セキュリティの技術概要
Citrix Cloud でホストされているAnalyticsサービスは、Citrixポートフォリオ製品とサードパーティ製品全体のデータを収集します。これらの製品はデータソースと呼ばれます。Citrix Analytics は、クラウドとオンプレミスの両方のデータソースをサポートします。このドキュメントの情報は、Citrix Analytics とそのデータソースに適用されます。
データフロー
Citrix Analytics は、顧客にサブスクライブされている Citrix Cloud データソースを自動的に検出します。ただし、オンプレミスのデータソースをCitrix Analytics と統合するには、追加の構成が必要です。たとえば、Citrix Analytics Citrix Virtual Apps and Desktops でサイトを検出する前に、Citrix Workspace にサイトを追加する必要があります。同様に、オンプレミスのCitrix Gateway では、Citrix ADM エージェントを構成する必要があります。データソースでCitrix Analytics を有効にする方法について詳しくは、「 Citrix データソースで分析を有効にする」を参照してください。
Microsoft Graph セキュリティやMicrosoft Active Directory など、いくつかのサードパーティ製品をCitrix Analytics クスと統合できます。詳しくは、次のトピックを参照してください:
Citrix Analytics は、リスクインテリジェンス情報を顧客所有の Splunk 環境に送信することもできます。この統合には、 Splunk環境にCitrix Analytics Spunkアドオンを展開して構成する必要があります 。詳細については、「 Splunk 統合」を参照してください。
お客様の同意なしに、Citrix Analytics はデータソースから受信したイベントを処理しません。データソースからのイベントを処理するには、Analytics 管理者がデータ処理を有効にする必要があります。Analytics によるデータ収集、保存、保持について詳しくは、「 データガバナンス」を参照してください。
ネットワークの要件
-
Citrix Cloud サービスの要件:Citrix Cloud サービスを使用するには、HTTPSポート443を介して必要なCitrixアドレスに接続できる必要があります。詳細については、「 インターネット接続の要件」を参照してください。
-
Citrix Analytics の要件:Citrix Analytics を使用する前に、 システム要件を確認してください 。Citrix Cloud の要件に加えて、Citrix Analytics サービスを使用するには、HTTPSポート443を介して次のエンドポイントアドレスにアクセスできる必要があります。
エンドポイント 米国リージョン 欧州連合地域 アジア太平洋南部リージョン 管理者 UI https://analytics.cloud.comhttps://analytics-eu.cloud.comhttps://analytics-aps.cloud.com管理 UI (デモサイト) https://analytics-demo.cloud.com利用できない 利用できない API マイクロサービス https://api.analytics.cloud.comhttps://api.analytics-eu.cloud.comhttps://api.analytics-aps.cloud.comパブリック IP を取得 https://locus.analytics.cloud.com/https://locus.analytics.cloud.com/https://locus.analytics.cloud.com/イベントハブ(Citrix ADMエージェントには適用されません) https://citrixanalyticseh-alias.servicebus.windows.net/https://citrixanalyticseheu-alias.servicebus.windows.net/https://citrixanalyticsehaps-alias.servicebus.windows.net/イベントハブ(Citrix ADMエージェントの場合) https://cas-eh-ns-alias.servicebus.windows.net/https://cas-eh-ns-eu-alias.servicebus.windows.net/https://cas-eh-ns-aps-alias.servicebus.windows.nethttps://cas-eh-ns2-alias.servicebus.windows.nethttps://cas-eh-ns2-eu-alias.servicebus.windows.nethttps://cas-eh-ns2-aps-alias.servicebus.windows.net一括アップロード https://casstoragebulk.blob.core.windows.nethttps://casstorebulkeu.blob.core.windows.nethttps://casstorebulkap.blob.core.windows.net注
Citrix Analytics は、前述のほとんどのエンドポイントでTLS 1.0およびTLS 1.1のサポートを終了しました。
-
Citrix Cloud Connectorのインストール:Citrix Endpoint Management、 Citrix Virtual Apps and Desktops、Microsoft Active Directory などの一部のデータソースでは、リソースの場所にCitrix Cloud Connectorをインストールする必要があります。Citrix Cloud Connector は、Citrix Cloud とリソースの場所との間の通信チャネルです。Citrix Cloud Connectorをインストールしたら、Webプロキシ設定を構成する必要があります。詳しくは、「Cloud Connectorのプロキシとファイアウォールの構成」を参照してください。
-
SIEM統合のためのCitrix Analyticsエンドポイント:Citrix Analytics をセキュリティ情報およびイベント管理(SIEM)と統合するには、次のエンドポイントがネットワーク内の許可リストに含まれていることを確認します。
エンドポイント 米国リージョン 欧州連合地域 アジア太平洋南部リージョン Kafkaブローカー casnb-0.citrix.com:9094casnb-eu-0.citrix.com:9094casnb-aps-0.citrix.com:9094casnb-1.citrix.com:9094casnb-eu-1.citrix.com:9094casnb-aps-1.citrix.com:9094casnb-2.citrix.com:9094casnb-eu-2.citrix.com:9094casnb-aps-2.citrix.com:9094casnb-3.citrix.com:9094
IDおよびアクセス管理
-
Citrix Analytics にアクセスするには、Citrix Cloud アカウントを使用する必要があります。デフォルトでは、Citrix IDプロバイダーを使用して、Citrix CloudアカウントのすべてのユーザーのID情報を管理します。「ID とアクセス管理」で説明されているように、他の IDプロバイダを使用することもできます。
-
Citrix Analytics は委任された管理者権限をサポートしています。エンタープライズの Analytics を管理するために、読み取り専用の管理者権限をユーザーに割り当てることができます。詳しくは、「 管理者の役割の管理」を参照してください。
データ所在地
Citrix Cloud はCitrix Analytics コントロールプレーンを管理します。データソースから受信したデータは、複数の Microsoft Azure 環境に保存されます。これらの環境は、米国、欧州連合 (EU)、およびアジア太平洋南部リージョンにあります。ストレージの場所は、Citrix Cloud管理者が組織をCitrix Cloudにオンボーディングするときに選択したホームリージョンによって異なります。詳しくは、次のトピックを参照してください:
データ保護
Citrix Analytics は、サブスクライブされたCitrix Cloud データソース、オンプレミスデータソース、およびサードパーティ製品からデータを受信します。受信したデータは、顧客がCitrix Cloud エンタイトルメントを持ち、Analytics管理者がサブスクライブされた各データソースに対してデータ処理を明示的に有効にしている場合にのみ処理されます。
Citrix Analytics では、次のセキュリティ対策を使用してお客様のデータを保護します。
-
アナリティクスユーザー用のCitrix Cloud 認証。詳細については、「 ID とアクセス管理」を参照してください。
-
データサービスとデータアクセスレイヤーによって実施されるテナントベースのデータアクセス制御。
-
データレイクとデータウェアハウスのすべてのデータストアで、顧客またはテナントごとに強力なデータ分離を実現。
-
プラットフォームおよびプラットフォーム内のパブリックエンドポイント (APT/入力/出力) に適用できる、さまざまなマイクロサービスとデータストア間の TLS 暗号化データ転送。
-
TLS エンドポイントの高水準。TLS 1.0 と TLS 1.1 は無効になっています。
-
適切な Key Vault に保存されている暗号化キーとシークレットを使用して、暗号化されたデータストレージ。
-
顧客ログを保護しつつ、サービスの運用とサポートのための強力なユーザー管理アクセス制御。
-
Azure Security Center とともに使用される脆弱性スキャン、侵入検知、マルウェア対策、ルートキットスキャン。
すべてのCitrix Cloud サービスと同様に、データ収集はエンドユーザーサービス契約(EUSA)に厳密に適用されます。詳細については、次の契約書を参照してください。
セキュリティ上の責任
シトリックスの責任
シトリックスは、Citrix Analytics をホストする Citrix が管理するクラウド環境に存在するすべてのインフラストラクチャとデータを保護する責任があります。Citrix は、セキュリティの脆弱性に対処するために、クラウド環境にソフトウェアアップデートとパッチを定期的に適用する責任があります。
顧客の責任
Citrixのお客様は、Citrix Analyticsと統合されたデータソース、ポリシー適用ポイント、およびセキュリティ情報およびイベント管理(SIEM)システムを保護する責任があります。これには、次のものが含まれます。
-
顧客が所有、管理するオンプレミスのデータソース:
-
オンプレミスのデータソース:Citrix Gateway、 Citrix Virtual Apps and Desktops、Microsoft Active Directory
-
SIEM: SSplunk や、Kafkaブローカーを使用してCitrix Analytics からイベントを読み取るその他のサードパーティ製品。
-
-
Citrix Analytics を含むCitrix Cloud サービスを管理するための、お客様が用意した管理者資格情報。
-
Citrix Cloud サービスから電子メールまたは通知を受信する、顧客所有の管理者アカウント。
-
Citrix ADMエージェント、Analyticsポリシーエージェントなどのエージェントを展開および統合するための、お客様が用意した管理者資格情報。これらのエージェントは、Citrix Analytics と通信するためにキーをローカルに保存するため、アクセスを制限する必要があります。
-
Splunk の Citrix Analytics アドオンを構成するための Citrix アナリティクスが生成した認証情報。
-
Windows、Mac、Android、iOS上で実行され、Citrix CloudまたはCitrix Workspace に接続し、データソースと統合されるエンドユーザーデバイス。
セキュリティ規定の詳細については、次のドキュメントを参照してください。