PoCガイド:AzureのセキュアブラウザとNetScaler ADCを使用したURLリダイレクト

概要

ここでは、最新のNetScaler ADCマーケットプレイステンプレートを使用して、ADCの設定、SSL転送プロキシ、SSLインターセプトを構成するための構成手順を示します。ADCのセキュア・ブラウザへのURLリダイレクト機能により、管理者は特定のWebサイトのカテゴリを定義して、ローカル・ブラウザからセキュア・ブラウザに自動的にリダイレクトできます。NetScaler ADCは、ローカルブラウジングとインターネット間のインターセプトを行うための中間プロキシとして機能し、Web分離を実現し、企業ネットワークを保護します。この機能により、ユーザーエクスペリエンスを損なうことなくセキュリティが向上します。

概念アーキテクチャ

スコープ

この概念実証ガイドでは、次の内容について説明します。

1. セキュリティで保護されたブラウザトライアルアカウントの取得
2. Azure で ADC をセットアップする
3. NetScaler ADCアプライアンスをプロキシとしてセットアップする
4. SSL インターセプトを設定する
5. 書き換えポリシーとアクションの設定

展開手順

セクション 1: セキュリティで保護されたブラウザトライアルアカウントの取得

[リモートブラウザ分離サービスのリファレンスドキュメント] /en-us/citrix-remote-browser-isolation)

セキュアブラウザの試用版をリクエストする

1. Citrix Cloudアカウントに移動し、ユーザー名とパスワードを入力します

2. ［サインイン］ をクリックします。アカウントが複数の顧客を管理している場合は、適切な顧客を選択してください

   

3. [ セキュリティで保護されたブラウザ] タイルをダブルクリックします。

   

4. アカウントチームが誰であるかを知っている場合は、その担当者に連絡して、トライアルの承認を受けてください。アカウントチームが不明な場合は、次の手順に進みます。

5. [ 電話をリクエスト] をクリックします。

   

6. 詳細を入力し、 コメントセクションに「リモートブラウザ分離サービストライアル」と指定してください。

7. ［Submit］ をクリックします。

   

   注：

   Citrix Salesからお客様に連絡し、サービスへのアクセス権を付与します。これはすぐにではなく、Citrixの営業担当が連絡する

8. Secure Browserトライアルが承認されたら、 Citrix ドキュメントの「 セキュリティで保護されたブラウザーを公開する 」セクションを参照して 、Secure Browserアプリを公開します。

URL パラメータを有効にする

1. Citrix Cloudサブスクリプションで、 セキュリティで保護されたブラウザータイルをダブルクリックします

2. この例では「ブラウザ」と呼ばれる公開ブラウザで、3 つのドットをクリックし、[ ポリシー]

   

3. 公開ブラウザで URL パラメータポリシーを有効にする

   

セクション 2: Azure での ADC の設定

ADCは、任意のクラウドに設定できます。この例では、Azure が選択したクラウドです。

ADC インスタンスの設定

1. [ すべてのリソース ] に移動して [ + 追加 ] ボタンをクリックし、[NetScaler ADC] を検索します。

2. NetScaler ADCテンプレートの選択

3. 要件に応じてソフトウェアプランを選択します（この例では、独自のライセンスを持参）

4. ［作成］ をクリックします

   

NICカードの構成

1. [ すべてのリソース ] に移動し、ADC インスタンスの NIC カードを選択します。

2. [ IP 構成] を選択し、 ADC 管理アドレスをメモします。

3. IP 転送設定を有効にし、変更を保存します。

   

仮想 IP の構成

1. [ 追加] をクリックし、新しい設定の名前としてvirtualipを設定します。

2. [ 静的 ] を選択し、管理アドレスの後に新しい IP アドレスを追加します

3. パブリックアドレスオプションを有効にし、新しいパブリック IP アドレスを作成します

4. 変更を保存する

   

クライアントで FQDN を設定する

1. virtualip構成用に作成されたパブリック IP アドレスリソースに移動します。

2. [ 構成] をクリックし、DNS ラベルを追加します (この例では、 urlredirection.eastus.cloudapp.azure.com)

   

ネットワークルールの設定

1. 次のネットワークルールを追加します

   

   注：

   ポート22と443は、設定後に閉じることができます。これらのポートは、設定目的で管理コンソールへのログインにのみ必要です。

2. この時点で 、Azure の ADC インスタンスがセットアップされます

セクション 3: NetScaler ADC アプライアンスをプロキシとしてセットアップする

クライアントブラウザからインターネットにトラフィックをルーティングするプロキシとして ADC を設定します。

ADC 管理コンソールにログインする

1. ブラウザの検索バーにインスタンスのパブリック IP アドレスを入力して、NetScaler ADC 管理コンソールに移動します。

   注:

   この例では、前の手順でプロビジョニングしたマシンの IP アドレスを使用します。 https://40.88.150.164/

2. 前の手順で設定したユーザー名とパスワードを入力して、コンソールにログインします

   

3. 初期設定画面で、[ 続行] をクリックします。

ライセンスのアップロード

1. [ システム] > [ライセンス] > [ライセンスの管理]に移動します

2. ADCに必要なライセンスをアップロードします。

   注:

   持ち込むライセンスは、「基本機能の構成」および「高度な機能の構成」の手順11と13で強調表示された機能をサポートしている必要があります（例：CNS_v3000_server_Plt_Retail.lic、CNS_Webf_SServer_Retail.lic）

   

3. 両方のライセンスをアップロードした後、サーバを再起動します 。

4. 再起動後、管理に再度ログインします

5. [ システム] > [設定] > [モードの設定]に移動します

6. Mac ベースの転送とパスMTU 検出は2 つのオプションのみを有効にする必要があります

   

   

7. [ システム] > [設定] > [基本機能の構成]に移動します。

   

8. SSL Offloading、Load Balancing、Rewrite、Authentication, Authorization, and Auditing、Content Switching、Integrated Cachingを選択します。

   

9. [ システム] > [設定] > [高度な機能の構成]に移動します

   

10. Cache Redirection、IPv6 Protocol Translation、AppFlow、Reputation、Forward Proxy、Content Inspection、Responder、URL Filtering、SSL Interceptionを選択します。

    

NTPサーバのセットアップ

1. [ システム] > [NTPサーバー] > [追加]に移動します

   

2. たとえば、サーバーを作成する。pool.ntp.org

   

3. プロンプトが表示されたらNTPを有効にし、サーバを有効に設定します。

   

4. 管理ポータルの保存アクションから構成を保存する

   

5. ADC 管理アドレスへの SSH セッションを開き、Azure から ADC をプロビジョニングするときに使用した資格情報でログインします。

TCP プロファイルと仮想サーバーのセットアップ

1. セクション 2の手順からvirtualipを取得し、コマンドを入力します（この例では 10.1.0.5）。

2. sslproxyアドレス（virtualipなど）を指定して、次のコマンドを実行します。

3. TCP プロファイルを追加するには、次の手順に従います。

   add ns tcpProfile proxy-tcpprofile01 -dynamicReceiveBuffering ENABLED -KA ENABLED -mptcp ENABLED -mptcpDropDataOnPreEstSF ENABLED -mptcpSessionTimeout 360 -builtin MODIFIABLE
   <!--NeedCopy-->
   

4. 仮想サーバを追加するには

   add cs vserver sslproxy01 PROXY 10.1.0.5 8080 -cltTimeout 360 -tcpProfileName proxy-tcpprofile01 -persistenceType NONE
   
   bind cs vserver sslproxy01 -lbvserver azurelbdnsvserver
   
   add netProfile proxy-netprofile01 -srcIP 10.1.0.5 -srcippersistency ENABLED -MBF ENABLED -proxyProtocol ENABLED -proxyProtocoltxversion V2
   
   set cs vserver sslproxy01 -netProfile proxy-netprofile01
   
   set ssl vserver sslproxy01 -sslProfile ns_default_ssl_profile_frontend
   
   save ns config
   <!--NeedCopy-->
   

5. キャッシュ設定を変更するには 、ブラウザの管理セッションに戻ります

6. [ 最適化] > [統合キャッシュ] に移動します

7. [ 設定] > [キャッシュ設定の変更] に移動します。

   

8. メモリ使用量の制限を250 MBに設定し 、 「OK」をクリックします

   

URL リダイレクト用にクライアントをセットアップする

1. クライアントでは、例えば Firefox

2. セクション 2 で設定したブラウザプロキシを virtualip、パブリック IP、または FQDN に設定します（例: urlredirection.eastus.cloudapp.azure.com:8080）。

   

3. これで ADC をセットアップしたので、ブラウザーから ADC がプロキシとして動作する Web サイトの接続をテストします。

セクション 4: SSL インターセプトを設定する

SSLインターセプションでは、代行受信、ブロック、または許可するトラフィックを指定するポリシーを使用します。トラフィックを傍受する一般的なポリシーを1つ構成し、一部のトラフィックをバイパスするより具体的なポリシーを構成することをお勧めします。

参照先ドキュメント：

SSLインターセプション

URL カテゴリ

設定のビデオ例

RSA キーを作成する

1. [ トラフィック管理] > [SSL] > [SSL ファイル] > [キー]に移動します

2. [ RSA キーの作成] を選択します

   

3. キーファイル名と必要なキーサイズを選択します

   

4. キーが作成されたら、後で使用するために.keyファイルをダウンロードします

   

証明書署名要求（CSR）の作成

1. [ トラフィック管理] > [SSL] > [SSL ファイル] > [CSR] > [証明書署名要求 (CSR) の作成]に移動します。

   

2. リクエストファイルに名前を付けます。たとえば、 semesec_req1.req

   

3. 「 キーファイル名」(Key Filename) >「適用」(Appliace ) をクリックします。キーファイル名は、前の手順で作成した名前です (この例ではsmesec_key1.key)

   

4. キーを選択した後、必要な空白に続けて入力します:共通名、組織名、州または省

5. ［作成］ をクリックします

証明書を作成する

1. トラフィック管理 > SSL > SSL ファイル > 証明書 > 証明書の作成に移動します

   

2. 証明書に名前を付けて、前の手順で作成した証明書要求ファイル (.req) とキーファイル名 (.key) の両方を選択します。

   

3. ［作成］ をクリックします

4. 証明書が作成されたら、後で使用するために.certファイルをダウンロードします

   

SSL インターセプトポリシーの作成

1. [ トラフィック管理] > [SSL] > [ポリシー]に移動します

2. ［追加］をクリックします

   

3. ポリシーに名前を付けて、INTERCEPT アクションを選択します

4. ニュースを傍受する表現:

   client.ssl.detected_domain.url_categorize(0,0).category.eq("News")

5. ［作成］ をクリックします

   

6. インターセプトポリシーを仮想サーバーにバインドするには、 [セキュリティ] > [SSL フォワードプロキシ] > [プロキシ仮想サーバー] に移動します。

   

7. 仮想サーバーを選択します。この例では sslproxy01

8. [ SSL ポリシーの追加 ] を選択し、[ SSL ポリシーのバインドなし] をクリックします。

9. インターセプトポリシーをバインドします。

   

SSL バイパスポリシーの作成

1. [ トラフィック管理] > [SSL] > [ポリシー]に移動します

2. ［追加］をクリックします

   

3. ポリシーに名前を付けて、NOOP アクションを選択します。BYPASS オプションはありません。次の手順を参照してください。

4. ポリシーをバイパスする式: CLIENT.SSL.DETECTED_DOMAIN.CONTAINS("cloud")

   

5. [ セキュリティ] > [SSL 転送プロキシ] > [SSL インターセプトポリシー]に移動します

   

6. ポリシーを選択して編集します

7. アクションをNOOP から BYPASS に変更する

8. ［OK］をクリックします

   

9. アクションがBYPASSになったことをダブルチェックする

10. [ トラフィック管理] > [SSL] > [ポリシー] に戻って、変更を再度確認します。

    

11. バイパスポリシーを仮想サーバーにバインドするには、[ セキュリティ] > [SSL フォワードプロキシ] > [プロキシ仮想サーバー] に移動します。

    

12. この例では、仮想サーバーをダブルクリックします。 sslproxy01

13. [ SSL ポリシーの追加 ] を選択し、[ SSL ポリシーバインド] をクリックします。

14. バイパスポリシーをバインドする > 追加

    

15. バインド] をクリックします

    

    注:

    このポリシーは、セキュアブラウザに向かうトラフィックの ADC インターセプトをバイパスするために作成されます。 launch.cloud.com

SSL プロファイルの作成

1. システム > プロファイル > SSL プロファイル > 追加に移動します

   

2. 名前を付けて、プロファイルを作成します。この例では、smesec_swg_sslprofile

   

3. SSL セッションインターセプトを有効にするチェックボックスをオンにして、「OK」をクリックします。

   

4. 「OK」をクリックして SSL プロファイルを作成します。

5. 証明書キーペアをインストールする必要があります

6. 以前に証明書とキーペアの.pfx形式があることを確認してください。以前にダウンロードした.certファイルと.keyファイルから.pfxファイルを生成する方法については 、次の手順を参照してください。

証明書とキーのペアを準備する

1. まず、 SSL ツールをインストールします

2. システム環境変数にopensslインストールパスを追加します。

   

3. PowerShell から、次のコマンドを実行します。

   openssl pkcs12 -export -out smesec_cert1.pfx -inkey smesec.key1.key -in smesec.cert1.cert

   

SSL インターセプト CA 証明書を SSL プロファイルにバインドする

1. [ システム] > [プロファイル] > [SSL プロファイル] に移動します

2. 前に作成したプロファイルを選択します

3. [ + 証明書キー] をクリックします。

4. [ インストール] をクリックします

5. 前に準備した.pfx ファイルを選択します

6. パスワードを作成する（後で必要とする）

7. [ インストール] をクリックします

   

SSLプロファイルを仮想サーバにバインドします

1. [ セキュリティ] > [SSL 転送プロキシ] > [プロキシ仮想サーバー] に移動します

   

2. 仮想サーバーを選択します。この例では sslproxy01

3. クリックして SSL プロファイルを編集します

   

4. 以前に作成した SSL プロファイル (この例では) を選択します。 smesec_swg_sslprofile

5. Done

セクション 5: 書き換えポリシーとアクションの設定

書き換えポリシーは、規則とアクションで構成されます。このルールは、書き換えが適用されるトラフィックを決定し、アクションによってNetScaler ADCが実行するアクションを決定します。書き換えポリシーは、ブラウザに入力されたURLのカテゴリ（この例では「ニュース」）に基づいてセキュアブラウザにURLリダイレクトを行うために必要です。

Reference

リライトポリシーとアクションの作成

1. AppExpert > 書き換え > ポリシーに移動します

2. ［追加］をクリックします

   

3. この例では cloud_pol という名前でポリシーを作成し、次の式を使用します。 HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY.EQ("News")

4. [作成] をクリックします

   

5. PuTTY でアクションを作成する

6. 次のコマンドを実行します：

   add rewrite action cloud_act REPLACE_HTTP_RES q{"HTTP/1.1 302 Found" + "\r\n" + "Location: https://launch.cloud.com/<customername>/<appname>?url=https://" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL.PATH) + "\r\n\r\n\" "}

   注：

   コマンドでは、<customername>をCitrix Cloudの顧客アカウント名に置き換え、<appname>をURLパラメータポリシーが有効になっているセキュアブラウザの公開アプリケーション名で置き換えます。第 1 項で作成した公開アプリを参照します。

リライトポリシーを仮想サーバにバインドする

1. ADC管理コンソールに戻る

2. AppExpert > 書き換え > ポリシーに移動します

3. ポリシー cloud_pol に移動し、アクションを cloud_act（以前に作成したもの）に変更します。

   

4. 書き換えポリシーのタイプを選択するには、[ セキュリティ] > [SSL フォワードプロキシ] > [プロキシ仮想サーバー] に移動します

5. 「+ ポリシー」を選択します。

6. ポリシー:書き換え

7. タイプ:応答

   

8. 作成したポリシーを選択します。この例では cloud_pol

9. 優先度:10

10. バインド

    

11. [完了] をクリックします

12. 構成を保存

証明書キーをプロファイルにバインドする

1. [ システム] > [プロファイル] > [SSL プロファイル] に移動します

2. 作成したプロファイルを選択します（例: smesec_swg_sslprofile）

3. [ + 証明書キー] をダブルクリックします。

   

4. 証明書キーを選択します（例: smesec_cert_overall）

   

5. ［Select］をクリックします
6. バインド] をクリックします
7. 「完了」をクリックします
8. 構成を保存

証明書ファイルをブラウザにインポートする

1. 証明書をFirefoxにアップロードします（ニュースカテゴリのウェブサイトの例に従って）

2. 選択したブラウザの [オプション] に移動します。この例では Firefox

3. 「証明書」を検索>「証明書の表示」をクリック

   

4. [証明書マネージャ] ウィンドウで [インポート…] をクリックします。

   

5. 証明書を参照し、[開く] をクリックします（この例ではsmesec_cert1.cert）

   

6. 証明書の作成時に作成したパスワードを入力します。

7. 認証局が正しくインストールされている必要があります

   

デモ

ローカルブラウザからのニュースウェブサイトは、セキュアブラウザに自動的にリダイレクトされます。次のデモを参照してください

まとめ

この PoC ガイドでは、Azure で NetScaler ADC をセットアップし、SSL 転送プロキシと SSL インターセプトを構成する方法を学びました。この統合により、ブラウジングをリモートブラウザ分離サービスにリダイレクトすることで、リソースを動的に配信できます。したがって、ユーザーエクスペリエンスを犠牲にすることなく、企業ネットワークを保護します。