NetScaler 控制台服务

数据治理

NetScaler 控制台服务是 Citrix Cloud 服务的一部分,它使用 Citrix Cloud 作为注册、入门、身份验证、管理和许可平台。作为 NetScaler 控制台服务的一部分,Citrix 收集数据并将其存储在 Citrix Cloud 中。本文档描述了收集的数据以及数据收集、存储和传输的方法。

有关 Citrix 数据保护实践的更多信息,请参阅 Citrix Cloud 服务数据保护概述

此信息适用于安全官员、合规官员、信息审核员、网络基础架构和运营管理员以及业务线所有者。

NetScaler 遥测计划

14.1-28.x 版本开始在 NetScaler 控制台服务中启用 NetScaler 遥测计划。使用此程序,所需的数据会自动上载。有关收集到的所需遥测数据的更多信息,请参阅 NetScaler 遥测的数据治理

我们如何收集、存储和传输数据

NetScaler 控制台服务从托管实例和代理收集数据。这些实例部署在客户场所,数据通过使用 TLS 1.2 协议加密的 SSL 通道安全地从代理(部署在客户场所)传输到云端。

数据存储在关系数据库中,在数据库层进行多租户数据隔离,并作为文件存储在托管在美国 AWS 云、EMEA(法兰克福)和 APJ(悉尼)中的 Elastic File System (EFS) 中,具体取决于客户选择的接入点 (POP)。所有 PoP 都托管在 AWS 商业区域。

密码、SNMP 社区字符串、SSL 证书和 NetScaler 配置备份使用每个租户的唯一的 AES 256 密钥进行加密,并安全地存储在数据库中。 有关 Citrix Cloud 使用的商业区域以及 NetScaler 控制台服务在每个区域的存在情况的更多信息,请参阅地理注意项。

数据类别

对于数据处理实践,数据分为:

  • 客户内容 - 上载到客户帐户的任何数据或客户计算环境中的数据,NetScaler 有权访问这些数据来执行某些服务。

  • 日志 -包括服务记录,包括但不限于:

    • 有关性能、稳定性、使用情况、安全性、支持的数据和信息

    • 有关设备、系统的技术信息

客户内容

NetScaler 控制台服务从各种来源收集信息:

  • NetScaler

  • NetScaler Gateway

  • NetScaler Web App Firewall (WAF) 和机器人管理

除了日志中提及的信息外,NetScaler 控制台服务还收集有关管理员会话和活动细节的信息。

日志

日志用于便于提供软件更新、许可证身份验证、支持、分析和其他与 Citrix 用户协议一致的目的。

收集的元数据和遥测日志包括:

  • NetScaler 服务代理虚拟机管理程序或公共云平台或同时使用代理虚拟机管理程序和公有云平台

  • 代理地理位置

  • NetScaler 版本

  • NetScaler 产品类型

  • 许可信息(快捷版和订阅版)

  • NetScaler 控制台管理员使用云服务(从而改善管理用户体验)。

详细的客户内容和日志

  • 事件管理(登录 > 基础架构 > 事件)

    • SNMP 陷阱提供有关 NetScaler 网络状态和性能的警报。

    • 遍历 NetScaler 网络状态信息的 Web 事务的系统日志。

    • 用于触发 SMS/Slack 事件通知的 SMS 服务器、Slack 和 PagerDuty 个人资料的详细信息。

    • 用于电子邮件配置的 SMTP 服务器详细信息。

    • 在 ServiceNow 中创建票证的 ServiceNow 配置文件详细信息。

  • SSL 证书管理(登录 > 基础架构 > SSL 控制面板)

    • 由 NetScaler 实例优化的 Web 应用程序的 SSL 证书、SSL 密钥、SSL CSR、CA 颁发者和签名算法。
  • 配置审核(登录 > 基础架构 > 配置 > 配置审核)

    • NetScaler 的数据跟踪配置审核与 NetScaler 实例相关的变更,包括 Web 应用程序服务器 IP 地址和 NetScaler IP 地址的详细信息。
  • 配置作业(登录 > 基础架构 > 配置 > 配置作业)

    • NetScaler 配置详细信息、实例 IP 地址和 Web 应用程序服务器 IP 地址详细信息。
  • 样书(登录 > 应用程序 > 配置 > 样书)

    • NetScaler 配置存储为模板,其中包括 Web 应用程序服务器 IP 地址的详细信息。
  • 实例管理(登录 > 基础架构 > 实例)

    • NetScaler 实例的 IP 地址、NetScaler 实例类型、NetScaler 配置备份、NetScaler 关键事件以及部署 NetScaler 实例的数据中心的地理位置(如果已配置)。
  • 基础架构分析(登录 > 基础架构 > 基础架构分析)

    • NetScaler 实例的 IP 地址、NetScaler 实例类型、NetScaler 关键事件、关联的应用程序数量以及部署 NetScaler 实例的数据中心的地理位置(如果已配置)。
  • 应用程序(登录 > 应用程序)

    • 应用程序控制面板:应用程序 URL、请求方法、响应代码、总字节数、Web 应用程序服务器详细信息、虚拟服务器 IP 地址、客户端详细信息、浏览器、客户端操作系统、客户端设备、SSL 协议、SSL 密码强度、SSL 密钥强度、NetScaler 实例 IP 地址、服务器跳动的时间戳和响应内容类型。
  • 分析(AppFlow/Logstream)

    • Web Insight(登录 > 应用程序):虚拟服务器 IP 地址、客户端、URL、浏览器、操作系统、请求方法、响应状态、域、Web 应用程序服务器 IP 地址、SSL 证书、协商的 SSL 密码、SSL 密钥强度、SSL 协议和 SSL 故障前端。

    • HDX Insight(登录 > 网关):ICA 用户详细信息、ICA 应用程序详细信息、VDA 服务器详细信息、HDX Insight 中的桌面详细信息、应用程序客户端的地理位置详细信息、HDX 活动会话详细信息、HDX 的 VPN 许可证、客户端 NetScaler IP 地址、客户端类型和版本。

    • Gateway Insight(登录 > 网关):用户详细信息、应用程序详细信息、浏览器、操作系统、会话模式、网关许可证、AAA 服务器详细信息以及 Gateway 上配置的 AAA 策略。

    • 安全违规(登录 > 安全):客户端 IP、URL、安全违规(WAF 和机器人)、攻击地理位置、攻击时间戳、交易 ID、WAF 和 NetScaler 安全配置状态。

    • API 分析(登录 > 安全 > API 网关):有关 API 实例、API 终端节点、总带宽、API 性能信息、总请求、响应时间、错误的信息。能够进一步深入研究每个 API 实例,以了解单个 API 端点和性能。与身份验证成功、失败相关的安全;速率限制、SSL 密码、协议信息和 SSL 错误。

  • 安全公告(登录 > 基础架构 > 实例公告 > 安全公告)

    • 版本扫描:此扫描需要 NetScaler 控制台将 NetScaler 实例的版本与可用修复程序的版本和内部版本进行比较。此版本比较有助于 NetScaler 控制台安全公告确定 NetScaler 是否容易受到 CVE 的攻击。本次扫描的基本逻辑是,如果在 NetScaler 发行版上修复了 CVE 并编译了 xx.yy,则所有版本小于 xx.yy 版本的 NetScaler 实例都被视为易受攻击。安全公告目前支持版本扫描。

    • 配置扫描:此扫描需要 NetScaler 控制台将特定于 CVE 扫描的模式与 NetScaler 配置文件进行匹配。如果 NetScaler ns.conf 文件中存在特定的配置模式,则认为该实例容易受到该 CVE 的影响。此扫描通常与版本扫描一起使用。

      今天,安全公告支持配置扫描。

    • 定制扫描:此扫描需要 NetScaler 控制台服务来连接托管的 NetScaler 实例,向其推送脚本并运行脚本。脚本输出有助于 NetScaler 控制台识别 NetScaler 是否容易受到 CVE 的攻击。示例包括特定的 shell 命令输出、特定的 CLI 命令输出、某些日志以及某些目录或文件的存在或内容。如果配置扫描无法解决相同问题,安全公告还会使用自定义扫描来匹配多个配置模式。对于需要自定义扫描的 CVE,脚本会在每次运行预设或按需扫描时运行。有关收集的数据和特定自定义扫描选项的更多信息,请参阅该 CVE 的安全公告文档。

安全性

Citrix Services Security Exhibit 深入描述了应用于 Citrix Cloud Services 的安全控制,包括访问和身份验证、系统开发和维护、安全计划管理、资产管理、加密、运营管理、人力资源安全、物理安全、业务连续性和事件管理。

Citrix Cloud 产品的安全性由加密和密钥管理策略控制。有关 Citrix 如何在整个产品开发生命周期中采用安全的更多详细信息,请参阅安全开发流程白皮书。

NetScaler 控制台服务的数据保留政策

NetScaler 控制台中的统计指标、控制板、报告、警报、事件和日志等数据以及登录详情将在客户订阅该服务期间保留。然后,用户帐户转换为一个 Express 帐户,在该帐户中,用户只能管理两个虚拟服务器。

Express 帐户的容量为 500 MB 或 1 天的分析/报告数据,以帐户先达到的限制为准。如果未使用 Express 帐户,或者客户超过 30 天未登录该帐户,则该帐户和所有相关的客户内容将被自动删除。

有关 Citrix Cloud 服务帐户的数据保留和删除的更多信息,请参阅 Citrix Cloud 服务数据保护概述

注意

NetScaler 控制台中的所有分析数据最多保留 30 天。

第三方服务

NetScaler 控制台服务托管在美国、欧洲、中东和非洲(法兰克福)和亚太及日本(悉尼)地区的 Amazon Web Service (AWS) 数据中心内,具体取决于客户选择的接入点(POP)。

当前,NetScaler 控制台服务使用来自各种第三方技术的服务和API:

  • 用于产品功能的服务:

    • Google Maps、AWS EFS、AWS RDS、AWS Elastic Cache、AWS ALB、AWS Route 53、AWS EKS、AWS Secret Manager、AWS ECR 存储库和 AWS MSK。
  • 用于监视和操作 NetScaler 控制台的第三方服务和工具包括:

    • PagerDuty 用于待命轮换

    • 使用 Splunk 进行日志分析

    • 精通日志聚合

    • Slack 用于通信和警报

    • AWS Cloudwatch、SQS

    • S3 作为 AWS 中的存储区域 — 用于存储核心文件和指标

    • 用于监视的 Prometheus 和 Grafana(在 Honeycomb 部署中)

引用

数据治理