NetScaler Console-Dienst

Data Governance

Der NetScaler Console-Dienst ist Teil der Citrix Cloud-Dienste und verwendet Citrix Cloud als Plattform für Registrierung, Onboarding, Authentifizierung, Verwaltung und Lizenzierung. Citrix sammelt und speichert Daten in Citrix Cloud als Teil des NetScaler Console-Dienstes. Dieses Dokument beschreibt, welche Daten gesammelt werden und wie Daten gesammelt, gespeichert und übertragen werden.

Weitere Informationen zu den Datenschutzpraktiken bei Citrix finden Sie unter Überblick über den Datenschutz bei Citrix Cloud Services.

Diese Informationen richten sich an Sicherheitsbeauftragte, Compliance-Beauftragte, Informationsprüfer, Administratoren für Netzwerkinfrastruktur und -betrieb sowie Inhaber von Geschäftsbereichen.

NetScaler Telemetrieprogramm

Das NetScaler Telemetrieprogramm ist im NetScaler Console Service von Build 14.1-28.x aktiviert. Mit diesem Programm werden die benötigten Daten automatisch hochgeladen. Weitere Informationen zu den gesammelten erforderlichen Telemetriedaten finden Sie unter Data Governance for NetScaler Telemetry.

Wie sammeln, speichern und übertragen wir Daten?

Der NetScaler Console-Dienst sammelt Daten von den verwalteten Instanzen und Agents. Diese Instanzen werden beim Kunden bereitgestellt und die Daten werden vom Agenten (der beim Kunden vor Ort eingesetzt wird) sicher über einen mit dem TLS 1.2-Protokoll verschlüsselten SSL-Kanal in die Cloud übertragen.

Die Daten werden in einer relationalen Datenbank mit mehrinstanziger Datenisolierung auf der Datenbankebene und als Dateien im Elastic File System (EFS) gespeichert, das in der AWS-Cloud in den USA, EMEA (Frankfurt) und APJ (Sydney) gehostet wird — je nach dem vom Kunden ausgewählten Point of Presence (POP). Alle POPs werden in kommerziellen AWS-Regionen gehostet.

Kennwörter, SNMP-Community-Strings, SSL-Zertifikate und NetScaler-Konfigurations-Backups werden mit einem eindeutigen AES-256-Schlüssel pro Mandant verschlüsselt und sicher in der Datenbank gespeichert. Weitere Informationen zu den kommerziellen Regionen, die Citrix Cloud verwendet, und zum Vorhandensein des NetScaler Console-Dienstes in jeder Region finden Sie unter Geografische Überlegungen.

Datenkategorien

Für die Datenverarbeitungspraktiken werden die Daten in folgende Kategorien unterteilt:

  • Kundeninhalte — Alle Daten, die zur Speicherung auf das Konto des Kunden hochgeladen werden, oder Daten in der Computerumgebung des Kunden, auf die NetScaler Zugriff erhält, um bestimmte Dienste auszuführen.

  • Protokolle — Beinhaltet Aufzeichnungen über Dienste, einschließlich, aber nicht beschränkt auf:

    • Daten und Informationen zu Leistung, Stabilität, Nutzung, Sicherheit, Support

    • Technische Informationen über Geräte, Systeme

Inhalt der Kunden

Der NetScaler Console Service sammelt Informationen aus verschiedenen Quellen:

  • NetScaler

  • NetScaler Gateway

  • NetScaler Web App Firewall (WAF) und Bot-Management

NetScaler Console Service sammelt zusätzlich zu den in den Protokollen genannten Informationen auch Informationen über die Sitzungs- und Aktivitätsdetails des Administrators.

Protokolle

Protokolle werden verwendet, um die Bereitstellung von Softwareupdates, Lizenzauthentifizierung, Support, Analysen und andere Zwecke gemäß den Citrix Benutzervereinbarungenzu erleichtern.

Zu den gesammelten Metadaten und Telemetrieprotokollen gehören:

  • NetScaler Service Agent, Hypervisor oder Public-Cloud-Plattform oder beides, Agent-Hypervisor und Public-Cloud-Plattform

  • Geografischer Standort des Agenten

  • NetScaler-Version

  • NetScaler-Produkttyp

  • Informationen zur Lizenzierung (Express und Abonnement)

  • Nutzung des Cloud-Dienstes durch den NetScaler Console-Administrator (wodurch die Benutzererfahrung für Administratoren verbessert wird).

Detaillierte Kundeninhalte und Protokolle

  • Event Management (Login > Infrastructure > Events)

    • SNMP-Traps geben Warnmeldungen zum Status und zur Leistung des NetScaler-Netzwerks aus.

    • Syslog von Webtransaktionen, die NetScaler-Netzwerkstatusinformationen durchlaufen.

    • SMS-Server-, Slack- und PagerDuty-Profildetails zum Auslösen von SMS/Slack-Benachrichtigungen über Ereignisse.

    • SMTP-Serverdetails für die E-Mail-Konfiguration.

    • ServiceNow-Profildetails für die Erstellung von Tickets in ServiceNow.

  • SSL-Zertifikatsverwaltung (Anmeldung > Infrastruktur > SSL-Dashboard)

    • SSL-Zertifikate, SSL-Schlüssel, SSL CSR, CA Issuer und Signaturalgorithmen der von der NetScaler-Instanz optimierten Web-Apps.
  • Konfigurationsaudit (Anmeldung > Infrastruktur > Konfiguration > Konfigurationsaudit)

    • Änderungen der Datenverfolgung für NetScaler Configuration Audit, die sich auf die NetScaler-Instanzen beziehen, einschließlich der IP-Adresse des Web-App-Servers und der NetScaler-IP-Adressdetails.
  • Konfigurationsaufträge (Anmeldung > Infrastruktur > Konfiguration > Konfigurationsaufträge)

    • NetScaler-Konfigurationsdetails, Instanz-IP-Adresse und Web-App-Server-IP-Adressdetails.
  • StyleBooks (Anmeldung > Anwendungen > Konfiguration > StyleBooks)

    • Als Vorlage gespeicherte NetScaler-Konfigurationen, die IP-Adressdetails des Web-App-Servers enthalten.
  • Instanzverwaltung (Anmeldung > Infrastruktur > Instanzen)

    • IP-Adresse der NetScaler-Instanzen, NetScaler-Instanztyp, NetScaler-Konfigurations-Backup, kritische NetScaler-Ereignisse und Geolocation des Rechenzentrums, in dem die NetScaler-Instanz bereitgestellt wird (falls konfiguriert).
  • Infrastrukturanalysen (Anmeldung > Infrastruktur > Infrastrukturanalyse)

    • IP-Adresse der NetScaler-Instanzen, NetScaler-Instanztyp, kritische NetScaler-Ereignisse, Anzahl der zugehörigen Apps und Geolocation des Rechenzentrums, in dem die NetScaler-Instanz bereitgestellt wird (falls konfiguriert).
  • Applications (Login > Applications)

    • App-Dashboard: Anwendungs-URL, Anforderungsmethode, Antwortcode, Gesamtzahl der Byte, Web-App-Serverdetails, IP-Adressen des virtuellen Servers, Clientdetails, Browser, Client-Betriebssystem, Client-Gerät, SSL-Protokoll, SSL-Verschlüsselungsstärke, SSL-Schlüsselstärke, IP-Adresse der NetScaler-Instanz, Zeitstempel der Server-Flaps und Inhaltstyp der Antwort.
  • Analytics (AppFlow/ Logstream)

    • Web Insights (Anmeldung > Anwendungen): IP-Adresse des virtuellen Servers, Clients, URLs, Browser, Betriebssysteme, Anforderungsmethoden, Antwortstatus, Domänen, IP-Adresse des Web-App-Servers, SSL-Zertifikate, ausgehandelte SSL-Verschlüsselung, SSL-Schlüsselstärke, SSL-Protokoll und SSL-Fehler-Frontend.

    • HDX Insight (Anmeldung > Gateway): ICA-Benutzerdetails, ICA-Anwendungsdetails, VDA-Serverdetails, Desktopdetails in HDX Insight, Geolokalisierungsdetails des App-Clients, Details zur aktiven HDX-Sitzung, VPN-Lizenzen für HDX, NetScaler-IP-Adresse, Clienttyp und Version.

    • Gateway Insight (Anmeldung > Gateway): Benutzerdetails, Anwendungsdetails, Browser, Betriebssysteme, Sitzungsmodi, Gateway-Lizenzen, AAA-Serverdetails und AAA-Richtlinie, die auf Gateway konfiguriert sind.

    • Sicherheitsverstöße (Anmeldung > Sicherheit): Client-IP, URL, Sicherheitsverletzungen (WAF und Bot), Geolocation des Angriffs, Zeitstempel des Angriffs, Transaktions-ID, WAF und NetScaler-Sicherheitskonfigurationsstatus.

    • API-Analysen (Anmeldung > Sicherheit > API-Gateway): Informationen zu API-Instanzen, API-Endpunkten, Gesamtbandbreite, API-Leistungsinformationen, Gesamtanfrage, Antwortzeit, Fehlern. Möglichkeit, jede API-Instanz genauer zu untersuchen, um einen Überblick über die einzelnen API-Endpunkte und die Leistung zu erhalten. Sicherheit in Bezug auf erfolgreiche Authentifizierung, Fehlschläge, Ratenbegrenzung, SSL-Verschlüsselung, Protokollinformationen und SSL-Fehler.

  • Sicherheitsempfehlung (Anmeldung > Infrastruktur > Instanzempfehlung > Sicherheitsempfehlung)

    • Versionsscan : Für diesen Scan ist NetScaler Console erforderlich, um die Version einerNetScaler-Instanz mit den Versionen und Builds zu vergleichen, für die der Fix verfügbar ist. Dieser Versionsvergleich hilft der Sicherheitsempfehlung von NetScaler Console dabei, festzustellen, ob der NetScaler für das CVE anfällig ist. Die diesem Scan zugrundeliegende Logik lautet: Wenn ein CVE auf NetScaler-Version und Build xx.yy repariert ist, gelten alle NetScaler-Instanzen in Builds, die kleiner als xx.yy sind, als anfällig. Versionsscans werden heute in der Sicherheitsempfehlung unterstützt.

    • Konfigurationsscan : Für diesen Scan muss NetScaler Console ein für den CVE-Scan spezifisches Muster mit der NetScaler-Konfigurationsdateiabgleichen. Wenn das spezifische Konfigurationsmuster in der NetScaler ns.conf-Datei vorhanden ist, wird die Instanz als anfällig für diese CVE angesehen. Dieser Scan wird normalerweise beim Versions-Scan verwendet.

      Der Konfigurationsscan wird heute in der Sicherheitsempfehlung unterstützt.

    • Benutzerdefinierter Scan: Für diesen Scan ist der NetScaler Console-Dienst erforderlich, um eine Verbindung mit der verwalteten NetScaler-Instanz herzustellen, ein Skript darauf zu übertragen und das Skript auszuführen. Anhand der Skriptausgabe kann NetScaler Console ermitteln, ob der NetScaler für das CVE anfällig ist. Beispiele hierfür sind eine spezifische Shell-Befehlsausgabe, eine spezifische CLI-Befehlsausgabe, bestimmte Protokolle und das Vorhandensein oder der Inhalt bestimmter Verzeichnisse oder Dateien. Security Advisory verwendet auch benutzerdefinierte Scans für Übereinstimmungen mit mehreren Konfigurationsmustern, wenn die Konfigurationssuche dabei nicht helfen kann. Bei CVEs, die benutzerdefinierte Scans erfordern, wird das Skript jedes Mal ausgeführt, wenn Ihr geplanter Scan oder ein Anforderungsscan Weitere Informationen zu den gesammelten Daten und Optionen für bestimmte benutzerdefinierte Scans finden Sie in der Sicherheitsempfehlung für dieses CVE.

Sicherheit

Die Ausstellung zur Sicherheit von Citrix Services beschreibt ausführlich die Sicherheitskontrollen, die auf Citrix Cloud Services angewendet werden, einschließlich Zugriff und Authentifizierung, Systementwicklung und Wartung, Verwaltung von Sicherheitsprogrammen, Bestandsmanagement, Verschlüsselung, Betriebsmanagement, Personalsicherheit, physische Sicherheit, Geschäftskontinuität und Vorfallmanagement.

Die Sicherheit der Citrix Cloud-Produkte wird durch Verschlüsselungs- und Schlüsselverwaltungsrichtlinien gesteuert. Weitere Informationen darüber, wie Citrix Sicherheit während des gesamten Produktentwicklungszyklus einsetzt, finden Sie im Whitepaper zu Sicherheitsentwicklungsprozessen .

Datenaufbewahrungsrichtlinie für NetScaler Console Service

Daten wie statistische Kennzahlen, Dashboards, Berichte, Warnungen, Ereignisse und Protokolle in der NetScaler Console sowie Anmeldedaten werden für den Zeitraum aufbewahrt, für den der Kunde den Service abonniert. Das Benutzerkonto wird dann in ein Express-Konto umgewandelt, in dem der Benutzer nur zwei virtuelle Server verwalten kann.

Das Express-Konto hat eine Kapazität von 500 MB oder Analytics-/Reporting-Daten für einen Tag, je nachdem, welches Limit das Konto zuerst erreicht. Wenn ein Express-Konto nicht verwendet wird oder sich der Kunde länger als 30 Tage nicht in das Konto einloggt, werden das Konto und alle zugehörigen Kundeninhalte automatisch gelöscht.

Weitere Informationen zur Aufbewahrung und Löschung von Daten für Citrix Cloud Services-Konten finden Sie in der Übersicht über den Datenschutz von Citrix Cloud Services.

Hinweis

Alle Analytics-Daten in NetScaler Console werden für einen Zeitraum von maximal 30 Tagen aufbewahrt.

Dienste von Drittanbietern

Der NetScaler Console Service wird in Amazon Web Service (AWS) -Rechenzentren in den Regionen USA, EMEA (Frankfurt) und APJ (Sydney) gehostet — je nachdem, welchen Point of Presence (POP) der Kunde gewählt hat.

Derzeit verwendet der NetScaler Console Service Dienste und APIs verschiedener Technologien von Drittanbietern:

  • Dienste, die für die Produktfunktionalität verwendet werden:

    • Google Maps, AWS EFS, AWS RDS, AWS Elastic Cache, AWS ALB, AWS Route 53, AWS EKS, AWS Secret Manager, AWS ECR-Repository und AWS MSK.
  • Zu den Diensten und Tools von Drittanbietern, die für die Überwachung und den Betrieb von NetScaler Console verwendet werden, gehören:

    • PagerDuty für Rotation auf Abruf

    • Protokollanalyse mit Splunk

    • Fluentd für die Protokollaggregation

    • Slack für Kommunikation und Alarmierung

    • AWS Cloudwatch, SQS

    • S3 als Speicherbereich in AWS — zum Speichern von Kerndateien und Metriken

    • Prometheus und Grafana zur Überwachung (im Honeycomb-Einsatz)

Referenzen

Data Governance