技术安全概述

Citrix Cloud™ 中托管的 Analytics 服务可收集 Citrix 产品组合和第三方产品的数据。这些产品称为数据源。Citrix Analytics 支持云数据源和本地数据源。本文档中的信息适用于 Citrix Analytics 及其数据源。

数据流

Citrix Analytics 会自动发现客户订阅的 Citrix Cloud 数据源。但是，本地数据源需要额外配置才能与 Citrix Analytics 集成。例如，您必须先将 Citrix Virtual Apps and Desktops 站点添加到 Citrix Workspace，Citrix Analytics 才能发现这些站点。同样，本地 Citrix Gateway 要求您配置 Citrix ADM 代理。有关在数据源上启用 Citrix Analytics 的更多信息，请参阅在 Citrix 数据源上启用 Analytics。

您可以将 Microsoft Graph Security 和 Microsoft Active Directory 等一些第三方产品与 Citrix Analytics 集成。有关详细信息，请参阅以下主题：

• 在 Microsoft Graph Security 上启用 Analytics

• 将 Analytics 与 Microsoft Active Directory 集成

Citrix Analytics 还可以将风险情报信息发送到客户拥有的 Splunk 环境。此集成需要在 Splunk 环境中部署和配置 Citrix Analytics Add-on for Splunk。有关详细信息，请参阅 Splunk 集成。

未经客户同意，Citrix Analytics 不会处理从数据源接收的任何事件。要处理来自数据源的事件，Analytics 管理员必须启用数据处理。有关 Analytics 的数据收集、存储和保留的更多信息，请参阅数据治理。

网络要求

• Citrix Cloud 服务要求：要使用 Citrix Cloud 服务，您必须能够通过 HTTPS 端口 443 连接到所需的 Citrix 地址。有关详细信息，请参阅Internet 连接要求。

• Citrix Analytics 要求：在使用 Citrix Analytics 之前，请查看系统要求。除了 Citrix Cloud 要求之外，以下端点地址必须可通过 HTTPS 端口 443 访问才能使用 Citrix Analytics 服务。

  端点	美国区域	欧盟区域	亚太南部区域
  管理员 UI	https://analytics.cloud.com/	https://analytics-eu.cloud.com/	https://analytics-aps.cloud.com/
  管理员 UI (CDN)	https://cas-api-cdn-ep-h9apa4bsccg0gfe7.a02.azurefd.net/	https://cas-api-cdn-ep-eu-g5d6bhadh5gvd0fh.a02.azurefd.net/	https://cas-api-cdn-ep-aps-a0fwd8c3d7bbfxdt.a02.azurefd.net/
  API 服务	https://api.analytics.cloud.com/	https://api.analytics-eu.cloud.com/	https://api.analytics-aps.cloud.com/
  API 服务 (Performance Analytics)	https://api-a.was.cloud.com/	https://api-eu-a.was.cloud.com/	https://api-ap-s-a.was.cloud.com/
  	https://api-b.was.cloud.com/	https://api-eu-b.was.cloud.com/	https://api-ap-s-b.was.cloud.com/
  获取公共 IP	https://locus.analytics.cloud.com/	https://locus.analytics.cloud.com/	https://locus.analytics.cloud.com/
  事件中心 (不适用于 Citrix ADM 代理)	https://citrixanalyticseh-alias.servicebus.windows.net/	https://citrixanalyticseheu-alias.servicebus.windows.net/	https://citrixanalyticsehaps-alias.servicebus.windows.net/
  	https://citrixanalyticseh2-alias.servicebus.windows.net/
  事件中心 (适用于 Citrix ADM 代理)	https://cas-eh-ns-alias.servicebus.windows.net/ 和 https://cas-eh-ns2-alias.servicebus.windows.net/	https://cas-eh-ns-eu-alias.servicebus.windows.net/	https://cas-eh-ns-aps-alias.servicebus.windows.net/
  批量上传	https://casstoragebulk.blob.core.windows.net/	https://casstorebulkeu.blob.core.windows.net/	https://casstorebulkaps.blob.core.windows.net/

注意

Citrix Analytics 已停止支持大多数上述端点的 TLS 1.0 和 TLS 1.1。

• Citrix Cloud Connector 安装：Citrix Endpoint Management、Citrix Virtual Apps and Desktops 和 Microsoft Active Directory 等某些数据源要求您在资源位置安装 Citrix Cloud Connector。Citrix Cloud Connector 是 Citrix Cloud 与您的资源位置之间的通信通道。安装 Citrix Cloud Connector 后，您必须配置 Web 代理设置。有关详细信息，请参阅Cloud Connector 代理和防火墙配置。

• 用于 SIEM 集成的 Citrix Analytics 端点：要将 Citrix Analytics 与您的安全信息和事件管理 (SIEM) 集成，请确保以下端点在您的网络中处于允许列表中：

  端点	美国区域	欧盟区域	亚太南部区域
  Kafka 代理	casnb-0.citrix.com:9094	casnb-eu-0.citrix.com:9094	casnb-aps-0.citrix.com:9094
  	casnb-1.citrix.com:9094	casnb-eu-1.citrix.com:9094	casnb-aps-1.citrix.com:9094
  	casnb-2.citrix.com:9094	casnb-eu-2.citrix.com:9094	casnb-aps-2.citrix.com:9094
  	casnb-3.citrix.com:9094

身份和访问管理

• 要访问 Citrix Analytics，您必须使用您的 Citrix Cloud 帐户。默认情况下，Citrix Cloud 使用 Citrix Identity 提供程序来管理 Citrix Cloud 帐户中所有用户的身份信息。您还可以使用身份和访问管理中提及的其他身份提供程序。

• Citrix Analytics 支持委派的管理员权限。您可以向用户分配只读管理员权限，以管理企业中的 Analytics。有关详细信息，请参阅管理管理员角色。

数据驻留

Citrix Cloud 管理 Citrix Analytics 的控制平面。从数据源接收的数据存储在多个 Microsoft Azure 环境中。这些环境位于美国、欧盟和亚太南部区域。存储位置取决于 Citrix Cloud 管理员在将其组织加入 Citrix Cloud 时选择的“主区域”。有关详细信息，请参阅以下主题：

• 地理注意事项

• 数据治理

数据保护

Citrix Analytics 从订阅的 Citrix Cloud 数据源、本地数据源和第三方产品接收数据。仅当客户拥有 Citrix Cloud 授权且 Analytics 管理员已明确为每个订阅的数据源启用数据处理时，才会处理接收到的数据。

Citrix Analytics 使用以下安全措施保护客户数据：

• 针对 Analytics 用户的 Citrix Cloud 身份验证。有关详细信息，请参阅身份和访问管理。

• 由数据服务和数据访问层强制执行的基于租户的数据访问控制。

• 数据湖和数据仓库中所有数据存储中每个客户或租户的强大数据隔离。

• 各种微服务和数据存储之间进行 TLS 加密的数据传输，适用于平台的公共端点（APT/输入/输出）和平台内部。

• TLS 端点的高标准。TLS 1.0 和 TLS 1.1 已禁用。

• 使用存储在相应 Key Vault 中的加密密钥和机密进行加密数据存储。

• 强大的用户管理访问控制，用于服务操作和支持，同时保护客户日志。

• 漏洞扫描、入侵检测、反恶意软件、rootkit 扫描与 Azure Security Center 结合使用。

与所有 Citrix Cloud 服务一样，数据收集严格遵守最终用户服务协议 (EUSA)。有关详细信息，请参阅以下协议：

• 用户协议

• Citrix 隐私策略

• Citrix 数据处理协议

• Citrix 服务安全附件

• Citrix Cloud 服务：客户内容和日志处理

• Citrix 隐私和合规性信息

安全责任

Citrix 责任

Citrix 负责保护托管 Citrix Analytics 的 Citrix 管理云环境中的所有基础架构和数据。Citrix 负责在云环境中应用定期软件更新和修补程序，以解决安全漏洞。

客户责任

Citrix 客户负责保护其数据源、策略实施点以及与 Citrix Analytics 集成的安全信息和事件管理 (SIEM) 系统，其中包括：

• 客户拥有和管理的本地数据源：

  • 本地数据源：Citrix Gateway、Citrix Virtual Apps and Desktops、Microsoft Active Directory

  • SIEM：Splunk 和任何其他使用 Kafka 代理从 Citrix Analytics 读取事件的第三方产品。

• 用于管理 Citrix Cloud 服务（包括 Citrix Analytics）的客户提供的管理员凭据。

• 接收来自 Citrix Cloud 服务的电子邮件或通知的客户拥有的管理员帐户。

• 用于部署和集成 Citrix ADM 代理等代理的客户提供的管理员凭据。必须限制对这些代理的访问，因为它们在本地存储密钥以与 Citrix Analytics 通信。

• 用于配置 Citrix Analytics Add-on for Splunk 的 Citrix Analytics 生成的凭据。

• 运行 Windows、Mac、Android、iOS 的最终用户设备，用于连接到 Citrix Cloud 或 Citrix Workspace™ 并与数据源集成。

有关安全条款的更多信息，请参阅以下文档：

• Citrix Cloud Platform 安全部署指南

• Citrix Workspace 文档

• Citrix DaaS（以前称为 Citrix Virtual Apps and Desktops 服务）技术安全概述

• Citrix Virtual Apps and Desktops 的安全注意事项

• 保护您的 StoreFront 部署文档

• Citrix Endpoint Management 技术安全概述

• Citrix Secure Private Access 服务文档

• Citrix ADC 安全部署指南

• Citrix ADM 系统要求