セキュリティの技術概要
Citrix CloudでホストされるAnalyticsサービスは、Citrixポートフォリオ製品とサードパーティ製品間でデータを収集します。これらの製品は、データソースと呼ばれます。Citrix Analytics では、クラウドとオンプレミスの両方のデータソースがサポートされています。このドキュメントの情報は、Citrix Analytics とそのデータソースに適用されます。
データフロー
Citrix Analytics では、顧客にサブスクライブされているCitrix Cloudデータソースが自動的に検出されます。ただし、オンプレミスのデータソースでは、Analyticsと統合するために追加の構成が必要です。たとえば、Analytics がサイトを検出する前に、オンプレミスのCitrix Virtual Apps and Desktops サイトをCitrix Workspace に追加する必要があります。同様に、オンプレミスのCitrix Gateway では、Citrix ADMエージェントを構成する必要があります。データソースで Analytics を有効にする方法について詳しくは、「CitrixデータソースでのAnalyticsの有効化」を参照してください。
Microsoft Graph SecurityやMicrosoft Active Directory などのいくつかのサードパーティ製品をAnalyticsと統合することができます。詳しくは、次のトピックを参照してください:
Citrix Analytics では、お客様が所有するSplunk 環境にリスクインテリジェンス情報を送信することもできます。この統合では、Splunk環境でSpunk用のCitrix Analytics アドオン を展開して構成する必要があります。詳しくは、「Splunk 統合」を参照してください。
Citrix Analytics は顧客の同意を得ない限り、データソースから受信したイベントを処理しません。データソースからのイベントを処理するには、Analytics 管理者がデータ処理を有効にする必要があります。Analytics によるデータの収集、保存、保持について詳しくは、「データガバナンス」を参照してください。
ネットワークの要件
-
Citrix Cloudサービス要件:Citrix Cloudサービスを使用するには、HTTPSポート443経由で必要なCitrixアドレスに接続できる必要があります。詳しくは、「インターネット接続の要件」を参照してください。
-
Citrix Analytics に関する要件:Analyticsを使用する前に、システム要件を参照してください。Analyticsサービスを使用するには、Citrix Cloudの要件に加えて、HTTPSポート443を介して次のエンドポイントアドレスにアクセスできる必要があります。
| エンドポイント | USリージョン | EUリージョン | |———|———|——–| | 管理UI |
https://analytics.cloud.com
|https://analytics-eu.cloud.com
| | 管理UI(デモサイト) |https://analytics-demo.cloud.com
| 利用不可 | | APIマイクロサービス |https://api.analytics.cloud.com
|https://api.analytics-eu.cloud.com
| | パブリックIPを取得する |https://locus.analytics.cloud.com/
|https://locus.analytics.cloud.com/
| | イベントハブ(Citrix ADMエージェントには適用されません)|https://citrixanalyticseh-alias.servicebus.windows.net/
|https://citrixanalyticseheu-alias.servicebus.windows.net/
| | イベントハブ(Citrix ADMエージェント用)|https://cas-eh-ns-alias.servicebus.windows.net/
|https://cas-eh-ns-eu-alias.servicebus.windows.net/
| | 一括アップロード |https://casstoragebulk.blob.core.windows.net
|https://casstorebulkeu.blob.core.windows.net
|注
Citrix Analyticsは、前述のエンドポイントのほとんどでTLS1.0およびTLS1.1のサポートを終了しました。
-
Citrix Cloud Connector のインストール:Citrix Endpoint Management、Citrix Virtual Apps and Desktops、およびMicrosoft Active Directory などの一部のデータソースでは、リソース場所にCitrix Cloud Connector をインストールする必要があります。Citrix Cloud Connector は、Citrix Cloudとリソースの場所の間の通信チャネルです。Citrix Cloud Connector をインストールしたら、Webプロキシ設定を構成する必要があります。詳しくは、「Cloud Connectorのプロキシとファイアウォールの構成」を参照してください。
-
Splunk用のCitrix Analyticsエンドポイント:Splunk 環境とAnalyticsを統合するには、 Splunk用にCitrix Analytics アドオンを設定する必要があります。アドオンは、Citrix Analyticsの次のエンドポイントに接続します。
| エンドポイント | USリージョン | EUリージョン | |——-|——-|——-| | Kafkaブローカー |
casnb-0.citrix.com:9094
|casnb-eu-0.citrix.com:9094
| | |casnb-1.citrix.com:9094
|casnb-eu-1.citrix.com:9094
| | |casnb-2.citrix.com:9094
|casnb-eu-2.citrix.com:9094
|
IDおよびアクセス管理
-
Analyticsにアクセスするには、Citrix Cloudアカウントを使用する必要があります。デフォルトでは、Citrix IDプロバイダーを使用して、Citrix CloudアカウントのすべてのユーザーのID情報を管理します。「IDおよびアクセス管理」で説明されているように、他の ID プロバイダを使用することもできます。
-
Citrix Analytics では、委任された管理者権限がサポートされています。エンタープライズで Analytics を管理するための読み取り専用管理者権限をユーザーに割り当てることができます。詳しくは、「委任された管理者」を参照してください。
データ所在地
Citrix Cloudは、Citrix Analytics のためのコントロールプレーンを管理します. データソースから受信したデータは、複数の Microsoft Azure 環境に格納されます。これらの環境は、米国と欧州連合の地域にあります。ストレージの場所は、組織をCitrix CloudにオンボーディングするときにCitrix Cloud管理者が選択したホームリージョンによって異なります。詳しくは、次のトピックを参照してください:
データ保護
Citrix Analytics、サブスクライブ済みのCitrix Cloudデータソース、オンプレミスデータソース、サードパーティ製品からデータを受信します。Analyticsは、顧客がCitrix Cloudの資格を持っており、Analytics管理者がサブスクライブされた各データソースのデータ処理を明示的に有効にしている場合にのみ、受信したデータを処理します。
Citrix Analytics では、以下のセキュリティ対策を使用してお客様のデータを保護します。
-
AnalyticsユーザーのCitrix Cloud認証。詳しくは、IDおよびアクセス管理を参照してください。
-
データサービスおよびデータアクセス層によって実施されるテナントベースのデータアクセス制御。
-
データレイク、データウェアハウス内のすべてのデータストアで、顧客またはテナントごとの強力なデータ隔離。
-
さまざまなマイクロサービスとデータストア間の TLS 暗号化データ転送。プラットフォームのパブリックエンドポイント (APT/入力/出力) およびプラットフォーム内のパブリックエンドポイント (APT/出力) に適用されます。
-
TLS エンドポイントの高い標準。TLS 1.0 および TLS 1.1 は無効になっています。
-
適切なキーボールトに保存されている暗号化キーとシークレットを使用した暗号化されたデータストレージ。
-
顧客ログを保護しながら、サービス運用とサポートのための強力なユーザー管理アクセス制御。
-
Azure Security Center と共に使用される脆弱性スキャン、侵入検出、マルウェア対策、ルートキットスキャン。
すべてのCitrix Cloudサービスと同様に、データ収集にはエンドユーザーサービス契約(EUSA)が適用されます。詳しくは、次の免除承諾を参照してください。
セキュリティ責任
Citrixが管理する分野
Citrixは、Citrix Analytics をホストするCitrixが管理するクラウド環境にあるすべてのインフラストラクチャとデータを保護する責任があります。Citrixは、セキュリティの脆弱性に対処するために、クラウド環境に定期的なソフトウェアアップデートとパッチを適用する責任があります。
顧客の責任範囲
Citrixのお客様は、Citrix Analyticsと統合されるデータソース、ポリシー適用ポイント、セキュリティ情報およびイベント管理(SIEM)システムをセキュリティで保護する責任があります。これには、以下のものがあります。
-
顧客が所有および管理するオンプレミスデータソース:
-
オンプレミスのデータソース: Citrix Gateway、Citrix Virtual Apps and Desktops、Microsoft Active Directory
-
SIEM:Splunk およびKafkaのブローカーを使用してCitrix Analytics からイベントを読み取るその他のサードパーティ製品。
-
-
Citrix Analytics など、Citrix Cloudサービスを管理するための管理者が用意した認証情報。
-
Citrix Cloudサービスから電子メールまたは通知を受信する顧客所有の管理者アカウント。
-
Citrix ADMエージェント、Analyticsポリシーエージェントなどのエージェントを展開および統合するための管理者が用意した認証情報。Citrix Analytics と通信するためにキーをローカルに保存するため、これらのエージェントへのアクセスは制限する必要があります。
-
Splunk 用のCitrix Analyticsアドオンを構成するためのCitrix Analyticsによって生成された認証情報。
-
Windows、Mac、Android、iOS上で動作するエンドユーザーデバイスで、Citrix CloudまたはCitrix Workspace に接続し、データソースと統合します。
セキュリティプロビジョニングについて詳しくは、次のドキュメントを参照してください。