Gouvernance des données
Le service NetScaler Console fait partie des services Citrix Cloud et utilise Citrix Cloud comme plateforme pour l’inscription, l’intégration, l’authentification, l’administration et la gestion des licences. Citrix collecte et stocke des données dans Citrix Cloud dans le cadre du service NetScaler Console. Ce document décrit les données collectées et les méthodes de collecte, de stockage et de transmission des données.
Pour plus d’informations sur les pratiques de protection des données de Citrix, consultez la section Présentation de la protection des données de Citrix Cloud Services.
Ces informations sont destinées aux responsables de la sécurité, aux responsables de la conformité, aux auditeurs d’informations, aux administrateurs de l’infrastructure réseau et des opérations, ainsi qu’aux responsables des différents secteurs d’activité.
Programme de télémétrie NetScaler
Le programme de télémétrie NetScaler est activé dans le service NetScaler Console à partir de la version 14.1-28.x. Avec ce programme, les données obligatoires sont automatiquement téléchargées. Pour plus d’informations sur les données de télémétrie obligatoires collectées, consultez l’article Data Governance for NetScalerTelemetry.
Comment collectons-nous, stockons-nous et transmettons-nous les données ?
Le service NetScaler Console collecte les données des instances et des agents gérés. Ces instances sont déployées dans les locaux du client et les données sont transmises depuis l’agent (déployé dans les locaux du client) en toute sécurité via un canal SSL chiffré à l’aide du protocole TLS 1.2 vers le cloud.
Les données sont stockées dans une base de données relationnelle avec isolation des données mutualisées au niveau de la couche de base de données et sous forme de fichiers dans le système de fichiers Elastic (EFS) hébergé dans le cloud AWS aux États-Unis, dans la zone EMEA (Francfort) et à APJ (Sydney), en fonction du point de présence (POP) choisi par le client. Tous les POP sont hébergés dans les régions commerciales AWS.
Les mots de passe, les chaînes communautaires SNMP, les certificats SSL et la sauvegarde de configuration NetScaler sont chiffrés à l’aide d’une clé AES 256 unique par locataire et stockés de manière sécurisée dans la base de données. Pour plus d’informations sur les régions commerciales utilisées par Citrix Cloud et sur la présence du service NetScaler Console dans chaque région, consultez la section Considérations géographiques.
Catégories de données
Pour les pratiques de traitement des données, les données sont classées selon les catégories suivantes :
-
Contenu du client : toutes les données téléchargées sur le compte du client à des fins de stockage ou les données dans l’environnement informatique du client auxquelles NetScaler a accès pour exécuter certains services.
-
Journaux : incluent les enregistrements des services, y compris, mais sans s’y limiter :
-
Données et informations sur les performances, la stabilité, l’utilisation, la sécurité et le support
-
Informations techniques sur les appareils et les systèmes
-
Contenu client
Le service de console NetScaler collecte des informations provenant de différentes sources :
-
NetScaler
-
NetScaler Gateway
-
Firewall NetScaler Web App Firewall (WAF) et gestion des bots
Le service NetScaler Console collecte également des informations sur les sessions et les activités de l’administrateur, en plus des informations mentionnées dans les journaux.
Journaux
Les journaux sont utilisés pour faciliter le provisionnement des mises à jour logicielles, l’authentification des licences, le support, les analyses et à d’autres fins conformément aux accords utilisateur Citrix.
Les journaux de métadonnées et de télémétrie collectés incluent :
-
Agent NetScaler Service, hyperviseur ou plateforme de cloud public, ou à la fois, hyperviseur d’agent et plateforme de cloud public
-
Localisation géographique de l’agent
-
Version de NetScaler
-
Type de produit NetScaler
-
Informations sur les licences (Express et abonnement)
-
Utilisation du service cloud par l’administrateur de la console NetScaler (améliorant ainsi l’expérience utilisateur de l’administrateur).
Contenu et journaux détaillés sur les clients
-
Gestion des événements (Connexion > Infrastructure > Événements)
-
Les pièges SNMP fournissent des alertes sur l’état et les performances du réseau NetScaler.
-
Syslog des transactions Web passant par les informations d’état du réseau NetScaler.
-
Détails du serveur SMS, de Slack et du profil PagerDuty pour déclencher des notifications d’événements par SMS/Slack.
-
Détails du serveur SMTP pour la configuration des e-mails.
-
Détails du profil ServiceNow pour créer des tickets dans ServiceNow.
-
-
Gestion des certificats SSL (Connexion > Infrastructure > Tableau de bord SSL)
- Certificats SSL, clé SSL, CSR SSL, émetteur CA et algorithmes de signature des applications Web optimisés par l’instance NetScaler.
-
Audit de configuration (Connexion > Infrastructure > Configuration > Audit de configuration)
- Suivi des données pour les modifications de l’audit de configuration NetScaler relatives aux instances NetScaler, notamment l’adresse IP du serveur d’applications Web et les détails de l’adresse IP NetScaler.
-
Tâches de configuration (Connexion > Infrastructure > Configuration > Tâches de configuration)
- Détails de configuration de NetScaler, adresse IP de l’instance et détails de l’adresse IP du serveur d’applications Web.
-
StyleBooks (Connexion > Applications > Configuration > StyleBooks)
- Les configurations NetScaler sont stockées sous forme de modèle, qui incluent les détails de l’adresse IP du serveur d’applications Web.
-
Gestion des instances (Connexion > Infrastructure > Instances)
- Adresse IP des instances NetScaler, type d’instance NetScaler, sauvegarde de la configuration NetScaler, événements critiques NetScaler et géolocalisation du centre de données dans lequel l’instance NetScaler est déployée (si configurée).
-
Analyse de l’infrastructure (Connexion > Infrastructure > Analyse de l’infrastructure)
- Adresse IP des instances NetScaler, type d’instance NetScaler, événements critiques NetScaler, nombre d’applications associées et géolocalisation du centre de données dans lequel l’instance NetScaler est déployée (si configurée).
-
Applications (Connexion > Applications)
- Tableau de bord des applications : URL des applications, méthode de demande, code de réponse, nombre total d’octets, détails du serveur d’applications Web, adresses IP du serveur virtuel, détails du client, navigateur, système d’exploitation client, appareil client, protocole SSL, puissance du chiffrement SSL, force de clé SSL, adresse IP de l’instance NetScaler, horodatage des volets du serveur et type de contenu de réponse.
-
Analyses (AppFlow/Logstream)
-
Web Insights (Connexion > Applications) : adresse IP du serveur virtuel, clients, URL, navigateurs, systèmes d’exploitation, méthodes de requêtes, états de réponse, domaines, adresse IP du serveur d’applications Web, certificats SSL, chiffrement SSL négocié, force de clé SSL, protocole SSL et interface de défaillance SSL.
-
HDX Insight (Connexion > Passerelle) : détails de l’utilisateur ICA, détails de l’application ICA, détails du serveur VDA, détails du poste de travail dans HDX Insight, détails de géolocalisation du client de l’application, détails des sessions HDX actives, licences VPN pour HDX, adresse IP NetScaler du client, type de client et version.
-
Gateway Insight (Connexion > Gateway) : détails de l’utilisateur, détails de l’application, navigateurs, systèmes d’exploitation, modes de session, licences Gateway, détails du serveur AAA et stratégie AAA configurée sur Gateway.
-
Violations de sécurité (connexion > Sécurité) : adresse IP du client, URL, violations de sécurité (WAF et bot), géolocalisation de l’attaque, horodatage de l’attaque, ID de transaction, WAF et état de la configuration de sécurité de NetScaler.
-
Analyse des API (Connexion > Sécurité > Passerelle d’API) : informations sur les instances d’API, les points de terminaison d’API, la bande passante totale, les informations sur les performances des API, le total des demandes, le temps de réponse, les erreurs. Possibilité d’approfondir chaque instance d’API pour obtenir une visibilité sur les points de terminaison et les performances de chaque API. Sécurité liée à la réussite et aux échecs d’authentification, à la limitation du débit, au chiffrement SSL, aux informations de protocole et aux erreurs SSL.
-
-
Avis de sécurité (Connexion > Infrastructure > Avis d’instance > Avis de sécurité)
-
Analyse de version :cette analyse nécessite la console NetScaler pour comparer la version d’une instance NetScaler avec les versions et les versions sur lesquelles le correctif est disponible. Cette comparaison de versions permet à l’avis de sécurité de NetScaler Console d’identifier si le NetScaler est vulnérable au CVE. La logique sous-jacente de cette analyse est la suivante : si un CVE est corrigé sur les versions de NetScaler et xx.yy, toutes les instances de NetScaler présentes sur des versions inférieures à xx.yy sont considérées comme vulnérables. L’analyse de version est prise en charge aujourd’hui dans un avis de sécurité
-
Analyse de configuration :cette analyse nécessite que la console NetScaler corresponde à un modèle spécifique à l’analyse CVE avec le fichier de configuration NetScaler. Si le modèle de configuration spécifique est présent dans le fichier NetScaler ns.conf, l’instance est considérée comme vulnérable à ce CVE. Ce scan est généralement utilisé avec le scan de version.
L’analyse de la configuration est prise en charge aujourd’hui dans l’avis de sécurité.
-
Analyse personnalisée :cette analyse nécessite le service NetScaler Console pour se connecter à l’instance NetScaler gérée, lui envoyer un script et exécuter le script. La sortie du script permet à NetScaler Console d’identifier si le NetScaler est vulnérable au CVE. Les exemples incluent une sortie de commande shell spécifique, une sortie de commande CLI spécifique, certains journaux et l’existence ou le contenu de certains répertoires ou fichiers. Security Advisory utilise également des scans personnalisés pour détecter les correspondances entre plusieurs modèles de configuration, si le scan de configuration ne peut pas résoudre le problème. Pour les CVE qui nécessitent des analyses personnalisées, le script s’exécute à chaque fois que votre analyse planifiée ou à la demande est exécutée. Pour en savoir plus sur les données collectées et les options disponibles pour réaliser des analyses personnalisées spécifiques, consultez le document Avis de sécurité relatif à ces vulnérabilités et expositions courantes (CVE).
-
Sécurité
L’ exposition sur la sécurité des services Citrix décrit en détail les contrôles de sécurité appliqués à Citrix Cloud Services, notamment l’accès et l’authentification, le développement et la maintenance du système, la gestion des programmes de sécurité, la gestion des actifs, le chiffrement, la gestion des opérations, la sécurité des ressources humaines, la sécurité physique, la continuité des activités et la gestion des incidents.
La sécurité des produits Citrix Cloud est contrôlée par des stratégies de chiffrement et de gestion des clés. Consultez le livre blanc sur les processus de développement de la sécurité pour en savoir plus sur la manière dont Citrix utilise la sécurité tout au long du cycle de développement de ses produits.
Stratégie de conservation des données pour NetScaler Console Service
Les données telles que les mesures statistiques, les tableaux de bord, les rapports, les alertes, les événements et les journaux dans la console NetScaler, ainsi que les informations de connexion sont conservées pendant la période pendant laquelle le client s’abonne au service. Le compte utilisateur est ensuite converti en compte Express dans lequel l’utilisateur ne peut gérer que deux serveurs virtuels.
Le compte Express a une capacité de 500 Mo ou d’une journée de données d’analyse/de reporting, selon la première limite atteinte par le compte. Si aucun compte Express n’est utilisé ou si le client ne s’y connecte pas pendant plus de 30 jours, le compte et tout le contenu client associé sont automatiquement supprimés.
Pour plus d’informations sur la conservation et la suppression des données des comptes Citrix Cloud Services, consultez la Présentation de la protection des données de Citrix Cloud Services.
Remarque
Toutes les données Analytics de NetScaler Console sont conservées pendant une période maximale de 30 jours.
Services tiers
Le service de console NetScaler est hébergé dans les centres de données Amazon Web Service (AWS) aux États-Unis, dans les régions EMEA (Francfort) et APJ (Sydney), en fonction du point de présence (POP) choisi par le client.
Actuellement, le service de console NetScaler utilise des services et des API provenant de diverses technologies tierces :
-
Services utilisés pour la fonctionnalité du produit :
- Google Maps, AWS EFS, AWS RDS, AWS Elastic Cache, AWS ALB, AWS Route 53, AWS EKS, AWS Secret Manager, le référentiel AWS ECR et AWS MSK.
-
Les services et outils tiers utilisés pour surveiller et exploiter NetScaler Console incluent :
-
PagerDuty pour la rotation sur appel
-
Analyse des journaux avec Splunk
-
Fluentd pour l’agrégation de journaux
-
Slack pour la communication et les alertes
-
AWS Cloudwatch, SQS
-
S3 en tant que zone de stockage dans AWS : pour stocker des fichiers et des métriques de base
-
Prometheus et Grafana pour la surveillance (dans le cadre du déploiement de Honeycomb)
-
Références
-
Pour plus d’informations sur la manière dont nous accédons aux données collectées, consultez l’ exposition sur la sécurité des services Citrix.
-
Pour plus d’informations sur la durée de conservation des données collectées, consultez la section Présentation de la protection des données de Citrix Cloud Services.
-
Citrix Cloud Mesures techniques et organisationnelles de sécurité des données.