構成

Citrix Secure Internet Access(CSIA)構成ポリシーポータルを使用して、クラウドコネクタとセキュリティポリシーを構成し、レポートとログを監視します。

設定ポリシーポータルにアクセスするには、次の手順を実行します。

  1. Citrix Cloudにサインインします。

  2. [ セキュリティで保護されたインターネットアクセス ] タイルで [ 管理] を選択します。

  3. ナビゲーションペインで、[ 構成]を選択します。

    [Configuration] ページには、設定済みのクラウドノードに関する詳細も一覧表示されます。実行した設定はすべて、これらのノードに接続されます。

  4. Citrix SIA 構成を開く ]を選択して構成ポリシーポータルを表示し、機能とセキュリティポリシーの構成を開始します。

[構成]ページ

設定に関するヘルプの入手方法

設定の手順や設定ページのヘルプを表示するには、次のいずれかを実行できます。

  • ヘルプドキュメントにアクセスします。設定ポリシーポータルの右上隅にあるメニュー (自分の名前が表示されている場所) をクリックし、[ HelpDocs] を選択します。完全なヘルプドキュメントを参照できます。

    このヘルプドキュメントには、iboss 用語、iboss ユーザーインターフェイス要素、Citrix でサポートされていない iboss 機能、iboss サポート情報に関する参照情報が含まれています。

    ヘルプドキュメントを使用する前に、 Citrix Secure Internet Accessとibossの統合に関する記事を参照してください。この記事は、Citrix Secure Internet Accessにサインインした後にのみアクセスできます。

  • コンテキストヘルプにアクセスします各設定ページの右上隅にあるヘルプアイコン (?) をクリックすると、そのページに関するヘルプドキュメントが表示されます。

  • Citrix サポートに問い合わせてください。Citrix アカウントでサインインし、サポートケースを開いたり、ライブチャットを開始したり、サポートを受けるための他のオプションを調べたりできます。

Citrix Secure Internet Access Cloud Connector エージェントを構成する

CSIA Cloud Connectorエージェントは、Citrix セキュアインターネットアクセスを介してインターネットトラフィックをリダイレクトするソフトウェアエージェントです。

オンボーディングプロセスが完了したら、次の操作を行います。

  • Virtual Delivery Agent(VDA)にCSIA Cloud Connectorエージェントをインストールする:Citrix Workspace上の仮想デスクトップから認可されていないWebおよびSaaSアプリケーションに安全にアクセスするには、Citrix Secure Internet Access経由でトラフィックをリダイレクトするようにCSIA Cloud Connectorエージェントを構成します。

    構成手順の詳細については、「 Citrix Virtual Apps and Desktopsを使用したCitrix Secure Internet Access」を参照してください。

  • CSIA Cloud Connectorエージェントをホストデバイスにインストールする:ラップトップやモバイルデバイスなどのホストシステムからの直接インターネットトラフィックに安全にアクセスするには、各デバイスにCloud Connectorエージェントをインストールします。

ブランチオフィスにトンネルを設定する

ブランチオフィスにCitrix SD-WAN展開がある場合は、IPSECトンネルまたはGREトンネルを構成する必要があります。これにより、Citrix Secure Internet Accessを介して、認可されていないWebおよびSaaSアプリケーションにブランチトラフィックがリダイレクトされます。Citrix SD-WAN Orchestrator を使用してトンネルを構成します。

Citrix SD-WAN Orchestrator では、[ 構成 ]>[ デリバリーサービス ]>[ サービスと帯域幅]で、Citrix Secure Internet Access サービスを利用できます

サービスリンクは、SD-WAN Orchestrator のお客様で、Citrix Secure Internet Access 資格を持っている場合にのみ表示されます。

SD-WAN Orchestrator の CSIA

この構成には、次の大まかな手順が含まれます。

  1. インターネットリンクの帯域幅の割合とプロビジョニングの割合を指定して、Citrix Secure Internet Access サービスを作成します。

  2. SD-WANサイトをCitrix Secure Internet Access サービスに追加してマッピングし、適切なトンネル(IPSEC または GRE)を選択します。次に、構成をアクティブにして、Citrix SD-WANとCitrix Secure Internet Access PoP間のトンネル確立を有効にします。

  3. アプリケーションルートを作成して、トンネルを通過するトラフィックを誘導します。

詳細な手順については、「 デリバリーサービス-Citrix Secure Internet Access サービス」を参照してください。

ユーザー再割り当て

地理的リージョン内でクラウドノードを再分散することで、特定のロケーションにいるユーザーのレイテンシーを最小限に抑えることができます。

使用状況データを収集するレポートノードと、セキュリティ機能を実行するゲートウェイノードの両方を再配布するよう要求できます。Citrix は、ノードの可用性に基づいて、ユーザーに最も近いノードを提供することを目的としています。

重要

ノードを再割り当てすると、サービスが短時間中断します。通常、この操作はアカウントのアクティブ化の直後、クライアントコネクタが構成および配布される前に実行されます。ユーザーに最も近いノードを再配置し、頻繁に再割り当てしないように、展開の開始時にノードの再割り当てをリクエストすることをお勧めします。

ノードにまだ割り当てられていない場合は、ノード間でユーザーを移動したり、ノードに追加したりすることもできます。

ユーザーの再割り当てをリクエストする

ノードを表示、再配布、および保守するには、左側のメニューの [ Configuration ] タブに移動し、表の上にある [ ユーザーの再割り当てを要求 ] を選択します。

ノードは、同じ地理的リージョン内でのみ再配布できます。

クラウド設定

ネットワークタイムプロトコル (NTP) サーバー、プラットフォームメンテナンス、およびアップデートリリースの設定を構成するには、[ 構成 ] タブに移動し、[ クラウド設定] を選択します。

アカウント設定

アカウント設定機能は 、Citrix Secure Internet Accessサービスポータルに表示されるアカウント名を変更または上書きするのに役立ちます。

アカウント名を上書きするには、[ 構成] > [クラウド設定] > [アカウント設定]に移動します。

Citrix Secure Internet Access アカウント番号を表示できます。

アカウント設定

(注)

名前を作成していない場合や、[アカウント名のオーバーライド( Override Account Name)] が無効になっている場合、初期設定されたアカウント名は CSIA ポータルに引き続き存在します。

  1. [ アカウント名の上書き ] を有効にして、名前を入力します。既定では、[ アカウント名の上書き] は無効になっています。

    アカウント名の上書き

    ポータルで更新されたアカウント名が表示されるまでしばらくお待ちください。アカウント名を変更したら、再ログインが必要になる場合があります。

  2. [保存] をクリックします。

NTPサーバ

日付と時刻を同期するには、[ クラウド設定 ] の [ NTP Server] に移動します。タイムゾーン、日付形式、NTP サーバのアドレス、およびサマータイム情報を入力します。

タイムゾーンは 、タイムスタンプに使用される地域の標準時間を定義します。タイムゾーンを変更すると、レポート内のイベントのタイムスタンプが新しいタイムゾーンに合わせて変更され、継続性が維持されます。タイムスタンプは、新しいタイムゾーンに対する相対値です。

[日付形式 ] は、日付の構造を数値形式で定義します。このパラメータは、 mm/dd/yyyy または dd/mm/yyyyのいずれかに設定できます。

NTP サーバは NTP サーバのアドレスを定義します。

サマータイムは 、タイムゾーンがサマータイムに準拠しているかどうかを定義します。このパラメーターは、タイムゾーンの地域に応じて [ 米国 ] または [ 英国 ] のいずれかに設定できます。

プラットフォームメンテナンス

この機能により、メンテナンスを行う日時をスケジュールして、ピーク時にネットワークを利用できるようにすることができます。

ユーザーに代わって実行される自動メンテナンスをスケジュールするには、[ クラウド設定] の [ **プラットフォームのメンテナンス ] に移動し、[**優先メンテナンスウィンドウ] を有効にします。次に、自動メンテナンスの希望の日時を選択します。

リリース設定の更新

ユーザーに代わってインストールされるアップデートの種類を選択するには、[ クラウド設定] の [ **リリース設定の更新**] に移動し、次のリリースレベルのいずれかを選択します。

  • 必須です。新機能、機能の更新、バグ修正、パフォーマンスの強化など、重要なプラットフォームの更新とセキュリティ修正に使用されます。
  • 推奨されるが、重要な修正が含まれていないリリースの場合は省略可能です
  • アーリーアクセス:新機能、アップデート、バグ修正、パフォーマンス強化に早期アクセスできます。

メール設定

アラート、定期レポート、その他の通知を含むメールを中継するように、メールサーバーの設定を構成できます。Web ゲートウェイとレポートノードが電子メール通知を送信できるようにするには、[ クラウド設定] の **[電子メール設定] のフォームに入力します**。このプロセスでは、電子メール通知を受信できるように SMTP サーバアドレスを設定します。

電子メール設定は、[ 電子メール設定のテスト ] オプションを使用して検証できます。また、[既定の設定を設定] ボタンを使用して、 既定の電子メール設定を設定することもできます

ユーザーアラートと URL 例外リクエストを受信するメールアドレスを設定します。

  • アラートメール:リスクの高いキーワードによってトリガーされるアラートの送信先アドレス。
  • URL 例外電子メール:ブロックページから送信された URL 例外要求の宛先アドレス。

注:

[ リアルタイムアラート] ページでは、追加の電子メールアラートを使用できます

SIA メール設定

注:

通常、SMTP サーバーはスパムを防止するために IP ベースの許可一覧を使用して構成されます。そのため、すべてのノードの IP アドレスを SMTP サーバーの許可リストに追加する必要があります。

また、スパムを減らすために、SMTP サーバーは DKIM などの他のメカニズムを使用する場合があります。SMTP サーバーでは、Web ゲートウェイとレポートノードをこれらの制限から除外する必要がある場合があります。

独自の内部 SMTP サーバーがない場合は、Google の SMTP サービスのいずれかを使用できます。このためには、有効な Gmail アカウントが必要です。

Google SMTP サーバーでは、ポート 25、465、587、またはこれらを組み合わせて使用します。最も人気があるのは smtp.gmail.comで、ポート 465 (SSL を使用) または 587 (TLS を使用) を使用します。

注:

SMTP サーバーは通常、TCP ポート 25、465、または 587 でリッスンしますが、動作するように構成されている任意のポートをリッスンできます。SSL 経由の SMTP はポート 465 を使用し、TLS 経由の SMTP はポート 587 を使用します。ポート 465 と 587 はいずれも認証サービスが必要です。ポート 25 は暗号化されておらず、認証は不要です。

ローカル Web ゲートウェイまたはレポートノードを操作する場合は、必要なポートが制限されていないことを確認してください。

3 つの Google SMTP サーバの設定は次のとおりです。

完全修飾ドメイン名 設定要件 認証の要件
smtp-relay.gmail.com ポート 25、465、または 587。セキュア・ソケット・レイヤー (SSL) またはトランスポート・レイヤー・セキュリティ (TLS) プロトコル、および 1 つ以上の静的 IP アドレスを持つポート。 IP アドレス。
smtp.gmail.com SSL を使用する場合はポート 465、または TLS を使用する場合はポート 587。動的 IP は許可されます。 Gmail または G Suite の完全なメールアドレス。
aspmx.l.google.com メールは Gmail または G Suite ユーザーのみに送信できます。動的 IP は許可されます。 なし。

smtp-relay.gmail.com は、関連付けられた IP アドレスで認証することにより、組織からメールを送信するために使用されます。ポート 25、465、または 587 を使用して、ドメイン内外の誰にでもメッセージを送信できます。

smtp.gmail.com は、ドメイン内外の誰にでもメールを送信するために使用されます。Gmail または G Suite のアカウントとパスワードで認証する必要があります。SSL (ポート 465) または TLS (ポート 587) 経由の SMTP を使用できます。

aspmx.l.google.com は、Gmail または G Suite ユーザーにのみメッセージを送信するために使用されます。このオプションは認証を必要としません。この SMTP サーバーでは SSL または TLS を使用できないため、トラフィックはプレーンテキスト形式なので、お勧めしません。

匿名化されたロギング

法規制の遵守と機密保持のため、 Cloud SettingsAnonymized Logging は、委任された管理者がネットワークの使用状況を監視するために使用する個人ユーザー情報を暗号化します。

匿名化ロギングを有効にする前に、[匿名化ログを有効にする] トグルの [ **キーの追加 ] ボタンを選択して、暗号化キーを作成する必要があります。** 暗号化キーの 64 文字の値を [Encryption Key ] フィールドに入力します。独自の暗号化キーを入力することも、[ Auto Generate Key ] オプションを使用することもできます。

重要:

続行する前に、暗号化キーを別の場所に記録することを強くお勧めします。暗号化キーは、プラットフォーム上でアクティブである限り、関連付けられているデータを復号化するために必要です。

[カテゴリの暗号化] で次のトグルを有効にすると、 特定のカテゴリの識別可能なデータを暗号化するようにキーを設定できます

  • 個人情報。報告されたユーザーアクティビティのユーザー名、フルネーム、マシン名など、個人を特定できるすべての情報の暗号化を有効または無効にします。
  • データソース。報告されたユーザーアクティビティのデータソースに関連するすべての情報の暗号化を有効または無効にします。
  • [グループ名]。報告されたユーザアクティビティに関連付けられているグループ名の暗号化を有効または無効にします。

[ Group Association ] タブで、暗号化キーを特定のグループにのみ適用するように構成することもできます。 [Select All] トグルが有効な場合、現在設定されている暗号化キーがすべてのセキュリティグループに適用されます。 [Select All] トグルが無効になっている場合、暗号化キーで暗号化するセキュリティグループを選択できます。

暗号化キーを設定したら、 匿名化されたロギングを有効にして 、ユーザーのオンラインアクティビティの匿名化されたログに基づいてネットワークの使用状況を監視します。

定義済みの暗号化キーを削除するには、テーブル内の対応する暗号化キーの横にある省略記号を選択し、[ Delete] を選択します。

クラウド・バックアップ

Offline Cloud Backup 設定では、 選択したリージョンロケーションおよび時間に基づいて 、レポートノードのバックアップ設定とログを保存/保存できます。 オフラインクラウドバックアップオプションを使用すると 、CSIAインターフェイスを介してクラウドバックアップを保存できます。

クラウドバックアップ設定を有効にするには、[ 構成] ** [ **クラウド設定 ] の順に選択し、[ クラウドバックアップ] を選択します。

  1. [ クラウドバックアップを有効にする ] トグルボタンを有効にし、ドロップダウンリストから [ リージョン ] と [ ロケーション ] を選択します。

    クラウドバックアップを有効にする

  2. また、[ クラウドバックアップを自動的に実行 ] トグルボタンを有効にして、実行する時間間隔を設定し、日次バックアップを作成することもできます。[保存] をクリックします。

    クラウドバックアップを自動的に実行する

リモートブラウザ分離

リモートブラウザ隔離は、マルウェアや悪意のある脅威からセキュリティを確保する高度な Web 保護機能です。リモートブラウザ分離により、Citrix Secure Internet Access Webフィルタリング機能をセキュアブラウザサービス(SBS)とともに使用して、企業ネットワークをブラウザベースの攻撃から保護できます。詳しくは、「Secure Browserサービス」を参照してください。

リモートブラウザ隔離機能を使用すると、信頼されていない一部のターゲット Web サイトに対して、リモートのクラウドベースのセキュアブラウザサービスを介してのみ隔離および起動するようにルールを設定できます。このルールを作成して、分離するユーザグループとトラフィックの種類の組み合わせに適用できます。

リモートブラウザアイソレーションを呼び出すために作成されたルールの一覧を表示できます。

リモートブラウザ分離

呼び出す必要があるトラフィックのリダイレクトルールを設定するには、[ 構成] > [リモートブラウザ隔離 ] に移動し、[ リダイレクトルールを SBS に追加] をクリックします。

RBI ルールを追加

  • ルール名:ルール名を指定します。
  • ルールの説明:ルールの説明を入力します。
  • [一致タイプ]: ドロップダウンリストから [ドメイン正規表現]、[ドメインリスト]、[IP アドレス]、[URL]、[カテゴリ] などの一致タイプを選択します。
  • []: 照合値の種類を入力します。
  • [グループを選択]: ドロップダウンリストからグループを選択します。

[ SBS にリダイレクトルールを追加(Add Redirect Rule to SBS )] オプションを使用すると、セキュアインターネットアクセスポータルに Web フィルタリングルールを作成して、トラフィックをブラウザサービスにリダイレクトできます。リモートブラウザ分離ルールごとに、セキュリティで保護されたブラウザ URL が関連付けられています。つまり、セキュアなインターネットアクセスサービスを介して URL が起動されたときに、その URL が定義済みのリモートブラウザ分離一致ルールのいずれかに一致すると、要求は関連付けられたセキュアブラウザサービスにリダイレクトされます。

構成