技術セキュリティの概要
Citrix Cloud™でホストされているAnalyticsサービスは、Citrixポートフォリオ製品およびサードパーティ製品全体でデータを収集します。これらの製品はデータソースと呼ばれます。Citrix Analyticsは、クラウドとオンプレミスの両方のデータソースをサポートしています。このドキュメントの情報は、Citrix Analyticsとそのデータソースに適用されます。
データフロー
Citrix Analyticsは、お客様がサブスクライブしているCitrix Cloudデータソースを自動的に検出します。しかし、オンプレミスデータソースをCitrix Analyticsと統合するには、追加の構成が必要です。たとえば、Citrix Analyticsがサイトを検出する前に、Citrix Virtual Apps and DesktopsサイトをCitrix Workspaceに追加する必要があります。同様に、オンプレミスのCitrix Gatewayでは、Citrix ADMエージェントを構成する必要があります。データソースでCitrix Analyticsを有効にする方法の詳細については、「CitrixデータソースでAnalyticsを有効にする」を参照してください。
Microsoft Graph SecurityやMicrosoft Active Directoryなどのいくつかのサードパーティ製品をCitrix Analyticsと統合できます。詳細については、以下のトピックを参照してください。
Citrix Analyticsは、リスクインテリジェンス情報を顧客所有のSplunk環境に送信することもできます。この統合には、Splunk環境へのCitrix Analytics Add-on for Splunkの展開と構成が必要です。詳細については、「Splunk統合」を参照してください。
お客様の同意なしに、Citrix Analyticsはデータソースから受信したイベントを処理しません。データソースからのイベントを処理するには、Analytics管理者がデータ処理を有効にする必要があります。Analyticsによるデータ収集、ストレージ、および保持の詳細については、「データガバナンス」を参照してください。
ネットワーク要件
-
Citrix Cloudサービス要件: Citrix Cloudサービスを使用するには、HTTPSポート443を介して必要なCitrixアドレスに接続できる必要があります。詳細については、「インターネット接続要件」を参照してください。
-
Citrix Analytics要件: Citrix Analyticsを使用する前に、システム要件を確認してください。Citrix Cloudの要件に加えて、Citrix Analyticsサービスを使用するには、HTTPSポート443を介して以下のエンドポイントアドレスにアクセスできる必要があります。
エンドポイント 米国リージョン 欧州連合リージョン アジア太平洋南部リージョン 管理UI https://analytics.cloud.com/https://analytics-eu.cloud.com/https://analytics-aps.cloud.com/管理UI (CDN) https://cas-api-cdn-ep-h9apa4bsccg0gfe7.a02.azurefd.net/https://cas-api-cdn-ep-eu-g5d6bhadh5gvd0fh.a02.azurefd.net/https://cas-api-cdn-ep-aps-a0fwd8c3d7bbfxdt.a02.azurefd.net/APIサービス https://api.analytics.cloud.com/https://api.analytics-eu.cloud.com/https://api.analytics-aps.cloud.com/APIサービス (パフォーマンスアナリティクス) https://api-a.was.cloud.com/https://api-eu-a.was.cloud.com/https://api-ap-s-a.was.cloud.com/https://api-b.was.cloud.com/https://api-eu-b.was.cloud.com/https://api-ap-s-b.was.cloud.com/パブリックIPの取得 https://locus.analytics.cloud.com/https://locus.analytics.cloud.com/https://locus.analytics.cloud.com/イベントハブ (Citrix ADMエージェントには適用されません) https://citrixanalyticseh-alias.servicebus.windows.net/https://citrixanalyticseheu-alias.servicebus.windows.net/https://citrixanalyticsehaps-alias.servicebus.windows.net/https://citrixanalyticseh2-alias.servicebus.windows.net/イベントハブ (Citrix ADMエージェント用) https://cas-eh-ns-alias.servicebus.windows.net/およびhttps://cas-eh-ns2-alias.servicebus.windows.net/https://cas-eh-ns-eu-alias.servicebus.windows.net/https://cas-eh-ns-aps-alias.servicebus.windows.net/一括アップロード https://casstoragebulk.blob.core.windows.net/https://casstorebulkeu.blob.core.windows.net/https://casstorebulkaps.blob.core.windows.net/
注
Citrix Analyticsは、上記のほとんどのエンドポイントでTLS 1.0およびTLS 1.1のサポートを終了しました。
-
Citrix Cloud Connectorのインストール: Citrix Endpoint Management、Citrix Virtual Apps and Desktops、Microsoft Active Directoryなどの一部のデータソースでは、リソースロケーションにCitrix Cloud Connectorをインストールする必要があります。Citrix Cloud Connectorは、Citrix Cloudとリソースロケーション間の通信チャネルです。Citrix Cloud Connectorをインストールした後、Webプロキシ設定を構成する必要があります。詳細については、「Cloud Connectorプロキシおよびファイアウォール構成」を参照してください。
-
SIEM統合のためのCitrix Analyticsエンドポイント: Citrix Analyticsをセキュリティ情報およびイベント管理 (SIEM)と統合するには、以下のエンドポイントがネットワークの許可リストに含まれていることを確認してください。
エンドポイント 米国リージョン 欧州連合リージョン アジア太平洋南部リージョン Kafkaブローカー casnb-0.citrix.com:9094casnb-eu-0.citrix.com:9094casnb-aps-0.citrix.com:9094casnb-1.citrix.com:9094casnb-eu-1.citrix.com:9094casnb-aps-1.citrix.com:9094casnb-2.citrix.com:9094casnb-eu-2.citrix.com:9094casnb-aps-2.citrix.com:9094casnb-3.citrix.com:9094
IDおよびアクセス管理
-
Citrix Analyticsにアクセスするには、Citrix Cloudアカウントを使用する必要があります。デフォルトでは、Citrix CloudはCitrix Identityプロバイダーを使用して、Citrix Cloudアカウント内のすべてのユーザーのID情報を管理します。また、「IDおよびアクセス管理」に記載されている他のIDプロバイダーを使用することもできます。
-
Citrix Analyticsは、委任された管理者権限をサポートしています。ユーザーに読み取り専用管理者権限を割り当てて、エンタープライズでAnalyticsを管理できます。詳細については、「管理者ロールの管理」を参照してください。
データレジデンシー
Citrix Cloudは、Citrix Analyticsのコントロールプレーンを管理します。データソースから受信したデータは、複数のMicrosoft Azure環境に保存されます。これらの環境は、米国、欧州連合、およびアジア太平洋南部地域にあります。ストレージロケーションは、Citrix Cloud管理者が組織をCitrix Cloudにオンボーディングする際に選択したホームリージョンによって異なります。詳細については、以下のトピックを参照してください。
データ保護
Citrix Analyticsは、サブスクライブ済みのCitrix Cloudデータソース、オンプレミスデータソース、およびサードパーティ製品からデータを受信します。受信したデータは、お客様がCitrix Cloudエンタイトルメントを持ち、Analytics管理者がサブスクライブ済みの各データソースに対してデータ処理を明示的に有効にしている場合にのみ処理されます。
Citrix Analyticsは、以下のセキュリティ対策を使用してお客様のデータを保護します。
-
Analyticsユーザー向けのCitrix Cloud認証。詳細については、「IDおよびアクセス管理」を参照してください。
-
データサービスおよびデータアクセスレイヤーによって適用されるテナントベースのデータアクセス制御。
-
データレイクおよびデータウェアハウス内のすべてのデータストアにおける、お客様またはテナントごとの強力なデータ分離。
-
プラットフォームのパブリックエンドポイント (APT/入力/出力) およびプラットフォーム内において適用される、さまざまなマイクロサービスとデータストア間のTLS暗号化データ転送。
-
TLSエンドポイントにおける高水準のセキュリティ。TLS 1.0およびTLS 1.1は無効化されています。
-
適切なキーコンテナに保存されている暗号化キーとシークレットを使用した暗号化データストレージ。
-
お客様ログを保護しながら、サービス運用およびサポートのための強力なユーザー管理アクセス制御。
-
Azure Security Centerと連携して使用される脆弱性スキャン、侵入検知、マルウェア対策、ルートキットスキャン。
すべてのCitrix Cloudサービスと同様に、データ収集はエンドユーザーサービス契約 (EUSA) に厳密に従います。詳細については、以下の契約を参照してください。
セキュリティの責任
Citrixの責任
Citrixは、Citrix AnalyticsをホストするCitrix管理のクラウド環境に存在するすべてのインフラストラクチャとデータのセキュリティを確保する責任を負います。Citrixは、セキュリティ脆弱性に対処するために、クラウド環境に定期的なソフトウェアアップデートとパッチを適用する責任を負います。
お客様の責任
Citrixのお客様は、Citrix Analyticsと統合されているデータソース、ポリシー適用ポイント、およびセキュリティ情報およびイベント管理 (SIEM) システムのセキュリティを確保する責任を負います。これには以下が含まれます。
-
お客様が所有および管理するオンプレミスデータソース:
-
オンプレミスデータソース: Citrix Gateway、Citrix Virtual Apps and Desktops、Microsoft Active Directory
-
SIEM: SplunkおよびCitrix Analyticsからイベントを読み取るためにKafkaブローカーを使用するその他のサードパーティ製品。
-
-
Citrix Analyticsを含むCitrix Cloudサービスを管理するためのお客様提供の管理者資格情報。
-
Citrix Cloudサービスからメールまたは通知を受信するお客様所有の管理者アカウント。
-
Citrix ADMエージェントなどのエージェントを展開および統合するためのお客様提供の管理者資格情報。これらのエージェントはCitrix Analyticsと通信するためにキーをローカルに保存するため、これらのエージェントへのアクセスは制限する必要があります。
-
Citrix Analytics Add-on for Splunkを構成するためのCitrix Analytics生成の資格情報。
-
Citrix CloudまたはCitrix Workspace™に接続し、データソースと統合されているWindows、Mac、Android、iOSで実行されているエンドユーザーデバイス。
セキュリティ規定の詳細については、以下のドキュメントを参照してください。