技術論文:Citrix虚拟应用程序和桌面のセキュリティのベストプラクティス

免責事項:この情報は"現状のまま"提供され，いかなる保証もありません。これは情報提供のみを目的としており,Citrixの独自の裁量により随時変更される可能性があります。

はじめに

医療,政府,金融サービスを含むグローバル組織は,環境とアプリケーションへの安全なリモートアクセスを提供するために,Citrix虚拟应用程序和桌面(CVAD)に依存しています。適切に構成されている場合,CVADは,エンタープライズオペレーティングシステムでネイティブに利用可能なものをはるかに超えるセキュリティ対策を提供できます。Citrixは，仮想化を使用して有効にする追加の制御を提供します。

この技術文書では,仮想化環境のセキュリティベースラインを確立するのに役立つ推奨事項とリソースを紹介します。私たは，あなたが行うことができる最も重要なセキュリティ改善のいくかを強調しています。本番環境を変更する前に，必ずテスト環境または開発環境でこのような変更を試してください。テストは，予期しない問題や結果を防ぐのに役立ます。

この技術ペーパーでは,Citrixプロフェッショナルサービスによって開発された従来の階層化された方法論を使用しています。

Citrixの階層化モデルでは，セキュリティには独自のレaaplヤ.はありません。セキュリティプロセスまたはセキュリティ機能は，レ。セキュリティは、それを取り巻くプロセスを含め、インフラストラクチャ全体にわたってカバーされることが重要です。

組織は，規制要件を満たすために，特定のセキュリティ基準を満たす必要がありますか?このようなセキュリティ基準は時間とともに変化するため,このドキュメントではこのテーマを取り上げていません。セキュリティ標準とCitrix製品に関する最新情報にいては，”セキュリティとコンプラesc escアンス情報”および「Citrix信任中心を参照してください。

ユザ層とデバス層

ビジネスでは，エンドユ，ザ，が仮想デスクトップに接続できるようにするにはどうすればよいでしょうか。個人所有デバ▪▪スの持込み(byod)や企業発行のデバ▪▪スなどのオプションを利用できます。どらも独自の運用オバヘッドを伴います。エンドポイント配信モデルには,エンドポイントにオフロードできる機能に関する決定など,多くの設計上の意味があります。BYODデバイスから接続しているユーザーが,クリップボード,クライアントドライブマッピング(CDM),または印刷にアクセスできない可能性があります。“信頼できる“企業所有のデバイスから接続するユーザーは,クリップボードとローカルドライブにアクセスできます。エンドポ▪▪ントデバ▪▪スには"万能"はありません。エンドポイントクライアントは,ユースケース,モビリティ,パフォーマンス,コスト,およびセキュリティ要件に基づいて選択する必要があります

デバ@ @スロックダウン

エンドポイントデバイスは,キーロガーやネットワークへの侵入点などの攻撃を含む,攻撃ベクトルとして使用される可能性があります。Citrixを使用する場合の利点は,マウス,キーボード,および画面の更新への入力ポイントが減少することです。ユーザーは,ローカルクライアントドライブへのアクセス,印刷機能,クリップボード機能など,より多くの機能を必要とする可能性があります。この機能は，Citrixポリシ，を使用して構成できます。Citrixには,キーロギング対策や入出力ポイントの無効化など,攻撃ベクトルのリスクを軽減するためのコントロールがあります。

これらの質問はすべて,它サポートチームがデバイスをエンドユーザーに導入する際に考慮すべきものです。

• ユ、ザ、にはデバ、スに対するロ、カル管理者権限が必要ですか?
• エンドポereplicationントで他にどのようなソフトウェアが実行されていますか?他のソフトウェアは▪ンスト▪ルできますか?
• そのユ，ザ，はvpn機能を持っていますか?
• オペレティングシステムとアプリケションのパッチ適用に関して，デバスを更新するのは誰ですか?
• エンドポ▪ントはどのリソ▪スにアクセスできますか?
• エンドポereplicationント自体にアクセスできるのは誰ですか?

エンドポ@ @ントロギング

ユーザーがエンドポイントにソフトウェアをインストールできない場合でも,ログが有効になっていて,一元的にキャプチャされていることを確認してください。ログは，侵害で何が起こったのかを理解するのに役立ます。これらは，さらなるレビュ，のためにフォレンジックアナリストに提供することもできます。ロギングは，あらゆる環境とそのセキュリティ監視プロセスにとって重要な要素です。また,すべてのログをセキュリティ情報およびイベント管理(SIEM)システムに転送することも推奨されます。この詳細により，既知の攻撃方法やその他の重要な。

あらゆる種類のデ，タ収集と同様に，デ，タを収集するだけでなく，分析できることが重要です。報告されるデタの量に圧倒されがです。潜在的なアラ，トを検出して対応できることを確認してください。

シンクラ▪▪アントタ▪▪ミナル

多くのシナリオで，シンクラaaplアントデバaaplスはリスクの高い環境に最適です。シンクライアントは,Citrixセッションに接続するのに十分なオペレーティングシステムとアプリケーションのみを備えた専用バージョンのオペレーティングシステムを実行します。このシナリオでは，パッチ適用には利点があります。シンクラ@ @アントでは，パッチを適用して維持するアプリケ@ @ションは限られています。通常，オペレ，ティングシステムはフットプリントを削減します。デバイスは簡略化された専用オペレーティングシステムを備えているため,エンドポイントに保存されているデータは限られています。

完全なオペレーティングシステムを実行するシンクライアント端末では,書き込みフィルタを使用してデータの永続性を停止すると便利です。再起動時に端末をリセットすると,攻撃者が攻撃の策定に使用できるデータをエンドポイントに保持する可能性が低くなります。ログやその他の重要なデータは,後でフォレンジック分析に必要になるため,破棄しないようにしてください。シンクライアント端末には,通常,従来のデスクトップやラップトップよりも購入と保守が安価であるという追加の利点があります。

パッチの適用

パッチ管理は,エンドポイントを選択する際に考慮すべき最も重要な考慮事項の1つでなければなりません。ビジネスでは，エンドポ。ほとんどの従来のWindows環境では,Windows服务更新(威诺娜州立大学),系统中心配置管理器(SCCM)またはその他の自動サービスを通じてマシンにパッチがプッシュされています。これらのサ，ビスは，企業の，它部門がエンドポ，ントを管理する場合に最適です。

byodはどう?誰がそれらのデバesc esc esc esc esc esc esc esc esc esc esc esc在宅勤務が急速に拡大するにれて，エンドポントのパッチ適用はより複雑になります。ポリシ，は，ユ，ザ，に対する明確な責任をもって定義する必要があります。このポリシは，ユザがデバスにパッチを適用して更新する方法を確実に把握するために必要です。ログインページに,新しいアップデートがリリースされ,できるだけ早くパッチを適用する必要があることを示す簡単な通知が1つの方法です。エンドポ▪▪ントでエンドポ▪▪ント分析スキャン(epa)を使用して,インフラストラクチャが最新のソフトウェアを実行していない限り,インフラストラクチャへのアクセスを拒否することもできます。

また,Citrix工作区アプリにパッチが適用され,エンドポイントで最新の状態になっていることを確認することも重要です。Citrixは，機能強化だけでなく，新しいリリ，スでのセキュリティ修正も提供します。

アプリ保護ポリシ

エンドユ，ザ，は，組織の攻撃面で最も弱い部分であると広く考えられています。攻撃者は,高度な方法を使用してユーザーをだましてエンドポイントにマルウェアをインストールすることが一般的になっています。いったんインストールされると,マルウェアは機密データをサイレントに収集して盗み出すことができます。ユ，ザ，の資格情報，機密情報，企業の知的財産，または機密デ，タが対象となります。エンドポ▪▪▪ントは，byo▪デバ▪▪スの増加に伴い，さらに脅威にさらされる表面になります。また，管理されていないエンドポ。多くのユーザーが自宅から作業していると,エンドポイントデバイスの信頼性のないため,組織へのリスクが高まります。

仮想アプリケションとデスクトップの使用により，エンドポントの攻撃対象領域が大幅に減少しました。デ，タはデ，タセンタ，に一元的に保存され，攻撃者がそれを盗むのははるかに困難です。仮想セッションはエンドポイントで実行されておらず,ユーザーは通常,仮想セッション内にアプリをインストールする権限がありません。セッション内のデ，タは，デ，タセンタ，またはクラウドリソ，スの場所で安全です。ただし,侵害されたエンドポイントは,セッションキーストロークとエンドポイントに表示される情報をキャプチャできます。Citrixは,アプリ保護と呼ばれるアドオン機能を使用して,これらの攻撃ベクトルを防止する機能を管理者に提供します。この機能により，cad管理者は1以上のデリバリグルプにポリシを具体的に適用できます。ユーザーがこれらのデリバリーグループからセッションに接続すると,ユーザーのエンドポイントには,アンチスクリーンキャプチャまたはキーログ対策のいずれか,またはその両方がエンドポイントに適用されます。

詳細にいては，アプリ保護ポリシ，の技術概要をご覧ください。

アカウント管理

ユザ層とデバス層を通じて，デバスのセキュリティに重点が置かれてきました。ユ，ザ，アカウントの作成やリソース割り当ての承認プロセスなどは、一元化して効率的に管理する必要があります。多くの場合、アカウントは類似したロールのユーザーから単に「コピー」されます。オンボーディングを高速化できますが、中央ディレクトリ内の権限と権限のないグループメンバーシップの点で不気味になります。以前のアカウントからユーザーの権限をコピーすると、データへの不正アクセスも引き起こされる可能性があります。理想的には、データ所有者はアクセスを許可される前にグループリクエストを承認する必要があります。

アカウントの廃止は，人事システムと適切に統合されていれば簡単です。時には，企業は第三者との間でリソ，スを柔軟に活用する必要があります。ベンダ，アカウントと忙しい時期やビジネスをアウトソ，シングするときの追加サポ，ト。それらのアカウントはどのように廃止され，最終的に削除されるのですか?最良のシナリオでは,ビジネスは契約リソースのオンボーディングとオフボーディングの両方の手順を明確に定義しています。終了日を最小に設定してオフボーディングを完了し,アカウントを無効にして,Active Directory内の”ホールディングOU”に移動します。その後，リソ，スが不要になったことが確認されたら，そのリソ，スを削除する必要があります。最終的には，請負業者が退社してから数か月後にログ。

アクセスレヤ

Citrixの設計プロセスでは，アクセスレヤはユザの認証を行う場所です。ここで必要なポリシ，が適用され，動的なコンテキストベ，スのアクセスが評価されます。アクセス層は強力なセキュリティを念頭に置いて設計されており，非常に重要です。

次のセクションでは，Citrix ADC展開の安全性を高めるための主なタスクにいて説明します。Citrix ADCには2の一般的な展開タプがあります。1:の方法は，adcをcad配備のプロキシとして使用することです。もう1の方法は，。このドキュメントに含まれる詳細に従うことで,Citrix ADCがやり取りしているアイテムのリスクとエクスポージャーを軽減できます。

強力な認証

内部システムへのすべての外部接続には，強力な認証が推奨されます。残念ながら，攻撃者が検索できるユ，ザ，名とパスワ，ドは数多くあります。これらは過去の侵害と漏洩によるもので，123億件を超える記録があります。この数値は，利用可能になるにれて，会社への侵害のリスクを高めます。パスワードの再利用は世界中のほとんどの人に共通しており,ユーザーのパスワードの習慣が悪いためにビジネスが危険にさらされる可能性があります。ユ，ザ，名とパスワ，ドは，アプリケ，ションに対する唯一の防御であってはなりません。簡単に盗まれる2の情報しか持たない人々を本質的に信頼してはなりません。多要素認証をすべてのアプリケーションに追加することは,ユーザーのワークフローでは必ずしも実現可能ではありませんが,特に外部アクセスについては,可能な限り展開することをお勧めします。

詳細にいては，製品マニュアルを参照してください。

hdx暗号化

これはHDX / ICAストリームのセキュリティ暗号化としてRC5(128ビット)を有効にするための標準から長い間使用されてきました。icaストリ，ムのセキュリティレベルを提供します。エンドポントとvdaの間のicaストリムでvda sslを有効にすることをお勧めします。adcとvda間のsslを有効にして，追加レベルの暗号化を行います。この構成は，証明書をデスクトップサ，ビスにバ，ンドします。icaストリ，ムを証明書バウンドの指定された標準に暗号化します。このプロセスの実行方法の詳細にいては，ctx220062をお読みください。

Ssl / tls暗号

すべての外部VIP (Citrix网关)のトランスポート層セキュリティ(TLS)暗号とSSLスコアを検証します。過去数年間，sslおよびtlsプロトコルには多くの脆弱性がありました。tlsのベストプラクティスは常に変化しているため，すべて使用していることを確認してください。SSLv3, TLS 1.0, TLS 1.1などの古いプロトコルが無効になっていることを確認します。

ワ▪▪ルドカ▪ドまたはSAN証明書のいずれかを選択することも，このプロセスの別の側面です。ワ。証明書の有効期限が切れると，ホスト数が多い展開に大きな影響を与えます。ただし、圣証明書は,事実上,2 ~ 5のサイトで制限されたワイルドカードになる可能性があります。すべて同じ証明書で複数の顶级域名を使用できます。

最新の推奨事項にいては，Citrix Networking SSL/TLSのベストプラクティスを参照してください。

XMLの暗号化

DDelivery控制器または云连接器から店面サーバーへのXMLトラフィックが常に暗号化されていることを確認してください。目的は,単純なネットワークアクセスを持つ人が,ユーザーから要求されているものを見ることを防ぐことです。新しい暗号化されたポート(デフォルトではポート443)を使用するように各サーバーの構成を変更するとともに,各サーバーに証明書が必要です。詳細にいては，製品マニュアルを参照してください。

高度なセキュリティに関する推奨事項-セキュリティの高い展開では，難読化に非標準ポ，トを使用することをお勧めします。また,トラフィックを双方向に制御するために,XMLトラフィックのサーバーロール間にファイアウォールが構成されていることを確認します。

店面SSL

StoreFrontの展開には，暗号化されたベ，スURLを使用することを強くお勧めします。暗号化により,認証情報もセッション起動データもトランスポート保護なしでネットワークを経由しないことが保証されます。ほとんどの展開では，証明書は内部の認証局から発行できます。これらのサ，バ，は，外部デバのicaプロファleiル設定の一部として， Citrix ADC展開の背後にあります。または，通常は内部デバaapl . exeスのみがアクセスするCitrix ADC VIPの背後にあります。サ，バ，通信には，強力な暗号とTLS 1.1または1.2を使用してください。このプロセスの詳細は，微软のドキュメントに記載されています。

高度なセキュリティに関する推奨事項——セキュリティの高い展開環境では,Citrix工作区アプリによって受信されるファイルが信頼できることを確認するために,ICAファイル署名を有効にすることをお勧めします。このプロセスの概要は，StoreFront製品ドキュメントに記載されています。

vda暗号化

VDA暗号化は通常,セッショントランスポートのセキュリティを強化するために構成される最後の項目の1つです。構成はvdaとデリバリ，グル，プオブジェクトで完了します。

高度なセキュリティに関する推奨事項——セキュリティの高い展開では,Citrixセッション情報の転送をさらに保護するためにVDA暗号化を有効にすることをお勧めします。PowerShellスクリプトを使用するのが最も簡単な方法であり，そのプロセスの概要は製品ドキュメントに記載されています。

物理アクセスを制御する

Citrix ADCアプライアンスは,不正アクセスから保護するために十分な物理アクセス制御を備えた安全な場所に展開する必要があります。この要件は，物理モデルとそのcomポ，トに適用されます。また，仮想化ホスト上の仮想モデルと，それに関連するilo \ drac接続にも適用されます。詳細にいては，Citrix ADC製品ドキュメント-物理的セキュリティのベストプラクティスを参照してください。

デフォルトパスワ，ドを変更

它コミュニティが知っているデフォルトパスワドを持ことは大きなリスクです。特定のネットワークで使用されているデフォルトの資格情報を検索できるネットワークスキャナーがあります。これらのスキャナの効果は，デフォルトのパスワ，ドを変更するだけで簡単に緩和または排除できます。すべてのサービスアカウントのパスワードは,パスワードマネージャーなどの安全な場所に保存する必要があります。すべてのサ，ビスアカウントパスワ，ドを安全に保管することは，基本的な情報セキュリティ基準です。各ロールと展開(HAペア)のパスワードは一意である必要があり,認証情報は決して再利用しないでください。詳細にいては，”Citrix ADC製品ドキュメント-デフォルトパスワ，ドを変更する”を参照してください。

• nsroot-デバie浏览器スの初期構成を開始するときにデフォルトを変更します。このアカウントは完全な管理アクセスを許可し,このシステムを展開する際には,このパスワードを保護することが最優先事項である必要があります。2020年に新しいCitrix ADCシステムを導入する場合,デフォルトのパスワードとしてアプライアンスのシリアル番号が使用されます。
  • 外部認証が停止している緊急シナリオで使用できる2目のスパユザを作成します。既定のnsrootアカウントを使用する代わりに，このアカウントを使用します。詳細にいては，”Citrix ADC製品ドキュメント-代替ス，パ，ユ，ザ，アカウントを作成するを参照してください
  • 对有关ユーザーは,プロビジョニングされたVPXインスタンスごとにデフォルトの管理者パスワードを構成するための管理プロファイルも作成する必要があります。▪▪▪▪ンスタンスごとに異なる管理者プロファ▪▪▪▪ルを作成することをお勧めします。各haペアには同じパスワドがありますが，他のンスタンスに対して一意です。詳細にいては，サポ:ト技術情報の記事ctx215678を参照してください。
• ラesc escトオン管理(lom)—このアカウントは，多くの物理Citrix ADCプラットフォ.ムで一般的です。これにより，デバaaplスのコマンドラaaplンと電源管理にアクセスできます。また,不正なリモートアクセスを防ぐために,初期設定時に変更する必要があるデフォルトのパスワードもあります。
• Key-Encryption-Key (KEK)パスワ，ド—この設定は，各アプラアンスのロカルで機密性の高いパスワド領域を暗号化します。詳細にいては，Kekの章を参照してください。
• 支持向量机管理者アカウント——このアカウントとパスワードの変更は,Citrix ADC对有关プラットフォームにのみ適用されます。デフォルトのnsrootパスワドがあり，物理アプラアンスのようにシリアル番号を使用しません。パスワ，ドは，不正なリモ，トアクセスを防ぐために，初期設定時に変更する必要があります。

すべてのネットワ，クアクセスからnsipトラフィックを保護する

ネットワーク内のすべてのデバイスが,Citrix ADCアプライアンスを管理する機能を拒否されている必要があります。管理IPアドレスは,入力トラフィックと出力トラフィックを制御するVLAN内になければなりません。この構成により,承認された特権ワークステーションまたは他の承認されたネットワークのみが,管理のためにそれらにアクセスできるようになります。過去10年以上にわたって発見された脆弱性の多くは，nsipへのアクセスに関連していました。これらのIPを管理された方法で保護することで,この攻撃ベクトルを大幅に低下させるか,完全に排除することができます。它システムの管理へのアクセスを制限するときは，それを徹底的に文書化する必要があります。影響を明確に理解できるように，事業継続計画を策定するのが最善です。

• サブネットIP(剪)とマップされたIP (MIP)で管理が有効になっていないことを確認します。管理を有効にすると,DMZネットワークが剪またはMIPを介して管理コンソールにアクセスできるようになります。
• これを確認するには，snip，またはHTTPおよびHTTPS経由のmipを参照します。コンソール内で[システム]-[ネットワーク]- [IP]に移動し,IPを選択し,[管理]チェックボックスがオンになっているかどうかを確認します。
• アクセス制御リストを使用して，adcアプラaaplアンスの管理へのアクセスを制限することもできます。特定のホストまたはサブネットへの制限は,管理インターフェイスをファイアウォールの背後に配置しなくても実行できます。詳細にいては，CTX228148-ACLでCitrix ADC管理インターフェイスをロックダウンする方法およびCitrixadc製品ドキュメント-ネットワクセキュリティを参照してください。
• Citrix ADCをファイアウォールの背後に配置する場合は,アプライアンスが提供するサービスに従って計画する必要があります。また，各デバ▪▪スの管理▪▪ンタ▪▪フェ▪▪スへのアクセスを計画します。また、Citrix应用程序交付管理(ADM)やCitrix分析など,サポートするメンテナンスデバイスやセキュリティデバイスについても計画します。詳細にいては，”Citrix Technologiesが使用する通信ポ，ト“および”ctx113250-dmz構成の例"を参照してください。
• セキュリティの高い展開では,管理ポートをデフォルトのHTTP 80 (TCP)とHTTPS (TCP 443)から変更することもできます。それらをカスタムポ，トに変更して難読化を作成し，通常のスキャンから識別されないようにします。各アプラ@ @アンスは個別に交換する必要があります。詳細にいては，Citrix ADC製品ドキュメントを参照してください。
• Citrix ADCが展開されている管理ネットワークからのすべての下り(発信)トラフィックと入力トラフィック(受信)を制限します。これらの管理ネットワクの監視とともに制限がないと，そのデバスに対するリスクが高まります。Citrix ADCなどの重要なデバイスでは,潜在的な攻撃のリスクを減らすために,管理を特定の特権ワークステーションに制限する必要があります。外部アクセスを制御して，攻撃者が他のデバ。攻撃者がネットワーク外でホストされているコマンドアンドコントロールソフトウェアにアクセスするのを防ぎます。
• すべてのNISIP、LOM、支持向量机、およびCitrix ADC管理IPを他のネットワーク機器から分離したままにします。ポリシー標準に応じて,LOMを他の同様のシステムとの物理および帯域外管理ネットワークに配置します。NsipとSVMを別の別のネットワ，クに配置します。Citrix ADC管理IPにのみVLANを使用すると,ファイアウォールとACLルールを簡素化できます。特権ワ，クステ，ションへの内部アクセスを制限し，外部アクセスを制限します。

Citrix ADCをLDAPSにバンドする

日常の管理に汎用ログ@ @ンアカウントを使用することはお勧めしません。すべての構成変更が它チ，ムのnsrootによって行われた場合，誰がログ。nsrootアカウントのパスワードが変更されると,システムはただちにLDAPSにバインドされ,特定のユーザーアカウントの使用状況を追跡する必要があります。このステップでは，監査チ，ムとアプリケ，ションチ，ムの[表示のみ]グル，プを作成できるように，制御が委任されます。その後，特定のADグル，プに対する完全な管理者権限を許可できます。認証情報はパケットキャプチャで収集できるため,暗号化されていないLDAPを使用してバインドすることはお勧めしません。詳細にいては，ctx212422を参照してください。

Microsoft Active Directoryにバインドする場合は,プロトコルとしてLDAPSのみを使用していることを確認してください。また,NTLMv2が資格情報とネットワークセッションの唯一のハッシュ方法であることを確認してください。このステップはADセキュリティのベストプラクティスです。これにより，認証要求とネットワ，クセッションの転送中に，資格情報が可能な限り保護されます。この構成を適切にテストし,古いWindowsクライアントで検証して,古いバージョンのWindowsとの互換性の問題を特定します。

外部認証ソスにバンドするときは，nsrootのようなアカウントのロ，カル認証を無効にする必要があります。オプションで，特定のロ，カルアカウントのみがロ，カル認証を使用できるようにします。展開要件に応じて，1のパスまたは別のパスが必要になる場合があります。ほとんどの展開では，ロ，カルアカウントは必要ありません。サ，ビスアカウントが必要な場合は、LDAP ユーザーを作成して委任できます。このガ@ @ドでは，両方の方法の設定にいて説明します。1の方法を展開する必要があります。

ロギングとアラ，ト

Syslog転送の実践は,より高度なトラブルシューティングとともにインシデント対応を提供するために重要です。これらのログにより，adcへのログaaplン試行を確認できます。Citrix网关は,パケットおよびシステム操作のポリシーに基づいて,次のようなアクションを実行できます。

• GeoIP & badIPブロッキング
• AppQoE保護
• レスポンダ，ポリシ，アクション

この情報は，問題のトラブルシュ，ティングに非常に役立，ます。この詳細は，潜在的な現在の攻撃状況を理解するのに役立ます。これは，問題を解決したり、攻撃を阻止したり、軽減したりするために、実用的なデータに基づいて最適な対応方法を決定するのに役立ちます。Citrix ADCにSyslogターゲットが構成されていない場合、必要なログは削除され、システムが動作し続けるためのスペースを節約します。詳細については、Citrix ADC製品ドキュメント”ログと監視を参照してください。

多くの無料および有料のSyslogサバとコレクタが利用可能です。一部は1日あたりのメッセージ数,メッセージのストレージ容量に応じて価格設定されるか,単なる継続的なサブスクリプションです。これらのソリューションは,かなりの量のストレージ容量を割り当てる必要があるため,計画する必要があります。Syslogサーバまたはコレクタは,他の重要なサービスからのイベント数に基づいてサイジングする必要があります。これらのサービスには,Active Directory,データベース,ファイルサーバー,共识,およびその他のアプリケーションサーバーが含まれます。

Citrixは，Citrix ADMサ，ビスをSyslogコレクタとして提供しています。Citrix ADMでは，デバaaplス外での保存が可能になります。Citrix ADMは,これらのログを検索して表示し,そのイベントダッシュボードを使用できる優れたツールでもあります。トラブルシューティング,ハードウェア,認証の問題,構成の変更などを表示するのに役立つ,ログデータの優れたデフォルトビューが数多くあります。詳細にいては，Citrix ADM製品ドキュメント"インスタンスでのsyslogの構成“および”[syslogメッセージの表示とエクスポート](/ ja-jp / citrix-application-delivery-management-service /网络/事件/ how-to-export-syslog-messages.html)を参照してください。

このメッセージリストを使用して,使用しているCitrix ADC機能に基づいてアラートを作成することを強くお勧めします。ログを保持して検索できるようにしておくだけで,セキュリティイベントのトラブルシューティングと監査に役立ちます。デフォルトのnsrootアカウントを使用するすべてのログインとともに,不正なログインのしきい値に基づいてアラートを発していることを確認することが重要です。詳細にいては，開発者向けドキュメント-Syslogメッセ，ジリファレンスをご覧ください。

監視ソリューションでSNMPを構成して,サービスレベルと物理レベルの監視の両方が有効になっていることを確認します。この設定により，サ，ビスとアプラ，アンスの動作が保証されます。電子メ，ルを設定すると，システム通知を適切なメ，ルボックスに送信できます。この手順では，期限切れの証明書やその他の通知を通知することもできます。

監視および保護するサ，ビスを計画する

時間をかけてCitrix ADCで使用するサービスを計画すると,それらのIPアドレスにどの機能を適用できるかを理解するのに役立ちます。テストするipが割り当てられているかどうかを検証する絶好の機会です。レスポンダーやその他のポリシーを本番VIPに適用する前に,必ずテストVIPのすべてのセキュリティ設定を検証してください。この手順を機能させるには,より多くのDNSレコード,SSL証明書,IPアドレス,およびその他の構成が必要になる場合があります。

Citrix ADC最も一般的な3つの使用例は,負荷分散,グローバルサーバー負荷分散,およびCitrix网关です。

予定されているすべてのvipを内部または外部のいずれかで整理することをお勧めします。内部vipは，外部vipに必要なすべてのセキュリティ機能を必要としない場合があります。外部リソースにアクセスする必要がある国を評価することは,GeoIP機能を使用する予定がある場合に適した計画ステップです。特定の国を制限する必要があるかどうかを理解するために,ビジネスリーダーやアプリケーション所有者と会ってください。

可能であれば，構成の変更を開始する前にCitrix ADMを展開します。Citrix ADMは,アプライアンスを定期的に簡単にバックアップし,メトリックとともにログの可視性を高めることができます。他のより高度な機能をCitrix ADC展開に追加して,可視性とセキュリティをさらに高めることができます。Citrix ADMは,単なる監視ソリューションを超えることができるCitrix分析とともに有料版を提供しています。私たは自動セキュリティ対応システムになることができます。

デフォルトssl証明書を置き換える

最新のブラウザでは,証明書が無効であり,がデフォルトの証明書である場合はセキュリティ上のリスクになるという警告が表示されます。このエラ，を毎日認識すると，真の中間者攻撃の影響を受けやすくなります。tlsストリムに入ることができるので，誰かがあなたが入力した内容を読み取ることができます。証明書の置き換えは,独自の内部認証局をホストしているか,サードパーティのサービス(関連するコストがかかる可能性があります),または自己署名証明書を使用するかに応じて簡単です。証明書を更新したら,ブラウザは新しい証明書を信頼し,デバイスへのアクセス中にエラーが発生しないようにする必要があります。証明書エラ，が再び発生した場合は，有効期限を確認する必要があります。知らないうに交換された可能性があります。

• NSIP——この証明書の変更は,アプライアンスのすべての管理が行われる場所であるため,最初に行う必要があります。このプロセスは，各アプラ。詳細にいては，ctx122521を参照してください。
• LOM——NSIP管理証明書がデフォルトから変更されたら,これらの証明書を変更することが次の目標である必要があります。このプロセスは，各アプラ。詳細にいては，製品マニュアルを参照してください。
• 有关支持向量机- SDXをご利用の場合は，デフォルトの証明書が置き換えられていることを確認します。有关支持向量机は、インスタンス自体の管理とともに、アプライアンス管理の主要な方法になります。このプロセスは、各アプライアンスでも完了する必要があります。詳細については、ctx200284を参照してください。

ファ，ムウェアアップデ，ト

1. 初期展開—各Citrix ADCプラットフォ、ムで利用可能な最新のファ、ムウェアバ、ジョンを使用します。リリ，スノ，トを必ず確認して，影響のある“既知の問題”がないか確認してください。n-1方法論は，最新のリリスから1遅れて残るためによく使用されます。ファームウェアの更新は,使用しているプラットフォームがCPX, MPX,对有关,VPXのいずれであっても,各インスタンスで行われます。
2. Lom \ ipmiファ，ムウェアの更新—ファムウェアは展開時に更新することをお勧めします。アップデ，トにより，最新の機能と修正が確実に入手できます。詳細にいては，製品ドキュメントを参照してください。
3. 継続的なアップデ，ト-Citrix ADC, Citrix ADM，およびCitrixWebアプリケーションファイアウォールのCitrixセキュリティ情報およびアップデート通知のアラートにサインアップします。

Citrix ADCを毎年更新する頻度を計画します。展開された機能と它組織のポリシーによって,これらの更新のスケジュール方法を決定する必要があります。通常，更新プログラムは年に2 ~ 4回リリ，スされます。また,既知の問題とセキュリティ修正に対処する2つの機能更新プログラムと2つの更新プログラムがあります。サービスを中断することなく,これらのアップグレードを計画およびスケジュールするのに役立つガイドが用意されています。バージョンパリティが常に推奨されるため,Citrix ADMなどの他のサポートシステムにも適用できます。高可用性ペアのアップグレドにいての詳細をご覧ください。

kekによるデ，タ保護

Kekキ，ペアを作成することで，さらにデ，タを保護できます。この手順は各アプラ@ @アンスで行うことを強くお勧めします。キ，ペアは，キ，パスワ，ド関連の領域の設定を暗号化します。誰かがあなたのns.confファ▪▪ルにアクセスすると，その結果▪そのファ▪▪ルから資格情報やパスワ▪ドを取得できなくなります。\ \ nsconfig \フォルダーのルートにある2つのキーファイルは,機密性が高いと見なされ,適切なセキュリティを備えたバックアップによって適切に保護される必要があります。

ここでの注意点は,あるアプライアンスから別のアプライアンスへの移行にはさらに手順が必要であることを意味します。設定を解読する前に，KEKキ，を新しい展開に追加する必要があります。デ、タ保護のためのマスタ、キ、の作成(文字列の検索.KEK）の詳細をご覧ください。

無効なパケットをドロップ

多くの無効なパケットが毎日Citrix ADCデバスに送信されます。中には無害なものもありますが,ほとんどはプロトコルベースの攻撃とともにフィンガープリントの目的で使用されます。この機能を有効にすると，デバスのCPUリソスとメモリリソスを節約できます。ADCがプロキシするバックエンドアプリケーションに部分的または不正なパケットを送信しないことで,ほとんどの既知のプロトコル攻撃を防ぎます。このステップは，パケット操作に依存する潜在的な将来の攻撃をブロックすることさえできます。

詳細にいては，製品ドキュメント、CTX227979、ctx121149を参照してください。

HTTP厳格なトランスポトセキュリティ

Hstsがすべてのssl vipに設定されていることを確認します。HTTP严格的交通安全の主な目的は,ダウングレード攻撃,饼干ハイジャック,SSLストリッピングなどのさまざまな攻撃方法からアプリケーションを保護することです。これは無効なパケットのドロップに似ていますが， httpとHTTPSの両方に基づいています。これは，RFC 6797のHTTPヘッダ，へのエントリを使用した標準に基づいています。これにより,Citrix ADC背後にあるすべてのアプリケーションに,さらに別の防御層が追加されます。

リソスレヤ

ユ，ザ，セッションをホストするリソ，スは，侵害されるリスクが高くなる可能性があります。VDIセッションを実行しているユーザーは,企業ネットワークに接続されているコンピューターに似ています。適切に設計されたアクセス層と制御層を利用することで,ビジネスはゼロトラストモデルに移行することができます。ゼロトラストでは,特定の変数セットに応じて,エンドユーザーに提示されるリソースへのアクセスが動的に調整されます。次のガダンスは，企業資産をユザから保護するためのより高いレベルの制御を提供します。

ビルド硬化

オペレ，ティングシステムビルドの強化は複雑で，実現が難しい場合があります。ユーザーエクスペリエンス,使いやすさ,セキュリティの間のトレードオフがすべて微妙にバランスされています。多くのお客様は,さまざまな役割で仮想マシンを強化するために,インターネットセキュリティセンター(CIS)のベースラインに従うことを選択しています。微软は，同様のワ.クロ.ドの強化ガ.ドも提供しています。グルプポリシに直接実装するadmxファルもあります。このル，トを選択した場合は，注意して進めてください。初期ポリシ，が過度に制限されている場合は，必ず最初に徹底的にテストしてください。これらのベスランは，強化のための素晴らしい出発点です。ただし，すべてのシナリオで網羅的であることを意図したものではありません。ロックダウンの鍵は，徹底的にテストし，サ，ドパ，ティの侵入テスト契約を奨励することです。テストでは，最新の攻撃方法に対するセキュリティコントロ，ルとその有効性を検証します。

システムを強化する一環として,管理者は,基盤となるオペレーティングシステム,サービス,およびスケジュールされたタスクを最適化するために時間を費やすことを推奨しました。このステップでは，基盤となるシステムから不要なプロセスを削除します。また,セッションホストの応答性が向上し,エンドユーザーに対するユーザーエクスペリエンスが向上します。Citrixは，オペレ、ティングシステムの多くの要素を管理者に自動的に最適化するオプティマ、ザ、、ルCitrix优化器を提供しています。Citrix Optimizerの結果は，環境内に悪影響がないことを確認するために調整されます。

スケジュ，ルされたタスク

場合によっては,定期的なメンテナンスを実行したり,環境で進行中の問題を解決したりするために,スケジュールされたタスクを利用する必要があります。スケジュールされたタスクを使用する必要がある場合,事前に検討する必要があるいくつかの推奨事項があります。

特権アカウント——可能な場合は,スケジュールされたタスクが,実行する必要があることに対する正しい権限を持つアカウントで構成されていることを確認してください。たとえば,ドメイン管理者の資格情報を使用してスケジュールされたタスクを実行することは推奨されません。

代替案-スケジュルされたタスクが，より広い課題の“石膏”として使用されている可能性があります。スケジュ，ルされたタスクを使用して問題を解決するよりも良い方法はありますか。一時的な問題を解決している可能性がありますが,スケジュールされたタスクを実行したままにするのではなく,ルートの原因を修正します。これは特に▪▪メ▪▪ジ更新に当てはまります。ドキュメント化されていない場合や，ビルド手順に入力されていない可能性があるためです。今後のアップデ，トでは見逃され，さらに問題が発生する可能性があります。

パッチ適用と更新

它システムにパッチが適用され,最新の状態になっていることを確認することは,すべてのソフトウェア,オペレーティングシステム,およびハイパーバイザーの標準的な方法です。プロバイダーには,ソフトウェアにパッチが適用され,セキュリティの脆弱性が許可されていないことを確認する義務があります。安定性が向上し，機能が強化されたものもあります。ほぼすべてのベンダーが,自社のソフトウェアにパッチやアップデートを適用するためのリリーススケジュールまたはサイクルを定めています。お客様には，パッチが適用されているもの，または導入される新機能を読んで理解することをお勧めします。これらの更新は，多くの場合，ル，トトゥラ，ブソリュ，ションを通じて処理されます。適切なテストを行うことで，本番環境の変更によるシステム停止を回避できます。

マルウェア対策

マルウェア対策またはウイルス対策は,インフラストラクチャ全体のすべてのサーバーに展開することが常に推奨されます。アンチウaapl . exeルスは，既知のマルウェアや他の多くの種類のウaapl . exeルスに対する優れた防御策を提供します。ウ▪▪ルス対策のより複雑な側面の1▪▪は，ウ▪▪ルス定義が定期的に更新されるようにすることです。非永続的なvdiまたはホストされた共有ワ，クロ，ドでは，特に注意が必要です。アンチウ▪▪ルス定義を永続ドラ▪▪ブにリダ▪▪レクトする方法を詳しく説明した記事はたくさんあります。目標は,コンピュータがウイルス対策管理スイート内の個々のオブジェクトとして識別されるようにすることです。ウイルス対策ソリューションが正しく展開され,インストールされていることを確認するには,次のガイドラインに従ってください。ウ。正しく統合するには，ガaaplドラaaplンに従うことを推奨しました。詳細にいては，”エンドポ▪▪ントセキュリティとウ▪▪ルス対策のベストプラクティスを参照してください。

アプリケ，ションコントロ，ル

AppLockerなどのテクノロジは実装が難しい場合がありますが，強力なルです。特に，予測可能な使用パタンを持公開アプリケションでサバを保護するという点で。環境を実行可能レベルまで細かくロックダウンできること。何が実行できるか，できないか，誰によって実行できるかを明確に定義することは非常に有益です。アプリケ，ション起動時のロギング機能は言うまでもありません。500年を超えるアプリケーションがある大規模なエンタープライズ環境では,これらすべてを慎重に検討する必要があります。

Windowsポリシ

Windowsポリシーをセッションホストに適用する場合,VDIベースのワークロードでもサーバベースでも,2つの主要な役割を果たすことができます。

• オペレ，ティングシステムを強化する
• ユ，ザ，エクスペリエンスを最適化する

オペレーティングシステムの管理を簡略化するには,これらのポリシーを微软グループポリシーを通じて適用する必要があります。これにより，。グル、プポリシ、を使用しない場合は、ロックダウンを提供する別の方法を見、ける必要があります。ポリシーでは提供できないセキュリティ強化と最適化は,イメージ構築プロセスの一環として自動化する必要があります。

ユ，ザ，がアクセスする前に，必ずオペレ，ティングシステムが強化されていることを確認してください。ユ，ザ，は，自分の役割を実行するために必要な最小限のタスクのみを実行できる必要があります。管理ベースのアプリケーションはすべてセキュリティ保護され,一般ユーザーはアクセスできないようにする必要があります。このステップにより，ユザがセッションを“ブレクアウト”できるリスクが軽減されます。ユーザーがオペレーティングシステム内で不正なデータにアクセスしたり,悪意のある行為を実行したりすることを防ぎます。

Citrixポリシ

ポリシ，は，ユ，ザ，アクセスシナリオに応じて適用できます。Citrixセッション評価の例としては,クリップボードへのアクセスやクライアントドライブのマッピングが必要と判断された場合にオフにすることが挙げられます。一方向のクリップボードを有効にして,データをセッションにコピーすることはできますが,セッションからはコピーできません。いく。各方針は慎重に計画され，理解される必要があります。

この記事の”システムの強化”セクションで説明したセキュリティ強化構成の多くは，グル，プポリシ，の形式で適用できます。ユーザーがログオンする前に,起動時に適用されるすべてのサーバーで一貫したアプリケーションを使用できます。このステップにより，。つまり,トラブルシューティングが少なくなり,すべての資産とユーザーにわたってセキュリティ制御の一貫性が確保されます。

ユザのログンを許可する前にvdaが確定するようにデリバリグルプを構成します。この手順は，ポリシ，とロックダウンをセッションに適用するのに十分な時間を提供します。これにより,ユーザーがログインする前に,すべてのポリシーがサーバーに適用されていることが保証されます。SettlementPeriodBeforeUseの詳細については,開発者向けドキュメントを参照してください。

メ，ジの管理

。マシン作成サービス(MCS)と供应服务(pv)の両方をサポートしています。。

まず,ロックダウンまたは制御は,ユーザーがリソースにアクセスするすべてのマシンにわたってビルドで一貫して適用されます。個々のマシンを手動で構築するのは時間がかかるだけでなく,一部の構成や設定が見落とされたり,一貫性がないことがほぼ保証されます。構成を一度設定してすべてのマシンに展開すると,セキュリティ実装がすべてのマシンで一貫しているという安心感が得られます。

次に,VDAでのユーザーセッション中に,ユーザーは他のアプリケーションやドキュメントを開き,機密データにアクセスします。デ，タは最終的に仮想デスクトップまたはアプリケ，ション内にキャッシュされます。ユ，ザ，がログオフすると，デ，タの残りは間違いなく残ります。マシンを再起動して元のゴールデンマスターイメージに戻すと,機密データが消去されるという安心感が得られます。前のユーザーのデータにアクセスするリスクなしに,次のユーザーがログインして作業を開始できるように,すべての準備が整いました。詳細にいては，””を参照してください。

単一▪▪メ▪▪ジ管理に関する考慮事項をいく▪▪か示します。

• ウ@ @ルス対策の設定に注意してください。
• 机创建服务または供应服务がイメージ全体をコピーする前に,テンプレートまたはイメージにアカウントを作成しないでください。
• 保存された,権限が付与されているドメインアカウントを使用して,タスクをスケジュールしないでください。
• サ，ビスアカウントには，関連する権限が適用された専用アカウントが必要です。
• 攻撃者が環境について知るために使用できるすべてのログファイル,設定ファイル,およびその他の情報源を必ず削除してください。

これらのセキュリティ対策を維持することで,マシン攻撃によるローカルの永続的なアカウントパスワードの取得を防ぐことができます。これらのパスワドは，他のユザに属するmcs / pvs共有メジへのログオンに使用されます。

ワ，クロ，ド分離

リソスを別々のサロに配置することは，長い間推奨されてきた方法でした。リソース層だけでなく,この記事の後半で取り上げるハードウェア層とネットワーク層の両方についても説明します。ワークロードをさまざまなデリバリーグループまたはマシンカタログに分けても,一連のマシンに対するセキュリティポリシーを微調整するのに役立ちません。また，セキュリティ侵害の影響も軽減します。影響の大きいデータにアクセスするリスクの高いユーザーがいる場合,これらを適切に構成された分離環境に分離する必要があります。環境には，より厳しいポリシ，とロギングを適用する必要があります。セッション記録などの機能は，がこのデ，タにアクセスしているときに追加の保護層を提供します。

ワークロードは,ハードウェアの分離(専用ホスト),仮想マシンの分離,またはOS内の分離(アプリマスキングや厳密なNTFSルールなど)など,さまざまなレベルで分離できます。ユーザーをリスクプロファイルのさまざまな層に分ける一環として,ユーザーがアクセスするデータも同様に扱う必要があります。このステップでは，正しいファル権限とアクセスルルをデタに適用します。

マ▪▪クロセグメンテ▪▪ション

クラウドホスト型インフラストラクチャへの移行とゼロトラストアーキテクチャの導入に伴い,この概念がより顕著になりました。攻撃者がリソースへのアクセスに成功した場合,攻撃者が引き起こす可能性のある被害を制限したいと考えています。これが悪意のある損害かデ，タ漏洩か。

したがって，ワ，クロ，ドとデ，タの分離は従うべき良い習慣です。このステップには,ネットワーク全体の主要な資産とデータを強調するのに役立つビジネスアナリスト(BA)からの入力が含まれます。理想的には,データの各部分は,データにアクセスした場合のビジネスへの影響を高,中,または低に分類できます。

ビジネスへの影響に応じて，各デ，タセグメントを異なる方法で扱い，互いに分離することができます。たとえば，ユザがンタネットを閲覧していると，リスクが高くなる可能性があります。特に，ソフトウェアやドキュメントをダウンロ，ドしてセッションに保存できる場合に当てはまります。したがって,リスクの高いユーザーアクティビティからより重要なリソースを分離することを検討する必要があります。Webブラウジングと電子メールアクセスは,個人を特定できる情報(PII)や個人の健康情報(φ)などのデータとは別のものです。

ファイアウォール間でワークロードを分離し,これらのネットワークセグメントを通過できるアプリケーションとプロトコルを制御します。”“高リスク領域のワークロードは,“標準”のユーザーアクセスマシンよりもはるかに多くロックダウンされる可能性があります。ここで重要なのは,ユーザーとデータのセグメンテーションに基づいて必要なセキュリティ制御を実装することです。

会议记录

会议记录を使用すると,チームは,特定のユーザーセッション中に発生した出来事のビデオを録画および再生できます。このビデオは，ユ，ザ，が環境内で悪意のある行為を行っていた場合に使用されます。この機能はすべてのユ，ザ，には必要ないかもしれません。これは，主要な個人、ユーザーグループ、または機密性の高いアプリケーション、デスクトップ、またはリソースにアクセスするときに有効にできます。これらの記録から、Windows のイベントログとアプリケーションログだけでは不可能な、多くの要点を収集できます。ビデオは、インシデント対応シナリオまたは根本原因分析に役立ちます。この機能は強力で、法務チームと IT チームの承認を得たユーザーポリシーと契約に基づいて慎重に検討する必要があります。

透かし

ユーザーが機密データにアクセスしているセッションでは,データを盗まれることを大きな抑止力は透かしです。特に，ウォタマクがユザを一意に識別できる場合。Citrixを使用すると，管理者は何を表示するかを設定できます。以下を表示できます。

• ユ，ザ，ログオン名
• クラesc escアントipアドレス
• Vda ipアドレス
• vdaホスト名
• ログ▪▪ンタ▪▪ムスタンプ
• カスタマ@ @ズしたテキスト。

サバ側の機能であるため，(特定のエンドポントだけでなく)すべてのセッションに適用されます。回避策として、ユ、ザ、がエンドポ、ントでプロセスを終了させても影響を受けません。

セッション透かしの詳細にいては，製品ドキュメントを参照してください。

同時使用量

より論争の的となったトピックは,マルチセッションホストとシングルユーザーVDIセッションの使用です。複数のユ，ザ，が単一のサ，バ，にログオンすると，問題が発生する可能性があります。特に,不満を持ったユーザーがソフトウェアやコードを実行して他の認証情報を収集したり,他のユーザーデータにアクセスしたりできる場合に当てはまります。堅固な仮想デスクトップインフラストラクチャを実行するには余分なコストがかかるため,これらのトレードオフを考慮する必要があります。脅威モデルユ，ザ，をモデル化し，最も効率的な配信メカニズムを選択します。マルチユーザーセッションホストとシングルユーザーセッションホストのどちらが理想的なパスかを判断します。1 .。ユーザープロファイリングを実行して要件を理解し,ユーザーグループに最適なワークロードの配信方法を選択します。

仮想化ベ，スのセキュリティ

仮想化ベースのセキュリティ(于)はメモリの安全な部分を使用して,セッションからの安全な資産を格納します。この機能を使用するには,安全な統合を実現するために,サポートされているプラットフォーム上で実行されているトラステッドプラットフォームモジュール(TPM)または仮想トラステッドプラットフォームモジュール(vTPM)が必要です。これは,何らかの方法でマルウェアがカーネルに正常に展開されたとしても,ユーザーが保存したシークレットデータは保護されたままであることを意味します。セキュリティで保護された環境で実行できるコードには,微软による署名が必要であり,追加の制御レイヤーが提供されます。微软根据は,Windowsデスクトップオペレーティングシステムとサーバーオペレーティングシステムの両方で有効にできます。微软根据は,資格情報ガードとアプリケーションガードを含む一連のテクノロジから構築されています。仮想化ベスのセキュリティの詳細にいては，こらをご覧ください。

制御レヤ

制御層は,管理者がリソースへのユーザーアクセスを許可するとともに,Citrix環境を管理できるようにするソリューションのレイヤーです。リソ，ス同士の通信を可能にする方法の詳細は，このセクションに記載されています。このレヤの統合により，コンポネントが安全に統合および通信できるようにすることが重要です。以下は，コンポ，ネントのセキュリティ体制を低下させます。

可用性を確保

ソリュ，ションを展開する場合，コンポ，ネントは高可用性方法で展開する必要があります。単一障害点が原因でサ，ビスが絶え間なく停止しているのは悪い習慣です。したがって,容量に対してN + 1アプローチを使用すると,ログオンおよびログオフストーム中に十分なリソースを確保できます。しかし,”良い”ユーザーエクスペリエンスを維持するには,許容できるレベルのコンポーネント損失があります。現在,ほとんどのお客様は,利用可能にする必要のあるリソースの量を計画するという点で,N + 1に従っています。ただし，許容できるリスクレベルによっては，これはn +2になる可能性があります。

また,ユーザーの負荷を処理するのに十分なリソースを確保するために,コンポーネントを専用の仮想マシンに分離する必要があります。共有コンポーネントを仮想マシン上で実行することは,パフォーマンスの観点だけでなくセキュリティの観点からも悪い習慣です。Citrix観点から見た主な要素は以下のとおりですが，これらに限定されません。

• 店面
• 交付控制器
• SQL Server
• フェデレ，ション認証サ，ビス
• 导演
• ラセンスサバ
• 云连接器

デ，タフロ，を暗号化する

企業は，環境全体のサ，ビスに対して“ゼロトラスト”アプロ，チに移行しています。コンポーネント間のすべての通信がセキュリティで保護され,可能な限り認証されることがこれまで以上に重要になっています。このステップにより,攻撃者がネットワーク上で”飛行中“の状態で機密情報を読み取る可能性が低くなります。Citrixの観点から見ると,この手順には基本的に,秘密または公開鍵基盤(PKI)から証明書を関連サービスにバインドすることが含まれます。

高セキュリティ勧告——高セキュリティ展開では,連邦情報処理標準(FIPS)を遵守する必要があるかもしれないと定められた基準が示唆されています。この要件には,仮想化コンポーネントの変更や,Citrix ADCなどのコンポーネントを検討する場合が含まれます。また，認定されたハ，ドウェアアプラ，アンスも必要です。Citrix信任中心

ビルド硬化

「リソスレヤ“セクションで説明したように,展開するオペレーティングシステムとサービスを強化することを強くお勧めします。この手順では，未使用のサ，ビス，スケジュ，ルされたタスク，または機能を無効にします。マシン上の攻撃サ，ビスを減らすために使用される要素に影響を与えないようにしてください。環境で実行されている仮想マシンをロックダウンするために使用できるCISや微软のセキュリティベースラインなどのベースラインがあります。ユーザーセッションをホストするセッションサーバーと,クラウドコネクタやサポートインフラストラクチャなどの制御サービスの両方を含めます。インフラストラクチャマシンは,サービスの動作に必要のないサービス,機能,またはスケジュールされたタスクを同様に無効にする必要があります。

サ，ビスアカウントの強化

Citrixソリュ，ションの一部の要素では，サ，ビスアカウントを使用する必要があります。サ，ビスアカウントでは，自動化された機能をある程度の認証と承認で進行させることができます。サ，ビスアカウントは、必要なタスクの実行のみを許可する必要があり、ネットワーク上で昇格されたアクセス権を持つことはできません。サービスアカウントは、自動化機能ごとに作成する必要があります。このステップは、本質的に認証要素を絞り込み、サービス内で権限クリープが発生しないようにします。サービスアカウントのパスワードは、コンプライアンス要件に基づいて、少なくとも年に1回またはそれ以上の頻度でリセットすることをお勧めします。これらのアカウントやグループは、保護とログ記録を強化するために、Active Directory 内の保護対象ユーザーグループにも含まれている必要があります。

サービスアカウントをさらに強化するには,パスワードが侵害された場合にアカウントを再利用してネットワークデバイスにログオンできないように,そのようなアカウントに対する対話型ログオン権限を可能な限り拒否することも推奨されます。

アカウントがネットワ，ク上のどのアカウントとも対話的にログオンできないことを確認します。

• ユ，ザ，アカウント
• 管理者アカウント
• サ，ビスアカウント

アカウントが引き続き必要であることを確認するために,アカウントを定期的に監査し,権限を検証する必要があります。また，ネットワ，ク全体に追加の"特権クリ，プ"がないことを確認してください。特権クリ，ピングとは，残業時に追加の権限がアカウントに割り当てられ，撤回されない場合です。たとえば，問題のトラブルシュ，ティングのために権限は追加されますが，レビュ，や削除は行われません。最小権限の概念は守られていません。

最小特権

このフレ，ムワ，クは，ネットワ，ク上のどのアカウントにも適用されます。このステップにより,作成されたすべてのアカウントに,そのロールを実行するために必要な権限のみが付与されます。管理アクセスが必要な場合,ユーザーは管理機能の実行に使用される個別のアカウントを持っている必要があります。理想的なシナリオでは,アカウントへのアクセス許可は,そのタスクを実行するのにかかる時間だけ付与する必要があります。管理アクションが完了したら，不要になった権限をすべて削除する必要があります。

アプリケ，ションコントロ，ル

アプリケションコントロルはリソスレヤでカバされています。ただし，コントロル層にいても同様のアプロチをとることができます。アプリケーション固有の実行可能ファイルを許可すると,実行中のマシンの攻撃対象領域がさらに減少します。許可されていない実行ファ@ @ルは実行できません。これには管理オ，バ，ヘッドが伴いますが，制御の層が追加されます。このステップは，展開されているすべてのアプリケ，ションに適用する必要があります。このアプローチの考慮事項は,システムで実行されているファイナルまたは実行可能ファイルを変更する更新は事前に承認する必要があるということです。このステップでは，更新が行われた後に実行することができます。

ホストベスのファアウォル

最も一般的でありそうなのは，管理者が最初に無効にするのは，ホストベ，スのファ，アウォ，ルです。ただし，トラブルシュ，ティングなどの特定のシナリオでは有効にできます。このようなサ，ビスを永久に無効にしておくと，環境が侵害されるリスクが高くなります。ファ▪▪アウォ▪▪ルは、攻撃者が未知または偽のツールまたはアプリケーションを介してサーバーにアクセスするのを防ぐように設計されています。ファイアウォールが、許可されていない要素の実行を停止するように設定されていることを確認します。ただし、アプリケーションが機能し、相互に通信できるように構成する必要があります。Citrix VDAをインストールすると、基本的なVDA通信に必要なファイアウォールルールが自動的に作成されます。Windows リモートアシスタンスと必要なリアルタイムオーディオポートも追加できます。テスト環境は、管理者がアプリケーションがどのように機能するかを明確に理解できるようにするために必要です。このステップにより、本番環境でファイアウォールとサービスを確実に構成できます。アプリケーションやユーザーエクスペリエンスへの悪影響を避けてください。Citrix 環境が機能するために必要なポートについては、ctx101810をお読みください。

传输层安全性

TLSは2以上のコンポネント間の通信を暗号化します。セッションの認証，列挙，および起動には，機密情報の転送が必要ですこれらの通信が暗号化されていない場合,攻撃者はユーザーの資格情報やその他の機密データを取得する可能性があります。環境を強化する場合，tlsを有効にすることが最初に行う必要があることの1です。TLSを有効にするときは，秘密キ，の作成に関する推奨される方法に従ってください。鍵管理と証明書推奨プラクティスの作成に関する記事は数多くあります。最低限，次の通信ではTLSを有効にすることをお勧めします。

• staサビス
• XML仲介
• StoreFront(ベ，スURL)
• Adc管理
• 网关
• 导演，オンプレミスで実行している場合

ホストレヤ

すべての仮想環境では,ストレージ,コンピューティング,ハイパーバイザー,ネットワーキングなどのいくつかのコンポーネントが侵害されます。これらのコンポ，ネントは，常にセキュリティを重視して設計および実装します。これは，アタックサ，フェスの継続的な削減に大きな影響を与えます。クラウドサービスでは,すべてが適用できるわけではありませんが,ほとんどがリソースの配置場所に関係なく適用されます。

ハ，ドウェア分離

今日のクラウド時代では，ハ，ドウェア分離の概念は管理者にとってそれほど関心事ではなくなっています。また,より多くの企業が,すべてのハードウェアを十分に活用できるようにすることで,より大きな投資収益率を求めています。一部のクラウドプロバ。ただし,オンプレミスの物理インフラストラクチャでは,リソースを独自のホスティング環境に分離できます。このような攻撃には,攻撃者がVMツールスタックを介してVMにドリルダウンできるハイパージャックが含まれます。。

文書化された攻撃の多くは理論的なものです。しかし，それらが公に文書化されているという事実は，この種の攻撃が効果的であることを示唆しています。これは現実的な可能性なので，デ，タを保護することに戻ります。ワークロードを一意のクラスタに分離し,同じデータ分類をホストするワークロードがそれらの一意のクラスタ内に保持されるようにします。攻撃者が何らかの形でハイパーバイザー層に侵入しても,より高い分類のデータが危険にさらされることはありません。

ネットワ，ク分離

ワークロードを論理的に分離された個々のサブネットに分割することで,攻撃の影響や拡散を劇的に減らすことができます。通常，これらのサブネットレ。

• コンポ，ネントにアクセスします。Adc ipアドレスとコルバックゲトウェを侵害する小さなサブネット。
• Citrix aapl .ンフラストラクチャ展開するインフラストラクチャに応じて,Citrixインフラストラクチャサブネットには,店面、クラウドコネクタ/コントローラー,导演サーバー,Citrix ADMが含まれます。
• サポトするンフラストラクチャ。必要なインフラストラクチャコンポーネントに応じて,これらのサービスはSQLサーバー,ジャンプサーバー,ライセンスサーバーなどの分離の代表的な例です。これは，コンプラ。
• vdaサブネット。vdaサブネットのサesc escズを決定する際，正解も不正解もありません。過去には，pvsサブネットのサジングに関するガドとして履歴デタを使用してきました。時間の経過とともに，pvが推奨するプラクティスは進化してきました。主な注意点は,サブネットのサイズ設定は,ユーザーとVDAの数,およびアクセスしているセキュリティコンテキストに基づいて割り当てる必要があるということです。同様のリスクプロファイルを持つユーザーを単一のサブネットに配置することで,これらの各サブネットをファイアウォールで分離することもできます。

ファ▪▪アウォ▪▪ル

ファ▪▪アウォ▪ルは，環境にセキュリティを実装する主要な要素の1▪▪です。ホストベースおよびネットワークベースのファイアウォールを実装すると,運用上のオーバーヘッドが大きくなります。ホストベースとネットワークレベルの両方から2つのレベルのファイアウォールを実装することで,職務の分離が可能になります。このステップにより，アプリケションがあるサバから別のサバに通信できるようになります。ファ▪▪アウォ▪▪ルルールは十分に文書化され、どの役割または機能が割り当てられているかについて明確にマークされている必要があります。この情報は、セキュリティチームとネットワークチームから例外の承認を得るのに役立ちます。

ハパバザの強化

ハイパーバイザーが正しく機能するためには,一定レベルのサービスとプロセスを有効にする必要があります。他のオペレーティングシステムと同様に,ハイパーバイザーレベルのサービスの多くは無効にして,ハイパーバイザー層の攻撃対象領域を減らすことができます。ハパバザを侵害することは，攻撃者からの完全なオバランの宣言である可能性があります。攻撃者は，読み取りメモリ，cpu命令，および制御マシンにアクセスできます。攻撃者がこの層に入ると，深刻な問題になります。

メモリ@ @ントロスペクション

ベンダは現在，仮想マシンの実行メモリをントロスペクションする機能を提供しています。このアクティブなメモリ空間を監視することで,より高度なレベルの攻撃からより深いレベルの保護が可能になります。ハ▪▪パ▪バ▪▪ザ▪のメモリ▪▪ントロスペクションの詳細に▪いては， Citrix准备好を参照してください。

操作レ@ @ヤ

安全な環境を運用するための運用手順は，技術的な構成そのものと同じくらい重要です。以下の項目は,オペレーショナルセキュリティエクセレンスの強固な基盤を構築するための素晴らしいスタートとなります。

ユ，ザ，トレ，ニング

十分なユ，ザ，と管理者のトレ，ニングを提供する。それは優れたセキュリティ慣行を促進し，意識はカバ，するのが最も簡単な基盤の1です。一例として，ログンペジの通常の予想される動作をユザに認識させることが挙げられます。サポ，トスタッフが必要とする詳細を把握します。ポップアップや恐ろしいメ，ルフィッシング攻撃の処理方法をスタッフにトレ，ニングします。ユーザーは,セキュリティ関連の問題をセキュリティオペレーションセンターにどのように対応し,どこでどのように報告すべきかを認識している必要があります。

ユ，ザ，監視

ユーザーセッションの記録などの強化されたユーザー監視を有効にすることは,議論の余地がある場合があります。たとえば,雇用契約の範囲内で,它システムに対するユーザーの行動が監査目的で記録される可能性があることをユーザーに通知します。人事に関するあらゆる法的影響に対して，適切なレベルの補償範囲を提供できます。さらに議論の余地があるのは，キ，ロギングを有効にできることです。この種のツールには,問題が発生する可能性があるため,ある程度の注意を払ってアプローチする必要があります。これは，ユ，ザ，が会社のマシンで何にアクセスしているかによって異なります。管理者は,ユーザーには知られていない個人の電子メールや銀行口座にユーザー名やパスワードを収集できます。これには注意して取り組む必要があり,ユーザーにはそのようなアクションが実行されていることが通知されます。

ロギングと監査

它管理者とユ，ザ，の両方のすべてのアクションを確実に記録します。環境全体でロギングを有効にしました。この記事で説明されているすべてのレ▪▪ヤ▪▪を含めます。監査目的でこれらのログを照合して保存します。違反が発生した場合に備えて，レビュ，のためにログを保持します。このステップでは，生成されたログを継続的に管理し，それに基づいて行動する必要があります。一部のアプリケーションでは,ログとアラートを処理してアクションを実行できる,ある程度の自動化機能が用意されています。

Citrixは，分析サ，ビスの一環としてクラウドベ，スのソリュ，ションを提供しています。このサ，ビスにより，ユ，ザ，のセキュリティリスクスコアリングが可能になります。リスクスコアに基づいて,セキュリティスタンスを高めたり,切断したり,アカウントを自動的にロックしたりすることができます。これらの电子邮箱ベントは，この記事で前述したように，会话录音としての機能を自動的に有効にすることができます。管理者がそのユーザーのアクションを確認できるようになるまで,Citrixの機能を無効にしてセッションを切断できます。セキュリティ分析は,ユーザーの行動分析と適用されたセキュリティ制御を自動化された方法で相互に関連付けることができます。詳細にいては，Citrix Analyticsの技術概要を参照してください。

職務分離

適切なロ，ルベ，スのアクセス制御メカニズムが実装されていることを確認する。ただし,これは1人の管理者が単独で機能または出口をオンにできないようにするための優れたアプローチでもあります。理想的には,職務分掌を実装して,複数の管理者が機能を有効にするために独立して行動するように強制します。良い例は，Citrixセッションでクラ。これは，SmartControlポリシー内のCitrix ADCで有効になっているCitrix管理ポリシーを使用して制御できます。CDM 機能を有効にするには、2 つの個別の変更が必要です。

機能を有効にするには，2人の管理者がいることが重要です。また，管理者は通常のユ，ザ，アカウントとは別のアカウントを持っている必要があります。管理者アカウントは，管理タスクを実行するためだけのものです。このステップにより，フィッシング攻撃の攻撃ベクトルが減少します。管理者が通常のユーザー認証情報をハイブアップし,これらの認証情報にドメイン管理者権限がある場合,環境に大きな影響を与えます。そのため，管理者の通常のユ，ザ，アカウントは管理タスクを実行できません。ユザは，ネットワクまたはドメン全体でグロバル管理者権限を持っていてはなりません。理想的には,役割ベースのアクセス制御(RBAC)グループを使用して,より詳細なレベルで管理ベースの機能に対する権限を与える必要があります。

変更管理

一部のお客様がほとんど考慮しない一般的なことの1つは,テスト環境と開発環境を分離することの重要性です。これらの環境は,更新と変更がユーザー環境にどのように影響するかを理解するために徹底的にテストするための重要な要素です。インフラストラクチャは,本番環境に移行する前にテストおよび開発環境で変更を加えることを管理者に義務付けるために,変更管理プロセスと密接に関連している必要があります。開発環境でのインストールまたはアップグレードの変更のテストの一環として,変更のロールバックを徹底的にテストすることも同様に重要です。このようにして,管理者はプロセスについてより深く理解し,本番環境でロールバックプロセスを呼び出す必要があります。徹底したテストと堅実な展開計画により，本番環境を不必要な停止から保護します。理想的には，“ラブ”に移行するための大まかな概要は，次のフェズで構成する必要があります。

• テスト。管理者が更新されたソフトウェアと新機能に慣れるための,より緩やかに制御された環境と,よりサンドボックスな領域。
• プリプロダクション。プリプロダクションはプロダクションと同様に扱われ,変更管理によって厳重に保護され,プロダクションとロックステップを維持する必要があります。これにより,プリプロダクションでのアップグレードの動作が,小規模でのプロダクションの動作と歩調を合わせているという強い安心感が得られます。
• 本番。生産は言うまでもなく，その生産です。変更管理なしで許可されていない変更は許可されてはなりません。

ソフトウェアハッシュ

ベンダーのウェブサイトからソフトウェアをダウンロードするときは,ダウンロードページで提供されるハッシュを検証することをお勧めします。これにより，ダウンロ，ドしたファ，ルが敵によって改ざんされていないことが確認されます。

セキュリティ監査

セキュリティオペレーションは幅広いトピックであり,ユーザードキュメント,法的文書,あらゆる環境の多くの要素が含まれています。あらゆる@ @ンフラの技術的側面も重要です。個人識別情報(PII)やペイメントカード業界(PCI)などのデータの使用または保持を最終的に“承”認することにつながる補足文書,合法性,および它ヘルスチェックが非常に重要であることを覚えておくことが重要です。セキュリティ操作と制御を検証するために,定期的なセキュリティ監査と侵入テストを実施することを強くお勧めします。

概要

多くのセキュリティ統制は，プロジェクトの初期段階で環境に統合されています。ただし,セキュリティリスクは常に進化しており,実施されている管理と手順を再検討することは継続的なプロセスです。頻繁にレビュ，する必要があります。すべての取り組みは，仮想化環境全体に対する侵入テストを通じて強化および検証されなければなりません。このアプロ，チは，現実世界の攻撃に対して最高レベルの回復力を提供します。