探索关于Citrix安全最佳实践和控制的常见问题和关键信息。
是的。
Citrix全球安全保证框架(GSAF)利用了在行业标准组织(ISO) 27001和27002、国家标准和技术协会(NIST)特别出版物800-53和互联网安全中心(CIS)标准中发现的信息安全控制套件。GSAF提供了一种一致和统一的方法来保护公司的资产,同时保护公司、股东、客户和员工的利益。思杰的政策审查委员会至少每年审查GSAF的政策和标准。所有员工都可以通过Citrix Intranet站点获得Citrix GSAF政策和标准。
员工必须接受并承认对GSAF政策和程序的认识以及不遵守它们的潜在影响。每个员工都有责任获得公司信息和信息系统的访问,以了解预期的行为并相应地进行活动。Citrix的商业行为准则和可接受的使用政策(AUP)可通知员工是可接受和预期的行为和行为的信息。
为了使Citrix能够为其客户提供一致的、可扩展的和安全的云解决方案,GSAF计划对该计划的成熟度、持续增长努力和改进进行定期审查、评估和报告。
参考文献:GSAF项目摘要(位于证据包中)
是的。
思杰有一个SOC 2, Type 2审计报告。可在保密协议下从思杰信托中心下载(//m.giftsix.com/about/legal/security-compliance/soc-2-reports.html).
Citrix实现了ISO 27001认证,它可以在没有NDA的情况下下载(//m.giftsix.com/content/dam/citrix/en_us/documents/about/certification-of-registration.pdf.).
在Citrix Trust Center上的NDA下的客户下提供额外的第三方审计报告(//m.giftsix.com/about/trust-center/).
所有Citrix云产品由拥有SOC 1 (SSAE 16)、SOC 2、ISO 27001、ISO 27018、FISMA、DIACAP、FedRAMP、PCI DSS Level 1、ITAR和FIPS 140-2审计或证书的供应商托管。
是的。
思杰聘请了一名全职首席信息安全官(CISO),负责监管全球安全组织。思杰的隐私团队由首席隐私与数字风险官领导,负责数据隐私。思杰内部审计小组直接向董事会报告,以保持独立性。这三个团队共同努力解决数据保护问题。
有关Citrix隐私管理计划的其他信息,请参阅Citrix的隐私政策://m.giftsix.com/about/Legal/privacy.html.
是的。
Citrix维护了一项概述管理访问Citrix设施,系统和数据的方法的策略。正式的用户访问配置过程用于基于最不特权分配访问。基于作业函数或角色授予访问(包括特权访问)。职责的分离是创造工作角色和职能的整体过程的一部分。新用户访问,现有用户的新访问或用户访问更改请求遵循正式请求过程,并通过内部票务系统跟踪。管理批准在访问权限之前访问或更改。用户帐户遵循预定义的命名模式和密码要求。
Citrix在允许访问生产系统之前需要用户身份验证和验证识别。密码参数可能包括但不限于:
唯一的用户id加强系统组件(操作系统、应用程序和数据库)中的责任性。基于角色的访问限制了对特定功能的访问,符合最小权限的安全原则。Citrix允许在需要时使用非用户帐户来支持业务目标(测试或服务帐户)。
Citrix每季度对用户帐户和关键系统分配的权限进行审查。对系统的新访问权在授予之前由管理层进行审查和批准。作为终止过程的一部分,用户访问将被及时禁用/删除。
是的。
Citrix有一个资产管理政策,解决了硬件和软件资产在Citrix是如何管理的。
思杰管理着思杰拥有的软件和硬件资产的风险等级清单。库存中的资产被分配给一个所有者,有可接受的使用规则,有标签,并进行分类。资产分类是根据法律要求、价值、重要性和对未经授权的披露或修改的敏感性来衡量的。
产品已经达到其生命周期的终点,并且不再被供应商支持,将被分配一个日落日期。日落日期是指该产品计划从生产中移除,并提前足够长的时间,以便管理层有时间资助和计划更换。
Citrix已记录了包含数据控制矩阵的正式数据和系统生命周期策略。此矩阵基于数据类型定义所需的安全控制。矩阵覆盖运动中的数据和休息。在数据保留和媒体处置政策中解决了毁灭
是的。
风险评估和相关排名包含在年度内部审计计划中,包括可能影响思杰的合规和运营风险。此外,还确定了公司资产以及这些资产的潜在威胁和漏洞。根据风险评估过程,任何发现都将被减轻。还提供了对这些资产的机密性、完整性和可用性进行最大限度保护的建议。该计划使用合作和定性的方法来识别和确定风险的优先级。整个过程的细节,包括时间框架,Citrix都是保密的。
是的。
思杰维护物理和环境安全政策和计划。
对Citrix设施的物理访问由徽章控制,监控摄像机监视器访问活动。Citrix设施的游客必须在员工发出游客徽章之前签署,并且必须在现场雇员护送。对用于授予和撤销对Citrix设施的物理访问的徽章访问控制系统的管理访问仅限于授权人员。
还控制了对共同位置数据中心的物理访问。通过安全人员通过电子和CCTV视频监控记录,监控和跟踪数据中心访问。通过使用电子锁定的门和共同定位设施内的单独笼区域的物理访问限制。只有管理层授权的人员可以访问共同位置数据中心设施。访问安全区域的访客必须由员工陪同。数据中心受安全报警系统和其他安全措施(例如用户相关的身份验证过程)保护,包括生物识别认证过程(例如,使用用户照片的电子接近身份证和/或电子接近身份证。
访问Citrix Citrix Citrix Cite Center设施的权限是在半年度审查的。从审查产生的访问更改请求将提交给安全组或处理的共同定位设施。共同定位中心的物理安全,例如具有保安,生物识别,电子接入卡,阻燃剂等是共同位置数据中心的责任。定期审查共同位置数据中心的控制。
是的。
业务连续性节目管理结构已到位,包括专注的全职团队,重点是事件响应和业务连续性。负责该计划的专用业务连续性工作人员已被认证,涉及行业会议,并参与促进纪律持续学习的事件。区域Citrix联络人被分配和任务,并在每个地区的业务连续性管理人员和地方管理之间协调。
核心业务连续性团队被分解为三个更小的团队,在出现情况时和出于计划目的激活它们。核心业务连续性团队的任务是为影响思杰业务运营基础的组织各方面提供全面的指导/准备和恢复工作。
我们已经为全球所有思杰关键地点的工作园区制定了恢复策略。通过合同服务提供关键业务单元的技术恢复。已经确定了协调事件的指挥控制中心。
每年进行桌面演练,以确保计划是最新的,团队熟悉应对和恢复过程。
制定了运营抵御战略,该策略利用Citrix的美国西部数据中心在发生灾难或重大中断时进行生产加工。Citrix在全球范围内运营四个数据中心。所有企业应用程序都托管在位于佛罗里达州迈阿密,佛罗里达州迈阿密的公司Tier-IV数据中心,并通过Citrix Virtual Apps和Desktops全球传送到商业用户。在必要时,区域数据中心举办少量分布式基础架构和区域应用,也可以使用Citrix虚拟应用程序和桌面提供。业务关键数据是对我们的美国西区DC的实时复制。如果我们公司数据中心灾难,我们已准备好将所有业务关键的应用程序和无缝的点最终用户无缝,以提供我们的高可用的全球Citrix虚拟应用程序和桌面环境。
基于我们的全球业务,Citrix使用遵循Sun框架,以获得技术支持和客户服务等领域。每天使用此框架为我们提供快速将特派团关键服务快速重新路由到备用位置。
已经开发了IT灾难恢复计划,并按季度进行测试。在过去几年中,每季度都进行了IT灾难恢复计划演练,超过了行业标准的年度测试。这些练习包括使用灾备数据中心恢复关键的生产处理。
我们的灾难恢复测试团队在每个季度的测试中轮流进行,以确保多名人员对我们的恢复流程进行了充分的培训。变更管理与我们的灾难恢复计划紧密集成,从而产生完全相同的环境。
参考文献:Citrix业务连续性概述(位于证据包中)
是的。
每年进行桌面演练,以确保计划是最新的,团队熟悉应对和恢复过程。劳德代尔堡校区的关键业务部门已经制定了飓风情景计划。这些计划的正式测试每年进行一次。IT容灾计划每季度进行一次测试。
是的。
思杰通过业务影响分析(BIA)实时评估所有资产和业务功能。为了验证资产和业务功能的可回收性,每季度进行技术演练,每年进行业务功能演练,并跟踪问题直至结束。BIA提供必要的信息,为思杰在全球的每个地点制定灾难恢复和业务连续性计划。分析BIA结果并制定恢复策略,确保基于风险和影响标准计算恢复时间和恢复点目标。
是的。
Citrix的事件响应计划管理Citrix的响应,文件和报告影响计算机化和电子通信资源的事件,例如盗窃,入侵和滥用数据。该计划的目的是确保对涉嫌安全事件的快速响应,并及时调查活动,以保护客户,员工,股东和公司声誉。该计划提供指导,以确保Citrix符合其通知要求和对受影响个人,客户,政府机构和其他实体的法律义务。
参考文献:Citrix事件应对计划概述(位于证据包中)
是的。
Citrix维持事故响应标准,并建立了事件响应团队(IRT)。事件响应(IR)团队由核心团队成员作为核心团队成员的职能利益相关者领导。法律团队管理事件通信,内部通信团队是IR扩展团队的一部分。内部通信和PR是同一支队。
如果思杰确定上传到“用户”账户供存储的任何数据,或为执行“服务”而向思杰提供访问的“用户”计算环境中的任何数据,已发生安全事故,则思杰将在适用法律规定的时间内通知“用户”。
是的。
Citrix员工签署非披露协议(NDA),其标识Citrix机密性义务。
在雇用时需要进行培训,然后每两年进行一次隐私和安全培训。员工必须接受并承认对思杰全球安全保证政策的理解,以及不遵守这些政策的潜在影响。每一个访问公司信息和信息系统的用户都有责任知道期望和接受什么样的行为,并相应地进行他们的活动。
Citrix的商业行为准则和可接受的使用政策(AUP)可通知员工是可接受和预期的行为和行为的信息。在每门课程结束时,需要测验来验证对培训的理解。
定期对员工进行安全培训。
你可浏览思杰商业行为守则的网页://m.giftsix.com/content/dam/citrix/en_us/documents/about/code-of-business-conduct.pdf
是的。
根据基础工作的敏感性,在其就业前或遵循其工作之前的申请人对申请人进行各种各样的背景检查。
根据相关法律、法规和道德规范,对求职者进行背景核查,从而与业务要求、获取信息的分类和可感知的风险成比例。
是的。
思杰维护供应商关系管理政策、思杰供应商风险管理标准和思杰供应商安全标准。这些文件列出了Citrix的供应商和合作伙伴在(a)访问Citrix或Citrix客户设施、网络和/或信息系统,或(b)访问、处理或存储Citrix机密信息时必须采取的技术和组织措施及安全控制措施。
对这些供应商进行年度审查,通过评估认证报告(如有)、现场考察或其他程序。识别风险和异常并评估其影响。
有关更多信息,请参考Citrix供应商安全标准://m.giftsix.com/content/dam/citrix/en_us/documents/about/citrix-supplier-security-standards.pdf
是的。
思杰执行系统采购、开发和维护政策。作为该策略的一部分,Citrix软件开发生命周期(SDL)促进了安全设计方法,其中包括安全培训、威胁建模、设计审查、代码审查和渗透测试。
Citrix使用一套商业和内部开发的测试工具。工程安全团队的测试包括但不限于开发、云加固测试、模糊和手动/辅助源代码审查。此外,Citrix工程公司内部还有一个红队,负责评估产品在CWE-Top-25和OWASP-Top-10上的适用性。
是的。
Citrix补丁管理标准概述了评估和应用补丁的过程,并指出,系统软件和关键软件的更改可能需要额外的漏洞测试,以确定是否存在任何风险暴露。与安全相关的补丁或修补程序将根据已建立的变更管理过程(测试、验收和最终签署)进行测试和应用。
Citrix在发布日期的30 - 45天内应用补丁,包括足够的时间来测试补丁,并确保发布没有问题。
如果发生零天或紧急补丁,则修补程序将被处理为紧急更改管理票证。
是的。
思杰会根据所评估的风险进行定期的内部审查和评估,并在符合认证和标准的要求时,酌情与独立方签约进行审查和评估。这些审查包括IT控制评估、漏洞评估和渗透测试。结果由合格的安全人员评审,并根据威胁和漏洞管理流程进行补救。
Citrix使用合格的外部评估员和内部安全测试团队来执行Citrix Cloud Services的威胁建模,漏洞扫描和穿透测试。
每个不同的Citrix云服务目前坚持自己的个人测试和评估计划。我们的第三方测试人员为每项服务准备单独的证明
在发布新版本之前,每个Citrix云服务版本都需要由Citrix的内部测试团队进行安全评估。所有来自外部评估的有效发现都已得到纠正或风险已被接受。
是的。
Citrix Cloud使用监控、自动化和安全测试等流程管理面向外部的攻击面。云平台提供商提供大量的本地安全功能,包括基于主机和外围的防火墙、入侵检测和防御系统、anti-DDoS功能,以及使用Azure security Center等服务的集中可见性。此外,托管在公共云中的产品、服务和组件将日志发送到Citrix的安全信息和事件管理系统(SIEM),该系统提供警报和事件关联功能。
Citrix的防火墙设备配置为通过限制可以从外部连接执行的活动和服务请求的类型来限制对Citrix环境的访问。
防火墙规则遵循既定的标准,可利用最少的特权权限方法,以及其他领先实践。访问网络中的特定实体受到限制,并且异常仅在必要时授权,短(<24小时)。自动化策略任何异常,并根据需要每晚删除它们。
是的。
Citrix需要多因素身份验证才能远程访问网络。此外,远程登录到云控制台需要多个因素。为了直接远程访问生产机,用户需要VPN配置文件、VPN管理用户名和密码以及生产系统用户名和密码。
下一个步骤