技術論文：Citrix Virtual Apps and Desktops のセキュリティのベストプラクティス

免責事項:この情報は「現状のまま」提供され、いかなる保証もありません。これは情報提供のみを目的としており、Citrix の独自の裁量により随時変更される可能性があります。

はじめに

医療、政府、金融サービスを含むグローバル組織は、環境とアプリケーションへの安全なリモートアクセスを提供するために、Citrix Virtual Apps and Desktop（CVAD）に依存しています。適切に構成されている場合、CVADは、エンタープライズオペレーティングシステムでネイティブに利用可能なものをはるかに超えるセキュリティ対策を提供できます。Citrix は、仮想化を使用して有効にする追加の制御を提供します。

この技術文書では、仮想化環境のセキュリティベースラインを確立するのに役立つ推奨事項とリソースを紹介します。私たちは、あなたが行うことができる最も重要なセキュリティ改善のいくつかを強調しています。本番環境を変更する前に、必ずテスト環境または開発環境でこのような変更を試してください。テストは、予期しない問題や結果を防ぐのに役立ちます。

この技術ペーパーでは、Citrix プロフェッショナルサービスによって開発された従来の階層化された方法論を使用しています。

Citrix の階層化モデルでは、セキュリティには独自のレイヤーはありません。セキュリティプロセスまたはセキュリティ機能は、レイヤー間で絡み合っています。セキュリティは、それを取り巻くプロセスを含め、インフラストラクチャ全体にわたってカバーされることが重要です。

組織は、規制要件を満たすために、特定のセキュリティ基準を満たす必要がありますか？このようなセキュリティ基準は時間とともに変化するため、このドキュメントではこのテーマを取り上げていません。セキュリティ標準とCitrix 製品に関する最新情報については、「セキュリティとコンプライアンス情報」および「Citrix Trust Center」を参照してください。

ユーザー層とデバイス層

ビジネスでは、エンドユーザーが仮想デスクトップに接続できるようにするにはどうすればよいでしょうか。個人所有デバイスの持ち込み (BYOD) や企業発行のデバイスなどのオプションを利用できます。どちらも独自の運用オーバーヘッドを伴います。エンドポイント配信モデルには、エンドポイントにオフロードできる機能に関する決定など、多くの設計上の意味があります。BYOD デバイスから接続しているユーザーが、クリップボード、クライアントドライブマッピング (CDM)、または印刷にアクセスできない可能性があります。「信頼できる」企業所有のデバイスから接続するユーザーは、クリップボードとローカルドライブにアクセスできます。エンドポイントデバイスには「万能」はありません。エンドポイントクライアントは、ユースケース、モビリティ、パフォーマンス、コスト、およびセキュリティ要件に基づいて選択する必要があります

デバイスロックダウン

エンドポイントデバイスは,キーロガーやネットワークへの侵入点などの攻撃を含む,攻撃ベクトルとして使用される可能性があります。Citrix を使用する場合の利点は、マウス、キーボード、および画面の更新への入力ポイントが減少することです。ユーザーは、ローカルクライアントドライブへのアクセス、印刷機能、クリップボード機能など、より多くの機能を必要とする可能性があります。この機能は、Citrix ポリシーを使用して構成できます。Citrix には、キーロギング対策や入出力ポイントの無効化など、攻撃ベクトルのリスクを軽減するためのコントロールがあります。

これらの質問はすべて、ITサポートチームがデバイスをエンドユーザーに導入する際に考慮すべきものです。

• ユーザーにはデバイスに対するローカル管理者権限が必要ですか？
• エンドポイントで他にどのようなソフトウェアが実行されていますか？他のソフトウェアはインストールできますか？
• そのユーザーはVPN機能を持っていますか？
• オペレーティングシステムとアプリケーションのパッチ適用に関して、デバイスを更新するのは誰ですか？
• エンドポイントはどのリソースにアクセスできますか?
• エンドポイント自体にアクセスできるのは誰ですか?

エンドポイントロギング

ユーザーがエンドポイントにソフトウェアをインストールできない場合でも、ログが有効になっていて、一元的にキャプチャされていることを確認してください。ログは、侵害で何が起こったのかを理解するのに役立ちます。これらは、さらなるレビューのためにフォレンジックアナリストに提供することもできます。ロギングは、あらゆる環境とそのセキュリティ監視プロセスにとって重要な要素です。また、すべてのログをセキュリティ情報およびイベント管理 (SIEM) システムに転送することも推奨されます。この詳細により、既知の攻撃方法やその他の重要なイベントに関するアラートを設定できます。

あらゆる種類のデータ収集と同様に、データを収集するだけでなく、分析できることが重要です。報告されるデータの量に圧倒されがちです。潜在的なアラートを検出して対応できることを確認してください。

シンクライアントターミナル

多くのシナリオで、シンクライアントデバイスはリスクの高い環境に最適です。シンクライアントは、Citrix セッションに接続するのに十分なオペレーティングシステムとアプリケーションのみを備えた専用バージョンのオペレーティングシステムを実行します。このシナリオでは、パッチ適用には利点があります。シンクライアントでは、パッチを適用して維持するアプリケーションは限られています。通常、オペレーティングシステムはフットプリントを削減します。デバイスは簡略化された専用オペレーティングシステムを備えているため、エンドポイントに保存されているデータは限られています。

完全なオペレーティングシステムを実行するシンクライアント端末では、書き込みフィルタを使用してデータの永続性を停止すると便利です。再起動時に端末をリセットすると、攻撃者が攻撃の策定に使用できるデータをエンドポイントに保持する可能性が低くなります。ログやその他の重要なデータは、後でフォレンジック分析に必要になるため、破棄しないようにしてください。シンクライアント端末には、通常、従来のデスクトップやラップトップよりも購入と保守が安価であるという追加の利点があります。

パッチの適用

パッチ管理は、エンドポイントを選択する際に考慮すべき最も重要な考慮事項の 1 つでなければなりません。ビジネスでは、エンドポイントにセキュリティ修正を適用する方法を教えてください。ほとんどの従来の Windows 環境では、Windows Services Update (WSUS)、System Center Configuration Manager (SCCM)、またはその他の自動サービスを通じてマシンにパッチがプッシュされています。これらのサービスは、企業のIT部門がエンドポイントを管理する場合に最適です。

BYODはどう？誰がそれらのデバイスにパッチを当てて最新の状態に保つのですか？在宅勤務が急速に拡大するにつれて、エンドポイントのパッチ適用はより複雑になります。ポリシーは、ユーザーに対する明確な責任をもって定義する必要があります。このポリシーは、ユーザーがデバイスにパッチを適用して更新する方法を確実に把握するために必要です。ログインページに、新しいアップデートがリリースされ、できるだけ早くパッチを適用する必要があることを示す簡単な通知が 1 つの方法です。エンドポイントでエンドポイント分析スキャン (EPA)を使用して、インフラストラクチャが最新のソフトウェアを実行していない限り、インフラストラクチャへのアクセスを拒否することもできます。

また、Citrix Workspace アプリにパッチが適用され、エンドポイントで最新の状態になっていることを確認することも重要です。Citrix は、機能強化だけでなく、新しいリリースでのセキュリティ修正も提供します。

アプリ保護ポリシー

エンドユーザーは、組織の攻撃面で最も弱い部分であると広く考えられています。攻撃者は、高度な方法を使用してユーザーをだましてエンドポイントにマルウェアをインストールすることが一般的になっています。いったんインストールされると、マルウェアは機密データをサイレントに収集して盗み出すことができます。 ユーザーの資格情報、機密情報、企業の知的財産、または機密データが対象となります。エンドポイントは、BYOデバイスの増加に伴い、さらに脅威にさらされる表面になります。また、管理されていないエンドポイントから企業リソースにアクセスする場合もあります。多くのユーザーが自宅から作業していると、エンドポイントデバイスの信頼性のないため、組織へのリスクが高まります。

仮想アプリケーションとデスクトップの使用により、エンドポイントの攻撃対象領域が大幅に減少しました。データはデータセンターに一元的に保存され、攻撃者がそれを盗むのははるかに困難です。仮想セッションはエンドポイントで実行されておらず、ユーザーは通常、仮想セッション内にアプリをインストールする権限がありません。セッション内のデータは、データセンターまたはクラウドリソースの場所で安全です。ただし、侵害されたエンドポイントは、セッションキーストロークとエンドポイントに表示される情報をキャプチャできます。Citrixは、アプリ保護と呼ばれるアドオン機能を使用して、これらの攻撃ベクトルを防止する機能を管理者に提供します。この機能により、CVAD管理者は1つ以上のデリバリーグループにポリシーを具体的に適用できます。ユーザーがこれらのデリバリーグループからセッションに接続すると、ユーザーのエンドポイントには、アンチスクリーンキャプチャまたはキーログ対策のいずれか、またはその両方がエンドポイントに適用されます。

詳細については、アプリ保護ポリシーの技術概要をご覧ください。

アカウント管理

ユーザー層とデバイス層を通じて、デバイスのセキュリティに重点が置かれてきました。ユーザーアカウントの作成やリソース割り当ての承認プロセスなどは、一元化して効率的に管理する必要があります。多くの場合、アカウントは類似したロールのユーザーから単に「コピー」されます。オンボーディングを高速化できますが、中央ディレクトリ内の権限と権限のないグループメンバーシップの点で不気味になります。以前のアカウントからユーザーの権限をコピーすると、データへの不正アクセスも引き起こされる可能性があります。理想的には、データ所有者はアクセスを許可される前にグループリクエストを承認する必要があります。

アカウントの廃止は、人事システムと適切に統合されていれば簡単です。時には、企業は第三者との間でリソースを柔軟に活用する必要があります。ベンダーアカウントと忙しい時期やビジネスをアウトソーシングするときの追加サポート。それらのアカウントはどのように廃止され、最終的に削除されるのですか？最良のシナリオでは、ビジネスは契約リソースのオンボーディングとオフボーディングの両方の手順を明確に定義しています。終了日を最小に設定してオフボーディングを完了し、アカウントを無効にして、Active Directory内の「ホールディングOU」に移動します。その後、リソースが不要になったことが確認されたら、そのリソースを削除する必要があります。最終的には、請負業者が退社してから数か月後にログインすることは望ましくありません。

アクセスレイヤー

Citrix の設計プロセスでは、アクセスレイヤーはユーザーの認証を行う場所です。ここで必要なポリシーが適用され、動的なコンテキストベースのアクセスが評価されます。アクセス層は強力なセキュリティを念頭に置いて設計されており、非常に重要です。

次のセクションでは、Citrix ADC展開の安全性を高めるための主なタスクについて説明します。Citrix ADCには2つの一般的な展開タイプがあります。1つの方法は、ADCをCVAD配備のプロキシとして使用することです。もう 1 つの方法は、負荷分散アプリケーションの可用性と安全性を高めることです。このドキュメントに含まれる詳細に従うことで、Citrix ADCがやり取りしているアイテムのリスクとエクスポージャーを軽減できます。

強力な認証

内部システムへのすべての外部接続には、強力な認証が推奨されます。残念ながら、攻撃者が検索できるユーザー名とパスワードは数多くあります。これらは過去の侵害と漏洩によるもので、123億件を超える記録があります。この数値は、利用可能になるにつれて、会社への侵害のリスクを高めます。 パスワードの再利用は世界中のほとんどの人に共通しており、ユーザーのパスワードの習慣が悪いためにビジネスが危険にさらされる可能性があります。ユーザー名とパスワードは、アプリケーションに対する唯一の防御であってはなりません。 簡単に盗まれる 2 つの情報しか持たない人々を本質的に信頼してはなりません。多要素認証をすべてのアプリケーションに追加することは、ユーザーのワークフローでは必ずしも実現可能ではありませんが、特に外部アクセスについては、可能な限り展開することをお勧めします。

詳細については、製品マニュアルを参照してください。

HDX暗号化

これは、HDX/ICAストリームのセキュリティ暗号化としてRC5（128ビット）を有効にするための標準から長い間使用されてきました。ICAストリームのセキュリティレベルを提供します。エンドポイントとVDAの間のICAストリームでVDA SSLを有効にすることをお勧めします。ADCとVDA間のSSLを有効にして、追加レベルの暗号化を行います。この構成は、証明書をデスクトップサービスにバインドします。ICAストリームを証明書バウンドの指定された標準に暗号化します。このプロセスの実行方法の詳細については、CTX220062をお読みください。

SSL/TLS 暗号

すべての外部VIP（Citrix Gateway）のトランスポート層セキュリティ（TLS）暗号とSSLスコアを検証します。過去数年間、SSLおよびTLSプロトコルには多くの脆弱性がありました。TLSのベストプラクティスは常に変化しているため、すべて使用していることを確認してください。SSLv3、TLS 1.0、TLS 1.1などの古いプロトコルが無効になっていることを確認します。

ワイルドカードまたは SAN 証明書のいずれかを選択することも、このプロセスの別の側面です。ワイルドカードは費用対効果が高い場合がありますが、より複雑になる場合もあります。証明書の有効期限が切れると、ホスト数が多い展開に大きな影響を与えます。ただし、SAN 証明書は、事実上、2 ～ 5 のサイトで制限されたワイルドカードになる可能性があります。すべて同じ証明書で複数の TLD を使用できます。

最新の推奨事項については、Citrix Networking SSL/TLSのベストプラクティスを参照してください。

XML の暗号化

DDelivery Controller またはCloud ConnectorからStoreFrontサーバーへのXMLトラフィックが常に暗号化されていることを確認してください。目的は、単純なネットワークアクセスを持つ人が、ユーザーから要求されているものを見ることを防ぐことです。新しい暗号化されたポート（デフォルトではポート443）を使用するように各サーバーの構成を変更するとともに、各サーバーに証明書が必要です。詳細については、製品マニュアルを参照してください。

高度なセキュリティに関する推奨事項-セキュリティの高い展開では、難読化に非標準ポートを使用することをお勧めします。また、トラフィックを双方向に制御するために、XML トラフィックのサーバーロール間にファイアウォールが構成されていることを確認します。

StoreFront SSL

StoreFrontの展開には、暗号化されたベースURLを使用することを強くお勧めします。暗号化により、認証情報もセッション起動データもトランスポート保護なしでネットワークを経由しないことが保証されます。ほとんどの展開では、証明書は内部の認証局から発行できます。これらのサーバーは、外部デバイス用のCitrix GatewayのICAプロファイル設定の一部として、Citrix ADC展開の背後にあります。または、通常は内部デバイスのみがアクセスするCitrix ADC VIPの背後にあります。サーバー通信には、強力な暗号と TLS 1.1 または 1.2 を使用してください。このプロセスの詳細は、Microsoft のドキュメントに記載されています。

高度なセキュリティに関する推奨事項-セキュリティの高い展開環境では、Citrix Workspace アプリによって受信されるファイルが信頼できることを確認するために、ICAファイル署名を有効にすることをお勧めします。このプロセスの概要は、StoreFront製品ドキュメントに記載されています。

VDA暗号化

VDA暗号化は通常、セッショントランスポートのセキュリティを強化するために構成される最後の項目の1つです。構成はVDAとデリバリーグループオブジェクトで完了します。

高度なセキュリティに関する推奨事項-セキュリティの高い展開では、Citrix セッション情報の転送をさらに保護するためにVDA暗号化を有効にすることをお勧めします。PowerShell スクリプトを使用するのが最も簡単な方法であり、そのプロセスの概要は製品ドキュメントに記載されています。

物理アクセスを制御する

Citrix ADCアプライアンスは、不正アクセスから保護するために十分な物理アクセス制御を備えた安全な場所に展開する必要があります。この要件は、物理モデルとその COM ポートに適用されます。また、仮想化ホスト上の仮想モデルと、それに関連するILO\ DRAC接続にも適用されます。詳細については、Citrix ADC 製品ドキュメント-物理的セキュリティのベストプラクティスを参照してください。

デフォルトパスワードを変更

ITコミュニティが知っているデフォルトパスワードを持つことは大きなリスクです。特定のネットワークで使用されているデフォルトの資格情報を検索できるネットワークスキャナーがあります。これらのスキャナの効果は、デフォルトのパスワードを変更するだけで簡単に緩和または排除できます。すべてのサービスアカウントのパスワードは、パスワードマネージャーなどの安全な場所に保存する必要があります。すべてのサービスアカウントパスワードを安全に保管することは、基本的な情報セキュリティ基準です。各ロールと展開 (HA ペア) のパスワードは一意である必要があり、認証情報は決して再利用しないでください。詳細については、「Citrix ADC 製品ドキュメント-デフォルトパスワードを変更する」を参照してください。

• nsroot-デバイスの初期構成を開始するときにデフォルトを変更します。このアカウントは完全な管理アクセスを許可し、このシステムを展開する際には、このパスワードを保護することが最優先事項である必要があります。2020年に新しいCitrix ADCシステムを導入する場合、デフォルトのパスワードとしてアプライアンスのシリアル番号が使用されます。
  • 外部認証が停止している緊急シナリオで使用できる 2 つ目のスーパーユーザーを作成します。既定のnsrootアカウントを使用する代わりに、このアカウントを使用します。詳細については、「Citrix ADC 製品ドキュメント-代替スーパーユーザーアカウントを作成する」を参照してください
  • SDXユーザーは、プロビジョニングされたVPXインスタンスごとにデフォルトの管理者パスワードを構成するための管理プロファイルも作成する必要があります。インスタンスごとに異なる管理者プロファイルを作成することをお勧めします。各 HA ペアには同じパスワードがありますが、他のインスタンスに対して一意です。詳細については、サポート技術情報の記事 CTX215678を参照してください。
• ライトオン管理（LOM）—このアカウントは、多くの物理Citrix ADCプラットフォームで一般的です。 これにより、デバイスのコマンドラインと電源管理にアクセスできます。また、不正なリモートアクセスを防ぐために、初期設定時に変更する必要があるデフォルトのパスワードもあります。
• Key-Encryption-Key (KEK) パスワード— この設定は、各アプライアンスのローカルで機密性の高いパスワード領域を暗号化します。詳細については、KEK の章を参照してください。
• SVM管理者アカウント— このアカウントとパスワードの変更は、Citrix ADC SDXプラットフォームにのみ適用されます。デフォルトのnsrootパスワードがあり、物理アプライアンスのようにシリアル番号を使用しません。パスワードは、不正なリモートアクセスを防ぐために、初期設定時に変更する必要があります。

すべてのネットワークアクセスからNSIPトラフィックを保護する

ネットワーク内のすべてのデバイスが、Citrix ADCアプライアンスを管理する機能を拒否されている必要があります。管理 IP アドレスは、入力トラフィックと出力トラフィックを制御する VLAN 内になければなりません。この構成により、承認された特権ワークステーションまたは他の承認されたネットワークのみが、管理のためにそれらにアクセスできるようになります。過去10年以上にわたって発見された脆弱性の多くは、NSIPへのアクセスに関連していました。これらのIPを管理された方法で保護することで、この攻撃ベクトルを大幅に低下させるか、完全に排除することができます。ITシステムの管理へのアクセスを制限するときは、それを徹底的に文書化する必要があります。 影響を明確に理解できるように、事業継続計画を策定するのが最善です。

• サブネットIP (SNIP) とマップされたIP (MIP) で管理が有効になっていないことを確認します。管理を有効にすると、DMZネットワークがSNIPまたはMIPを介して管理コンソールにアクセスできるようになります。
• これを確認するには、SNIP、または HTTP および HTTPS 経由の MIP を参照します。コンソール内で [システム]-[ネットワーク]-[IP] に移動し、IP を選択し、[管理] チェックボックスがオンになっているかどうかを確認します。
• アクセス制御リストを使用して、ADCアプライアンスの管理へのアクセスを制限することもできます。特定のホストまたはサブネットへの制限は、管理インターフェイスをファイアウォールの背後に配置しなくても実行できます。詳細については、CTX228148-ACLでCitrix ADC管理インターフェイスをロックダウンする方法およびCitrixADC製品ドキュメント-ネットワークセキュリティを参照してください。
• Citrix ADCをファイアウォールの背後に配置する場合は、アプライアンスが提供するサービスに従って計画する必要があります。また、各デバイスの管理インターフェイスへのアクセスを計画します。また、Citrix Application Delivery Management（ADM）やCitrix Analytics など、サポートするメンテナンスデバイスやセキュリティデバイスについても計画します。詳細については、「Citrix Technologiesが使用する通信ポート」および「CTX113250-DMZ構成の例」を参照してください。
• セキュリティの高い展開では、管理ポートをデフォルトの HTTP (TCP 80) と HTTPS (TCP 443) から変更することもできます。それらをカスタムポートに変更して難読化を作成し、通常のスキャンから識別されないようにします。各アプライアンスは個別に交換する必要があります。詳細については、Citrix ADC 製品ドキュメントを参照してください。
• Citrix ADCが展開されている管理ネットワークからのすべての下り（発信）トラフィックと入力トラフィック（受信）を制限します。これらの管理ネットワークの監視とともに制限がないと、そのデバイスに対するリスクが高まります。Citrix ADCなどの重要なデバイスでは、潜在的な攻撃のリスクを減らすために、管理を特定の特権ワークステーションに制限する必要があります。外部アクセスを制御して、攻撃者が他のデバイスにアクセスするのを阻止または遅らせます。攻撃者がネットワーク外でホストされているコマンドアンドコントロールソフトウェアにアクセスするのを防ぎます。
• すべてのNISIP、LOM、支持向量机、およびCitrix ADC管理IPを他のネットワーク機器から分離したままにします。ポリシー標準に応じて、LOM を他の同様のシステムとの物理および帯域外管理ネットワークに配置します。NSIP と SVM を別の別のネットワークに配置します。Citrix ADC管理IPにのみVLANを使用すると、ファイアウォールとACLルールを簡素化できます。特権ワークステーションへの内部アクセスを制限し、外部アクセスを制限します。

Citrix ADCをLDAPSにバインドする

日常の管理に汎用ログインアカウントを使用することはお勧めしません。すべての構成変更がITチームのnsrootによって行われた場合、誰がログインして特定の変更を行ったかを追跡することはできません。nsrootアカウントのパスワードが変更されると、システムはただちにLDAPSにバインドされ、特定のユーザーアカウントの使用状況を追跡する必要があります。このステップでは、監査チームとアプリケーションチームの(表示のみ]グループを作成できるように、制御が委任されます。その後、特定の AD グループに対する完全な管理者権限を許可できます。認証情報はパケットキャプチャで収集できるため、暗号化されていない LDAP を使用してバインドすることはお勧めしません。詳細については、CTX212422を参照してください。

Microsoft Active Directory にバインドする場合は、プロトコルとしてLDAPSのみを使用していることを確認してください。また、NTLMv2 が資格情報とネットワークセッションの唯一のハッシュ方法であることを確認してください。このステップは AD セキュリティのベストプラクティスです。これにより、認証要求とネットワークセッションの転送中に、資格情報が可能な限り保護されます。この構成を適切にテストし、古い Windows クライアントで検証して、古いバージョンの Windows との互換性の問題を特定します。

外部認証ソースにバインドするときは、nsrootのようなアカウントのローカル認証を無効にする必要があります。オプションで、特定のローカルアカウントのみがローカル認証を使用できるようにします。展開要件に応じて、1 つのパスまたは別のパスが必要になる場合があります。ほとんどの展開では、ローカルアカウントは必要ありません。サービスアカウントが必要な場合は、LDAP ユーザーを作成して委任できます。このガイドでは、両方の方法の設定について説明します。1 つの方法を展開する必要があります。

ロギングとアラート

Syslog転送の実践は、より高度なトラブルシューティングとともにインシデント対応を提供するために重要です。これらのログにより、ADC へのログイン試行を確認できます。Citrix Gateway は、パケットおよびシステム操作のポリシーに基づいて、次のようなアクションを実行できます。

• GeoIP & badIP ブロッキング
• AppQoE 保護
• レスポンダーポリシーアクション

この情報は、問題のトラブルシューティングに非常に役立ちます。この詳細は、潜在的な現在の攻撃状況を理解するのに役立ちます。これは、問題を解決したり、攻撃を阻止したり、軽減したりするために、実用的なデータに基づいて最適な対応方法を決定するのに役立ちます。Citrix ADCにSyslogターゲットが構成されていない場合、必要なログは削除され、システムが動作し続けるためのスペースを節約します。詳細については、Citrix ADC製品ドキュメント「ログと監視」を参照してください。

多くの無料および有料の Syslog サーバーとコレクターが利用可能です。一部は、1日あたりのメッセージ数、メッセージのストレージ容量に応じて価格設定されるか、単なる継続的なサブスクリプションです。これらのソリューションは、かなりの量のストレージ容量を割り当てる必要があるため、計画する必要があります。Syslog サーバまたはコレクタは、他の重要なサービスからのイベント数に基づいてサイジングする必要があります。これらのサービスには、Active Directory、データベース、ファイルサーバー、VDA、およびその他のアプリケーションサーバーが含まれます。

Citrix は、Citrix ADM サービスを Syslog コレクタとして提供しています。Citrix ADM では、デバイス外での保存が可能になります。Citrix ADMは、これらのログを検索して表示し、そのイベントダッシュボードを使用できる優れたツールでもあります。トラブルシューティング、ハードウェア、認証の問題、構成の変更などを表示するのに役立つ、ログデータの優れたデフォルトビューが数多くあります。詳細については、Citrix ADM製品ドキュメント「インスタンスでのsyslogの構成」および「 [syslogメッセージの表示とエクスポート](/ja-jp/citrix-application-delivery-management-service/networks/events/how-to-export-syslog-messages.html)」を参照してください。

このメッセージリストを使用して、使用しているCitrix ADC 機能に基づいてアラートを作成することを強くお勧めします。ログを保持して検索できるようにしておくだけで、セキュリティイベントのトラブルシューティングと監査に役立ちます。デフォルトのnsrootアカウントを使用するすべてのログインとともに、不正なログインのしきい値に基づいてアラートを発していることを確認することが重要です。詳細については、開発者向けドキュメント-Syslog メッセージリファレンスをご覧ください。

監視ソリューションで SNMP を構成して、サービスレベルと物理レベルの監視の両方が有効になっていることを確認します。この設定により、サービスとアプライアンスの動作が保証されます。電子メールを設定すると、システム通知を適切なメールボックスに送信できます。この手順では、期限切れの証明書やその他の通知を通知することもできます。

監視および保護するサービスを計画する

時間をかけてCitrix ADCで使用するサービスを計画すると、それらのIPアドレスにどの機能を適用できるかを理解するのに役立ちます。テストするIPが割り当てられているかどうかを検証する絶好の機会です。レスポンダーやその他のポリシーを本番VIPに適用する前に、必ずテストVIPのすべてのセキュリティ設定を検証してください。この手順を機能させるには、より多くの DNS レコード、SSL 証明書、IP アドレス、およびその他の構成が必要になる場合があります。

Citrix ADC 最も一般的な3つの使用例は、負荷分散、グローバルサーバー負荷分散、およびCitrix Gatewayです。

予定されているすべてのVIPを内部または外部のいずれかで整理することをお勧めします。内部VIPは、外部VIPに必要なすべてのセキュリティ機能を必要としない場合があります。外部リソースにアクセスする必要がある国を評価することは、GeoIP 機能を使用する予定がある場合に適した計画ステップです。特定の国を制限する必要があるかどうかを理解するために、ビジネスリーダーやアプリケーション所有者と会ってください。

可能であれば,構成の変更を開始する前にCitrix ADMを展開します。Citrix ADMは,アプライアンスを定期的に簡単にバックアップし、メトリックとともにログの可視性を高めることができます。他のより高度な機能をCitrix ADC展開に追加して、可視性とセキュリティをさらに高めることができます。Citrix ADMは、単なる監視ソリューションを超えることができるCitrix Analytics とともに有料版を提供しています。私たちは自動セキュリティ対応システムになることができます。

デフォルトSSL証明書を置き換える

最新のブラウザでは、証明書が無効であり、がデフォルトの証明書である場合はセキュリティ上のリスクになるという警告が表示されます。このエラーを毎日認識すると、真の中間者攻撃の影響を受けやすくなります。TLSストリームに入ることができるので、誰かがあなたが入力した内容を読み取ることができます。証明書の置き換えは、独自の内部認証局をホストしているか、サードパーティのサービス (関連するコストがかかる可能性があります)、または自己署名証明書を使用するかに応じて簡単です。証明書を更新したら、ブラウザは新しい証明書を信頼し、デバイスへのアクセス中にエラーが発生しないようにする必要があります。証明書エラーが再び発生した場合は、有効期限を確認する必要があります。知らないうちに交換された可能性があります。

• NSIP— この証明書の変更は、アプライアンスのすべての管理が行われる場所であるため、最初に行う必要があります。このプロセスは、各アプライアンスで完了する必要があります。詳細については、CTX122521を参照してください。
• LOM— NSIP管理証明書がデフォルトから変更されたら、これらの証明書を変更することが次の目標である必要があります。このプロセスは、各アプライアンスで完了する必要があります。詳細については、製品マニュアルを参照してください。
• SDX SVM— SDX をご利用の場合は、デフォルトの証明書が置き換えられていることを確認します。SDX SVM は、インスタンス自体の管理とともに、アプライアンス管理の主要な方法になります。このプロセスは、各アプライアンスでも完了する必要があります。詳細については、CTX200284を参照してください。

ファームウェアアップデート

1. 初期展開-各Citrix ADCプラットフォームで利用可能な最新のファームウェアバージョンを使用します。リリースノートを必ず確認して、影響のある「既知の問題」がないか確認してください。N-1方法論は、最新のリリースから1つ遅れて残るためによく使用されます。ファームウェアの更新は、使用しているプラットフォームがCPX、MPX、SDX、VPXのいずれであっても、各インスタンスで行われます。
2. LOM\ IPMI ファームウェアの更新-ファームウェアは展開時に更新することをお勧めします。アップデートにより、最新の機能と修正が確実に入手できます。詳細については、製品ドキュメントを参照してください。
3. 継続的なアップデート-Citrix ADC、Citrix ADM、およびCitrixWebアプリケーションファイアウォールのCitrixセキュリティ情報およびアップデート通知のアラートにサインアップします。

Citrix ADCを毎年更新する頻度を計画します。展開された機能と IT 組織のポリシーによって、これらの更新のスケジュール方法を決定する必要があります。通常、更新プログラムは年に 2 ～ 4 回リリースされます。また、既知の問題とセキュリティ修正に対処する 2 つの機能更新プログラムと 2 つの更新プログラムがあります。サービスを中断することなく、これらのアップグレードを計画およびスケジュールするのに役立つガイドが用意されています。バージョンパリティが常に推奨されるため、Citrix ADMなどの他のサポートシステムにも適用できます。高可用性ペアのアップグレードについての詳細をご覧ください。

KEKによるデータ保護

KEK キーペアを作成することで、さらにデータを保護できます。この手順は各アプライアンスで行うことを強くお勧めします。キーペアは、キーパスワード関連の領域の設定を暗号化します。誰かがあなたのns.confファイルにアクセスすると、その結果、そのファイルから資格情報やパスワードを取得できなくなります。\flash\nsconfig\フォルダーのルートにある 2 つのキーファイルは、機密性が高いと見なされ、適切なセキュリティを備えたバックアップによって適切に保護される必要があります。

ここでの注意点は、あるアプライアンスから別のアプライアンスへの移行にはさらに手順が必要であることを意味します。設定を解読する前に、KEKキーを新しい展開に追加する必要があります。データ保護のためのマスターキーの作成 (文字列の検索KEK)の詳細をご覧ください。

無効なパケットをドロップ

多くの無効なパケットが毎日Citrix ADCデバイスに送信されます。中には無害なものもありますが、ほとんどはプロトコルベースの攻撃とともにフィンガープリントの目的で使用されます。この機能を有効にすると、デバイスの CPU リソースとメモリリソースを節約できます。ADCがプロキシするバックエンドアプリケーションに部分的または不正なパケットを送信しないことで、ほとんどの既知のプロトコル攻撃を防ぎます。このステップは、パケット操作に依存する潜在的な将来の攻撃をブロックすることさえできます。

詳細については、製品ドキュメント、CTX227979、CTX121149を参照してください。

HTTP 厳格なトランスポートセキュリティ

HSTSがすべてのSSL VIPに設定されていることを確認します。HTTP Strict Transport Security の主な目的は、ダウングレード攻撃、Cookie ハイジャック、SSL ストリッピングなどのさまざまな攻撃方法からアプリケーションを保護することです。これは無効なパケットのドロップに似ていますが、HTTP と HTTPS の両方に基づいています。これは、RFC 6797の HTTP ヘッダーへのエントリを使用した標準に基づいています。これにより、Citrix ADC 背後にあるすべてのアプリケーションに、さらに別の防御層が追加されます。

リソースレイヤー

ユーザーセッションをホストするリソースは、侵害されるリスクが高くなる可能性があります。VDIセッションを実行しているユーザーは、企業ネットワークに接続されているコンピューターに似ています。適切に設計されたアクセス層と制御層を利用することで、ビジネスはゼロトラストモデルに移行することができます。ゼロトラストでは、特定の変数セットに応じて、エンドユーザーに提示されるリソースへのアクセスが動的に調整されます。次のガイダンスは、企業資産をユーザーから保護するためのより高いレベルの制御を提供します。

ビルド硬化

オペレーティングシステムビルドの強化は複雑で、実現が難しい場合があります。ユーザーエクスペリエンス、使いやすさ、セキュリティの間のトレードオフがすべて微妙にバランスされています。多くのお客様は、さまざまな役割で仮想マシンを強化するために、インターネットセキュリティセンター (CIS) のベースラインに従うことを選択しています。Microsoft は、同様のワークロードの強化ガイドも提供しています。グループポリシーに直接実装する ADMX ファイルもあります。このルートを選択した場合は、注意して進めてください。初期ポリシーが過度に制限されている場合は、必ず最初に徹底的にテストしてください。これらのベースラインは、強化のための素晴らしい出発点です。ただし、すべてのシナリオで網羅的であることを意図したものではありません。ロックダウンの鍵は、徹底的にテストし、サードパーティの侵入テスト契約を奨励することです。テストでは、最新の攻撃方法に対するセキュリティコントロールとその有効性を検証します。

システムを強化する一環として、管理者は、基盤となるオペレーティングシステム、サービス、およびスケジュールされたタスクを最適化するために時間を費やすことを推奨しました。このステップでは、基盤となるシステムから不要なプロセスを削除します。また、セッションホストの応答性が向上し、エンドユーザーに対するユーザーエクスペリエンスが向上します。Citrix は、オペレーティングシステムの多くの要素を管理者に自動的に最適化するオプティマイザツールCitrixOptimizerを提供しています。Citrix Optimizer の結果は、環境内に悪影響がないことを確認するために調整されます。

スケジュールされたタスク

場合によっては、定期的なメンテナンスを実行したり、環境で進行中の問題を解決したりするために、スケジュールされたタスクを利用する必要があります。スケジュールされたタスクを使用する必要がある場合、事前に検討する必要があるいくつかの推奨事項があります。

特権アカウント-可能な場合は、スケジュールされたタスクが、実行する必要があることに対する正しい権限を持つアカウントで構成されていることを確認してください。たとえば、ドメイン管理者の資格情報を使用してスケジュールされたタスクを実行することは推奨されません。

代替案-スケジュールされたタスクが、より広い課題の「石膏」として使用されている可能性があります。スケジュールされたタスクを使用して問題を解決するよりも良い方法はありますか。一時的な問題を解決している可能性がありますが、スケジュールされたタスクを実行したままにするのではなく、ルートの原因を修正します。これは特にイメージ更新に当てはまります。ドキュメント化されていない場合や、ビルド手順に入力されていない可能性があるためです。今後のアップデートでは見逃され、さらに問題が発生する可能性があります。

パッチ適用と更新

ITシステムにパッチが適用され、最新の状態になっていることを確認することは、すべてのソフトウェア、オペレーティングシステム、およびハイパーバイザーの標準的な方法です。プロバイダーには、ソフトウェアにパッチが適用され、セキュリティの脆弱性が許可されていないことを確認する義務があります。安定性が向上し、機能が強化されたものもあります。ほぼすべてのベンダーが、自社のソフトウェアにパッチやアップデートを適用するためのリリーススケジュールまたはサイクルを定めています。お客様には、パッチが適用されているもの、または導入される新機能を読んで理解することをお勧めします。これらの更新は、多くの場合、ルートトゥライブソリューションを通じて処理されます。適切なテストを行うことで、本番環境の変更によるシステム停止を回避できます。

マルウェア対策

マルウェア対策またはウイルス対策は、インフラストラクチャ全体のすべてのサーバーに展開することが常に推奨されます。アンチウイルスは、既知のマルウェアや他の多くの種類のウイルスに対する優れた防御策を提供します。ウイルス対策のより複雑な側面の 1 つは、ウイルス定義が定期的に更新されるようにすることです。非永続的な VDI またはホストされた共有ワークロードでは、特に注意が必要です。アンチウイルス定義を永続ドライブにリダイレクトする方法を詳しく説明した記事はたくさんあります。目標は、コンピュータがウイルス対策管理スイート内の個々のオブジェクトとして識別されるようにすることです。ウイルス対策ソリューションが正しく展開され、インストールされていることを確認するには、次のガイドラインに従ってください。ウイルス対策ベンダーは、マルウェア対策ソフトウェアを展開するための独自の推奨方法を持っています。正しく統合するには、ガイドラインに従うことを推奨しました。詳細については、「エンドポイントセキュリティとウイルス対策のベストプラクティス」を参照してください。

アプリケーションコントロール

AppLocker などのテクノロジは実装が難しい場合がありますが、強力なツールです。特に、予測可能な使用パターンを持つ公開アプリケーションでサーバーを保護するという点で。環境を実行可能レベルまで細かくロックダウンできること。何が実行できるか、できないか、誰によって実行できるかを明確に定義することは非常に有益です。アプリケーション起動時のロギング機能は言うまでもありません。500 を超えるアプリケーションがある大規模なエンタープライズ環境では、これらすべてを慎重に検討する必要があります。

Windows ポリシー

Windowsポリシーをセッションホストに適用する場合、VDIベースのワークロードでもサーバベースでも、2つの主要な役割を果たすことができます。

• オペレーティングシステムを強化する
• ユーザーエクスペリエンスを最適化する

オペレーティングシステムの管理を簡略化するには、これらのポリシーを Microsoft グループポリシーを通じて適用する必要があります。これにより、イメージの作成プロセスが簡単になります。グループポリシーを使用しない場合は、ロックダウンを提供する別の方法を見つける必要があります。ポリシーでは提供できないセキュリティ強化と最適化は、イメージ構築プロセスの一環として自動化する必要があります。

ユーザーがアクセスする前に、必ずオペレーティングシステムが強化されていることを確認してください。ユーザーは、自分の役割を実行するために必要な最小限のタスクのみを実行できる必要があります。管理ベースのアプリケーションはすべてセキュリティ保護され、一般ユーザーはアクセスできないようにする必要があります。このステップにより、ユーザーがセッションを「ブレイクアウト」できるリスクが軽減されます。ユーザーがオペレーティングシステム内で不正なデータにアクセスしたり、悪意のある行為を実行したりすることを防ぎます。

Citrix ポリシー

ポリシーは、ユーザーアクセスシナリオに応じて適用できます。Citrix セッション評価の例としては、クリップボードへのアクセスやクライアントドライブのマッピングが必要と判断された場合にオフにすることが挙げられます。一方向のクリップボードを有効にして、データをセッションにコピーすることはできますが、セッションからはコピーできません。いくつかのポリシーは、システムセッションからの不正なデータの出力を制御するのに役立ちます。各方針は慎重に計画され、理解される必要があります。

この記事の「システムの強化」セクションで説明したセキュリティ強化構成の多くは、グループポリシーの形式で適用できます。ユーザーがログオンする前に、起動時に適用されるすべてのサーバーで一貫したアプリケーションを使用できます。このステップにより、インフラストラクチャ全体で一貫したユーザーエクスペリエンスが得られます。つまり、トラブルシューティングが少なくなり、すべての資産とユーザーにわたってセキュリティ制御の一貫性が確保されます。

ユーザーのログインを許可する前にVDAが確定するようにデリバリーグループを構成します。この手順は、ポリシーとロックダウンをセッションに適用するのに十分な時間を提供します。これにより、ユーザーがログインする前に、すべてのポリシーがサーバーに適用されていることが保証されます。SettlementPeriodBeforeUseの詳細については、開発者向けドキュメントを参照してください。

イメージの管理

イメージ管理システムの適切な実装は、お客様にとって大幅な時間の節約になることが証明されています。マシン作成サービス (MCS) とProvisioning Services (PVS) の両方をサポートしています。イメージ管理は、運用およびセキュリティ機能に多大なメリットをもたらします。

まず、ロックダウンまたは制御は、ユーザーがリソースにアクセスするすべてのマシンにわたってビルドで一貫して適用されます。個々のマシンを手動で構築するのは時間がかかるだけでなく、一部の構成や設定が見落とされたり、一貫性がないことがほぼ保証されます。構成を一度設定してすべてのマシンに展開すると、セキュリティ実装がすべてのマシンで一貫しているという安心感が得られます。

次に、VDAでのユーザーセッション中に、ユーザーは他のアプリケーションやドキュメントを開き、機密データにアクセスします。データは最終的に仮想デスクトップまたはアプリケーション内にキャッシュされます。ユーザーがログオフすると、データの残りは間違いなく残ります。マシンを再起動して元のゴールデンマスターイメージに戻すと、機密データが消去されるという安心感が得られます。前のユーザーのデータにアクセスするリスクなしに、次のユーザーがログインして作業を開始できるように、すべての準備が整いました。詳細については、「イメージ管理のリファレンスアーキテクチャ」を参照してください。

単一イメージ管理に関する考慮事項をいくつか示します。

• ウイルス対策の設定に注意してください。
• Machine Creation ServicesまたはProvisioning Servicesがイメージ全体をコピーする前に、テンプレートまたはイメージにアカウントを作成しないでください。
• 保存された、権限が付与されているドメインアカウントを使用して、タスクをスケジュールしないでください。
• サービスアカウントには、関連する権限が適用された専用アカウントが必要です。
• 攻撃者が環境について知るために使用できるすべてのログファイル、設定ファイル、およびその他の情報源を必ず削除してください。

これらのセキュリティ対策を維持することで、マシン攻撃によるローカルの永続的なアカウントパスワードの取得を防ぐことができます。これらのパスワードは、他のユーザーに属するMCS/PVS共有イメージへのログオンに使用されます。

ワークロード分離

リソースを別々のサイロに配置することは、長い間推奨されてきた方法でした。リソース層だけでなく、この記事の後半で取り上げるハードウェア層とネットワーク層の両方についても説明します。ワークロードをさまざまなデリバリーグループまたはマシンカタログに分けても、一連のマシンに対するセキュリティポリシーを微調整するのに役立ちません。また、セキュリティ侵害の影響も軽減します。影響の大きいデータにアクセスするリスクの高いユーザーがいる場合、これらを適切に構成された分離環境に分離する必要があります。環境には、より厳しいポリシーとロギングを適用する必要があります。セッション記録などの機能は、がこのデータにアクセスしているときに追加の保護層を提供します。

ワークロードは,ハードウェアの分離(専用ホスト),仮想マシンの分離,またはOS内の分離(アプリマスキングや厳密なNTFSルールなど）など、さまざまなレベルで分離できます。ユーザーをリスクプロファイルのさまざまな層に分ける一環として、ユーザーがアクセスするデータも同様に扱う必要があります。このステップでは、正しいファイル権限とアクセスルールをデータに適用します。

マイクロセグメンテーション

クラウドホスト型インフラストラクチャへの移行とゼロトラストアーキテクチャの導入に伴い、この概念がより顕著になりました。攻撃者がリソースへのアクセスに成功した場合、攻撃者が引き起こす可能性のある被害を制限したいと考えています。これが悪意のある損害かデータ漏洩か。

したがって、ワークロードとデータの分離は従うべき良い習慣です。このステップには、ネットワーク全体の主要な資産とデータを強調するのに役立つビジネスアナリスト（BA）からの入力が含まれます。理想的には、データの各部分は、データにアクセスした場合のビジネスへの影響を高、中、または低に分類できます。

ビジネスへの影響に応じて、各データセグメントを異なる方法で扱い、互いに分離することができます。たとえば、ユーザーがインターネットを閲覧していると、リスクが高くなる可能性があります。特に、ソフトウェアやドキュメントをダウンロードしてセッションに保存できる場合に当てはまります。したがって、リスクの高いユーザーアクティビティからより重要なリソースを分離することを検討する必要があります。Webブラウジングと電子メールアクセスは、個人を特定できる情報（PII）や個人の健康情報（PHI）などのデータとは別のものです。

ファイアウォール間でワークロードを分離し、これらのネットワークセグメントを通過できるアプリケーションとプロトコルを制御します。「高リスク」領域のワークロードは、「標準」のユーザーアクセスマシンよりもはるかに多くロックダウンされる可能性があります。ここで重要なのは、ユーザーとデータのセグメンテーションに基づいて必要なセキュリティ制御を実装することです。

Session Recording

Session Recordingを使用すると、ITチームは、特定のユーザーセッション中に発生した出来事のビデオを録画および再生できます。このビデオは、ユーザーが環境内で悪意のある行為を行っていた場合に使用されます。この機能はすべてのユーザーには必要ないかもしれません。これは、主要な個人、ユーザーグループ、または機密性の高いアプリケーション、デスクトップ、またはリソースにアクセスするときに有効にできます。これらの記録から、Windows のイベントログとアプリケーションログだけでは不可能な、多くの要点を収集できます。ビデオは、インシデント対応シナリオまたは根本原因分析に役立ちます。この機能は強力で、法務チームと IT チームの承認を得たユーザーポリシーと契約に基づいて慎重に検討する必要があります。

透かし

ユーザーが機密データにアクセスしているセッションでは、データを盗まれることを大きな抑止力は透かしです。特に、ウォーターマークがユーザーを一意に識別できる場合。Citrixを使用すると、管理者は何を表示するかを設定できます。以下を表示できます。

• ユーザーログオン名
• クライアントIPアドレス
• VDA IPアドレス
• VDAホスト名
• ログインタイムスタンプ
• カスタマイズしたテキスト。

サーバー側の機能であるため、（特定のエンドポイントだけでなく）すべてのセッションに適用されます。回避策として、ユーザーがエンドポイントでプロセスを終了させても影響を受けません。

セッション透かしの詳細については、製品ドキュメントを参照してください。

同時使用量

より論争の的となったトピックは、マルチセッションホストとシングルユーザーVDIセッションの使用です。複数のユーザーが単一のサーバーにログオンすると、問題が発生する可能性があります。特に、不満を持ったユーザーがソフトウェアやコードを実行して他の認証情報を収集したり、他のユーザーデータにアクセスしたりできる場合に当てはまります。堅固な仮想デスクトップインフラストラクチャを実行するには余分なコストがかかるため、これらのトレードオフを考慮する必要があります。脅威モデルユーザーをモデル化し、最も効率的な配信メカニズムを選択します。マルチユーザーセッションホストとシングルユーザーセッションホストのどちらが理想的なパスかを判断します。1つのサイズですべてのユーザーにフィットするわけではありません。ユーザープロファイリングを実行して要件を理解し、ユーザーグループに最適なワークロードの配信方法を選択します。

仮想化ベースのセキュリティ

仮想化ベースのセキュリティ(于)はメモリの安全な部分を使用して,セッションからの安全な資産を格納します。この機能を使用するには、安全な統合を実現するために、サポートされているプラットフォーム上で実行されているトラステッドプラットフォームモジュール (TPM) または仮想トラステッドプラットフォームモジュール (vTPM) が必要です。これは、何らかの方法でマルウェアがカーネルに正常に展開されたとしても、ユーザーが保存したシークレットデータは保護されたままであることを意味します。セキュリティで保護された環境で実行できるコードには、Microsoft による署名が必要であり、追加の制御レイヤーが提供されます。Microsoft VBS は、Windows デスクトップオペレーティングシステムとサーバーオペレーティングシステムの両方で有効にできます。Microsoft VBSは、資格情報ガードとアプリケーションガードを含む一連のテクノロジから構築されています。仮想化ベースのセキュリティの詳細については、こちらをご覧ください。

制御レイヤー

制御層は、管理者がリソースへのユーザーアクセスを許可するとともに、Citrix 環境を管理できるようにするソリューションのレイヤーです。リソース同士の通信を可能にする方法の詳細は、このセクションに記載されています。このレイヤーの統合により、コンポーネントが安全に統合および通信できるようにすることが重要です。以下は、コンポーネントのセキュリティ体制を低下させます。

可用性を確保

ソリューションを展開する場合、コンポーネントは高可用性方法で展開する必要があります。単一障害点が原因でサービスが絶え間なく停止しているのは悪い習慣です。したがって、容量に対してN+1アプローチを使用すると、ログオンおよびログオフストーム中に十分なリソースを確保できます。しかし、「良い」ユーザーエクスペリエンスを維持するには、許容できるレベルのコンポーネント損失があります。現在、ほとんどのお客様は、利用可能にする必要のあるリソースの量を計画するという点で、N+1に従っています。ただし、許容できるリスクレベルによっては、これはN+2になる可能性があります。

また、ユーザーの負荷を処理するのに十分なリソースを確保するために、コンポーネントを専用の仮想マシンに分離する必要があります。共有コンポーネントを仮想マシン上で実行することは、パフォーマンスの観点だけでなくセキュリティの観点からも悪い習慣です。Citrix 観点から見た主な要素は以下のとおりですが、これらに限定されません。

• StoreFront
• Delivery Controller
• SQL Server
• フェデレーション認証サービス
• Director
• ライセンスサーバー
• Cloud Connector

データフローを暗号化する

企業は、環境全体のサービスに対して「ゼロトラスト」アプローチに移行しています。コンポーネント間のすべての通信がセキュリティで保護され、可能な限り認証されることがこれまで以上に重要になっています。このステップにより、攻撃者がネットワーク上で「飛行中」の状態で機密情報を読み取る可能性が低くなります。Citrix の観点から見ると、この手順には基本的に、秘密または公開鍵基盤（PKI）から証明書を関連サービスにバインドすることが含まれます。

高セキュリティ勧告-高セキュリティ展開では、連邦情報処理標準 (FIPS) を遵守する必要があるかもしれないと定められた基準が示唆されています。この要件には、仮想化コンポーネントの変更や、Citrix ADC などのコンポーネントを検討する場合が含まれます。また、 認定されたハードウェアアプライアンスも必要です。Citrix Trust Center

ビルド硬化

「リソースレイヤー」セクションで説明したように、展開するオペレーティングシステムとサービスを強化することを強くお勧めします。この手順では、未使用のサービス、スケジュールされたタスク、または機能を無効にします。マシン上の攻撃サービスを減らすために使用される要素に影響を与えないようにしてください。環境で実行されている仮想マシンをロックダウンするために使用できる CIS や Microsoft のセキュリティベースラインなどのベースラインがあります。ユーザーセッションをホストするセッションサーバーと、クラウドコネクタやサポートインフラストラクチャなどの制御サービスの両方を含めます。インフラストラクチャマシンは、サービスの動作に必要のないサービス、機能、またはスケジュールされたタスクを同様に無効にする必要があります。

サービスアカウントの強化

Citrix ソリューションの一部の要素では、サービスアカウントを使用する必要があります。サービスアカウントでは、自動化された機能をある程度の認証と承認で進行させることができます。サービスアカウントは、必要なタスクの実行のみを許可する必要があり、ネットワーク上で昇格されたアクセス権を持つことはできません。サービスアカウントは、自動化機能ごとに作成する必要があります。このステップは、本質的に認証要素を絞り込み、サービス内で権限クリープが発生しないようにします。サービスアカウントのパスワードは、コンプライアンス要件に基づいて、少なくとも年に1回またはそれ以上の頻度でリセットすることをお勧めします。これらのアカウントやグループは、保護とログ記録を強化するために、Active Directory 内の保護対象ユーザーグループにも含まれている必要があります。

サービスアカウントをさらに強化するには、パスワードが侵害された場合にアカウントを再利用してネットワークデバイスにログオンできないように、そのようなアカウントに対する対話型ログオン権限を可能な限り拒否することも推奨されます。

アカウントがネットワーク上のどのアカウントとも対話的にログオンできないことを確認します。

• ユーザーアカウント
• 管理者アカウント
• サービスアカウント

アカウントが引き続き必要であることを確認するために、アカウントを定期的に監査し、権限を検証する必要があります。また、ネットワーク全体に追加の「特権クリープ」がないことを確認してください。特権クリーピングとは、残業時に追加の権限がアカウントに割り当てられ、撤回されない場合です。たとえば、問題のトラブルシューティングのために権限は追加されますが、レビューや削除は行われません。最小権限の概念は守られていません。

最小特権

このフレームワークは、ネットワーク上のどのアカウントにも適用されます。このステップにより、作成されたすべてのアカウントに、そのロールを実行するために必要な権限のみが付与されます。管理アクセスが必要な場合、ユーザーは管理機能の実行に使用される個別のアカウントを持っている必要があります。理想的なシナリオでは、アカウントへのアクセス許可は、そのタスクを実行するのにかかる時間だけ付与する必要があります。管理アクションが完了したら、不要になった権限をすべて削除する必要があります。

アプリケーションコントロール

アプリケーションコントロールはリソースレイヤーでカバーされています。ただし、コントロール層についても同様のアプローチをとることができます。アプリケーション固有の実行可能ファイルを許可すると、実行中のマシンの攻撃対象領域がさらに減少します。許可されていない実行ファイルは実行できません。これには管理オーバーヘッドが伴いますが、制御の層が追加されます。このステップは、展開されているすべてのアプリケーションに適用する必要があります。このアプローチの考慮事項は、システムで実行されているファイナルまたは実行可能ファイルを変更する更新は事前に承認する必要があるということです。このステップでは、更新が行われた後に実行することができます。

ホストベースのファイアウォール

最も一般的でありそうなのは、管理者が最初に無効にするのは、ホストベースのファイアウォールです。ただし、トラブルシューティングなどの特定のシナリオでは有効にできます。このようなサービスを永久に無効にしておくと、環境が侵害されるリスクが高くなります。ファイアウォールは、攻撃者が未知または偽のツールまたはアプリケーションを介してサーバーにアクセスするのを防ぐように設計されています。ファイアウォールが、許可されていない要素の実行を停止するように設定されていることを確認します。ただし、アプリケーションが機能し、相互に通信できるように構成する必要があります。Citrix VDAをインストールすると、基本的なVDA通信に必要なファイアウォールルールが自動的に作成されます。Windows リモートアシスタンスと必要なリアルタイムオーディオポートも追加できます。テスト環境は、管理者がアプリケーションがどのように機能するかを明確に理解できるようにするために必要です。このステップにより、本番環境でファイアウォールとサービスを確実に構成できます。アプリケーションやユーザーエクスペリエンスへの悪影響を避けてください。Citrix 環境が機能するために必要なポートについては、CTX101810をお読みください。

Transport Layer Security

TLS は 2 つ以上のコンポーネント間の通信を暗号化します。セッションの認証、列挙、および起動には、機密情報の転送が必要です。これらの通信が暗号化されていない場合、攻撃者はユーザーの資格情報やその他の機密データを取得する可能性があります。環境を強化する場合、TLS を有効にすることが最初に行う必要があることの 1 つです。TLS を有効にするときは、秘密キーの作成に関する推奨される方法に従ってください。鍵管理と証明書推奨プラクティスの作成に関する記事は数多くあります。最低限、次の通信では TLS を有効にすることをお勧めします。

• STAサービス
• XML 仲介
• StoreFront (ベースURL)
• ADC 管理インターフェース
• Gateway
• Director、オンプレミスで実行している場合

ホストレイヤー

すべての仮想環境では、ストレージ、コンピューティング、ハイパーバイザー、ネットワーキングなどのいくつかのコンポーネントが侵害されます。これらのコンポーネントは、常にセキュリティを重視して設計および実装します。これは、アタックサーフェスの継続的な削減に大きな影響を与えます。クラウドサービスでは、すべてが適用できるわけではありませんが、ほとんどがリソースの配置場所に関係なく適用されます。

ハードウェア分離

今日のクラウド時代では、ハードウェア分離の概念は管理者にとってそれほど関心事ではなくなっています。また、より多くの企業が、すべてのハードウェアを十分に活用できるようにすることで、より大きな投資収益率を求めています。一部のクラウドプロバイダーでは、これは不可能なことです。ただし、オンプレミスの物理インフラストラクチャでは、リソースを独自のホスティング環境に分離できます。このような攻撃には、攻撃者がVMツールスタックを介してVMにドリルダウンできるハイパージャックが含まれます。その後、攻撃者はハイパーバイザーにアクセスします。

文書化された攻撃の多くは理論的なものです。しかし、それらが公に文書化されているという事実は、この種の攻撃が効果的であることを示唆しています。これは現実的な可能性なので、データを保護することに戻ります。ワークロードを一意のクラスタに分離し、同じデータ分類をホストするワークロードがそれらの一意のクラスタ内に保持されるようにします。攻撃者が何らかの形でハイパーバイザー層に侵入しても、より高い分類のデータが危険にさらされることはありません。

ネットワーク分離

ワークロードを論理的に分離された個々のサブネットに分割することで、攻撃の影響や拡散を劇的に減らすことができます。通常、これらのサブネットレイアウトは開始するのに最適な場所です。

• コンポーネントにアクセスします。ADC IPアドレスとコールバックゲートウェイを侵害する小さなサブネット。
• Citrix インフラストラクチャ展開するインフラストラクチャに応じて、Citrixインフラストラクチャサブネットには、StoreFront、クラウドコネクタ/コントローラー、Directorサーバー、Citrix ADMが含まれます。
• サポートするインフラストラクチャ。必要なインフラストラクチャコンポーネントに応じて、これらのサービスは SQL サーバー、ジャンプサーバー、ライセンスサーバーなどの分離の代表的な例です。これは、コンプライアンスのニーズに依存します。
• VDAサブネット。VDAサブネットのサイズを決定する際、正解も不正解もありません。過去には、PVSサブネットのサイジングに関するガイドとして履歴データを使用してきました。時間の経過とともに、PVSが推奨するプラクティスは進化してきました。主な注意点は、サブネットのサイズ設定は、ユーザーとVDAの数、およびアクセスしているセキュリティコンテキストに基づいて割り当てる必要があるということです。同様のリスクプロファイルを持つユーザーを単一のサブネットに配置することで、これらの各サブネットをファイアウォールで分離することもできます。

ファイアウォール

ファイアウォールは、環境にセキュリティを実装する主要な要素の 1 つです。ホストベースおよびネットワークベースのファイアウォールを実装すると、運用上のオーバーヘッドが大きくなります。ホストベースとネットワークレベルの両方から2つのレベルのファイアウォールを実装することで、職務の分離が可能になります。このステップにより、アプリケーションがあるサーバーから別のサーバーに通信できるようになります。ファイアウォールルールは十分に文書化され、どの役割または機能が割り当てられているかについて明確にマークされている必要があります。この情報は、セキュリティチームとネットワークチームから例外の承認を得るのに役立ちます。

ハイパーバイザーの強化

ハイパーバイザーが正しく機能するためには、一定レベルのサービスとプロセスを有効にする必要があります。他のオペレーティングシステムと同様に、ハイパーバイザーレベルのサービスの多くは無効にして、ハイパーバイザー層の攻撃対象領域を減らすことができます。ハイパーバイザーを侵害することは、攻撃者からの完全なオーバーランの宣言である可能性があります。攻撃者は、読み取りメモリ、CPU 命令、および制御マシンにアクセスできます。攻撃者がこの層に入ると、深刻な問題になります。

メモリイントロスペクション

ベンダーは現在、仮想マシンの実行メモリをイントロスペクションする機能を提供しています。このアクティブなメモリ空間を監視することで、より高度なレベルの攻撃からより深いレベルの保護が可能になります。ハイパーバイザーのメモリイントロスペクションの詳細については、Citrix Ready yを参照してください。

操作レイヤ

安全な環境を運用するための運用手順は,技術的な構成そのものと同じくらい重要です。以下の項目は、オペレーショナルセキュリティエクセレンスの強固な基盤を構築するための素晴らしいスタートとなります。

ユーザートレーニング

十分なユーザーと管理者のトレーニングを提供する。それは優れたセキュリティ慣行を促進し、意識はカバーするのが最も簡単な基盤の1つです。一例として、ログインページの通常の予想される動作をユーザに認識させることが挙げられます。サポートスタッフが必要とする詳細を把握します。ポップアップや恐ろしいメールフィッシング攻撃の処理方法をスタッフにトレーニングします。ユーザーは、セキュリティ関連の問題をセキュリティオペレーションセンターにどのように対応し、どこでどのように報告すべきかを認識している必要があります。

ユーザー監視

ユーザーセッションの記録などの強化されたユーザー監視を有効にすることは、議論の余地がある場合があります。 たとえば、雇用契約の範囲内で、ITシステムに対するユーザーの行動が監査目的で記録される可能性があることをユーザーに通知します。人事に関するあらゆる法的影響に対して、適切なレベルの補償範囲を提供できます。さらに議論の余地があるのは、キーロギングを有効にできることです。この種のツールには、問題が発生する可能性があるため、ある程度の注意を払ってアプローチする必要があります。これは、ユーザーが会社のマシンで何にアクセスしているかによって異なります。管理者は、ユーザーには知られていない個人の電子メールや銀行口座にユーザー名やパスワードを収集できます。これには注意して取り組む必要があり、ユーザーにはそのようなアクションが実行されていることが通知されます。

ロギングと監査

IT管理者とユーザーの両方のすべてのアクションを確実に記録します。環境全体でロギングを有効にしました。この記事で説明されているすべてのレイヤーを含めます。監査目的でこれらのログを照合して保存します。違反が発生した場合に備えて、レビューのためにログを保持します。このステップでは、生成されたログを継続的に管理し、それに基づいて行動する必要があります。一部のアプリケーションでは、ログとアラートを処理してアクションを実行できる、ある程度の自動化機能が用意されています。

Citrix は、分析サービスの一環としてクラウドベースのソリューションを提供しています。このサービスにより、ユーザーのセキュリティリスクスコアリングが可能になります。リスクスコアに基づいて、セキュリティスタンスを高めたり、切断したり、アカウントを自動的にロックしたりすることができます。これらのイベントは、この記事で前述したように、Session Recordingとしての機能を自動的に有効にすることができます。管理者がそのユーザーのアクションを確認できるようになるまで、Citrix の機能を無効にしてセッションを切断できます。セキュリティ分析は、ユーザーの行動分析と適用されたセキュリティ制御を自動化された方法で相互に関連付けることができます。詳細については、Citrix Analytics の技術概要を参照してください。

職務分離

適切なロールベースのアクセス制御メカニズムが実装されていることを確認する。ただし,これは1人の管理者が単独で機能または出口をオンにできないようにするための優れたアプローチでもあります。理想的には、職務分掌を実装して、複数の管理者が機能を有効にするために独立して行動するように強制します。良い例は、Citrix セッションでクライアントドライブマッピングを有効にすることです。これは、SmartControlポリシー内のCitrix ADCで有効になっているCitrix管理ポリシーを使用して制御できます。CDM 機能を有効にするには、2 つの個別の変更が必要です。

機能を有効にするには、2 人の管理者がいることが重要です。また、管理者は通常のユーザーアカウントとは別のアカウントを持っている必要があります。 管理者アカウントは、管理タスクを実行するためだけのものです。このステップにより、フィッシング攻撃の攻撃ベクトルが減少します。管理者が通常のユーザー認証情報をハイブアップし、これらの認証情報にドメイン管理者権限がある場合、環境に大きな影響を与えます。そのため、管理者の通常のユーザーアカウントは管理タスクを実行できません。ユーザーは、ネットワークまたはドメイン全体でグローバル管理者権限を持っていてはなりません。理想的には、役割ベースのアクセス制御 (RBAC) グループを使用して、より詳細なレベルで管理ベースの機能に対する権限を与える必要があります。

変更管理

一部のお客様がほとんど考慮しない一般的なことの1つは,テスト環境と開発環境を分離することの重要性です。これらの環境は、更新と変更がユーザー環境にどのように影響するかを理解するために徹底的にテストするための重要な要素です。インフラストラクチャは、本番環境に移行する前にテストおよび開発環境で変更を加えることを管理者に義務付けるために、変更管理プロセスと密接に関連している必要があります。開発環境でのインストールまたはアップグレードの変更のテストの一環として、変更のロールバックを徹底的にテストすることも同様に重要です。このようにして、管理者はプロセスについてより深く理解し、本番環境でロールバックプロセスを呼び出す必要があります。徹底したテストと堅実な展開計画により、本番環境を不必要な停止から保護します。理想的には、「ライブ」に移行するための大まかな概要は、次のフェーズで構成する必要があります。

• テスト。管理者が更新されたソフトウェアと新機能に慣れるための、より緩やかに制御された環境と、よりサンドボックスな領域。
• プリプロダクション。プリプロダクションはプロダクションと同様に扱われ、変更管理によって厳重に保護され、プロダクションとロックステップを維持する必要があります。これにより、プリプロダクションでのアップグレードの動作が、小規模でのプロダクションの動作と歩調を合わせているという強い安心感が得られます。
• 本番。生産は言うまでもなく、その生産です。変更管理なしで許可されていない変更は許可されてはなりません。

ソフトウェアハッシュ

ベンダーのウェブサイトからソフトウェアをダウンロードするときは、ダウンロードページで提供されるハッシュを検証することをお勧めします。これにより、ダウンロードしたファイルが敵によって改ざんされていないことが確認されます。

セキュリティ監査

セキュリティオペレーションは幅広いトピックであり、ユーザードキュメント、法的文書、あらゆる環境の多くの要素が含まれています。あらゆるインフラの技術的側面も重要です。個人識別情報（PII）やペイメントカード業界（PCI）などのデータの使用または保持を最終的に「承認」することにつながる補足文書、合法性、およびITヘルスチェックが非常に重要であることを覚えておくことが重要です。セキュリティ操作と制御を検証するために、定期的なセキュリティ監査と侵入テストを実施することを強くお勧めします。

概要

多くのセキュリティ統制は、プロジェクトの初期段階で環境に統合されています。ただし、セキュリティリスクは常に進化しており、実施されている管理と手順を再検討することは継続的なプロセスです。頻繁にレビューする必要があります。すべての取り組みは、仮想化環境全体に対する侵入テストを通じて強化および検証されなければなりません。このアプローチは、現実世界の攻撃に対して最高レベルの回復力を提供します。