Vue d’ensemble de la sécurité technique
Le service Analytics hébergé dans Citrix Cloud collecte des données sur les produits du portefeuille Citrix et les produits tiers. Ces produits sont appelés sources de données. Citrix Analytics prend en charge les sources de données dans le cloud et sur site. Les informations contenues dans ce document s’appliquent à Citrix Analytics et à ses sources de données.
Flux de données
Citrix Analytics découvre automatiquement les sources de données Citrix Cloud qui sont abonnées aux clients. Toutefois, les sources de données locales nécessitent une configuration supplémentaire pour s’intégrer à Citrix Analytics. Par exemple, vous devez ajouter vos sites Citrix Virtual Apps and Desktops à Citrix Workspace avant que Citrix Analytics puisse découvrir les sites. De même, Citrix Gateway sur site nécessite que vous configuriez un agent Citrix ADM. Pour plus d’informations sur l’activation de Citrix Analytics sur les sources de données, consultez Activer Analytics sur les sources de données Citrix.
Vous pouvez intégrer quelques produits tiers tels que Microsoft Graph Security et Microsoft Active Directory à Citrix Analytics. Pour plus d’informations, consultez les rubriques suivantes :
Citrix Analytics peut également envoyer des informations de veille sur les risques à un environnement Splunk appartenant au client. Cette intégration nécessite le déploiement et la configuration du module complémentaire Citrix Analytics pour Spunk dans l’environnement Splunk. Pour plus d’informations, consultez la section Intégration de Splunk.
Sans le consentement du client, Citrix Analytics ne traite aucun événement reçu des sources de données. Pour traiter les événements provenant des sources de données, l’administrateur Analytics doit activer le traitement des données. Pour plus d’informations sur la collecte, le stockage et la conservation des données par Analytics, consultez Gouvernance des données.
Configuration réseau requise
-
Configuration requise pour les services Citrix Cloud : pour utiliser les services Citrix Cloud, vous devez être en mesure de vous connecter aux adresses Citrix requises via le port HTTPS 443. Pour plus d’informations, consultez Exigences en matière de connectivité Internet.
-
Configuration requise pour Citrix Analytics : vérifiez la configuration système requise avant d’utiliser Citrix Analytics. Outre la configuration requise pour Citrix Cloud, les adresses de point de terminaison suivantes doivent être accessibles via le port HTTPS 443 pour utiliser le service Citrix Analytics.
Point de terminaison Région des États-Unis Région de l’Union européenne Région Asie-Pacifique Sud Interface utilisateur d’administration https://analytics.cloud.com/
https://analytics-eu.cloud.com/
https://analytics-aps.cloud.com/
Interface utilisateur d’administration (CDN) https://cas-api-cdn-ep.azureedge.net/
https://cas-api-cdn-ep-eu.azureedge.net/
https://cas-api-cdn-ep-aps.azureedge.net/
Services d’API https://api.analytics.cloud.com/
https://api.analytics-eu.cloud.com/
https://api.analytics-aps.cloud.com/
Services d’API (analyse des performances) https://api-a.was.cloud.com/
https://api-eu-a.was.cloud.com/
https://api-ap-s-a.was.cloud.com/
https://api-b.was.cloud.com/
https://api-eu-b.was.cloud.com/
https://api-ap-s-b.was.cloud.com/
Obtenir une adresse IP publique https://locus.analytics.cloud.com/
https://locus.analytics.cloud.com/
https://locus.analytics.cloud.com/
Event Hub (ne s’applique pas à l’agent Citrix ADM) https://citrixanalyticseh-alias.servicebus.windows.net/
https://citrixanalyticseheu-alias.servicebus.windows.net/
https://citrixanalyticsehaps-alias.servicebus.windows.net/
https://citrixanalyticseh2-alias.servicebus.windows.net/
Event Hub (pour l’agent Citrix ADM) https://cas-eh-ns-alias.servicebus.windows.net/
ethttps://cas-eh-ns2-alias.servicebus.windows.net/
https://cas-eh-ns-eu-alias.servicebus.windows.net/
https://cas-eh-ns-aps-alias.servicebus.windows.net/
Chargement en masse https://casstoragebulk.blob.core.windows.net/
https://casstorebulkeu.blob.core.windows.net/
https://casstorebulkaps.blob.core.windows.net/
Remarque
Citrix Analytics a arrêté la prise en charge de TLS 1.0 et TLS 1.1 pour la plupart des points de terminaison précédents.
-
Installation de Citrix Cloud Connector : certaines sources de données telles que Citrix Endpoint Management, Citrix Virtual Apps and Desktops et Microsoft Active Directory nécessitent que vous installiez un Citrix Cloud Connector sur votre emplacement de ressources. Le Citrix Cloud Connector est un canal de communication entre Citrix Cloud et vos emplacements de ressources. Après avoir installé Citrix Cloud Connector, vous devez configurer les paramètres du proxy Web. Pour de plus amples informations, consultez la section Configuration du pare-feu et du proxy d’un Cloud Connector.
-
Points de terminaison Citrix Analytics pour l’intégration SIEM : pour intégrer Citrix Analytics à votre solution de gestion des informations et des événements de sécurité (SIEM), assurez-vous que les points de terminaison suivants figurent dans la liste verte de votre réseau :
Point de terminaison Région des États-Unis Région de l’Union européenne Région Asie-Pacifique Sud Brokers Kafka casnb-0.citrix.com:9094
casnb-eu-0.citrix.com:9094
casnb-aps-0.citrix.com:9094
casnb-1.citrix.com:9094
casnb-eu-1.citrix.com:9094
casnb-aps-1.citrix.com:9094
casnb-2.citrix.com:9094
casnb-eu-2.citrix.com:9094
casnb-aps-2.citrix.com:9094
casnb-3.citrix.com:9094
Gestion des identités et des accès
-
Pour accéder à Citrix Analytics, vous devez utiliser votre compte Citrix Cloud. Par défaut, Citrix Cloud utilise le fournisseur d’identité Citrix pour gérer les informations d’identité de tous les utilisateurs de votre compte Citrix Cloud. Vous pouvez également utiliser d’autres fournisseurs d’identité, comme indiqué dans Gestion des identités et des accès.
-
Citrix Analytics prend en charge les autorisations d’administrateur délégués. Vous pouvez attribuer une autorisation d’administrateur en lecture seule à un utilisateur pour gérer Analytics dans votre entreprise. Pour plus d’informations, consultez Gérer les rôles d’administrateur.
Résidence de données
Citrix Cloud gère le plan de contrôle pour Citrix Analytics. Les données reçues des sources de données sont stockées dans plusieurs environnements Microsoft Azure. Ces environnements sont situés aux États-Unis, dans l’Union européenne et dans les régions du sud de l’Asie-Pacifique. L’emplacement de stockage dépend de la région d’origine sélectionnée par les administrateurs Citrix Cloud lors de l’intégration de leurs organisations à Citrix Cloud. Pour plus d’informations, consultez les rubriques suivantes :
Protection des données
Citrix Analytics reçoit les données des sources de données Citrix Cloud abonnées, des sources de données locales et des produits tiers. Les données reçues sont traitées uniquement si le client dispose d’un droit Citrix Cloud et que l’administrateur Analytics a explicitement activé le traitement des données pour chacune des sources de données abonnées.
Citrix Analytics protège les données des clients à l’aide des mesures de sécurité suivantes :
-
Authentification Citrix Cloud pour les utilisateurs Analytics. Pour plus d’informations, consultez Gestion des identités et des accès.
-
Contrôles d’accès aux données basés sur les locataires appliqués par le service de données et la couche d’accès aux données.
-
Forte isolation des données par client ou locataire dans tous les magasins de données du lac de données et de l’entrepôt de données.
-
Transfert de données cryptées TLS entre les différents microservices et magasins de données, applicable aux points de terminaison publics (APTS/entrées/sorties) de la plate-forme et au sein de la plate-forme.
-
Des normes élevées en matière de points de terminaison TLS. Les protocoles TLS 1.0 et TLS 1.1 sont désactivés.
-
Stockage des données chiffrées à l’aide de clés de cryptage et de secrets stockés dans des coffres à clés appropriés.
-
Contrôles d’accès puissants à la gestion des utilisateurs pour les opérations de service et le support tout en protégeant les journaux
-
Analyse des vulnérabilités, détection des intrusions, protection contre les programmes malveillants, analyse des rootkits utilisés avec Azure Security Center.
Comme pour tous les services Citrix Cloud, la collecte de données est strictement soumise au contrat de service utilisateur final (EUSA). Pour plus d’informations, consultez les accords suivants :
Responsabilité de sécurité
Responsabilité de Citrix
Citrix est responsable de la sécurisation de toutes les infrastructures et données résidant dans les environnements cloud gérés par Citrix qui hébergent Citrix Analytics. Citrix est responsable de l’application de mises à jour logicielles régulières et de correctifs sur l’environnement cloud pour remédier aux vulnérabilités de sécurité.
Responsabilité du client
Les clients Citrix sont responsables de la sécurisation de leurs sources de données, des points d’application des stratégies et des systèmes de gestion des informations et des événements de sécurité (SIEM) intégrés à Citrix Analytics, notamment :
-
Sources de données sur site détenues et gérées par les clients :
-
Sources de données locales : Citrix Gateway, Citrix Virtual Apps and Desktops, Microsoft Active Directory
-
SIEM : Splunk et tout autre produit tiers qui utilise les brokers Kafka pour lire les événements de Citrix Analytics.
-
-
Informations d’identification d’administrateur fournies par le client pour gérer les services Citrix Cloud, y compris Citrix Analytics.
-
Les comptes d’administrateur appartenant au client qui reçoivent des e-mails ou des notifications de la part des services Citrix Cloud.
-
Informations d’identification d’administrateur fournies par le client pour le déploiement et l’intégration des agents tels que les agents Citrix ADM. L’accès à ces agents doit être restreint car ils stockent les clés localement pour communiquer avec Citrix Analytics.
-
Informations d’identification générées par Citrix Analytics pour configurer le module complémentaire Citrix Analytics pour Splunk.
-
Les appareils des utilisateurs finaux fonctionnant sous Windows, Mac, Android, iOS pour se connecter à Citrix Cloud ou Citrix Workspace et intégrés aux sources de données.
Pour plus d’informations sur les dispositions de sécurité, consultez les documents suivants :