Citrix Virtual Apps and Desktopsサービス

セキュリティの技術概要

セキュリティの概要

この記事の対象は、Citrix CloudでホストされているCitrix Virtual Apps and Desktopsサービスです。これには、Citrix Virtual Apps EssentialsとCitrix Virtual Desktops Essentialsが含まれます。

Citrix Virtual Apps and Desktops環境のコントロールプレーンの操作は、Citrix Cloudにより管理されます。管理の対象には、Delivery Controller、管理コンソール、SQLデータベース、ライセンスサーバーが含まれ、オプションでStoreFrontとCitrix Gateway(旧称NetScaler Gateway)が含まれます。アプリとデスクトップをホストするVirtual Delivery Agents(VDA)は、クラウドまたはオンプレミスのいずれかのデータセンターでお客様が管理します。これらのコンポーネントは、Citrix Cloud Connectorと呼ばれるエージェントを使用してクラウドサービスに接続されます。Citrix Workspaceを使用することを選択した場合、お客様はデータセンター内でCitrix Gatewayを実行する代わりに、Citrix Gatewayサービスを使用することもできます。次の図は、サービスとそのセキュリティ境界を示しています。

サービスセキュリティ境界の画像

Citrixクラウドベースのコンプライアンス

2021年1月時点で、さまざまなCitrix Virtual Apps and DesktopsサービスエディションおよびWorkspace Premium PlusでのCitrix Managed Azure Capacityの使用は、Citrix SOC 2(タイプ1または2)、ISO 27001、HIPAA、またはその他のクラウドコンプライアンスの要件に対して評価されていません。Citrix Cloudの認定について詳しくは、「Citrix Trust Center」を参照してください。 また、頻繁に更新を確認してください。

データフロー

VDAはサービスでホストされていないため、プロビジョニングに必要なお客様のアプリケーションデータとイメージは、常にお客様の構成内でホストされます。コントロールプレーンはユーザー名、マシン名、アプリケーションショートカットなどのメタデータにアクセスできますが、お客様の知的財産へのアクセスは制限されています。

クラウドとお客様の施設間でのデータ通信には、ポート443を介した安全なTLS接続が使用されます。

データ分離

Citrix Virtual Apps and Desktopsサービスには、お客様のアプリケーションとデスクトップの仲介および監視に必要なメタデータのみが格納されます。マスターイメージ、ユーザープロファイル、その他のアプリケーションデータなどの機密情報は、お客様の施設内、またはパブリッククラウドベンダーとのサブスクリプション内に留まります。

サービスのエディション

Citrix Virtual Apps and Desktopsサービスの機能は、エディションによって異なります。たとえば、Citrix Virtual Apps Essentialsでは、Citrix GatewayサービスとCitrix Workspaceのみがサポートされます。サポートされる機能について詳しくは、各製品のマニュアルを参照してください。

資格情報の処理

このサービスは、次の4種類の資格情報を処理します:

  • ユーザーの資格情報:ユーザー管理StoreFrontを使用する場合、ユーザーの資格情報は、AES-256暗号化および起動のたびに生成されるランダムなワンタイムキーを使用してCitrix Cloud Connectorにより暗号化されます。このキーは、クラウドに渡されることはなく、Citrix Workspaceアプリにのみ返されます。その後、シングルサインオンを実現するために、Citrix WorkspaceアプリからVDAに渡され、セッションの開始時にユーザーパスワードの暗号化が解除されます。次の図は、この流れを示します。

流れ図の画像

  • 管理者資格情報:管理者は、Citrix Cloudに対して認証を行います。これによりワンタイム署名されたJSON Web Token(JWT)が生成され、管理者はCitrix Virtual Apps and Desktopsサービスにアクセスできます。
  • ハイパーバイザーパスワード:認証にパスワードが必要なオンプレミスハイパーバイザーでは、管理者が生成したパスワードがクラウドのSQLデータベースに暗号化され保存されています。認証済みのプロセスでのみハイパーバイザーの資格情報が使用されるよう、ピアキーはシトリックスが管理します。
  • Active Directory(AD)資格情報:Machine Creation Servicesでは、お客様のADでマシンアカウントを作成するためにCloud Connectorを使用します。Cloud ConnectorのマシンアカウントにはADの読み取りアクセス権しかないため、管理者はマシンを作成または削除するたびに資格情報の入力を求められます。これらの資格情報はメモリ内にのみ保管され、単一のプロビジョニングイベントの間だけ保持されます。

展開に関する考慮事項

環境内にCitrix GatewayアプリケーションおよびVDAを導入する場合は、公開されているベストプラクティスのドキュメントを参照することをお勧めします。

Citrix Cloud Connectorのネットワークアクセス要件

Citrix Cloud Connectorには、インターネットへのポート443の送信トラフィックのみが必要であるため、HTTPプロキシの背後でホストできます。

  • Citrix CloudでHTTPS用に使用される通信は、TLSです。(「TLSバージョンの廃止」を参照してください。)
  • 内部ネットワーク内では、Cloud ConnectorはCitrix Virtual Apps and Desktopsサービスの次のものにアクセスする必要があります:
    • VDA:送信と受信の両方でポート80。追加でCitrix Gatewayサービスを使用する場合は受信ポート1494と2598
    • StoreFrontサーバー:受信ポート80。
    • Citrix Gateway(STAとして構成されている場合):受信ポート80。
    • Active Directoryドメインコントローラー
    • Hypervisor:送信のみ。特定のポートについては、「Citrixテクノロジで使用される通信ポート」を参照してください。

VDAとCloud Connectorとの間のトラフィックは、Kerberosのメッセージレベルのセキュリティを使用して暗号化されます。

ユーザー管理StoreFront

ユーザー管理StoreFrontは、オンプレミスでのユーザー資格の情報の管理機能など、高度なセキュリティ構成オプションと展開アーキテクチャの柔軟性を備えています。このStoreFrontをCitrix Gatewayの背後に配置することで、リモートアクセスをセキュリティで保護し、多要素認証を適用できるほか、その他のセキュリティ機能も追加できます。

Citrix Gatewayサービス

Citrix Gatewayサービスを使用すると、お客様のデータセンター内にCitrix Gatewayを導入する必要はなくなります。

詳しくは、「Citrix Gatewayサービス」を参照してください。

Cloud ConnectorとCitrix Cloud間のすべてのTLS接続は、Cloud ConnectorからCitrix Cloudに対して開始されます。受信ファイアウォールポートのマッピングは必要ありません。

XML信頼

XML信頼設定は、以下を使用する展開に適用されます:

  • オンプレミスStoreFront。
  • パスワードを必要としない利用者(ユーザー)認証テクノロジ。このようなテクノロジの例がドメインパススルー、スマートカード、SAML、Veridiumソリューションです。

XML信頼設定を有効にすると、ユーザーはアプリケーションを正常に認証して起動できます。Cloud Connectorは、StoreFrontから送信された資格情報を信頼します。Citrix Cloud ConnectorとStoreFront間の通信を保護している場合にのみこの設定を有効にします(ファイアウォール、IPsec、またはその他のセキュリティ推奨事項を使用)。

このチェックボックスは、デフォルトでオフになっています。

Citrix Virtual Apps and Desktops Remote PowerShell SDKを使用して、XML信頼設定を管理します。

  • XML信頼設定の現在の値を確認するには、Get-BrokerSiteを実行してTrustRequestsSentToTheXMLServicePortの値を調べます。
  • XML信頼を有効にするには、Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $trueを実行します。
  • XML信頼を無効にするには、Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $falseを実行します。

HTTPSまたはHTTPトラフィックの適用

XML Serviceを使用してHTTPSまたはHTTPトラフィックを適用するには、各Cloud Connectorで次のレジストリ値セットのいずれかを構成します。

設定を構成したら、各Cloud ConnectorでBroker ServiceとRemote Broker Provider Serviceを再起動します。

HKLM\Software\Citrix\DesktopServer\で:

  • HTTPS(HTTPを無視)トラフィックを適用するには:XmlServicesEnableSsl1に設定し、XmlServicesEnableNonSsl0に設定します。
  • HTTP(HTTPSを無視)トラフィックを適用するには:XmlServicesEnableNonSsl1に設定し、XmlServicesEnableSsl0に設定します。

TLSバージョンの廃止

Citrix Virtual Apps and Desktopsサービスのセキュリティを向上させるため、2019年3月15日以降、Transport Layer Security(TLS)1.0および1.1を介した通信をブロックすることになりました。

Citrix Cloud ConnectorからCitrix Cloudサービスへのすべての接続には、TLS 1.2が必要です。影響を受けるすべてのCitrix Cloudサービスに関する最新の、総合的な情報については、CTX247067を参照してください。

ユーザーのエンドポイントデバイスからCitrix Workspaceに正常に接続するには、インストールされているCitrix Receiverが、以下の表に記載されたバージョン以降であることを確認してください。

Receiver バージョン
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0
Chrome/HTML5 最新(ブラウザーでのTLS 1.2のサポートが必要です)

Citrix Receiverの最新バージョンにアップグレードするには、https://www.citrix.com/products/receiver/にアクセスしてください。

また、TLS 1.2を使用する新しいCitrix Workspaceアプリにアップグレードする方法もあります。Citrix Workspaceアプリをダウンロードするには、https://www.citrix.com/downloads/workspace-app/にアクセスしてください。

引き続きTLS 1.0または1.1を使用する必要がある場合(たとえば、以前のバージョンのReceiver for Linuxに基づいてシンクライアントを使用している場合)、リソースの場所にStoreFrontをインストールし、すべてのCitrix Receiverがそれを指すようにします。

詳細情報

セキュリティ情報について詳しくは、次のリソースを参照してください:

注:

本記事は、Citrix Cloudのセキュリティ機能の概要を説明し、Citrix Cloud環境の保護に関するCitrixとお客様との間の責任分担を定義することを目的としています。Citrix Cloud、またはそのコンポーネントやサービスの構成および管理に関するガイダンスではありません。