技术安全性概述
Citrix Cloud 中托管的分析服务可收集 Citrix 产品组合产品和第三方产品中的数据。这些产品称为数据源。Citrix Analytics 同时支持云和本地数据源。本文档中的信息适用于 Citrix Analytics 及其数据源。
数据流
Citrix Analytics 会自动发现订阅给客户的 Citrix Cloud 数据源。但是,本地数据源需要额外的配置才能与 Citrix Analytics 集成。例如,在 Citrix Analytics 发现站点之前,您必须将您的 Citrix Virtual Apps and Desktops 站点添加到 Citrix Workspace。同样,本地 Citrix Gateway 要求您配置 Citrix ADM 代理。有关在数据源上启用 Citrix Analytics 的详细信息,请参阅 在 Citrix 数据源上启用分析。
您可以将一些第三方产品(例如 Microsoft Graph Security 和 Microsoft Active Directory)与 Citrix Analytics 集成在一起。有关详细信息,请参阅以下主题:
Citrix Analytics 还可以将风险情报信息发送到客户拥有的 Splunk 环境。此集成需要在 Splunk 环境中部署和配置 适用于 Spunk 的 Citrix Analytics 加载项 。有关更多信息,请参阅 Splunk 集成。
未经客户同意,Citrix Analytics 不会处理从数据源接收的任何事件。要处理来自数据源的事件,Analytics 管理员必须启用数据处理。有关 Analytics 收集、存储和保留数据的更多信息,请参阅 数据治理。
网络要求
-
Citrix Cloud 服务要求:要使用 Citrix Cloud 服务,您必须能够通过 HTTPS 端口 443 连接到所需的 Citrix 地址。有关详细信息,请参阅 互联网连接要求。
-
Citrix Analytics 要求:在使用 Citrix Analytics 之前,请检查系统要求。除了 Citrix Cloud 要求外,还必须通过 HTTPS 端口 443 访问以下终端节点地址才能使用 Citrix Analytics 服务。
端点 美国地区 欧盟区域 亚太南部地区 管理员 UI https://analytics.cloud.com/https://analytics-eu.cloud.com/https://analytics-aps.cloud.com/管理员用户界面 (CDN) https://cas-api-cdn-ep.azureedge.net/https://cas-api-cdn-ep-eu.azureedge.net/https://cas-api-cdn-ep-aps.azureedge.net/API 服务 https://api.analytics.cloud.com/https://api.analytics-eu.cloud.com/https://api.analytics-aps.cloud.com/API 服务 (Performance Analytics) https://api-a.was.cloud.com/https://api-eu-a.was.cloud.com/https://api-ap-s-a.was.cloud.com/https://api-b.was.cloud.com/https://api-eu-b.was.cloud.com/https://api-ap-s-b.was.cloud.com/获取公共 IP https://locus.analytics.cloud.com/https://locus.analytics.cloud.com/https://locus.analytics.cloud.com/事件中心(不适用于 Citrix ADM 代理) https://citrixanalyticseh-alias.servicebus.windows.net/https://citrixanalyticseheu-alias.servicebus.windows.net/https://citrixanalyticsehaps-alias.servicebus.windows.net/https://citrixanalyticseh2-alias.servicebus.windows.net/事件中心(适用于 Citrix ADM 代理) https://cas-eh-ns-alias.servicebus.windows.net/和https://cas-eh-ns2-alias.servicebus.windows.net/https://cas-eh-ns-eu-alias.servicebus.windows.net/https://cas-eh-ns-aps-alias.servicebus.windows.net/批量上载 https://casstoragebulk.blob.core.windows.net/https://casstorebulkeu.blob.core.windows.net/https://casstorebulkaps.blob.core.windows.net/
注意
Citrix Analytics 已停止对上述大多数终端节点的 TLS 1.0 和 TLS 1.1 的支持。
-
Citrix Cloud Connector 安装:某些数据源,例如 Citrix Endpoint Management、Citrix Virtual Apps and Desktops 以及 Microsoft Active Directory,要求您在资源位置安装 Citrix Cloud Connector。Citrix Cloud Connector 是 Citrix Cloud 与您的资源位置之间的通信通道。安装 Citrix Cloud Connector 后,必须配置 Web 代理设置。有关详细信息,请参阅 Cloud Connector 代理和防火墙配置。
-
用于 SIEM 集成的 Citrix Analytics 端点:要将 Citrix Analytics 与安全信息和事件管理 (SIEM) 集成,请确保以下端点位于网络的允许列表中:
端点 美国地区 欧盟区域 亚太南部地区 Kafka 代理 casnb-0.citrix.com:9094casnb-eu-0.citrix.com:9094casnb-aps-0.citrix.com:9094casnb-1.citrix.com:9094casnb-eu-1.citrix.com:9094casnb-aps-1.citrix.com:9094casnb-2.citrix.com:9094casnb-eu-2.citrix.com:9094casnb-aps-2.citrix.com:9094casnb-3.citrix.com:9094
身份识别和访问管理
-
要访问 Citrix Analytics,您必须使用您的 Citrix Cloud 帐户。默认情况下,Citrix Cloud 使用 Citrix 身份提供程序来管理您的 Citrix Cloud 帐户中的所有用户的身份信息。您还可以使用身份 和访问管理中提到的其他身份提供商。
-
Citrix Analytics 支持委派管理员权限。您可以为用户分配只读管理员权限,以便在企业中管理 Analytics。有关详细信息,请参阅 管理管理员角色。
数据驻留
Citrix Cloud 管理Citrix Analytics 的控制平面。从数据源接收的数据存储在多个 Microsoft Azure 环境中。这些环境位于美国、欧盟和亚太南部区域。存储位置取决于 Citrix Cloud 管理员在将其组织载入到 Citrix Cloud 时选择的主区域。有关详细信息,请参阅以下主题:
数据保护
Citrix Analytics 从订阅的 Citrix Cloud 数据源、本地数据源和第三方产品接收数据。仅当客户拥有 Citrix Cloud 授权并且 Analytics 管理员已为每个订阅的数据源明确启用数据处理时,才会处理收到的数据。
Citrix Analytics 使用以下安全措施保护客户的数据:
-
面向分析用户的 Citrix Cloud 身份验证。有关信息,请参阅 身份和访问管理。
-
由数据服务和数据访问层实施的基于租户的数据访问控制。
-
在数据湖和数据仓库中的所有数据存储中,每个客户或租户都能实现强大的数据隔离。
-
在各种微服务和数据存储之间进行 TLS 加密的数据传输,适用于平台和平台内的公共端点(APT/输入/输出)。
-
TLS 端点的高标准。TLS 1.0 和 TLS 1.1 被禁用。
-
使用存储在相应密钥保管库中的加密密钥和密钥进行加密的数据存储。
-
强大的用户管理访问控制,用于服务操作和支持,同时保护客户日志。
-
与 Azure 安全中心一起使用的漏洞扫描、入侵检测、反恶意软件、rootkit 扫描。
与所有 Citrix Cloud 服务一样,数据收集严格遵守最终用户服务协议 (EUSA)。有关详细信息,请参阅以下协议:
安全责任
Citrix 责任
Citrix 负责保护驻留在托管 Citrix Analytics 的 Citrix 管理的云环境中的所有基础架构和数据的安全。Citrix 负责在云环境中定期应用软件更新和修补程序,以解决安全漏洞。
客户责任
Citrix 客户负责保护其数据源、策略执行点以及与 Citrix Analytics 集成的安全信息和事件管理 (SIEM) 系统,其中包括:
-
客户拥有和管理的本地数据源:
-
本地数据源:Citrix Gateway、Citrix Virtual Apps and Desktops、Microsoft Active Directory
-
SIEM:Splunk 和任何其他使用 Kafka 代理从 Citrix Analytics 读取事件的第三方产品。
-
-
客户提供的用于管理 Citrix Cloud 服务(包括 Citrix Analytics)的管理员凭据。
-
接收来自 Citrix Cloud 服务的电子邮件或通知的客户拥有的管理员帐户。
-
客户提供的管理员凭据,用于部署和集成代理,例如 Citrix ADM 代理。必须限制对这些代理的访问,因为它们会在本地存储密钥以与 Citrix Analytics 进行通信。
-
Citrix Analytics 生成的用于配置适用于 Splunk 的 Citrix Analytics 的凭据。
-
在 Windows、Mac、Android、iOS 上运行的最终用户设备可以连接到 Citrix Cloud 或 Citrix Workspace 并与数据源集成。
有关安全规定的更多信息,请参阅以下文档: