仮想化エンジニア奮闘記

Citrix や VMware といったサーバー・デスクトップ仮想化の最新技術や設計情報の検証結果を共有します。(本ブログは個人のものであり、所属する会社とは関係ありません。)

NetScalerでできること

皆さまお疲れ様です。

今回はCitrix NetScalerを記事にしてゆきます。

 

NetScalerはXenDesktop / XenApp へインターネットから接続するためのゲートウェイです。働き方改革を目的としたプロジェクト等でセキュリティ向上のために導入された実績が多いかと思います。

 

XenDesktop / XenApp のゲートウェイとなる機能は「ICA Proxy」と呼ばれますが、NetScalerにはICA Proxy以外にも色々な機能があります。

機能がありすぎて全部紹介することはできませんが、今回はよく使用される機能を紹介できればと思います。

 

 

①ICA Proxy

f:id:kenta53682:20170825184231p:plain

 

一番有名な機能です。XenDesktop / XenApp へ接続する際、NetScalerがゲートウェイとなりICA通信をSSLで暗号化(ICA over SSL)してセキュアなICA接続を提供します。

NetScalerを購入すると「プラットフォームライセンス」というライセンスが標準でつきます。このライセンスにICA Proxyを使用する権利がついてくるため、別途ライセンス購入は必要ありません。

 

社内で StoreFront から XenDesktop / XenApp に接続した場合、VDAがインストールされたマシンとTCP 1494(ICA)で直接画面転送通信を行います。従ってパケットキャプチャされると内容が筒抜けとなります。さすがにインターネットからXenDesktop / XenAppに接続をするのに内容が筒抜けなのはセキュリティ的によくありません。

NetScalerを介した場合、NetScalerとTCP 443(SSL)で画面転送通信を行い、NetScalerが VDA と TCP 1494で通信を行います。従ってパケットキャプチャをされても暗号化されているため、セキュリティが向上します。

 

 

②Full VPN

f:id:kenta53682:20170825113119p:plain

一般的なIPsec-VPN機器と同じように、VPNを張ることができます。

ICA Proxyとは異なり、同時接続分の「ユニバーサルライセンス」というものを購入する必要があります。

 

端末にはNetScaler Gateway Plug-inというクライアントソフトウェアをインストールします。NetScaler内にexeが保存されているため、初回接続時にインストールさせることが可能です。一般的なVPN機器と機能は同じですね。例えばWindows端末でクラサバ構成の業務システムに、端末のクライアントソフトウェアから直接アクセスしたい場合などに使用されます。

 

スプリットトンネルなどの設定も可能なため、特定のホストへの通信のみVPN内を通過させることも可能です。

 

 

③端末検疫

f:id:kenta53682:20170825121214p:plain

本機能はEnd Point Analysis略してEPAと呼ばれます。こちらも②と同じくユニバーサルライセンス購入が必要です。

NetScalerはインターネットに対して公開するサーバーのため、例えば社員が自宅のPCなどセキュリティポリシーに準拠していない端末から、勝手にVDIへ接続(ICA Proxy)したり、Full VPNを張ったりするリスクがあります。そんな時にこの機能が役に立ちます。

端末検疫はNetScaler Gatewayにログインした後、端末が企業のポリシーに則ったものかを検査する機能です。検査に引っかかった場合、VDIに接続したり、SSL-VPNを張ったりすることはできません。

検疫できる項目は色々あって、Windowsパッチが適用されていること・Windows Firewallが有効なこと・特定のウイルス対策ソフトが入っていること・特定のレジストリが入っていること・特定のプロセスが動いていること etc... などなど組み合わせると企業の端末しか接続できないようにすることができます。

 

なお、端末には②と同じく NetScaler Gateway Plug-in が必要となります。

 

 

④クライアント証明書

f:id:kenta53682:20170825121119p:plain

本機能は②、③と異なりユニバーサルライセンス購入は不要です。

Webサーバ-でよく使用される機能ですね。

特定のユーザーに発行した証明書を持っていないと、そもそもNetScalerに対してアクセスができないようになります。

③はデバイス観点から許可された端末のみに接続を制限する機能ですが、こちらはユーザー観点から許可されたユーザーのみに接続を制限する機能です。③と組み合わせることでより高いセキュリティを担保することができます。

 

NetScalerは内部にCAを立てることができます。(いわゆる自己証明機関) そのため、クライアント証明書をNetScaler自身も発行することが可能です。勿論、公的証明機関を使用したクライアント証明書認証も可能です。

 

自己証明機関を使用する場合、NetScaler CAのルート証明書を端末に配布する必要があります。MDMやADを使用して端末に証明書を配布する環境がない場合は公的証明機関から発行された証明書を使用するのが無難かと思います。

 

 

⑤Load Balancing

f:id:kenta53682:20170825121816p:plain

NetScaler は LBの機能も持ち合わせています。一般的な LB と機能的には同じかと思います。私が携わった案件では、これに④を組み合わせて社外から(VPN等なしで)メールを見れるようにActive Syncの LB として構築した実績があります。

 

ちなみにStoreFrontもロードバランシングできますが、 ICA Proxy機能でロードバランシングしたVIPに対してリクエストを送ることはできません。(ICA Proxy使用時に、StoreFrontを負荷分散する場合は別途NetScaler と StoreFront の間に LB を導入する必要があります。)

 

 

この他にも Content Switching、Rewrite・Responder、App Firewall などの機能がありますが、それはまたの機会にご紹介できればと思います。

 

それでは本日は以上となります。ありがとうございました。