Citrix SD-WAN

セキュリティ

この記事では、Citrix SD-WANソリューションのセキュリティのベストプラクティスについて説明します。Citrix SD-WAN 展開の一般的なセキュリティガイダンスを提供します。

Citrix SD-WAN 展開に関するガイドライン

展開ライフサイクルを通じてセキュリティを維持するには、次のセキュリティを考慮することをお勧めします。

  • 物理的セキュリティ
  • アプライアンスのセキュリティ
  • ネットワークセキュリティ
  • 管理と管理

物理的セキュリティ

セキュアサーバールームにCitrix SD-WAN アプライアンスを展開する-Citrix SD-WAN がインストールされているアプライアンスまたはサーバーは、セキュアサーバールームまたは制限されたデータセンター施設に配置する必要があります。これにより、アプライアンスが不正アクセスから保護されます。少なくとも、アクセスは電子カードリーダーによって制御されるべきです。アプライアンスへのアクセスは、監査目的ですべてのアクティビティを継続的に記録するCCTVによって監視されます。侵入した場合, 電子監視システムは、即時対応のためにセキュリティ担当者にアラームを送信する必要があります.

フロントパネルとコンソールポートを無許可アクセスから保護-物理キーのアクセス制御により、アプライアンスを大きなケージまたはラックに固定します。

電源の保護-アプライアンスが無停電電源装置(UPS)で保護されていることを確認します。

アプライアンスのセキュリティ

アプライアンスのセキュリティを確保するには、Citrix SD-WAN 仮想アプライアンス(VPX)をホストするすべてのサーバーのオペレーティングシステムをセキュリティで保護し、リモートソフトウェア更新を実行し、安全なライフサイクル管理方法に従います。

  • Citrix SD-WAN VPXアプライアンスをホストするサーバーのオペレーティングシステムのセキュリティ保護-Citrix SD-WAN VPXアプライアンスは、標準サーバー上で仮想アプライアンスとして実行されます。標準サーバーへのアクセスは、ロールベースのアクセス制御と強力なパスワード管理によって保護する必要があります。また、オペレーティングシステムの最新のセキュリティパッチを使用してサーバーを定期的に更新し、サーバー上の最新のウイルス対策ソフトウェアを更新することをお勧めします。
  • リモートソフトウェアの更新の実行-すべてのセキュリティ更新プログラムをインストールして、既知の問題を解決します。サインアップして最新のセキュリティ警告を受信するには、セキュリティ情報 Web ページを参照してください。
  • セキュア・ライフサイクル管理の実践に従う-再デプロイ時またはRMAの開始時、および機密データの使用停止時にアプライアンスを管理するには、アプライアンスから永続データを削除して、データ回想対策を完了します。

ネットワークセキュリティ

ネットワークセキュリティのために、デフォルトの SSL 証明書を使用しないでください。管理者インターフェイスにアクセスするときには、トランスポート層セキュリティ(TLS)を使用し、アプライアンスのルーティング不可能な管理 IP アドレスを保護し、高可用性セットアップを構成し、展開に適した管理および管理の保護対策を実装します。

  • デフォルトの SSL 証明書を使用しない-信頼できる認証局からの SSL 証明書は、インターネットに直接接続する Web アプリケーションのユーザーエクスペリエンスを簡素化します。自己署名証明書や信頼できる証明機関の証明書の場合とは異なり、Web ブラウザでは、Web サーバーへの安全な通信を開始するために、信頼できる証明機関から証明書をインストールする必要はありません。
  • 管理者インターフェイスにアクセスするときにトランスポート層セキュリティを使用する-管理 IP アドレスがインターネットからアクセスできないか、少なくともセキュリティで保護されたファイアウォールで保護されていることを確認します。LOM IP アドレスがインターネットからアクセスできないか、少なくともセキュリティで保護されたファイアウォールで保護されていることを確認します。
  • 管理アカウントと管理アカウントのセキュリティ保護 — 別の管理アカウントを作成し、管理者アカウントと閲覧者のアカウントに強力なパスワードを設定します。リモートアカウントアクセスを設定する場合は、RADIUS および TACAS を使用して、外部で認証されたアカウントの管理管理管理を設定することを検討してください。admin ユーザアカウントのデフォルトパスワードの変更、NTP の設定、デフォルトのセッションタイムアウト値の使用、SHA 認証および AES 暗号化での SNMPv3 の使用。

Citrix SD-WAN オーバーレイネットワークは、SD-WANオーバーレイネットワークを通過するデータを保護します。

セキュリティで保護された管理者インタフェース

安全な Web 管理アクセスを実現するには、信頼できる認証局から証明書をアップロードおよびインストールして、デフォルトのシステム証明書を置き換えます。SD-WANアプライアンスGUIで、「構成」>「アプライアンスの設定」>「管理者インターフェース 」の順に選択します。

ユーザーアカウント:

  • ローカルユーザーパスワードの変更
  • ユーザーの管理

HTTPS 証明書:

  • 証明書
  • キー

その他:

  • Web コンソールのタイムアウト

ローカライズされた画像

構成エディタ > グローバル > ネットワーク設定

グローバルファイアウォールの設定:

  • グローバルポリシーテンプレート
  • デフォルトのファイアウォールアクション
  • デフォルトの接続状態の追跡

グローバル仮想パス暗号化設定:

  • AES 128 ビット(デフォルト)
  • 暗号化キーのローテーション (デフォルト)
  • 拡張パケット暗号化ヘッダー
  • 拡張パケット認証トレーラー

ローカライズされた画像

グローバル仮想パス暗号化の設定

  • AES-128 データ暗号化はデフォルトで有効になっています。パス暗号化には AES-128 以上の保護の AES-256 暗号化レベルを使用することをお勧めします。「Enable Encryptic Key Rotation」が設定されており、楕円曲線Diffie-Hellman鍵交換を使用して、暗号化が有効になっているすべての仮想パスに対して鍵の再生成が 10 ~ 15 分間隔で行われるようにします。

ネットワークで機密性(つまりタンパープロテクション)に加えてメッセージ認証が必要な場合は、IPsec データ暗号化することをお勧めします。機密性のみが必要な場合は、拡張ヘッダーを使用することをお勧めします。

  • 拡張パケット暗号化ヘッダーを使用すると、暗号化された各メッセージの先頭にランダムにシードされたカウンタを付加できます。暗号化すると、このカウンタはランダムな初期化ベクトルとして機能し、暗号化キーでのみ確定します。これにより、暗号化の出力がランダムになり、強力なメッセージが区別できないようになります。このオプションを有効にすると、パケットのオーバーヘッドが 16 バイト増加することに注意してください。
  • 拡張パケット認証トレーラーは、暗号化されたすべてのメッセージの最後に認証コードを追加します。このトレーラーを使用すると、パケットが転送中に変更されていないことを確認できます。このオプションでは、パケットのオーバーヘッドが増加することに注意してください。

ファイアウォールのセキュリティ

推奨されるファイアウォール構成では、デフォルトのファイアウォールアクションを最初に拒否し、次に例外を追加します。ルールを追加する前に、ファイアウォールルールの目的を文書化および確認します。可能であれば、ステートフルインスペクションとアプリケーションレベルのインスペクションを使用します。ルールを簡素化し、冗長なルールを排除します。ファイアウォール 設定の変更を追跡して確認できる変更管理プロセスを定義し、遵守します。グローバル設定を使用してアプライアンスを経由する接続を追跡するために、すべてのアプライアンスのファイアウォールを設定します。接続を追跡すると、パケットが正しく形成され、接続状態に適しているかどうかが検証されます。ネットワークの論理階層または組織の機能領域に適したゾーンを作成します。ゾーンは世界的に重要であり、地理的に異なるネットワークを同じセキュリティゾーンとして扱うことができることに注意してください。セキュリティホールのリスクを軽減するために、可能な限り具体的なポリシーを作成し、許可ルールで Any を使用しないようにします。グローバルポリシーテンプレートを設定および管理して、ネットワーク内のすべてのアプライアンスの基本レベルのセキュリティレベルを作成します。ネットワーク内のアプライアンスの機能ロールに基づいてポリシーテンプレートを定義し、必要に応じて適用します。必要な場合にのみ、個々のサイトでポリシーを定義します。

グローバルファイアウォールテンプレート -ファイアウォールテンプレートを使用すると、SD-WAN オーバーレイ環境で動作する個々のアプライアンスでのファイアウォールの動作に影響を与えるグローバルパラメータを設定できます。

デフォルトのファイアウォールアクション — 許可を有効にすると、どのフィルタポリシーにも一致しないパケットが許可されます。Deny は、どのフィルタポリシーにも一致しないパケットをドロップすることを有効にします。

[ Default Connection State Tr acking]:フィルタポリシーまたは NAT 規則に一致しない TCP、UDP、および ICMP フローの双方向接続ステートトラッキングを有効にします。ファイアウォールポリシーが定義されていない場合でも、これが有効になっていると、非対称フローがブロックされます。この設定は、グローバル設定を上書きするサイトレベルで定義できます。サイトで非対称フローが発生する可能性がある場合は、グローバルではなくサイトまたはポリシーレベルでこれを有効にすることをお勧めします。

ゾーン -ファイアウォールゾーンは、Citrix SD-WAN に接続されたネットワークの論理的なセキュリティグループを定義します。ゾーンは、仮想インターフェイス、イントラネットサービス、GRE トンネル、および LAN IPsec トンネルに適用できます。

ローカライズされた画像

WAN リンクセキュリティゾーン

信頼できないセキュリティゾーンは、パブリック(安全ではない)ネットワークに直接接続された WAN リンクで設定する必要があります。Untrusted では、WAN リンクが最も安全な状態に設定され、インターフェイスグループで暗号化された、認証された、および許可されたトラフィックだけが受け入れられます。仮想 IP アドレスへの ARP および ICMP は、他のトラフィックタイプのみ許可されます。この設定により、Interface グループに関連付けられたインターフェイスから暗号化されたトラフィックだけが送信されるようになります。

ルーティングドメイン

ルーティングドメインは、ネットワークトラフィックのセグメント化に使用される一連のルータを含むネットワークシステムです。新しく作成されたサイアーは、デフォルトのルーティングドメインに自動的に関連付けられます。

[ 構成エディタ] > [ グローバル]

ルーティングドメイン

  • ドメインをルーティングします

IPSec トンネル

  • デフォルトセット
  • IPsec を使用した仮想パスユーザデータのセキュリティ保護

ローカライズされた画像

ローカライズされた画像

IPSec トンネル

IPsec トンネルは、ユーザデータとヘッダー情報の両方を保護します。Citrix SD-WAN アプライアンスは、LANまたはWAN側の固定IPSecトンネルを非SD-WANピアとネゴシエートできます。LAN 経由の IPSec トンネルでは、ルーティングドメインを選択する必要があります。IPsec トンネルがイントラネットサービスを使用する場合、ルーティングドメインは選択したイントラネットサービスによって事前に決定されます。

データは SD-WAN オーバーレイネットワークを介して流れる前に、仮想パス上で IPsec トンネルが確立されます。

  • カプセル化タイプのオプションには、ESP-データがカプセル化および暗号化される、ESP+認証-データがカプセル化され、暗号化され、HMAC で検証される、AH-データは HMAC で検証される。
  • 暗号化モードは、ESP が有効な場合に使用される暗号化アルゴリズムです。
  • ハッシュアルゴリズムは、HMACを生成するために使用されます。
  • ライフタイムは、IPsec セキュリティアソシエーションが存在するのに推奨される期間(秒単位)です。0 は、無制限に使用できます。

IKE 設定

インターネットキーエクスチェンジ (IKE) は、セキュリティアソシエーション (SA) の作成に使用される IPsec プロトコルです。Citrix SD-WAN アプライアンスは、IKEv1 プロトコルと IKEv2 プロトコルの両方をサポートします。

  • モードは、メインモードまたはアグレッシブモードのいずれかです。
  • ID はピアを識別するために自動的に指定することも、IP アドレスを使用してピアの IP アドレスを手動で指定することもできます。
  • 認証は、認証方法として事前共有キー認証または証明書を有効にします。
  • ピア ID を検証すると、ピアの ID タイプがサポートされている場合は、IKE のピア ID の検証が有効になります。そうでない場合は、この機能を有効にしないでください。
  • Diffie-Hellman グループは、IKE キー生成に使用できます。グループ 1 は 768 ビット、グループ 2 は 1024 ビット、グループ 5 は 1536 ビットグループです。
  • ハッシュアルゴリズムには MD5、SHA1 が含まれ、SHA-256 には IKE メッセージ用のアルゴリズムが用意されています。
  • 暗号化モードには、AES-128、AES-192、および AES-256 暗号化モードがあり、IKE メッセージで使用できます。
  • IKEv2 の設定には、ピア認証と整合性アルゴリズムが含まれます。

ローカライズされた画像

ファイアウォールの設定

アップストリームのルータとファイアウォールの設定を確認することで、次の一般的な問題を特定できます。

  • MPLS キュー/QoS 設定:SD-WAN 仮想 IP アドレス間の UDP カプセル化トラフィックが、ネットワーク内の中間アプライアンス の QoS 設定によって影響を受けないことを確認します。
  • SD-WANネットワーク上に構成されたWANリンク上のすべてのトラフィックは、適切なサービスタイプ(仮想パス、インターネット、イントラネット、ローカル)を使用してCitrix SD-WAN アプライアンスが処理する必要があります。
  • トラフィックがCitrix SD-WAN アプライアンスをバイパスし、同じ基になるリンクを使用する必要がある場合は、ルーターでSD-WANトラフィックの帯域幅を適切に予約する必要があります。また、リンク容量は SD-WAN 設定に応じて設定する必要があります。
  • 中間ルータ/ファイアウォールに UDP フラッドまたは PPS 制限が適用されていないことを確認します。これにより、仮想パス(UDP カプセル化)を介して送信されるトラフィックが抑制されます。