この記事では、Azure で Citrix デプロイメントをセキュリティで保護する方法について説明します。このセクションでは、MicrosoftCitrix が推奨するベストプラクティスと詳細な構成を実装する方法について説明します。また、Citrix 環境のセキュリティを確保するために、どのMicrosoft AzureおよびCitrix セキュリティサービスが適切であるかについてのガイダンスも提供します。
最初のセクションでは Azure のセキュリティについて説明し、管理、Azure Active Directory、ネットワーク、データ保護、および Azure ポリシーの主要なトピックについて説明します。次のセクションでは、Citrix Cloud からリソースにアクセスする方法に焦点を当て、ホスティング接続とマシンカタログ管理に必要な最小限の役割権限について説明します。最後のセクションでは、Citrix デプロイメントに最適な保護を提供する Azure と Citrix サービスについてのガイダンスを提供します。
このドキュメントは、Microsoft Azure と Citrix を管理者レベルで理解していることを前提としています。私たちが説明するすべての概念に慣れていない読者を支援するために、役立つ説明を用意しています。
Microsoft Azure は多くのサービスで構成されているため、Azure 内のセキュリティにはより広範なアプローチが必要です。まず、アクセスポイントで各サービスを保護することから始めます。このセクションでは、Microsoft とCitrix スの推奨事項に基づいてサービスを保護する方法についてのガイダンスを提供します。
Azure 管理セクションでは、Azure アカウント内の ID およびアクセス管理 (IAM) とロールベースのアクセス制御 (RBAC) を使用して環境を保護する方法について説明します。Azure Active Directory (AAD) セクションでは、認証と Citrix リソースを保護するための条件付きアクセスの使用について説明します。ネットワークセクションでは、Citrix Cloud が使用するポートとプロトコルを一覧表示し、プライベートエンドポイントがネットワークトラフィックがパブリックインターネットを通過するのを防ぐ方法について説明します。ストレージセキュリティセクションではデータの暗号化とバックアップについて説明し、Azure Policy セクションではアカウントを保護するためのポリシーを推奨します。最後に、最後のセクションでは、Azure Tag と Security Center を Citrix デプロイメントで使用することの計り知れない利点について説明します。
Azure ID およびアクセス管理 (IAM) は、Azure リソースの認証、承認、および監査サービスを提供する Microsoft が管理する ID サービスです。Azure IAM は Azure リソースへのアクセスと権限を制御するため、可能な限り強化する必要があります。Azure リソースへのアクセスはすべて IAM を通じて許可されるため、Azure IAM は防御の最前線です。まず、ロールベースのアクセス制御の概念について説明し、続いてそれらのロールがアカウント内の Azure リソースにどのように適用されるかを説明します。
Azure ロールベースアクセス制御 (RBAC) は、Azure リソースへのきめ細かなアクセス管理を提供する認証システムです。ベストプラクティスは、グループに割り当てられた Azure RBAC ロールを通じてリソースへのアクセスを許可することです。その後、ユーザーはグループに入れられてアクセスされます。Azure RBAC には、カスタムロールをサポートする 70 を超える組み込みロールが含まれています。ロールは、リソースに適用され、セキュリティプリンシパルに割り当てられる、読み取り、書き込み、削除などの権限の集合です。セキュリティプリンシパルには、ユーザー、グループ、マネージド ID、またはサービスプリンシパル (Azure アプリケーション) を使用できます。
Azure の基本的な 4 つの役割は、所有者、寄稿者、閲覧者、およびユーザーアクセス管理者です。
| **オーナー**: | サービス管理者と共同管理者には、サブスクリプションスコープの所有者ロールが割り当てられます。所有者はすべてのリソースへのフルアクセスを許可され、他のユーザーにアクセスを委任できます。すべてのリソースタイプには、少なくとも 1 人の所有者が割り当てられます。 | | 寄稿者:| 投稿者の役割が割り当てられているエンティティは、あらゆる種類の Azure リソースを作成および管理できます。コントリビューターは、アカウントに割り当てられている場合、Azure Active Directory に新しいテナントを作成できます。寄稿者は他のユーザーにアクセス権を付与することはできません。すべてのリソースタイプがコントリビューターロールをサポートします。| | Reader: | readerロールは、リソースへのエンティティビュー(読み取り専用)権限を付与します。すべてのリソースタイプがリーダーロールをサポートします。| | ユーザーアクセス管理者:| ユーザーアクセス管理者ロールは、Azure リソースへのユーザーアクセスを管理する権限をエンティティに付与します。|
役割はスコープによって制限できます。スコープとは、セキュリティプリンシパルが行動できる定義済みのリソースセットです。スコープは、個別リソース、リソースグループ、サブスクリプション、管理グループの 4 つのレベルで制限できます。
リソースへのアクセスは、役割の割り当てを作成することによって許可されます。役割の割り当てとは、役割の定義をセキュリティプリンシパルにアタッチする行為です。権限の取り消しは、役割の割り当てを削除することで完了します。ネストされたグループが役割の割り当てに使用される場合、ネストされたグループのメンバーも役割の割り当てを受け取ります。メンバーが複数のグループにリンクされている場合、権限は累積され、評価時に割り当ての拒否はすぐにブロックされます。 累積権限は両方のアクションに適用され、アクションには適用されず、すべてのグループに適用されます。
Azure サブスクリプションは、Azure リソースへのアクセスを整理するために使用されます。各サブスクリプションは 1 つの Azure アカウントにのみ関連付けられ、そのアカウントはサブスクリプションに関連する料金を支払います。各サブスクリプションは Azure AD ディレクトリに関連付けられています。Azure サブスクリプションは、管理、セキュリティ、スケール、およびポリシーの境界です。
ヒント
Citrix とMicrosoft はどちらも、可能な場合はCitrix のリソースを独自のサブスクリプションセットに含めることを推奨しています。
サブスクリプションにより、最終的に Azure リソースの整理、アクセス、請求方法を制御できるようになります。サブスクリプションには、サブスクリプション内のすべてのリソースへのアクセスを許可する 2 つのロールがあります。サービス管理者と共同管理者です。
サービス管理者:サービス管理者ロールは、Azure サブスクリプションの作成に使用されるメールアカウントにデフォルトで割り当てられます。サービス管理者には、サブスクリプションスコープの所有者ロールと同じアクセス権があります。アカウント管理者のみがサービス管理者を別のメールアカウントに変更できます。サービス管理者には Azure Portal へのフルアクセス権があり、サブスクリプションごとに存在できるサービス管理者アカウントは 1 つだけです。サービス管理者には次の権限があります。
Azure ポータルでのサービスの管理
購読をキャンセルする
ユーザーを共同管理者ロールに割り当てる
共同管理者:このロールには、サブスクリプションスコープの所有者ロールと同じアクセス権があります。各サブスクリプションには最大 200 人の共同管理者を設定でき、これらの管理者には次の権限と制限が付与されます。
サービス管理者と同じアクセス権
ユーザーを共同管理者ロールに割り当てることができます
Azure ディレクトリへのサブスクリプションの関連付けは変更できません
サービス管理者は変更できません
リソースグループは、サブスクリプション内の関連リソースをグループ化するために使用する論理コンテナです。各リソースは 1 つのリソースグループにのみ存在できます。リソースグループを使用すると、サブスクリプション内でより細かくグループ化できます。リソースグループは一般に、ワークロード、アプリケーション、またはサブスクリプション内の特定の機能をサポートするために必要な資産の集合を表すために使用されます。通常、リソースグループ内のリソースは同じライフサイクルを共有します。リソースグループを使用すると、Azure 内のリソースセットにきめ細かな権限を適用することもできます。
注
Citrixマシンカタログは、マシンカタログの作成時にそのリソースグループにリンクされます。リソースグループを変更した場合は、マシンカタログを削除して再作成する必要があります。
管理グループは 1 つ以上のサブスクリプションに使用する論理コンテナで、Azure アカウントレベルで構成されます。管理グループ、サブスクリプション、リソースグループ、およびリソースの階層を定義して、アクセスを効率的に管理できます。管理グループは主に Azure ポリシーによるコンプライアンスのために使用され、管理を効率化するために継承に大きく依存しています。
ヒント
Microsoft とCitrix は、Citrix のリソースを含むすべてのサブスクリプションを Azure アカウントレベルの管理グループに入れることを推奨しています。
Azure Active Directory (Azure AD) は、Microsoft 365、Azure Portal、その他多くのアプリケーションの ID プロバイダーです。Azure AD は Active Directory (AD) のクラウドベースの実装ではありませんが、Azure AD Connect を介してオンプレミスドメインと同期できます。このセクションでは、Citrix と Azure AD のセキュリティに関する推奨事項について説明します。推奨事項には、認証、ロギング、条件付きアクセス、Azure AD Connect 構成が含まれます。
Azure AD は複数の多要素認証 (MFA) メソッドをサポートしています。サポートされている方法には、FIDO2 セキュリティキー、Microsoft Authenticator、テキストメッセージ、および証明書ベースの認証が含まれます。テキストメッセージと証明書ベースの認証の両方が現在プレビュー中です。セキュリティを最大限に高めるには、MFA 用の Microsoft Authenticator を有効にしてください。これは一般リリースで利用可能だからです。また、一般リリースで利用可能になったら、Azure AD ユーザーに二次認証方法を提供するために、テキストメッセージオプションを有効にします。すべての管理ユーザーアカウントの MFA を有効にします。Azure AD Premium がデプロイされている場合、ベストプラクティスはすべてのユーザーに MFA を有効にすることです。
Azure AD ユーザーサインインログを監視して、 失敗したログオン 、および予期しない場所からのすべてのログオンがないか確認します。監視は、管理者による簡単な週次レビューから、Azure Monitor を使用する自動ソリューションまで多岐にわたります。Azure Monitor and Alerting は、疑わしい状況が発生したときに管理者にメールを送信できます。インタラクティブサインインと非インタラクティブサインインの両方を必ず監視してください。
Azure AD では、条件付きアクセスを使用して、場所やグループのメンバーシップに基づいてユーザーが認証されないようにすることができます。条件付きアクセスを使用すると、場所やIPアドレスがCitrix リソースにアクセスするのを防ぐことができます。条件付きアクセスを使用して、ユーザーがいるはずの場所から発信されないトラフィックをブロックします。たとえば、国外からのトラフィックが予想されない場合は、条件付きアクセスを使用して、国内からの接続のみを許可します。
「ジャストインタイム」(JIT) アクセスにより、誰かが VM に接続する必要がある場合を除き、仮想マシン (VM) へのすべての受信ネットワークトラフィックが防止されます。JIT では、接続ウィンドウはユーザーからの要求に応じて数分間しか開きません。 この動作は、Citrix がホストへのインバウンド接続を一時的に許可する方法と似ています。ユーザーがCitrix に接続すると、Virtual Delivery Agent(VDA)は接続中の数分間のみインバウンド接続を許可します。MicrosoftとCitrix はどちらも、権限のないユーザーがリソースに接続する可能性を下げるために、Azureインフラストラクチャ仮想マシンへのJITアクセスを有効にすることを推奨しています。
前述のように、Azure AD は Azure AD Connect を介してオンプレミスの Active Directory ドメインと同期できます。オンプレミスのドメインを Azure AD と同期すると、Citrix 環境でのエンドユーザーエクスペリエンスがよりシームレスになります。ユーザーは、クラウドホストリソースとオンプレミスリソースの両方に 1 回のログオンを維持できます。
Azure AD Connect は、オンプレミスの Active Directory のユーザーオブジェクトとそれに関連する属性を Azure Active Directory と同期できます。Azure AD Connect を使用するときは、セキュリティを最大限に高めるために以下のガイドラインに従ってください。
パスワードハッシュ同期を有効にします。ハッシュは、ユーザーの実際のパスワードが Azure AD に保存されないようにするために必要です。
エンタープライズ管理者やドメイン管理者などの権限の高いアカウントを Azure AD と同期しないでください。既定では、このフィルターは AD Connect で有効になっています。これは、Azure アカウントのセキュリティが侵害された場合に、オンプレミスのデータセンターが危険にさらされるのを防ぐためです。
可能な限り、認証には Azure AD アカウントを使用してください。このアプローチにより、管理オーバーヘッドが軽減されます。
ネットワークアクセス制御 (NAC) は、仮想ネットワーク内の特定のデバイスまたはサブネット間の接続を制限する方法を提供します。NAC の目標は、VM またはサービスへのアクセスを承認されたユーザーまたはデバイスのみに制限することです。アクセス制御は、Azure 内の複数の異なるレイヤーで接続を許可または拒否するかどうかの決定に基づいています。このセクションでは、Azure クラウド内の Citrix 環境を保護するための封じ込めとセキュリティに関するすべての推奨事項について説明します。
Citrix Cloud 環境の最善の保護の1つは、Citrixリソースへのすべてのインバウンドおよびアウトバウンドアクセスを厳密に制御することです。Azure ネットワークセキュリティグループ (NSG) とファイアウォールを使用してアクセス制御を構成します。Azure NSG では、送信元 IP、宛先 IP、送信元ポート、宛先ポート、プロトコルの 5 つのタプルを定義することで、インバウンドトラフィックとアウトバウンドトラフィックを許可または拒否できます。ファイアウォールは、ほぼすべてのネットワークベースのサービスで有効にできます。
NSG はステートフルなので、リターントラフィックが許可され、VM、サブネット、またはその両方に適用できます。サブネットNSGとVM NSGの両方が存在する場合、サブネットNSGが最初にインバウンドトラフィックに適用され、VM NSGが最初にアウトバウンドトラフィックに適用されます。デフォルトでは、ロードバランサーからのすべてのインバウンドトラフィックとともに、VNet 内のすべてのトラフィックがホスト間で許可されます。デフォルトでは、アウトバウンドのインターネットトラフィックのみが許可され、その他のアウトバウンドトラフィックはすべて拒否されます。
NSGを使用して、Citrix Cloud 環境のトラフィックを予想されるトラフィックのみに制限します。このアプローチは、潜在的な攻撃ベクトルを制限し、デプロイメントのセキュリティを大幅に向上させることができます。表1 Citrix Cloud に必要なポートとプロトコルは、Citrix 環境に必要なネットワークポートとプロトコルを示しています。この表には、Citrix インフラストラクチャに使用されるポートのみが記載されており、アプリケーションで使用されるポートは含まれていません。Citrix 仮想マシンを保護する NSG でこれらのポートを設定します。
| 接続元 | 接続先 | Protocol | ポート | 目的 |
|---|---|---|---|---|
| Cloud Connector | *.digicert.com | HTTP | 80 | 証明書失効チェック |
| Cloud Connector | *.digicert.com | HTTPS | 443 | 証明書失効チェック |
| Cloud Connector | dl.cacerts.digicert.com/digicerTassuredIdrootca.crt | HTTPS | 443 | 証明書失効チェック |
| Cloud Connector | dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.cert | HTTPS | 443 | 証明書失効チェック |
| Cloud Connector | Cloud Connector | TCP | 80 | コントローラー間の通信 |
| Cloud Connector | Cloud Connector | TCP | 89 | ローカルホストキャッシュ |
| Cloud Connector | Cloud Connector | TCP | 9095 | オーケストレーションサービス |
| Cloud Connector | Cloud Connector | TCP/UDP | 1494 | ICA/HDX プロトコル (EDT には UDP が必要) |
| Cloud Connector | Virtual Delivery Agent | TCP/UDP | 2598 | セッション信頼性 (EDT には UDP が必要) |
| Cloud Connector | Virtual Delivery Agent | TCP | 80 (双方向) | アプリケーションとパフォーマンスの発見 |
| Virtual Delivery Agent | Gatewayサービス | TCP | 443 | ランデブー プロトコル |
| Virtual Delivery Agent | Gatewayサービス | TCP | 443 | Gatewayサービスへの 443 経由の EDT UDP |
| Virtual Delivery Agent | .nssvc.net、.c.nssv.net、*.g.nssv.net | TCP/UDP | 443 | ゲートウェイサービスドメイン/サブドメイン |
| Citrix Provisioning Services | Cloud Connector | HTTPS | 443 | Citrix Cloud Studio 統合 |
| Citrixライセンスサーバー | Citrix Cloud | HTTPS | 443 | Citrix Cloud ライセンス統合 |
| CVAD リモート PowerShell SDK | Citrix Cloud | HTTPS | 443 | SDK 経由でリモート PSH を実行しているすべてのシステム |
| WEMエージェント | WEM サービス | HTTPS | 443 | エージェントからサービスへの通信 |
| WEMエージェント | Cloud Connector | TCP | 443 | 登録トラフィック |
アプリケーションセキュリティグループ(ASG)を作成して、企業全体のCitrix リソースの管理を簡素化します。ASG では、インターネットプロトコル (IP) やネットワークアドレスではなく、ラベルに基づいて送信元/宛先を定義できます。ASGをワークロード用に定義し、NSGの一部として使用してワークロードをフィルタリングできます。ASG は、ワークロード間のEast-Westトラフィックと、データセンターと Azure 間のNorth-Southトラフィックの両方をフィルタリングできます。ASG を使用すると、ネットワークをさらに細かく分割し、大規模なアプリケーショングループ間のトラフィックを分離できます。たとえば、アプリケーションサーバーとは通信するがウェブサーバーとは通信しないデータベースサーバー用のアプリケーショングループを作成する場合です。
Azure サービスタグは、Azure サービスの IP アドレスのグループに Azure が付けるモニカです。Microsoft は、サービスタグに関連付けられた IP アドレスを管理します。NSGのIPアドレスの代わりにサービスタグを使用して、一連の動的リソースへのアクセスを制御できます。たとえば、すべての Azure StorageIP アドレスへのアクセスを許可するサービスタグ Storage へのトラフィックを許可することも、 Storage.WestUSというサービスタグを使用して米国西部のストレージ IP アドレスのみにトラフィックを制限することもできます。
サービスタグには、方向、地域制限、または Azure Firewall での使用に関するいくつかの使用制限があります。サービスタグとその使用規則の一覧については、Microsoft の Web サイト「 仮想ネットワークサービスタグ」を参照してください。
Windowsを実行しているCitrix インフラストラクチャホストをリモート管理するには、Microsoftのリモートデスクトッププロトコル(RDP)を使用するのが最も便利なプロトコルです。RDP のデフォルトポートは TCP 3389 ですが、仮想マシンがインターネットからのインバウンドアクセスを許可する場合は、このポートを変更してください。ポート 3389 が開いているインターネットに直接接続している Windows サーバーは、インターネットに接続されてから 24 時間以内に攻撃を受けます。次の Windows レジストリキーは、RDP セッションの受信リスニングポート番号を制御します。次のレジストリキーを使用して、リスニングポート番号を 10000 より大きいポートに変更します。
HKEY_LOCAL_MACHINE\ システム\ CurrentControlSet\ コントロール\ ターミナルサーバー\ WinStation\ RDP-TCP: ポート番号 REG_DWORD
RDP ポート番号の変更は、以前の JIT アクセス勧告と組み合わせると、非常に強固になります。
独自のCitrix Application Delivery Controller (ADC) VPX仮想アプライアンスを使用している場合、Azure Load Balancer のパブリックIPアドレスを使用する可能性があります。一部の導入環境では、Citrix ファームへのインバウンド接続を受け入れるように、パブリックIPアドレスがアプライアンス自体に直接設定されます。これらのADC構成以外は、Citrix の導入にはパブリックIPアドレスは必要ありません。Citrix CloudはCitrix Cloud Connectorを管理し、必要に応じて更新します。パブリックIPアドレスはすべてのアウトバウンド接続を開始するため、Cloud Connectorには必要ありません。
前述のように、Citrix Cloud ConnectorがCitrix Cloud インフラストラクチャに到達するには、アウトバウンド接続が必要です。この接続は、Citrix Cloud とAzure Citrixデプロイメント間のアップデートとインターフェースを受信するために使用されます。他のCitrix インフラストラクチャでは、メンテナンスアップデートやユーザーアクセスのためにアウトバウンドアクセスが必要になる場合があります。
プライベートエンドポイントは、パブリックインターネット経由のルートをなくすことで Azure サービス間の通信を改善するために使用されます。プライベートエンドポイントは、ネットワーク上のトラフィックのルートを制御することで機能します。Azure プライベートエンドポイントは、Azure サービスに安全に接続するネットワークインターフェイスです。プライベートエンドポイントは、仮想ネットワーク (VNet) の IP アドレスを使用します。次に、エンドポイントは、Microsoft Azure バックボーンネットワーク経由で VNet から Azure サービスに直接トラフィックをルーティングします。Microsoft Azure バックボーンを使用すると、トラフィックがパブリックインターネットを通過するのを防ぎます。プライベートエンドポイントは、トラフィックが危険にさらされる可能性のあるインターネットにさらされないため、本質的にはより安全です。たとえば、Citrix ホストサブネットから Azure Files ストレージアカウントネットワークへのプライベートエンドポイントを作成し、パブリックエンドポイントを避けることができます。
Citrix では、以下のAzureサービス用にプライベートエンドポイントを作成することを推奨しています。
Azure ブログストレージ
Azure Files
Azure オートメーション
Azure バッチ
Azure Managed Disks
Azure Key Vault
Azure バックアップ
Azure モニター
デフォルトでは、Azure VNet 内の異なるサブネット間のアクセス制御はありません。Microsoft とCitrix、Azure 内でゼロトラストアプローチを採用することを推奨しています。ゼロトラストアプローチとは、内部トラフィックが信頼できるという前提のもとでは、無制限の通信が許可されないことを意味します。代わりに「すべて拒否」の方法論を使用してください。アクセスを必要とするデバイス、場所、ユーザーからの「信頼できる」通信のみを許可します。次のガイダンスを使用すると、Citrix ネットワークセキュリティが大幅に向上します。
NSGを使用して、Citrix リソースをホストするサブネット間のフローを制御します
AD 条件付きアクセスを使用して、場所、ID、デバイス、または保証レベルに基づいてアクセスを許可します
Citrix インフラストラクチャ VM でのジャストインタイムアクセスの設定
Citrix インフラストラクチャを独自のサブネット上に保管
Citrix VDA仮想マシンを独自のサブネット上に保管
Azure の外部から任意のリソースへのネットワーク接続は、暗号化された仮想プライベートネットワーク (VPN) 接続を経由する必要があります。VPN には、ポイントツーサイト (P2S)、サイトツーサイト (S2S)、または安全な ExpressRoute 接続があります。
Azure VM をインターネットに直接公開しないでください。公開されている場合は、JIT アクセスを有効にし、インバウンド接続のデフォルトポートを変更します。
通信用の標準の暗号化されていない HTTP プロトコルの代わりに、転送中のデータを保護するために暗号化されたプロトコルが必要です。TLS 1.2搭載のHTTPSや、ICA/HDXをHTTPS内でトンネリングするCitrix Gatewayなどのプロトコルが推奨されます。
オープンシステム相互接続 (OSI) レイヤーのトラフィックをスキャンできる Azure ネイティブのネットワークセキュリティアプライアンスをデプロイします。ユーザー定義ルーティング (UDR) を実装して、これらのアプライアンスを介してトラフィックをルーティングします。
境界ネットワーク内の侵入検知(IDS)および侵入防止(IPS)システムとともに、分散型サービス拒否(DDoS)保護を有効にします。境界ネットワークは、インターネットと Azure でホストされている Citrix リソースの間にあります。
このセクションでは、Azure Storage に保存されているデータのセキュリティと保護を強化するための推奨事項について説明します。組み込みの保護機能について説明し、それらの保護を改善するための推奨事項を提供します。推奨事項を使用して、データの可用性を高め、データに対する潜在的な攻撃ベクトルを減らしてください。
Azure Storage にはデータの複数のコピーが保存されるため、計画的なイベントと計画外のイベントの両方から保護されます。これらのイベントには、ハードウェア障害、停電、自然災害が含まれます。すべての Azure リージョンは別の Azure リージョンとペアになっています。Microsoft は、リージョンペア間でストレージを自動的に複製します。Microsoft が地域内で緊急事態を宣言すると、対応地域に保存されているデータが使用可能になります。ストレージアカウントの選択により、データの冗長性も制御されます。アカウントタイプの選択肢には、リージョン内のみデータを保存するか、リージョン間でデータを複製するかが含まれます。Citrix では、ドメインコントローラーなどの主要インフラストラクチャ仮想マシンに、リージョン間でレプリケートするストレージを構成することを推奨しています。
環境内のほとんどのCitrix サーバーは、展開にマシン作成サービス(MCS)またはProvisioning Services(PVS)のいずれかに依存する仮想配信エージェント(VDA)です。MCSマシンとPVSマシンはどちらもテンプレートとしてゴールデンマスターイメージを使用します。これらのホストでは、ゴールデンイメージのスナップショットをマシンテンプレートのソースとして使用します。ロールバックは、ディスクスナップショットのどのバージョンにも簡単に行うことができます。Citrix インフラストラクチャ内の他のサーバーでは Azure Backup が有効になっているか、Azure Site Recovery でセットアップされている必要があります。Azure Site Recovery を使用するときは、ターゲットロケーションとして Microsoft ペアリージョンを選択します。ASR ターゲットがペアになったリージョンにあり、Microsoft が障害を宣言した場合、レプリケートされたストレージアカウントもそのリージョンに存在することになります。
Azure は、256 ビットの高度暗号化標準 (AES) ブロック暗号を使用するサーバー側暗号化 (SSE) を使用して、保存中のすべてのストレージを自動的に暗号化します。カスタマーマネージドキー (CMK) を使用してデータを暗号化し、それらのキーを Azure Key Vault に保存できます。CMK を使用すると、CMK を破棄して、必要に応じてデータを迅速に暗号化できます。
Citrix マネージドディスクの使用を推奨しています。マネージドディスクでは、Azure がディスクの配置を自動的に制御するため、仮想ディスクは単一障害点を回避します。管理対象外のディスクでは、それらをストレージアカウントに配置し、データ復旧計画を管理する必要があります。
アクセス制御リスト (ACL) を使用すると、ファイルまたはディレクトリへのアクセスをきめ細かく制御できます。ACL は、Azure AD に含まれるすべてのユーザー、グループ、マネージド ID、またはサービスプリンシパルに適用されます。共有キーまたは共有アクセス署名 (SAS) トークンを使用する場合、セキュリティプリンシパルは存在しません。したがって、ACL は、キーまたはトークンを介してストレージにアクセスした場合に付与されるアクセスには適用されません。ACL は、単純な読み取り (R)、書き込み (W)、実行 (X) 権限で構成されます。ACL を使用すると、あらゆる Azure ストレージファイルまたはフォルダーへのアクセスを制限し、コンテナー、ファイル、またはディレクトリへの不注意なアクセスを防ぐことができます。Citrix では、機密性を維持するために、常に適切な対象者にデータへのアクセスをACL経由で設定することを推奨しています。
Azure Policy は、Azure リソースのプロパティをアクティブに評価する状態管理エンジンです。Azure ポリシーにより、リソースの状態がビジネスルールに準拠していることが保証されます。Azure Policy は、ユーザーがそれらのアクションを実行する権限を持っている場合でも、アクションをブロックできます。Azure ポリシーは、サブスクリプションレベル以下で機能します。表 2 Citrix デプロイメントに推奨される Azure ポリシーの一覧は、推奨される Azure ポリシーの一覧です。これらのポリシーをアカウントレベルで有効にして、Citrix リソースを含むサブスクリプションに適用します。
| ポリシー名 | 説明 |
|---|---|
| Azure Automation アカウントではローカル認証方法を無効にする必要があります | ローカル認証方法を無効にすると、Azure Automation アカウントの認証に Azure Active Directory ID のみが必要となるため、セキュリティが向上します。 |
| Azure Active Directory Domain Services 管理対象ドメインは TLS 1.2 専用モードを使用する必要があります | 管理対象ドメインには TLS 1.2 専用モードを使用してください。既定では、Azure AD ドメインサービスでは NTLM v1 や TLS v1 などの暗号を使用できます。これらの暗号は、一部のレガシーアプリケーションでは必要になる場合があります。ただし、それらが必要ない場合は、暗号が弱いため、無効にすることができます。TLS 1.2専用モードを有効にすると、TLS 1.2を使用していないリクエストを行うクライアントは失敗します。 |
| Windows マシンには、許可されているローカルアカウントのみが必要です | 前提条件をポリシー割り当てスコープに展開する必要があります。詳細については、https://aka.ms/gcpolをご覧ください。この定義は Windows Server 2012 または 2012 R2 ではサポートされていません。Azure Active Directory を使用してユーザーアカウントを管理することは、ID 管理のベストプラクティスです。ローカルマシンアカウントを減らすことで、中央システムの外部で管理されている ID の拡散を防ぐことができます。有効になっていてポリシーパラメータにリストされていないローカルユーザーアカウントが存在する場合、マシンは非準拠です。 |
| ログ分析ワークスペースは Azure 以外の Active Directory ベースの取り込みをブロックする必要があります。 | Azure Active Directory 認証を要求するようにログの取り込みを強制します。この保護により、攻撃者が認証されていないログを操作して、誤ったステータス、誤ったアラート、システムに保存されている誤ったログにつながるのを防ぎます。 |
| VPN ゲートウェイは、ポイントツーサイトユーザーには Azure Active Directory (Azure AD) 認証のみを使用する必要があります | ローカル認証方法を無効にすると、VPN ゲートウェイが認証に Azure Active Directory ID のみを使用するようになるため、セキュリティが向上します。 |
| MFA は、サブスクリプションへの書き込み権限のある有効なアカウントである必要があります | アカウントやリソースの侵害を防ぐため、書き込み権限のあるすべてのサブスクリプションアカウントで多要素認証 (MFA) を有効にする必要があります。 |
| MFA は、サブスクリプションの所有者権限を持つアカウントで有効にする必要があります | アカウントやリソースの侵害を防ぐため、所有者権限を持つすべてのサブスクリプションアカウントで多要素認証 (MFA) を有効にする必要があります。 |
| MFA は、サブスクリプションで読み取り権限のあるアカウントで有効にする必要があります | アカウントやリソースの侵害を防ぐため、読み取り権限のあるすべてのサブスクリプションアカウントで多要素認証 (MFA) を有効にする必要があります。 |
| Azure Active Directory 管理者を SQL サーバー用にプロビジョニングする必要があります | お使いの SQL サーバーの Azure Active Directory 管理者のプロビジョニングを監査して、Azure AD 認証を有効にします。Azure AD 認証により、データベースユーザーやその他の Microsoft サービスの権限管理を簡素化し、ID を一元管理できます。 |
| リソースグループにタグとその値を必須にする | 必須タグとその値をリソースグループに強制します。 |
| リソースにタグとその値を必須にする | 必須のタグとその値を強制します。リソースグループには適用されません。 |
タグは、特定のキーと値のペアをメタデータとしてリソースに割り当てることができる機能です。タグは名前と値で構成されます。 タグ名は大文字と小文字を区別しませんが 、 タグ値は大文字と小文字を区別します 。すべてのCitrix リソースには、少なくとも次のタグを付ける必要があります。
所有者: [所有組織または部門] 電子メール: [リソースに何か問題が発生した場合に連絡する電子メールまたは配布リスト] 環境: [実稼働、プリプロダクション、開発、テスト、サンドボックス]
Azure タグは、環境内の Citrix リソースを整理、検索、レポートするための強力な方法です。たとえば、コスト分析レポートを使用して、リソースグループまたはリソースタグに基づいてスコープ別にコストを表示できます。
セキュリティセンターは、Azure アカウントのすべてのサブスクリプションのセキュリティ脆弱性を自動的に監視します。これらの推奨事項を毎月確認し、重要度が「高」または「中」の推奨事項がある場合は、できるだけ早く実施してください。
このセクションでは、Citrix Cloud に必要なAzure RBACロールの設定方法に関する詳細なガイダンスを提供します。Azure の Citrix リソースには、コンソール、Azure CLI、Azure PowerShell、および Rest API を介してアクセスできます。Azure RBAC は、Azure リソースへのきめ細かなアクセス管理を提供する Azure Resource Manager (ARM) 上に構築された認証システムです。
一部の導入環境では、特にCitrixリソースに独自のサブスクリプションがある場合は、広範囲にわたるコントリビューターの役割を使用してCitrix Cloud へのアクセスを許可しても問題ありません。ただし、通常、Citrix 環境を保護する最善の方法は、役割を最低限必要な権限に制限することです。リソースグループ、アプリ登録、役割がCitrix Cloud とどのように統合されるかについて説明します。また、Azure AD に直接簡単にインポートできるカスタムロールも提供しています。
すべてのCitrix リソースは、Citrix 導入専用のリソースグループに含まれている必要があります。Citrix関連のすべてのリソースがリソースグループ内に存在する場合、RBACポリシーをリソースグループレベルで簡単に適用できます。
最も安全な環境では、少なくとも 2 つのリソースグループを作成する必要があります。
Citrix_Infrastructureには 、Cloud Connectorやマスターイメージ仮想マシンを含むすべてのCitrix インフラストラクチャコンポーネントが含まれています。通常、インフラストラクチャには、サブスクリプションごとに 1 つのリソースグループで十分です。
Citrix_MachineCatalog には、Citrix VDA 仮想マシンが含まれています。MCSウィザードでは、デフォルトでマシンカタログの新しいリソースグループを作成するように求められるため、通常は複数のリソースグループがあります。ほとんどのCitrix 環境では、複数のマシンカタログが存在します。
アプリ登録は、Citrix CloudアカウントとAzureの間に一方向の信頼関係を築き、Citrix CloudがAzureを信頼するようにするプロセスです。このプロセス中に、Citrix Cloud 用のAzureサービスプリンシパルアカウントが作成されます。Citrix Cloud は、このアカウントをホスティング接続経由のすべてのAzureアクションに使用します。ホスティング接続はCitrix Cloud コンソールで構成されます。ホスティング接続は、Citrix Cloud をクラウドコネクタ経由でAzureのリソースの場所にリンクします。
Citrix リソースを含むリソースグループへのアクセス権をサービスプリンシパルに付与する必要があります。このアクセスを許可する最適な方法は、会社のセキュリティ体制によって決まります。サブスクリプションへのアクセス権をコントリビューターレベルで提供することも、サービスプリンシパル用のカスタムロールを作成することもできます。
サービスプリンシパルを作成するときに、次の値を設定します。
リダイレクト URLを有効にして、https://citrix.cloud.comの値をWebに設定します 。
API権限には、[所属組織が使用している API] タブにあるWindows Azure サービス管理 APIで選択したuser_impersonationの委任権限が必要です 。
証明書とシークレットには新しいクライアントシークレットを作成する必要があり 、推奨される有効期限は1年間です。この証明書は、セキュリティキーの更新スケジュールの一部として更新する必要があることに注意してください。
Citrix Cloud 内でホスティング接続を設定するには、アプリケーション登録のアプリケーション(クライアント)IDとクライアントSecretKey値の両方が必要です。
Citrix Cloud とAzure AD がどのように構成されているかに応じて、Azure AD テナントに1つ以上のエンタープライズアプリケーションが作成されます。これらのアカウントにより、Citrix Cloud はAzure AD テナントに保存されているデータにアクセスできます。表3 Azure AD のCitrix Cloud エンタープライズアプリケーションには、アプリケーションIDとその目的が記載されています。
| エンタープライズアプリケーション ID | 目的 |
|---|---|
| f9c0e999-22e7-409f-bb5e-956986abdf02 | Azure AD と Citrix Cloud 間のデフォルト接続 |
| 1b32f261-b20c-4399-8368-c8f0092b4470 | 管理者への招待とログイン |
| e95c4605-aeab-48d9-9c36-1a262ef8048e | ワークスペース登録者ログイン |
| 5c913119-2257-4316-9994-5e8f3832265b | Citrix Endpoint Managementを使用したAzure ADとCitrix Cloud間のデフォルトの接続 |
| e067934c-b52d-4e92-b1ca-70700bd1124e | Citrix Endpoint Managementを使用したAzure ADとCitrix Cloud間の従来の接続 |
各エンタープライズアプリケーションは、Microsoft Graph またはWindows Azure Active Directory APIのいずれかにCitrix Cloud 固有の権限を付与します。たとえば、Workspace サブスクライバーログインでは、両方の API に User.Read 権限が付与されるため、ユーザーはサインインして自分のプロフィールを読むことができます。付与される権限の詳細については、 こちらをご覧ください。
コントリビュータービルトインロールには最も幅広い権限セットが含まれており、サブスクリプションレベルでサービスプリンシパルアカウントに割り当てるとうまく機能します。サブスクリプションレベルでコントリビューター権限を付与するには、Azure AD グローバル管理者アカウントが必要です。許可されると、AzureはCitrix Cloud からAzAzure AD への初回接続時に必要な権限の入力を求めます。ホスト接続の作成時に認証に使用されるアカウントはすべて、少なくともサブスクリプションの共同管理者でなければなりません。このレベルの権限により、Citrix Cloud は必要なオブジェクトを無制限に作成できます。通常、このアプローチは、サブスクリプション全体がCitrix リソース専用である場合に使用されます。
環境によっては、サービスプリンシパルがサブスクリプションレベルでコントリビューター権限を持つことを許可していません。Citrix、ナロースコープサービスプリンシパルと呼ばれる代替ソリューションを提供しています。対象範囲の狭いサービスプリンシパルでは、Azure AD グローバル管理者がアプリケーション登録を手動で完了します。次に、サブスクリプション管理者がサービスプリンシパルアカウントに適切な権限を手動で付与します。対象範囲が狭いサービスプリンシパルには、サブスクリプション全体に対するコントリビューター権限はありません。むしろ、コントリビューター権限の範囲は、マシンカタログの管理に必要なリソースグループ、ネットワーク、イメージだけに絞り込まれています。範囲が狭いサービスプリンシパルには、次のコントリビューター権限が必要です。
作成済みリソースグループ:仮想マシンの共同作成者、ストレージアカウント共同作成者、およびディスクスナップショット共同作成者
仮想ネットワーク:仮想マシンの貢献者
ストレージアカウント:仮想マシンの貢献者
対象範囲が狭いサービス・プリンシパルは、範囲が限定されているものの、依然として広範なコントリビューター権限を付与しています。これは、セキュリティが重視される環境では依然として受け入れられません。Citrix、サービスプリンシパルに必要な権限のみを付与するために使用できる2つのカスタムロールを開発しました。Citrix ホストロールはホスト接続を作成するアクセス権を付与し、Citrix マシンカタログロールはCitrix ワークロードを作成するためのアクセス権を付与します。
これは、ホスト接続を使用するために必要な最小限の権限を含むCitrix ホストロールのJSONです。マシンカタログのマスターイメージにスナップショットまたはディスクのみを使用している場合は、未使用のアクションを「アクション」リストから削除できます。
図 1 Citrix ホストの役割 (JSON)
{
“id”: “”,
“properties”: {
“roleName”: “Citrix_Hosting_Connection”,
“description”: “ホスティング接続を作成する最低限の権限。Cloud Connector、マスターイメージ、仮想ネットワークリソースなどのCitrix Infrastructureを含むリソースグループに割り当てる”,
“assignableScopes”: [
”/”
],
“permissions”: [
{
“actions”: [
“Microsoft.Resources/subscriptions/resourceGroups/read”,
“Microsoft.Compute/snapshots/read”
“Microsoft.Compute/disks/read”,
“Microsoft.Network/virtualNetworks/read”,
“Microsoft.Network/virtualNetworks/subnets/join/action”
],
“notActions”: [],
“dataActions”: [],
“notDataActions”: []
}
]
}
}
Citrix_Hosting_Connectionカスタムロールは、Cloud Connector、マスターイメージ、 または仮想ネットワークリソースを持つCitrix_Infrastructureリソースグループに割り当てられます 。この JSON をコピーして、カスタム Azure AD ロールに直接貼り付けることができます。
Citrixマシンカタログウィザードで使用されるCitrix マシンカタログロールのJSONは次のとおりです。このロールは、Azure内でCitrix リソースを作成するために必要な最小限の権限を提供します。
図 2 Citrix マシンカタログロール (JSON)
{
“id”: “”,
“properties”: {
“roleName”: “Citrix_Machine_Catalog”,
“description”: “マシンカタログを作成するための最低限の権限。Virtual Delivery Agentを実行しているCitrix ワークロードサーバーを含むリソースグループに割り当てます。”,
“assignableScopes”: [
”/”
],
“permissions”: [
{
“actions”: [
“Microsoft.Resources/subscriptions/resourceGroups/read”,
“Microsoft.Storage/storageAccounts/listkeys/action”,
“Microsoft.Storage/storageAccounts/read”,
“Microsoft.Storage/storageAccounts/write”,
“Microsoft.Network/networkSecurityGroups/write”,
“Microsoft.Compute/virtualMachines/write”,
“Microsoft.Compute/virtualMachines/start/action”,
“Microsoft.Compute/virtualMachines/restart/action”,
“Microsoft.Compute/virtualMachines/read”,
“Microsoft.Compute/virtualMachines/powerOff/action”,
“Microsoft.Compute/virtualMachines/performMaintenance/action”,
“Microsoft.Compute/virtualMachines/deallocate/action”,
“Microsoft.Compute/virtualMachines/delete”,
“Microsoft.Compute/virtualMachines/convertToManagedDisks/action”,
“Microsoft.Compute/virtualMachines/capture/action”,
“Microsoft.Compute/snapshots/endGetAccess/action”,
“Microsoft.Compute/snapshots/beginGetAccess/action”,
“Microsoft.Compute/snapshots/delete”,
“Microsoft.Compute/snapshots/write”,
“Microsoft.Compute/snapshots/read”,
“Microsoft.Compute/disks/endGetAccess/action”,
“Microsoft.Compute/disks/delete”,
“Microsoft.Compute/disks/beginGetAccess/action”,
“Microsoft.Compute/disks/write”,
“Microsoft.Network/networkSecurityGroups/read”,
“Microsoft.Network/networkInterfaces/delete”,
“Microsoft.Network/networkInterfaces/join/action”,
“Microsoft.Network/networkInterfaces/write”,
“Microsoft.Network/networkInterfaces/read”,
“Microsoft.Storage/storageAccounts/listServiceSas/action”,
“Microsoft.Storage/storageAccounts/listAccountSas/action”,
“Microsoft.Storage/storageAccounts/delete”,
“Microsoft.Compute/disks/read”,
“Microsoft.Resources/subscriptions/resourceGroups/delete”,
“Microsoft.Resources/subscriptions/resourceGroups/write”,
“Microsoft.Network/virtualNetworks/subnets/join/action”,
“Microsoft.Network/virtualNetworks/subnets/read”,
“Microsoft.Network/virtualNetworks/read”,
“Microsoft.Network/networkSecurityGroups/join/action”
],
“notActions”: [],
“dataActions”: [],
“notDataActions”: []
}
]
}
}
Citrix_Machine_Catalogカスタムロールは、 Citrix VDA仮想マシンを保持するCitrix_MachineCatalogリソースグループに割り当てられます 。この JSON をコピーして、カスタム Azure AD ロールに直接貼り付けることができます。
MicrosoftとCitrix はどちらも、注意が必要なセキュリティイベントをユーザーに警告するために使用できるセキュリティベースのサービスを提供しています。このセクションでは、これらのサービスの使用方法について詳しく説明するものではありません。代わりに、このセクションでは、推奨されるサービスと、その機能を使用してセキュリティを向上させる方法を示します。詳細については、「 Azure での Citrix デプロイメントの監視 」ドキュメントを参照してください。
Defender for Cloud は、これまで Azure セキュリティセンターと Azure Defender にあった機能を組み合わせたサービスです。このサービスでは、Azure リソースを継続的に評価し、デプロイのセキュリティ体制を示す総合スコアを提供します。Defender for Cloud は、サービスによって特定された問題を解決する方法について直接ガイダンスを提供します。推奨事項は、Microsoft が作成した Azure 固有のガイドラインセットである Azure セキュリティベンチマークに基づいています。
Microsoft Sentinel は、セキュリティ情報およびイベント管理 (SIEM) システムであると同時に、セキュリティオーケストレーション、自動化、および対応 (SOAR) システムでもあります。Sentinel はクラウドネイティブサービスとして設計および構築されました。Sentinelは、高度な人工知能を使用して、すべてのコンテンツソースを継続的に監視し、疑わしいアクティビティがないか探します。Sentinelは、エージェントとデータコネクタを介して大規模なデータを収集および監視するための中心的な場所を提供します。セキュリティインシデントは、トリガーされたアラートと一般的なタスクへの自動応答を通じて追跡されます。Sentinelは複数のクラウドにまたがり、オンプレミスのインフラストラクチャと連携して運用できるため、ハイブリッドCitrix 環境に最適です。
Microsoft Sentinel は、さまざまなベンダーのデータコネクタをサポートしています。これらのベンダーには、セキュリティ、ネットワーク、およびアプリケーションベンダーが含まれます。これらのデータコネクタをインストールすると、Citrix 環境で役立ちます。
Citrix は設計上セキュリティが確保されるように設計されていますが、ユーザーは依然として弱点であり、ログイン認証情報が漏洩する可能性があります。Azure で Citrix を実行する場合、アプリケーションやデータへのアクセスを保護する最善の方法の 1 つは、ネットワークトラフィックを監視することです。トラフィック分析は、ネットワークのトラフィックフローを分析して関連情報を提供するように設計されています。Traffic Analytics は、未加工のフローログとネットワークトポロジの知識を組み合わせることで、ネットワーク通信の包括的なビューを提供できます。レポートには、最もアクティブなホストまたはホストペア、使用中の上位プロトコル、ブロックされたトラフィック、開いているポート、不正ネットワーク、およびトラフィック分散が含まれます。
Citrix Analytics、デバイス、ネットワーク、アプリケーション全体でCitrix ユーザーから収集したデータを集約するクラウドベースのサービスです。Citrix Analytics 唯一の目的は、実用的な洞察につながる可能性のある関係や傾向を特定することです。Analyticsは、組み込みの機械学習(ML)アルゴリズムを利用して、Citrix ユーザーの問題を示す可能性のある行動の異常を検出します。Citrix Analytics、Microsoftを含むサードパーティプロバイダーと協力して、分析用のデータを収集します。
Citrix Analytics for Securityは、ユーザーとアプリケーションの動作に焦点を当てています。セキュリティ分析モジュールは、主に内部からの脅威や外部からの悪意のある行動を探します。Citrix Analytics クスは、以下のCitrix およびMicrosoft 製品と統合されます。
データは、Kafka トピックや Microsoft Sentinel などの LogStash ベースのデータコネクタをサポートする任意の SIEM サービスに統合できます。データをカンマ区切り値 (CSV) 形式でエクスポートして、他のシステムで分析することもできます。
https://docs.microsoft.com/en-us/azure/architecture/framework/security/overview
https://docs.microsoft.com/en-us/azure/role-based-access-control/overview
https://docs.microsoft.com/en-us/azure/virtual-network/network-security-groups-overview
https://docs.microsoft.com/en-us/azure/security/fundamentals/network-best-practices
https://azure.microsoft.com/fr-fr/blog/applicationsecuritygroups/
https://docs.microsoft.com/en-us/azure/virtual-network/service-tags-overview
https://docs.microsoft.com/en-us/azure/private-link/availability
https://docs.citrix.com/en-us/tech-zone/design/reference-architectures/gdpr.html
https://docs.citrix.com/en-us/tech-zone/build/tech-papers/antivirus-best-practices.html
https://docs.citrix.com/en-us/tech-zone/build/tech-papers/networking-tls-best-practices.html
https://docs.citrix.com/en-us/tech-zone/learn/tech-insights/federated-authentication-service.html
https://docs.citrix.com/en-us/tech-zone/learn/tech-insights/virtual-apps-and-desktops-service.html
https://docs.citrix.com/en-us/tech-zone/build/tech-papers/citrix-communication-ports.html
https://docs.citrix.com/en-us/citrix-gateway-service/hdx-edt-support-for-gateway-service.html