技術セキュリティの概要

次の図は、Citrix Managed Desktops 展開のコンポーネントを示しています。

Citrix Managed Desktops のコンポーネント

Citrix Managed Desktops では、デスクトップとアプリを配信するお客様の仮想配信エージェント(VDA)に加えて、Citrix Cloud ConnectorがCitrixが管理するAzureサブスクリプションとテナントにデプロイされます。

Citrix

ドメインに参加していないカタログ用のCitrix クラウドコネクタ

Citrix Managed Desktops では、各リソースの場所に少なくとも2つのクラウドコネクタが展開されます。一部のカタログは、同じ顧客の他のカタログと同じリージョンにある場合、リソースの場所を共有することがあります。

Citrix は、ドメインに参加していないカタログのCloud Connectorに対して、以下のセキュリティ操作を行います。

  • オペレーティングシステムの更新とセキュリティパッチの適用
  • ウイルス対策ソフトウェアのインストールとメンテナンス
  • Cloud Connector のソフトウェアアップデートの適用

お客様はクラウドコネクタにアクセスできません。したがって、ドメインに参加していないカタログCloud Connectorのパフォーマンスは、Citrix が全責任を負います。

Azure サブスクリプションと Azure のActive Directory

Citrix は、お客様のために作成されたAzureサブスクリプションとAzureActive Directory(AAD)のセキュリティを担当します。Citrix はテナントの分離を保証するため、各顧客が独自のAzureサブスクリプションとAADを持ち、異なるテナント間のクロストークを防止します。また、AADへのアクセスは、Citrix Managed Desktops サービスおよびCitrix運用担当者のみに制限されます。Citrix による各顧客のAzureサブスクリプションへのアクセスが監査されます。

ドメインに参加していないカタログを使用しているお客様は、Citrixが管理するAADをCitrix Workspaceの認証手段として使用できます。これらのお客様のために、Citrix が管理するAADで権限が制限されたユーザーアカウントを作成します。ただし、Citrixが管理するAADに対しては、ユーザーのユーザーも管理者も一切実行できません。これらの顧客が代わりに独自のAADを使用することを選択した場合、そのセキュリティについて完全に責任を負います。

仮想ネットワークとインフラストラクチャ

Citrixが管理するAzureサブスクリプション内で、Citrix はリソースの場所を隔離するための仮想ネットワークを作成します。これらのネットワーク内では、ストレージアカウント、キーボールト、その他のAzureリソースに加えて、VDA、クラウドコネクタ、イメージビルダーマシンの仮想マシンも作成されます。Citrix は、Microsoftと協力して、仮想ネットワークファイアウォールを含む仮想ネットワークのセキュリティを担当しています。

Citrix では、デフォルトのAzureファイアウォールポリシーが、VDAとクラウドコネクタ間の双方向トラフィックに対するポート80、443、1494、2598を除く、VDAとクラウドコネクタへのすべての着信トラフィックを防止するように構成されていることを確認します。既定の Azure ファイアウォールポリシーでは、すべての送信トラフィックも許可されます。お客様は、このデフォルトのファイアウォールポリシーを変更することはできませんが、Citrixが作成したVDAマシンに追加のファイアウォールルールを展開できます。たとえば、送信トラフィックを部分的に制限する場合などです。Citrixが作成したVDAマシンに、仮想プライベートネットワーククライアントまたはファイアウォールルールをバイパスできるその他のソフトウェアをインストールするお客様は、その結果として生じる可能性のあるセキュリティリスクの責任を負います。

VNet ピアリング

Citrix Managed Desktops のVDAがオンプレミスのドメインコントローラー、ファイル共有、またはその他のイントラネットリソースにアクセスする場合、Citrix Managed Desktops では、接続オプションとしてVNetピアリングワークフローが提供されます。お客様のCitrixが管理する仮想ネットワークは、お客様が管理するAzure仮想ネットワークとピアリングされます。お客様が管理する仮想ネットワークでは、Azure ExpressRoute や iPsec トンネルなど、お客様が選択したクラウドとオンプレミスの接続ソリューションを使用して、お客様のオンプレミスのリソースとの接続を有効にできます。

VNet ピアリングに対する Citrix の責任は、Citrix とカスタマー管理の VNet 間のピアリング関係を確立するための、ワークフローおよび関連する Azure リソース構成のサポートに限定されます。

SD-WAN接続

Citrixは、仮想Citrix SD-WANインスタンスを完全に自動展開し、Citrix Managed Desktops とオンプレミスのリソース間の接続を可能にします。Citrix SD-WAN 接続には、VNet ピアリングと比較して、次のような多くの利点があります。

VDA-データセンター間およびVDA-ブランチ(ICA)接続の高い信頼性とセキュリティ。

  • 高度なQoS機能とVoIPの最適化により、オフィスワーカーにとって最高のエンドユーザーエクスペリエンスを提供します。
  • Citrix HDXネットワークトラフィックやその他のアプリケーション使用状況の検査、優先順位付け、レポート作成を行う組み込み機能。

Citrix Managed Desktops でSD-WAN接続を利用したいお客様は、Citrix SD-WAN Orchestrator を使用してCitrix SD-WAN ネットワークを管理する必要があります。

次の図は、SD-WAN接続を使用したCitrix Managed Desktops 展開で追加されたコンポーネントを示しています。

SD-WAN接続を備えたCitrix Managed Desktops

Citrix Managed Desktops 用のCitrix SD-WAN 展開は、Citrix SD-WAN の標準のAzure展開構成に似ています。詳細については、を参照してくださいAzure でのCitrix SD-WAN スタンダードエディションインスタンスのデプロイ。高可用性構成では、Azureロードバランサーを持つSD-WANインスタンスのアクティブ/スタンバイペアが、VDAとCloud Connectorを含むサブネットとインターネット間のGateway としてデプロイされます。非 HA 構成では、単一の SD-WAN インスタンスのみがGateway としてデプロイされます。仮想 SD-WAN アプライアンスのネットワークインターフェイスには、2 つのサブネットに分割された個別の小さなアドレス範囲からアドレスが割り当てられます。

SD-WAN接続を構成する場合、Citrix は上記の管理対象デスクトップのネットワーク構成にいくつかの変更を加えます。特に、Citrixが管理するVNetからのすべての送信トラフィック(インターネット宛先へのトラフィックを含む)は、クラウドSD-WANインスタンスを介してルーティングされます。SD-WANインスタンスは、Citrixが管理するVNetのDNSサーバーとしても構成されます。

Citrix では、Azureファイアウォールポリシー(ネットワークセキュリティグループ)とパブリックIPアドレス割り当てを使用して、仮想SD-WANアプライアンスのネットワークインターフェイスへのアクセスを制限します。

  • WAN および管理インターフェイスのみにパブリック IP アドレスが割り当てられ、インターネットへのアウトバウンド接続が可能になります。
  • Citrixが管理するVNetのゲートウェイとして機能するLANインターフェイスは、同じVNet上の仮想マシンとネットワークトラフィックを交換することしかできません。
  • WANインターフェイスは、受信トラフィックをUDPポート 4980(仮想パス接続のためにCitrix SD-WAN によって使用される)に制限し、VNetへの送信トラフィックを拒否します。
  • 管理ポートは、ポート 443(HTTPS)および 22(SSH)へのインバウンドトラフィックを許可します。
  • HA インターフェイスは、相互に制御トラフィックを交換することだけが許可されます。

仮想 SD-WAN インスタンスへの管理アクセスには、管理者ログインとパスワードが必要です。SD-WAN の各インスタンスには、一意のランダムな安全なパスワードが割り当てられます。このパスワードは、SD-WAN 管理者は、SD-WAN Orchestrator UI、仮想アプライアンス管理 UI、および CLI を使用してリモートログインおよびトラブルシューティングに使用できます。

他のテナント固有のリソースと同様に、特定のカスタマー VNet にデプロイされた仮想 SD-WAN インスタンスは、他のすべてのVNet から完全に分離されます。

お客様がCitrix SD-WAN 接続を有効にすると、CitrixはCitrix Managed Desktops で使用される仮想SD-WANインスタンスの初期展開を自動化し、基盤となるAzureリソース(仮想マシン、ロードバランサーなど)を維持し、初期の構成を構成し、SD-WAN Orchestrator による継続的なメンテナンスとトラブルシューティングを可能にします。Citrix では、SD-WANネットワーク構成の自動検証、既知のセキュリティリスクの確認、およびSD-WAN Orchestratorによる対応する警告の表示も合理的な措置を講じています。

インフラストラクチャへのアクセス

Citrix が管理するインフラストラクチャ(クラウドコネクタ)にアクセスして、ログ収集(Windowsイベントビューアを含む)やサービスの再起動など、お客様に通知することなく特定の管理タスクを実行できます。Citrix は、これらのタスクを安全かつ安全に実行し、お客様への影響を最小限に抑えます。Citrix は、すべてのログファイルを安全かつ安全に取得、転送、および処理する責任も負います。カスタマーのVDAにはこの方法ではアクセスできません。

ドメインに参加していないカタログのバックアップ

Citrix は、ドメインに参加していないカタログのバックアップを実行する責任を負いません。

マスターイメージのバックアップ

Citrix は、Citrix Managed Desktops にアップロードされたマスターイメージ(イメージビルダーで作成されたイメージを含む)のバックアップを担当します。Citrix は、これらのイメージにローカル冗長ストレージを使用します。

ドメインに参加していないカタログの踏み台一覧

Citrix の運用担当者は、必要に応じて、お客様の問題を認識する前に、お客様のCitrixが管理するAzureサブスクリプションにアクセスするための踏み台を作成できます。Citrix は、踏み台を作成するためにお客様の同意を必要としません。踏み台を作成すると、Citrix は踏み台に対してランダムに生成された強力なパスワードを作成し、Citrix NAT IPアドレスへのRDPアクセスを制限します。踏み台が不要になると、Citrix はその踏み台を破棄し、パスワードは無効になります。踏み台(およびそれに付随する RDP アクセス規則)は、操作が完了すると、破棄されます。Citrix は、踏み台のあるお客様のドメインに参加していないクラウドコネクタにのみアクセスできます。Citrix には、ドメインに参加していないVDAまたはドメインに参加しているCloud ConnectorとVDAにログインするためのパスワードがありません。

お客様が管理するサブスクリプション

お客様が管理するサブスクリプションの場合、Citrix はAzureリソースのデプロイ時に上記の責任を遵守します。デプロイ後は、お客様が Azure サブスクリプションの所有者であるため、上記のすべてがお客様の責任となります。

お客様が管理するサブスクリプション

お客様の責任

VDAとマスターイメージ

お客様は、VDAマシンにインストールされるソフトウェアのすべての側面について責任を負います。これには以下が含まれます。

  • オペレーティングシステムのアップデートとセキュリティパッチ
  • ウイルス対策とマルウェア対策
  • VDAソフトウェアの更新とセキュリティパッチ
  • 追加のソフトウェアファイアウォールルール(特に送信トラフィック)

Citrix は、開始点として準備されたイメージを提供します。このイメージは、概念実証やデモンストレーションの目的で、または独自のマスターイメージを構築するためのベースとして使用できます。Citrix は、この準備されたイメージのセキュリティを保証するものではありません。Citrix は、準備されたイメージ上のオペレーティングシステムとVDAソフトウェアを最新の状態に保ち、これらのイメージでWindows Defenderを有効にします。

VNet ピアリング

VNet ピアリングを構成する場合、お客様は自分の仮想ネットワークのセキュリティと、オンプレミスのリソースへの接続について責任を負います。お客様は、Citrixが管理するピアリング仮想ネットワークからの着信トラフィックのセキュリティについても責任を負います。Citrix が管理する仮想ネットワークからお客様のオンプレミスリソースへのトラフィックをブロックするアクションは行いません。

着信トラフィックを制限するには、次のオプションがあります。

  • Citrixが管理する仮想ネットワークに、お客様のオンプレミスネットワークまたはお客様が管理する接続仮想ネットワークの他の場所で使用されていないIPブロックを付与します。これは VNet ピアリングに必要です。
  • お客様の仮想ネットワークとオンプレミスネットワークに Azure ネットワークセキュリティグループとファイアウォールを追加して、Citrixが管理する IP ブロックからのトラフィックをブロックまたは制限します。
  • 侵入防止システム、ソフトウェアファイアウォール、行動分析エンジンなどの対策を顧客の仮想ネットワークおよびオンプレミスネットワークに展開し、Citrixが管理するIPブロックをターゲットにします。

SD-WAN接続

SD-WAN接続を構成すると、Citrix が管理するVNetでSD-WANを正しく動作させるために必要な要素を除いて、Citrix Managed Desktops で使用する仮想SD-WANインスタンスをネットワーク要件に応じて柔軟に構成できます。お客様の責任は次のとおりです。

  • DNS およびインターネットトラフィックブレークアウトのルールを含む、ルーティングおよびファイアウォールルールの設計と構成。
  • SD-WAN ネットワーク設定のメンテナンス。
  • ネットワークの動作ステータスのモニタリング。
  • Citrix SD-WAN ソフトウェアアップデートまたはセキュリティ修正のタイムリーな展開。お客様のネットワーク上のCitrix SD-WAN のすべてのインスタンスは、同じバージョンのSD-WANソフトウェアを実行する必要があるため、CMD SD-WANインスタンスへの更新ソフトウェアバージョンの展開は、ネットワークメンテナンスのスケジュールと制約に従って管理する必要があります。

SD-WANルーティングおよびファイアウォールルールの設定が正しくない、またはSD-WAN管理パスワードが正しく管理されていないと、Citrix Managed Desktops内の仮想リソースと、Citrix SD-WAN 仮想パスを介して到達可能なオンプレミスのリソースの両方にセキュリティ上のリスクが生じる可能性があります。また、Citrix SD-WAN ソフトウェアを最新のパッチリリースにアップデートしないことによるセキュリティ上のリスクもあります。SD-WAN Orchestratorおよびその他のCitrix Cloudサービスではこのようなリスクに対処する方法が提供されますが、仮想SD-WANインスタンスが適切に構成されていることを確認する責任は最終的にはお客様にあります。

プロキシ

お客様は、VDAからの送信トラフィックにプロキシを使用するかどうかを選択できます。プロキシを使用する場合、お客様は以下の責任を負います。

  • VDAマスターイメージのプロキシ設定を構成します。VDAがドメインに参加している場合は、Active Directory グループポリシーを使用します。
  • プロキシのメンテナンスとセキュリティ。

プロキシは、Citrix Cloud Connectorsやその他のCitrixが管理するインフラストラクチャでは使用できません。

カタログの耐障害性

Citrix では、リカバリ性のレベルが異なる3種類のカタログを提供しています。

  • 静的: 各ユーザーは1つのVDAに割り当てられます。このカタログタイプでは、高可用性は提供されません。ユーザーのVDAがダウンした場合、リカバリするには新しいVDAに配置する必要があります。Azure は、単一インスタンスの VM に対して 99.5% の SLA を提供します。ユーザープロファイルをバックアップすることはできますが、VDAに対するカスタマイズ(プログラムのインストールやWindowsの構成など)はすべて失われます。
  • ランダム: 各ユーザーは、起動時にサーバーVDAにランダムに割り当てられます。このカタログタイプは、冗長性によって高可用性を実現します。VDAが停止しても、ユーザーのプロファイルが別の場所に存在するため、情報は失われません。
  • Windows 10マルチセッション: このカタログタイプはランダムタイプと同じように動作しますが、サーバーVDAではなくWindows 10ワークステーションVDAを使用します。

ドメインに参加しているカタログのバックアップ

お客様がドメインに参加しているカタログを VNet ピアリングとともに使用する場合は、お客様の責任でユーザプロファイルをバックアップします。オンプレミスのファイル共有を構成し、Active Directory またはVDAでポリシーを設定して、これらのファイル共有からユーザープロファイルを取得することをお勧めします。お客様は、これらのファイル共有のバックアップと可用性について責任を負います。

災害復旧

Azureのデータ損失が発生した場合、Citrix が管理するAzureサブスクリプション内のできるだけ多くのリソースをリカバリします。Citrix はクラウドコネクタとVDAのリカバリを試みます。Citrix がこれらのアイテムのリカバリに失敗した場合、お客様は新しいカタログを作成する必要があります。Citrix では、マスターイメージがバックアップされ、ユーザーがユーザープロファイルをバックアップし、カタログを再構築できることを前提としています。

Azureリージョン全体が失われた場合、お客様が管理する仮想ネットワークを新しいリージョンに再構築し、Citrix Managed Desktops s内で新しいVNetピアリングまたは新しいSD-WANインスタンスを作成する必要があります。

Citrix とお客様の責任分担

ドメインに参加しているカタログ用のCitrix Cloud Connector

Citrix Managed Desktops では、各リソースの場所に少なくとも2つのクラウドコネクタが展開されます。一部のカタログは、同じカスタマーの他のカタログと同じリージョン、VNet ピアリング、およびドメインにある場合、リソースの場所を共有することがあります。Citrix は、お客様のドメインに参加しているCloud Connectorを、イメージ上の次のデフォルトのセキュリティ設定用に構成します。

  • オペレーティングシステムのアップデートとセキュリティパッチ
  • アンチウィルスソフト
  • Cloud Connector のソフトウェアアップデート

通常、お客様はクラウドコネクタにアクセスできません。ただし、カタログのトラブルシューティング手順を使用し、ドメインの資格情報を使用してログインすることによってアクセスを取得できます。踏み台からログインするときに行った変更については、カスタマーが責任を負います。

また、Active Directory グループポリシーを使用して、ドメインに参加しているクラウドコネクタを制御することもできます。お客様は、Cloud Connector に適用されるグループポリシーが安全で賢明であることを保証する責任があります。たとえば、お客様がグループポリシーを使用してオペレーティングシステムの更新を無効にする場合、Cloud Connectors でオペレーティングシステムの更新を実行する責任はお客様が負います。また、グループポリシーを使用して、別のウイルス対策ソフトウェアをインストールするなど、Cloud Connector のデフォルトよりも厳密なセキュリティを適用することもできます。一般的に、ポリシーなしでCloud Connectorを独自のActive Directory 組織単位に配置することをお勧めします。これにより、Citrixが使用するデフォルトを問題なく適用できます。

トラブルシューティング

Citrix Managed Desktops sでカタログに問題が発生した場合、トラブルシューティングには踏み台の使用とRDPアクセスの有効化の2つのオプションがあります。どちらのオプションも、お客様にセキュリティ上のリスクをもたらします。お客様は、これらのオプションを使用する前に、このリスクについて理解し、同意する必要があります。

Citrix は、トラブルシューティング操作を実行するために必要なポートを開閉し、これらの操作中にアクセスできるマシンを制限します。

踏み台または RDP アクセスでは、操作を実行するアクティブユーザーは、アクセスされるマシンのセキュリティを担当します。お客様がRDP経由でVDAまたはCloud Connector にアクセスし、誤ってウイルスに感染した場合には、お客様の責任となります。Citrix サポート担当者がこれらのマシンにアクセスする場合は、これらの担当者が安全に操作を行う必要があります。展開内の踏み台または他のマシンにアクセスするすべてのユーザーによって公開される脆弱性の責任(たとえば、IP範囲をホワイトリストに登録するお客様の責任、IP範囲を正しく実装するCitrix の責任)については、このドキュメントの他の部分で説明します。

どちらのシナリオでも Citrix RDPトラフィックを許可するファイアウォールの例外を正しく作成する必要があります。また、Citrix は、お客様が踏み台を処分した後、またはCitrix Managed Desktops を通じてRDPアクセスを終了した後に、これらの例外を取り消す責任があります。

要塞だ

Citrix は、お客様のCitrixが管理するサブスクリプション内で、お客様のCitrixが管理する仮想ネットワークに踏み台を作成し、問題をプロアクティブに(お客様の通知なし)、またはお客様が提起した問題に対応して、問題を診断および修復することができます。踏み台は、RDP経由でアクセスし、ログを収集したり、サービスを再起動したり、その他の管理タスクを実行したりするために、RDP経由でVDAおよび(ドメインに参加しているカタログの場合)Cloud Connectorにアクセスするために使用できるマシンです。デフォルトでは、踏み台を作成すると、お客様が指定した範囲の IP アドレスから踏み台マシンへの RDP トラフィックを許可する外部ファイアウォールルールが開きます。また、内部ファイアウォールルールが開き、RDP経由でCloud ConnectorとVDAにアクセスできるようになります。これらのルールを開くと、大きなセキュリティ上のリスクが生じます。

お客様は、ローカルWindowsアカウントに使用する強力なパスワードを入力する必要があります。お客様は、踏み台への RDP アクセスを許可する外部 IP アドレス範囲を提供する責任もあります。お客様がIP範囲を提供しない(誰でもRDPアクセスを試みることを許可する)場合、悪質なIPアドレスによって試みられたアクセスについては、お客様の責任となります。

また、トラブルシューティングの完了後に踏み台を削除する責任もお客様にあります。踏み台ホストは追加の攻撃対象領域を公開するため、Citrix はマシンをパワーオンしてから8時間後に自動的にシャットダウンします。ただし、Citrix み台が自動的に削除されることはありません。顧客が長期間踏み台を使用することを選択した場合は、踏み台にパッチを適用して更新する必要があります。踏み台は、削除する前に数日間だけ使用Citrix。最新の踏み台が必要な場合は、現在の踏み台を削除してから新しい踏み台を作成して、最新のセキュリティパッチを使用して新しいマシンをプロビジョニングできます。

RDP アクセス

ドメインに参加しているカタログでは、お客様のVNetピアリングが機能している場合、ピアリングされたVNetからCitrixが管理するVNetへのRDPアクセスを有効にできます。お客様がこのオプションを使用する場合、VNetピアリングを介してVDAとクラウドコネクタにアクセスする責任はお客様が負います。お客様の内部ネットワーク内であっても、RDP アクセスをさらに制限できるように、送信元 IP アドレスの範囲を指定できます。お客様は、ドメイン認証情報を使用してこれらのマシンにログインする必要があります。お客様がCitrix サポートと協力して問題を解決する場合、お客様はこれらの資格情報をサポート担当者と共有する必要があります。問題が解決したら、RDP アクセスを無効にする責任はお客様にあります。お客様のピアリングまたはオンプレミスネットワークからの RDP アクセスをオープンにしておくと、セキュリティリスクが生じます。

ドメイン資格情報

お客様がドメインに参加しているカタログを使用する場合は、マシンをドメインに参加させる権限を持つドメインアカウント(ユーザー名とパスワード)をCitrix Managed Desktops sに提供する必要があります。ドメイン認証情報を提供する場合、お客様は、次のセキュリティ原則を遵守する責任があります。

  • 監査可能: アカウントの使用目的を容易に監査できるように、Citrix Managed Desktops の使用専用にアカウントを作成する必要があります。
  • スコープ付き: このアカウントには、マシンをドメインに参加させるためのアクセス許可のみが必要です。完全なドメイン管理者であってはなりません。
  • セキュア: アカウントには強力なパスワードが必要です。

Citrix は、お客様のCitrixが管理するAzureサブスクリプション内のAzureキーヴォールトにこのドメインアカウントの安全なストレージを担当します。アカウントは、操作でドメインアカウントのパスワードが必要な場合にのみ取得されます。

詳細はこちら

関連情報については、次を参照してください。