技术安全性概述

Citrix Cloud 中托管的分析服务在 Citrix 产品组合产品和第三方产品中收集数据。这些产品被称为数据源。Citrix Analytics 支持云和本地数据源。本文档中的信息适用于 Citrix Analytics 及其数据源。

数据流

Citrix Analytics 会自动发现订阅到客户的 Citrix Cloud 数据源。但是,本地数据源需要额外的配置才能与 Analytics 集成。例如,您必须先将本地 Citrix Virtual Apps and Desktops 站点添加到 Citrix Workspace,然后 Analytics 才能发现站点。同样,本地 Citrix Gateway 要求您配置 Citrix ADM 代理。有关在数据源上启用 Analytics 的详细信息,请参阅启用关于 Citrix 数据源的分析

您可以将一些第三方产品(例如 Microsoft Graph Security 和 Microsoft Active Directory)与 Analytics 相集成。有关详细信息,请参阅以下主题:

Citrix Analytics 还可以向客户拥有的 Splunk 环境发送风险情报信息。这种集成需要在 Splunk 环境中部署和配置 Citrix Analytics Add-on for Spunk。有关详细信息,请参阅Splunk 集成

未经客户同意,Citrix Analytics 不处理从数据源收到的任何事件。要处理来自数据源的事件,Analytics 管理员必须启用数据处理。有关 Analytics 数据收集、存储和保留的详细信息,请参阅数据治理

网络要求

  • Citrix Cloud 服务要求:要使用 Citrix Cloud 服务,您必须能够通过 HTTPS 端口 443 连接到所需的 Citrix 地址。有关详细信息,请参阅Internet 连接要求

  • Citrix Analytics 要求:在使用 Analytics 之前查看 系统要求。除了 Citrix Cloud 要求外,还必须通过 HTTPS 端口 443 访问以下终端地址才能使用分析服务。

    端点 美国区域 欧盟地区
    Admin UI https://analytics.cloud.com https://analytics-eu.cloud.com
    Admin UI (Demo site) https://analytics-demo.cloud.com Not Available
    API micro services https://api.analytics.cloud.com https://api.analytics-eu.cloud.com
    Get Public IP https://locus.analytics.cloud.com/ https://locus.analytics.cloud.com/
    Event Hub (Not applicable for Citrix ADM agent) https://citrixanalyticseh-alias.servicebus.windows.net/ https://citrixanalyticseheu-alias.servicebus.windows.net/
    Event Hub (For Citrix ADM agent) https://cas-eh-ns-alias.servicebus.windows.net/ https://cas-eh-ns-eu-alias.servicebus.windows.net/
    Bulk Upload https://casstoragebulk.blob.core.windows.net https://casstorebulkeu.blob.core.windows.net

    注意

    Citrix Analytics 已停止对之前的大多数终端节点的 TLS 1.0 和 TLS 1.1 的支持。

  • 安装 Citrix Cloud Connector:某些数据源(如 Citrix Endpoint Management、Citrix Virtual Apps and Desktops 以及 Microsoft Active Directory)要求您在资源位置上安装 Citrix Cloud Connector。Citrix Cloud Connector 是 Citrix Cloud 与您的资源位置之间的通信通道。安装 Citrix Cloud Connector 后,必须配置 Web 代理设置。有关详细信息,请参阅Cloud Connector 代理和防火墙配置

  • Citrix Analytics add-on for Splunk:要将 Analytics 与您的 Splunk 环境集成,必须配置 Citrix Analytics add-on for Splunk。该附加组件连接到 Citrix Analytics 上的以下终端节点:

    端点 美国区域 欧盟地区
    Kafka 经纪商 casnb-0.citrix.com:9094casnb-eu-0.citrix.com:9094    
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094

身份识别和访问管理

  • 要访问分析,您必须使用 Citrix Cloud 帐户。默认情况下,Citrix Cloud 使用 Citrix 身份提供程序管理 Citrix Cloud 帐户中所有用户的身份信息。您还可以使用身份识别和访问管理中提到的其他身份提供商。

  • Citrix Analytics 支持委派管理员权限您可以为用户分配只读管理员权限,以便在企业中管理 Analytics。有关详细信息,请参阅委派管理员

数据驻留

Citrix Cloud 管理 Citrix Analytics 的控制平面。从数据源接收的数据存储在多个 Microsoft Azure 环境中。这些环境位于美国和欧盟地区。存储位置取决于 Citrix Cloud 管理员在将其组织登录到 Citrix Cloud 时选择的主区域。有关详细信息,请参阅以下主题:

数据保护

Citrix Analytics 从订阅的 Citrix Cloud 数据源、本地数据源和第三方产品接收数据。仅当客户拥有 Citrix Cloud 授权并且 Analytics 管理员明确启用了每个订阅的数据源的数据处理时,Analytics 才会处理接收的数据。

Citrix Analytics 使用以下安全措施保护客户的数据:

  • 面向分析用户的 Citrix Cloud 身份验证。有关信息,请参阅身份识别和访问管理

  • 由数据服务和数据访问层实施的基于租户的数据访问控制。

  • 在数据湖和数据仓库的所有数据存储中,每个客户或租户都能强大的数据隔离。

  • 在各种微服务和数据存储之间进行 TLS 加密的数据传输,适用于平台和平台内的公共终端节点(APT/ 输入/输出)。

  • TLS 终端节点的高标准。TLS 1.0 和 TLS 1.1 已禁用。

  • 使用存储在相应密钥保管库中的加密密钥和密钥进行加密的数据存储。

  • 针对服务运营和支持的强大用户管理访问控制,同时保护客户日志

  • 与 Azure 安全中心一起使用漏洞扫描、入侵检测、反恶意软件、rootkit 扫描。

与所有 Citrix Cloud 服务一样,数据收集严格遵守最终用户服务协议 (EUSA)。有关详细信息,请参阅以下协议:

安全责任

Citrix 责任

Citrix 负责保护托管 Citrix Analytics 析的 Citrix 管理云环境中的所有基础结构和数据的安全。Citrix 负责在云环境中应用定期软件更新和修补程序以解决安全漏洞。

客户责任

Citrix 客户负责保护与 Citrix Analytics 集成的数据源、策略执行点以及安全信息和事件管理 (SIEM) 系统的安全性,其中包括:

  • 客户拥有和管理的本地数据源:

    • 本地数据源:Citrix Gateway、Citrix Virtual Apps and Desktops、Microsoft Active Directory

    • SIEM:Splunk 和使用 Kafka 中转站从 Citrix Analytics 中读取事件的任何其他第三方产品。

  • 用于管理 Citrix Cloud 服务(包括 Citrix Analytics)的客户提供的管理员凭据。

  • 用于接收来自 Citrix Cloud 服务的电子邮件或通知的客户拥有的管理员帐户。

  • 客户提供的用于部署和集成代理(如 Citrix ADM 代理、Analytics 策略代理)的管理员凭据。必须限制对这些代理的访问,因为他们将密钥存储在本地以便与 Citrix Analytics 通信。

  • Citrix Analytics 生成的用于配置 Citrix Analytics Add-on for Splunk 的凭据。

  • 在 Windows、Mac、Android、iOS 上运行的最终用户设备连接到 Citrix Cloud 或 Citrix Workspace 并与数据源集成。

有关安全条款的详细信息,请参阅以下文档:

技术安全性概述