Secure Private Accessサービス・ソリューションの概要
ソリューション概要
従来のVPNソリューションでは、エンドユーザーのデバイスを管理し、ネットワークレベルでのアクセスを提供し、静的なアクセス制御ポリシーを適用する必要があります。Citrix Secure Private Accessは、BYOデバイスからの脅威から保護するための一連のセキュリティ制御をIT部門に提供します。これにより、ユーザーは、管理対象デバイスかBYOデバイスかを問わず、どのデバイスからでもIT部門が認可したアプリケーションにアクセスできるようになります。
Citrix Secure Private Accessは、アプリケーションの適応型認証、シングルサインオンのサポート、強化されたセキュリティ制御を提供します。Secure Private Access には、Device Posture サービスを使用してセッションを確立する前に、エンドユーザーのデバイスをスキャンする機能もあります。アダプティブ認証またはDevice Postureの結果に基づいて、管理者はアプリの認証方法を定義できます。
適応型セキュリティ
アダプティブ認証は、現在のリクエストに適した認証フローを決定します。適応型認証では、デバイスの姿勢、地理的位置、ネットワークセグメント、ユーザー組織/部門のメンバーシップを識別できます。取得した情報に基づいて、管理者はIT部門が認可したアプリに対してユーザーを認証する方法を定義できます。これにより、組織はパブリックSaaSアプリ、プライベートWebアプリ、プライベートクライアントサーバーアプリ、Desktops as a Service(DaaS)など、すべてのリソースに同じ認証ポリシーフレームワークを実装できます。詳細については、「 適応型セキュリティ」を参照してください。
アプリケーションアクセス
Secure Private Accessは、VPN に依存せずにオンプレミスの Web アプリへの接続を確立できます。このVPNレス接続は、オンプレミスにデプロイされたConnector Appliance を使用します。Connector Appliance、組織のCitrix Cloudサブスクリプションへのアウトバウンド制御チャネルを作成します。そこから、Secure Private Accessは、VPNを必要とせずに内部Webアプリへの接続をトンネリングできます。詳細については、「 アプリケーションアクセス」を参照してください。
シングルサインオン
適応型認証を使用すると、組織は強力な認証ポリシーを提供して、ユーザーアカウントが侵害されるリスクを軽減できます。Secure Private Accessのシングルサインオン機能は、すべてのSaaS、プライベートウェブ、およびクライアントサーバーアプリに同じ適応型認証ポリシーを使用します。詳細については、「 シングルサインオン」を参照してください。
ブラウザセキュリティ
Secure Private Accessにより、エンドユーザーは一元管理されセキュリティ保護された Enterprise Browserを使用してインターネットを安全に閲覧できます。エンドユーザーが SaaS またはプライベート Web アプリを起動すると、このアプリケーションの最適な提供方法を決定するために、いくつかの決定が動的に行われます。詳細については、「 ブラウザセキュリティ」を参照してください。
Device Posture
Device Postureサービスを使用すると、管理者は企業リソースにリモートでアクセスしようとしているエンドポイントデバイスのポスチャを確認するポリシーを定義できます。エンドポイントのコンプライアンス状態に基づいて、Device Postureサービスは企業のアプリケーションやデスクトップへのアクセスを拒否したり、制限付き/フルアクセスを提供したりできます。
エンドユーザーがCitrix Workspaceとの接続を開始すると、Device Postureクライアントはエンドポイントパラメータに関する情報を収集し、その情報をDevice Postureサービスと共有して、エンドポイントのポスチャがポリシー要件を満たしているかどうかを判断します。
Device PostureサービスをCitrix Secure Private Accessと統合することで、Citrix Cloudの耐障害性とスケーラビリティを利用して、どこからでもSaaS、Web、TCP、UDPアプリに安全にアクセスできるようになります。詳細については、「 Device Posture」を参照してください。
TCP および UDP アプリケーションのサポート
リモートユーザーは、フロントエンドがエンドポイントに、バックエンドがデータセンターにあるプライベートクライアントサーバーアプリにアクセスする必要がある場合があります。組織はこれらの社内アプリやプライベートアプリに厳格なセキュリティポリシーを正当に適用できるため、リモートユーザーがセキュリティプロトコルを危険にさらすことなくこれらのアプリケーションにアクセスすることが困難になります。
Secure Private Accessサービスは、ZTNAがこれらのアプリへの安全なアクセスを提供できるようにすることで、TCPとUDPのセキュリティ脆弱性に対処します。ユーザーは、TCP、UDP、HTTPSアプリを含むすべてのプライベートアプリに、ネイティブブラウザーまたはマシン上で実行されているCitrix Secure Accessクライアント経由のネイティブクライアントアプリケーションを使用してアクセスできるようになりました。
ユーザーは、Citrix Secure Accessクライアントをクライアントデバイスにインストールする必要があります。
- Windows の場合、クライアントバージョン (22.3.1.5 以降) はhttps://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.htmlからダウンロードできます。
- macOS の場合、クライアントバージョン (22.02.3 以降) は App Store からダウンロードできます。
詳しくは、「クライアントサーバーアプリのサポート」を参照してください。
Citrix Secure Private Access セットアップ
Secure Private Access 管理コンソールを使用して、SaaS アプリ、社内 Web アプリ、TCP、および UDP アプリへのゼロトラストネットワークアクセスを有効にします。このコンソールには、アダプティブ認証、ユーザーサブスクリプションを含むアプリケーション、アダプティブアクセスポリシーの設定が含まれます。
ID と認証の設定
利用者がCitrix Workspace にログインするための認証方法を選択します。アダプティブ認証は、Citrix Workspaceにログインしている顧客とユーザーに高度な認証を可能にするCitrix Cloudサービスです。
詳細については、「 ID と認証の設定」を参照してください。
アプリを列挙して公開する
認証方法を選択したら、管理コンソールを使用して Web アプリ、SaaS アプリ、TCP アプリ、UDP アプリを設定します。詳しくは、「 アプリの追加と管理」を参照してください。
セキュリティ制御の強化を有効にする
コンテンツを保護するために、組織は強化されたセキュリティポリシーをSaaSアプリケーション内に組み込んでいます。各ポリシーにより、デスクトップ用のWorkspaceアプリを使用する場合はCitrix Enterprise Browser、Webまたはモバイル用のWorkspaceアプリを使用する場合はSecure Browser serに制限が適用されます。
- クリップボードへのアクセスを制限する:アプリとシステムクリップボード間の切り取り/コピー/貼り付け操作を無効にします。
- 印刷制限:Citrix Enterprise Browser内からの印刷機能を無効にします。
- ダウンロードを制限する:ユーザーがアプリ内からダウンロードできないようにします。
- アップロードを制限:ユーザーがアプリ内でアップロードできないようにします。
- ウォーターマークの表示:ユーザーの画面にウォーターマークを表示し、ユーザーのマシンのユーザー名と IP アドレスを表示します。
- キーロギングの制限:キーロガーから保護します。ユーザーがユーザー名とパスワードを使用してアプリにログオンしようとすると、すべてのキーがキーロガーで暗号化されます。また、ユーザーがアプリで実行するすべてのアクティビティは、キーロギングから保護されます。たとえば、Office 365のアプリ保護ポリシーが有効になっていて、ユーザーがOffice 365のWord文書を編集した場合、すべてのキーストロークはキーロガーで暗号化されます。
- 画面キャプチャを制限する:任意の画面キャプチャプログラムまたはアプリを使用して画面をキャプチャする機能を無効にします。ユーザーが画面をキャプチャしようとすると、空白の画面がキャプチャされます。
詳細については、「 アクセスポリシーの設定」を参照してください。
アプリケーション起動時にCitrix Enterprise Browserを有効にする
Secure Private Accessにより、エンドユーザーはCitrix Enterprise Browser(CEB)を使用してアプリケーションを起動できます。CEBは、Citrix Workspaceアプリと統合されたクロムベースのブラウザーです。これにより、Citrix Enterprise Browser内のWebアプリやSaaSアプリにアクセスするためのシームレスで安全なアクセスが可能になります。
CEBは、セキュリティポリシーが適用された内部でホストされているすべてのWebアプリまたはSaaSアプリの優先ブラウザまたは仕事用ブラウザとして構成できます。CEBを使用すると、ユーザーは安全で制御された環境内で、設定されたすべてのSaaS/Webアプリケーションドメインを開くことができます。
Citrix Enterprise Browserを有効にする
管理者は、グローバルアプリ構成サービス(GACS)を使用して、Citrix WorkspaceアプリからWebアプリやSaaSアプリを起動するためのデフォルトブラウザーとしてCitrix Enterprise Browserを構成できます。
API による設定:
構成するには、すべてのアプリでCitrix Enterprise Browserをデフォルトで有効にするJSONファイルの例を以下に示します:
"settings": [
{
"name": "open all apps in ceb",
"value": "true"
}
]
<!--NeedCopy-->
デフォルト値は、trueです。
GUI による設定:
CEBをアプリ起動のデフォルトブラウザにする必要があるデバイスを選択します。
詳しくは、「 GACSによるCitrix Enterprise Browserの管理」を参照してください。
Device Postureを使用してコンテキストアクセス用のタグを設定します
デバイスのポスチャを確認すると、デバイスはログインを許可され、デバイスは準拠または非準拠に分類されます。この分類は Secure Private Access サービスにタグとして提供され、デバイスのポスチャに基づいてコンテキストに応じたアクセスを提供するために使用されます。
- Citrix Cloud にサインインします。
- 「Secure Private Access」タイルで、「 管理」をクリックします。
- 左側のナビゲーションで [ アクセスポリシー ] をクリックし、[ ポリシーの作成] をクリックします。
- ポリシー名とポリシーの説明を入力します。
- 「 アプリケーション」で、このポリシーを適用する必要があるアプリまたはアプリのセットを選択します。
- 「 Create Rule 」をクリックして、ポリシーのルールを作成します。
- ルール名とルールの簡単な説明を入力して、[ 次へ] をクリックします。
- ユーザーの条件を選択します。 ユーザー条件は 、ユーザーにアプリケーションへのアクセスを許可するための必須条件です。
- + をクリックして、デバイスの姿勢条件を追加します。
- ドロップダウンメニューから [ デバイス姿勢チェック ] と [論理式] を選択します。
-
カスタムタグに次のいずれかの値を入力します:
- 準拠-準拠デバイス用
- 非準拠-非準拠デバイス用
- [次へ] をクリックします。
-
条件評価に基づいて適用する必要があるアクションを選択し、「 次へ」をクリックします。
「概要」ページには、ポリシーの詳細が表示されます。
- 詳細を確認し、[ 完了] をクリックします。
注:
アクセスポリシーで準拠または非準拠としてタグ付けされていないSecure Private Accessアプリケーションはデフォルトアプリケーションとして扱われ、デバイスの状態に関係なくすべてのエンドポイントからアクセスできます。
エンドユーザーエクスペリエンス
Citrix 管理者は、シトリックCitrix Secure Private Access してセキュリティ制御を拡張することができます。Citrix Workspaceアプリは、すべてのリソースに安全にアクセスするためのエントリーポイントです。エンドユーザーは、Citrix Workspaceアプリを介して仮想アプリ、デスクトップ、SaaSアプリ、ファイルにアクセスできます。Citrix Secure Private Accessを使用すると、管理者はCitrix Workspace Experience Web UIまたはネイティブのCitrix Workspaceアプリクライアントを介してエンドユーザーがSaaSアプリケーションにアクセスする方法を制御できます。
ユーザーがエンドポイントで Workspace アプリを起動すると、アプリケーション、デスクトップ、ファイル、SaaS アプリが表示されます。セキュリティ強化が無効になっているときにユーザーが SaaS アプリケーションをクリックすると、アプリケーションはローカルにインストールされている標準ブラウザで開きます。管理者がセキュリティ強化を有効にしている場合、SaaSアプリはWorkspaceアプリ内のCEBで開きます。SaaSアプリおよびWebアプリ内のハイパーリンクへのアクセスは、許可されていないWebサイトのポリシーに基づいて制御されます。未認可のWebサイトの詳細については、「非認可のWebサイト」を参照してください。
同様に、Workspace Web ポータルでは、セキュリティ強化が無効になっている場合、SaaS アプリケーションはネイティブにインストールされている標準ブラウザで開かれます。セキュリティ強化を有効にすると、SaaS アプリは安全なリモートブラウザで開きます。ユーザーは、許可されていないWebサイトポリシーに基づいて、SaaSアプリ内のWebサイトにアクセスできます。未認可のWebサイトの詳細については、「非認可のWebサイト」を参照してください。
分析ダッシュボード
Secure Private Accessサービス・ダッシュボードには、SaaS、Web、TCP、UDPアプリケーションの診断と使用状況データが表示されます。管理者は、管理者がアプリ、ユーザー、コネクタのヘルスステータス、帯域幅の使用状況を 1 か所で完全に把握して利用できます。このデータはCitrix Analytics から取得されます。メトリックは大きく次のカテゴリに分類されます。
- ロギングとトラブルシューティング
- ユーザー
- アプリケーション
- アクセスポリシー
詳細については、「 ダッシュボード」を参照してください。
アプリの問題のトラブルシューティング
Secure Private Access ダッシュボードの診断ログチャートでは、認証、アプリケーション起動、アプリケーション列挙、およびDevice Postureログに関連するログを確認できます。
- 情報コード:障害などの一部のログイベントには、情報コードが関連付けられています。情報コードをクリックすると、ユーザーは解決手順またはそのイベントに関する詳細情報にリダイレクトされます。
- トランザクション ID: 診断ログには、アクセス要求のすべてのSecure Private Accessログを関連付けるトランザクション ID も表示されます。1 つのアプリアクセスリクエストで、認証、Workspace アプリ内でのアプリ列挙、アプリアクセス自体から複数のログを生成できます。これらのイベントはすべて独自のログを生成します。トランザクション ID は、これらすべてのログを関連付けるために使用されます。トランザクション ID を使用して診断ログをフィルタリングし、特定のアプリアクセスリクエストに関連するすべてのログを検索できます。 詳細については、「 Secure Private Accessの問題のトラブルシューティング」を参照してください。
サンプルユースケース
- ファイアウォールで受信トラフィックを開かずにゼロトラストアプローチを使用して内部アプリケーション (Web/TCP/UDP) にアクセスする
- ユーザーがアクセスしたアプリケーションを検出してゼロトラストアプローチに移行
- SaaS アプリケーションへのアクセスを Citrix Enterprise Browserに制限する
- SaaS アプリケーションへのアクセスを会社所有のパブリック IP アドレスに制限する
- Azure マネージド SaaS アプリのセキュリティ強化
- Office 365 のセキュリティを強化
- Okta アプリのセキュリティ強化
参考記事
- Secure Private Accessの概要Secure Private Access
- Tech brief
- リファレンスアーキテクチャ
- Citrix Enterprise Browser
- GACSによるCitrix Enterprise Browserの管理
- 簡単なオンボードとセットアップの管理者向けガイドワークフロー
リファレンスビデオ
- アプリへのゼロトラストネットワークアクセス (ZTNA)
- Citrix Secure Private AccessによるプライベートWebアプリケーションアクセス
- Citrix Secure Private AccessによるパブリックSaaSアプリケーションアクセス
- Citrix Secure Private Accessによるプライベートクライアント/サーバーアプリケーションアクセス
- Citrix Secure Private Access によるキーロガー保護
- Citrix Secure Private Access による画面共有保護
- Citrix Secure Private Access によるエンドユーザーエクスペリエンス
- Citrix Secure Private Access によるZTNAとVPNのログオンエクスペリエンスの比較
- Citrix Secure Private Access によるZTNAとVPNのポートスキャンの比較
関連製品の新着情報
- Citrix Enterprise Browser: このリリースについて
- Citrix Workspace: 新機能Citrix Workspace
- Citrix DaaS: 新着情報
- Citrix Secure Accessクライアント NetScaler Gateway クライアント