Vue d’ensemble de la sécurité technique

Le service Analytics hébergé dans Citrix Cloud™ collecte des données provenant des produits du portefeuille Citrix et des produits tiers. Ces produits sont appelés sources de données. Citrix Analytics prend en charge les sources de données cloud et sur site. Les informations contenues dans ce document s’appliquent à Citrix Analytics et à ses sources de données.

Flux de données

Citrix Analytics découvre automatiquement les sources de données Citrix Cloud auxquelles les clients sont abonnés. Cependant, les sources de données sur site nécessitent une configuration supplémentaire pour s’intégrer à Citrix Analytics. Par exemple, vous devez ajouter vos sites Citrix Virtual Apps and Desktops à Citrix Workspace avant que Citrix Analytics ne puisse découvrir les sites. De même, Citrix Gateway sur site vous oblige à configurer un agent Citrix ADM. Pour plus d’informations sur l’activation de Citrix Analytics sur les sources de données, consultez Activer Analytics sur les sources de données Citrix.

Vous pouvez intégrer quelques produits tiers, tels que Microsoft Graph Security et Microsoft Active Directory, à Citrix Analytics. Pour plus d’informations, consultez les rubriques suivantes :

• Activer Analytics sur Microsoft Graph Security

• Intégrer Analytics à Microsoft Active Directory

Citrix Analytics peut également envoyer des informations de renseignement sur les risques à un environnement Splunk appartenant au client. Cette intégration nécessite le déploiement et la configuration de l’add-on Citrix Analytics pour Splunk sur l’environnement Splunk. Pour plus d’informations, consultez Intégration Splunk.

Sans le consentement du client, Citrix Analytics ne traite aucun événement reçu des sources de données. Pour traiter les événements provenant des sources de données, l’administrateur Analytics doit activer le traitement des données. Pour plus d’informations sur la collecte, le stockage et la conservation des données par Analytics, consultez Gouvernance des données.

Exigences réseau

• Exigences relatives aux services Citrix Cloud : Pour utiliser les services Citrix Cloud, vous devez pouvoir vous connecter aux adresses Citrix requises via le port HTTPS 443. Pour plus d’informations, consultez Exigences de connectivité Internet.

• Exigences relatives à Citrix Analytics : Consultez les exigences système avant d’utiliser Citrix Analytics. En plus des exigences de Citrix Cloud, les adresses de point de terminaison suivantes doivent être accessibles via le port HTTPS 443 pour utiliser le service Citrix Analytics.

  Point de terminaison	Région des États-Unis	Région de l’Union européenne	Région Asie-Pacifique Sud
  Interface utilisateur d’administration	https://analytics.cloud.com/	https://analytics-eu.cloud.com/	https://analytics-aps.cloud.com/
  Interface utilisateur d’administration (CDN)	https://cas-api-cdn-ep-h9apa4bsccg0gfe7.a02.azurefd.net/	https://cas-api-cdn-ep-eu-g5d6bhadh5gvd0fh.a02.azurefd.net/	https://cas-api-cdn-ep-aps-a0fwd8c3d7bbfxdt.a02.azurefd.net/
  Services API	https://api.analytics.cloud.com/	https://api.analytics-eu.cloud.com/	https://api.analytics-aps.cloud.com/
  Services API (Performance Analytics)	https://api-a.was.cloud.com/	https://api-eu-a.was.cloud.com/	https://api-ap-s-a.was.cloud.com/
  	https://api-b.was.cloud.com/	https://api-eu-b.was.cloud.com/	https://api-ap-s-b.was.cloud.com/
  Obtenir l’adresse IP publique	https://locus.analytics.cloud.com/	https://locus.analytics.cloud.com/	https://locus.analytics.cloud.com/
  Event Hub (Non applicable pour l’agent Citrix ADM)	https://citrixanalyticseh-alias.servicebus.windows.net/	https://citrixanalyticseheu-alias.servicebus.windows.net/	https://citrixanalyticsehaps-alias.servicebus.windows.net/
  	https://citrixanalyticseh2-alias.servicebus.windows.net/
  Event Hub (Pour l’agent Citrix ADM)	https://cas-eh-ns-alias.servicebus.windows.net/ et https://cas-eh-ns2-alias.servicebus.windows.net/	https://cas-eh-ns-eu-alias.servicebus.windows.net/	https://cas-eh-ns-aps-alias.servicebus.windows.net/
  Téléchargement en bloc	https://casstoragebulk.blob.core.windows.net/	https://casstorebulkeu.blob.core.windows.net/	https://casstorebulkaps.blob.core.windows.net/

Remarque

Citrix Analytics a cessé de prendre en charge TLS 1.0 et TLS 1.1 pour la plupart des points de terminaison précédents.

• Installation de Citrix Cloud Connector : Certaines sources de données, telles que Citrix Endpoint Management, Citrix Virtual Apps and Desktops et Microsoft Active Directory, vous obligent à installer un Citrix Cloud Connector sur votre emplacement de ressources. Le Citrix Cloud Connector est un canal de communication entre Citrix Cloud et vos emplacements de ressources. Après avoir installé le Citrix Cloud Connector, vous devez configurer les paramètres du proxy Web. Pour plus d’informations, consultez Configuration du proxy et du pare-feu du Cloud Connector.

• Points de terminaison Citrix Analytics pour l’intégration SIEM : Pour intégrer Citrix Analytics à votre système de gestion des informations et des événements de sécurité (SIEM), assurez-vous que les points de terminaison suivants figurent dans la liste d’autorisation de votre réseau :

  Point de terminaison	Région des États-Unis	Région de l’Union européenne	Région Asie-Pacifique Sud
  Brokers Kafka	casnb-0.citrix.com:9094	casnb-eu-0.citrix.com:9094	casnb-aps-0.citrix.com:9094
  	casnb-1.citrix.com:9094	casnb-eu-1.citrix.com:9094	casnb-aps-1.citrix.com:9094
  	casnb-2.citrix.com:9094	casnb-eu-2.citrix.com:9094	casnb-aps-2.citrix.com:9094
  	casnb-3.citrix.com:9094

Gestion des identités et des accès

• Pour accéder à Citrix Analytics, vous devez utiliser votre compte Citrix Cloud. Par défaut, Citrix Cloud utilise le fournisseur d’identité Citrix pour gérer les informations d’identité de tous les utilisateurs de votre compte Citrix Cloud. Vous pouvez également utiliser d’autres fournisseurs d’identité, comme mentionné dans Gestion des identités et des accès.

• Citrix Analytics prend en charge les autorisations d’administrateur délégué. Vous pouvez attribuer une autorisation d’administrateur en lecture seule à un utilisateur pour gérer Analytics dans votre entreprise. Pour plus d’informations, consultez Gérer les rôles d’administrateur.

Résidence des données

Citrix Cloud gère le plan de contrôle de Citrix Analytics. Les données reçues des sources de données sont stockées dans plusieurs environnements Microsoft Azure. Ces environnements sont situés dans les régions des États-Unis, de l’Union européenne et de l’Asie-Pacifique Sud. L’emplacement de stockage dépend de la région d’origine sélectionnée par les administrateurs Citrix Cloud lors de l’intégration de leurs organisations à Citrix Cloud. Pour plus d’informations, consultez les rubriques suivantes :

• Considérations géographiques

• Gouvernance des données

Protection des données

Citrix Analytics reçoit des données des sources de données Citrix Cloud abonnées, des sources de données sur site et des produits tiers. Les données reçues ne sont traitées que si le client dispose d’un droit Citrix Cloud et si l’administrateur Analytics a explicitement activé le traitement des données pour chacune des sources de données abonnées.

Citrix Analytics protège les données des clients à l’aide des mesures de sécurité suivantes :

• Authentification Citrix Cloud pour les utilisateurs d’Analytics. Pour plus d’informations, consultez Gestion des identités et des accès.

• Contrôles d’accès aux données basés sur le locataire, appliqués par le service de données et la couche d’accès aux données.

• Forte isolation des données par client ou locataire dans tous les magasins de données du lac de données et de l’entrepôt de données.

• Transfert de données chiffrées TLS entre les différents microservices et magasins de données, applicable aux points de terminaison publics (APT/entrées/sorties) de la plate-forme et au sein de la plate-forme.

• Normes élevées pour les points de terminaison TLS. TLS 1.0 et TLS 1.1 sont désactivés.

• Stockage de données chiffrées à l’aide de clés de chiffrement et de secrets stockés dans des coffres de clés appropriés.

• Contrôles d’accès robustes pour la gestion des utilisateurs pour les opérations de service et le support, tout en protégeant les journaux des clients.

• Analyse des vulnérabilités, détection d’intrusion, anti-malware, analyse des rootkits utilisés conjointement avec Azure Security Center.

Comme pour tous les services Citrix Cloud, la collecte de données est strictement soumise au Contrat de service utilisateur final (EUSA). Pour plus d’informations, consultez les accords suivants :

• Contrats d’utilisateur

• Politique de confidentialité de Citrix

• Contrat de traitement des données Citrix

• Annexe de sécurité des services Citrix

• Services Citrix Cloud : Gestion du contenu client et des journaux

• Informations sur la confidentialité et la conformité de Citrix

Responsabilité en matière de sécurité

Responsabilité de Citrix

Citrix est responsable de la sécurisation de toute l’infrastructure et des données résidant dans les environnements cloud gérés par Citrix qui hébergent Citrix Analytics. Citrix est responsable de l’application régulière de mises à jour logicielles et de correctifs sur l’environnement cloud pour remédier aux vulnérabilités de sécurité.

Responsabilité du client

Les clients Citrix sont responsables de la sécurisation de leurs sources de données, de leurs points d’application des politiques et de leurs systèmes de gestion des informations et des événements de sécurité (SIEM) intégrés à Citrix Analytics, notamment :

• Sources de données sur site détenues et gérées par les clients :

  • Sources de données sur site : Citrix Gateway, Citrix Virtual Apps and Desktops, Microsoft Active Directory

  • SIEM : Splunk et tout autre produit tiers qui utilise les brokers Kafka pour lire les événements de Citrix Analytics.

• Informations d’identification d’administrateur fournies par le client pour la gestion des services Citrix Cloud, y compris Citrix Analytics.

• Comptes d’administrateur appartenant au client qui reçoivent des e-mails ou des notifications des services Citrix Cloud.

• Informations d’identification d’administrateur fournies par le client pour le déploiement et l’intégration des agents tels que les agents Citrix ADM. L’accès à ces agents doit être restreint car ils stockent les clés localement pour communiquer avec Citrix Analytics.

• Informations d’identification générées par Citrix Analytics pour la configuration de l’add-on Citrix Analytics pour Splunk.

• Appareils utilisateur final exécutant Windows, Mac, Android, iOS pour se connecter à Citrix Cloud ou Citrix Workspace™ et intégrés aux sources de données.

Pour plus d’informations sur les dispositions de sécurité, consultez les documents suivants :

• Guide de déploiement sécurisé pour la plate-forme Citrix Cloud

• Documentation Citrix Workspace

• Vue d’ensemble de la sécurité technique pour Citrix DaaS (anciennement service Citrix Virtual Apps and Desktops)

• Considérations de sécurité pour Citrix Virtual Apps and Desktops

• Documentation sur la sécurisation de votre déploiement StoreFront

• Vue d’ensemble de la sécurité technique pour Citrix Endpoint Management

• Documentation du service Citrix Secure Private Access

• Guide de déploiement sécurisé pour Citrix ADC

• Exigences système de Citrix ADM