Citrix Access Control

寄稿者

著者: Nagaraj Manoli

謝辞:

Praveen Raghuraman Allen Furmanski

オーディエンス

この文書は、Citrix CloudのAccess Controlサービスを探索して採用したいCitrixの技術専門家、IT意思決定者、パートナー、およびセキュリティコンサルタントを対象としています。読者は、Citrix製品、セキュリティ、およびCitrix Cloudフレームワークに関する基本的な知識を持っている必要があります。Citrix Cloudとそのサービスの詳細については、Citrix Cloudの公式製品ドキュメントを参照してください。

このドキュメントの目的

このドキュメントでは、Citrix Access Controlとクラウドアプリへの条件付きアクセスを提供し、インターネットブラウジングによって組織の全体的なセキュリティとコンプライアンスの姿勢を強化するアーキテクチャの技術的な概要を説明します。Citrix Access Controlは、複数のCitrix Cloudサービスの要素を組み合わせて、エンドユーザーと管理者に統合されたエクスペリエンスを提供します。

この文書は、Citrix Gateway サービスおよびSecure Browserを含む複数のCitrix Cloudサービスと統合されたCitrix Access Controlを使用して、統合されたソリューションで安全なデジタルWorkspace を提供するためのアプローチについて管理者に指示します。ユーザーの動作とアクティビティを監視するために、Citrix Access ControlとCitrix Analytics を統合します。

セキュリティ制御と緩和

今日のビジネスの世界では、ユーザーデータは最も貴重な商品の1つであり、組織はますます価値を見出し続けています。組織で発生する違反のほとんどは、セキュリティ制御が不十分、内部ユーザーに過剰な権限が付与されていること、ネットワークベースのセキュリティ制御に過剰依存していることが原因です。残念なことに、多くの企業が、環境を強化するための安全な詳細なアプローチを真に採用することができませんでした。

組織内の多くのIT部門は、ますます増え続けるエンタープライズSaaSベースのアプリケーションにアクセスするユーザーへのアクセスを制御するソリューションを持っていません。企業データが管理されていない SaaS アプリとやり取りする可能性があるセキュリティリスクに加えて、複数のアプリにログインすることでユーザーの生産性が低下します。さらに、複数のパスワードを記憶しておくと、パスワード習慣が悪くなったり、複数のサイトで同じパスワードが使用されたりすることがあります。

インターネットを閲覧することは、今日の企業にとって別のリスクをもたらします。攻撃のほとんどは、セキュリティの専門家によると、ウェブサイト、ブラウザ、ブラウザプラグインの脆弱性を悪用しています。それに対応して、インターネットブラウジングを完全に禁止している組織もあり、生産性に深刻な影響を及ぼします。

一部の Web および SaaS アプリでは、正しく機能するために特定のブラウザのバージョンまたはプラグインが必要です。ブラウザ・ランドスケープが急速に変化するに伴い、企業WebおよびSaaSアプリケーションの使いやすさを確保することで、リソースを消費するサポート・タスクに迅速にマウントできます。

多くのIT部門は、SaaSアプリケーションの管理戦略を完全に定義していないため、セキュリティとコンプライアンスの重大なリスクが生じます。他には、断片化されたアプローチがあり、次のような複数のポイントソリューションが得られます。

  • シングルサインオンソリューションのデプロイ: これにより、ユーザーエクスペリエンスが合理化され、多要素認証を含めることができますが、通常、これらのソリューションでは、ユーザーがサインインすると、アプリに対する詳細なポリシー制御は行われません。

  • Web フィルタリングを展開して外部ブラウジングを制御またはシャットダウンする: これは、悪意のある Web サイトにアクセスするのを防ぐためのポイントソリューションです。ただし、機能はSaaSアプリケーションのセキュリティポリシーに足りないため、多くのお客様は、WebGateway に加えて複数のソリューションを導入できます。

  • 各SaaSアプリケーションのブラウザーの公開:Citrix Virtual Apps and Desktopsを使用したWebブラウザーの公開は、未認可のSaaSアプリケーション、インターネット上のWebサイトの「不明」カテゴリへのアクセスを制御し、ユーザーに単一のポータルを表示するための 時間をかけてテストされた方法です。SaaS および仮想アプリケーション用。ただし、管理にITリソースを追加する必要はなく、ブラウザ経由でSaaSアプリに直接接続するのと同じユーザーエクスペリエンスではありません。

  • SaaSアプリケーションの管理を企業内の部門別の管理に委ねる: これにより、セキュリティとコンプライアンスのギャップが開かれ、ユーザーの行動やアプリケーションの使用状況を理解する機会が失われますが、リソースが限られている場合、ITにとってはデフォルトの戦略となります。

Citrix は、セキュリティを考慮しない従来の方法とは対照的に、ユーザー中心のアプローチで、認可されたSaaSおよびWebアプリケーションへのアクセスを保護するためのより良い方法を考え出しました。Citrix Workspace、SaaS、Web、Virtual Desktops およびアプリケーションへのコンテキスト的かつ安全なアクセスを提供し、内部および外部からの脅威にさらされるリスクを軽減し、コンテンツコラボレーションを保護し、ユーザーの行動分析とプロアクティブなセキュリティ洞察を提供します。

AC-Image-1

上の図は、従来のCitrix環境を示しています。エンドポイントはCitrix ADCを介して接続し、リソースにアクセスしています。アプリケーション、デスクトップ、データなどのこれらのリソースは、オンプレミスからアクセスされ、外部リソースの一部は、SaaS ベースのアプリケーションを含むインターネットを介してアクセスされます。ユーザーは、Secure Gateway およびWebフィルタリングサービスを通じて、これらの外部リソースに安全にアクセスしています。

Workspace アプリは、任意のデバイスからリソースにアクセスするための単一のエントリポイントです。Workspace アプリは、組み込みブラウザエンジンによって強化されたセキュリティでエンドユーザーに独自の機能を提供します。Workspaceアプリ内のネットワーキングエンジンは、ネットワークトラフィックを最適化し、特定のアプリケーションのためのSSL VPNだけでなく、Micro VPN機能を提供します. エンドユーザーは、Citrix ADCを介して接続され、IDとアクセス管理機能を提供します。

セキュリティモニタリングは、エンドユーザの動作とネットワーク内の脅威検出を提供します。データのセキュリティには、ユーザーがファイルを操作したり、ファイルを共有したりしてデータを制御したりするときの DLP と IRM が含まれます。Citrix Cloud Webフィルタリングでは、アナリティクス、Citrix Gateway のサービスによって、エンドユーザーに安全なデジタルWorkspace を提供するための統合ソリューションが提供されます。

Citrix Access Control

Citrix Access Control は、シングルサインオン(SSO)によるSaaSおよびWebアプリケーションへの瞬時の安全なアクセス機能、およびブラウザとクラウドベースのアプリ制御のWebフィルタリングポリシーと統合されたユーザー行動分析機能を組み合わせています。Citrix Access Controlは、クラウドアプリ制御を導入することで、従来のSSO機能を超えています。 クラウドアプリ制御 とは、SaaSおよびエンタープライズWebアプリ向けの強化されたセキュリティ制御のセットで、クラウドアプリへの条件付きアクセスを提供し、管理者が管理するアクセスポリシーに基づいてユーザーアクションを保護します。このソリューションは、組織の全体的なセキュリティとコンプライアンスの姿勢を強化します。Citrix Workspaceの統合部分として、モバイル、仮想アプリケーション、デスクトップと並んでSaaSおよびWebアプリケーションにアクセスできるため、ユーザーの操作性はシームレスで統合されています。

Citrix Access Controlは、複数のCitrix Cloudサービスの要素を組み合わせて、エンドユーザーと管理者に統合されたエクスペリエンスを提供します。

機能 サービス/機能を提供するコンポーネント
アプリにアクセスするための一貫したUI Workspaceエクスペリエンス/WS アプリ
SaaSおよびWebアプリケーションへのSSOの提供 Citrix Gateway サービス標準
Web フィルタリングと分類 Web フィルタリングサービス
SaaS のセキュリティポリシーの強化 クラウドアプリの制御
安全なブラウジング Secure Browserサービス
ウェブサイトへのアクセスと危険な行動の可視化 Citrix Analytics

Citrix Access Controlが選ばれる理由

データのセキュリティは、多くの場合、データの整合性、機密性の確保、および企業の知的財産の保護の必要性によって特徴付けられます。現在、組織は次のようなさまざまな課題に直面しています。

  • 管理が困難で、異なるポリシー・インフラストラクチャを持つ複数のポイント製品
  • 企業情報にアクセスするためのエンド・ユーザーへの安全なリモート・アクセスの提供
  • クラウドおよびSaaSアプリに保存された知的財産を保護し、コンプライアンスを維持
  • SSO 後にクラウドおよび SaaS アプリケーションを可視化し、リスク評価を取得

Citrix Access Controlは、IT管理者およびセキュリティ管理者が、認可されたSaaSおよびエンタープライズホストWebアプリケーションへのエンドユーザーアクセスを管理するのに役立ちます。ユーザー ID と属性はアクセス権限を決定するために使用され、アクセス制御ポリシーは操作の実行に必要な権限を決定します。

AC-Image-2

Citrix Access Controlの統合により、次のようなメリットが得られます。

  • SaaS アプリとホスト型アプリへのシングルサインオンによるシームレスなユーザーエクスペリエンス: この機能は、Workspace アプリと Gateway サービスの組み合わせによって実現されます。

  • SaaSアプリケーションの配信とアクセスを組織化してIT部門の制御を強化: IT部門は、SaaSアプリケーションを従業員に容易に割り当てる方法を提供します。

  • SaaS の使用に関するポリシー制御によるセキュリティの強化: クラウドアプリコントロールと呼ばれ、IT 部門が従業員に提供する SaaS アプリケーションにセキュリティポリシーを適用する方法を提供する新機能です。

  • セキュリティを犠牲にすることなく、公共のインターネットコンテンツや未知のSaaSアプリケーションへの制御アクセスを可能にする柔軟性: この機能は、Secure BrowserとWebフィルタリング機能を組み合わせて提供されるため、Webサイトをホワイトリスト/ブラックリストに登録したり、隔離されたブラウザでレンダリングしたりできます。

  • SaaSの使用状況とユーザーのWebアクティビティの可視性: この機能により、Citrix Analytics for SaaSとWebアクティビティのサブセットが提供され、セキュリティとコンプライアンスの可視性が向上します。

Citrix Access ControlとCitrix Cloud

Citrix Access Controlは、Citrix Cloudが提供するサービスの1つです。これらのサービスにアクセスするには、管理者はCitrixアカウント(Citrix.comまたはMy Citrixアカウントとも呼ばれます)を持っている必要があり、ライセンスを管理して環境にアクセスする必要があります。

Citrix アカウントは、組織ID(OrgID)を一意の識別子として使用します。管理者は、アカウントにリンクされたユーザー名またはメールアドレスでhttps://www.citrix.comにログインして、Citrix アカウントにアクセスできます。まず、Citrix Cloudがhttps://citrix.cloud.comに移動してアカウントを作成するか、既存のCitrixアカウントでサインインして、クラウドサービスの証跡をアクティブにします。

Citrix Cloudアカウントを使用すると、管理者はサービスに対する幅広い管理アクセス権を持つことができます。したがって、Citrix Cloudアカウントを作成した最初の管理者は、他の管理者が既存のMyCitrixアカウントのメンバーである場合でも、必要に応じて明示的に他の管理者にアクセスできるようにする必要があります。

Citrix Access Controlは、Citrix Gatewayサービス、Webフィルタリングサービス、Secure Browserサービス、およびCitrix Analytics間の統合を含むタイルとソリューションです。

AC-Image-3

Access Control: Citrix Access Controlサービスは、シングルサインオン、リモートアクセス、コンテンツ検査を単一のソリューションに統合し、エンドツーエンドのアクセス制御を実現します。

Access Controlは、管理者に次の機能を提供します。

  • エンドユーザーの多要素認証の構成
  • 任意のデバイスからアプリへのアクセスを安全に配信するようにWorkspace を構成し、ライブラリから SaaS アプリケーションを管理および追加する
  • Webフィルタリングを構成して、エンドユーザーにWebサイトを許可/ブロックし、Citrix Secure Browser サービスにリダイレクトします。

分析: Citrix Analytics はCitrix製品ポートフォリオ全体でデータを収集し、実用的な洞察を生成することで、管理者はユーザーとアプリケーションのセキュリティの脅威をプロアクティブに処理し、アプリのパフォーマンスを向上させ、継続的な運用をサポートできます。Citrix Analytics はデータを収集し、次の洞察を提供します。

  • セキュリティ分析
  • パフォーマンス分析
  • オペレーション分析

Gateway: Citrix Gateway サービスは、安全なリモートアクセスソリューションを提供し、構成されたSaaSアプリケーション、異種仮想アプリケーション、およびデスクトップの統一されたユーザーエクスペリエンスを提供します。Citrix Gateway サービスを使用したSaaSアプリケーションの配信は、アプリを管理するための簡単で安全で堅牢でスケーラブルなソリューションを提供します。クラウド上で提供されるSaaSアプリには、次のような利点があります。

  • シンプルな構成-操作、更新、消費が容易
  • シングルサインオン-SSO を使用した手間のかからないログオン
  • さまざまなアプリの標準テンプレート-一般的なアプリのテンプレートベースの構成

Secure Browser: Citrix Secure Browser サービスは、Webブラウジングを分離し、企業ネットワークをブラウザベースの攻撃から保護します。これは、ユーザーデバイス構成を必要とせずに、インターネットでホストされているWebアプリケーションへの一貫した安全なリモートアクセスを提供します。

管理者は、セキュアなブラウザーをすばやく展開することで、即時に価値を提供します。IT管理者は、インターネット閲覧を分離することで、企業ネットワークのセキュリティを損なうことなく、エンドユーザーに安全なインターネットアクセスを提供します。

IDおよびアクセス管理

IDおよびアクセス管理は、Citrix Cloudとそのオファリングの管理者および利用者が使用する、IDプロバイダーおよびアカウントを定義します。Citrix Cloudは、Citrix IDプロバイダーを使用して、Citrix Cloudアカウントのユーザーのアイデンティティ情報を管理します。管理者は、Azure Active Directory またはオンプレミスの Active Directory サービスを使用するオプションがあります。

管理アクティビティを実行し、Citrix CloudにCitrix Cloud Connectorをインストールするには、Citrix管理者は自分のアイデンティティを使用してCitrix Cloudにアクセスします。この ID メカニズムは、電子メールアドレスとパスワードを使用して管理者に認証を提供します。また、管理者は自分のCitrix資格情報を使用してCitrix Cloudにサインインすることもできます。

AC-Image-4

加入者のIDは、Citrix Cloudでアクセスできるサービスを定義します。ID は、リソースの場所内のドメインから提供された Active Directory ドメインアカウントから取得されます。サブスクライバは、ライブラリオファリングにサブスクライバを割り当てることによって、Citrix Cloudからオファリングへのアクセスを許可できます。

オンプレミスのActive Directory とCitrix Cloudウドとの通信は、高可用性のCitrix Cloud Connectorを介して行われます。Azure Active Directory サービスを使用する組織は、ユーザーアカウント、監査制御、およびパスワードポリシーをより柔軟に管理できます。また、管理者は多要素認証を構成して、より高いレベルのセキュリティを実現できます。

SaaSアプリケーションのセキュリティを強化したCitrix Access Control

Citrix Cloudは、Citrix Gateway サービスを通じてSaaSアプリケーションにシングルサインオン機能を提供します。SSOは、WebベースのSaaSアプリケーションのSSOとCitrix Workspace エクスペリエンスのユーザーインターフェイスへの公開のための統一されたユーザーエクスペリエンスを提供します。シングルサインオンユーザーエクスペリエンスを有効にするには、SaaSアプリはCitrix Gateway サービスによって提供されるSAMLアサーションを信頼します。

SaaS アプリケーションへのシングルサインオンを有効にするプロセスは、数の Web フォームで、設定ページをクリックするだけで簡素化されました。Citrix Gateway Connectorは、内部WebベースのSaaSアプリケーションへのプロキシを、Workspaceアプリユーザーに提供します。

参考資料:Citrix Gateway Connector

コンテンツコントロール

ユーザーデータ(SaaSアプリケーションユーザー)の保護は、ほとんどの組織にとって困難な作業です。Citrix Access Controlを使用すると、SaaSアプリケーションに拡張セキュリティポリシーが組み込まれます。各ポリシーでは、デスクトップ用の Workspace アプリを使用する場合は埋め込みブラウザに制限が適用され、Workspace アプリの Web またはモバイルを使用する場合はSecure Browserの制限が適用されます。

  • 優先ブラウザ:ローカルブラウザ の使用を無効にし、組み込みブラウザエンジン(Workspaceアプリ-デスクトップ)またはSecure Browserサービス(Workspaceアプリ-モバイルおよびウェブ)に依存する
  • クリップボードへのアクセスを制限する: アプリとエンドポイントのクリップボード間の切り取り/コピー/貼り付け操作を無効にします。
  • 印刷を制限する: アプリブラウザ内から印刷する機能を無効にします。
  • ナビゲーションを制限する: 次または後方ブラウザボタンを無効にします。
  • ダウンロードを制限する: SaaS アプリ内からユーザーがダウンロードできないようにします。
  • ウォーターマークの表示: エンドポイントのユーザー名と IP アドレスを示すスクリーンベースのウォーターマークをオーバーレイします。ユーザーがスクリーンショットを印刷または撮ろうとすると、透かしが画面に表示されるように表示されます

セキュリティ強化なしのCitrix Access Controlシングルサインオン

AC-Image-5

SL NO 認可された SaaS アプリを使用したWorkspaceアプリ 認可されたSaaSアプリを備えたローカルブラウザ
1 ユーザーがエンドポイントで Workspace アプリを起動します。 ユーザーは、エンドポイントで Web ブラウザーを起動し、Workspaceに接続し、オンプレミスの Active Directory または Azure Active Directory を使用して認証します。
2 Workspace アプリはWorkspaceに接続し、オンプレミスのActive Directory/Azure Active Directory を使用して認証します。 ローカルブラウザに承認されたリソースが移入されます。
3 Workspaceアプリに承認されたリソースが移入されます。 ユーザーが SaaS アプリケーションを選択すると、ローカルブラウザーは Workspace にリクエストを送信します。Workspace は、ワンタイム使用の URL と推奨ブラウザーをGatewayサービスから要求します。
4 Workspace アプリは Workspace にリクエストを送信します。このリクエストは、Gateway サービスおよび優先ブラウザーから 1 回限りの使用する URL を要求します。 ローカルブラウザがGatewayサービスへの接続を開始します。
5 ローカルブラウザがGatewayサービスへの接続を開始します。 Gatewayサービスは、Single Sign-Onマイクロサービスからのアサーションを要求します。
6 Gatewayサービスは、Single Sign-Onマイクロサービスからのアサーションを要求します。 ローカルブラウザは、アサーションが表示されるSaaSアプリケーションのログインページにリダイレクトされます。
7 ローカルブラウザは SaaS アプリのログインページにリダイレクトされ、アサーションが表示されます。 SaaS アプリケーションは Gateway サービスに接続してアサーションを検証し、ユーザーを認証します。
8 SaaS アプリは Gateway サービスに接続してアサーションを検証し、ユーザーを認証します。 認証されると、ブラウザとSaaSアプリケーション間で直接通信が行われます。
9 認証されると、ブラウザとSaaSアプリケーション間で直接通信が行われます。  

Access Control-セキュリティ強化によるシングル・サインオン

AC-Image-6

SL NO 認可された SaaS アプリを使用したWorkspaceアプリ 認可されたSaaSアプリを備えたローカルブラウザ
1 ユーザーがエンドポイントで Workspace アプリを起動します。 ユーザーは、エンドポイントで Web ブラウザーを起動し、Workspaceに接続し、オンプレミスの Active Directory または Azure Active Directory を使用して認証します。
2 Workspace アプリはワークスペースに接続し、オンプレミスのActive Directory/Azure Active Directory を使用して認証します。 ローカルブラウザに承認されたリソースが移入されます。
3 Workspaceアプリに承認されたリソースが移入されます。 ユーザーが SaaS アプリケーションを選択すると、ローカルブラウザーは Workspace にリクエストを送信します。Workspace は、ワンタイム使用の URL と推奨ブラウザーをGatewayサービスから要求します。
4 Workspace アプリは Workspace にリクエストを送信します。このリクエストは、Gatewayサービスからワンタイム使用の URL を要求します。 ローカルブラウザがSecure Browser接続を開始します。
5 組み込みブラウザが Gateway サービスへの接続を開始します。 Secure BrowserがGatewayサービスへの接続を開始します。
6 Gatewayサービスは、Single Sign-Onマイクロサービスからのアサーションを要求し、Access Controlサービスからのセキュリティ強化ポリシーを要求します。 Gatewayサービスは、SSO マイクロサービスからのアサーションを要求し、Access Controlサービスからの拡張セキュリティポリシーを要求します。
7 埋め込みブラウザは SaaS アプリのログインページにリダイレクトされ、アサーションが表示されます。 Secure Browserは、アサーションが表示される SaaS アプリのログインページにリダイレクトされます。
8 SaaS アプリケーションは Gateway サービスに接続してアサーションを検証し、ユーザーを認証します。 SaaS アプリケーションは Gateway サービスに接続してアサーションを検証し、ユーザーを認証します。
9 認証されると、ブラウザとSaaSアプリケーション間で直接通信が行われます。 認証されると、ブラウザとSaaSアプリケーション間で直接通信が行われます。

参考資料:Citrix Access Control技術概要

コンテキストアクセス

ほとんどの SaaS アプリは安全に使用できますが、ユーザーが SaaS アプリ内のハイパーリンクをクリックすると、組織にセキュリティ上のリスクが生じることがあります。Webフィルタリングマイクロサービスは、ユーザからのハイパーリンク要求を許可拒否またはリダイレクトします。

AC-Image-7

SL NO セキュリティが強化されたWorkspaceアプリ セキュリティが強化されたローカルブラウザ
1 ユーザーは SaaS アプリ内からハイパーリンクを選択します。 ユーザーは SaaS アプリ内からハイパーリンクを選択します。
2 Workspace アプリケーション内の埋め込みブラウザが URL をAccess Controlサービスに送信します。 Secure BrowserがAccess Controlサービスに URL を送信
3 Access Controlサービスは、WebフィルタリングマイクロサービスによるURLの分析を要求します Access Controlサービスは、WebフィルタリングマイクロサービスによるURLの分析を要求します。
4 ブロックされたリンクの場合、Web フィルタリングマイクロサービスはハイパーリンクへのアクセスを拒否します。 ブロックされたリンクの場合、Web フィルタリングマイクロサービスはハイパーリンクへのアクセスを拒否します。
5 承認されたリンクの場合、Webフィルタリングマイクロサービスは、ユーザーが組み込みブラウザを使用してリンクにアクセスすることを可能にします。 承認されたリンクの場合、Web フィルタリングマイクロサービスにより、ユーザーは現在のSecure Browserサービスセッション内で新しいタブとしてリンクにアクセスできます。
6 リダイレクトされたリンクの場合、Web フィルタリングのマイクロサービスでは、Workspace アプリがSecure Browserサービスにリンクを送信し、エンドユーザー用の新しい仮想ブラウザセッションを開始します。 リダイレクトされたリンクの場合、Web フィルタリングマイクロサービスにより、ユーザーは現在のSecure Browserサービスセッション内で新しいタブとしてリンクにアクセスできます。

Web フィルタリングの概要

Web フィルタリングは、URL に含まれる情報を使用して Web サイトをポリシーベースで制御できるようにします。これにより、ネットワーク管理者は、ネットワーク上の悪意のある Web サイトへのユーザーアクセスを監視および制御できます。

このサービスリリースでは、SaaSアプリケーションとインターネットにアクセスするCitrix Workspace アプリケーションのWebフィルタリングを有効にし、SaaSとインターネットにアクセスするCitrix Secure Browser ーを有効にします。

AC-Image-8

Citrix Access Control管理者は、URLのリストをブロックおよび許可できます。Webフィルタリングコントローラー は、分類データベースとURLリストを使用します。リクエストがWebフィルタリングController に送信されると、まずグローバル許可リストをチェックします。このリストには、重要なCitrix CloudのURLも含まれています。そして、それはリストと分類に来て、ブロックされ、許可され、Secure BrowserのURLにリダイレクトして検証します。いずれのURLも一致しない場合、デフォルトではデフォルトのリストに戻ります。

Citrix Access ControlとCitrix Analytics

Citrix Analytics サービスは、Citrix製品ポートフォリオ全体にわたってデータを収集することにより、実用的な洞察を促進するクラウドベースのサービスです。Citrix Access Controlは、訪問したWebサイトや消費された帯域幅など、ユーザーのアクティビティに関する情報を整理し、生成します。Citrix Access Controlは、帯域幅の消費を調べてレポートすることで、マルウェアやフィッシングサイトも監視します。管理者は、これらの主要なメトリックを使用してネットワークを監視することで、修正アクションを実行できます。

Citrix Analytics は、Citrix Access Control、Citrix Gateway サービス、およびその他のCitrixポートフォリオ製品と容易に統合できます。Citrix Analytics では、ユーザーの行動に関する包括的な洞察が提供されます。マシン学習アルゴリズムを使用して、異常なユーザー行動の検出、ユーザーセッションのトラブルシューティング、およびCitrix 製品を使用する組織内のユーザーの操作指標の表示を行います。

Citrixのサービスおよび製品は、データソースと呼ばれるCitrix Analyticsにデータを送信します。Citrix Cloudアカウントに関連付けられたこれらのデータソースは、Citrix Analytics サービスによって自動的に検出されます。Citrix Cloudのログは、Citrix Analytics に安全に送信されます。ログはCitrix Access Controlから収集され、データソースとは別に管理されます。

AC-Image-9

Citrix Access Controlサービスは、セキュリティダッシュボードと操作ダッシュボードを提供します。セキュリティの下では、ユーザーのリスクプロファイル、ユーザーが実行したユーザーアクセスの概要アクティビティ(訪問したURL、ドメインおよび使用される帯域幅など)を提供します。アプリアクセスは、ユーザーがアクセスするドメイン、URL、アプリの詳細をまとめたものです。

参考資料:Citrix Access ControlおよびAnalytics

AC-Image-10

Citrix管理者は、Citrix Analyticsでルールを作成して、異常なアクティビティや疑わしいアクティビティが発生したときにユーザーアカウントに対してアクションを実行できます。ルールは、アクションを実行するために満たさなければならない条件のセットです。ルールには、1 つの条件と 1 つ以上のアクションを含めることができます。「リスクスコア」「リスクスコアの変更」などの条件は、グローバルな条件です。グローバル条件は、特定のデータソースの特定のユーザーに適用できます。

管理者は、以下の条件を適用して、ユーザーのアクティビティに基づいてアクションを実行するルールを作成します。

  • **ブラックリストに登録されたURLにアクセスしてみます。 **ブラックリストに登録された URL にアクセスしようとしていることを示します。
  • **危険なウェブサイトアクセス。 **ユーザーが悪意のある、疑わしい、または危険な Web サイトにアクセスしようとしたことを示します。
  • **異常なダウンロードボリューム。 **アプリケーションまたはWebサイトからユーザーがダウンロードしたデータ量が、Citrix Analyticsで暗黙的に定義されたしきい値を超えたことを示します。
  • **異常なアップロードボリューム。 **アプリケーションまたはWebサイトからユーザーがアップロードしたデータ量が、Citrix Analyticsによって暗黙的に定義されたしきい値を超えたことを示します。

参考資料:Access ControlおよびAnalytics

Citrix Access Controlエンドユーザーエクスペリエンス

Citrix 管理者は、CitrixAccess Controlを使用してセキュリティ制御を拡張する権限を持っています。Citrix Workspace アプリは、すべてのリソースに安全にアクセスするためのエントリポイントであり、エンドユーザーはCitrix Workspace アプリを介して仮想アプリ、デスクトップ、SaaSアプリ、ファイルにアクセスできます。 Citrix Access Controlを使用すると、管理者はCitrix WorkspaceエクスペリエンスのWeb UIまたはネイティブCitrix Workspaceアプリクライアントを使用して、エンドユーザーがSaaSアプリケーションにアクセスする方法を制御できます。

Citrix Workspaceアプリについて詳しくは、リファレンス・アーキテクチャを参照してください。

Workspaceアプリと Web ポータルのエンドユーザーエクスペリエンス

AC-Image-11

AC-Image-12

ユーザーがエンドポイントで Workspace アプリケーションを起動すると、ユーザーには自分のアプリケーション、デスクトップ、ファイル、SaaS アプリケーションが表示されます。拡張セキュリティがオフのときにユーザーが SaaS アプリケーションをクリックすると、アプリケーションはローカルにインストールされている標準ブラウザーで開きます。管理者がセキュリティ強化を有効にしている場合、SaaS アプリは Workspace アプリ内の埋め込みブラウザーで開きます。 SaaS アプリケーションおよび Web アプリケーション内のハイパーリンクへのアクセスは、Web フィルタリングポリシーに基づいて制御されます。

同様に、Workspace Web ポータルでは、セキュリティが強化されると、SaaS アプリケーションがネイティブにインストールされている標準ブラウザから開かれます。セキュリティ強化を有効にすると、SaaS アプリはSecure Browserから開きます。ユーザーは、Webフィルタリングポリシーに基づいて、SaaSアプリ内のWebサイトにアクセスできます。

Citrix Access Controlの実装

Citrix Access Controlサービスは、クラウドベースのサービスです。組織にユーザー中心のソリューションを提供し、ポリシーを遵守するには、Citrix Access Controlが重要な役割を果たします。Citrix Access Controlに加えて、エンドユーザーに統合ソリューションを提供できるサービスもあります。Citrix Access Controlサービスのオンボーディングとセットアップを開始するには、管理者が認証をセットアップし、SaaSアプリケーションへのアクセスを構成し、Citrix Access Controlサービスでコンテンツアクセス設定を指定する必要があります。エンドユーザーは、Citrix Workspace アプリまたはWorkspaceURLからサービスにアクセスできます。

AC-Image-13

Citrix 管理者は、資格情報を使用してCitrix Cloudにログインし、Citrix Access Controlサービスを要求します。Citrix Access Controlは、Citrix Gateway、Secure Browser、Citrix Analyticsなど、他のCitrixポートフォリオ製品と統合されています。このソリューションは、SaaSアプリのセキュリティを提供します。

AC-Image-14

手順1: Citrix管理者がCitrix Cloud上でIDおよびアクセス管理を構成します。デフォルトでは、Citrix CloudはCitrix IDプロバイダーを使用して、Citrix Cloudアカウントのすべてのユーザーのアイデンティティ情報を管理します。管理者は、Azure Active Directory またはオンプレミスの Active Directory サービスを使用するように、これを変更することもできます。

手順2: Citrix管理者がCitrix Gatewayサービスにログインし、SaaSおよびWebアプリケーションへのシングルサインオンを構成します。Citrix Gateway サービスは、企業の環境への安全なログインを提供し、SAMLシングルサインオンを使用するアプリケーションにエンドユーザーがサインインします。

テンプレートからライブラリに Web アプリケーションまたは SaaS アプリケーションを追加します。Citrix Access ControlでサポートされているSaaSアプリケーションのリストの詳細については、以下のリンクを参照してください。

参考資料:Citrix Access ControlサービスでサポートされるSaaSアプリケーション

手順3: 管理者は、アプリケーションの名前、URL、ドメインの詳細などのアプリの詳細を入力します。データの漏洩を防ぐために、強化されたセキュリティポリシーが有効になっています。SaaS アプリケーション内のこれらのポリシーは、デスクトップ用の Workspace アプリケーションを使用するとき、または Workspace アプリケーションの Web またはモバイルを使用するときに Secure Browser で組み込みブラウザに制限を適用します。

AC-Image-15

手順4: 公開用にWeb/SaaSアプリケーションへのシングルサインオンを有効にする: Citrix Gateway サービス(クラウドサービスのみ)は、SaaSアプリケーションへのシングルサインオンを提供します。SaaSアプリケーションへのシングルサインオンを有効にするには、いくつかのWebフォームで簡素化され、設定ページをクリックするとデプロイメントプロセスが大幅に簡素化されます。管理者は、Gateway Connector を利用して、内部 Web ベースの SaaS アプリケーションアクセスを外部の Workspace アプリケーションユーザーにプロキシできます。

Citrix Cloudの[ライブラリ]セクションで、SaaSとWebアプリケーションが公開されます。管理者は、ドメインの選択からユーザーを追加する必要があります。サブスクライブされたユーザーのみが Workspace アプリまたは Workspace Web を介してアプリケーションにアクセスできます。

手順5: Webサイトのリストをフィルタリングする: 企業ネットワークをブラウザベースの攻撃から保護するために、Citrix Access ControlにはWebフィルタリングサービスが含まれています。ポリシーに基づいて、Webフィルタリングサービスは、以下に示すように、ユーザーからのハイパーリンク要求を許可、拒否、またはリダイレクトします。

許可: リクエストリンクは安全とみなされ、Workspace アプリ内の埋め込みブラウザ内でアクセスが許可されます。

ブロック: ハイパーリンクは危険とみなされ、アクセスが拒否されます。

リダイレクト:管理者は、Secure Browserサービスを通じてリダイレクト することにより、セキュリティ上の脅威を持つ可能性のあるウェブサイトに予防措置を講じます。

手順 6: Web サイトのカテゴリを絞り込む分類データベースは、ソーシャルネットワーキング、ギャンブル、アダルトコンテンツ、新しいメディア、ショッピングなど、特定の Web サイトへのエンドユーザーアクセスを制御する Web トラフィックをフィルタリングするのに役立ちます。カテゴリに基づき、特定のWebサイトやWebサイトカテゴリへのユーザーアクセスを制限します。

分類プリセットは、すぐに使える便利なテンプレートを提供します。  
セキュリティで保護されていない Web サイトや悪意のある Web サイトにアクセスするリスクを最小限に抑えます。エンドユーザーは、引き続き非常にリスクの低いWebサイトにアクセスできます。ほとんどの出張やソーシャルメディアのウェブサイトが含まれています。(133/192 カテゴリ)
リスクを最小限に抑えながら、セキュリティで保護されていないサイトや悪意のあるサイトからの暴露の可能性を低く抑えます。ほとんどのビジネストラベル、レジャー、ソーシャルメディアのウェブサイトが含まれています。(65/192 カテゴリ)
不正および悪意のある Web サイトからのリスクを制御しながら、アクセスを最大化します。(36/192 カテゴリ)
なし すべてのカテゴリを許可します。
カスタム カテゴリのカスタムフィルタを設定します。

参考資料:Citrix Access Controlのカテゴリ一覧

Citrix Workspace アプリは、ユーザーが任意のデバイス上で優れたエクスペリエンス(安全でコンテキストに沿った統一されたWorkspace)を提供します。ユーザーは、シングルサインオンによって、生産性を高めるために必要なすべてのアプリにシームレスで安全なアクセスを得ることができます。

構成を検証するために、エンドユーザーはCitrix Workspaceアプリ(またはCitrix WorkspaceWeb)からSaaSアプリケーションを起動できます。また、ユーザーは、URLにアクセスして、Webサイトのフィルタリングリストに追加された許可/ブロックされたWebサイトを確認することができます。Citrix Workspace アプリの組み込みブラウザを使用すると、管理者はSaaSアプリケーションへのネイティブアクセスを提供し、セキュリティ制御を強化できます。

Citrix Workspace アプリの詳細については、を参照してくださいCitrix Workspace アプリのリファレンスアーキテクチャ

手順7:Citrix Access ControlサービスとCitrix Analytics を統合して、訪問したWebサイトや消費された帯域幅などのユーザーのアクティビティに関する情報を取得します。Citrix Analytics では、マルウェアやフィッシングサイトなどの脅威検出がレポートされます。

管理者は、Citrix Analytics クラウドサービスにログインしてCitrixAccess Controlのルールを作成し、条件が満たされたときにアクションプランを適用できます。ユーザーの行動を監視および分析するには、Citrix Cloud上の分析のためにCitrix Access Controlの「データ処理を有効にする」を有効にします(データソースとは、Citrix Analyticsにデータを送信するCitrixサービスおよび製品です)。

AC-Image-16

Citrix Analytics Serviceは、機械学習と人工知能を使用して、ユーザーの活動や行動を監視します。Workspaceアプリ、Citrix Gateway、Citrix Access Control、Secure Browserサービスから収集されたCitrix Analyticsのデータソースです。

Citrix Access Controlの使用例

今日、組織は、必要なセキュリティ対策を講じたり、アプリケーションを保守したりすることなく、ビジネス要件に対応するために、SaaS(Software as a Service)ソリューションに向かっています。SaaS アプリケーションのセキュリティ障害のほとんどは、クラウドプロバイダーではなく、ユーザーが原因で発生します。組織は、これらの欠陥に対処するための戦略を規制する必要があります。

Citrix Access Controlは、SaaSアプリケーションのセキュリティポリシーを強化します(透かし、コピー&ペーストの制限、機密データのダウンロード/アップロードの防止)。また、Webフィルタリングの形でブロック/許可されるWebサイトのカテゴリやWebサイトのアクセスポリシーを定義します。

既存のブラウンフィールド展開 Citrix Access Controlの適合方法
Citrix Cloudサービスの導入を検討している組織。 1)Citrix Access Controlは、エンドユーザーにSaaS、SSO、Webフィルタリング機能のセキュリティを提供し、環境に適合します。2)オンプレミスモデルCitrix Gatewayを考えている組織は、エンドユーザーにSSOを提供し、セキュリティを強化するのに役立ちます。
すでにCitrix Gateway サービスを採用している組織。 1)Citrix Cloudは、Citrix Access Control、分析、SaaSとインターネットのセキュリティ制御を提供するセキュアブラウザなど、いくつかのクラウドベースのサービスを提供しています。
サードパーティの SSO をすでに採用している組織 1)Citrix Access Controlは、SaaSアプリケーションに対するきめ細かいレベルのセキュリティ制御を提供し、ユーザーの行動に基づいて、分析を通じてWebベースの脅威とポリシーの自動適用を最小限に抑えます。2)オンプレミスおよびCitrix Virtual Apps and Desktops サービスの両方に対応するICAプロキシ。

Citrix Access ControlとContent Collaboration

ほとんどの組織では、何らかのランサムウェアや複数回のフィッシングを試み、ネットワークを侵害しています。このような脅威の根本原因は、多くの場合、Web ベースの脅威からの保護が不十分であるためです。ユーザーが日常的にアクセスしている Web サイトの可視性の欠如。

Citrix Access Controlサービスを使用すると、組織はブラウザベースの攻撃やデータ漏洩から環境を保護できます。従業員がオフィス、自宅、または出張中のどのデバイスからでもアプリにアクセスすると、Citrix Access Controlサービスでは、SSO、2要素認証、リモートアクセス、Webフィルタリングを1つのソリューションに統合して、エンドツーエンドのAccess Controlを実現します。

AC-Image-17

Citrix Content Collaboration により、ユーザーはドキュメントを簡単かつ安全に交換できます。Webベースのインターフェイス、モバイルクライアント、デスクトップアプリケーション、Microsoft OutlookとGmailとの統合など、Citrix Content Collaboration を使用する方法はたくさんあります。

Citrix Files は、データの共有とストレージ、カスタマイズ可能な使用方法と設定、およびユーザーがより簡単に共同作業し、時間と場所を問わず、どのデバイスからでも作業を完了できるツールを提供するファイルマネージャです。

上の図は、ハイブリッドクラウドモデルのシナリオでCitrix Files SaaSアプリをエンドユーザーに配信することを示しています。Citrix Cloud Connector は、Citrix Cloudアカウントとリソースの場所へのリンクを提供します。リソースの場所には、エンドユーザー用の Active Directory が含まれており、ユーザーは Web アプリケーションにシームレスにサインオンできます。

Citrix Gateway サービスは、認証、シングルサインオンを提供し、Citrix Virtual Apps およびSaaSアプリケーションの高速かつ安全な配信を可能にします。エンドユーザーのログイン認証情報を使用して会社の環境にログインし、SAML シングルサインオンを使用して Web アプリケーションにサインオンできるようになります。Citrix Gateway サービス管理者で、Web/SaaSアプリのテンプレートを選択するか、独自のアプリケーションパラメーターを定義します。次に例を示します:

アプリケーションに「Citrix Files」という名前を付けます。

URL を入力します。 <https://xxxxx.sharefile.com/>

同様に、SSOページでは、SAMLが選択されていることを確認し、Citrix Files SAML/SSO設定がバックエンドに対してすでに完了していると仮定します。

アサーションURLは次のとおりです。 <https://xxxxx.sharefile.com/saml/xxxx>

オーディエンス: <https://xxxxx.sharefile.com>

名前 ID 形式: 電子メールアドレス

名前 ID: 電子メール

SaaSアプリケーションがCitrix Cloudライブラリに追加されると、管理者はサブスクライバーを管理し、アクセスするWorkspaceURLをユーザーに提供する必要があります。Active Directory と連携して、さまざまな Web アプリケーションおよび SaaS アプリケーションへの SAML シングルサインオンを許可する ID プロバイダとして機能できます。

コンテンツコントロールとコンテキストアクセス

[セキュリティの強化] ページで、管理者はポリシーを制限および適用して、機密データの漏洩から組織を保護します。次のオプションを適用できます。

  • クリップボードのアクセスが制限されている
  • 制限付き印刷
  • 制限されたナビゲーション
  • 制限付きダウンロード
  • 透かしの表示

組織にセキュリティ上のリスクがある不要なウェブサイトをブロックするには、Citrix 管理者がURLリストを追加するか、カテゴリリストを選択してURLをブロックおよび許可する必要があります。管理者は、安全なブラウザを介して URL をリダイレクトするように注意することもできます。

ユーザーの行動とアクティビティ

ユーザーの動作やアクティビティを監視するために、Citrix Access ControlコントロールサービスをCitrix Analyticsサービスと簡単に統合できます。管理者は、事前定義された条件を課し、また、リスクを軽減するためのアクションプランを取ります。

Citrix Access ControlとGoogle G Suite

G Suite は SaaS アプリケーションで、これらのアプリはインターネット経由でリモートからアクセスできます。G Suite は、以前は Google によって開発された Google Apps と呼ばれていました。G Suite は、コミュニケーション用に Gmail、ハングアウト、カレンダー、Google+、ストレージ用のドライブ、コラボレーション用のドキュメント、スプレッドシート、スライド、フォーム、サイトで構成されています。また、アプリ開発プラットフォーム、App Makerで構成されています。G Suite は生産性の面で大きなメリットをもたらしますが、ほとんどのネットワークは、モビリティとクラウドに必要なパフォーマンスとセキュリティを提供するために適切に設計されていません。

Google CloudとCitrix により、エンドユーザーは高度なセキュリティと優れたユーザーエクスペリエンスを実現し、アプリ中心のモバイルファースト、マルチおよびハイブリッドクラウドの世界で選択できる柔軟性を実現する先駆的なソリューションと連携できます。

G Suite は、市場をリードする生産性の高い SaaS アプリで、Citrix Access Control と統合されています。これにより、SaaS アプリケーションの可視性と制御性が向上し、データ漏洩や機密情報の不正開示を防ぐことができます。

エンドユーザーは、Citrix Workspace アプリからURLとログイン資格情報を入力するだけで、G Suiteアプリケーションにアクセスできます。 ユーザーは、アプリ、デスクトップ、ファイルを含むWorkspace 全体を持ち、ユーザーは別のユーザー名とパスワードを入力する必要がないことを念頭に置いてください。Workspace 全体が単一のアクセスポイントを通じて提供されるため、生産性が向上し、エンドユーザーにとって共通のワークフローが合理化されます。

AC-Image-18

Citrix Access Controlは、シングルサインオン機能を提供するだけでなく、どこにも利用できないセキュリティ制御のレイヤーも提供します。

展開

Citrix Cloud Connectorは、リソースの場所とCitrix Cloudの間のすべての通信を処理するために使用されます。高可用性を実現するために、各リソースの場所に少なくとも 2 つのコネクタがデプロイされます。リソースの場所は、エンドユーザーの Active Directory として機能し、ユーザーが G Suite アプリケーションにシームレスにサインインできるようにします。

Active Directory と連携したCitrix Cloud Gatewayサービスは、G Suite SaaSアプリケーションへのSAMLシングルサインオンを許可するアイデンティティプロバイダとして機能します。Citrix Access Controlを使用すると、エンドユーザーはSecure BrowserセッションでG Suite SaaSアプリケーションを起動でき、管理者は5つの異なる制御ポリシーを適用できます。

シナリオ 1: 強化されたセキュリティがオフになっています。ユーザーが G Suite 内で Gmail を起動すると、標準のブラウザで開きます。同様に、Gmail アカウント内の URL では、追加のセキュリティポリシーやコントロールなしで、標準のブラウザが使用されます。ユーザーは、ページから移動、切り取り、コピー、印刷するオプションがあります。

シナリオ 2: セキュリティ強化がオンになっています。ユーザーが G Suite 内で Gmail を起動すると、Secure Browserで開きます。これで、Citrix Access Controlを介して制御機能のレイヤーが適用され、エンドユーザーにはサイトから移動するためのナビゲーションバーがなく、切り取り、コピー、貼り付けの制限が課せられます。このCitrix Access Controlとは別に、が悪意のあるWebサイトにアクセスするのを防ぐURLフィルタリング機能を提供します。また、ポリシーに基づいてSecure Browserにリダイレクトすることもできます。

G Suite SaaSアプリでCitrix Access Controlを使用するメリット:

  • シングルサインオンエクスペリエンス
  • 多要素認証
  • G Suite の強化されたセキュリティポリシー
  • G Suite のウェブフィルタリングポリシー
  • エンドツーエンドの可視性と分析

高度な設定

Citrix Gateway SaaSおよびO365クラウド検証済みリファレンスデザイン

Access Control検証済みのリファレンスデザイン付きCitrix Gateway サービスSSO

概要

Citrix Access Controlは、安全なデジタルWorkspace を提供する統合ソリューションです。ほとんどの組織は、デジタル Workspace の変化に伴い、SaaS および Web アプリを採用しています。共同ソリューションを実装すると、セキュリティが大幅に向上し、エンタープライズ、スモールビジネス、SaaSベンダーにデータが保護されていることを確信してメリットが得られます。

ネットワークだけを保護するという考えは、もはや十分ではありません。Citrix Access Controlによって以下の機能が提供されるように、組織はユーザーとアプリケーションを保護する必要があります。

  • SaaS、Web、仮想アプリケーションへの統合アクセス
  • あらゆるエンドポイントデバイスを使用できる、一貫したエンドユーザーエクスペリエンスと柔軟性
  • シングル・サインオン以外の SaaS アプリケーションのアプリ内制御を支援する分析サービスを使用したアプリケーション・トラフィックの可視性と脅威検出

ソース

このリファレンス・アーキテクチャの目標は、独自の実装計画を支援することです。この作業を容易にするために、独自の詳細な設計および実装ガイドに適応できるソース図を提供します:ソース図

参照ドキュメント

Access Control

技術概要

技術情報

IT管理を犠牲にすることなく、あらゆるデバイス上で安全なコンテキスト・ユーザー・アクセスを提供