PoCガイド:AzureのセキュアブラウザとNetScaler ADCを使用したURLリダイレクト

概要

ここでは、最新のNetScaler ADCマーケットプレイステンプレートを使用して、ADCの設定、SSL転送プロキシ、SSLインターセプトを構成するための構成手順を示します。ADCのセキュア・ブラウザへのURLリダイレクト機能により、管理者は特定のWebサイトのカテゴリを定義して、ローカル・ブラウザからセキュア・ブラウザに自動的にリダイレクトできます。NetScaler ADCは、ローカルブラウジングとインターネット間のインターセプトを行うための中間プロキシとして機能し、Web分離を実現し、企業ネットワークを保護します。この機能により、ユーザーエクスペリエンスを損なうことなくセキュリティが向上します。

概念アーキテクチャ

リモートブラウザ分離サービスアーキテクチャへの URL リダイレクト

スコープ

この概念実証ガイドでは、次の内容について説明します。

  1. セキュリティで保護されたブラウザトライアルアカウントの取得
  2. Azure で ADC をセットアップする
  3. NetScaler ADCアプライアンスをプロキシとしてセットアップする
  4. SSL インターセプトを設定する
  5. 書き換えポリシーとアクションの設定

展開手順

セクション 1: セキュリティで保護されたブラウザトライアルアカウントの取得

[リモートブラウザ分離サービスのリファレンスドキュメント] /en-us/citrix-remote-browser-isolation)

セキュアブラウザの試用版をリクエストする

  1. Citrix Cloudアカウントに移動し、ユーザー名とパスワードを入力します

  2. [サインイン] をクリックします。アカウントが複数の顧客を管理している場合は、適切な顧客を選択してください

    Citrix Cloud にログインする

  3. [ セキュリティで保護されたブラウザ] タイルをダブルクリックします。

    セキュリティで保護されたブラウザタイル

  4. アカウントチームが誰であるかを知っている場合は、その担当者に連絡して、トライアルの承認を受けてください。アカウントチームが不明な場合は、次の手順に進みます。

  5. [ 電話をリクエスト] をクリックします。

    電話をリクエストする

  6. 詳細を入力し、 コメントセクションに「リモートブラウザ分離サービストライアル」と指定してください。

  7. [Submit] をクリックします。

    コールフォームをリクエストする

    注:

    Citrix Salesからお客様に連絡し、サービスへのアクセス権を付与します。これはすぐにではなく、Citrixの営業担当が連絡する

  8. Secure Browserトライアルが承認されたら、 Citrix ドキュメントの「 セキュリティで保護されたブラウザーを公開する 」セクションを参照して 、Secure Browserアプリを公開します。

URL パラメータを有効にする

  1. Citrix Cloudサブスクリプションで、 セキュリティで保護されたブラウザータイルをダブルクリックします

  2. この例では「ブラウザ」と呼ばれる公開ブラウザで、3 つのドットをクリックし、[ ポリシー]

    公開されたブラウザアプリ

  3. 公開ブラウザで URL パラメータポリシーを有効にする

    URL パラメータポリシーの有効化

セクション 2: Azure での ADC の設定

ADCは、任意のクラウドに設定できます。この例では、Azure が選択したクラウドです。

ADC インスタンスの設定

  1. [ すべてのリソース ] に移動して [ + 追加 ] ボタンをクリックし、[NetScaler ADC] を検索します。

  2. NetScaler ADCテンプレートの選択

  3. 要件に応じてソフトウェアプランを選択します(この例では、独自のライセンスを持参)

  4. [作成] をクリックします

    Azure で ADC をセットアップする

NICカードの構成

  1. [ すべてのリソース ] に移動し、ADC インスタンスの NIC カードを選択します。

  2. [ IP 構成] を選択し、 ADC 管理アドレスをメモします

  3. IP 転送設定を有効にし、変更を保存します。

    ADC用のNICの設定

仮想 IP の構成

  1. [ 追加] をクリックし、新しい設定の名前としてvirtualipを設定します。

  2. [ 静的 ] を選択し、管理アドレスの後に新しい IP アドレスを追加します

  3. パブリックアドレスオプションを有効にし、新しいパブリック IP アドレスを作成します

  4. 変更を保存する

    仮想 IP の構成

クライアントで FQDN を設定する

  1. virtualip構成用に作成されたパブリック IP アドレスリソースに移動します。

  2. [ 構成] をクリックし、DNS ラベルを追加します (この例では、 urlredirection.eastus.cloudapp.azure.com)

    完全修飾ドメインの設定

ネットワークルールの設定

  1. 次のネットワークルールを追加します

    ネットワークルール

    注:

    ポート22と443は、設定後に閉じることができます。これらのポートは、設定目的で管理コンソールへのログインにのみ必要です。

  2. この時点で 、Azure の ADC インスタンスがセットアップされます

セクション 3: NetScaler ADC アプライアンスをプロキシとしてセットアップする

クライアントブラウザからインターネットにトラフィックをルーティングするプロキシとして ADC を設定します。

ADC 管理コンソールにログインする

  1. ブラウザの検索バーにインスタンスのパブリック IP アドレスを入力して、NetScaler ADC 管理コンソールに移動します。

    注:

    この例では、前の手順でプロビジョニングしたマシンの IP アドレスを使用します。 https://40.88.150.164/

  2. 前の手順で設定したユーザー名とパスワードを入力して、コンソールにログインします

    管理コンソールにログインする

  3. 初期設定画面で、[ 続行] をクリックします。

ライセンスのアップロード

  1. [ システム] > [ライセンス] > [ライセンスの管理]に移動します

  2. ADCに必要なライセンスをアップロードします。

    注:

    持ち込むライセンスは、「基本機能の構成」および「高度な機能の構成」の手順11と13で強調表示された機能をサポートしている必要があります(例:CNS_v3000_server_Plt_Retail.lic、CNS_Webf_SServer_Retail.lic)

    ライセンスを管理

  3. 両方のライセンスをアップロードした後、サーバを再起動します

  4. 再起動後、管理に再度ログインします

  5. [ システム] > [設定] > [モードの設定]に移動します

  6. Mac ベースの転送とパスMTU 検出は2 つのオプションのみを有効にする必要があります

    モードの設定

    モードの設定

  7. [ システム] > [設定] > [基本機能の構成]に移動します。

    基本機能を構成する

  8. SSL OffloadingLoad BalancingRewriteAuthentication, Authorization, and AuditingContent SwitchingIntegrated Cachingを選択します。

    基本機能を構成する

  9. [ システム] > [設定] > [高度な機能の構成]に移動します

    高度な機能の構成

  10. Cache RedirectionIPv6 Protocol TranslationAppFlowReputationForward ProxyContent InspectionResponderURL FilteringSSL Interceptionを選択します。

    高度な機能の構成

NTPサーバのセットアップ

  1. [ システム] > [NTPサーバー] > [追加]に移動します

    NTPサーバのセットアップ

  2. たとえば、サーバーを作成する。pool.ntp.org

    NTPサーバのセットアップ

  3. プロンプトが表示されたらNTPを有効にし、サーバを有効に設定します。

    NTPサーブのセットアップ

  4. 管理ポータルの保存アクションから構成を保存する

    構成を保存

  5. ADC 管理アドレスへの SSH セッションを開き、Azure から ADC をプロビジョニングするときに使用した資格情報でログインします。

TCP プロファイルと仮想サーバーのセットアップ

  1. セクション 2の手順からvirtualipを取得し、コマンドを入力します(この例では 10.1.0.5)。

  2. sslproxyアドレス(virtualipなど)を指定して、次のコマンドを実行します。

  3. TCP プロファイルを追加するには、次の手順に従います。

    add ns tcpProfile proxy-tcpprofile01 -dynamicReceiveBuffering ENABLED -KA ENABLED -mptcp ENABLED -mptcpDropDataOnPreEstSF ENABLED -mptcpSessionTimeout 360 -builtin MODIFIABLE
    <!--NeedCopy-->
    
  4. 仮想サーバを追加するには

    add cs vserver sslproxy01 PROXY 10.1.0.5 8080 -cltTimeout 360 -tcpProfileName proxy-tcpprofile01 -persistenceType NONE
    
    bind cs vserver sslproxy01 -lbvserver azurelbdnsvserver
    
    add netProfile proxy-netprofile01 -srcIP 10.1.0.5 -srcippersistency ENABLED -MBF ENABLED -proxyProtocol ENABLED -proxyProtocoltxversion V2
    
    set cs vserver sslproxy01 -netProfile proxy-netprofile01
    
    set ssl vserver sslproxy01 -sslProfile ns_default_ssl_profile_frontend
    
    save ns config
    <!--NeedCopy-->
    
  5. キャッシュ設定を変更するには 、ブラウザの管理セッションに戻ります

  6. [ 最適化] > [統合キャッシュ] に移動します

  7. [ 設定] > [キャッシュ設定の変更] に移動します。

    キャッシュ設定の変更

  8. メモリ使用量の制限を250 MBに設定し「OK」をクリックします

    メモリ使用量の制限

URL リダイレクト用にクライアントをセットアップする

  1. クライアントでは、例えば Firefox

  2. セクション 2 で設定したブラウザプロキシを virtualip、パブリック IP、または FQDN に設定します(例: urlredirection.eastus.cloudapp.azure.com:8080)。

    ブラウザプロキシの設定

  3. これで ADC をセットアップしたので、ブラウザーから ADC がプロキシとして動作する Web サイトの接続をテストします。

セクション 4: SSL インターセプトを設定する

SSLインターセプションでは、代行受信、ブロック、または許可するトラフィックを指定するポリシーを使用します。トラフィックを傍受する一般的なポリシーを1つ構成し、一部のトラフィックをバイパスするより具体的なポリシーを構成することをお勧めします。

参照先ドキュメント:

SSLインターセプション

URL カテゴリ

設定のビデオ例

RSA キーを作成する

  1. [ トラフィック管理] > [SSL] > [SSL ファイル] > [キー]に移動します

  2. [ RSA キーの作成] を選択します

    RSA キーの作成

  3. キーファイル名と必要なキーサイズを選択します

    RSA キーの作成

  4. キーが作成されたら、後で使用するために.keyファイルをダウンロードします

    RSA キーの作成

証明書署名要求(CSR)の作成

  1. [ トラフィック管理] > [SSL] > [SSL ファイル] > [CSR] > [証明書署名要求 (CSR) の作成]に移動します。

    CSR

  2. リクエストファイルに名前を付けます。たとえば、 semesec_req1.req

    CSR作成

  3. キーファイル名」(Key Filename) >「適用」(Appliace ) をクリックします。キーファイル名は、前の手順で作成した名前です (この例ではsmesec_key1.key)

    CSR作成

  4. キーを選択した後、必要な空白に続けて入力します:共通名、組織名、州または省

  5. [作成] をクリックします

証明書を作成する

  1. トラフィック管理 > SSL > SSL ファイル > 証明書 > 証明書の作成に移動します

    証明書の作成

  2. 証明書に名前を付けて、前の手順で作成した証明書要求ファイル (.req) とキーファイル名 (.key) の両方を選択します。

    証明書の作成

  3. [作成] をクリックします

  4. 証明書が作成されたら、後で使用するために.certファイルをダウンロードします

    証明書の作成

SSL インターセプトポリシーの作成

  1. [ トラフィック管理] > [SSL] > [ポリシー]に移動します

  2. [追加]をクリックします

    SSL ポリシーの作成

  3. ポリシーに名前を付けて、INTERCEPT アクションを選択します

  4. ニュースを傍受する表現:

    client.ssl.detected_domain.url_categorize(0,0).category.eq("News")

  5. [作成] をクリックします

    SSL インターセプトの作成

  6. インターセプトポリシーを仮想サーバーにバインドするには、 [セキュリティ] > [SSL フォワードプロキシ] > [プロキシ仮想サーバー] に移動します。

    SSL proxy01

  7. 仮想サーバーを選択します。この例では sslproxy01

  8. [ SSL ポリシーの追加 ] を選択し、[ SSL ポリシーのバインドなし] をクリックします。

  9. インターセプトポリシーをバインドします。

    インターセプトのバインドポリシー

SSL バイパスポリシーの作成

  1. [ トラフィック管理] > [SSL] > [ポリシー]に移動します

  2. [追加]をクリックします

    SSL ポリシーの作成

  3. ポリシーに名前を付けて、NOOP アクションを選択します。BYPASS オプションはありません。次の手順を参照してください。

  4. ポリシーをバイパスする式: CLIENT.SSL.DETECTED_DOMAIN.CONTAINS("cloud")

    Create bypass policy

  5. [ セキュリティ] > [SSL 転送プロキシ] > [SSL インターセプトポリシー]に移動します

    SSL バイパスポリシー

  6. ポリシーを選択して編集します

  7. アクションをNOOP から BYPASS に変更する

  8. [OK]をクリックします

    SSL バイパスポリシー

  9. アクションがBYPASSになったことをダブルチェックする

  10. [ トラフィック管理] > [SSL] > [ポリシー] に戻って、変更を再度確認します。

    ポリシーのバイパス

  11. バイパスポリシーを仮想サーバーにバインドするには、[ セキュリティ] > [SSL フォワードプロキシ] > [プロキシ仮想サーバー] に移動します。

    SSL proxy01

  12. この例では、仮想サーバーをダブルクリックします。 sslproxy01

  13. [ SSL ポリシーの追加 ] を選択し、[ SSL ポリシーバインド] をクリックします。

  14. バイパスポリシーをバインドする > 追加

    ステップ 5.7

  15. バインド] をクリックします

    ステップ5.8

    注:

    このポリシーは、セキュアブラウザに向かうトラフィックの ADC インターセプトをバイパスするために作成されます。 launch.cloud.com

SSL プロファイルの作成

  1. システム > プロファイル > SSL プロファイル > 追加に移動します

    ステップ6.1

  2. 名前を付けて、プロファイルを作成します。この例では、smesec_swg_sslprofile

    SSL プロファイル名

  3. SSL セッションインターセプトを有効にするチェックボックスをオンにして、「OK」をクリックします。

    ステップ6.3

  4. 「OK」をクリックして SSL プロファイルを作成します。

  5. 証明書キーペアをインストールする必要があります

  6. 以前に証明書とキーペアの.pfx形式があることを確認してください。以前にダウンロードした.certファイルと.keyファイルから.pfxファイルを生成する方法については 、次の手順を参照してください。

証明書とキーのペアを準備する

  1. まず、 SSL ツールをインストールします

  2. システム環境変数にopensslインストールパスを追加します。

    SSL インストールのパス

  3. PowerShell から、次のコマンドを実行します。

    openssl pkcs12 -export -out smesec_cert1.pfx -inkey smesec.key1.key -in smesec.cert1.cert

    PowerShell スクリーンショット

SSL インターセプト CA 証明書を SSL プロファイルにバインドする

  1. [ システム] > [プロファイル] > [SSL プロファイル] に移動します

  2. 前に作成したプロファイルを選択します

  3. [ + 証明書キー] をクリックします。

  4. [ インストール] をクリックします

  5. 前に準備した.pfx ファイルを選択します

  6. パスワードを作成する(後で必要とする)

  7. [ インストール] をクリックします

    手順8

SSLプロファイルを仮想サーバにバインドします

  1. [ セキュリティ] > [SSL 転送プロキシ] > [プロキシ仮想サーバー] に移動します

    SSL proxy01

  2. 仮想サーバーを選択します。この例では sslproxy01

  3. クリックして SSL プロファイルを編集します

    SSL プロファイルの編集

  4. 以前に作成した SSL プロファイル (この例では) を選択します。 smesec_swg_sslprofile

  5. Done

セクション 5: 書き換えポリシーとアクションの設定

書き換えポリシーは、規則とアクションで構成されます。このルールは、書き換えが適用されるトラフィックを決定し、アクションによってNetScaler ADCが実行するアクションを決定します。書き換えポリシーは、ブラウザに入力されたURLのカテゴリ(この例では「ニュース」)に基づいてセキュアブラウザにURLリダイレクトを行うために必要です。

Reference

リライトポリシーとアクションの作成

  1. AppExpert > 書き換え > ポリシーに移動します

  2. [追加]をクリックします

    書き換えポリシーの作成

  3. この例では cloud_pol という名前でポリシーを作成し、次の式を使用します。 HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY.EQ("News")

  4. [作成] をクリックします

    書き換えポリシーの作成

  5. PuTTY でアクションを作成する

  6. 次のコマンドを実行します:

    add rewrite action cloud_act REPLACE_HTTP_RES q{"HTTP/1.1 302 Found" + "\r\n" + "Location: https://launch.cloud.com/<customername>/<appname>?url=https://" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL.PATH) + "\r\n\r\n\" "}

    注:

    コマンドでは、<customername>をCitrix Cloudの顧客アカウント名に置き換え、<appname>をURLパラメータポリシーが有効になっているセキュアブラウザの公開アプリケーション名で置き換えます。第 1 項で作成した公開アプリを参照します。

リライトポリシーを仮想サーバにバインドする

  1. ADC管理コンソールに戻る

  2. AppExpert > 書き換え > ポリシーに移動します

  3. ポリシー cloud_pol に移動し、アクションを cloud_act(以前に作成したもの)に変更します。

    cloud_act アクション

  4. 書き換えポリシーのタイプを選択するには、[ セキュリティ] > [SSL フォワードプロキシ] > [プロキシ仮想サーバー] に移動します

  5. 「+ ポリシー」を選択します。

  6. ポリシー:書き換え

  7. タイプ:応答

    ステップ11.2

  8. 作成したポリシーを選択します。この例では cloud_pol

  9. 優先度:10

  10. バインド

    ステップ11.3

  11. [完了] をクリックします

  12. 構成を保存

証明書キーをプロファイルにバインドする

  1. [ システム] > [プロファイル] > [SSL プロファイル] に移動します

  2. 作成したプロファイルを選択します(例: smesec_swg_sslprofile

  3. [ + 証明書キー] をダブルクリックします。

    ステップ12.2

  4. 証明書キーを選択します(例: smesec_cert_overall

    ステップ 12.3

  5. [Select]をクリックします
  6. バインド] をクリックします
  7. 「完了」をクリックします
  8. 構成を保存

証明書ファイルをブラウザにインポートする

  1. 証明書をFirefoxにアップロードします(ニュースカテゴリのウェブサイトの例に従って)

  2. 選択したブラウザの [オプション] に移動します。この例では Firefox

  3. 「証明書」を検索>「証明書の表示」をクリック

    ステップ 13.1

  4. [証明書マネージャ] ウィンドウで [インポート…] をクリックします。

    ステップ 13.2

  5. 証明書を参照し、[開く] をクリックします(この例ではsmesec_cert1.cert

    ステップ 13.3

  6. 証明書の作成時に作成したパスワードを入力します。

  7. 認証局が正しくインストールされている必要があります

    ステップ 13.4

デモ

ローカルブラウザからのニュースウェブサイトは、セキュアブラウザに自動的にリダイレクトされます。次のデモを参照してください

まとめ

この PoC ガイドでは、Azure で NetScaler ADC をセットアップし、SSL 転送プロキシと SSL インターセプトを構成する方法を学びました。この統合により、ブラウジングをリモートブラウザ分離サービスにリダイレクトすることで、リソースを動的に配信できます。したがって、ユーザーエクスペリエンスを犠牲にすることなく、企業ネットワークを保護します。

PoCガイド:AzureのセキュアブラウザとNetScaler ADCを使用したURLリダイレクト