技術的なセキュリティの概要
Citrix Cloud でホストされる Analytics サービスは、Citrix ポートフォリオ製品とサードパーティ製品全体のデータを収集します。 これらの製品はデータ ソースと呼ばれます。 Citrix Analytics は、クラウドとオンプレミスの両方のデータ ソースをサポートします。 このドキュメントの情報は、Citrix Analytics とそのデータ ソースに適用されます。
データフロー
Citrix Analytics は、顧客がサブスクライブしている Citrix Cloud データ ソースを自動的に検出します。 ただし、オンプレミスのデータ ソースを Citrix Analytics と統合するには、追加の構成が必要です。 たとえば、Citrix Analytics がサイトを検出する前に、Citrix Virtual Apps and Desktops サイトを Citrix Workspace に追加する必要があります。 同様に、オンプレミスの Citrix Gateway では、Citrix ADM エージェントを構成する必要があります。 データ ソースで Citrix Analytics を有効にする方法の詳細については、「 Citrix データ ソースで Analytics を有効にする」を参照してください。
Microsoft Graph Security や Microsoft Active Directory などのサードパーティ製品を Citrix Analytics と統合できます。 詳細については、次のトピックを参照してください。
Citrix Analytics は、リスク インテリジェンス情報を顧客所有の Splunk 環境に送信することもできます。 この統合では、Splunk 環境に Citrix Analytics Add-on for Spunk を展開して構成する必要があります。 詳細については、 Splunk 統合を参照してください。
顧客の同意がなければ、Citrix Analytics はデータソースから受信したイベントを処理しません。 データ ソースからのイベントを処理するには、Analytics 管理者がデータ処理を有効にする必要があります。 Analytics によるデータの収集、保存、保持の詳細については、「 データ ガバナンス」を参照してください。
ネットワーク要件
-
Citrix Cloud サービスの要件: Citrix Cloud サービスを利用するには、HTTPS ポート 443 を介して必要な Citrix アドレスに接続できる必要があります。 詳細については、「 インターネット接続要件」を参照してください。
-
Citrix Analytics の要件: Citrix Analytics を使用する前に、 システム要件 を確認してください。 Citrix Analytics サービスを使用するには、Citrix Cloud の要件に加えて、HTTPS ポート 443 経由で次のエンドポイント アドレスにアクセスできる必要があります。
Endpoint 米国地域 欧州連合地域 アジア太平洋南部地域 管理UI https://analytics.cloud.com/https://analytics-eu.cloud.com/https://analytics-aps.cloud.com/管理 UI (CDN) https://cas-api-cdn-ep-h9apa4bsccg0gfe7.a02.azurefd.net/https://cas-api-cdn-ep-eu-g5d6bhadh5gvd0fh.a02.azurefd.net/https://cas-api-cdn-ep-aps-a0fwd8c3d7bbfxdt.a02.azurefd.net/API サービス https://api.analytics.cloud.com/https://api.analytics-eu.cloud.com/https://api.analytics-aps.cloud.com/API サービス (パフォーマンス分析) https://api-a.was.cloud.com/https://api-eu-a.was.cloud.com/https://api-ap-s-a.was.cloud.com/https://api-b.was.cloud.com/https://api-eu-b.was.cloud.com/https://api-ap-s-b.was.cloud.com/パブリックIPを取得する https://locus.analytics.cloud.com/https://locus.analytics.cloud.com/https://locus.analytics.cloud.com/イベント ハブ (Citrix ADM エージェントには適用されません) https://citrixanalyticseh-alias.servicebus.windows.net/https://citrixanalyticseheu-alias.servicebus.windows.net/https://citrixanalyticsehaps-alias.servicebus.windows.net/https://citrixanalyticseh2-alias.servicebus.windows.net/イベント ハブ (Citrix ADM エージェント用) https://cas-eh-ns-alias.servicebus.windows.net/およびhttps://cas-eh-ns2-alias.servicebus.windows.net/https://cas-eh-ns-eu-alias.servicebus.windows.net/https://cas-eh-ns-aps-alias.servicebus.windows.net/一括アップロード https://casstoragebulk.blob.core.windows.net/https://casstorebulkeu.blob.core.windows.net/https://casstorebulkaps.blob.core.windows.net/
(注)
Citrix Analytics は、前述のエンドポイントのほとんどに対して TLS 1.0 および TLS 1.1 のサポートを中止しました。
-
Citrix Cloud Connector のインストール: Citrix Endpoint Management、Citrix Virtual Apps and Desktops、Microsoft Active Directory などの一部のデータ ソースでは、リソースの場所に Citrix Cloud Connector をインストールする必要があります。 Citrix Cloud Connector は、Citrix Cloud とリソースの場所間の通信チャネルです。 Citrix Cloud Connector をインストールした後、Web プロキシ設定を構成する必要があります。 詳細については、「 Cloud Connector プロキシおよびファイアウォールの構成」を参照してください。
-
SIEM 統合用の Citrix Analytics エンドポイント: Citrix Analytics を セキュリティ情報およびイベント管理 (SIEM)と統合するには、次のエンドポイントがネットワーク内の許可リストに含まれていることを確認します。
Endpoint 米国地域 欧州連合地域 アジア太平洋南部地域 Kafka ブローカー casnb-0.citrix.com:9094casnb-eu-0.citrix.com:9094casnb-aps-0.citrix.com:9094casnb-1.citrix.com:9094casnb-eu-1.citrix.com:9094casnb-aps-1.citrix.com:9094casnb-2.citrix.com:9094casnb-eu-2.citrix.com:9094casnb-aps-2.citrix.com:9094casnb-3.citrix.com:9094
アイデンティティとアクセス管理
-
Citrix Analytics にアクセスするには、Citrix Cloud アカウントを使用する必要があります。 デフォルトでは、Citrix Cloud は Citrix Identity プロバイダーを使用して、Citrix Cloud アカウント内のすべてのユーザーの ID 情報を管理します。 アイデンティティとアクセス管理で説明した他のアイデンティティ プロバイダーを使用することもできます。
-
Citrix Analytics は委任された管理者権限をサポートしています。 企業内の Analytics を管理するために、ユーザーに読み取り専用の管理者権限を割り当てることができます。 詳細については、「 管理者ロールの管理」を参照してください。
データ保存場所
Citrix Cloud は、Citrix Analytics のコントロール プレーンを管理します。 データ ソースから受信したデータは、複数の Microsoft Azure 環境に保存されます。 これらの環境は、米国、欧州連合、およびアジア太平洋南部地域にあります。 ストレージの場所は、Citrix Cloud 管理者が組織を Citrix Cloud にオンボードするときに選択したホームリージョンによって異なります。 詳細については、次のトピックを参照してください。
データ保護
Citrix Analytics は、サブスクライブした Citrix Cloud データ ソース、オンプレミス データ ソース、およびサードパーティ製品からデータを受信します。 受信したデータは、顧客が Citrix Cloud の権限を持ち、Analytics 管理者がサブスクライブした各データソースに対してデータ処理を明示的に有効にしている場合にのみ処理されます。
Citrix Analytics は、次のセキュリティ対策を使用して顧客のデータを保護します。
-
Analytics ユーザーの Citrix Cloud 認証。 詳細については、「 ID およびアクセス管理」を参照してください。
-
データ サービスとデータ アクセス レイヤーによって適用されるテナント ベースのデータ アクセス制御。
-
データ レイクとデータ ウェアハウス内のすべてのデータ ストアで、顧客またはテナントごとに強力なデータ分離を実現します。
-
さまざまなマイクロサービスとデータ ストア間の TLS 暗号化データ転送。プラットフォームのパブリック エンドポイント (APT/入力/出力) およびプラットフォーム内に適用されます。
-
TLS エンドポイントにおける高い基準。 TLS 1.0 および TLS 1.1 は無効になっています。
-
適切なキー コンテナーに保存されている暗号化キーとシークレットを使用した暗号化されたデータ ストレージ。
-
顧客ログを保護しながら、サービス運用とサポートのための強力なユーザー管理アクセス制御を実現します。
-
Azure Security Center と併用される脆弱性スキャン、侵入検知、マルウェア対策、ルートキット スキャン。
すべての Citrix Cloud サービスと同様に、データ収集はエンド ユーザー サービス契約 (EUSA) に厳密に準拠します。 詳細については、次の契約を参照してください。
セキュリティ責任
Citrixの責任
Citrix は、Citrix Analytics をホストする Citrix 管理クラウド環境に存在するすべてのインフラストラクチャとデータを保護する責任を負います。 Citrix は、セキュリティの脆弱性に対処するために、クラウド環境に定期的なソフトウェア更新とパッチを適用する責任を負います。
顧客の責任
Citrix のお客様は、Citrix Analytics と統合されているデータ ソース、ポリシー適用ポイント、セキュリティ情報およびイベント管理 (SIEM) システムを保護する責任があります。これには次のものが含まれます。
-
顧客が所有および管理するオンプレミス データ ソース:
-
オンプレミスのデータソース: Citrix Gateway、Citrix Virtual Apps and Desktops、Microsoft Active Directory
-
SIEM: Kafka ブローカーを使用して Citrix Analytics からイベントを読み取る Splunk およびその他のサードパーティ製品。
-
-
Citrix Analytics を含む Citrix Cloud サービスを管理するための顧客提供の管理者資格情報。
-
Citrix Cloud サービスから電子メールまたは通知を受信する顧客所有の管理者アカウント。
-
Citrix ADM エージェントなどのエージェントを展開および統合するための、顧客が提供する管理者資格情報。 これらのエージェントは Citrix Analytics と通信するためのキーをローカルに保存するため、これらのエージェントへのアクセスを制限する必要があります。
-
Splunk 用 Citrix Analytics アドオンを構成するための Citrix Analytics 生成の資格情報。
-
Windows、Mac、Android、iOS 上で実行されているエンド ユーザー デバイスは、Citrix Cloud または Citrix Workspace に接続し、データ ソースと統合されます。
セキュリティ規定の詳細については、次のドキュメントを参照してください。