Gateway

セキュリティ計画

NetScaler Gateway の展開を計画するときは、証明書、および認証と承認に関連する基本的なセキュリティ問題を理解しておく必要があります。

安全な証明書管理の設定

デフォルトでは、NetScaler Gateway には、アプライアンスがSSLハンドシェイクを完了できるようにする自己署名Secure Sockets Layer(SSL)サーバー証明書が含まれています。自己署名証明書は、テストやサンプル展開には十分ですが、本番環境での使用はお勧めしません。NetScaler Gateway を実稼働環境に展開する前に、既知の認証局(CA)から署名付きSSLサーバー証明書を要求して受信し、NetScaler Gateway にアップロードすることをお勧めします。

NetScaler Gateway がSSLハンドシェイクでクライアントとして動作する必要がある環境(別のサーバーとの暗号化された接続を開始する)にNetScaler Gateway を展開する場合は、NetScaler Gateway にも信頼されたルート証明書をインストールする必要があります。たとえば、Citrix Virtual AppsとWeb Interfaceを備えたNetScaler Gateway を展開する場合、NetScaler Gateway からWeb Interfaceへの接続をSSLで暗号化できます。この構成では、NetScaler Gateway に信頼されたルート証明書をインストールする必要があります。

認証サポート

ユーザーを認証し、内部ネットワーク上のネットワークリソースに対するユーザーのアクセス(または承認)のレベルを制御するようにNetScaler Gateway を構成できます。

NetScaler Gateway を導入する前に、ネットワーク環境に、次の認証タイプのいずれかをサポートするディレクトリと認証サーバーを用意する必要があります:

  • LDAP
  • RADIUS
  • TACACS+
  • 監査およびスマートカードをサポートするクライアント証明書
  • RADIUS構成のRSA
  • SAML認証

環境が前述の認証タイプのいずれもサポートしていない場合、またはリモートユーザーが少ない場合は、NetScaler Gateway でローカルユーザーのリストを作成できます。次に、このローカルリストに対してユーザーを認証するようにNetScaler Gateway を構成できます。この構成では、ユーザーアカウントを別の外部ディレクトリに保持する必要はありません。

セキュリティ計画