技术安全概述
托管在思杰云上的分析服务收集思杰产品组合和第三方产品的数据。这些产品称为数据源。思杰分析同时支持云数据源和本地数据源。本文档中的信息适用于思杰分析及其数据源。
数据流
Citrix Analytics自动发现订阅给客户的Citrix Cloud数据源。但是本地数据源需要额外的配置才能与Citrix Analytics集成。例如,在Citrix Analytics发现站点之前,您必须将本地的Citrix虚拟应用程序和桌面站点添加到Citrix工作区。类似地,本地Citrix Gateway要求您配置一个Citrix ADM代理。有关在数据源上启用Citrix Analytics的更多信息,请参见在Citrix数据源上启用分析.
您可以将一些第三方产品(如Microsoft Graph Security和Microsoft Active Directory)与Citrix Analytics集成。有关更多信息,请参阅以下主题:
Citrix Analytics还可以向客户拥有的Splunk环境发送风险情报信息。这种集成需要部署和配置思杰分析Spunk附加组件Splunk环境。有关更多信息,请参见Splunk的集成.
未经客户同意,思杰分析不处理从数据源接收到的任何事件。要处理来自数据源的事件,Analytics管理员必须启用数据处理。有关Analytics的数据收集、存储和保留的更多信息,请参见数据治理.
网络需求
思杰云服务需求:使用Citrix Cloud服务,必须能够通过HTTPS端口443连接到所需的Citrix地址。有关更多信息,请参见互联网连接要求.
Citrix Analytics的需求:回顾系统需求在使用Citrix Analytics之前。除了Citrix Cloud要求外,以下端点地址必须可以通过HTTPS端口443访问才能使用Citrix Analytics服务。
端点 美国地区 欧洲联盟区域 亚太南区 管理界面 https://analytics.cloud.comhttps://analytics-eu.cloud.comhttps://analytics-aps.cloud.comAdmin UI(演示站点) https://analytics-demo.cloud.com不可用 不可用 API微服务 https://api.analytics.cloud.comhttps://api.analytics-eu.cloud.comhttps://api.analytics-aps.cloud.com获取公共IP https://locus.analytics.cloud.com/https://locus.analytics.cloud.com/https://locus.analytics.cloud.com/事件中心(不适用于Citrix ADM代理) https://citrixanalyticseh-alias.servicebus.windows.net/https://citrixanalyticseheu-alias.servicebus.windows.net/https://citrixanalyticsehaps-alias.servicebus.windows.net/事件中心(针对Citrix ADM代理) https://cas-eh-ns-alias.servicebus.windows.net/https://cas-eh-ns-eu-alias.servicebus.windows.net/https://cas-eh-ns-aps-alias.servicebus.windows.nethttps://cas-eh-ns2-alias.servicebus.windows.nethttps://cas-eh-ns2-eu-alias.servicebus.windows.nethttps://cas-eh-ns2-aps-alias.servicebus.windows.net批量上传 https://casstoragebulk.blob.core.windows.nethttps://casstorebulkeu.blob.core.windows.nethttps://casstorebulkap.blob.core.windows.net请注意
Citrix Analytics已停止对上述大多数终端的TLS 1.0和TLS 1.1支持。
Citrix Cloud连接器安装:某些数据源(如Citrix端点管理、Citrix虚拟应用程序和桌面以及Microsoft Active Directory)要求您在资源位置上安装Citrix云连接器。Citrix Cloud连接器是Citrix Cloud和您的资源位置之间的通信通道。安装Citrix Cloud Connector后,需要配置web代理。有关更多信息,请参见云连接器代理和防火墙配置.
Citrix Analytics用于SIEM集成的端点:将思杰分析与您的安全信息和事件管理(SIEM),确保以下端点在网络的允许列表中:
端点 美国地区 欧洲联盟区域 亚太南区 卡夫卡的经纪人 casnb - 0. citrix.com: 9094casnb -欧盟- 0. - citrix.com: 9094casnb - aps - 0. citrix.com: 9094casnb - 1. citrix.com: 9094casnb -欧盟- 1. - citrix.com: 9094casnb - aps - 1. citrix.com: 9094casnb - 2. citrix.com: 9094casnb -欧盟- 2. - citrix.com: 9094casnb - aps - 2. citrix.com: 9094
身份和访问管理
若要访问Citrix Analytics,必须使用Citrix Cloud帐户。默认情况下,Citrix Cloud使用Citrix Identity提供程序来管理您的Citrix Cloud帐户中所有用户的身份信息。中提到的其他标识提供程序也可以使用身份和访问管理.
Citrix Analytics支持授权管理员权限。您可以为用户分配只读管理权限,以管理企业中的Analytics。有关更多信息,请参见管理管理员角色.
数据居住
Citrix Cloud管理Citrix Analytics的控制平面。从数据源接收的数据存储在多个Microsoft Azure环境中。这些环境分布在美国、欧盟和亚太南部地区。存储位置取决于Citrix Cloud管理员在将其组织部署到Citrix Cloud时选择的主区域。有关更多信息,请参阅以下主题:
数据保护
Citrix Analytics从订阅的Citrix Cloud数据源、内部部署数据源和第三方产品接收数据。只有当客户拥有Citrix Cloud授权并且Analytics管理员明确地为每个订阅的数据源启用了数据处理时,才会处理接收到的数据。
思杰分析通过以下安全措施保护客户的数据:
用于Analytics用户的Citrix Cloud身份验证。有关信息,请参见身份和访问管理.
数据服务和数据访问层执行的基于租户的数据访问控制。
在数据湖和数据仓库中的所有数据存储中为每个客户或租户提供强大的数据隔离。
tls加密的各种微服务和数据存储之间的数据传输,适用于平台上的公共端点(apt /输入/输出)和平台内部。
TLS端点的高标准。禁用TLS 1.0和TLS 1.1。
使用加密密钥和秘密存储在适当的密钥库中的加密数据存储。
为服务操作和支持提供强大的用户管理访问控制,同时保护客户日志。
漏洞扫描,入侵检测,反恶意软件,rootkit扫描与Azure安全中心一起使用。
与所有思杰云服务一样,数据收集严格遵守最终用户服务协议(EUSA)。欲了解更多信息,请参阅以下协议:
安全责任
Citrix的责任
思杰负责保护所有驻留在思杰管理的云环境中的基础设施和数据,这些云环境由思杰分析托管。思杰负责在云环境上定期应用软件更新和补丁,以解决安全漏洞。
客户的责任
思杰客户负责保护其与思杰分析集成的数据源、策略实施点以及安全信息和事件管理(SIEM)系统,其中包括:
客户拥有和管理的本地数据源:
本地数据源: Citrix网关,Citrix虚拟应用程序和桌面,微软活动目录
SIEM: Splunk和任何其他使用Kafka代理从思杰分析读取事件的第三方产品。
客户提供的管理思杰云服务(包括思杰分析)的管理员凭据。
接收来自思杰云服务的电子邮件或通知的客户拥有的管理员帐户。
客户提供的用于部署和集成代理(如Citrix ADM代理、Analytics策略代理)的管理员凭据。必须限制对这些代理的访问,因为它们将密钥存储在本地,以便与Citrix Analytics通信。
Citrix analytics生成用于配置的凭据Citrix Analytics插件Splunk.
运行在Windows、Mac、Android、iOS上的终端用户设备连接到思杰云或思杰工作区,并与数据源集成。
有关安全规定的更多信息,请参阅以下文件: