セキュリティの技術概要

セキュリティの概要

この記事の対象は、Citrix Virtual Apps EssentialsやCitrix Virtual Desktops Essentialsなど、Citrix CloudでホストされているすべてのCitrix Virtual Apps and Desktopsサービスです。

Citrix Virtual Apps and Desktops環境のコントロールプレーンの操作は、Citrix Cloudにより管理されます。管理の対象には、Delivery Controller、管理コンソール、SQLデータベース、ライセンスサーバーが含まれ、オプションでStoreFrontとCitrix Gateway(旧称NetScaler Gateway)が含まれます。アプリとデスクトップをホストするVirtual Delivery Agents(VDA)は、クラウドまたはオンプレミスのいずれかのデータセンターでお客様が管理します。これらのコンポーネントは、Citrix Cloud Connectorと呼ばれるエージェントを使用してクラウドサービスに接続されます。Citrix Workspaceを使用することを選択した場合、お客様はデータセンター内でCitrix Gatewayを実行する代わりに、Citrix Gateway Serviceを使用することもできます。次の図に、サービスとそのセキュリティ境界を示します。

SVCセキュリティ境界の画像

データフロー

VDAはクラウドサービスのホスト対象コンポーネントに含まれていないため、プロビジョニングに必要なお客様のアプリケーションデータとゴールデンイメージは、常にお客様の構成内でホストされます。コントロールプレーンはユーザー名、マシン名、アプリケーションショートカットなどのメタデータにアクセスできますが、お客様の知的財産へのアクセスは制限されています。

クラウドとお客様の施設間でのデータ通信には、ポート443を介した安全なTLS接続が使用されます。

データ分離

Citrix Virtual Apps and Desktopsサービスには、お客様のアプリケーションとデスクトップの仲介および監視に必要なメタデータのみが格納されます。マスターイメージ、ユーザープロファイル、その他のアプリケーションデータなどの機密情報は、お客様の施設内、またはパブリッククラウドベンダーとのサブスクリプション内に留まります。

サービスのエディション

Citrix Virtual Apps and Desktopsサービスの機能は、エディションによって異なります。たとえば、Citrix Virtual Apps Essentialsでは、Citrix GatewayサービスとCitrix Workspaceのみがサポートされます。サポートされる機能について詳しくは、各製品のマニュアルを参照してください。

資格情報の処理

このサービスは、次の4種類の資格情報を処理します:

  • ユーザーの資格情報:ユーザー管理StoreFrontを使用する場合、ユーザーの資格情報は、AES-256暗号化および起動のたびに生成されるランダムなワンタイムキーを使用してCitrix Cloud Connectorにより暗号化されます。このキーは、クラウドに渡されることはなく、Citrix Workspaceアプリにのみ返されます。その後、シングルサインオンを実現するために、Citrix WorkspaceアプリからVDAに直接渡され、セッションの開始時にユーザーパスワードの暗号化が解除されます。全体の流れを次の図に示します。

流れ図の画像

  • 管理者資格情報:管理者は、Citrix Onlineのサインオンシステムを使用するCitrix Cloudに対して認証を行います。これによりワンタイム署名されたJSON Web Token(JWT)が生成され、管理者はCitrix Virtual Apps and Desktopsサービスにアクセスできます。
  • ハイパーバイザーパスワード:認証にパスワードが必要なオンプレミスハイパーバイザーでは、管理者が生成したパスワードがクラウドのSQLデータベースに暗号化され保存されています。認証済みのプロセスでのみハイパーバイザーの資格情報が使用されるよう、ピアキーはシトリックスが管理します。
  • Active Directory(AD)資格情報:Machine Creation Servicesでは、お客様のADでマシンアカウントを作成するためにCloud Connectorを使用します。Cloud ConnectorのマシンアカウントにはADの読み取りアクセス権しかないため、管理者はマシンを作成または削除するたびに資格情報の入力を求められます。これらの資格情報はメモリー内にのみ保管され、単一のプロビジョニングイベントの間だけ保持されます。

展開に関する考慮事項

環境内にCitrix GatewayアプリケーションおよびVDAを導入する場合は、公開されているベストプラクティスのドキュメントを参照することをお勧めします。オンプレミスでのStoreFrontの展開およびネットワーク接続に関するその他の考慮事項は次のとおりです:

Citrix Cloud Connectorのネットワークアクセス要件

Citrix Cloud Connectorには、インターネットへのポート443の送信トラフィックのみが必要であるため、HTTPプロキシの背後でホストできます。

  • Citrix CloudでHTTPS用に使用される通信は、TLS 1.0、1.1、または1.2です。
  • 内部ネットワーク内では、Cloud ConnectorはCitrix Virtual Apps and Desktopsサービスの次のものにアクセスする必要があります:
    • VDA(ポート80、送信と受信の両方)、およびCitrix Gatewayサービスを使用する場合はポート1494と2598
    • StoreFrontサーバー(受信ポート80)
    • Citrix Gateways(STAとして構成されている場合)(受信ポート80)
    • Active Directoryドメインコントローラー
    • ハイパーバイザー(送信のみ。使用するポートについてはハイパーバイザーのドキュメントを参照)

VDAとCloud Connectorとの間のトラフィックは、Kerberosのメッセージレベルのセキュリティを使用して暗号化されます。

ユーザー管理StoreFront

ユーザー管理StoreFrontは、オンプレミスでのユーザー資格の情報の管理機能など、高度なセキュリティ構成オプションと展開アーキテクチャの柔軟性を備えています。このStoreFrontをCitrix Gatewayの背後に配置することで、リモートアクセスをセキュリティで保護し、多要素認証を適用できるほか、その他のセキュリティ機能も追加できます。

Citrix GatewayサービスとCitrix Workspace

Citrix Gatewayサービスを使用すると、お客様のデータセンター内にCitrix Gatewayを導入する必要はなくなります。Citrix Gateway Serviceを使用するには、前提として、Citrix Cloudから提供されるStoreFrontサービスを使用する必要があります。Citrix Gatewayサービスを使用する場合のデータフローを下図に示します。

Citrix Gateway Storefrontのデータフローの図

注: この図に示されているのは、論理データフローです。Cloud ConnectorとCitrix Cloud間のすべてのTLS接続は、Cloud ConnectorからCitrix Cloudに対して開始されます。受信ファイアウォールポートのマッピングは必要ありません。

TLSバージョンの廃止

Citrix Virtual Apps and Desktopsサービスのセキュリティを向上させるため、2019年3月15日以降、Transport Layer Security(TLS)1.0および1.1を介した通信をブロックすることになりました。

これによるお客様への影響

以下に一覧表示されているよりも低い(以前の)Citrix Receiverバージョンを使用している場合は、Citrix Workspaceに接続しようとしても接続できなくなります。

Receiver バージョン
Windows 4.2.1000
Mac 12.0
Linux 13.2
Android 3.7
iOS 7.0

操作

この変更によりエンドユーザーに混乱が生じるので、必ずすべてのCitrix Receiverをそれ以降のバージョンにアップグレードしてください。以降のバージョンではTLS 1.2が使用されます。次のサイトを参照してください:https://www.citrix.com/products/receiver/

別の方法としては、TLS 1.2を使用する新しいCitrix Workspaceアプリにアップグレードすることもできます。次のサイトを参照してください:https://www.citrix.com/downloads/workspace-app/。Citrix Workspaceアプリケーションについて詳しくは、https://www.citrix.com/products/workspace-app/を参照してください。

重要:

総合的なガイダンスについては、CTX247067を参照してください。

TLS 1.0またはTLS 1.1を使用する必要がある場合

引き続きTLS 1.0または1.1を使用する必要がある場合(たとえば、以前のバージョンのReceiver for Linuxに基づいてシンクライアントを使用している場合)、リソースの場所にStoreFrontをインストールし、すべてのCitrix Receiverがそれを指すようにします。

詳細情報の表示

セキュリティ情報について詳しくは、次のリソースを参照してください:

注:

本記事は、Citrix Cloudのセキュリティ機能の概要を説明し、Citrix Cloud環境の保護に関するCitrixとお客様との間の責任分担を定義することを目的としています。Citrix Cloud、またはそのコンポーネントやサービスの構成および管理に関するガイダンスマニュアルではありません。