Technische Sicherheitsübersicht
Der in Citrix Cloud gehostete Analytics-Dienst sammelt Daten über Citrix-Portfolioprodukte und Produkte von Drittanbietern hinweg. Diese Produkte werden Datenquellen genannt. Citrix Analytics unterstützt sowohl Cloud- als auch lokale Datenquellen. Die Informationen in diesem Dokument gelten für Citrix Analytics und seine Datenquellen.
Datenfluss
Citrix Analytics erkennt automatisch die Citrix Cloud-Datenquellen, die die Kunden abonniert haben. Für die Integration der lokalen Datenquellen in Citrix Analytics ist jedoch eine zusätzliche Konfiguration erforderlich. Beispielsweise müssen Sie Ihre Citrix Virtual Apps and Desktops-Sites zu Citrix Workspace hinzufügen, bevor Citrix Analytics die Sites erkennen kann. Ebenso müssen Sie für das lokale Citrix Gateway einen Citrix ADM-Agenten konfigurieren. Weitere Informationen zum Aktivieren von Citrix Analytics für die Datenquellen finden Sie unter Analytics für Citrix-Datenquellen aktivieren.
Sie können einige Produkte von Drittanbietern wie Microsoft Graph Security und Microsoft Active Directory in Citrix Analytics integrieren. Weitere Informationen finden Sie in den folgenden Themen:
Citrix Analytics kann auch Risikointelligenzinformationen an eine kundeneigene Splunk-Umgebung senden. Diese Integration erfordert die Bereitstellung und Konfiguration des Citrix Analytics-Add-ons für Spunk in der Splunk-Umgebung. Weitere Informationen finden Sie unter Splunk-Integration.
Ohne Zustimmung des Kunden verarbeitet Citrix Analytics keine von den Datenquellen empfangenen Ereignisse. Um die Ereignisse aus den Datenquellen zu verarbeiten, muss der Analytics-Administrator die Datenverarbeitung aktivieren. Weitere Informationen zur Datenerfassung, -speicherung und -aufbewahrung durch Analytics finden Sie unter Datenverwaltung.
Netzwerkanforderungen
-
Anforderungen für Citrix Cloud-Dienste: Um die Citrix Cloud-Dienste verwenden zu können, müssen Sie über den HTTPS-Port 443 eine Verbindung zu den erforderlichen Citrix-Adressen herstellen können. Weitere Informationen finden Sie unter Anforderungen an die Internetverbindung.
-
Citrix Analytics-Anforderungen: Überprüfen Sie die Systemanforderungen , bevor Sie Citrix Analytics verwenden. Zusätzlich zu den Citrix Cloud-Anforderungen müssen die folgenden Endpunktadressen über den HTTPS-Port 443 zugänglich sein, um den Citrix Analytics-Dienst zu verwenden.
Endpoint Region Vereinigte Staaten Region der Europäischen Union Region Asien-Pazifik Süd Administrator-Benutzeroberfläche https://analytics.cloud.com/https://analytics-eu.cloud.com/https://analytics-aps.cloud.com/Administrator-Benutzeroberfläche (CDN) https://cas-api-cdn-ep-h9apa4bsccg0gfe7.a02.azurefd.net/https://cas-api-cdn-ep-eu-g5d6bhadh5gvd0fh.a02.azurefd.net/https://cas-api-cdn-ep-aps-a0fwd8c3d7bbfxdt.a02.azurefd.net/API-Dienste https://api.analytics.cloud.com/https://api.analytics-eu.cloud.com/https://api.analytics-aps.cloud.com/API-Dienste (Leistungsanalyse) https://api-a.was.cloud.com/https://api-eu-a.was.cloud.com/https://api-ap-s-a.was.cloud.com/https://api-b.was.cloud.com/https://api-eu-b.was.cloud.com/https://api-ap-s-b.was.cloud.com/Öffentliche IP abrufen https://locus.analytics.cloud.com/https://locus.analytics.cloud.com/https://locus.analytics.cloud.com/Event Hub (Gilt nicht für Citrix ADM-Agent) https://citrixanalyticseh-alias.servicebus.windows.net/https://citrixanalyticseheu-alias.servicebus.windows.net/https://citrixanalyticsehaps-alias.servicebus.windows.net/https://citrixanalyticseh2-alias.servicebus.windows.net/Event Hub (für Citrix ADM-Agent) https://cas-eh-ns-alias.servicebus.windows.net/undhttps://cas-eh-ns2-alias.servicebus.windows.net/https://cas-eh-ns-eu-alias.servicebus.windows.net/https://cas-eh-ns-aps-alias.servicebus.windows.net/Massen-Upload https://casstoragebulk.blob.core.windows.net/https://casstorebulkeu.blob.core.windows.net/https://casstorebulkaps.blob.core.windows.net/
Hinweis
Citrix Analytics hat den Support für TLS 1.0 und TLS 1.1 für die meisten der vorhergehenden Endpunkte eingestellt.
-
Citrix Cloud Connector-Installation: Für einige Datenquellen wie Citrix Endpoint Management, Citrix Virtual Apps and Desktops und Microsoft Active Directory müssen Sie einen Citrix Cloud Connector an Ihrem Ressourcenstandort installieren. Der Citrix Cloud Connector ist ein Kommunikationskanal zwischen Citrix Cloud und Ihren Ressourcenstandorten. Nach der Installation des Citrix Cloud Connectors müssen Sie die Webproxy-Einstellungen konfigurieren. Weitere Informationen finden Sie unter Cloud Connector Proxy- und Firewall-Konfiguration.
-
Citrix Analytics-Endpunkte für die SIEM-Integration: Um Citrix Analytics in Ihr Security Information and Event Management (SIEM)zu integrieren, stellen Sie sicher, dass die folgenden Endpunkte auf der Zulassungsliste in Ihrem Netzwerk stehen:
Endpoint Region Vereinigte Staaten Region der Europäischen Union Region Asien-Pazifik Süd Kafka Makler casnb-0.citrix.com:9094casnb-eu-0.citrix.com:9094casnb-aps-0.citrix.com:9094casnb-1.citrix.com:9094casnb-eu-1.citrix.com:9094casnb-aps-1.citrix.com:9094casnb-2.citrix.com:9094casnb-eu-2.citrix.com:9094casnb-aps-2.citrix.com:9094casnb-3.citrix.com:9094
Identitäts- und Zugriffsverwaltung
-
Um auf Citrix Analytics zuzugreifen, müssen Sie Ihr Citrix Cloud-Konto verwenden. Standardmäßig verwendet Citrix Cloud den Citrix Identity-Anbieter, um die Identitätsinformationen für alle Benutzer in Ihrem Citrix Cloud-Konto zu verwalten. Sie können auch andere Identitätsanbieter verwenden, wie in Identitäts- und Zugriffsverwaltungerwähnt.
-
Citrix Analytics unterstützt delegierte Administratorberechtigungen. Sie können einem Benutzer eine schreibgeschützte Administratorberechtigung zuweisen, um Analytics in Ihrem Unternehmen zu verwalten. Weitere Informationen finden Sie unter Administratorrollen verwalten.
Datenresidenz
Citrix Cloud verwaltet die Kontrollebene für Citrix Analytics. Von den Datenquellen empfangene Daten werden in mehreren Microsoft Azure-Umgebungen gespeichert. Diese Umgebungen befinden sich in den Vereinigten Staaten, der Europäischen Union und der Region Südasien-Pazifik. Der Speicherort hängt von der Heimatregion ab, die die Citrix Cloud-Administratoren beim Onboarding ihrer Organisationen in Citrix Cloud ausgewählt haben. Weitere Informationen finden Sie in den folgenden Themen:
Datenschutz
Citrix Analytics empfängt Daten von den abonnierten Citrix Cloud-Datenquellen, lokalen Datenquellen und den Produkten von Drittanbietern. Die empfangenen Daten werden nur verarbeitet, wenn der Kunde über eine Citrix Cloud-Berechtigung verfügt und der Analytics-Administrator die Datenverarbeitung für jede der abonnierten Datenquellen ausdrücklich aktiviert hat.
Citrix Analytics schützt die Kundendaten mit den folgenden Sicherheitsmaßnahmen:
-
Citrix Cloud-Authentifizierung für die Analytics-Benutzer. Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung.
-
Mandantenbasierte Datenzugriffskontrollen, die durch den Datendienst und die Datenzugriffsebene erzwungen werden.
-
Starke Datenisolierung pro Kunde oder Mandant in allen Datenspeichern im Data Lake und Data Warehouse.
-
TLS-verschlüsselter Datentransfer zwischen den verschiedenen Microservices und Datenspeichern, anwendbar für die öffentlichen Endpunkte (APTs/Inputs/Outputs) der Plattform und innerhalb der Plattform.
-
Hohe Standards bei TLS-Endpunkten. TLS 1.0 und TLS 1.1 sind deaktiviert.
-
Verschlüsselte Datenspeicherung mithilfe von Verschlüsselungsschlüsseln und Geheimnissen, die in entsprechenden Schlüsseltresoren gespeichert sind.
-
Starke Zugriffskontrollen für die Benutzerverwaltung für Servicevorgänge und Support bei gleichzeitigem Schutz der Kundenprotokolle.
-
Schwachstellenscans, Angriffserkennung, Anti-Malware und Rootkit-Scans werden zusammen mit dem Azure Security Center verwendet.
Wie bei allen Citrix Cloud-Diensten unterliegt die Datenerfassung strikt dem End User Service Agreement (EUSA). Weitere Informationen finden Sie in den folgenden Vereinbarungen:
Sicherheitsverantwortung
Verantwortung von Citrix
Citrix ist für die Sicherung der gesamten Infrastruktur und aller Daten in den von Citrix verwalteten Cloud-Umgebungen verantwortlich, die Citrix Analytics hosten. Citrix ist dafür verantwortlich, regelmäßige Softwareupdates und Patches in der Cloud-Umgebung anzuwenden, um Sicherheitslücken zu schließen.
Kundenverantwortung
Citrix-Kunden sind für die Sicherung ihrer Datenquellen, Richtliniendurchsetzungspunkte und SIEM-Systeme (Security Information and Event Management) verantwortlich, die in Citrix Analytics integriert sind. Dazu gehören:
-
Lokale Datenquellen im Besitz von Kunden und von diesen verwaltet:
-
Lokale Datenquellen: Citrix Gateway, Citrix Virtual Apps and Desktops, Microsoft Active Directory
-
SIEM: Splunk und alle anderen Produkte von Drittanbietern, die die Kafka-Broker verwenden, um Ereignisse aus Citrix Analytics zu lesen.
-
-
Vom Kunden bereitgestellte Administratoranmeldeinformationen für die Verwaltung von Citrix Cloud-Diensten, einschließlich Citrix Analytics.
-
Kundeneigene Administratorkonten, die E-Mails oder Benachrichtigungen von Citrix Cloud-Diensten erhalten.
-
Vom Kunden bereitgestellte Administratoranmeldeinformationen für die Bereitstellung und Integration der Agenten, z. B. Citrix ADM-Agenten. Der Zugriff auf diese Agenten muss eingeschränkt werden, da sie die Schlüssel zur Kommunikation mit Citrix Analytics lokal speichern.
-
Von Citrix Analytics generierte Anmeldeinformationen zum Konfigurieren von Citrix Analytics-Add-on für Splunk.
-
Endbenutzergeräte unter Windows, Mac, Android, iOS zur Verbindung mit Citrix Cloud oder Citrix Workspace und zur Integration mit Datenquellen.
Weitere Informationen zu den Sicherheitsbestimmungen finden Sie in den folgenden Dokumenten: