セキュリティの技術概要
このドキュメントは,HDXトランスポート,SaaSアプリ,エンタープライズWebアプリなど,Citrix云でホストされるCitrix网关サービスに関連するすべての機能に適用されます。
Citrix云はCitrix网关サービスの操作を管理し,お客様がCitrix网关アプライアンスを管理する必要性を置き換えます。Citrix网关サービスはCitrix工作区アプリを使用してプロビジョニングされます
Citrix网关サービスでは,次の機能を提供します。
- XenAppユーザー向けのHDX接続——場所を問わず,ユーザーから仮想アプリやデスクトップへのセキュアな接続を提供するサービスです。
- SaaSアプリケーションへの安全なアクセス——統合されたユーザーエクスペリエンスにより,構成済みのSaaSアプリケーションをエンドユーザーに提供します。
- エンタープライズWebアプリケーションへの安全なアクセス——統合されたユーザーエクスペリエンスにより,構成済みのエンタープライズWebアプリケーションをエンドユーザーに提供します。
- デジタルワークスペース内のすべてのアプリとファイルへの安全なアクセス——単一のプラットフォームであるCitrix端点管理を通じてすべてのデバイスを管理するための最新のアプローチです。サポートされているプラットフォームには,デスクトップ,ラップトップ,スマートフォン,タブレット,物联网などがあります。
HDX接続:アプリとデスクトップをホストする仮想配信エージェント(VDA)はクラウドまたはオンプレミスのいずれかのデータセンターで,お客様の制御下にとどまります。これらのコンポーネントは,Citrix云连接器と呼ばれるエージェントを使用してクラウドサービスに接続されます。
SaaSアプリ:サービスとしてのソフトウェア(SaaS)はソフトウェアをWebベースのサービスとしてリモートで提供するためのソフトウェア配布モデルです。一般的に使用されるSaaSアプリケーションには,Salesforce,工作日,同意,GoToMeetingなどがあります。
エンタープライズWebアプリ:Citrix网关サービスを使用したエンタープライズWebアプリ配信では,エンタープライズ固有のアプリケーションをWebベースのサービスとしてリモートで配信できます。一般的に使用されるエンタープライズWebアプリには,SharePoint,融合,OneBugなどがあります。エンタープライズWebアプリケーションにアクセスするには,Citrix网关连接器が必要です。
SaaSアプリケーションとエンタープライズWebアプリケーションは,Citrix网关サービスを使用してCitrix工作区を介してプロビジョニングされます。Citrix GatewayサービスとCitrix Workspaceを組み合わせることで、構成済みのエンタープライズWebアプリ、SaaSアプリ、構成済みの仮想アプリ、またはその他のワークスペースリソースに対する統一されたユーザーエクスペリエンスが提供されます。Secure Accessに加えて、Citrix Gatewayサービスでは、ユーザーが生成したコンテンツに埋め込まれた信頼できないリンクからユーザーを保護します。
端点管理の統合:Citrix端点管理とCitrix工作区に統合すると,Citrix网关サービスにより内部ネットワークとリソースへのセキュアなリモートデバイスアクセスを提供します。端点管理によるCitrix网关サービスのオンボーディングは迅速かつ簡単です。Citrix Gateway サービスには、Secure MailやSecure Web などのアプリに対するCitrix SSO の完全なサポートが含まれています。
データフロー
Citrix网关サービスは,グローバルに分散されたマルチテナントサービスです。エンドユーザーは,Citrix云コントロールプレーンのジオ選択やアクセスするアプリケーションの場所に関係なく,必要な特定の機能を利用できる最も近い流行(ポイントオブプレゼンス)を利用します。認可メタデータなどの設定は,すべての流行に複製されます。
診断,監視,ビジネス,および容量計画のためにCitrixが使用するログは,一元化された場所にセキュリティで保護され,保存されます。
お客様の構成は,一元化された場所に保存され,すべての流行にグローバルに分散されます。
クラウドとお客様の施設間でのデータ通信には,ポート443を介した安全なTLS接続が使用されます。
ユーザー認証およびシングルサインオンに使用される暗号化キーは,ハードウェアセキュリティモジュールに格納されます。
データ分離
Citrix网关サービスには,次のデータが格納されます。
- お客様のアプリケーションの仲介と監視に必要な構成データ。データの範囲はお客様によって保存される場合です。
- 各ユーザデバイスの中能容忍シード——你觉得シードのスコープは,顧客,ユーザー,およびデバイスによって設定されます。
監査と変更管理
現在,Citrix网关サービスでは,監査および変更制御ログを顧客が使用できるようにしていません。Citrixでは,エンドユーザーと管理者のアクティビティを監査するために使用できるログを使用できます。
資格情報の処理
サービスは,次の2種類の認証情報を処理します。
- ユーザー資格情報:Citrix网关サービスでエンドユーザー資格情報(パスワードと認証トークン)を使用して,次の操作を実行できます。
- 安全工作空间访问——サービスは,ユーザーのIDを使用してSaaS,エンタープライズWebアプリケーション,およびその他のリソースへのアクセスを決定します。
- シングルサインオン——サービスは,HTTP基本NTLM,またはフォームベースの認証を使用して,内部WebアプリケーションへのSSO機能を完了するために,ユーザーのパスワードにアクセスできる場合があります。HTTP基本認証を特に構成しない限り,パスワードに使用される暗号化プロトコルはTLSです。
- 管理者資格情報:管理者はCitrix云に対して認証を行います。これにより,管理者がCitrix云の管理コンソールにアクセスできる,ワンタイム署名付きJSON Webトークン(JWT)が生成されます。
注意事項
- パブリックネットワーク上のすべてのトラフィックは,Citrixが管理する証明書を使用して,TLSによって暗号化されます。
- SaaSアプリSSO (SAML署名キー)に使用されるキーは,Citrixによって完全に管理されます。
- MFAの場合,Citrix网关サービスには,你觉得アルゴリズムのシードに使用されるデバイスごとのキーが格納されます。
- Kerberosシングルサインオン機能を有効にするには,Kerberos制約付き委任を実行するために信頼されたサービスアカウントの資格情報(ユーザー名+パスワード)を使用して网关连接器を構成できます。
展開に関する考慮事項
Citrix网关サービスの展開については,公開されているベストプラクティスのドキュメントを参照することをお勧めします。SaaSアプリとエンタープライズWebアプリの展開,およびネットワークコネクタに関する考慮事項の詳細については,以下のとおりです。
正しいコネクタの選択:ユースケースに応じて,正しいコネクタを選択する必要があります。
| 使用例 | コネクタ | フォームファクター |
|---|---|---|
| ユーザー認証:Active Directory | Citrix云连接器 | Windowsソフトウェア |
| HDXコネクティビティ | Citrix云连接器 | Windowsソフトウェア |
| SaaSアプリへのアクセス | Citrix云连接器 | - |
| エンタープライズWebアプリへのアクセス | Citrix云连接器,Citrix网关连接器 | - |
| Citrix端点管理によって提供されるエンタープライズアプリとファイル | Citrix云连接器,Citrix网关连接器 | - |
Citrix云连接器のネットワークアクセス要件
Citrix云连接器のネットワークアクセスの要件については,次を参照してください:https://docs.citrix.com/en-us/citrix-cloud/overview/requirements/internet-connectivity-requirements.html
Citrix网关连接器のネットワークアクセス要件
Citrix云连接器のネットワークアクセスの要件については,次を参照してください:https://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.html
Citrix网关サービスHDX接続
Citrix网关サービスを使用すると,お客様のデータセンター内にCitrix网关を展開する必要がなくなります。Citrix Gatewayサービスを使用するには、Citrix Cloudから提供されるStoreFront サービスを使用することが前提条件です。
お客様のベストプラクティス
お客様は,ネットワーク内でTLSを使用し,HTTPを介したアプリケーションに対してSSOを有効にしないことを推奨します。