セキュリティの技術概要

次の図は、Azure展開のためのCitrix Virtual Apps and Desktops Standardのコンポーネントを示しています。この例では、VNet ピア接続を使用します。

Citrix Virtual Apps and Desktops Standard for AzureのコンポーネントおよびAzure VNetピア接続

Citrix Virtual Apps and Desktops Standard for Azureでは、デスクトップとアプリを配信する顧客のVirtual Delivery Agents(VDA)とCitrix Cloud Connectorは、Citrixが管理するAzureサブスクリプションとテナントに展開されます。

Citrixが管理する分野

ドメインに参加していないカタログ用のCitrix Cloud Connector

Citrix Virtual Apps and Desktops Standard for Azureでは、各リソースの場所に少なくとも 2 つの Cloud Connectorが展開されます一部のカタログは、同じ顧客の他のカタログと同じリージョンにある場合、リソースの場所を共有することがあります。

Citrixは、ドメインに参加していないカタログCloud Connectorに対する以下のセキュリティ操作を担当します。

  • オペレーティングシステムの更新プログラムとセキュリティパッチの適用
  • ウイルス対策ソフトウェアのインストールとメンテナンス
  • Cloud Connectorソフトウェアアップデートの適用

顧客はCloud Connectorにアクセスできません。したがって、ドメインに参加していないカタログCloud Connectorのパフォーマンスについては、Citrixが全面的に責任を負います。

Azure サブスクリプションと Azure Active Directory

Citrixは、顧客のために作成されたAzureサブスクリプションとAzure Active Directory(AAD)のセキュリティについて責任があります。Citrix ではテナントの分離が保証されるため、各顧客には独自の Azure サブスクリプションと AAD が割り当てられ、異なるテナント間のクロストークが防止されます。また、AADへのアクセスは、Citrix Virtual Apps and Desktops Standard for AzureサービスおよびCitrix運用担当者にのみ制限されます。各顧客のAzureサブスクリプションに対するCitrixによるアクセスが監査されます。

ドメインに参加していないカタログを使用している顧客は、Citrix管理のAADをCitrix Workspaceの認証方法として使用できます。このような顧客のためには、Citrix管理のAADで権限が制限されたユーザーアカウントをCitrixが作成します。ただし、顧客のユーザーも管理者も、Citrix 管理の AAD に対してアクションを実行することはできません。これらの顧客が代わりに独自の AAD を使用することを選択した場合は、そのセキュリティの全責任を負います。

仮想ネットワークとインフラストラクチャ

Citrixは、顧客のCitrix管理Azureサブスクリプション内で、リソースの場所を分離するための仮想ネットワークを作成します。これらのネットワーク内では、ストレージアカウント、Key Valut、およびその他のAzureリソースに加えて、VDA、Cloud Connector、イメージビルダーマシンの仮想マシンも作成されます。Citrixは、Microsoftと提携し、仮想ネットワークファイアウォールを含む仮想ネットワークのセキュリティを担当しています。

Citrixでは、デフォルトのAzureファイアウォールポリシー(ネットワークセキュリティグループ)が、VNetピアリングおよびSD-WAN接続のネットワークインターフェイスへのアクセスを制限するように構成されていることを確認します。通常、これはVDAおよびCloud Connectorへの着信トラフィックを制御します。詳しくは、次のページを参照してください。

顧客は、このデフォルトのファイアウォールポリシーを変更することはできませんが、Citrixが作成したVDAマシンに追加のファイアウォール規則を展開できます。たとえば、送信トラフィックを部分的に制限する場合などです。Citrixが作成したVDAマシンに、仮想プライベートネットワーククライアントまたはファイアウォール規則をバイパスできるその他のソフトウェアをインストールする顧客は、その結果として生じる可能性のあるセキュリティリスクの責任を負います。

Citrix Virtual Apps and Desktops Standard for Azureのイメージビルダーを使用して新しいマスターイメージを作成およびカスタマイズする場合、Citrix管理VNetでポート3389-3390 が一時的に開かれ、顧客は新しいマスターイメージを含むマシンに RDP してカスタマイズできます。

Azure VNet ピアリング接続を使用する場合のCitrixの責任

Citrix Virtual Apps and Desktops Standard for AzureのVDAがオンプレミスのドメインコントローラー、ファイル共有、またはその他のイントラネットリソースに接続する場合、Citrix Virtual Apps and Desktops Standard for Azureは接続オプションとしてVNetピアリングワークフローを提供します。顧客のCitrix管理仮想ネットワークは、顧客管理のAzure仮想ネットワークとピアリングされます。顧客管理の仮想ネットワークでは、Azure ExpressRoute や iPsec トンネルなど、個l客が選択したクラウドとオンプレミスの接続ソリューションを使用して、顧客のオンプレミスのリソースとの接続を有効にできます。

VNet ピアリングに対する Citrix の責任は、Citrixおよび顧客が管理するVNetの間でのピアリング関係を確立するための、ワークフローおよび関連する Azure リソース構成のサポートに限定されます。

Azure VNet ピアリング接続のファイアウォールポリシー

Citrixは、VNetピア接続を使用する受信トラフィックと送信トラフィックに対して、次のポートを開閉します。

ドメインに参加していないマシンを持つ Citrix 管理の VNet
  • インバウンドのルール
    • ポート80、443、1494、2598でVDAからCloud Connector、およびCloud ConnectorからVDAへの受信を許可します。
    • 監視シャドウ機能で使用されるIP範囲からVDAへのポート49152~65535での受信を許可します。「CTX101810」を参照してください。
    • 他のすべての受信を拒否します。これには、VDAからVDAへのVNet内トラフィックおよびVDAからCloud Connector へのトラフィックが含まれます。
  • 送信規則
    • すべてのトラフィックの送信を許可します。
ドメインに参加しているマシンでCitrixが管理するVNet
  • 受信規則:
    • ポート80、443、1494、2598でVDAからCloud Connector、およびCloud ConnectorからVDAへの受信を許可します。
    • 監視シャドウ機能で使用されるIP範囲からVDAへのポート49152~65535での受信を許可します。「CTX101810」を参照してください。
    • 他のすべての受信を拒否します。これには、VDAからVDAへのVNet内トラフィックおよびVDAからCloud Connector へのトラフィックが含まれます。
  • 送信規則
    • すべてのトラフィックの送信を許可します。
ドメインに参加しているマシンを持つ顧客管理の VNet
  • VNet を正しく設定するのは顧客の責任です。これには、ドメイン参加のために次のポートを開くことが含まれます。
  • 受信規則:
    • 内部起動のために、クライアント IP からの 443、1494、2598 の受信を許可します。
    • Citrix Vnetから53、88、123、135-139、389、445、636での受信を許可します(顧客が指定したIP範囲)。
    • プロキシ構成で開かれたポートで受信を許可します。
    • 顧客が作成したその他の規則。
  • 送信規則:
    • 443、1494、2598でCitrix VNet(顧客が指定したIP範囲)への送信を許可し、内部起動を許可します。
    • 顧客が作成したその他の規則。

SD-WAN接続を使用する場合のCitrixの責任範囲

Citrixでは、仮想Citrix SD-WANインスタンスを完全に自動展開して、Citrix Virtual Apps and Desktops Standard for Azureとオンプレミスのリソース間の接続を有効にできますCitrix SD-WAN接続には、VNetピアリングと比較して次のような多くの利点があります。

VDA-データセンター間およびVDA-支社(ICA)接続の高信頼性とセキュリティ

  • 高度なQoS機能とVoIP最適化により、オフィスワーカーにとって最高のエンドユーザーエクスペリエンスを提供します。
  • Citrix HDXネットワークトラフィックやその他のアプリケーションの使用状況を検査、優先順位付け、レポートする機能が組み込まれています。

Citrix Virtual Apps and Desktops Standard for AzureでSD-WAN接続を利用したい顧客は、Citrix SD-WAN Orchestratorを使用してCitrix SD-WANネットワークを管理する必要があります。

次の図は、SD-WAN接続を使用してAzure展開用のCitrix Virtual Apps and Desktops Standardに追加されたコンポーネントを示しています。

SD-WAN接続を備えたCitrix Virtual Apps and Desktops Standard for Azure

Citrix SD-WANの Citrix Virtual Apps and Desktops Standard for Azure展開は、Citrix SD-WANの標準的なAzure展開の構成に似ています。詳しくは、「Azure上のCitrix SD-WAN Standard Editionインスタンスの展開」を参照してください。高可用性構成では、Azureロードバランサーを持つSD-WANインスタンスのアクティブ/スタンバイのペアが、VDAとCloud Connectorを含むサブネットとインターネット間のゲートウェイとして展開されます。高可用性を設定していない構成では、単一のSD-WANインスタンスのみがゲートウェイとして展開されます。仮想 SD-WAN アプライアンスのネットワークインターフェイスには、2 つのサブネットに分割された個別の小さなアドレス範囲からアドレスが割り当てられます。

SD-WAN接続を構成する場合、Citrixは上記の管理対象デスクトップのネットワーク構成にいくつかの変更を加えます。特に、Citrix 管理の VNet からのすべての送信トラフィック(インターネットの宛先へのトラフィックを含む)は、クラウド SD-WAN インスタンスを介してルーティングされます。SD-WAN インスタンスは、Citrix 管理の VNet の DNS サーバーとしても構成されます。

仮想 SD-WAN インスタンスへの管理アクセスには、管理者ログインとパスワードが必要です。SD-WAN の各インスタンスには、セキュリティで保護された一意のパスワードが割り当てられます。このパスワードは、SD-WAN 管理者は、SD-WAN Orchestrator UI、仮想アプライアンス管理 UI、CLI を通じてリモートログインおよびトラブルシューティングに使用できます。

他のテナント固有のリソースと同様に、特定の顧客のVNetに展開された仮想SD-WANインスタンスは、他のすべてVNetから完全に分離されます。

顧客がCitrix SD-WAN接続を有効にすると、Citrix Virtual Apps and Desktops Standard for Azureで使用される仮想SD-WANインスタンスの初期デプロイが自動化され、基盤となるAzureリソース(仮想マシン、ロードバランサーなど)が維持され、安全かつ効率的ですぐに使えるようになります。は、仮想 SD-WAN インスタンスの初期設定のデフォルトとして使用され、SD-WAN Orchestrator による継続的なメンテナンスとトラブルシューティングが可能になります。また、SD-WANネットワーク構成の自動検証、既知のセキュリティリスクの確認、SD-WAN Orchestratorによる対応する警告の表示など、合理的な対策を講じています。

SD-WAN 接続のファイアウォールポリシー

Citrixは、Azureファイアウォールポリシー(ネットワークセキュリティグループ)とパブリックIPアドレス割り当てを使用して、仮想SD-WANアプライアンスのネットワークインターフェイスへのアクセスを制限します。

  • パブリック IP アドレスが割り当てられるのは、WAN および管理インターフェイスだけです。また、インターネットへのアウトバウンド接続を許可します。
  • Citrix 管理の VNet のゲートウェイとして機能する LAN インターフェイスは、同じ VNet 上の仮想マシンとのネットワークトラフィックの交換のみを許可します。
  • WANインターフェイスは、UDPポート 4980(仮想パス接続のためにCitrix SD-WANによって使用されます)にインバウンドトラフィックを制限し、VNetへのアウトバウンドトラフィックを拒否します。
  • 管理ポートは、ポート 443(HTTPS)および 22(SSH)へのインバウンドトラフィックを許可します。
  • HA インターフェイスは、制御トラフィックを相互に交換することだけを許可します。

インフラストラクチャへのアクセス

Citrixが管理するインフラストラクチャ(Cloud Connectors)にアクセスして、ログ収集(Windowsイベントビューアーを含む)やサービスの再起動など、顧客に通知することなく特定の管理タスクを実行できます。Citrixは、これらのタスクをセキュアに実行し、顧客への影響を最小限に抑えます。また、ログファイルが安全かつ安全に取得され、転送され、処理されることを保証する責任もCitrix にあります。顧客のVDAにはこの方法ではアクセスできません。

ドメインに参加していないカタログのバックアップ

Citrixは、ドメインに参加していないカタログのバックアップを実行する責任はありません。

マスターイメージのバックアップ

Citrix Virtual Apps and Desktops Standard for Azureにアップロードされたマスターイメージのバックアップには、イメージビルダーで作成されたイメージも含まれます。Citrixはこれらのイメージにローカル冗長ストレージを使用します。

ドメインに参加していないカタログの踏み台マシン

Citrixの運用担当者は、必要に応じて、顧客の問題を診断および修復するために、顧客側のCitrixが管理するAzureサブスクリプションにアクセスするための踏み台マシンを作成できます。これは、顧客が問題を認識する前に行われることもあります。Citrixは、踏み台マシンを作成するために顧客の同意を必要としません。Citrixが踏み台マシンを作成すると、強固なランダムに生成されたパスワードが作成され、Citrix NAT IPアドレスへのRDPアクセスが制限されます。踏み台マシンが不要になると、Citrixはこれを破棄し、パスワードは無効になります。踏み台マシン(およびそれに伴うRDPアクセスルール)は、操作が完了すると破棄されます。Citrixは、踏み台マシンのある顧客のドメインに参加していないCloud Connectorにのみアクセスできます。ドメインに参加していないVDAまたはドメインに参加しているCloud ConnectorおよびVDAにログインするためのパスワードがありません。

トラブルシューティングツールを使用する場合のファイアウォールポリシー

顧客がトラブルシューティングのために踏み台マシンの作成を要求すると、Citrixが管理するVNetに対して以下のセキュリティグループが変更されます。

  • 顧客が指定したIP範囲から踏み台マシンへの3389での受信を一時的に許可します。
  • 踏み台マシンのIPアドレスからVNet内の任意のアドレス(VDAおよびCloud Connector)への3389での受信を一時的に許可します。
  • Cloud Connector、VDA、およびその他のVDA間のRDPアクセスを引き続きブロックします。

顧客がトラブルシューティングのためにRDPアクセスを有効にすると、Citrixが管理するVNetに対して以下のセキュリティグループが変更されます。

  • 顧客が指定したIP範囲からVNet内の任意のアドレス(VDAおよびCloud Connector)への3389での受信を一時的に許可します。
  • Cloud Connector、VDA、およびその他のVDA間のRDPアクセスを引き続きブロックします。

顧客管理のサブスクリプション

顧客が管理するサブスクリプションの場合、Azureリソースの展開時は、Citrixが上記の責任を遵守します。展開後は、顧客がAzureサブスクリプションの所有者であるため、上記のすべてが顧客の責任となります。

顧客管理のサブスクリプション

顧客の責任範囲

VDAとマスターイメージ

顧客は、VDAマシンにインストールされるソフトウェアのすべての側面について責任を負います。これには以下が含まれます。

  • オペレーティングシステムの更新とセキュリティパッチ
  • ウイルス対策とマルウェア対策
  • VDAソフトウェアのアップデートとセキュリティパッチ
  • 追加のソフトウェアファイアウォールルール (特に発信トラフィック)
  • Citrixのセキュリティに関する考慮事項とベストプラクティスに従う

Citrixは、開始点として用意されたイメージを提供します。このイメージは、概念実証やデモンストレーションの目的で、または独自のマスターイメージを構築するためのベースとして使用できます。Citrixは、この準備されたイメージのセキュリティを保証するものではありません。Citrix提供イメージ上のオペレーティングシステムとVDAソフトウェアを最新の状態に保ち、これらのイメージでWindows Defenderを有効にします。

VNet ピアリングを使用する場合の顧客の責任

顧客は、「ドメインに参加しているマシンを持つ顧客管理の VNet」で指定したすべてのポートを開く必要があります。

VNet ピアリングを構成する場合、顧客は独自の仮想ネットワークのセキュリティと、オンプレミスリソースへの接続について責任を負います。顧客は、Citrixが管理するピアリング仮想ネットワークからの受信トラフィックのセキュリティについても責任を負います。Citirxでは、Citrixが管理する仮想ネットワークから顧客のオンプレミスリソースへのトラフィックをブロックする操作を行いません。

顧客には、着信トラフィックを制限するための次のオプションがあります。

  • Citrixが管理する仮想ネットワークに、顧客のオンプレミスネットワークまたは接続済みの顧客管理仮想ネットワークの他の場所で使用されていないIPブロックを付与します。これは、VNet ピアリングに必要です。
  • 顧客の仮想ネットワークとオンプレミスネットワークに Azure ネットワークセキュリティグループとファイアウォールを追加して、Citrixが管理する IP ブロックからのトラフィックをブロックまたは制限します。
  • 侵入防止システム、ソフトウェアファイアウォール、行動分析エンジンなどの対策を顧客の仮想ネットワークとオンプレミスネットワークに展開し、Citrix管理の IP ブロックをターゲットにします。

SD-WAN接続を使用する場合の顧客の責任

SD-WAN接続が構成されている場合, 顧客は、ネットワーク要件に応じて、Citrix Virtual Apps and Desktops Standard for Azureで使用される仮想SD-WANインスタンスを構成するための完全な柔軟性を持っています, CitrixでのSD-WANの正しい動作を保証するために必要ないくつかの要素を除いて、-管理対象の VNet です。顧客の責任は次のとおりです。

  • DNS およびインターネットトラフィックブレークアウトのルールを含む、ルーティングおよびファイアウォールルールの設計と構成
  • SD-WAN ネットワーク構成のメンテナンス
  • ネットワークの動作状態の監視。
  • Citrix SD-WANソフトウェアアップデートまたはセキュリティ修正プログラムをタイムリーに展開顧客のネットワーク上のCitrix SD-WANのすべてのインスタンスで同じバージョンのSD-WANソフトウェアを実行する必要があるため、更新されたソフトウェアバージョンのCitrix Virtual Apps and Desktops Standard for Azure SD-WANインスタンスへの展開は、ネットワークの保守スケジュールと制約に従って顧客が管理する必要があります。。

SD-WANルーティングおよびファイアウォールルールの構成が正しくない、またはSD-WAN管理パスワードの管理が不適切である場合、Citrix Virtual Apps and Desktops Standard for Azureの仮想リソースと、Citrix SD-WAN仮想パスを介して到達可能なオンプレミスのリソースの両方にセキュリティ上のリスクが生じる可能性があります。もう 1 つのセキュリティリスクは、Citrix SD-WANソフトウェアを最新のパッチリリースに更新しないことによるものです。SD-WAN Orchestratorおよびその他のCitrix Cloudサービスではこのようなリスクに対処する方法が提供されますが、仮想SD-WANインスタンスが適切に構成されていることを確認する責任は最終的には顧客にあります。

プロキシ

顧客は、VDAからの送信トラフィックにプロキシを使用するかどうかを選択できます。プロキシを使用する場合、顧客は以下の責任を負います。

  • VDAマスターイメージのプロキシ設定、またはVDAがドメインに参加している場合は、Active Directory グループポリシーを使用してプロキシ設定を構成します。
  • プロキシのメンテナンスとセキュリティ。

プロキシは、Citrix Cloud Connectorやその他のCitrix管理インフラストラクチャでは使用できません。

カタログの復元性

Citrixでは、復元レベルの異なる3種類のカタログが用意されています。

  • 静的: 各ユーザーが単一のVDAに割り当てられます。このカタログの種類は、高可用性を提供しません。ユーザーのVDAがダウンした場合、リカバリするには新しいVDAに配置する必要があります。Azureは、単一インスタンスのVMに対して99.5%のSLAを提供します。顧客がユーザープロファイルをバックアップすることはできますが、VDAに対するカスタマイズ(プログラムのインストールやWindowsの構成など)はすべて失われます。
  • ランダム: 各ユーザーは、起動時にサーバーVDAにランダムに割り当てられます。このカタログタイプは、冗長性によって高可用性を提供します。VDAが停止しても、ユーザーのプロファイルが別の場所に存在するため、情報は失われません。
  • Windows 10マルチセッション: この種類のカタログは「ランダム」と同じように動作しますが、サーバーVDAではなくWindows 10ワークステーションVDAを使用します。

ドメインに参加しているカタログのバックアップ

顧客がドメインに参加しているカタログを VNet ピアリングとともに使用する場合は、顧客の責任でユーザープロファイルをバックアップします。顧客は、オンプレミスのファイル共有を構成し、Active Directory またはVDAでポリシーを設定して、これらのファイル共有からユーザープロファイルを取得Citrix。顧客は、これらのファイル共有のバックアップと可用性について責任を負います。

障害回復

Azureのデータが失われた場合、Citrixが管理するAzureサブスクリプション内のリソースをできるだけ多く回復します。Citrix はCloud ConnectorとVDAの復旧を試みます。Citrixがこれらの項目の復旧に失敗した場合、顧客は新しいカタログを作成する責任があります。Citrixでは、マスターイメージがバックアップされ、ユーザーがユーザープロファイルをバックアップしたと想定しているため、カタログの再構築が可能になります。

Azureリージョン全体が失われた場合、顧客は、新しいリージョンで顧客管理仮想ネットワークを再構築し、Citrix Virtual Apps and Desktops Standard for Azure内に新しいVNetピアリングまたは新しいSD-WANインスタンスを作成する責任があります。

Citrixと顧客の責任分担

ドメインに参加しているカタログ用のCitrix Cloud Connector

Citrix Virtual Apps and Desktops Standard for Azureでは、各リソースの場所に少なくとも 2 つの Cloud Connectorが展開されます一部のカタログは、同じ顧客の他のカタログと同じリージョン、VNet ピアリング、およびドメインにある場合、リソースの場所を共有することがあります。Citrixは、顧客のドメインに参加しているCloud Connectorを、イメージ上の次のデフォルトのセキュリティ設定用に構成します。

  • オペレーティングシステムの更新とセキュリティパッチ
  • ウイルス対策ソフトウェア
  • Cloud Connector ソフトウェアアップデート

通常、顧客はCloud Connectorにアクセスできません。ただし、カタログのトラブルシューティング手順を使用し、ドメインの資格情報を使用してログインすることで、アクセスを取得できます。踏み台マシンからログインするときに行った変更については、顧客が責任を負います。

また、Active Directory グループポリシーを使用して、ドメインに参加しているCloud Connectorを制御することもできます。顧客は、Cloud Connector に適用されるグループポリシーが安全で適切であることを確認する責任があります。たとえば、顧客がグループポリシーを使用してオペレーティングシステムの更新を無効にする場合、Cloud Connectors でオペレーティングシステムの更新を実行する責任は顧客が負います。また、別のウイルス対策ソフトウェアをインストールするなど、Cloud Connectorのデフォルトよりも厳格なセキュリティを適用するために、グループポリシーを使用することもできます。通常、ポリシーなしでCloud Connectorを独自のActive Directory 組織単位に配置することをお勧めします。これにより、Citrixが使用するデフォルト設定を問題なく適用できます。

トラブルシューティング

Citrix Virtual Apps and Desktops Standard for Azureのカタログで問題が発生した場合、トラブルシューティングには踏み台の使用とRDPアクセスの有効化という2つのオプションがあります。どちらのオプションも、顧客にセキュリティ上のリスクをもたらします。顧客は、これらのオプションを使用する前に、このリスクについて理解し、同意する必要があります。

Citrixは、トラブルシューティング操作を実行するために必要なポートの開閉と、これらの操作中にアクセスできるマシンの制限を行います。

踏み台または RDPアクセスのいずれかでは、操作を実行するアクティブなユーザーが、アクセスされるマシンのセキュリティの責任を負います。顧客がRDP経由でVDAまたはCloud Connector にアクセスし、誤ってウイルスに感染した場合には、顧客の責任となります。Citrixサポート担当者がこれらのマシンにアクセスする場合、操作を安全に実行するのはその担当者の責任です。踏み台または他のマシンにアクセスするすべてのユーザーによって公開される脆弱性に関する責任範囲(たとえば、許可リストにIP範囲を追加する顧客の責任、IP範囲を正しく実装するCitrix の責任)については、このドキュメントの他の場所で説明します。

どちらのシナリオでも Citrix RDPトラフィックを許可するファイアウォールの例外を正しく作成する必要があります。また、Citrix Virtual Apps and Desktops Standard for Azure経由で、顧客が踏み台マシンを破棄するか、RDPアクセスを終了した後も、これらの例外を取り消す責任があります。

踏み台マシン

Citrix は、顧客のCitrixが管理するサブスクリプション内で、顧客のCitrixが管理する仮想ネットワークに踏み台マシンを作成して問題を診断および修復することができます。これは、プロアクティブに(顧客への通知なく)、または顧客が提起した問題に対して行うことができます。踏み台とマシンは、ユーザーがRDP経由でアクセスし、RDP経由でVDAと(ドメインに参加しているカタログの場合)Cloud Connectorにアクセスするために使用できるマシンです。これにより、ログの収集、サービスの再起動、またはその他の管理タスクを実行できます。デフォルトでは、踏み台マシンを作成すると、顧客が指定した範囲の IP アドレスから踏み台マシンへの RDP トラフィックを許可する外部ファイアウォール規則が開きます。また、RDPを介したCloud ConnectorおよびVDAへのアクセスを許可する内部ファイアウォールルールも開かれます。これらのルールを開くと、大きなセキュリティリスクが生じます。

顧客は、ローカルWindowsアカウントにされている強力なパスワードを入力する責任があります。顧客は、踏み台マシンへの RDP アクセスを許可する外部 IP アドレス範囲を提供する責任もあります。顧客がIP範囲を提供しない(すべてのユーザーがRDPアクセスを試みることを許可する)場合、悪質なIPアドレスによって試みられたアクセスについては、顧客の責任となります。

また、トラブルシューティングの完了後に踏み台マシンを削除する責任も顧客にあります。踏み台ホストは追加の攻撃対象領域を公開するため、Citrixはマシンの電源が入ってから8時間後に自動的にシャットダウンします。Citrixにより踏み台マシンが自動的に削除されることはありません。顧客が踏み台マシンを長期間使用することを選択した場合、パッチの適用と更新は顧客が担当します。踏み台マシンは、数日間のみ使用した後は削除することをCitrixではお勧めしています。顧客が最新の踏み台マシンを希望する場合は、現在の踏み台マシンを削除してから、新しい踏み台マシンを作成します。これにより、最新のセキュリティパッチを適用した新しいマシンがプロビジョニングされます。

RDP アクセス

ドメインに参加しているカタログでは、顧客のVNetピアリングが機能している場合、ピアリングされたVNetからCitrixが管理するVNetへのRDPアクセスを有効にできます。顧客がこのオプションを使用する場合、VNetピアリングを介してVDAとCloud Connectorにアクセスする責任は顧客が負います。顧客の内部ネットワーク内であっても、RDP アクセスをさらに制限できるように、送信元 IP アドレスの範囲を指定できます。顧客は、ドメイン認証情報を使用してこれらのマシンにログインする必要があります。顧客がCitrix サポートと協力して問題を解決する場合、顧客はこれらの資格情報をサポート担当者と共有する必要があります。問題が解決したら、RDP アクセスを無効にする責任は顧客にあります。顧客のピアリングまたはオンプレミスネットワークからの RDP アクセスをオープンにしておくと、セキュリティリスクが生じます。

ドメイン資格情報

ドメインに参加しているカタログを使用する場合は、マシンをドメインに参加させる権限を持つドメインアカウント(ユーザー名とパスワード)をCitrix Virtual Apps and Desktops Standard for Azureに提供する責任があります。ドメイン認証情報を提供する場合、顧客は、次のセキュリティ原則を遵守する責任があります。

  • 監査可能: アカウントの使用目的を簡単に監査できるように、Citrix Virtual Apps and Desktops Standard for Azure使用専用にアカウントを作成する必要があります。
  • スコープ付き: このアカウントでは、マシンをドメインに参加させるためのアクセス許可のみが必要です。これは、完全なドメイン管理者であってはなりません。
  • 安全性: アカウントには強力なパスワードが必要です。

Citrixは、顧客のCitrixが管理するAzureサブスクリプション内のAzure Key Vaultにこのドメインアカウントのセキュアに保管する責任があります。アカウントが取得されるのは、操作にドメインアカウントのパスワードが必要な場合だけです。

詳細情報の表示

関連情報については、以下を参照してください。

セキュリティの技術概要