Technischer Sicherheitsüberblick
Der in Citrix Cloud™ gehostete Analytics-Dienst erfasst Daten aus Citrix Portfolio-Produkten und Produkten von Drittanbietern. Diese Produkte werden als Datenquellen bezeichnet. Citrix Analytics unterstützt sowohl Cloud- als auch lokale Datenquellen. Die Informationen in diesem Dokument gelten für Citrix Analytics und seine Datenquellen.
Datenfluss
Citrix Analytics erkennt automatisch die Citrix Cloud-Datenquellen, die von den Kunden abonniert wurden. Die lokalen Datenquellen erfordern jedoch eine zusätzliche Konfiguration, um sie in Citrix Analytics zu integrieren. Sie müssen beispielsweise Ihre Citrix Virtual Apps and Desktops-Sites zu Citrix Workspace hinzufügen, bevor Citrix Analytics die Sites erkennen kann. Ebenso erfordert das lokale Citrix Gateway, dass Sie einen Citrix ADM-Agenten konfigurieren. Weitere Informationen zum Aktivieren von Analytics für die Datenquellen finden Sie unter Analytics für Citrix-Datenquellen aktivieren.
Sie können einige Produkte von Drittanbietern wie Microsoft Graph Security und Microsoft Active Directory in Citrix Analytics integrieren. Weitere Informationen finden Sie in den folgenden Themen:
Citrix Analytics kann auch Risikoinformationen an eine kundeneigene Splunk-Umgebung senden. Diese Integration erfordert die Bereitstellung und Konfiguration des Citrix Analytics Add-ons für Splunk in der Splunk-Umgebung. Weitere Informationen finden Sie unter Splunk-Integration.
Ohne Zustimmung des Kunden verarbeitet Citrix Analytics keine Ereignisse, die von den Datenquellen empfangen werden. Um die Ereignisse von den Datenquellen zu verarbeiten, muss der Analytics-Administrator die Datenverarbeitung aktivieren. Weitere Informationen zur Datenerfassung, -speicherung und -aufbewahrung durch Analytics finden Sie unter Daten-Governance.
Netzwerkanforderungen
-
Anforderungen an Citrix Cloud-Dienste: Um die Citrix Cloud-Dienste nutzen zu können, müssen Sie über den HTTPS-Port 443 eine Verbindung zu den erforderlichen Citrix-Adressen herstellen können. Weitere Informationen finden Sie unter Anforderungen an die Internetkonnektivität.
-
Citrix Analytics-Anforderungen: Überprüfen Sie die Systemanforderungen, bevor Sie Citrix Analytics verwenden. Zusätzlich zu den Citrix Cloud-Anforderungen müssen die folgenden Endpunktadressen über den HTTPS-Port 443 zugänglich sein, um den Citrix Analytics-Dienst nutzen zu können.
Endpunkt Region Vereinigte Staaten Region Europäische Union Region Asien-Pazifik Süd Admin-Benutzeroberfläche https://analytics.cloud.com/https://analytics-eu.cloud.com/https://analytics-aps.cloud.com/Admin-Benutzeroberfläche (CDN) https://cas-api-cdn-ep-h9apa4bsccg0gfe7.a02.azurefd.net/https://cas-api-cdn-ep-eu-g5d6bhadh5gvd0fh.a02.azurefd.net/https://cas-api-cdn-ep-aps-a0fwd8c3d7bbfxdt.a02.azurefd.net/API-Dienste https://api.analytics.cloud.com/https://api.analytics-eu.cloud.com/https://api.analytics-aps.cloud.com/API-Dienste (Performance Analytics) https://api-a.was.cloud.com/https://api-eu-a.was.cloud.com/https://api-ap-s-a.was.cloud.com/https://api-b.was.cloud.com/https://api-eu-b.was.cloud.com/https://api-ap-s-b.was.cloud.com/Öffentliche IP abrufen https://locus.analytics.cloud.com/https://locus.analytics.cloud.com/https://locus.analytics.cloud.com/Event Hub (Nicht zutreffend für Citrix ADM Agent) https://citrixanalyticseh-alias.servicebus.windows.net/https://citrixanalyticseheu-alias.servicebus.windows.net/https://citrixanalyticsehaps-alias.servicebus.windows.net/https://citrixanalyticseh2-alias.servicebus.windows.net/Event Hub (Für Citrix ADM Agent) https://cas-eh-ns-alias.servicebus.windows.net/undhttps://cas-eh-ns2-alias.servicebus.windows.net/https://cas-eh-ns-eu-alias.servicebus.windows.net/https://cas-eh-ns-aps-alias.servicebus.windows.net/Massen-Upload https://casstoragebulk.blob.core.windows.net/https://casstorebulkeu.blob.core.windows.net/https://casstorebulkaps.blob.core.windows.net/
Hinweis
Citrix Analytics hat die Unterstützung für TLS 1.0 und TLS 1.1 für die meisten der oben genannten Endpunkte eingestellt.
-
Citrix Cloud Connector-Installation: Einige Datenquellen wie Citrix Endpoint Management, Citrix Virtual Apps and Desktops und Microsoft Active Directory erfordern die Installation eines Citrix Cloud Connectors an Ihrem Ressourcenstandort. Der Citrix Cloud Connector ist ein Kommunikationskanal zwischen Citrix Cloud und Ihren Ressourcenstandorten. Nach der Installation des Citrix Cloud Connectors müssen Sie die Web-Proxy-Einstellungen konfigurieren. Weitere Informationen finden Sie unter Cloud Connector Proxy- und Firewall-Konfiguration.
-
Citrix Analytics-Endpunkte für die SIEM-Integration: Um Citrix Analytics in Ihr Security Information and Event Management (SIEM) zu integrieren, stellen Sie sicher, dass die folgenden Endpunkte in der Zulassungsliste Ihres Netzwerks enthalten sind:
Endpunkt Region Vereinigte Staaten Region Europäische Union Region Asien-Pazifik Süd Kafka-Broker casnb-0.citrix.com:9094casnb-eu-0.citrix.com:9094casnb-aps-0.citrix.com:9094casnb-1.citrix.com:9094casnb-eu-1.citrix.com:9094casnb-aps-1.citrix.com:9094casnb-2.citrix.com:9094casnb-eu-2.citrix.com:9094casnb-aps-2.citrix.com:9094casnb-3.citrix.com:9094
Identitäts- und Zugriffsverwaltung
-
Um auf Citrix Analytics zuzugreifen, müssen Sie Ihr Citrix Cloud-Konto verwenden. Standardmäßig verwendet Citrix Cloud den Citrix Identitätsanbieter, um die Identitätsinformationen für alle Benutzer in Ihrem Citrix Cloud-Konto zu verwalten. Sie können auch andere Identitätsanbieter verwenden, wie unter Identitäts- und Zugriffsverwaltung beschrieben.
-
Citrix Analytics unterstützt delegierte Administratorberechtigungen. Sie können einem Benutzer eine schreibgeschützte Administratorberechtigung zuweisen, um Analytics in Ihrem Unternehmen zu verwalten. Weitere Informationen finden Sie unter Analytics-Administratoren verwalten.
Datenresidenz
Citrix Cloud verwaltet die Steuerungsebene für Citrix Analytics. Daten, die von den Datenquellen empfangen werden, werden in mehreren Microsoft Azure-Umgebungen gespeichert. Diese Umgebungen befinden sich in den Regionen Vereinigte Staaten, Europäische Union und Asien-Pazifik Süd. Der Speicherort hängt von der Heimatregion ab, die von den Citrix Cloud-Administratoren beim Anbinden ihrer Organisationen an Citrix Cloud ausgewählt wurde. Weitere Informationen finden Sie in den folgenden Themen:
Datenschutz
Citrix Analytics empfängt Daten von den abonnierten Citrix Cloud-Datenquellen, lokalen Datenquellen und den Produkten von Drittanbietern. Die empfangenen Daten werden nur verarbeitet, wenn der Kunde eine Citrix Cloud-Berechtigung besitzt und der Analytics-Administrator die Datenverarbeitung für jede der abonnierten Datenquellen explizit aktiviert hat.
Citrix Analytics schützt die Kundendaten mithilfe der folgenden Sicherheitsmaßnahmen:
-
Citrix Cloud-Authentifizierung für die Analytics-Benutzer. Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung.
-
Mandantenbasierte Datenzugriffssteuerungen, die vom Datendienst und der Datenzugriffsebene durchgesetzt werden.
-
Starke Datenisolation pro Kunde oder Mandant in allen Datenspeichern im Data Lake und Data Warehouse.
-
TLS-verschlüsselte Datenübertragung zwischen den verschiedenen Mikrodiensten und Datenspeichern, anwendbar für die öffentlichen Endpunkte (APTs/Eingaben/Ausgaben) der Plattform und innerhalb der Plattform.
-
Hohe Standards bei TLS-Endpunkten. TLS 1.0 und TLS 1.1 sind deaktiviert.
-
Verschlüsselte Datenspeicherung unter Verwendung von Verschlüsselungsschlüsseln und Geheimnissen, die in entsprechenden Schlüsseltresoren gespeichert sind.
-
Starke Zugriffssteuerungen für die Benutzerverwaltung für den Dienstbetrieb und Support, während Kundenprotokolle geschützt werden.
-
Schwachstellenscans, Intrusion Detection, Anti-Malware, Rootkit-Scans, die zusammen mit dem Azure Security Center verwendet werden.
Wie bei allen Citrix Cloud-Diensten unterliegt die Datenerfassung streng der Endbenutzer-Servicevereinbarung (EUSA). Weitere Informationen finden Sie in den folgenden Vereinbarungen:
Sicherheitsverantwortung
Verantwortung von Citrix
Citrix ist für die Sicherung der gesamten Infrastruktur und der Daten verantwortlich, die sich in den von Citrix verwalteten Cloud-Umgebungen befinden, die Citrix Analytics hosten. Citrix ist für die Anwendung regelmäßiger Software-Updates und Patches in der Cloud-Umgebung verantwortlich, um Sicherheitslücken zu beheben.
Verantwortung des Kunden
Citrix-Kunden sind für die Sicherung ihrer Datenquellen, Richtliniendurchsetzungspunkte und Security Information and Event Management (SIEM)-Systeme verantwortlich, die in Citrix Analytics integriert sind, dazu gehören:
-
Lokale Datenquellen, die sich im Besitz und unter der Verwaltung der Kunden befinden:
-
Lokale Datenquellen: Citrix Gateway, Citrix Virtual Apps and Desktops, Microsoft Active Directory
-
SIEM: Splunk und alle anderen Produkte von Drittanbietern, die die Kafka-Broker verwenden, um Ereignisse von Citrix Analytics zu lesen.
-
-
Vom Kunden bereitgestellte Administratoranmeldeinformationen zur Verwaltung von Citrix Cloud-Diensten, einschließlich Citrix Analytics.
-
Kundeneigene Administratorkonten, die E-Mails oder Benachrichtigungen von Citrix Cloud-Diensten erhalten.
-
Vom Kunden bereitgestellte Administratoranmeldeinformationen für die Bereitstellung und Integration der Agenten wie Citrix ADM-Agenten. Der Zugriff auf diese Agenten muss eingeschränkt werden, da sie die Schlüssel lokal speichern, um mit Citrix Analytics zu kommunizieren.
-
Von Citrix Analytics generierte Anmeldeinformationen zur Konfiguration des Citrix Analytics Add-ons für Splunk.
-
Endbenutzergeräte, die unter Windows, Mac, Android, iOS laufen, um sich mit Citrix Cloud oder Citrix Workspace™ zu verbinden und in Datenquellen integriert sind.
Weitere Informationen zu Sicherheitsbestimmungen finden Sie in den folgenden Dokumenten: