Gateway

開始する前に

NetScaler Gateway をインストールする前に、インフラストラクチャを評価し、情報を収集して、組織の特定のニーズを満たすアクセス戦略を計画する必要があります。アクセス戦略を定義するときは、セキュリティの影響を考慮し、リスク分析を完了する必要があります。また、ユーザーが接続できるネットワークを決定し、ユーザー接続を有効にするポリシーを決定する必要があります。

ユーザーが使用できるリソースの計画に加えて、展開シナリオも計画する必要があります。NetScaler Gateway は以下のCitrix 製品に対応しています。

  • Citrix Endpoint Management
  • Citrix Virtual Apps
  • Citrix Virtual Desktops
  • StoreFront
  • Web Interface
  • Citrix SD-WAN

NetScaler Gateway の展開について詳しくは、「 一般的な展開」および「 Citrix 製品との統合」を参照してください

アクセス戦略を準備するには、次の予備的な手順を実行します。

  • リソースを特定する。リスク分析で定義したWeb、SaaS、モバイルまたは公開アプリケーション、仮想デスクトップ、サービス、データなど、アクセスを提供するネットワークリソースを一覧表示します。
  • アクセスシナリオを開発する。ユーザーがネットワークリソースにアクセスする方法を説明するアクセスシナリオを作成します。アクセスシナリオは、ネットワークへのアクセスに使用される仮想サーバー、エンドポイント分析スキャン結果、認証タイプ、またはその組み合わせによって定義されます。また、ユーザがネットワークにログオンする方法を定義することもできます。
  • クライアントソフトウェアを識別します。NetScaler Gateway プラグインを使用して完全なVPNアクセスを提供し、ユーザーにCitrix Workspaceアプリ、Secure Hub、またはクライアントレスアクセスによるログオンを要求できます。また、Outlook Web App または WorxMail への電子メールアクセスを制限することもできます。これらのアクセスシナリオは、ユーザーがアクセス権を取得したときに実行できるアクションも決定します。たとえば、ユーザーが公開アプリケーションを使用してドキュメントを変更できるか、ファイル共有に接続してドキュメントを変更できるかを指定できます。
  • ポリシーをユーザー、グループ、または仮想サーバーに関連付けます。NetScaler Gateway で作成するポリシーは、個人またはユーザーのセットが指定された条件を満たすときに適用されます。条件は、作成したアクセスシナリオに基づいて決定します。次に、ユーザーがアクセスできるリソースと、それらのリソースに対してユーザーが実行できるアクションを制御することにより、ネットワークのセキュリティを拡張するポリシーを作成します。ポリシーは、適切なユーザー、グループ、仮想サーバー、またはグローバルに関連付けます。

このセクションでは、アクセス戦略の計画に役立つ次のトピックについて説明します。

  • セキュリティの計画には、認証と証明書に関する情報が含まれています。
  • 必要になる可能性があるネットワークハードウェアとソフトウェアを定義する前提条件。
  • NetScaler Gateway を構成する前に設定を書き留めるために使用できるインストール前チェックリスト。

NetScaler Gateway をインストールするための前提条件

NetScaler Gateway の設定を構成する前に、次の前提条件を確認してください:

  • NetScaler Gateway はネットワークに物理的にインストールされ、ネットワークにアクセスできます。NetScaler Gateway は、DMZまたはファイアウォールの背後にある内部ネットワークに展開されています。また、ダブルホップDMZでNetScaler Gateway を構成し、サーバーファームへの接続を構成することもできます。DMZにアプライアンスを展開することをお勧めします。
  • NetScaler Gateway をデフォルトゲートウェイまたは内部ネットワークへの静的ルートで構成し、ユーザーがネットワーク内のリソースにアクセスできるようにします。NetScaler Gateway は、デフォルトで静的ルートを使用するように構成されています。
  • 認証と認可に使用される外部サーバは設定され、実行されています。詳細については、「 認証と承認」を参照してください。
  • ネットワークには、正しいNetScaler Gateway ユーザー機能を提供するための名前解決用のドメインネームサーバー(DNS)またはWindowsインターネットネームサービス(WINS)サーバーがあります。
  • NetScaler Gateway プラグインを使用したユーザー接続用のユニバーサルライセンスをCitrix Webサイトからダウンロードし、ライセンスをNetScaler Gateway にインストールする準備ができました。
  • NetScaler Gateway には、信頼できる認証局(CA)によって署名された証明書があります。詳しくは、「Installing and Managing Certificates」を参照してください。

NetScaler Gateway をインストールする前に、インストール前チェックリストを使用して設定を書き留めます。

セキュリティの計画

NetScaler Gateway の展開を計画するときは、証明書、および認証と承認に関連する基本的なセキュリティ問題を理解する必要があります。

セキュアな証明書管理を構成する

デフォルトでは、NetScaler Gateway には、アプライアンスがSSLハンドシェイクを完了できるようにする自己署名Secure Sockets Layer(SSL)サーバー証明書が含まれています。自己署名証明書は、テストやサンプル展開には十分ですが、本番環境での使用はお勧めしません。NetScaler Gateway を実稼働環境に展開する前に、既知の認証局(CA)から署名付きSSLサーバー証明書を要求して受信し、NetScaler Gateway にアップロードすることをお勧めします。

NetScaler Gateway がSSLハンドシェイクでクライアントとして動作する必要がある環境(別のサーバーとの暗号化された接続を開始する)にNetScaler Gateway を展開する場合は、NetScaler Gateway にも信頼されたルート証明書をインストールする必要があります。たとえば、Citrix Virtual AppsとWeb Interfaceを備えたNetScaler Gateway を展開する場合、NetScaler Gateway からWeb Interfaceへの接続をSSLで暗号化できます。この構成では、NetScaler Gateway に信頼されたルート証明書をインストールする必要があります。

認証サポート

ユーザーを認証し、内部ネットワーク上のネットワークリソースに対するユーザーのアクセス(または承認)のレベルを制御するようにNetScaler Gateway を構成できます。

NetScaler Gateway を展開する前に、ネットワーク環境に次の認証タイプのいずれかをサポートするためのディレクトリと認証サーバーが配置されている必要があります。

  • LDAP
  • RADIUS
  • TACACS+
  • 監査およびスマートカードをサポートするクライアント証明書
  • RADIUS構成のRSA
  • SAML認証

環境がこれらの認証タイプをサポートしていない場合、またはリモートユーザーの人口が少ない場合は、NetScaler Gateway でローカルユーザーのリストを作成できます。次に、このローカルリストに対してユーザーを認証するようにNetScaler Gateway を構成できます。この構成では、ユーザーアカウントを別の外部ディレクトリに保持する必要はありません。

NetScaler Gateway 展開環境のセキュリティ保護

展開が異なれば、セキュリティに関する考慮事項も異なる場合があります。NetScaler ADCの安全な導入ガイドラインは、特定のセキュリティ要件に基づいて適切な安全な導入を決定するのに役立つ一般的なセキュリティガイダンスを提供します。

詳しくは、「 NetScaler ADC 安全な展開ガイドライン」を参照してください。

開始する前に