Aperçu de la sécurité technique

Le service Analytics hébergé dans Citrix Cloud collecte des données sur les produits du portefeuille Citrix et les produits tiers. Ces produits sont appelés sources de données. Citrix Analytics prend en charge les sources de données cloud et sur site. Les informations contenues dans ce document s’appliquent à Citrix Analytics et à ses sources de données.

Flux de données

Citrix Analytics découvre automatiquement les sources de données Citrix Cloud auxquelles les clients sont abonnés. Mais les sources de données sur site nécessitent une configuration supplémentaire pour s’intégrer à Citrix Analytics. Par exemple, vous devez ajouter vos sites Citrix Virtual Apps and Desktops à Citrix Workspace avant que Citrix Analytics puisse découvrir les sites. De même, Citrix Gateway sur site nécessite que vous configuriez un agent Citrix ADM. Pour plus d’informations sur l’activation de Citrix Analytics sur les sources de données, consultez Activer Analytics sur les sources de données Citrix.

Vous pouvez intégrer quelques produits tiers tels que Microsoft Graph Security et Microsoft Active Directory avec Citrix Analytics. Pour plus d’informations, consultez les rubriques suivantes :

• Activer Analytics sur Microsoft Graph Security

• Intégrer Analytics à Microsoft Active Directory

Citrix Analytics peut également envoyer des informations de renseignement sur les risques à un environnement Splunk appartenant au client. Cette intégration nécessite le déploiement et la configuration de Citrix Analytics Add-on pour Spunk sur l’environnement Splunk. Pour plus d’informations, voir Intégration Splunk.

Sans le consentement du client, Citrix Analytics ne traite aucun événement reçu des sources de données. Pour traiter les événements provenant des sources de données, l’administrateur Analytics doit activer le traitement des données. Pour plus d’informations sur la collecte, le stockage et la conservation des données par Analytics, consultez Gouvernance des données.

Exigences réseau

• Configuration requise pour les services Citrix Cloud: Pour utiliser les services Citrix Cloud, vous devez pouvoir vous connecter aux adresses Citrix requises via le port HTTPS 443. Pour plus d’informations, consultez Exigences de connectivité Internet.

• Configuration requise pour Citrix Analytics: Consultez la configuration système requise avant d’utiliser Citrix Analytics. Outre les exigences de Citrix Cloud, les adresses de point de terminaison suivantes doivent être accessibles via le port HTTPS 443 pour utiliser le service Citrix Analytics.

  Endpoint	Région États-Unis	Région de l’Union européenne	Région Asie-Pacifique Sud
  Interface d’administration	https://analytics.cloud.com/	https://analytics-eu.cloud.com/	https://analytics-aps.cloud.com/
  Interface d’administration (CDN)	https://cas-api-cdn-ep-h9apa4bsccg0gfe7.a02.azurefd.net/	https://cas-api-cdn-ep-eu-g5d6bhadh5gvd0fh.a02.azurefd.net/	https://cas-api-cdn-ep-aps-a0fwd8c3d7bbfxdt.a02.azurefd.net/
  Services API	https://api.analytics.cloud.com/	https://api.analytics-eu.cloud.com/	https://api.analytics-aps.cloud.com/
  Services API (analyse des performances)	https://api-a.was.cloud.com/	https://api-eu-a.was.cloud.com/	https://api-ap-s-a.was.cloud.com/
  	https://api-b.was.cloud.com/	https://api-eu-b.was.cloud.com/	https://api-ap-s-b.was.cloud.com/
  Obtenir une adresse IP publique	https://locus.analytics.cloud.com/	https://locus.analytics.cloud.com/	https://locus.analytics.cloud.com/
  Event Hub (non applicable à l’agent Citrix ADM)	https://citrixanalyticseh-alias.servicebus.windows.net/	https://citrixanalyticseheu-alias.servicebus.windows.net/	https://citrixanalyticsehaps-alias.servicebus.windows.net/
  	https://citrixanalyticseh2-alias.servicebus.windows.net/
  Event Hub (pour l’agent Citrix ADM)	https://cas-eh-ns-alias.servicebus.windows.net/ et https://cas-eh-ns2-alias.servicebus.windows.net/	https://cas-eh-ns-eu-alias.servicebus.windows.net/	https://cas-eh-ns-aps-alias.servicebus.windows.net/
  Téléchargement en masse	https://casstoragebulk.blob.core.windows.net/	https://casstorebulkeu.blob.core.windows.net/	https://casstorebulkaps.blob.core.windows.net/

<none>

Citrix Analytics a interrompu la prise en charge de TLS 1.0 et TLS 1.1 pour la plupart des points de terminaison précédents.

• Installation de Citrix Cloud Connector: Certaines sources de données telles que Citrix Endpoint Management, Citrix Virtual Apps and Desktops et Microsoft Active Directory nécessitent l’installation d’un Citrix Cloud Connector sur votre emplacement de ressources. Citrix Cloud Connector est un canal de communication entre Citrix Cloud et vos emplacements de ressources. Après avoir installé Citrix Cloud Connector, vous devez configurer les paramètres du proxy Web. Pour plus d’informations, consultez Configuration du proxy et du pare-feu Cloud Connector.

• Points de terminaison Citrix Analytics pour l’intégration SIEM: Pour intégrer Citrix Analytics à votre Security Information and Event Management (SIEM), assurez-vous que les points de terminaison suivants figurent dans la liste verte de votre réseau :

  Endpoint	Région États-Unis	Région de l’Union européenne	Région Asie-Pacifique Sud
  Courtiers Kafka	casnb-0.citrix.com:9094	casnb-eu-0.citrix.com:9094	casnb-aps-0.citrix.com:9094
  	casnb-1.citrix.com:9094	casnb-eu-1.citrix.com:9094	casnb-aps-1.citrix.com:9094
  	casnb-2.citrix.com:9094	casnb-eu-2.citrix.com:9094	casnb-aps-2.citrix.com:9094
  	casnb-3.citrix.com:9094

Gestion des identités et des accès

• Pour accéder à Citrix Analytics, vous devez utiliser votre compte Citrix Cloud. Par défaut, Citrix Cloud utilise le fournisseur Citrix Identity pour gérer les informations d’identité de tous les utilisateurs de votre compte Citrix Cloud. Vous pouvez également utiliser d’autres fournisseurs d’identité comme mentionné dans Gestion des identités et des accès.

• Citrix Analytics prend en charge les autorisations d’administrateur déléguées. Vous pouvez attribuer une autorisation d’administrateur en lecture seule à un utilisateur pour gérer Analytics dans votre entreprise. Pour plus d’informations, voir Gérer les rôles d’administrateur.

Résidence des données

Citrix Cloud gère le plan de contrôle pour Citrix Analytics. Les données reçues des sources de données sont stockées dans plusieurs environnements Microsoft Azure. Ces environnements sont situés aux États-Unis, dans l’Union européenne et dans les régions Asie-Pacifique Sud. L’emplacement de stockage dépend de la région d’origine sélectionnée par les administrateurs Citrix Cloud lors de l’intégration de leurs organisations à Citrix Cloud. Pour plus d’informations, consultez les rubriques suivantes :

• Considérations géographiques

• Gouvernance des données

Protection des données

Citrix Analytics reçoit des données provenant des sources de données Citrix Cloud abonnées, des sources de données locales et des produits tiers. Les données reçues ne sont traitées que si le client dispose d’un droit Citrix Cloud et que l’administrateur Analytics a explicitement activé le traitement des données pour chacune des sources de données abonnées.

Citrix Analytics protège les données des clients à l’aide des mesures de sécurité suivantes :

• Authentification Citrix Cloud pour les utilisateurs d’Analytics. Pour plus d’informations, voir Gestion des identités et des accès.

• Contrôles d’accès aux données basés sur les locataires appliqués par le service de données et la couche d’accès aux données.

• Isolation renforcée des données par client ou locataire dans tous les magasins de données du lac de données et de l’entrepôt de données.

• Transfert de données crypté TLS entre les différents microservices et magasins de données, applicable aux points de terminaison publics (APT/entrées/sorties) de la plateforme et au sein de la plateforme.

• Normes élevées dans les points de terminaison TLS. TLS 1.0 et TLS 1.1 sont désactivés.

• Stockage de données cryptées à l’aide de clés de cryptage et de secrets stockés dans des coffres-forts de clés appropriés.

• Contrôles d’accès de gestion des utilisateurs renforcés pour les opérations de service et l’assistance tout en protégeant les journaux des clients.

• Analyse des vulnérabilités, détection d’intrusion, anti-malware, analyse des rootkits utilisés avec Azure Security Center.

Comme pour tous les services Citrix Cloud, la collecte de données est strictement soumise au contrat de service utilisateur final (EUSA). Pour plus d’informations, consultez les accords suivants :

• Accords d’utilisation

• Politique de confidentialité de Citrix

• Accord de traitement des données Citrix

• Exposition sur la sécurité des services Citrix

• Citrix Cloud Services : gestion du contenu client et des journaux

• Informations sur la confidentialité et la conformité de Citrix

Responsabilité en matière de sécurité

Responsabilité de Citrix

Citrix est responsable de la sécurisation de toutes les infrastructures et données résidant dans les environnements cloud gérés par Citrix qui hébergent Citrix Analytics. Citrix est responsable de l’application régulière de mises à jour et de correctifs logiciels sur l’environnement cloud pour remédier aux vulnérabilités de sécurité.

Responsabilité du client

Les clients Citrix sont responsables de la sécurisation de leurs sources de données, de leurs points d’application des politiques et de leurs systèmes de gestion des informations et des événements de sécurité (SIEM) intégrés à Citrix Analytics, qui incluent :

• Sources de données sur site détenues et gérées par les clients :

  • Sources de données sur site: Citrix Gateway, Citrix Virtual Apps and Desktops, Microsoft Active Directory

  • SIEM: Splunk et tout autre produit tiers qui utilise les courtiers Kafka pour lire les événements de Citrix Analytics.

• Informations d’identification d’administrateur fournies par le client pour la gestion des services Citrix Cloud, y compris Citrix Analytics.

• Comptes administrateurs appartenant au client qui reçoivent des e-mails ou des notifications des services Citrix Cloud.

• Informations d’identification d’administrateur fournies par le client pour le déploiement et l’intégration des agents tels que les agents Citrix ADM. L’accès à ces agents doit être restreint car ils stockent les clés localement pour communiquer avec Citrix Analytics.

• Informations d’identification générées par Citrix Analytics pour la configuration de Module complémentaire Citrix Analytics pour Splunk.

• Appareils d’utilisateurs finaux fonctionnant sous Windows, Mac, Android, iOS pour se connecter à Citrix Cloud ou Citrix Workspace et intégrés aux sources de données.

Pour plus d’informations sur les dispositions de sécurité, consultez les documents suivants :

• Guide de déploiement sécurisé pour la plateforme Citrix Cloud

• Documentation de Citrix Workspace

• Présentation de la sécurité technique pour Citrix DaaS (anciennement service Citrix Virtual Apps and Desktops)

• Considérations de sécurité pour Citrix Virtual Apps and Desktops

• Sécurisez votre documentation de déploiement StoreFront

• Présentation de la sécurité technique pour Citrix Endpoint Management

• Documentation du service Citrix Secure Private Access

• Guide de déploiement sécurisé pour Citrix ADC

• Configuration requise pour Citrix ADM