セキュリティの技術概要

次の図に、Citrix DaaS Standard for Azure(旧称Citrix Virtual Apps and Desktops Standard for Azure)展開に含まれるコンポーネントを示します。この例では、VNetピアリング接続を使用しています。

Citrix DaaS for AzureコンポーネントとAzure VNetピア接続

Citrix DaaS for Azureを使用すると、デスクトップとアプリを提供する顧客のVirtual Delivery Agent(VDA)とCitrix Cloud Connectorが、Citrix管理のAzureサブスクリプションとテナントに展開されます。

注:

この記事では、Citrix Managed Azureサブスクリプションを使用してCitrix DaaS for Azureを展開する顧客のセキュリティ要件の概要を説明します。セキュリティ情報を含む、顧客管理の Azure サブスクリプションを使用した Citrix DaaS for Azure の展開のアーキテクチャの概要については、「リファレンスアーキテクチャ:Virtual Apps and Desktops サービス-Azure」を参照してください。

Citrixクラウドベースのコンプライアンス

2021年1月時点で、さまざまなエディションのCitrix DaaSおよびWorkspace Premium PlusでのCitrix Managed Azure Capacityの使用は、Citrix SOC 2(タイプ1または2)、ISO 27001、HIPAA、またはその他のクラウドコンプライアンスの要件に対して評価されていません。Citrix Cloudの認定について詳しくは、「Citrix Trust Center」を参照してください。また、頻繁に更新を確認してください。

シトリックスの責任

ドメイン非参加カタログ用のCitrix Cloud Connector

Citrix DaaS for Azureは、各リソースの場所に少なくとも2つのCloud Connectorを展開します。一部のカタログは、同じ顧客の他のカタログと同じリージョンにある場合、リソースの場所を共有することができます。

シトリックスは、ドメイン非参加カタログのCloud Connectorに対する以下のセキュリティ操作に責任があります:

  • オペレーティングシステムの更新とセキュリティパッチの適用
  • アンチウイルスプログラムのインストールと保守
  • Cloud Connectorソフトウェア更新プログラムの適用

顧客にはCloud Connectorへのアクセス権限はありません。そのため、シトリックスは、ドメイン非参加カタログCloud Connectorのパフォーマンスに全責任を負います。

AzureサブスクリプションとAzure Active Directory

シトリックスは、顧客向けに作成されたAzureサブスクリプションとAzure Active Directory(AAD)のセキュリティに責任があります。シトリックスはテナント分離を保証しているため、各顧客は自身のAzureサブスクリプションとAADを持ち、異なるテナント間の混線は防止されます。また、Citrixは、AADへのアクセスをCitrix DaaS for AzureとCitrix運用担当者のみに制限しています。シトリックスによる各顧客のAzureサブスクリプションへのアクセスは監査されます。

ドメイン非参加カタログを使用している顧客は、Citrix Workspaceの認証手段としてCitrix管理のAADを使用できます。これらの顧客のために、シトリックスはCitrix管理のAADで制限付き特権のユーザーアカウントを作成します。ただし、顧客のユーザーも管理者も、Citrix管理のAADに対して操作を行うことはできません。これらの顧客が代わりに独自のAADを使用することを選択した場合、そのセキュリティについては顧客が全責任を負います。

仮想ネットワークとインフラストラクチャ

顧客のCitrix Managed Azureサブスクリプション内で、シトリックスはリソースの場所を分離するための仮想ネットワークを作成します。シトリックスは、これらのネットワーク内で、ストレージアカウント、Key Vault、およびその他のAzureリソースに加え、VDA、Cloud Connector、およびイメージビルダーマシン用の仮想マシンを作成します。シトリックスは、Microsoftと提携し、仮想ネットワークファイアウォールを含む仮想ネットワークのセキュリティに対する責任を負います。

シトリックスは、デフォルトのAzureファイアウォールポリシー(ネットワークセキュリティグループ)が、VNetピアリングおよびSD-WAN接続のネットワークインターフェイスへのアクセスを制限するように構成されていることを保証します。通常、これはVDAとCloud Connectorへの受信トラフィックを制御します。詳しくは、次のページを参照してください:

顧客はこのデフォルトのファイアウォールポリシーを変更することはできませんが、シトリックスが作成したVDAマシンに追加のファイアウォール規則を展開することはできます。たとえば、送信トラフィックを部分的に制限できます。シトリックスが作成したVDAマシンに、仮想プライベートネットワーククライアント、またはファイアウォール規則をバイパスできるその他のソフトウェアをインストールする顧客は、発生する可能性のあるセキュリティリスクに責任を負います。

Citrix DaaS for Azureでイメージビルダーを使用して新しいマシンイメージを作成およびカスタマイズする場合、ポート3389〜3390がCitrix管理のVNetで一時的に開かれるため、顧客は新しいマシンイメージを含むマシンにRDP(リモートデスクトッププロトコル)を使用することができ、そのマシンをカスタマイズできます。

Azure VNetピアリング接続を使用する場合のシトリックスの責任

Citrix DaaS for AzureのVDAがオンプレミスのドメインコントローラー、ファイル共有、またはその他のイントラネットリソースに接続するために、Citrix DaaS for Azureは接続オプションとしてVNetピアリングワークフローを提供します。顧客のCitrix管理の仮想ネットワークは、顧客管理のAzure仮想ネットワークとピアリングされます。カスタマーマネージド仮想ネットワークは、Azure ExpressRoute や IPsec トンネルなど、お客様が選択したクラウドからオンプレミスの接続ソリューションを使用して、お客様のオンプレミスリソースとの接続を有効にできます。

VNet ピアリングに対するシトリックスの責任は、Citrix とカスタマー管理の VNet 間のピアリング関係を確立するためのワークフローおよび関連する Azure リソース構成のサポートに限定されます。

Azure VNetピアリング接続のファイアウォールポリシー

シトリックスは、VNetピアリング接続を使用する受信および送信トラフィック用に、以下のポートを開いたり閉じたりします。

ドメイン非参加マシンを使用したCitrix管理のVNet
  • 受信規則
    • VDAからCloud Connectorへ、およびCloud ConnectorからVDAへの受信には、ポート80、443、1494、および2598を許可します。
    • モニターシャドウイング機能で使用されるIP範囲からVDAへの受信には、ポート49152〜65535を許可します。「Citrixテクノロジで使用される通信ポート」を参照してください。
    • 他のすべての受信を拒否します。これには、VDAからVDAへの、およびVDAからCloud ConnectorへのVNet内トラフィックが含まれます。
  • 送信規則
    • すべての送信トラフィックが許可されます。
ドメイン参加済みマシンがあるCitrix管理のVNet
  • 受信規則:
    • VDAからCloud Connectorへ、およびCloud ConnectorからVDAへの受信には、ポート80、443、1494、および2598を許可します。
    • モニターシャドウイング機能で使用されるIP範囲からVDAへの受信には、ポート49152〜65535を許可します。「Citrixテクノロジで使用される通信ポート」を参照してください。
    • 他のすべての受信を拒否します。これには、VDAからVDAへの、およびVDAからCloud ConnectorへのVNet内トラフィックが含まれます。
  • 送信規則
    • すべての送信トラフィックが許可されます。
ドメイン参加済みマシンがある顧客管理のVNet
  • VNetを正しく構成することは顧客の責任です。この責任には、ドメイン参加のために以下のポートを開くことが含まれます。
  • 受信規則:
    • 内部起動のために、クライアントIPからの443、1494、2598での受信を許可します。
    • Citrix VNet(顧客が指定したIP範囲)からの53、88、123、135~139、389、445、636での受信を許可します。
    • プロキシ構成で開いたポートでの受信を許可します。
    • 顧客が作成したその他の規則。
  • 送信規則:
    • 内部起動のために、Citrix VNet(顧客が指定したIP範囲)への443、1494、2598での送信を許可します。
    • 顧客が作成したその他の規則。

SD-WAN接続を使用する場合のシトリックスの責任

Citrixは、仮想Citrix SD-WANインスタンスを完全に自動で展開する方法をサポートしており、これによりCitrix DaaS for Azureとオンプレミスリソースとの間の接続が可能です。Citrix SD-WAN接続には、VNetピアリングと比較して次のような多くの利点があります。

VDA-データセンターおよびVDA間ブランチ(ICA)接続の高い信頼性とセキュリティ。

  • 高度なQoS(サービス品質)機能とVoIP(ボイスオーバーIP)最適化機能を備えた、オフィスワーカーにとって最高のエンドユーザーエクスペリエンス。
  • Citrix HDXネットワークトラフィックとその他のアプリケーションの使用状況を検査、優先順位付け、およびレポートする組み込み機能。

Citrixは、Citrix DaaS for AzureでSD-WAN接続を利用する顧客が、SD-WAN Orchestratorを使用してCitrix SD-WANネットワークを管理することを求めます。

次の図は、SD-WAN接続を使用したCitrix DaaS for Azure展開に追加されたコンポーネントを示しています。

SD-WAN接続を使用したCitrix DaaS for Azure

Citrix DaaS for AzureのCitrix SD-WAN展開は、Citrix SD-WANの標準のAzure展開構成に似ています。詳しくは、「Citrix SD-WAN Standard EditionインスタンスのAzureへの展開」を参照してください。高可用性構成では、Azure Load Balancerを使用したSD-WANインスタンスのアクティブ/スタンバイペアは、VDAとCloud Connectorを含むサブネットとインターネットの間のゲートウェイとして展開されます。高可用性ではない構成では、単一のSD-WANインスタンスのみがゲートウェイとして展開されます。仮想SD-WANアプライアンスのネットワークインターフェイスには、2つのサブネットに分割された個別の小さなアドレス範囲からアドレスが割り当てられます。

SD-WAN接続を構成する場合、シトリックスは上記の管理対象デスクトップのネットワーク構成にいくつかの変更を加えます。特に、インターネット宛先へのトラフィックを含む VNet からのすべての発信トラフィックは、クラウド SD-WAN インスタンスを介してルーティングされます。SD-WANインスタンスは、Citrix管理のVNetのDNSサーバーとしても構成されます。

仮想SD-WANインスタンスへの管理アクセスには、管理者のログインとパスワードが必要です。SD-WANの各インスタンスには、SD-WAN管理者が、SD-WAN Orchestrator UI、仮想アプライアンス管理UI、およびCLIを介してリモートログインしたりトラブルシューティングしたりするための、ランダムで安全な一意のパスワードが割り当てられます。

他のテナント固有のリソースと同様に、特定の顧客のVNetに展開された仮想SD-WANインスタンスは、他のすべてのVNetから完全に分離されます。

顧客がCitrix SD-WAN接続を有効にする場合、Citrixは、Citrix DaaS for Azureで使用される仮想SD-WANインスタンスの初期展開を自動化し、基盤となるAzureリソース(仮想マシン、ロードバランサーなど)を保守し、仮想SD-WANインスタンスの初期構成について安全で効率的な追加設定不要のデフォルト設定を提供し、SD-WAN Orchestratorを使用した継続的な保守とトラブルシューティングを可能にします。また、シトリックスは合理的な対策を講じて、SD-WANネットワーク構成の自動検証を実行し、既知のセキュリティリスクをチェックし、SD-WAN Orchestratorを使用して対応する通知を表示します。

SD-WAN接続のファイアウォールポリシー

シトリックスは、Azureファイアウォールポリシー(ネットワークセキュリティグループ)とパブリックIPアドレスの割り当てを使用して、仮想SD-WANアプライアンスのネットワークインターフェイスへのアクセスを制限します:

  • WANおよび管理インターフェイスのみにパブリックIPアドレスが割り当てられ、インターネットへの送信接続を許可します。
  • Citrix管理のVNetのゲートウェイとして機能するLANインターフェイスは、同じVNet上の仮想マシンとのみネットワークトラフィックを交換できます。
  • WANインターフェイスは、(仮想パス接続のためにCitrix SD-WANによって使用される)UDPポート4980への受信トラフィックを制限し、VNetへの送信トラフィックを拒否します。
  • 管理ポートは、ポート443(HTTPS)および22(SSH)への受信トラフィックを許可します。
  • HA(高可用性)インターフェイスは、相互に制御トラフィックを交換することのみが許可されます。

インフラストラクチャへのアクセス

シトリックスは、顧客のCitrix管理インフラストラクチャ(Cloud Connector)にアクセスして、顧客に通知せずに、ログの収集(Windowsイベントビューアーなど)やサービスの再起動などの特定の管理タスクを実行することがあります。シトリックスは、これらのタスクを安全かつ確実に実行し、顧客への影響を最小限に抑える責任があります。また、シトリックスは、ログファイルが安全かつ確実に取得、転送、および処理されるようにする責任があります。この方法では、顧客のVDAにアクセスすることはできません。

ドメイン非参加カタログのバックアップ

シトリックスは、ドメイン非参加カタログのバックアップを実行する責任を負いません。

マシンイメージのバックアップ

シトリックスは、イメージビルダーで作成されたイメージなど、Citrix DaaS for Azureにアップロードされたすべてのマシンイメージをバックアップする責任があります。シトリックスは、これらのイメージにローカル冗長ストレージを使用します。

ドメイン非参加カタログのバックアップのための踏み台マシン

シトリックスの運用担当者は、必要に応じて、顧客のCitrix管理のAzureサブスクリプションにアクセスして、顧客の問題を診断および修復するための踏み台マシンを作成できます。これは、顧客が問題に気付く前に行われる可能性があります。シトリックスは、踏み台マシンを作成するために顧客の同意を必要としません。シトリックスが踏み台マシンを作成する場合、シトリックスは踏み台マシンに対してランダムに生成される強力なパスワードを作成し、Citrix NAT IPアドレスへのRDPアクセスを制限します。踏み台マシンが不要になると、シトリックス踏み台マシンを処分し、パスワードは無効になります。踏み台マシン(およびそれに付随するRDPアクセス規則)は、操作が完了すると破棄されます。シトリックスは、踏み台マシンを使用して、顧客のドメイン非参加のCloud Connectorにのみアクセスできます。シトリックスには、ドメイン非参加VDAまたはドメイン参加済みCloud ConnectorとVDAにログインするためのパスワードがありません。

トラブルシューティングツールを使用する場合のファイアウォールポリシー

顧客がトラブルシューティングのために踏み台マシンの作成を要求する場合、Citrix管理のVNetに対して以下のセキュリティグループの変更が行われます:

  • 顧客指定のIP範囲から踏み台マシンへの受信に、一時的にポート3389を許可します。
  • 踏み台マシンのIPアドレスからVNet(VDAおよびCloud Connector)内の任意のアドレスへの受信に、一時的にポート3389を許可します。
  • Cloud Connector、VDA、およびその他のVDAの間のRDPアクセスを引き続き禁止します。

顧客がトラブルシューティングのためにRDPアクセスを有効にする場合、Citrix管理のVNetに対して以下のセキュリティグループの変更が行われます:

  • 顧客指定のIP範囲からVNet(VDAおよびCloud Connector)内の任意のアドレスへの受信に、一時的にポート3389を許可します。
  • Cloud Connector、VDA、およびその他のVDAの間のRDPアクセスを引き続き禁止します。

顧客管理のサブスクリプション

顧客管理のサブスクリプションの場合、シトリックスは、Azureリソースの展開時に上記の責任を順守します。展開後、顧客はAzureサブスクリプションの所有者であるため、上記のすべては顧客の責任になります。

顧客管理のサブスクリプション

顧客の責任

VDAとマシンイメージ

顧客は、以下のような、VDAマシンにインストールされているソフトウェアのすべての側面について責任を負います:

  • オペレーティングシステムの更新プログラムとセキュリティパッチ
  • ウイルス対策とマルウェア対策
  • VDAソフトウェアの更新プログラムとセキュリティパッチ
  • 追加のソフトウェアファイアウォール規則(特に送信トラフィック)
  • Citrixの「セキュリティに関する考慮事項およびベストプラクティス」に従ってください。

シトリックスは、出発点として意図的に準備されたイメージを提供します。顧客は、このイメージを概念実証やデモンストレーションの目的で、または独自のマシンイメージを構築するためのベースとして、使用できます。シトリックスは、このCitrix提供イメージのセキュリティを保証しません。シトリックスは、Citrix提供イメージ上のオペレーティングシステムとVDAソフトウェアを最新の状態に保つようにし、これらのイメージ上でWindows Defenderを有効にします。

VNetピアリングを使用する場合の顧客の責任

お客様は、「ドメイン参加済みマシンがある顧客管理のVNet」で指定されているすべてのポートを開く必要があります。

VNetピアリングが構成されている場合、顧客は、自身の仮想ネットワークとオンプレミスリソースへの接続のセキュリティに責任があります。また、顧客は、Citrix管理のピア仮想ネットワークからの受信トラフィックのセキュリティに責任があります。シトリックスは、Citrix管理の仮想ネットワークから顧客のオンプレミスリソースへのトラフィックを禁止するための操作を実行しません。

顧客には、受信トラフィックを制限するための以下のオプションがあります:

  • Citrix管理の仮想ネットワークに、顧客のオンプレミスネットワークまたは顧客管理の接続済み仮想ネットワーク内の他の場所で使用されていないIPブロックを与える。これはVNetピアリングに必要です。
  • 顧客の仮想ネットワークとオンプレミスネットワークにAzureネットワークセキュリティグループとファイアウォールを追加して、Citrix管理のIPブロックからのトラフィックを禁止または制限する。
  • Citrix管理のIPブロックを対象として、侵入防止システム、ソフトウェアファイアウォール、行動分析エンジンなどの措置を、顧客の仮想ネットワークとオンプレミスネットワークに展開する。

SD-WAN接続を使用する場合の顧客の責任

SD-WAN接続が構成されている場合、顧客は、Citrix DaaS for Azureで使用される仮想SD-WANインスタンスをネットワーク要件に従って極めて柔軟に構成できます。ただし例外として、Citrix管理のVNetでSD-WANを確実に正しく動作させるために必要ないくつかの要素があります。顧客の責任には以下のようなものがあります:

  • DNSとインターネットトラフィックブレークアウトの規則など、ルーティングとファイアウォールの規則の設計と構成。
  • SD-WANネットワーク構成の保守。
  • ネットワークの運用ステータスの監視。
  • Citrix SD-WANソフトウェアの更新またはセキュリティの修正のタイムリーな展開。顧客のネットワーク上のCitrix SD-WANのすべてのインスタンスで、同じバージョンのSD-WANソフトウェアを使う必要があるため、更新したバージョンのソフトウェアをCitrix DaaS for AzureのSD-WANインスタンスに展開し、顧客のネットワーク保守スケジュールと制約に従って管理する必要があります。

SD-WANルーティングとファイアウォール規則の不適切な構成、またはSD-WAN管理パスワードの誤った管理により、Citrix DaaS for Azureの仮想リソースと、Citrix SD-WAN仮想パスを介して到達可能なオンプレミスリソースの両方に、セキュリティリスクが生じる可能性があります。また、Citrix SD-WANソフトウェアを最新の利用可能なパッチリリースに更新しないことにより、セキュリティリスクが生じる可能性もあります。SD-WAN Orchestratorとその他のCitrix Cloudサービスはこうしたリスクに対処するための手段を提供しますが、顧客は仮想SD-WANインスタンスが適切に構成されていることを確認する最終的な責任があります。

プロキシ

顧客は、VDAからの送信トラフィックにプロキシを使用するかどうかを選択できます。プロキシを使用する場合、顧客は以下の責任を負います:

  • VDAマシンイメージでプロキシ設定を構成してあるか、VDAがドメイン参加済みである場合は、Active Directoryグループポリシーを使用します。
  • プロキシの保守とセキュリティ。

Citrix Cloud Connectorまたはその他のCitrix管理のインフラストラクチャでプロキシを使用することは許可されていません。

カタログの回復性

シトリックスは、回復性のレベルが異なる3種類のカタログを提供しています:

  • 静的: 各ユーザーは、単一のVDAに割り当てられます。このカタログタイプは高可用性を提供しません。ユーザーのVDAがダウンした場合、回復するには新しいVDAに配置される必要があります。Azureは、シングルインスタンスVMに99.5%のSLAを提供します。顧客は引き続きユーザープロファイルをバックアップできますが、VDAに対して行われたカスタマイズ(プログラムのインストールやWindowsの構成など)は失われます。
  • ランダム: 各ユーザーは、起動時にサーバーVDAにランダムに割り当てられます。このカタログタイプは、冗長性により高可用性を提供します。VDAがダウンしても、ユーザーのプロファイルが他の場所にあるため、情報が失われることはありません。
  • Windows 10マルチセッション: このカタログタイプはランダムタイプと同じように動作しますが、サーバーVDAの代わりにWindows10ワークステーションVDAを使用します。

ドメイン参加済みカタログのバックアップ

顧客がVNetピアリングでドメイン参加済みカタログを使用している場合、顧客はユーザープロファイルをバックアップする責任があります。オンプレミスのファイル共有を構成し、Active DirectoryまたはVDAにポリシーを設定して、これらのファイル共有からユーザープロファイルを取得することをお勧めします。顧客は、これらのファイル共有のバックアップと可用性に責任があります。

障害回復

Azureデータが失われた場合、シトリックスはCitrix管理のAzureサブスクリプション内のリソースを可能な限り多く回復します。シトリックスは、Cloud ConnectorとVDAの回復を試みます。シトリックスがこれらのアイテムの回復に失敗した場合、顧客には新しいカタログを作成する責任があります。シトリックスは、マシンイメージがバックアップされており、顧客がユーザープロファイルをバックアップして、カタログを再構築できることを前提としています。

Azureリージョン全体が失われた場合、顧客は、顧客管理の仮想ネットワークを新しいリージョンで再構築し、Citrix DaaS for Azure内に新しいVNetピアリングまたは新しいSD-WANインスタンスを作成する責任があります。

シトリックスと顧客が共有する責任

ドメイン参加済みカタログ用のCitrix Cloud Connector

Citrix DaaS for Azureは、各リソースの場所に少なくとも2つのCloud Connectorを展開します。一部のカタログは、同じ顧客の他のカタログと同じリージョン、VNetピアリング、ドメインにある場合、リソースの場所を共有することができます。シトリックスは、顧客のドメイン参加済みCloud Connectorを、イメージ上で次のようなセキュリティデフォルト設定に構成します:

  • オペレーティングシステムの更新プログラムとセキュリティパッチ
  • アンチウイルスプログラム
  • Cloud Connectorソフトウェア更新プログラム

顧客には通常、Cloud Connectorへのアクセス権限はありません。ただし、カタログのトラブルシューティング手順に従い、ドメインの資格情報を使用してログインすることで、アクセス権限を取得できます。踏み台マシンからログインするときに行った変更については、顧客の責任となります。

顧客は、Active Directoryグループポリシーにより、ドメイン参加済みCloud Connectorを制御することもできます。顧客は、Cloud Connectorに適用されるグループポリシーが安全で適切であることを確認する責任があります。たとえば、顧客がグループポリシーを使用してオペレーティングシステムの更新を無効にすることを選択した場合、顧客にはCloud Connectorでオペレーティングシステムの更新を実行する責任があります。また、顧客は、グループポリシーを使用して、別のアンチウイルスプログラムをインストールするなど、Cloud Connectorのデフォルト設定よりも厳格なセキュリティを適用できます。通常、顧客には、ポリシーを使用せず、自身のActive Directoryの組織単位にCloud Connectorを配置することをお勧めします。これにより、シトリックスが使用するデフォルト設定を問題なく適用できるようになります。

トラブルシューティング

Citrix DaaS for Azureのカタログで問題が発生した場合、トラブルシューティングのために次の2つのオプションがあります:踏み台マシンの使用、RDPアクセスの有効化。どちらのオプションも、顧客にセキュリティリスクをもたらします。顧客は、これらのオプションを使用する前に、このリスクを引き受けることを理解し、同意する必要があります。

シトリックスは、トラブルシューティング操作を実行するために必要なポートを開閉し、これらの操作中にアクセスできるマシンを制限する責任があります。

踏み台マシンまたはRDPアクセスのいずれかを使用して操作を実行するアクティブユーザーは、アクセスするマシンのセキュリティに責任を負います。顧客がRDPでVDAまたはCloud Connectorにアクセスし、誤ってウイルスに感染した場合、顧客の責任となります。シトリックスのサポート担当者がこれらのマシンにアクセスする場合、安全に操作を実行することはそれらのサポート担当者の責任です。環境内の踏み台マシンや他のマシンにアクセスする人物によって生じる脆弱性に対する責任(リストを許可するためにIP範囲を追加する顧客の責任、IP範囲を正しく実装するシトリックスの責任など)については、本ドキュメントの他の場所に説明があります。

どちらのシナリオでも、シトリックスはファイアウォールの例外を正しく作成して、RDPトラフィックを許可することに責任があります。シトリックスには、顧客が踏み台マシンを処分した後、またはCitrix DaaS for Azureを介したRDPアクセスを終了した後、これらの例外を取り消す責任もあります。

踏み台マシン

シトリックスは、顧客のCitrix管理サブスクリプション内で顧客のCitrix管理仮想ネットワークに踏み台マシンを作成し、事前に(顧客への通知なしに)、または顧客が引き起こした問題に対応して、問題を診断および修復することができます。踏み台マシンは、顧客がRDPでアクセスし、RDPでVDAと(ドメイン参加済みカタログの場合は)Cloud Connectorにアクセスして、ログの収集、サービスの再起動、またはその他の管理タスクを実行するために使用できるマシンです。デフォルトでは、踏み台マシンを作成すると外部のファイアウォール規則が開き、顧客が指定した範囲のIPアドレスからの踏み台マシンへのRDPトラフィックが許可されます。また、内部のファイアウォール規則が開き、Cloud ConnectorとVDAへのRDPアクセスを許可します。これらの規則が開くと、大きなセキュリティリスクが生じます。

顧客は、ローカルのWindowsアカウントで使用するパスワードを強力なものにする責任があります。顧客は、踏み台マシンへのRDPアクセスを可能にする外部IPアドレス範囲を指定する責任もあります。顧客がIP範囲を指定しないことを選択した場合(誰でもRDPアクセスできるようにした場合)、悪意のあるIPアドレスからのアクセスに対しては顧客が責任を負います。

顧客は、トラブルシューティングが完了した後、踏み台マシンを削除する責任もあります。踏み台マシンホストはさらに攻撃対象領域をさらすため、シトリックスは電源を入れてから8時間後にマシンを自動的にシャットダウンします。ただし、シトリックスが踏み台マシンを自動的に削除することはありません。顧客が期間を延長して踏み台マシンを使用することを選択した場合、顧客にはそれにパッチを適用して更新していく責任があります。踏み台マシンは数日間だけ使用したのち削除することをお勧めします。顧客が最新の踏み台マシンを希望する場合は、現在の踏み台マシンを削除してから新しい踏み台マシンを作成できます。これにより、最新のセキュリティパッチが適用された新しいマシンがプロビジョニングされます。

RDPアクセス

ドメイン参加済みカタログの場合、顧客のVNetピアリングが機能していれば、顧客はピアリングされたVNetからCitrix管理のVNetへのRDPアクセスを有効にできます。顧客がこのオプションを使用する場合、顧客はVNetピアリングを介してVDAおよびCloud Connectorにアクセスする責任があります。送信元IPアドレスの範囲を指定できるため、顧客の内部ネットワーク内であっても、RDPアクセスをさらに制限できます。顧客は、ドメイン資格情報を使用してこれらのマシンにログインする必要があります。顧客がシトリックスのサポート担当者と協力して問題を解決している場合、顧客はこれらの資格情報をサポート担当者と共有する必要がある場合があります。問題が解決した後、顧客はRDPアクセスを無効にする責任があります。顧客のピアネットワークまたはオンプレミスネットワークからRDPアクセスを開いたままにしておくと、セキュリティリスクが発生します。

ドメイン資格情報

顧客がドメイン参加済みカタログを使用することを選択した場合、顧客は、マシンをドメインに参加させるためのアクセス権限があるドメインアカウント(ユーザー名とパスワード)をCitrix DaaS for Azureに提供する責任があります。ドメイン資格情報を提供する場合、顧客は次のセキュリティ原則を順守する責任があります:

  • 監査可能: アカウントをCitrix DaaS for Azure用として作成し、アカウントの使用目的を容易に監査できるようにする必要があります。
  • スコープ: アカウントには、マシンをドメインに参加させるためのアクセス権限のみが必要です。完全なドメイン管理者にするべきではありません。
  • 安全: アカウントには強力なパスワードを設定する必要があります。

シトリックスには、顧客のCitrix管理のAzureサブスクリプション内で、Azure Key Vaultにこのドメインアカウントを安全に保存する責任があります。このアカウントは、ドメインアカウントのパスワードが操作に必要な場合にのみ取得します。

詳細情報

関連情報については、以下を参照してください:

セキュリティの技術概要