を構成し、サーバーファームへの接続を構成することもできます。DMZにアプライアンスを展開することをお勧めします。
  • Citrix Gateway をデフォルトゲートウェイまたは内部ネットワークへの静的ルートで構成し、ユーザーがネットワーク内のリソースにアクセスできるようにします。Citrix Gateway は、デフォルトで静的ルートを使用するように構成されています。
  • 認証と認可に使用される外部サーバは設定され、実行されています。詳細については、「 認証と承認」を参照してください。
  • ネットワークには、正しいCitrix Gateway ユーザー機能を提供するための名前解決用のドメインネームサーバー(DNS)またはWindowsインターネットネームサービス(WINS)サーバーがあります。
  • Citrix Secure Accessエージェントとのユーザー接続用のユニバーサルライセンスをCitrix Webサイトからダウンロードし、Citrix Gateway にライセンスをインストールする準備ができました。
  • Citrix Gateway には、信頼できる認証局(CA)によって署名された証明書があります。詳しくは、「Installing and Managing Certificates」を参照してください。

Citrix Gateway をインストールする前に、インストール前チェックリストを使用して設定を書き留めます。

セキュリティの計画

Citrix Gateway の展開を計画するときは、証明書、および認証と承認に関連する基本的なセキュリティ問題を理解する必要があります。

セキュアな証明書管理を構成する

デフォルトでは、Citrix Gateway には、アプライアンスがSSLハンドシェイクを完了できるようにする自己署名セキュアソケットレイヤー(SSL)サーバー証明書が含まれています。自己署名証明書は、テストやサンプル展開には十分ですが、本番環境での使用はお勧めしません。Citrix Gateway を実稼働環境に展開する前に、既知の認証局(CA)から署名付きSSLサーバー証明書を要求して受信し、Citrix Gateway にアップロードすることをお勧めします。

Citrix Gateway がSSLハンドシェイクでクライアントとして動作する必要がある環境(別のサーバーとの暗号化された接続を開始する)にCitrix Gateway を展開する場合は、Citrix Gateway にも信頼されたルート証明書をインストールする必要があります。たとえば、Citrix Virtual AppsとWebインターフェイスを備えたCitrix Gateway を展開する場合、Citrix Gateway からWebインターフェイスへの接続をSSLで暗号化できます。この構成では、Citrix Gateway に信頼されたルート証明書をインストールする必要があります。

認証サポート

ユーザーを認証し、内部ネットワーク上のネットワークリソースに対するユーザーのアクセス(または承認)のレベルを制御するようにCitrix Gateway を構成できます。

Citrix Gateway を展開する前に、ネットワーク環境に次の認証タイプのいずれかをサポートするためのディレクトリと認証サーバーが配置されている必要があります。

  • LDAP
  • RADIUS
  • TACACS+
  • 監査およびスマートカードをサポートするクライアント証明書
  • RADIUS構成のRSA
  • SAML認証

環境がこれらの認証タイプをサポートしていない場合、またはリモートユーザーの人口が少ない場合は、Citrix Gateway でローカルユーザーのリストを作成できます。次に、このローカルリストに対してユーザーを認証するようにCitrix Gateway を構成できます。この構成では、ユーザーアカウントを別の外部ディレクトリに保持する必要はありません。

Citrix Gateway 展開環境のセキュリティ保護

展開が異なれば、セキュリティに関する考慮事項も異なる場合があります。Citrix ADCの安全な導入ガイドラインは、特定のセキュリティ要件に基づいて適切な安全な導入を決定するのに役立つ一般的なセキュリティガイダンスを提供します。

詳しくは、「 Citrix ADC 安全な展開ガイドライン」を参照してください。

始める前に