Citrix ADC VPX auf AWS – Bereitstellungshandbuch

Übersicht

Citrix ADC ist eine Anwendungsliefer- und Lastverteilungslösung, die eine hochwertige Benutzererfahrung für Web-, traditionelle und Cloud-native Anwendungen bietet, unabhängig davon, wo sie gehostet werden. Es ist in einer Vielzahl von Formfaktoren und Bereitstellungsoptionen erhältlich, ohne Benutzer an eine einzige Konfiguration oder Cloud zu binden. Die Lizenzierung mit gepoolter Kapazität ermöglicht die Verschiebung von Kapazitäten zwischen Cloud-Bereitstellungen.

Als unangefochtener Marktführer für Service- und Anwendungsbereitstellung wird Citrix ADC in Tausenden von Netzwerken weltweit eingesetzt, um die Bereitstellung aller Unternehmens- und Cloud-Dienste zu optimieren, zu sichern und zu steuern. Direkt vor Web- und Datenbankservern eingesetzt, kombiniert Citrix ADC Hochgeschwindigkeits-Lastverteilung und Content-Switching, HTTP-Komprimierung, Content-Caching, SSL-Beschleunigung, Sichtbarkeit des Anwendungsflusses und eine leistungsstarke Anwendungs-Firewall in einer integrierten, benutzerfreundlichen Plattform. Die Einhaltung von SLAs wird durch End-to-End-Monitoring, das Netzwerkdaten in umsetzbare Business Intelligence umwandelt, erheblich vereinfacht. Citrix ADC ermöglicht die Definition und Verwaltung von Richtlinien mithilfe einer einfachen deklarativen Richtlinien-Engine, für die keine Programmierkenntnisse erforderlich sind.

Citrix ADC VPX

Das Citrix ADC VPX-Produkt ist eine virtuelle Appliance, die auf einer Vielzahl von Virtualisierungs- und Cloud-Plattformen gehostet werden kann.

Dieses Bereitstellungshandbuch konzentriert sich auf Citrix ADC VPX auf Amazon Web Services.

Amazon Web Services

Amazon Web Services (AWS) ist eine umfassende, sich entwickelnde Cloud-Computing-Plattform von Amazon, die eine Mischung aus Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS)-Angeboten umfasst. AWS-Dienste bieten Tools wie Rechenleistung, Datenbankspeicher und Dienste zur Inhaltsbereitstellung.

AWS bietet die folgenden wesentlichen Dienste an:

• AWS Compute Services

• Migrationsdienste

• Speicher

• Datenbankdienste

• Verwaltungstools

• Sicherheitsdienste

• Analysen

• Netzwerk

• Messaging

• Entwicklertools

• Mobile Dienste

AWS-Terminologie

Hier ist eine kurze Beschreibung der wichtigsten Begriffe, die in diesem Dokument verwendet werden und mit denen Benutzer vertraut sein müssen:

• Elastic Network Interface (ENI) – Eine virtuelle Netzwerkschnittstelle, die Benutzer an eine Instanz in einer Virtual Private Cloud (VPC) anhängen können.

• Elastic IP (EIP)-Adresse – Eine statische, öffentliche IPv4-Adresse, die Benutzer in Amazon EC2 oder Amazon VPC zugewiesen und dann an eine Instanz angehängt haben. Elastic IP-Adressen sind Benutzerkonten zugeordnet, nicht einer bestimmten Instanz. Sie sind elastisch, da Benutzer sie je nach Bedarf einfach zuweisen, anhängen, trennen und freigeben können.

• Subnetz – Ein Segment des IP-Adressbereichs einer VPC, an das EC2-Instanzen angehängt werden können. Benutzer können Subnetze erstellen, um Instanzen nach Sicherheits- und Betriebsanforderungen zu gruppieren.

• Virtual Private Cloud (VPC) – Ein Webdienst zur Bereitstellung eines logisch isolierten Bereichs der AWS Cloud, in dem Benutzer AWS-Ressourcen in einem von ihnen definierten virtuellen Netzwerk starten können.

Hier ist eine kurze Beschreibung weiterer Begriffe, die in diesem Dokument verwendet werden und mit denen Benutzer vertraut sein sollten:

• Amazon Machine Image (AMI) – Ein Maschinen-Image, das die zum Starten einer Instanz erforderlichen Informationen bereitstellt, wobei eine Instanz ein virtueller Server in der Cloud ist.

• Elastic Block Store – Bietet persistente Block-Speichervolumes zur Verwendung mit Amazon EC2-Instanzen in der AWS Cloud.

• Simple Storage Service (S3) – Speicher für das Internet. Es wurde entwickelt, um Web-Scale-Computing für Entwickler zu vereinfachen.

• Elastic Compute Cloud (EC2) – Ein Webdienst, der sichere, skalierbare Rechenkapazität in der Cloud bereitstellt. Er wurde entwickelt, um Web-Scale-Cloud-Computing für Entwickler zu vereinfachen.

• Elastic Kubernetes Service (EKS) – Amazon EKS ist ein verwalteter Dienst, der es Benutzern erleichtert, Kubernetes auf AWS auszuführen, ohne eine eigene Kubernetes-Steuerungsebene einrichten oder warten zu müssen. … Amazon EKS führt Kubernetes-Steuerungsebeneninstanzen über mehrere Availability Zones hinweg aus, um eine hohe Verfügbarkeit zu gewährleisten. Amazon EKS ist ein verwalteter Dienst, der es Benutzern erleichtert, Kubernetes auf AWS auszuführen, ohne eigene Kubernetes-Cluster installieren und betreiben zu müssen.

• Application Load Balancing (ALB) – Amazon ALB arbeitet auf Schicht 7 des OSI-Stacks und wird daher eingesetzt, wenn Benutzer den Datenverkehr basierend auf Elementen der HTTP- oder HTTPS-Verbindung, sei es host- oder pfadbasiert, routen oder auswählen möchten. Die ALB-Verbindung ist kontextsensitiv und kann direkte Anfragen basierend auf einer einzelnen Variablen haben. Anwendungen werden basierend auf ihrem spezifischen Verhalten und nicht ausschließlich auf Serverinformationen (Betriebssystem oder Virtualisierungsebene) lastverteilt.

• Elastic Load Balancing (ALB/ELB/NLB) – Amazon ELB verteilt eingehenden Anwendungsdatenverkehr auf mehrere EC2-Instanzen in mehreren Availability Zones. Dies erhöht die Fehlertoleranz von Benutzeranwendungen.

• Network Load Balancing (NLB) – Amazon NLB arbeitet auf Schicht 4 des OSI-Stacks und darunter und ist nicht darauf ausgelegt, Aspekte der Anwendungsschicht wie Inhaltstyp, Cookie-Daten, benutzerdefinierte Header, Benutzerstandort oder Anwendungsverhalten zu berücksichtigen. Es ist kontextlos und kümmert sich nur um die Netzwerkschichtinformationen, die in den von ihm geleiteten Paketen enthalten sind. Es verteilt den Datenverkehr basierend auf Netzwerkvariablen wie IP-Adresse und Zielports.

• Instanztyp – Amazon EC2 bietet eine große Auswahl an Instanztypen, die für verschiedene Anwendungsfälle optimiert sind. Instanztypen umfassen unterschiedliche Kombinationen aus CPU, Arbeitsspeicher, Speicher und Netzwerkkapazität und geben Benutzern die Flexibilität, die passende Mischung von Ressourcen für ihre Anwendungen zu wählen.

• Identity and Access Management (IAM) – Eine AWS-Identität mit Berechtigungsrichtlinien, die festlegen, was die Identität in AWS tun und nicht tun kann. Benutzer können eine IAM-Rolle verwenden, um Anwendungen, die auf einer EC2-Instanz ausgeführt werden, den sicheren Zugriff auf ihre AWS-Ressourcen zu ermöglichen. Eine IAM-Rolle ist für die Bereitstellung von VPX-Instanzen in einem Hochverfügbarkeits-Setup erforderlich.

• Internet Gateway – Verbindet ein Netzwerk mit dem Internet. Benutzer können den Datenverkehr für IP-Adressen außerhalb ihrer VPC an das Internet-Gateway leiten.

• Schlüsselpaar – Ein Satz von Sicherheitsanmeldeinformationen, mit denen Benutzer ihre Identität elektronisch nachweisen. Ein Schlüsselpaar besteht aus einem privaten Schlüssel und einem öffentlichen Schlüssel.

• Routing-Tabelle – Ein Satz von Routing-Regeln, der den Datenverkehr steuert, der ein Subnetz verlässt, das mit der Routing-Tabelle verknüpft ist. Benutzer können mehrere Subnetze mit einer einzigen Routing-Tabelle verknüpfen, aber ein Subnetz kann jeweils nur mit einer Routing-Tabelle verknüpft werden.

• Auto Scale Groups – Ein Webdienst zum automatischen Starten oder Beenden von Amazon EC2-Instanzen basierend auf benutzerdefinierten Richtlinien, Zeitplänen und Integritätsprüfungen.

• CloudFormation – Ein Dienst zum Schreiben oder Ändern von Vorlagen, der zusammengehörige AWS-Ressourcen als Einheit erstellt und löscht.

• Web Application Firewall (WAF) – WAF ist definiert als eine Sicherheitslösung, die die Webanwendungsschicht im OSI-Netzwerkmodell schützt. Eine WAF ist nicht von der Anwendung abhängig, die sie schützt. Dieses Dokument konzentriert sich auf die Darstellung und Bewertung der Sicherheitsmethoden und -funktionen, die speziell von Citrix WAF bereitgestellt werden.

• Bot – Ein Bot ist definiert als ein autonomes Gerät, Programm oder Softwarestück in einem Netzwerk (insbesondere dem Internet), das mit Computersystemen oder Benutzern interagieren kann, um Befehle auszuführen, auf Nachrichten zu antworten oder Routineaufgaben zu erledigen. Ein Bot ist ein Softwareprogramm im Internet, das repetitive Aufgaben ausführt. Einige Bots können gut sein, während andere einen enormen negativen Einfluss auf eine Website oder Anwendung haben können.

Beispielarchitektur für Citrix WAF unter AWS

Die vorhergehende Abbildung zeigt eine Virtual Private Cloud (VPC) mit Standardparametern, die eine Citrix WAF-Umgebung in der AWS Cloud aufbaut.

In einer Produktionsbereitstellung werden die folgenden Parameter für die Citrix WAF-Umgebung eingerichtet:

• Diese Architektur setzt die Verwendung eines AWS CloudFormation Templates und eines AWS Quick Start Guides voraus, die hier zu finden sind: GitHub/AWS-Quickstart/Quickstart-Citrix-ADC-VPX.

• Eine VPC, die sich über zwei Availability Zones erstreckt und gemäß den AWS Best Practices mit zwei öffentlichen und vier privaten Subnetzen konfiguriert ist, um Ihnen Ihr eigenes virtuelles Netzwerk auf AWS mit einem /16 Classless Inter-Domain Routing (CIDR)-Block (ein Netzwerk mit 65.536 privaten IP-Adressen) bereitzustellen. *

• Zwei Instanzen von Citrix WAF (Primär und Sekundär), jeweils eine in jeder Availability Zone.

• Drei Sicherheitsgruppen, eine für jede Netzwerkschnittstelle (Management, Client, Server), die als virtuelle Firewalls fungieren, um den Datenverkehr für ihre zugehörigen Instanzen zu steuern.

• Drei Subnetze, für jede Instanz – eines für das Management, eines für den Client und eines für den Back-End-Server.

• Ein Internet-Gateway, das an die VPC angehängt ist, und eine Routing-Tabelle für öffentliche Subnetze, die mit öffentlichen Subnetzen verknüpft ist, um den Zugriff auf das Internet zu ermöglichen. Dieses Gateway wird vom WAF-Host verwendet, um Datenverkehr zu senden und zu empfangen. Weitere Informationen zu Internet-Gateways finden Sie unter: Internet Gateways. *

• 5 Routing-Tabellen – eine öffentliche Routing-Tabelle, die den Client-Subnetzen sowohl der primären als auch der sekundären WAF zugeordnet ist. Die restlichen 4 Routing-Tabellen sind mit jedem der 4 privaten Subnetze (Management- und serverseitige Subnetze der primären und sekundären WAF) verknüpft. *

• AWS Lambda in WAF übernimmt Folgendes:

  • Konfiguration von zwei WAFs in jeder Availability Zone des HA-Modus

  • Erstellung eines Beispiel-WAF-Profils und somit Übertragung dieser Konfiguration bezüglich WAF

• AWS Identity and Access Management (IAM) zur sicheren Steuerung des Zugriffs auf AWS-Dienste und -Ressourcen für Ihre Benutzer. Standardmäßig erstellt das CloudFormation Template (CFT) die erforderliche IAM-Rolle. Benutzer können jedoch ihre eigene IAM-Rolle für Citrix ADC-Instanzen bereitstellen.

• In den öffentlichen Subnetzen zwei verwaltete Network Address Translation (NAT)-Gateways, um ausgehenden Internetzugriff für Ressourcen in öffentlichen Subnetzen zu ermöglichen.

Hinweis:

Die CFT WAF-Vorlage, die die Citrix WAF in einer bestehenden VPC bereitstellt, überspringt die mit Sternchen gekennzeichneten Komponenten und fordert Benutzer zur Eingabe ihrer bestehenden VPC-Konfiguration auf.

Backend-Server werden nicht vom CFT bereitgestellt.

Logischer Ablauf von Citrix WAF auf AWS

Logischer Ablauf

Die Web Application Firewall kann entweder als Layer-3-Netzwerkgerät oder als Layer-2-Netzwerkbrücke zwischen Kundenservern und Kundenbenutzern installiert werden, normalerweise hinter dem Router oder der Firewall des Kundenunternehmens. Sie muss an einem Ort installiert werden, an dem sie den Datenverkehr zwischen den Webservern, die Benutzer schützen möchten, und dem Hub oder Switch, über den Benutzer auf diese Webserver zugreifen, abfangen kann. Benutzer konfigurieren dann das Netzwerk so, dass Anfragen an die Web Application Firewall statt direkt an ihre Webserver und Antworten an die Web Application Firewall statt direkt an ihre Benutzer gesendet werden. Die Web Application Firewall filtert diesen Datenverkehr, bevor sie ihn an sein endgültiges Ziel weiterleitet, wobei sie sowohl ihr internes Regelsatz als auch die Benutzerergänzungen und -änderungen verwendet. Sie blockiert oder macht jede Aktivität, die sie als schädlich erkennt, unschädlich und leitet dann den verbleibenden Datenverkehr an den Webserver weiter. Die vorhergehende Abbildung bietet einen Überblick über den Filterprozess.

Hinweis:

Das Diagramm lässt die Anwendung einer Richtlinie auf eingehenden Datenverkehr aus. Es veranschaulicht eine Sicherheitskonfiguration, bei der die Richtlinie darin besteht, alle Anfragen zu verarbeiten. Auch in dieser Konfiguration wurde ein Signaturen-Objekt konfiguriert und dem Profil zugeordnet, und Sicherheitsprüfungen wurden im Profil konfiguriert.

Wie das Diagramm zeigt, prüft die Web Application Firewall, wenn ein Benutzer eine URL auf einer geschützten Website anfordert, zunächst die Anfrage, um sicherzustellen, dass sie keiner Signatur entspricht. Wenn die Anfrage einer Signatur entspricht, zeigt die Web Application Firewall entweder das Fehlerobjekt an (eine Webseite, die sich auf der Web Application Firewall-Appliance befindet und die Benutzer mithilfe der Importfunktion konfigurieren können) oder leitet die Anfrage an die festgelegte Fehler-URL (die Fehlerseite) weiter.

Wenn eine Anfrage die Signaturprüfung besteht, wendet die Web Application Firewall die aktivierten Anforderungssicherheitsprüfungen an. Die Anforderungssicherheitsprüfungen überprüfen, ob die Anfrage für die Benutzer-Website oder den Webdienst geeignet ist und kein Material enthält, das eine Bedrohung darstellen könnte. Sicherheitsprüfungen untersuchen die Anfrage beispielsweise auf Anzeichen dafür, dass sie von einem unerwarteten Typ sein könnte, unerwarteten Inhalt anfordert oder unerwartete und möglicherweise bösartige Webformulardaten, SQL-Befehle oder Skripte enthält. Wenn die Anfrage eine Sicherheitsprüfung nicht besteht, bereinigt die Web Application Firewall die Anfrage und sendet sie dann an die Citrix ADC-Appliance (oder virtuelle Citrix ADC-Appliance zurück) oder zeigt das Fehlerobjekt an. Wenn die Anfrage die Sicherheitsprüfungen besteht, wird sie an die Citrix ADC-Appliance zurückgesendet, die alle weiteren Verarbeitungen abschließt und die Anfrage an den geschützten Webserver weiterleitet.

Wenn die Website oder der Webdienst eine Antwort an den Benutzer sendet, wendet die Web Application Firewall die aktivierten Antwortsicherheitsprüfungen an. Die Antwortsicherheitsprüfungen untersuchen die Antwort auf Lecks sensibler privater Informationen, Anzeichen von Website-Defacement oder andere Inhalte, die nicht vorhanden sein sollten. Wenn die Antwort eine Sicherheitsprüfung nicht besteht, entfernt die Web Application Firewall entweder den Inhalt, der nicht vorhanden sein sollte, oder blockiert die Antwort. Wenn die Antwort die Sicherheitsprüfungen besteht, wird sie an die Citrix ADC-Appliance zurückgesendet, die sie an den Benutzer weiterleitet.

Kosten und Lizenzierung

Benutzer sind für die Kosten der AWS-Dienste verantwortlich, die bei der Ausführung von AWS-Bereitstellungen verwendet werden. Die AWS CloudFormation-Vorlagen, die für diese Bereitstellung verwendet werden können, enthalten Konfigurationsparameter, die Benutzer bei Bedarf anpassen können. Einige dieser Einstellungen, wie z. B. der Instanztyp, beeinflussen die Bereitstellungskosten. Für Kostenschätzungen sollten Benutzer die Preisübersichten für jeden von ihnen verwendeten AWS-Dienst konsultieren. Preise können sich ändern.

Ein Citrix ADC WAF auf AWS erfordert eine Lizenz. Um Citrix WAF zu lizenzieren, müssen Benutzer den Lizenzschlüssel in einem S3-Bucket ablegen und dessen Speicherort beim Start der Bereitstellung angeben.

Hinweis:

Wenn Benutzer das Lizenzierungsmodell „Bring your own license (BYOL)“ wählen, sollten sie sicherstellen, dass die AppFlow-Funktion aktiviert ist. Weitere Informationen zur BYOL-Lizenzierung finden Sie unter: AWS Marketplace/Citrix ADC VPX – Customer Licensed.

Die folgenden Lizenzierungsoptionen sind für Citrix ADC WAF unter AWS verfügbar. Benutzer können ein AMI (Amazon Machine Image) basierend auf einem einzelnen Faktor wie dem Durchsatz auswählen.

• Lizenzmodell: Pay as You Go (PAYG, für die Produktionslizenzen) oder Bring Your Own License (BYOL, für das Customer Licensed AMI – Citrix ADC Pooled Capacity). Weitere Informationen zu Citrix ADC Pooled Capacity finden Sie unter: Citrix ADC Pooled Capacity.

  • Für BYOL gibt es 3 Lizenzierungsmodi:

    • Citrix ADC Pooled Capacity konfigurieren: Citrix ADC Pooled Capacity konfigurieren

    • Citrix ADC VPX Check-in- und Check-out-Lizenzierung (CICO): Citrix ADC VPX Check-in- und Check-out-Lizenzierung

    Tipp:

    Wenn Benutzer die CICO-Lizenzierung mit dem Anwendungstyp VPX-200, VPX-1000, VPX-3000, VPX-5000 oder VPX-8000 wählen, sollten sie sicherstellen, dass dieselbe Durchsatzlizenz auf ihrem ADM-Lizenzserver vorhanden ist.

    • Citrix ADC virtuelle CPU-Lizenzierung: Citrix ADC virtuelle CPU-Lizenzierung

Hinweis:

Wenn Benutzer die Bandbreite einer VPX-Instanz dynamisch ändern möchten, sollten sie eine BYOL-Option wählen, zum Beispiel Citrix ADC Pooled Capacity, bei der sie die Lizenzen von Citrix ADM zuweisen oder die Lizenzen von Citrix ADC-Instanzen je nach minimaler und maximaler Kapazität der Instanz bei Bedarf und ohne Neustart auschecken können. Ein Neustart ist nur erforderlich, wenn Benutzer die Lizenzedition ändern möchten.

• Durchsatz: 200 Mbit/s oder 1 Gbit/s

• Bundle: Premium

Bereitstellungsoptionen

Dieser Bereitstellungsleitfaden bietet zwei Bereitstellungsoptionen:

• Die erste Option ist die Bereitstellung mithilfe eines Quick Start Guide-Formats und der folgenden Optionen:

  • Citrix WAF in einem neuen VPC bereitstellen (End-to-End-Bereitstellung). Diese Option erstellt eine neue AWS-Umgebung, die aus VPC, Subnetzen, Sicherheitsgruppen und anderen Infrastrukturkomponenten besteht, und stellt dann Citrix WAF in diesem neuen VPC bereit.

  • Citrix WAF in einem bestehenden VPC bereitstellen. Diese Option stellt Citrix WAF in der bestehenden AWS-Infrastruktur des Benutzers bereit.

• Die zweite Option ist die Bereitstellung mithilfe von WAF StyleBooks über Citrix ADM

Bereitstellungsschritte mithilfe eines Quick Start Guide

Schritt 1: Beim AWS-Benutzerkonto anmelden

• Melden Sie sich beim Benutzerkonto bei AWS an: AWS mit einer IAM (Identity and Access Management)-Benutzerrolle, die die erforderlichen Berechtigungen zum Erstellen eines Amazon-Kontos (falls erforderlich) oder zum Anmelden bei einem Amazon-Konto besitzt.

• Verwenden Sie die Regionsauswahl in der Navigationsleiste, um die AWS-Region auszuwählen, in der Benutzer Hochverfügbarkeit über AWS-Verfügbarkeitszonen hinweg bereitstellen möchten.

• Stellen Sie sicher, dass das AWS-Benutzerkonto korrekt konfiguriert ist. Weitere Informationen finden Sie im Abschnitt „Technische Anforderungen“ dieses Dokuments.

Schritt 2: Citrix WAF AMI abonnieren

• Diese Bereitstellung erfordert ein Abonnement des AMI für Citrix WAF im AWS Marketplace.

• Melden Sie sich bei Ihrem AWS-Benutzerkonto an.

• Öffnen Sie die Seite für das Citrix WAF-Angebot, indem Sie einen der Links in der folgenden Tabelle auswählen.

  • Wenn Benutzer den Quick Start Guide starten, um Citrix WAF in Schritt 3 unten bereitzustellen, verwenden sie den Parameter Citrix WAF Image, um das Bundle und die Durchsatzoption auszuwählen, die ihrem AMI-Abonnement entsprechen. Die folgende Liste zeigt die AMI-Optionen und die entsprechenden Parametereinstellungen. Die VPX AMI-Instanz erfordert mindestens 2 virtuelle CPUs und 2 GB Arbeitsspeicher.

Hinweis:

Um die AMI-ID abzurufen, lesen Sie die Seite Citrix Products on AWS Marketplace auf GitHub: Citrix Products on AWS Marketplace.

• AWS Marketplace AMI

  • Citrix Web Application Firewall (WAF) – 200 Mbit/s: Citrix Web App Firewall (WAF) – 200 Mbit/s

  • Citrix Web Application Firewall (WAF) – 1000 Mbit/s: Citrix Web App Firewall (WAF) – 1000 Mbit/s

• Wählen Sie auf der AMI-Seite Continue to Subscribe.

• Überprüfen Sie die Geschäftsbedingungen für die Softwarenutzung und wählen Sie dann Accept Terms.

Hinweis:

Benutzer erhalten eine Bestätigungsseite, und eine E-Mail-Bestätigung wird an den Kontoinhaber gesendet. Detaillierte Anweisungen zum Abonnement finden Sie unter Erste Schritte in der AWS Marketplace-Dokumentation: Erste Schritte.

• Wenn der Abonnementprozess abgeschlossen ist, verlassen Sie den AWS Marketplace ohne weitere Maßnahmen. Stellen Sie die Software nicht über den AWS Marketplace bereit – Benutzer stellen das AMI mit dem Quick Start Guide bereit.

Schritt 3: Starten des Quick Start Guide zur Bereitstellung des AMI

• Melden Sie sich beim AWS-Konto des Benutzers an und wählen Sie eine der folgenden Optionen, um die AWS CloudFormation-Vorlage zu starten. Hilfe bei der Auswahl einer Option finden Sie unter Bereitstellungsoptionen weiter oben in diesem Leitfaden.

  • Stellen Sie Citrix VPX in einem neuen VPC auf AWS bereit, indem Sie eine der AWS CloudFormation-Vorlagen verwenden, die sich hier befinden:

    • Citrix/Citrix-ADC-AWS-CloudFormation/Templates/High-Availability/Across-Availability-Zone

    • Citrix/Citrix-ADC-AWS-CloudFormation/Templates/High-Availability/Same-Availability-Zone

  • Stellen Sie Citrix WAF in einem neuen oder bestehenden VPC auf AWS bereit, indem Sie die AWS Quickstart-Vorlage verwenden, die sich hier befindet: AWS-Quickstart/Quickstart-Citrix-ADC- WAF

Wichtig:

Wenn Benutzer Citrix WAF in einem bestehenden VPC bereitstellen, müssen sie sicherstellen, dass ihr VPC zwei Availability Zones umfasst, mit einem öffentlichen und zwei privaten Subnetzen in jeder Availability Zone für die Workload-Instanzen, und dass die Subnetze nicht gemeinsam genutzt werden. Dieser Bereitstellungsleitfaden unterstützt keine gemeinsam genutzten Subnetze; siehe Arbeiten mit gemeinsam genutzten VPCs: Working with Shared VPCs. Diese Subnetze erfordern NAT-Gateways in ihren Routing-Tabellen, damit die Instanzen Pakete und Software herunterladen können, ohne sie dem Internet auszusetzen. Weitere Informationen zu NAT-Gateways finden Sie unter: NAT Gateways. Konfigurieren Sie die Subnetze so, dass es keine Überschneidungen gibt.

Benutzer sollten außerdem sicherstellen, dass die Domänennamenoption in den DHCP-Optionen wie in der Amazon VPC-Dokumentation beschrieben konfiguriert ist, die hier zu finden ist: DHCP Options Sets: DHCP Options Sets. Benutzer werden beim Starten des Quick Start Guide nach ihren VPC-Einstellungen gefragt.

• Jede Bereitstellung dauert etwa 15 Minuten.

• Überprüfen Sie die AWS-Region, die in der oberen rechten Ecke der Navigationsleiste angezeigt wird, und ändern Sie sie bei Bedarf. Hier wird die Netzwerkinfrastruktur für Citrix WAF aufgebaut. Die Vorlage wird standardmäßig in der Region USA Ost (Ohio) gestartet.

Hinweis:

Diese Bereitstellung umfasst Citrix WAF, das derzeit nicht in allen AWS-Regionen unterstützt wird. Eine aktuelle Liste der unterstützten Regionen finden Sie unter den AWS Service Endpoints: AWS Service Endpoints.

• Behalten Sie auf der Seite Vorlage auswählen die Standardeinstellung für die Vorlagen-URL bei und wählen Sie dann Weiter.

• Geben Sie auf der Seite Details angeben den Stack-Namen nach Belieben des Benutzers an. Überprüfen Sie die Parameter für die Vorlage. Geben Sie Werte für die Parameter an, die eine Eingabe erfordern. Überprüfen Sie für alle anderen Parameter die Standardeinstellungen und passen Sie diese bei Bedarf an.

• In der folgenden Tabelle sind die Parameter nach Kategorie aufgeführt und separat für die Bereitstellungsoption beschrieben:

• Parameter für die Bereitstellung von Citrix WAF in einem neuen oder bestehenden VPC (Bereitstellungsoption 1)

• Wenn Benutzer die Parameter überprüft und angepasst haben, sollten sie auf „Weiter“ klicken.

Parameter für die Bereitstellung von Citrix WAF in einem neuen VPC

VPC-Netzwerkkonfiguration

Referenzinformationen zu dieser Bereitstellung finden Sie in der CFT-Vorlage hier: AWS-Quickstart/Quickstart-Citrix-ADC-WAF/Templates.

Bastion-Host-Konfiguration

Citrix WAF-Konfiguration

Konfiguration der Pool-Lizenzierung

• Citrix ADC Pooled Capacity konfigurieren: Configure Citrix ADC Pooled Capacity
• Citrix ADC VPX Check-in- und Check-out-Lizenzierung (CICO): Citrix ADC VPX Check-in and Check-out Licensing * Citrix ADC virtuelle CPU-Lizenzierung: [Citrix ADC virtual CPU Licensing](https://docs.citrix.com/de-de/citrix-application-delivery-management-software/13/license-server/adc-virtual-cpu-licensing.html)| |**Lizenzbandbreite in Mbps**|0 Mbps|Nur wenn der Lizenzierungsmodus Pooled-Licensing ist, wird dieses Feld relevant. Es weist eine anfängliche Lizenzbandbreite in Mbps zu, die nach der Erstellung von BYOL-ADCs zugewiesen werden soll. Sie sollte ein Vielfaches von 10 Mbps sein.| |**Lizenzedition**|Premium|Die Lizenzedition für den Pooled Capacity Licensing Mode ist **Premium**| |**Appliance-Plattformtyp**|Optional|Wählen Sie den erforderlichen Appliance-Plattformtyp, **nur** wenn Benutzer den CICO-Lizenzierungsmodus wählen. Benutzern stehen die folgenden Optionen zur Verfügung: VPX-200, VPX-1000, VPX-3000, VPX-5000, VPX-8000| |**Lizenzedition**|Premium|Die Lizenzedition für die vCPU-basierte Lizenzierung ist **Premium**.|

AWS Quick Start Guide Konfiguration

Hinweis:

Wir empfehlen Benutzern, die Standardeinstellungen für die folgenden beiden Parameter beizubehalten, es sei denn, sie passen die Quick Start Guide-Vorlagen für ihre eigenen Bereitstellungsprojekte an. Das Ändern der Einstellungen dieser Parameter aktualisiert automatisch Code-Referenzen, um auf einen neuen Quick Start Guide-Speicherort zu verweisen. Weitere Details finden Sie im AWS Quick Start Guide Contributor’s Guide hier: AWS Quick Starts/Option 1 - Adopt a Quick Start.

• Auf der Seite Optionen können Benutzer ein Ressourcen-Tag oder ein Schlüssel-Wert-Paar für Ressourcen in Ihrem Stack angeben und erweiterte Optionen festlegen. Weitere Informationen zu Ressourcen-Tags finden Sie unter: Ressourcen-Tag. Weitere Informationen zum Festlegen von AWS CloudFormation Stack-Optionen finden Sie unter: Festlegen von AWS CloudFormation Stack-Optionen. Wenn Benutzer fertig sind, sollten sie Weiter wählen.

• Überprüfen und bestätigen Sie auf der Seite Überprüfen die Vorlageneinstellungen. Wählen Sie unter Funktionen die beiden Kontrollkästchen aus, um zu bestätigen, dass die Vorlage IAM-Ressourcen erstellt und dass sie möglicherweise die Fähigkeit zum automatischen Erweitern von Makros erfordert.

• Wählen Sie Erstellen, um den Stack bereitzustellen.

• Überwachen Sie den Status des Stacks. Wenn der Status CREATE_COMPLETE lautet, ist die Citrix WAF-Instanz bereit.

• Verwenden Sie die im Tab Ausgaben für den Stack angezeigten URLs, um die erstellten Ressourcen anzuzeigen.

Schritt 4: Bereitstellung testen

Wir bezeichnen die Instanzen in dieser Bereitstellung als primär und sekundär. Jede Instanz hat unterschiedliche IP-Adressen zugewiesen. Wenn der Quick Start erfolgreich bereitgestellt wurde, läuft der Datenverkehr über die primäre Citrix WAF-Instanz, die in Verfügbarkeitszone 1 konfiguriert ist. Unter Failover-Bedingungen, wenn die primäre Instanz nicht auf Client-Anfragen reagiert, übernimmt die sekundäre WAF-Instanz.

Die Elastic IP-Adresse der virtuellen IP-Adresse der primären Instanz migriert zur sekundären Instanz, die als neue primäre Instanz übernimmt.

Beim Failover-Prozess führt Citrix WAF Folgendes aus:

• Citrix WAF überprüft die virtuellen Server, denen IP-Sets zugewiesen sind.

• Citrix WAF findet die IP-Adresse mit einer zugeordneten öffentlichen IP-Adresse aus den beiden IP-Adressen, auf denen der virtuelle Server lauscht. Eine, die direkt an den virtuellen Server angehängt ist, und eine, die über das IP-Set angehängt ist.

• Citrix WAF ordnet die öffentliche Elastic IP-Adresse der privaten IP-Adresse neu zu, die zur neuen primären virtuellen IP-Adresse gehört.

Um die Bereitstellung zu validieren, führen Sie Folgendes aus:

• Verbindung zur primären Instanz herstellen

Zum Beispiel mit einem Proxyserver, einem Jump-Host (einer Linux-/Windows-/FW-Instanz, die in AWS ausgeführt wird, oder dem Bastion-Host) oder einem anderen Gerät, das über diese VPC oder eine Direct Connect-Verbindung erreichbar ist, wenn es um lokale Konnektivität geht.

• Führen Sie eine Auslöseraktion durch, um ein Failover zu erzwingen, und prüfen Sie, ob die sekundäre Instanz übernimmt.

Tipp:

Um die Konfiguration bezüglich Citrix WAF weiter zu validieren, führen Sie nach der Verbindung mit der primären Citrix WAF-Instanz den folgenden Befehl aus:

Sh appfw profile QS-Profile

Verbinden mit dem Citrix WAF HA-Paar mithilfe eines Bastion-Hosts

Wenn Benutzer sich für eine Sandbox-Bereitstellung entscheiden (z. B. im Rahmen von CFT, entscheiden sich Benutzer für die Konfiguration eines Bastion-Hosts), wird ein in einem öffentlichen Subnetz bereitgestellter Linux-Bastion-Host für den Zugriff auf die WAF-Schnittstellen konfiguriert.

Wählen Sie in der AWS CloudFormation-Konsole, auf die Sie sich hier anmelden können: Anmelden, den Master-Stack aus und suchen Sie auf der Registerkarte Outputs den Wert von LinuxBastionHostEIP1.

• Der Wert des Schlüssels PrivateManagementPrivateNSIP und PrimaryADCInstanceID ist in den späteren Schritten für die SSH-Verbindung zum ADC zu verwenden.

• Wählen Sie Services.

• Wählen Sie auf der Registerkarte Compute die Option EC2.

  • Wählen Sie unter Ressourcen die Option Running Instances.

  • Notieren Sie auf der Registerkarte Description der primären WAF-Instanz die öffentliche IPv4-Adresse. Benutzer benötigen diese IP-Adresse, um den SSH-Befehl zu erstellen.

• Um den Schlüssel im Benutzerschlüsselbund zu speichern, führen Sie den Befehl ssh-add -K [your-key-pair].pem aus

Unter Linux müssen Benutzer möglicherweise das Flag -K weglassen.

• Melden Sie sich mit dem folgenden Befehl beim Bastion-Host an, verwenden Sie dabei den Wert für LinuxBastionHostEIP1, den Benutzer in Schritt 1 notiert haben.

ssh -A ubuntu@[LinuxBastionHostEIP1]

• Vom Bastion-Host aus können Benutzer eine Verbindung zur primären WAF-Instanz mithilfe von SSH herstellen.

ssh nsroot@[Primary Management Private NSIP]

Passwort: [Primary ADC Instance ID]

Benutzer sind nun mit der primären Citrix WAF-Instanz verbunden. Um die verfügbaren Befehle anzuzeigen, können Benutzer den Befehl help ausführen. Um die aktuelle HA-Konfiguration anzuzeigen, können Benutzer den Befehl show HA node ausführen.

Citrix Application Delivery Management

Der Citrix Application Delivery Management Service (Citrix ADM) bietet eine einfache und skalierbare Lösung zur Verwaltung von Citrix ADC-Bereitstellungen, die Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway™, Citrix ADC SDX, Citrix ADC CPX und Citrix SD-WAN Appliances umfassen, die On-Premises oder in der Cloud bereitgestellt werden.

Benutzer können diese Cloud-Lösung verwenden, um die gesamte globale Anwendungsbereitstellungsinfrastruktur von einer einzigen, einheitlichen und zentralisierten Cloud-basierten Konsole aus zu verwalten, zu überwachen und Fehler zu beheben. Der Citrix ADM Service bietet alle Funktionen, die erforderlich sind, um die Anwendungsbereitstellung in Citrix ADC-Bereitstellungen schnell einzurichten, bereitzustellen und zu verwalten, sowie umfassende Analysen zur Anwendungsgesundheit, Leistung und Sicherheit.

Der Citrix ADM Service bietet die folgenden Vorteile:

• Agil – Einfach zu bedienen, zu aktualisieren und zu nutzen. Das Servicemodell des Citrix ADM Service ist über die Cloud verfügbar, wodurch die Bedienung, Aktualisierung und Nutzung der vom Citrix ADM Service bereitgestellten Funktionen vereinfacht wird. Die Häufigkeit der Updates, kombiniert mit der automatischen Update-Funktion, verbessert schnell die Citrix ADC-Bereitstellung des Benutzers.

• Schnellere Wertschöpfung – Schnellere Erreichung der Geschäftsziele. Im Gegensatz zur herkömmlichen On-Premises-Bereitstellung können Benutzer ihren Citrix ADM Service mit wenigen Klicks nutzen. Benutzer sparen nicht nur Installations- und Konfigurationszeit, sondern vermeiden auch Zeit- und Ressourcenverschwendung durch potenzielle Fehler.

• Multi-Site-Verwaltung – Eine zentrale Verwaltungsoberfläche für Instanzen in Rechenzentren an mehreren Standorten. Mit dem Citrix ADM Service können Benutzer Citrix ADCs verwalten und überwachen, die in verschiedenen Bereitstellungstypen vorhanden sind. Benutzer haben eine zentrale Verwaltung für Citrix ADCs, die lokal und in der Cloud bereitgestellt werden.

• Betriebliche Effizienz – Optimierte und automatisierte Methode zur Erzielung höherer betrieblicher Produktivität. Mit dem Citrix ADM Service werden die Betriebskosten der Benutzer gesenkt, indem Zeit, Geld und Ressourcen der Benutzer für die Wartung und Aktualisierung traditioneller Hardware-Bereitstellungen eingespart werden.

Funktionsweise des Citrix ADM Service

Der Citrix ADM Service ist als Dienst in der Citrix Cloud verfügbar. Nachdem sich Benutzer für Citrix Cloud angemeldet und den Dienst genutzt haben, installieren sie Agenten in ihrer Netzwerkumgebung oder initiieren den integrierten Agenten in den Instanzen. Anschließend fügen sie die Instanzen, die sie verwalten möchten, dem Dienst hinzu.

Ein Agent ermöglicht die Kommunikation zwischen dem Citrix ADM Service und den verwalteten Instanzen im Rechenzentrum des Benutzers. Der Agent sammelt Daten von den verwalteten Instanzen im Netzwerk des Benutzers und sendet sie an den Citrix ADM Service.

Wenn Benutzer eine Instanz zum Citrix ADM Service hinzufügen, fügt sich dieser implizit als Trap-Ziel hinzu und erstellt ein Inventar der Instanz.

Der Dienst erfasst Instanzdetails wie:

• Hostname

• Softwareversion

• Aktive und gespeicherte Konfiguration

• Zertifikate

• Auf der Instanz konfigurierte Entitäten und so weiter.

Der Citrix ADM Service fragt verwaltete Instanzen regelmäßig ab, um Informationen zu sammeln.

Die folgende Abbildung veranschaulicht die Kommunikation zwischen dem Dienst, den Agenten und den Instanzen:

Dokumentationsleitfaden

Die Dokumentation des Citrix ADM Service enthält Informationen zum Einstieg in den Dienst, eine Liste der vom Dienst unterstützten Funktionen und die spezifische Konfiguration für diese Dienstlösung.

Bereitstellung von Citrix ADC VPX-Instanzen auf AWS mit Citrix ADM

Wenn Kunden ihre Anwendungen in die Cloud verlagern, nehmen die Komponenten, die Teil ihrer Anwendung sind, zu, werden stärker verteilt und müssen dynamisch verwaltet werden.

Mit Citrix ADC VPX-Instanzen auf AWS können Benutzer ihren L4-L7-Netzwerk-Stack nahtlos auf AWS erweitern. Mit Citrix ADC VPX wird AWS zu einer natürlichen Erweiterung ihrer lokalen IT-Infrastruktur. Kunden können Citrix ADC VPX auf AWS nutzen, um die Elastizität und Flexibilität der Cloud mit denselben Optimierungs-, Sicherheits- und Steuerungsfunktionen zu kombinieren, die die anspruchsvollsten Websites und Anwendungen der Welt unterstützen.

Mit Citrix Application Delivery Management (ADM), das ihre Citrix ADC-Instanzen überwacht, erhalten Benutzer Einblick in den Zustand, die Leistung und die Sicherheit ihrer Anwendungen. Sie können die Einrichtung, Bereitstellung und Verwaltung ihrer Anwendungsbereitstellungsinfrastruktur in hybriden Multi-Cloud-Umgebungen automatisieren.

Architekturdiagramm

Die folgende Abbildung bietet einen Überblick darüber, wie Citrix ADM mit AWS verbunden wird, um Citrix ADC VPX-Instanzen in AWS bereitzustellen.

Konfigurationsaufgaben

Führen Sie die folgenden Aufgaben in AWS aus, bevor Sie Citrix ADC VPX-Instanzen in Citrix ADM bereitstellen:

• Subnetze erstellen

• Sicherheitsgruppen erstellen

• Eine IAM-Rolle erstellen und eine Richtlinie definieren

Führen Sie die folgenden Aufgaben in Citrix ADM aus, um die Instanzen auf AWS bereitzustellen:

• Standort erstellen

• Citrix ADC VPX-Instanz auf AWS bereitstellen

Subnetze erstellen

Erstellen Sie drei Subnetze in einer VPC. Die drei Subnetze, die für die Bereitstellung von Citrix ADC VPX-Instanzen in einer VPC erforderlich sind, sind Management, Client und Server. Geben Sie für jedes der Subnetze einen IPv4-CIDR-Block aus dem in der VPC definierten Bereich an. Geben Sie die Verfügbarkeitszone an, in der sich das Subnetz befinden soll. Erstellen Sie alle drei Subnetze in derselben Verfügbarkeitszone. Die folgende Abbildung zeigt die drei in der Kundenregion erstellten Subnetze und deren Konnektivität zum Clientsystem.

Weitere Informationen zu VPC und Subnetzen finden Sie unter VPCs und Subnetze.

Sicherheitsgruppen erstellen

Erstellen Sie eine Sicherheitsgruppe, um den eingehenden und ausgehenden Datenverkehr in der Citrix ADC VPX-Instanz zu steuern. Eine Sicherheitsgruppe fungiert als virtuelle Firewall für eine Benutzerinstanz. Erstellen Sie Sicherheitsgruppen auf Instanzebene und nicht auf Subnetzebene. Es ist möglich, jeder Instanz in einem Subnetz in der Benutzer-VPC einen anderen Satz von Sicherheitsgruppen zuzuweisen. Fügen Sie Regeln für jede Sicherheitsgruppe hinzu, um den eingehenden Datenverkehr zu steuern, der über das Client-Subnetz zu den Instanzen geleitet wird. Benutzer können auch einen separaten Satz von Regeln hinzufügen, die den ausgehenden Datenverkehr steuern, der über das Server-Subnetz zu den Anwendungsservern geleitet wird. Obwohl Benutzer die Standardsicherheitsgruppe für ihre Instanzen verwenden können, möchten sie möglicherweise eigene Gruppen erstellen. Erstellen Sie drei Sicherheitsgruppen – eine für jedes Subnetz. Erstellen Sie Regeln für den eingehenden und ausgehenden Datenverkehr, den Benutzer steuern möchten. Benutzer können beliebig viele Regeln hinzufügen.

Weitere Informationen zu Sicherheitsgruppen finden Sie unter: Sicherheitsgruppen für Ihre VPC.

Eine IAM-Rolle erstellen und eine Richtlinie definieren

Erstellen Sie eine IAM-Rolle, damit Kunden eine Vertrauensbeziehung zwischen ihren Benutzern und dem vertrauenswürdigen AWS-Konto von Citrix herstellen und eine Richtlinie mit Citrix-Berechtigungen erstellen können.

1. Klicken Sie in AWS auf Services. Wählen Sie im linken Navigationsbereich IAM > Roles aus und klicken Sie auf Create role.

2. Benutzer verbinden ihr AWS-Konto mit dem AWS-Konto in Citrix ADM. Wählen Sie daher Another AWS account aus, um Citrix ADM die Durchführung von Aktionen im AWS-Konto zu ermöglichen.

Geben Sie die 12-stellige Citrix ADM AWS-Konto-ID ein. Die Citrix-ID lautet 835822366011. Benutzer können die Citrix-ID auch in Citrix ADM finden, wenn sie das Cloud-Zugriffsprofil erstellen.

1. Aktivieren Sie Externe ID erforderlich, um eine Verbindung zu einem Drittanbieterkonto herzustellen. Benutzer können die Sicherheit ihrer Rollen erhöhen, indem sie eine optionale externe Kennung anfordern. Geben Sie eine ID ein, die eine Kombination aus beliebigen Zeichen sein kann.

2. Klicken Sie auf Berechtigungen.

3. Klicken Sie auf der Seite Berechtigungsrichtlinien anfügen auf Richtlinie erstellen.

4. Benutzer können eine Richtlinie im visuellen Editor oder mithilfe von JSON erstellen und bearbeiten.

Die Liste der Berechtigungen von Citrix wird im folgenden Feld bereitgestellt:

{
"Version": "2012-10-17",
"Statement":
[
    {
         "Effect": "Allow",
        "Action": [
            "ec2:DescribeInstances",
            "ec2:DescribeImageAttribute",
            "ec2:DescribeInstanceAttribute",
            "ec2:DescribeRegions",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeHosts",
            "ec2:DescribeImages",
            "ec2:DescribeVpcs",
            "ec2:DescribeSubnets",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeNetworkInterfaceAttribute",
            "ec2:DescribeInstanceStatus",
            "ec2:DescribeAddresses",
            "ec2:DescribeKeyPairs",
            "ec2:DescribeTags",
            "ec2:DescribeVolumeStatus",
            "ec2:DescribeVolumes",
            "ec2:DescribeVolumeAttribute",
            "ec2:CreateTags",
            "ec2:DeleteTags",
            "ec2:CreateKeyPair",
            "ec2:DeleteKeyPair",
            "ec2:ResetInstanceAttribute",
            "ec2:RunScheduledInstances",
            "ec2:ReportInstanceStatus",
            "ec2:StartInstances",
            "ec2:RunInstances",
            "ec2:StopInstances",
            "ec2:UnmonitorInstances",
            "ec2:MonitorInstances",
            "ec2:RebootInstances",
            "ec2:TerminateInstances",
            "ec2:ModifyInstanceAttribute",
            "ec2:AssignPrivateIpAddresses",
            "ec2:UnassignPrivateIpAddresses",
            "ec2:CreateNetworkInterface",
            "ec2:AttachNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:ResetNetworkInterfaceAttribute",
            "ec2:ModifyNetworkInterfaceAttribute",
            "ec2:AssociateAddress",
            "ec2:AllocateAddress",
            "ec2:ReleaseAddress",
            "ec2:DisassociateAddress",
            "ec2:GetConsoleOutput"
        ],
            "Resource": "*"
    }
]
}
<!--NeedCopy-->

1. Kopieren Sie die Liste der Berechtigungen in die JSON-Registerkarte und fügen Sie sie dort ein, und klicken Sie auf Richtlinie überprüfen.

2. Geben Sie auf der Seite Richtlinie überprüfen einen Namen für die Richtlinie ein, geben Sie eine Beschreibung ein und klicken Sie auf Richtlinie erstellen.

So erstellen Sie eine Site in Citrix ADM

Erstellen Sie eine Site in Citrix ADM und fügen Sie die Details der VPC hinzu, die der AWS-Rolle zugeordnet ist.

1. Navigieren Sie in Citrix ADM zu Netzwerke > Sites.

2. Klicken Sie auf Hinzufügen.

3. Wählen Sie den Diensttyp als AWS aus und aktivieren Sie Vorhandene VPC als Site verwenden.

4. Wählen Sie das Cloud-Zugriffsprofil aus.

5. Wenn das Cloud-Zugriffsprofil im Feld nicht vorhanden ist, klicken Sie auf Hinzufügen, um ein Profil zu erstellen.

   • Geben Sie auf der Seite Cloud-Zugriffsprofil erstellen den Namen des Profils ein, mit dem Benutzer auf AWS zugreifen möchten.

   • Geben Sie den ARN ein, der der Rolle zugeordnet ist, die Benutzer in AWS erstellt haben.

   • Geben Sie die externe ID ein, die Benutzer beim Erstellen einer Identity and Access Management (IAM)-Rolle in AWS angegeben haben. Siehe Schritt 4 in der Aufgabe „So erstellen Sie eine IAM-Rolle und definieren eine Richtlinie“. Stellen Sie sicher, dass der in AWS angegebene IAM-Rollenname mit Citrix-ADM- beginnt und korrekt im Rollen-ARN angezeigt wird.

Die Details des VPC, wie Region, VPC-ID, Name und CIDR-Block, die Ihrer IAM-Rolle in AWS zugeordnet sind, werden in Citrix ADM importiert.

1. Geben Sie einen Namen für die Site ein.

2. Klicken Sie auf Erstellen.

So stellen Sie Citrix ADC VPX auf AWS bereit

Verwenden Sie die zuvor von Benutzern erstellte Site, um die Citrix ADC VPX-Instanzen auf AWS bereitzustellen. Geben Sie die Details des Citrix ADM-Dienstagenten an, um die Instanzen bereitzustellen, die an diesen Agenten gebunden sind.

1. Navigieren Sie in Citrix ADM zu Netzwerke > Instanzen > Citrix ADC.

2. Klicken Sie auf der Registerkarte VPX auf Bereitstellen.

Diese Option zeigt die Seite Citrix ADC VPX in der Cloud bereitstellen an.

1. Wählen Sie Amazon Web Services (AWS) aus und klicken Sie auf Weiter.

2. Unter Grundlegende Parameter,

   • Wählen Sie den Instanztyp aus der Liste aus.

     • Standalone: Diese Option stellt eine eigenständige Citrix ADC VPX-Instanz auf AWS bereit.

     • HA: Diese Option stellt die Hochverfügbarkeits-Citrix ADC VPX-Instanzen auf AWS bereit.

     Um die Citrix ADC VPX-Instanzen in derselben Zone bereitzustellen, wählen Sie die Option Einzelne Zone unter Zonentyp.

     Um die Citrix ADC VPX-Instanzen über mehrere Zonen hinweg bereitzustellen, wählen Sie die Option Mehrere Zonen unter Zonentyp. Stellen Sie auf der Registerkarte Cloud-Parameter sicher, dass Sie die Netzwerkdetails für jede Zone angeben, die auf AWS erstellt wird.

   

   • Geben Sie den Namen der Citrix ADC VPX-Instanz an.

   • Wählen Sie unter Site die Site aus, die Sie zuvor erstellt haben.

   • Wählen Sie unter Agent den Agenten aus, der zur Verwaltung der Citrix ADC VPX-Instanz erstellt wurde.

   • Wählen Sie unter Cloud Access Profile das Cloud-Zugriffsprofil aus, das während der Site-Erstellung erstellt wurde.

   • Wählen Sie unter Device Profile das Profil aus, um die Authentifizierung bereitzustellen.

   Citrix ADM verwendet das Geräteprofil, wenn es sich bei der Citrix ADC VPX-Instanz anmelden muss.

   • Klicken Sie auf Weiter.

3. Unter Cloud-Parameter,

   • Wählen Sie die Citrix IAM Rolle aus, die in AWS erstellt wurde. Eine IAM-Rolle ist eine AWS-Identität mit Berechtigungsrichtlinien, die festlegen, was die Identität in AWS tun und nicht tun kann.

   • Wählen Sie im Feld Produkt die Citrix ADC Produktversion aus, die Benutzer bereitstellen möchten.

   • Wählen Sie den EC2-Instanztyp aus der Liste Instanztyp.

   • Wählen Sie die Version von Citrix ADC aus, die Benutzer bereitstellen möchten. Wählen Sie sowohl die Haupt- als auch die Nebenversion von Citrix ADC aus.

   • Wählen Sie unter Sicherheitsgruppen die Management-, Client- und Server-Sicherheitsgruppen aus, die Benutzer in ihrem virtuellen Netzwerk erstellt haben.

   • Wählen Sie unter IPs im Server-Subnetz pro Knoten die Anzahl der IP-Adressen im Server-Subnetz pro Knoten für die Sicherheitsgruppe aus.

   • Wählen Sie unter Subnetze die Management-, Client- und Server-Subnetze für jede Zone aus, die in AWS erstellt wurden. Benutzer können auch die Region aus der Liste Verfügbarkeitszone auswählen.

   • Klicken Sie auf Fertig stellen.

Die Citrix ADC VPX-Instanz ist jetzt in AWS bereitgestellt.

Hinweis:

Citrix ADM unterstützt die Aufhebung der Bereitstellung von Citrix ADC-Instanzen aus AWS nicht.

So zeigen Sie die in AWS bereitgestellte Citrix ADC VPX an

1. Navigieren Sie auf der AWS-Startseite zu Dienste und klicken Sie auf EC2.

2. Klicken Sie auf der Seite Ressourcen auf Ausgeführte Instanzen.

3. Benutzer können die in AWS bereitgestellte Citrix ADC VPX anzeigen.

Der Name der Citrix ADC VPX-Instanz ist derselbe Name, den Benutzer bei der Bereitstellung der Instanz in Citrix ADM angegeben haben.

So zeigen Sie die in Citrix ADM bereitgestellte Citrix ADC VPX an

1. Navigieren Sie in Citrix ADM zu Netzwerke > Instanzen > Citrix ADC.

2. Wählen Sie die Registerkarte Citrix ADC VPX.

3. Die in AWS bereitgestellte Citrix ADC VPX-Instanz wird hier aufgeführt.

Citrix ADC WAF und OWASP Top 10 – 2017

Das Open Web Application Security Project: OWASP hat die OWASP Top 10 für 2017 für die Sicherheit von Webanwendungen veröffentlicht. Diese Liste dokumentiert die häufigsten Schwachstellen von Webanwendungen und ist ein hervorragender Ausgangspunkt zur Bewertung der Websicherheit. Hier beschreiben wir detailliert, wie die Citrix ADC Web Application Firewall (WAF) konfiguriert wird, um diese Schwachstellen zu mindern. WAF ist als integriertes Modul im Citrix ADC (Premium Edition) sowie in einer vollständigen Palette von Appliances verfügbar.

Das vollständige OWASP Top 10 Dokument ist verfügbar unter OWASP Top Ten.

A1:2017- Injection

Injection-Schwachstellen, wie SQL-, NoSQL-, OS- und LDAP-Injection, treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter gesendet werden. Die feindlichen Daten des Angreifers können den Interpreter dazu verleiten, unbeabsichtigte Befehle auszuführen oder auf Daten ohne entsprechende Autorisierung zuzugreifen.

ADC WAF-Schutzmaßnahmen

• Die Funktion zur Verhinderung von SQL-Injection schützt vor gängigen Injection-Angriffen. Benutzerdefinierte Injection-Muster können hochgeladen werden, um vor jeder Art von Injection-Angriffen, einschließlich XPath und LDAP, zu schützen. Dies gilt sowohl für HTML- als auch für XML-Payloads.

• Die Funktion zur automatischen Signaturaktualisierung hält die Injection-Signaturen auf dem neuesten Stand.

• Die Funktion zum Schutz des Feldformats ermöglicht es dem Administrator, jeden Benutzerparameter auf einen regulären Ausdruck zu beschränken. Zum Beispiel können Sie erzwingen, dass ein Postleitzahlenfeld nur ganze Zahlen oder sogar 5-stellige ganze Zahlen enthält.

• Formularfeldkonsistenz: Validieren Sie jedes übermittelte Benutzerformular anhand der Formularsignatur der Benutzersitzung, um die Gültigkeit aller Formularelemente sicherzustellen.

• Pufferüberlaufprüfungen stellen sicher, dass die URL, Header und Cookies innerhalb der richtigen Grenzen liegen, wodurch Versuche, große Skripte oder Code einzuschleusen, blockiert werden.

A2:2017 – Fehlerhafte Authentifizierung

Anwendungsfunktionen im Zusammenhang mit Authentifizierung und Sitzungsverwaltung werden oft fehlerhaft implementiert, was Angreifern ermöglicht, Passwörter, Schlüssel oder Sitzungstoken zu kompromittieren oder andere Implementierungsfehler auszunutzen, um die Identitäten anderer Benutzer vorübergehend oder dauerhaft anzunehmen.

ADC WAF-Schutzmaßnahmen

• Das Citrix ADC AAA-Modul führt die Benutzerauthentifizierung durch und bietet Single Sign-On-Funktionalität für Backend-Anwendungen. Dies ist in die Citrix ADC AppExpert-Richtlinien-Engine integriert, um benutzerdefinierte Richtlinien basierend auf Benutzer- und Gruppeninformationen zu ermöglichen.

• Mithilfe von SSL-Offloading und URL-Transformationsfunktionen kann die Firewall auch Websites dabei unterstützen, sichere Transportschichtprotokolle zu verwenden, um das Stehlen von Sitzungstoken durch Netzwerk-Sniffing zu verhindern.

• Cookie-Proxying und Cookie-Verschlüsselung können eingesetzt werden, um Cookie-Diebstahl vollständig zu unterbinden.

A3:2017 – Offenlegung sensibler Daten

Viele Webanwendungen und APIs schützen sensible Daten, wie Finanz-, Gesundheits- und PII-Daten, nicht ordnungsgemäß. Angreifer können solche schlecht geschützten Daten stehlen oder modifizieren, um Kreditkartenbetrug, Identitätsdiebstahl oder andere Verbrechen zu begehen. Sensible Daten können ohne zusätzlichen Schutz, wie Verschlüsselung im Ruhezustand oder während der Übertragung, kompromittiert werden und erfordern besondere Vorsichtsmaßnahmen beim Austausch mit dem Browser.

ADC WAF-Schutzmaßnahmen

• Die Anwendungs-Firewall schützt Anwendungen vor dem Preisgeben sensibler Daten wie Kreditkartendaten.

• Sensible Daten können als sichere Objekte im Safe Commerce-Schutz konfiguriert werden, um eine Offenlegung zu vermeiden.

• Alle sensiblen Daten in Cookies können durch Cookie-Proxying und Cookie-Verschlüsselung geschützt werden.

A4:2017 XML External Entities (XXE)

Viele ältere oder schlecht konfigurierte XML-Prozessoren werten externe Entitätsreferenzen innerhalb von XML-Dokumenten aus. Externe Entitäten können verwendet werden, um interne Dateien mithilfe des Datei-URI-Handlers, interne Dateifreigaben, internes Port-Scanning, Remote-Code-Ausführung und Denial-of-Service-Angriffe offenzulegen.

ADC WAF-Schutzmaßnahmen

• Neben der Erkennung und Blockierung gängiger Anwendungsbedrohungen, die für Angriffe auf XML-basierte Anwendungen angepasst werden können (d. h. Cross-Site-Scripting, Befehlsinjektion usw.).

• Die ADC Anwendungs-Firewall umfasst einen umfangreichen Satz XML-spezifischer Sicherheitsmaßnahmen. Dazu gehören die Schema-Validierung zur gründlichen Überprüfung von SOAP-Nachrichten und XML-Nutzdaten sowie eine leistungsstarke XML-Anhangsprüfung, um Anhänge mit bösartigen ausführbaren Dateien oder Viren zu blockieren.

• Automatische Datenverkehrsinspektionsmethoden blockieren XPath-Injection-Angriffe auf URLs und Formularen, die darauf abzielen, Zugriff zu erlangen.

• Die ADC Anwendungs-Firewall vereitelt auch verschiedene DoS-Angriffe, einschließlich externer Entitätsreferenzen, rekursiver Expansion, übermäßiger Verschachtelung und bösartiger Nachrichten, die entweder lange oder eine große Anzahl von Attributen und Elementen enthalten.

A5:2017 Broken Access Control

Beschränkungen dessen, was authentifizierte Benutzer tun dürfen, werden oft nicht ordnungsgemäß durchgesetzt. Angreifer können diese Schwachstellen ausnutzen, um auf unautorisierte Funktionen und Daten zuzugreifen, wie z. B. auf Konten anderer Benutzer zuzugreifen, sensible Dateien anzuzeigen, Daten anderer Benutzer zu ändern, Zugriffsrechte zu ändern usw.

ADC WAF-Schutzmaßnahmen

• Die Citrix ADC AAA-Funktion, die Authentifizierung, Autorisierung und Überwachung für den gesamten Anwendungsdatenverkehr unterstützt, ermöglicht einem Site-Administrator die Verwaltung von Zugriffskontrollen mit der ADC-Appliance.

• Die Sicherheitsfunktion Autorisierung innerhalb des Citrix ADC AAA-Moduls der ADC-Appliance ermöglicht der Appliance zu überprüfen, auf welche Inhalte auf einem geschützten Server sie jedem Benutzer den Zugriff gestatten soll.

• Formularfeldkonsistenz: Wenn Objektreferenzen als ausgeblendete Felder in Formularen gespeichert werden, können Sie mithilfe der Formularfeldkonsistenz überprüfen, dass diese Felder bei nachfolgenden Anfragen nicht manipuliert werden.

• Cookie-Proxying und Cookie-Konsistenz: Objektreferenzen, die in Cookie-Werten gespeichert sind, können mit diesen Schutzmaßnahmen validiert werden.

• Start-URL-Prüfung mit URL-Abschluss: Ermöglicht dem Benutzer den Zugriff auf eine vordefinierte Positivliste von URLs. Der URL-Abschluss erstellt eine Liste aller URLs, die in gültigen Antworten während der Benutzersitzung gesehen wurden, und ermöglicht automatisch den Zugriff darauf während dieser Sitzung.

A6:2017 - Sicherheitsfehlkonfiguration

Sicherheitsfehlkonfiguration ist das am häufigsten auftretende Problem. Dies ist häufig das Ergebnis unsicherer Standardkonfigurationen, unvollständiger oder improvisierter Konfigurationen, offener Cloud-Speicher, falsch konfigurierter HTTP-Header und ausführlicher Fehlermeldungen, die sensible Informationen enthalten. Nicht nur müssen alle Betriebssysteme, Frameworks, Bibliotheken und Anwendungen sicher konfiguriert sein, sondern sie müssen auch zeitnah gepatcht und aktualisiert werden.

ADC WAF Schutzmaßnahmen

• Der vom Application Firewall generierte PCI-DSS-Bericht dokumentiert die Sicherheitseinstellungen auf dem Firewall-Gerät.

• Berichte der Scan-Tools werden in ADC WAF Signaturen umgewandelt, um Sicherheitsfehlkonfigurationen zu beheben.

• ADC WAF unterstützt Cenzic, IBM AppScan (Enterprise und Standard), Qualys, TrendMicro, WhiteHat und benutzerdefinierte Schwachstellen-Scan-Berichte.

A7:2017 - Cross-Site-Scripting (XSS)

XSS-Schwachstellen treten auf, wenn eine Anwendung unvertrauenswürdige Daten ohne ordnungsgemäße Validierung oder Maskierung in eine neue Webseite einfügt oder eine bestehende Webseite mit vom Benutzer bereitgestellten Daten über eine Browser-API aktualisiert, die HTML oder JavaScript erstellen kann. Cross-Site-Scripting ermöglicht es Angreifern, Skripte im Browser des Opfers auszuführen, die Benutzersitzungen kapern, Webseiten verunstalten oder den Benutzer auf bösartige Websites umleiten können.

ADC WAF Schutzmaßnahmen

• Der Cross-Site-Scripting-Schutz schützt vor gängigen XSS-Angriffen. Benutzerdefinierte XSS-Muster können hochgeladen werden, um die Standardliste der erlaubten Tags und Attribute zu ändern. Die ADC WAF verwendet eine Positivliste erlaubter HTML-Attribute und -Tags, um XSS-Angriffe zu erkennen. Dies gilt sowohl für HTML- als auch für XML-Payloads.

• ADC WAF blockiert alle Angriffe, die im OWASP XSS Filter Evaluation Cheat Sheet aufgeführt sind.

• Die Feldformatprüfung verhindert, dass ein Angreifer unangemessene Webformulardaten sendet, die einen potenziellen XSS-Angriff darstellen können.

• Konsistenz der Formularfelder.

A8:2017 – Unsichere Deserialisierung

Unsichere Deserialisierung führt oft zur Ausführung von Remote-Code. Selbst wenn Deserialisierungsfehler nicht zur Ausführung von Remote-Code führen, können sie für Angriffe verwendet werden, einschließlich Replay-Angriffen, Injektionsangriffen und Angriffen zur Privilegienerhöhung.

ADC WAF-Schutzmaßnahmen

• JSON-Payload-Inspektion mit benutzerdefinierten Signaturen.

• XML-Sicherheit: schützt vor XML Denial of Service (xDoS), XML SQL- und Xpath-Injektion und Cross-Site-Scripting, Formatprüfungen, WS-I Basic Profile-Konformität, XML-Anhangsprüfung.

• Feldformatprüfungen zusätzlich zu Cookie-Konsistenz und Feldkonsistenz können verwendet werden.

A9:2017 – Verwendung von Komponenten mit bekannten Schwachstellen

Komponenten wie Bibliotheken, Frameworks und andere Softwaremodule werden mit denselben Berechtigungen wie die Anwendung ausgeführt. Wenn eine anfällige Komponente ausgenutzt wird, kann ein solcher Angriff zu schwerwiegendem Datenverlust oder einer Serverübernahme führen. Anwendungen und APIs, die Komponenten mit bekannten Schwachstellen verwenden, können die Anwendungsverteidigung untergraben und verschiedene Angriffe und Auswirkungen ermöglichen.

ADC WAF-Schutzmaßnahmen

• Citrix empfiehlt, die Komponenten von Drittanbietern auf dem neuesten Stand zu halten.

• Berichte von Schwachstellenscans, die in ADC-Signaturen umgewandelt werden, können verwendet werden, um diese Komponenten virtuell zu patchen.

• Anwendungs-Firewall-Vorlagen, die für diese anfälligen Komponenten verfügbar sind, können verwendet werden.

• Benutzerdefinierte Signaturen können mit der Firewall verbunden werden, um diese Komponenten zu schützen.

A10:2017 – Unzureichende Protokollierung und Überwachung

Unzureichende Protokollierung und Überwachung, gepaart mit fehlender oder ineffektiver Integration in die Reaktion auf Vorfälle, ermöglicht es Angreifern, Systeme weiter anzugreifen, Persistenz aufrechtzuerhalten, auf weitere Systeme überzugreifen und Daten zu manipulieren, zu extrahieren oder zu zerstören. Die meisten Studien zu Sicherheitsverletzungen zeigen, dass die Zeit bis zur Erkennung einer Sicherheitsverletzung über 200 Tage beträgt, wobei die Erkennung typischerweise durch externe Parteien und nicht durch interne Prozesse oder Überwachung erfolgt.

ADC WAF-Schutzfunktionen

• Wenn die Protokollierungsaktion für Sicherheitsprüfungen oder Signaturen aktiviert ist, liefern die resultierenden Protokollmeldungen Informationen über die Anfragen und Antworten, die die Anwendungs-Firewall beim Schutz Ihrer Websites und Anwendungen beobachtet hat.

• Die Anwendungs-Firewall bietet den Komfort, die integrierte ADC-Datenbank zur Identifizierung der Standorte zu verwenden, die den IP-Adressen entsprechen, von denen bösartige Anfragen stammen.

• Standardformat- (PI-)Ausdrücke bieten die Flexibilität, die in den Protokollen enthaltenen Informationen anzupassen, mit der Option, die spezifischen Daten hinzuzufügen, die in den von der Anwendungs-Firewall generierten Protokollmeldungen erfasst werden sollen.

• Die Anwendungs-Firewall unterstützt CEF-Protokolle.

Anwendungssicherheitsschutz

Citrix ADM

Citrix Application Delivery Management Service (Citrix ADM) bietet eine skalierbare Lösung zur Verwaltung von Citrix ADC-Bereitstellungen, die Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web™ Gateway, Citrix ADC SDX, Citrix ADC CPX und Citrix SD-WAN Appliances umfassen, die On-Premises oder in der Cloud bereitgestellt werden.

Citrix ADM Anwendungsanalyse- und Verwaltungsfunktionen

Die folgenden Funktionen sind entscheidend für die Rolle von ADM in der App-Sicherheit.

Anwendungsanalyse und -verwaltung

Die Funktion „Anwendungsanalyse und -verwaltung“ von Citrix ADM stärkt den anwendungszentrierten Ansatz, um Benutzern bei der Bewältigung verschiedener Herausforderungen bei der Anwendungsbereitstellung zu helfen. Dieser Ansatz bietet Benutzern Einblick in die Integritätsbewertungen von Anwendungen, hilft Benutzern, Sicherheitsrisiken zu bestimmen, und hilft Benutzern, Anomalien in den Anwendungsverkehrsflüssen zu erkennen und Korrekturmaßnahmen zu ergreifen. Die wichtigste dieser Rollen für die App-Sicherheit ist die Anwendungssicherheitsanalyse:

• Anwendungssicherheitsanalyse: Anwendungssicherheitsanalyse. Das App Security Dashboard bietet eine ganzheitliche Ansicht des Sicherheitsstatus von Benutzeranwendungen. Es zeigt beispielsweise wichtige Sicherheitsmetriken wie Sicherheitsverletzungen, Signaturverletzungen und Bedrohungsindizes an. Das App Security Dashboard zeigt auch angriffsbezogene Informationen wie SYN-Angriffe, Small-Window-Angriffe und DNS-Flood-Angriffe für die erkannten Citrix ADC-Instanzen an.

StyleBooks

StyleBooks vereinfachen die Verwaltung komplexer Citrix ADC-Konfigurationen für Benutzeranwendungen. Ein StyleBook ist eine Vorlage, die Benutzer verwenden können, um Citrix ADC-Konfigurationen zu erstellen und zu verwalten. Hier geht es den Benutzern hauptsächlich um das StyleBook, das zur Bereitstellung der Web Application Firewall verwendet wird. Weitere Informationen zu StyleBooks finden Sie unter: StyleBooks.

Analysen

Bietet eine einfache und skalierbare Möglichkeit, die verschiedenen Einblicke in die Daten der Citrix ADC-Instanzen zu untersuchen, um die Anwendungsleistung zu beschreiben, vorherzusagen und zu verbessern. Benutzer können eine oder mehrere Analysefunktionen gleichzeitig verwenden. Die wichtigsten dieser Rollen für die App-Sicherheit sind:

• Security Insight: Security Insight. Bietet eine Single-Pane-Lösung, die Benutzern hilft, den Sicherheitsstatus von Benutzeranwendungen zu bewerten und Korrekturmaßnahmen zur Sicherung von Benutzeranwendungen zu ergreifen.

• Bot Insight

• Weitere Informationen zu Analysen finden Sie unter: Analysen.

Weitere Funktionen, die für die ADM-Funktionalität wichtig sind, sind:

Ereignisverwaltung

Ereignisse stellen das Auftreten von Ereignissen oder Fehlern auf einer verwalteten Citrix ADC-Instanz dar. Wenn beispielsweise ein Systemfehler oder eine Konfigurationsänderung auftritt, wird ein Ereignis generiert und in Citrix ADM aufgezeichnet. Im Folgenden sind die zugehörigen Funktionen aufgeführt, die Benutzer mit Citrix ADM konfigurieren oder anzeigen können:

• Erstellen von Ereignisregeln: Ereignisregeln erstellen

• Syslog-Meldungen anzeigen und exportieren: Syslog-Meldungen anzeigen und exportieren

Weitere Informationen zur Ereignisverwaltung finden Sie unter: Ereignisse.

Instanzverwaltung

Ermöglicht Benutzern die Verwaltung der Citrix ADC-, Citrix Gateway-, Citrix Secure Web Gateway- und Citrix SD-WAN-Instanzen. Weitere Informationen zur Instanzverwaltung finden Sie unter: Instanzen hinzufügen.

Lizenzverwaltung

Ermöglicht Benutzern die Verwaltung von Citrix ADC-Lizenzen durch die Konfiguration von Citrix ADM als Lizenzmanager.

• Citrix ADC Pooled Capacity: Pooled Capacity. Ein gemeinsamer Lizenzpool, aus dem eine Citrix ADC-Instanz eine Instanzlizenz und nur so viel Bandbreite entnehmen kann, wie sie benötigt. Wenn die Instanz diese Ressourcen nicht mehr benötigt, gibt sie diese an den gemeinsamen Pool zurück, wodurch die Ressourcen anderen Instanzen zur Verfügung stehen, die sie benötigen.

• Citrix ADC VPX Check-in- und Check-out-Lizenzierung: Citrix ADC VPX Check-in and Check-out Licensing. Citrix ADM weist Citrix ADC VPX-Instanzen bei Bedarf Lizenzen zu. Eine Citrix ADC VPX-Instanz kann die Lizenz von Citrix ADM entnehmen, wenn eine Citrix ADC VPX-Instanz bereitgestellt wird, oder ihre Lizenz an Citrix ADM zurückgeben, wenn eine Instanz entfernt oder zerstört wird.

• Weitere Informationen zur Lizenzverwaltung finden Sie unter: Pooled Capacity.

Konfigurationsverwaltung

Citrix ADM ermöglicht Benutzern das Erstellen von Konfigurationsaufträgen, die ihnen helfen, Konfigurationsaufgaben wie das Erstellen von Entitäten, das Konfigurieren von Funktionen, die Replikation von Konfigurationsänderungen, System-Upgrades und andere Wartungsaktivitäten auf mehreren Instanzen problemlos durchzuführen. Konfigurationsaufträge und -vorlagen vereinfachen die sich am häufigsten wiederholenden Verwaltungsaufgaben zu einer einzigen Aufgabe in Citrix ADM. Weitere Informationen zur Konfigurationsverwaltung finden Sie unter Konfigurationsaufträge: Configuration Jobs.

Konfigurationsprüfung

Ermöglicht Benutzern, Anomalien in den Konfigurationen über Benutzerinstanzen hinweg zu überwachen und zu identifizieren.

• Konfigurationsempfehlung: Get Configuration Advice on Network Configuration. Ermöglicht Benutzern, Konfigurationsanomalien zu identifizieren.

• Prüfvorlage: Create Audit Templates. Ermöglicht Benutzern, die Änderungen über eine bestimmte Konfiguration hinweg zu überwachen.

• Weitere Informationen zur Konfigurationsprüfung finden Sie unter: Configuration Audit.

Signaturen bieten die folgenden Bereitstellungsoptionen, um Benutzern zu helfen, den Schutz von Benutzeranwendungen zu optimieren:

• Negatives Sicherheitsmodell: Mit dem negativen Sicherheitsmodell verwenden Benutzer eine Vielzahl vorkonfigurierter Signaturregeln, um die Leistungsfähigkeit des Musterabgleichs zur Erkennung von Angriffen und zum Schutz vor Anwendungsschwachstellen zu nutzen. Benutzer blockieren nur das, was sie nicht wollen, und erlauben den Rest. Benutzer können ihre eigenen Signaturregeln basierend auf den spezifischen Sicherheitsanforderungen ihrer Anwendungen hinzufügen, um ihre eigenen maßgeschneiderten Sicherheitslösungen zu entwerfen.

• Hybrides Sicherheitsmodell: Zusätzlich zur Verwendung von Signaturen können Benutzer positive Sicherheitsprüfungen verwenden, um eine Konfiguration zu erstellen, die ideal für Benutzeranwendungen geeignet ist. Verwenden Sie Signaturen, um das zu blockieren, was Benutzer nicht wollen, und verwenden Sie positive Sicherheitsprüfungen, um das zu erzwingen, was erlaubt ist.

Um Benutzeranwendungen mithilfe von Signaturen zu schützen, müssen Benutzer ein oder mehrere Profile konfigurieren, um ihr Signaturobjekt zu verwenden. In einer hybriden Sicherheitskonfiguration werden die SQL-Injection- und Cross-Site-Scripting-Muster sowie die SQL-Transformationsregeln im Benutzersignaturobjekt nicht nur von den Signaturregeln, sondern auch von den positiven Sicherheitsprüfungen verwendet, die im Web Application Firewall-Profil konfiguriert sind, das das Signaturobjekt verwendet.

Die Web Application Firewall untersucht den Datenverkehr zu benutzergeschützten Websites und Webdiensten, um Datenverkehr zu erkennen, der einer Signatur entspricht. Eine Übereinstimmung wird nur ausgelöst, wenn jedes Muster in der Regel mit dem Datenverkehr übereinstimmt. Wenn eine Übereinstimmung auftritt, werden die für die Regel angegebenen Aktionen aufgerufen. Benutzer können eine Fehlerseite oder ein Fehlerobjekt anzeigen, wenn eine Anforderung blockiert wird. Protokollmeldungen können Benutzern helfen, Angriffe zu identifizieren, die gegen Benutzeranwendungen gestartet werden. Wenn Benutzer Statistiken aktivieren, verwaltet die Web Application Firewall Daten über Anforderungen, die einer Web Application Firewall-Signatur oder Sicherheitsprüfung entsprechen.

Wenn der Datenverkehr sowohl einer Signatur als auch einer positiven Sicherheitsprüfung entspricht, wird die restriktivere der beiden Aktionen erzwungen. Wenn beispielsweise eine Anforderung einer Signaturregel entspricht, für die die Blockierungsaktion deaktiviert ist, die Anforderung aber auch einer positiven SQL-Injection-Sicherheitsprüfung entspricht, für die die Aktion Blockieren ist, wird die Anforderung blockiert. In diesem Fall könnte die Signaturverletzung als [not blocked] protokolliert werden, obwohl die Anforderung durch die SQL-Injection-Prüfung blockiert wird.

Anpassung: Bei Bedarf können Benutzer eigene Regeln zu einem Signaturobjekt hinzufügen. Benutzer können auch die SQL/XSS-Muster anpassen. Die Möglichkeit, eigene Signaturregeln basierend auf den spezifischen Sicherheitsanforderungen der Benutzeranwendungen hinzuzufügen, gibt Benutzern die Flexibilität, ihre eigenen maßgeschneiderten Sicherheitslösungen zu entwerfen. Benutzer blockieren nur das, was sie nicht wollen, und erlauben den Rest. Ein spezifisches Fast-Match-Muster an einem bestimmten Ort kann den Verarbeitungsaufwand erheblich reduzieren, um die Leistung zu optimieren. Benutzer können SQL-Injection- und Cross-Site-Scripting-Muster hinzufügen, ändern oder entfernen. Integrierte RegEx- und Ausdruckseditoren helfen Benutzern, ihre Benutzermuster zu konfigurieren und deren Genauigkeit zu überprüfen.

Anwendungsfälle

Im Vergleich zu alternativen Lösungen, die die Bereitstellung jedes Dienstes als separate virtuelle Appliance erfordern, kombiniert Citrix ADC auf AWS L4-Lastverteilung, L7-Datenverkehrsmanagement, Server-Offload, Anwendungsbeschleunigung, Anwendungssicherheit, flexible Lizenzierung und andere wesentliche Funktionen zur Anwendungsbereitstellung in einer einzigen VPX-Instanz, die bequem über den AWS Marketplace verfügbar ist. Darüber hinaus wird alles durch ein einziges Richtlinien-Framework gesteuert und mit denselben leistungsstarken Tools verwaltet, die auch für die Administration von lokalen Citrix ADC-Bereitstellungen verwendet werden. Das Nettoergebnis ist, dass Citrix ADC auf AWS mehrere überzeugende Anwendungsfälle ermöglicht, die nicht nur die unmittelbaren Bedürfnisse der heutigen Unternehmen unterstützen, sondern auch die fortlaufende Entwicklung von Legacy-Computing-Infrastrukturen zu Enterprise-Cloud-Rechenzentren.

Citrix Web Application Firewall (WAF)

Citrix Web Application Firewall (WAF) ist eine Unternehmenslösung, die modernste Schutzmaßnahmen für moderne Anwendungen bietet. Citrix WAF mindert Bedrohungen gegen öffentlich zugängliche Assets, einschließlich Websites, Webanwendungen und APIs. Citrix WAF umfasst IP-Reputationsbasiertes Filtern, Bot-Minderung, OWASP Top 10 Anwendungsschutz, Layer 7 DDoS-Schutz und mehr. Ebenfalls enthalten sind Optionen zur Erzwingung von Authentifizierung, starken SSL/TLS-Chiffren, TLS 1.3, Ratenbegrenzung und Rewrite-Richtlinien. Durch die Verwendung sowohl grundlegender als auch erweiterter WAF-Schutzmaßnahmen bietet Citrix WAF umfassenden Schutz für Ihre Anwendungen mit unübertroffener Benutzerfreundlichkeit. Die Inbetriebnahme dauert nur wenige Minuten. Darüber hinaus spart Citrix WAF den Benutzern durch ein automatisiertes Lernmodell, das als dynamisches Profiling bezeichnet wird, wertvolle Zeit. Indem Citrix WAF automatisch lernt, wie eine geschützte Anwendung funktioniert, passt sie sich der Anwendung an, selbst wenn Entwickler die Anwendungen bereitstellen und ändern. Citrix WAF hilft bei der Einhaltung aller wichtigen regulatorischen Standards und Gremien, einschließlich PCI-DSS, HIPAA und mehr. Mit unseren CloudFormation-Vorlagen war es noch nie einfacher, schnell einsatzbereit zu sein. Mit der automatischen Skalierung können Benutzer sicher sein, dass ihre Anwendungen auch bei steigendem Datenverkehr geschützt bleiben.

Bereitstellungsstrategie für die Web Application Firewall

Der erste Schritt bei der Bereitstellung der Web Application Firewall besteht darin, zu bewerten, welche Anwendungen oder spezifischen Daten den maximalen Sicherheitsschutz benötigen, welche weniger anfällig sind und welche Sicherheitsinspektion sicher umgangen werden kann. Dies hilft Benutzern, eine optimale Konfiguration zu finden und geeignete Richtlinien und Bindungspunkte zu entwerfen, um den Datenverkehr zu trennen. Beispielsweise möchten Benutzer möglicherweise eine Richtlinie konfigurieren, um die Sicherheitsinspektion von Anforderungen für statische Webinhalte wie Bilder, MP3-Dateien und Filme zu umgehen, und eine andere Richtlinie konfigurieren, um erweiterte Sicherheitsprüfungen auf Anforderungen für dynamische Inhalte anzuwenden. Benutzer können mehrere Richtlinien und Profile verwenden, um verschiedene Inhalte derselben Anwendung zu schützen.

Der nächste Schritt ist die Festlegung der Basislinie für die Bereitstellung. Beginnen Sie mit der Erstellung eines virtuellen Servers und leiten Sie Testdatenverkehr darüber, um eine Vorstellung von der Rate und Menge des Datenverkehrs zu erhalten, der durch das Benutzersystem fließt.

Stellen Sie dann die Web Application Firewall bereit. Verwenden Sie Citrix ADM und das Web Application Firewall StyleBook, um die Web Application Firewall zu konfigurieren. Details finden Sie im Abschnitt „StyleBook“ weiter unten in diesem Handbuch.

Nachdem die Web Application Firewall bereitgestellt und mit dem Web Application Firewall StyleBook konfiguriert wurde, wäre ein nützlicher nächster Schritt die Implementierung der Citrix ADC WAF und OWASP Top 10.

Schließlich sind drei der Web Application Firewall-Schutzmaßnahmen besonders wirksam gegen gängige Arten von Webangriffen und werden daher häufiger verwendet als alle anderen. Daher sollten sie bei der Erstbereitstellung implementiert werden. Dies sind:

• HTML Cross-Site Scripting. Untersucht Anfragen und Antworten auf Skripte, die versuchen, Inhalte auf einer anderen Website als der, auf der sich das Skript befindet, aufzurufen oder zu ändern. Wenn diese Prüfung ein solches Skript findet, macht sie das Skript entweder harmlos, bevor die Anfrage oder Antwort an ihr Ziel weitergeleitet wird, oder sie blockiert die Verbindung.

• HTML SQL Injection. Untersucht Anfragen, die Formularfelddaten enthalten, auf Versuche, SQL-Befehle in eine SQL-Datenbank einzuschleusen. Wenn diese Prüfung eingeschleusten SQL-Code erkennt, blockiert sie entweder die Anfrage oder macht den eingeschleusten SQL-Code harmlos, bevor die Anfrage an den Webserver weitergeleitet wird.

Hinweis:

Wenn beide der folgenden Bedingungen auf die Benutzerkonfiguration zutreffen, sollten Benutzer sicherstellen, dass Ihre Web Application Firewall korrekt konfiguriert ist:

• Wenn Benutzer die HTML Cross-Site Scripting-Prüfung oder die HTML SQL Injection-Prüfung (oder beide) aktivieren, und

• Benutzergeschützte Websites Dateiuploads akzeptieren oder Webformulare enthalten, die große POST-Body-Daten enthalten können.

Weitere Informationen zum Konfigurieren der Web Application Firewall für diesen Fall finden Sie unter Konfigurieren der Application Firewall: Konfigurieren der Web App Firewall.

• Pufferüberlauf. Untersucht Anfragen, um Versuche zu erkennen, einen Pufferüberlauf auf dem Webserver zu verursachen.

Konfigurieren der Web Application Firewall (WAF)

Die folgenden Schritte setzen voraus, dass die WAF bereits aktiviert ist und ordnungsgemäß funktioniert.

Citrix empfiehlt Benutzern, die WAF mithilfe des Web Application Firewall StyleBook zu konfigurieren. Die meisten Benutzer empfinden dies als die einfachste Methode zur Konfiguration der Web Application Firewall, und sie ist darauf ausgelegt, Fehler zu vermeiden. Sowohl die GUI als auch die Befehlszeilenschnittstelle sind für erfahrene Benutzer gedacht, hauptsächlich um eine bestehende Konfiguration zu ändern oder erweiterte Optionen zu nutzen.

SQL-Injection

Die Application Firewall HTML SQL Injection-Prüfung bietet spezielle Abwehrmaßnahmen gegen die Einschleusung von nicht autorisiertem SQL-Code, der die Anwendungssicherheit des Benutzers beeinträchtigen könnte. Die Citrix Web Application Firewall untersucht die Anforderungsnutzlast an drei Stellen auf eingeschleusten SQL-Code: 1) POST-Body, 2) Header und 3) Cookies.

Ein Standardsatz von Schlüsselwörtern und Sonderzeichen bietet bekannte Schlüsselwörter und Sonderzeichen, die häufig zum Starten von SQL-Angriffen verwendet werden. Benutzer können auch neue Muster hinzufügen und den Standardsatz bearbeiten, um die SQL-Prüfung anzupassen.

Es gibt mehrere Parameter, die für die SQL-Injection-Verarbeitung konfiguriert werden können. Benutzer können nach SQL-Platzhalterzeichen suchen. Benutzer können den SQL-Injection-Typ ändern und eine der 4 Optionen (SQLKeyword, SQLSplChar, SQLSplCharANDKeyword, SQLSplCharORKeyword) auswählen, um anzugeben, wie die SQL-Schlüsselwörter und SQL-Sonderzeichen bei der Verarbeitung der Nutzlast bewertet werden sollen. Der Parameter SQL Comments Handling bietet Benutzern die Möglichkeit, den Typ der Kommentare anzugeben, die während der SQL-Injection-Erkennung überprüft oder ausgenommen werden müssen.

Benutzer können Lockerungen implementieren, um Fehlalarme zu vermeiden. Die Lern-Engine kann Empfehlungen zur Konfiguration von Lockerungsregeln geben.

Die folgenden Optionen stehen zur Konfiguration eines optimierten SQL-Injection-Schutzes für die Benutzeranwendung zur Verfügung:

Blockieren — Wenn Benutzer block aktivieren, wird die Blockierungsaktion nur ausgelöst, wenn die Eingabe der Spezifikation des SQL-Injection-Typs entspricht. Wenn beispielsweise SQLSplCharANDKeyword als SQL-Injection-Typ konfiguriert ist, wird eine Anforderung nicht blockiert, wenn sie keine Schlüsselwörter enthält, selbst wenn SQL-Sonderzeichen in der Eingabe erkannt werden. Eine solche Anforderung wird blockiert, wenn der SQL-Injection-Typ entweder auf SQLSplChar oder SQLSplCharORKeyword eingestellt ist.

Protokollieren — Wenn Benutzer die Protokollierungsfunktion aktivieren, generiert die SQL-Injection-Prüfung Protokollmeldungen, die die von ihr ausgeführten Aktionen angeben. Wenn block deaktiviert ist, wird für jedes Eingabefeld, in dem die SQL-Verletzung erkannt wurde, eine separate Protokollmeldung generiert. Es wird jedoch nur eine Meldung generiert, wenn die Anforderung blockiert wird. Ebenso wird für den Transformationsvorgang eine Protokollmeldung pro Anforderung generiert, selbst wenn SQL-Sonderzeichen in mehreren Feldern transformiert werden. Benutzer können die Protokolle überwachen, um festzustellen, ob Antworten auf legitime Anforderungen blockiert werden. Ein starker Anstieg der Anzahl der Protokollmeldungen kann auf Angriffsversuche hindeuten.

Statistiken — Wenn aktiviert, erfasst die Statistikfunktion Statistiken über Verstöße und Protokolle. Ein unerwarteter Anstieg des Statistikzählers könnte darauf hindeuten, dass die Benutzeranwendung angegriffen wird. Wenn legitime Anforderungen blockiert werden, müssen Benutzer möglicherweise die Konfiguration überprüfen, um festzustellen, ob sie neue Entspannungsregeln konfigurieren oder die vorhandenen ändern müssen.

Lernen — Wenn Benutzer nicht sicher sind, welche SQL-Entspannungsregeln ideal für ihre Anwendungen geeignet sind, können sie die Lernfunktion verwenden, um Empfehlungen basierend auf den gelernten Daten zu generieren. Die Web Application Firewall-Lern-Engine überwacht den Datenverkehr und liefert SQL-Lernempfehlungen basierend auf den beobachteten Werten. Um den optimalen Nutzen ohne Leistungseinbußen zu erzielen, möchten Benutzer möglicherweise die Lernoption für kurze Zeit aktivieren, um eine repräsentative Stichprobe der Regeln zu erhalten, und dann die Regeln bereitstellen und das Lernen deaktivieren.

SQL-Sonderzeichen transformieren — Die Web Application Firewall betrachtet drei Zeichen, das einfache gerade Anführungszeichen (‘), den Backslash () und das Semikolon (;) als Sonderzeichen für die SQL-Sicherheitsprüfung. Die SQL-Transformationsfunktion modifiziert den SQL-Injection-Code in einer HTML-Anforderung, um sicherzustellen, dass die Anforderung harmlos gemacht wird. Die modifizierte HTML-Anforderung wird dann an den Server gesendet. Alle Standard-Transformationsregeln sind in der Datei /netscaler/default_custom_settings.xml angegeben.

• Der Transformationsvorgang macht den SQL-Code inaktiv, indem er die folgenden Änderungen an der Anforderung vornimmt:

• Einfaches gerades Anführungszeichen (‘) zu doppeltem geradem Anführungszeichen (“).

• Backslash () zu doppeltem Backslash ().

• Semikolon (;) wird vollständig entfernt.

Diese drei Zeichen (Sonderzeichenketten) sind notwendig, um Befehle an einen SQL-Server auszugeben. Sofern ein SQL-Befehl nicht mit einer Sonderzeichenkette eingeleitet wird, ignorieren die meisten SQL-Server diesen Befehl. Daher verhindern die Änderungen, die die Web Application Firewall vornimmt, wenn die Transformation aktiviert ist, dass ein Angreifer aktives SQL einschleust. Nachdem diese Änderungen vorgenommen wurden, kann die Anforderung sicher an die vom Benutzer geschützte Website weitergeleitet werden. Wenn Webformulare auf der vom Benutzer geschützten Website legitimerweise SQL-Sonderzeichenketten enthalten können, die Webformulare jedoch nicht auf die Sonderzeichenketten angewiesen sind, um korrekt zu funktionieren, können Benutzer das Blockieren deaktivieren und die Transformation aktivieren, um das Blockieren legitimer Webformulardaten zu verhindern, ohne den Schutz zu verringern, den die Web Application Firewall den vom Benutzer geschützten Websites bietet.

Der Transformationsvorgang funktioniert unabhängig von der Einstellung des SQL-Injection-Typs. Wenn die Transformation aktiviert ist und der SQL-Injection-Typ als SQL-Schlüsselwort angegeben ist, werden SQL-Sonderzeichen transformiert, auch wenn die Anforderung keine Schlüsselwörter enthält.

Tipp:

Benutzer aktivieren normalerweise entweder die Transformation oder das Blockieren, aber nicht beides. Wenn die Blockierungsaktion aktiviert ist, hat sie Vorrang vor der Transformationsaktion. Wenn Benutzer das Blockieren aktiviert haben, ist die Aktivierung der Transformation redundant.

Prüfung auf SQL-Platzhalterzeichen — Platzhalterzeichen können verwendet werden, um die Auswahl einer SQL-Anweisung (SQL-SELECT) zu erweitern. Diese Platzhalteroperatoren können mit den Operatoren LIKE und NOT LIKE verwendet werden, um einen Wert mit ähnlichen Werten zu vergleichen. Die Zeichen Prozent (%) und Unterstrich (_) werden häufig als Platzhalter verwendet. Das Prozentzeichen ist analog zum Sternchen (*)-Platzhalterzeichen, das mit MS-DOS verwendet wird, und zum Abgleichen von null, einem oder mehreren Zeichen in einem Feld. Der Unterstrich ähnelt dem Fragezeichen (?)-Platzhalterzeichen von MS-DOS. Er gleicht eine einzelne Zahl oder ein Zeichen in einem Ausdruck ab.

Benutzer können beispielsweise die folgende Abfrage verwenden, um eine Zeichenfolgensuche durchzuführen und alle Kunden zu finden, deren Namen das Zeichen D enthalten.

SELECT * from customer WHERE name like “%D%”:

Das folgende Beispiel kombiniert die Operatoren, um alle Gehaltswerte zu finden, die an zweiter und dritter Stelle eine 0 haben.

SELECT * from customer WHERE salary like ‘_00%’:

Verschiedene DBMS-Anbieter haben die Platzhalterzeichen durch das Hinzufügen zusätzlicher Operatoren erweitert. Die Citrix Web Application Firewall kann vor Angriffen schützen, die durch das Einschleusen dieser Platzhalterzeichen gestartet werden. Die 5 Standard-Platzhalterzeichen sind Prozent (%), Unterstrich (_), Zirkumflex (^), öffnende Klammer ([), and closing bracket (]). Dieser Schutz gilt sowohl für HTML- als auch für XML-Profile.

Die Standard-Platzhalterzeichen sind eine Liste von Literalen, die in den Standard-Signaturen angegeben sind:

• <wildchar type=” WÖRTLICH”>%</wildchar>

• <wildchar type=”WÖRTLICH”]>_</wildchar>

• <wildchar Typ=”LITERAL”>^</wildchar>

• <wildchar Typ=”LITERAL”>[</wildchar>

• <Platzhalter Typ=”LITERAL”>]</wildchar>

Platzhalterzeichen in einem Angriff können PCRE sein, wie [^A-F]. Die Web Application Firewall unterstützt auch PCRE-Platzhalter, aber die hier gezeigten Literal-Platzhalterzeichen reichen aus, um die meisten Angriffe zu blockieren.

Hinweis:

Die Überprüfung von SQL-Platzhalterzeichen unterscheidet sich von der Überprüfung von SQL-Sonderzeichen. Diese Option muss mit Vorsicht verwendet werden, um Fehlalarme zu vermeiden.

Anfrage auf SQL-Injection-Typ prüfen – Die Web Application Firewall bietet 4 Optionen zur Implementierung des gewünschten Strengegrads für die SQL-Injection-Inspektion, basierend auf den individuellen Anforderungen der Anwendung. Die Anfrage wird anhand der Spezifikation des Injection-Typs auf SQL-Verletzungen geprüft. Die 4 Optionen für den SQL-Injection-Typ sind:

• SQL-Sonderzeichen und -Schlüsselwort – Sowohl ein SQL-Schlüsselwort als auch ein SQL-Sonderzeichen müssen in der Eingabe vorhanden sein, um eine SQL-Verletzung auszulösen. Diese am wenigsten restriktive Einstellung ist auch die Standardeinstellung.

• SQL-Sonderzeichen – Mindestens eines der Sonderzeichen muss in der Eingabe vorhanden sein, um eine SQL-Verletzung auszulösen.

• SQL-Schlüsselwort – Mindestens eines der angegebenen SQL-Schlüsselwörter muss in der Eingabe vorhanden sein, um eine SQL-Verletzung auszulösen. Wählen Sie diese Option nicht ohne sorgfältige Überlegung aus. Um Fehlalarme zu vermeiden, stellen Sie sicher, dass keines der Schlüsselwörter in den Eingaben erwartet wird.

• SQL-Sonderzeichen oder -Schlüsselwort – Entweder das Schlüsselwort oder die Sonderzeichenfolge muss in der Eingabe vorhanden sein, um die Sicherheitsüberprüfungsverletzung auszulösen.

Tipp:

Wenn Benutzer die Web Application Firewall so konfigurieren, dass sie Eingaben auf SQL-Sonderzeichen überprüft, überspringt die Web Application Firewall Webformularfelder, die keine Sonderzeichen enthalten. Da die meisten SQL-Server SQL-Befehle, denen kein Sonderzeichen vorangestellt ist, nicht verarbeiten, kann die Aktivierung dieser Option die Last auf der Web Application Firewall erheblich reduzieren und die Verarbeitung beschleunigen, ohne die vom Benutzer geschützten Websites zu gefährden.

SQL-Kommentarbehandlung – Standardmäßig überprüft die Web Application Firewall alle SQL-Kommentare auf eingeschleuste SQL-Befehle. Viele SQL-Server ignorieren jedoch alles in einem Kommentar, selbst wenn ihm ein SQL-Sonderzeichen vorangestellt ist. Für eine schnellere Verarbeitung können Sie, wenn Ihr SQL-Server Kommentare ignoriert, die Web Application Firewall so konfigurieren, dass sie Kommentare überspringt, wenn sie Anfragen auf eingeschleuste SQL-Befehle untersucht. Die Optionen für die SQL-Kommentarbehandlung sind:

• ANSI – Überspringt SQL-Kommentare im ANSI-Format, die normalerweise von UNIX-basierten SQL-Datenbanken verwendet werden. Zum Beispiel:

  • /– (Zwei Bindestriche) – Dies ist ein Kommentar, der mit zwei Bindestrichen beginnt und mit dem Zeilenende endet.

  • {} – Geschweifte Klammern (Geschweifte Klammern umschließen den Kommentar. Die { steht vor dem Kommentar und die } folgt ihm. Geschweifte Klammern können ein- oder mehrzeilige Kommentare abgrenzen, aber Kommentare können nicht verschachtelt werden)

  • /*/: C-Stil-Kommentare (Erlaubt keine verschachtelten Kommentare). Bitte beachten Sie /! <comment that begins with a slash followed by an asterisk and an exclamation mark is not a comment > */

  • MySQL Server unterstützt einige Varianten von C-Stil-Kommentaren. Diese ermöglichen es Benutzern, Code zu schreiben, der MySQL-Erweiterungen enthält, aber dennoch portabel ist, indem Kommentare in der folgenden Form verwendet werden: [/*! MySQL-specific code */]

  • .#: MySQL-Kommentare: Dies ist ein Kommentar, der mit dem Zeichen # beginnt und mit dem Zeilenende endet

• Verschachtelt – Überspringt verschachtelte SQL-Kommentare, die normalerweise von Microsoft SQL Server verwendet werden. Zum Beispiel; – (Zwei Bindestriche) und /**/ (Erlaubt verschachtelte Kommentare)

• ANSI/Verschachtelt – Überspringt Kommentare, die sowohl den ANSI- als auch den verschachtelten SQL-Kommentarstandards entsprechen. Kommentare, die nur dem ANSI-Standard oder nur dem verschachtelten Standard entsprechen, werden weiterhin auf eingeschleuste SQL-Befehle überprüft.

• Alle Kommentare prüfen – Überprüft die gesamte Anfrage auf eingeschleuste SQL-Befehle, ohne etwas zu überspringen. Dies ist die Standardeinstellung.

Tipp:

In den meisten Fällen sollten Benutzer die Option „Nested“ oder „ANSI/Nested“ nicht wählen, es sei denn, ihre Backend-Datenbank läuft auf Microsoft SQL Server. Die meisten anderen Arten von SQL-Server-Software erkennen verschachtelte Kommentare nicht. Wenn verschachtelte Kommentare in einer Anfrage erscheinen, die an einen anderen SQL-Server-Typ gerichtet ist, könnten sie auf einen Versuch hinweisen, die Sicherheit auf diesem Server zu verletzen.

Anforderungsheader prüfen — Aktivieren Sie diese Option, wenn Benutzer zusätzlich zur Überprüfung der Eingaben in den Formularfeldern die Anforderungsheader auf HTML-SQL-Injection-Angriffe prüfen möchten. Wenn Benutzer die GUI verwenden, können sie diesen Parameter im Bereich Erweiterte Einstellungen -> Profileinstellungen des Web Application Firewall-Profils aktivieren.

Hinweis:

Wenn Benutzer das Flag „Anforderungsheader prüfen“ aktivieren, müssen sie möglicherweise eine Entspannungsregel für den User-Agent-Header konfigurieren. Das Vorhandensein des SQL-Schlüsselworts like und eines SQL-Sonderzeichens Semikolon (;) könnte Fehlalarme auslösen und Anfragen blockieren, die diesen Header enthalten. Warnung: Wenn Benutzer sowohl die Überprüfung als auch die Transformation von Anforderungsheadern aktivieren, werden auch alle in Headern gefundenen SQL-Sonderzeichen transformiert. Die Header Accept, Accept-Charset, Accept-Encoding, Accept-Language, Expect und User-Agent enthalten normalerweise Semikolons (;). Das gleichzeitige Aktivieren von Anforderungsheader-Prüfung und Transformation kann zu Fehlern führen.

InspectQueryContentTypes — Konfigurieren Sie diese Option, wenn Benutzer den Abfrageabschnitt der Anforderung auf SQL-Injection-Angriffe für die spezifischen Inhaltstypen untersuchen möchten. Wenn Benutzer die GUI verwenden, können sie diesen Parameter im Bereich Erweiterte Einstellungen -> Profileinstellungen des Application Firewall-Profils konfigurieren.

Cross-Site-Scripting

Die HTML-Cross-Site-Scripting-Prüfung (Cross-Site-Scripting) untersucht sowohl die Header als auch die POST-Bodies von Benutzeranfragen auf mögliche Cross-Site-Scripting-Angriffe. Wenn sie ein Cross-Site-Skript findet, modifiziert (transformiert) sie entweder die Anfrage, um den Angriff harmlos zu machen, oder blockiert die Anfrage.

Hinweis:

Die HTML-Cross-Site-Scripting-Prüfung (Cross-Site-Scripting) funktioniert nur für Inhaltstyp, Inhaltslänge usw. Sie funktioniert nicht für Cookies. Stellen Sie außerdem sicher, dass die Option „checkRequestHeaders“ im Web Application Firewall-Profil des Benutzers aktiviert ist.

Um den Missbrauch von Skripten auf benutzergeschützten Websites zur Verletzung der Sicherheit auf Benutzerwebsites zu verhindern, blockiert die HTML-Cross-Site-Scripting-Prüfung Skripte, die die Same-Origin-Regel verletzen, die besagt, dass Skripte Inhalte auf keinem anderen Server als dem, auf dem sie sich befinden, zugreifen oder ändern sollten. Jedes Skript, das die Same-Origin-Regel verletzt, wird als Cross-Site-Skript bezeichnet, und die Praxis, Skripte zum Zugriff oder zur Änderung von Inhalten auf einem anderen Server zu verwenden, wird als Cross-Site-Scripting bezeichnet. Der Grund, warum Cross-Site-Scripting ein Sicherheitsproblem darstellt, ist, dass ein Webserver, der Cross-Site-Scripting zulässt, mit einem Skript angegriffen werden kann, das sich nicht auf diesem Webserver befindet, sondern auf einem anderen Webserver, z. B. einem, der dem Angreifer gehört und von ihm kontrolliert wird.

Leider verfügen viele Unternehmen über eine große installierte Basis von JavaScript-erweiterten Webinhalten, die die Same-Origin-Regel verletzen. Wenn Benutzer die HTML-Cross-Site-Scripting-Prüfung auf einer solchen Site aktivieren, müssen sie die entsprechenden Ausnahmen generieren, damit die Prüfung keine legitimen Aktivitäten blockiert.

Die Web Application Firewall bietet verschiedene Aktionsoptionen zur Implementierung des HTML-Cross-Site-Scripting-Schutzes. Zusätzlich zu den Aktionen Blockieren, Protokollieren, Statistiken und Lernen haben Benutzer auch die Möglichkeit, Cross-Site-Skripte zu transformieren, um einen Angriff harmlos zu machen, indem die Skript-Tags in der übermittelten Anfrage entitätskodiert werden. Benutzer können den Parameter „Vollständige URLs auf Cross-Site-Scripting prüfen“ konfigurieren, um anzugeben, ob sie nicht nur die Abfrageparameter, sondern die gesamte URL auf einen Cross-Site-Scripting-Angriff überprüfen möchten. Benutzer können den Parameter InspectQueryContentTypes konfigurieren, um den Abfrageabschnitt der Anforderung auf einen Cross-Site-Scripting-Angriff für die spezifischen Inhaltstypen zu überprüfen.

Benutzer können Entspannungen bereitstellen, um Fehlalarme zu vermeiden. Die Lern-Engine der Web Application Firewall kann Empfehlungen zur Konfiguration von Entspannungsregeln geben.

Die folgenden Optionen stehen zur Konfiguration eines optimierten HTML-Cross-Site-Scripting-Schutzes für die Benutzeranwendung zur Verfügung:

• Blockieren – Wenn Benutzer block aktivieren, wird die Blockierungsaktion ausgelöst, wenn die Cross-Site-Scripting-Tags in der Anfrage erkannt werden.

• Protokoll – Wenn Benutzer die Protokollierungsfunktion aktivieren, generiert die HTML-Cross-Site-Scripting-Prüfung Protokollmeldungen, die die von ihr durchgeführten Aktionen anzeigen. Wenn block deaktiviert ist, wird eine separate Protokollmeldung für jeden Header oder jedes Formularfeld generiert, in dem die Cross-Site-Scripting-Verletzung erkannt wurde. Es wird jedoch nur eine Meldung generiert, wenn die Anfrage blockiert wird. Ähnlich wird eine Protokollmeldung pro Anfrage für den Transformationsvorgang generiert, selbst wenn Cross-Site-Scripting-Tags in mehreren Feldern transformiert werden. Benutzer können die Protokolle überwachen, um festzustellen, ob Antworten auf legitime Anfragen blockiert werden. Ein starker Anstieg der Anzahl der Protokollmeldungen kann auf Angriffsversuche hindeuten.

• Statistiken – Wenn aktiviert, sammelt die Statistikfunktion Daten über Verstöße und Protokolle. Ein unerwarteter Anstieg des Statistikzählers könnte darauf hindeuten, dass die Benutzeranwendung angegriffen wird. Wenn legitime Anfragen blockiert werden, müssen Benutzer möglicherweise die Konfiguration überprüfen, um festzustellen, ob sie neue Entspannungsregeln konfigurieren oder die bestehenden ändern müssen.

• Lernen – Wenn Benutzer nicht sicher sind, welche Entspannungsregeln ideal für ihre Anwendung geeignet sind, können sie die Lernfunktion verwenden, um HTML-Cross-Site-Scripting-Regel-Empfehlungen basierend auf den gelernten Daten zu generieren. Die Lern-Engine der Web Application Firewall überwacht den Datenverkehr und liefert Lernempfehlungen basierend auf den beobachteten Werten. Um optimalen Nutzen ohne Leistungseinbußen zu erzielen, möchten Benutzer möglicherweise die Lernoption für kurze Zeit aktivieren, um eine repräsentative Stichprobe der Regeln zu erhalten, und dann die Regeln bereitstellen und das Lernen deaktivieren.

• Cross-Site-Skripte transformieren – Wenn aktiviert, nimmt die Web Application Firewall die folgenden Änderungen an Anfragen vor, die der HTML-Cross-Site-Scripting-Prüfung entsprechen:

  • Linke spitze Klammer (<) in das entsprechende HTML-Zeichen-Entity (<)

  • Rechte spitze Klammer (>) in das entsprechende HTML-Zeichen-Entity (>)

Dies stellt sicher, dass Browser unsichere HTML-Tags, wie z. B. <script>, nicht interpretieren und dadurch bösartigen Code ausführen. Wenn Benutzer sowohl die Überprüfung der Anforderungsheader als auch die Transformation aktivieren, werden alle in den Anforderungsheadern gefundenen Sonderzeichen ebenfalls wie oben beschrieben geändert. Wenn Skripte auf der vom Benutzer geschützten Website Cross-Site-Scripting-Funktionen enthalten, die Benutzer-Website jedoch nicht auf diese Skripte angewiesen ist, um korrekt zu funktionieren, können Benutzer das Blockieren sicher deaktivieren und die Transformation aktivieren. Diese Konfiguration stellt sicher, dass kein legitimer Web-Traffic blockiert wird, während potenzielle Cross-Site-Scripting-Angriffe gestoppt werden.

• Vollständige URLs auf Cross-Site-Scripting prüfen – Wenn die Überprüfung vollständiger URLs aktiviert ist, untersucht die Web Application Firewall ganze URLs auf HTML-Cross-Site-Scripting-Angriffe, anstatt nur die Abfrageabschnitte von URLs zu prüfen.

• Anforderungsheader prüfen – Wenn die Überprüfung der Anforderungsheader aktiviert ist, untersucht die Web Application Firewall die Header von Anfragen auf HTML-Cross-Site-Scripting-Angriffe, anstatt nur URLs zu prüfen. Wenn Benutzer die GUI verwenden, können sie diesen Parameter auf der Registerkarte „Einstellungen“ des Web Application Firewall-Profils aktivieren.

• InspectQueryContentTypes – Wenn die Überprüfung der Anforderungsabfrage konfiguriert ist, untersucht die Application Firewall die Abfrage von Anfragen auf Cross-Site-Scripting-Angriffe für die spezifischen Inhaltstypen. Wenn Benutzer die GUI verwenden, können sie diesen Parameter auf der Registerkarte „Einstellungen“ des Application Firewall-Profils konfigurieren.

Wichtig:

Im Rahmen der Streaming-Änderungen hat sich die Verarbeitung der Cross-Site-Scripting-Tags durch die Web Application Firewall geändert. In früheren Versionen wurde das Vorhandensein einer öffnenden Klammer (<), einer schließenden Klammer (>) oder beider Klammern (<>) als Cross-Site-Scripting-Verletzung gekennzeichnet. Das Verhalten hat sich in den Builds geändert, die Unterstützung für Request-Side-Streaming beinhalten. Nur das schließende Klammerzeichen (>) wird nicht mehr als Angriff betrachtet. Anfragen werden blockiert, selbst wenn ein öffnendes Klammerzeichen (<) vorhanden ist und als Angriff betrachtet wird. Der Cross-Site-Scripting-Angriff wird gekennzeichnet.

Pufferüberlaufprüfung

Die Pufferüberlaufprüfung erkennt Versuche, einen Pufferüberlauf auf dem Webserver zu verursachen. Wenn die Web Application Firewall erkennt, dass die URL, Cookies oder der Header länger als die konfigurierte Länge sind, blockiert sie die Anfrage, da dies einen Pufferüberlauf verursachen kann.

Die Pufferüberlauf-Prüfung verhindert Angriffe auf unsichere Betriebssystem- oder Webserver-Software, die abstürzen oder unvorhersehbar reagieren kann, wenn sie eine Datenzeichenfolge empfängt, die größer ist, als sie verarbeiten kann. Richtige Programmiertechniken verhindern Pufferüberläufe, indem sie eingehende Daten prüfen und überlange Zeichenfolgen entweder ablehnen oder kürzen. Viele Programme prüfen jedoch nicht alle eingehenden Daten und sind daher anfällig für Pufferüberläufe. Dieses Problem betrifft insbesondere ältere Versionen von Webserver-Software und Betriebssystemen, von denen viele noch in Gebrauch sind.

Die Sicherheitsprüfung für Pufferüberlauf ermöglicht es Benutzern, die Aktionen Blockieren, Protokollieren und Statistiken zu konfigurieren. Darüber hinaus können Benutzer auch die folgenden Parameter konfigurieren:

• Maximale URL-Länge. Die maximale Länge, die die Web Application Firewall für eine angeforderte URL zulässt. Anfragen mit längeren URLs werden blockiert. Mögliche Werte: 0–65535. Standard: 1024

• Maximale Cookie-Länge. Die maximale Länge, die die Web Application Firewall für alle Cookies in einer Anfrage zulässt. Anfragen mit längeren Cookies lösen die Verletzungen aus. Mögliche Werte: 0–65535. Standard: 4096

• Maximale Header-Länge. Die maximale Länge, die die Web Application Firewall für HTTP-Header zulässt. Anfragen mit längeren Headern werden blockiert. Mögliche Werte: 0–65535. Standard: 4096

• Abfragezeichenfolgenlänge. Maximale Länge, die für eine Abfragezeichenfolge in einer eingehenden Anfrage zulässig ist. Anfragen mit längeren Abfragen werden blockiert. Mögliche Werte: 0–65535. Standard: 1024

• Gesamte Anfragelänge. Maximale Anfragelänge, die für eine eingehende Anfrage zulässig ist. Anfragen mit längerer Länge werden blockiert. Mögliche Werte: 0–65535. Standard: 24820

Virtuelles Patching/Signaturen

Die Signaturen bieten spezifische, konfigurierbare Regeln, um die Aufgabe des Schutzes von Benutzer-Websites vor bekannten Angriffen zu vereinfachen. Eine Signatur stellt ein Muster dar, das eine Komponente eines bekannten Angriffs auf ein Betriebssystem, einen Webserver, eine Website, einen XML-basierten Webdienst oder eine andere Ressource ist. Ein umfangreicher Satz vorkonfigurierter integrierter oder nativer Regeln bietet eine einfach zu bedienende Sicherheitslösung, die die Leistungsfähigkeit des Mustervergleichs nutzt, um Angriffe zu erkennen und vor Anwendungsschwachstellen zu schützen.

Benutzer können ihre eigenen Signaturen erstellen oder Signaturen in den integrierten Vorlagen verwenden. Die Web Application Firewall verfügt über zwei integrierte Vorlagen:

• Standardsignaturen: Diese Vorlage enthält eine vorkonfigurierte Liste von über 1.300 Signaturen sowie eine vollständige Liste von SQL-Injection-Schlüsselwörtern, SQL-Sonderzeichenfolgen, SQL-Transformationsregeln und SQL-Platzhalterzeichen. Sie enthält auch verbotene Muster für Cross-Site-Scripting sowie zulässige Attribute und Tags für Cross-Site-Scripting. Dies ist eine schreibgeschützte Vorlage. Benutzer können den Inhalt anzeigen, aber sie können nichts in dieser Vorlage hinzufügen, bearbeiten oder löschen. Um sie zu verwenden, müssen Benutzer eine Kopie erstellen. In ihrer eigenen Kopie können Benutzer die Signaturregeln aktivieren, die sie auf ihren Datenverkehr anwenden möchten, und die Aktionen festlegen, die ausgeführt werden sollen, wenn die Signaturregeln mit dem Datenverkehr übereinstimmen.

Die Signaturen werden von den Regeln abgeleitet, die von SNORT veröffentlicht wurden: SNORT, einem Open-Source-Intrusion-Prevention-System, das in der Lage ist, Echtzeit-Verkehrsanalyse durchzuführen, um verschiedene Angriffe und Sonden zu erkennen.

• *XPath-Injection-Muster: Diese Vorlage enthält einen vorkonfigurierten Satz von Literal- und PCRE-Schlüsselwörtern und Sonderzeichenfolgen, die zur Erkennung von XPath (XML Path Language)-Injection-Angriffen verwendet werden.

Leere Signaturen: Zusätzlich zur Erstellung einer Kopie der integrierten Standardsignaturen-Vorlage können Benutzer eine leere Signaturen-Vorlage verwenden, um ein Signaturobjekt zu erstellen. Das Signaturobjekt, das Benutzer mit der Option für leere Signaturen erstellen, hat keine nativen Signaturregeln, aber genau wie die Standardvorlage verfügt es über alle integrierten SQL/XSS-Entitäten.

Signaturen im externen Format: Die Web Application Firewall unterstützt auch Signaturen im externen Format. Benutzer können den Scanbericht von Drittanbietern mithilfe der von der Citrix Web Application Firewall unterstützten XSLT-Dateien importieren. Ein Satz integrierter XSLT-Dateien ist für ausgewählte Scan-Tools verfügbar, um Dateien im externen Format in das native Format zu übersetzen (siehe die Liste der integrierten XSLT-Dateien später in diesem Abschnitt).

Während Signaturen Benutzern helfen, das Risiko offener Schwachstellen zu reduzieren und die geschäftskritischen Webserver des Benutzers zu schützen, während sie auf Effizienz abzielen, verursachen Signaturen jedoch zusätzliche Kosten für die CPU-Verarbeitung.

Es ist wichtig, die richtigen Signaturen für die Anforderungen der Benutzeranwendung auszuwählen. Aktivieren Sie nur die Signaturen, die für die Kundenanwendung/Umgebung relevant sind.

Citrix bietet Signaturen in mehr als 10 verschiedenen Kategorien über Plattformen/Betriebssysteme/Technologien hinweg an.

Die Datenbank der Signaturregeln ist umfangreich, da sich Angriffsinformationen über die Jahre angesammelt haben. Daher sind die meisten alten Regeln möglicherweise nicht für alle Netzwerke relevant, da Softwareentwickler sie möglicherweise bereits gepatcht haben oder Kunden eine neuere Version des Betriebssystems verwenden.

Signatur-Updates

Citrix Web Application Firewall unterstützt sowohl die automatische als auch die manuelle Aktualisierung von Signaturen. Wir empfehlen außerdem, die automatische Aktualisierung für Signaturen zu aktivieren, um auf dem neuesten Stand zu bleiben.

Diese Signaturdateien werden in der AWS-Umgebung gehostet, und es ist wichtig, ausgehenden Zugriff auf NetScaler®-IPs von Netzwerk-Firewalls zuzulassen, um die neuesten Signaturdateien abzurufen. Das Aktualisieren von Signaturen auf dem ADC hat keine Auswirkungen auf die Verarbeitung von Echtzeit-Traffic.

Anwendungssicherheitsanalyse

Das Application Security Dashboard bietet eine ganzheitliche Ansicht des Sicherheitsstatus von Benutzeranwendungen. Es zeigt beispielsweise wichtige Sicherheitsmetriken wie Sicherheitsverletzungen, Signaturverletzungen und Bedrohungsindizes an. Das Application Security Dashboard zeigt auch angriffsbezogene Informationen wie SYN-Angriffe, Small-Window-Angriffe und DNS-Flood-Angriffe für die erkannten Citrix ADC-Instanzen an.

Hinweis:

Um die Metriken des Application Security Dashboards anzuzeigen, muss AppFlow® für Security Insight auf den Citrix ADC-Instanzen aktiviert sein, die Benutzer überwachen möchten.

So zeigen Sie die Sicherheitsmetriken einer Citrix ADC-Instanz im Anwendungssicherheits-Dashboard an

1. Melden Sie sich mit den Administratoranmeldeinformationen bei Citrix ADM an.

2. Navigieren Sie zu Anwendungen > App Security Dashboard, und wählen Sie die Instanz-IP-Adresse aus der Liste der Geräte aus.

Benutzer können die im Application Security Investigator gemeldeten Unstimmigkeiten weiter detaillieren, indem sie auf die im Diagramm dargestellten Blasen klicken.

Zentralisiertes Lernen auf ADM

Citrix Web Application Firewall (WAF) schützt Benutzer-Webanwendungen vor bösartigen Angriffen wie SQL-Injection und Cross-Site-Scripting (XSS). Um Datenlecks zu verhindern und den richtigen Sicherheitsschutz zu bieten, müssen Benutzer ihren Datenverkehr auf Bedrohungen und umsetzbare Echtzeitdaten zu Angriffen überwachen. Manchmal können die gemeldeten Angriffe Fehlalarme sein, die als Ausnahme behandelt werden müssen.

Das zentralisierte Lernen auf Citrix ADM ist ein sich wiederholender Musterfilter, der es WAF ermöglicht, das Verhalten (die normalen Aktivitäten) von Benutzer-Webanwendungen zu lernen. Basierend auf der Überwachung generiert die Engine eine Liste vorgeschlagener Regeln oder Ausnahmen für jede Sicherheitsprüfung, die auf den HTTP-Verkehr angewendet wird.

Es ist viel einfacher, Entspannungsregeln mit der Lern-Engine bereitzustellen, als sie manuell als notwendige Entspannungen bereitzustellen.

Um die Lernfunktion bereitzustellen, müssen Benutzer zuerst ein Web Application Firewall-Profil (eine Reihe von Sicherheitseinstellungen) auf der Citrix ADC-Appliance des Benutzers konfigurieren. Weitere Informationen finden Sie unter Erstellen von Web Application Firewall-Profilen: Erstellen von Web App Firewall-Profilen.

Citrix ADM generiert eine Liste von Ausnahmen (Relaxationen) für jede Sicherheitsprüfung. Als Administrator können Benutzer die Liste der Ausnahmen in Citrix ADM überprüfen und entscheiden, ob sie bereitgestellt oder übersprungen werden sollen.

Mit der WAF-Lernfunktion in Citrix ADM können Benutzer:

• Ein Lernprofil mit den folgenden Sicherheitsprüfungen konfigurieren

  • Pufferüberlauf

  • HTML-Cross-Site-Scripting

  Hinweis:

  Die Cross-Site-Script-Einschränkung des Speicherorts ist nur FormField.

  • HTML-SQL-Injection

  Hinweis:

  Für die HTML-SQL-Injection-Prüfung müssen Benutzer set -sqlinjectionTransformSpecialChars auf ON und set -sqlinjectiontype sqlspclcharorkeywords in der Citrix ADC-Instanz konfigurieren.

• Überprüfen Sie die Entspannungsregeln in Citrix ADM und entscheiden Sie, ob Sie die erforderlichen Maßnahmen ergreifen (bereitstellen oder überspringen).

• Erhalten Sie Benachrichtigungen per E-Mail, Slack und ServiceNow

• Verwenden Sie das Dashboard, um Entspannungsdetails anzuzeigen

So verwenden Sie das WAF-Lernen in Citrix ADM:

1. Lernprofil konfigurieren: Lernprofil konfigurieren

2. Entspannungsregeln anzeigen: Entspannungsregeln und Leerlaufregeln anzeigen

3. WAF-Lern-Dashboard verwenden: WAF-Lern-Dashboard anzeigen

StyleBook

Citrix Web Application Firewall ist eine Web Application Firewall (WAF), die Webanwendungen und Websites vor bekannten und unbekannten Angriffen schützt, einschließlich aller Angriffe auf Anwendungsebene und Zero-Day-Bedrohungen.

Citrix ADM bietet jetzt ein Standard-StyleBook, mit dem Benutzer bequemer eine Anwendung-Firewall-Konfiguration auf Citrix ADC-Instanzen erstellen können.

Bereitstellen von Anwendung-Firewall-Konfigurationen

Die folgende Aufgabe unterstützt Sie bei der Bereitstellung einer Lastenausgleichskonfiguration zusammen mit der Anwendung-Firewall und der IP-Reputationsrichtlinie auf Citrix ADC-Instanzen in Ihrem Unternehmensnetzwerk.

So erstellen Sie eine LB-Konfiguration mit Anwendung-Firewall-Einstellungen

Navigieren Sie in Citrix ADM zu Applications > Configurations > StyleBooks. Die Seite „StyleBooks“ zeigt alle StyleBooks an, die für Kunden in Citrix verfügbar sind.

• ADM. Scrollen Sie nach unten und suchen Sie das HTTP/SSL Load Balancing StyleBook mit Anwendungs-Firewall-Richtlinie und IP-Reputationsrichtlinie. Benutzer können auch nach dem StyleBook suchen, indem sie den Namen als lb-appfw eingeben. Klicken Sie auf Konfiguration erstellen.

Das StyleBook wird als Benutzeroberfläche geöffnet, auf der Benutzer die Werte für alle in diesem StyleBook definierten Parameter eingeben können.

• Geben Sie Werte für die folgenden Parameter ein:

  • Name der Lastenausgleichsanwendung. Name der Lastenausgleichskonfiguration mit einer Anwendungs-Firewall, die im Benutzernetzwerk bereitgestellt werden soll.

  • Virtuelle IP-Adresse der Lastenausgleichsanwendung. Virtuelle IP-Adresse, unter der die Citrix ADC-Instanz Clientanfragen empfängt.

  • Virtueller Port der Lastenausgleichsanwendung. Der TCP-Port, der von den Benutzern für den Zugriff auf die Lastenausgleichsanwendung verwendet werden soll.

  • Protokoll der Lastenausgleichsanwendung. Wählen Sie das Frontend-Protokoll aus der Liste aus.

  • Anwendungsserverprotokoll. Wählen Sie das Protokoll des Anwendungsservers aus.

• Optional können Benutzer die Erweiterten Lastenausgleichseinstellungen aktivieren und konfigurieren.

• Optional können Benutzer auch einen Authentifizierungsserver für die Authentifizierung des Datenverkehrs für den virtuellen Lastenausgleichsserver einrichten.

• Klicken Sie im Abschnitt „Server-IPs und Ports“ auf „+“, um Anwendungsserver und die Ports zu erstellen, über die sie zugänglich sind.

• Benutzer können auch FQDN-Namen für Anwendungsserver erstellen.

• Benutzer können auch die Details des SSL-Zertifikats angeben.

• Benutzer können auch Monitore in der Ziel-Citrix ADC-Instanz erstellen.

• Um die Anwendungs-Firewall auf dem virtuellen Server zu konfigurieren, aktivieren Sie die WAF-Einstellungen.

Stellen Sie sicher, dass die Richtlinienregel der Anwendungs-Firewall wahr ist, wenn Benutzer die Anwendungs-Firewall-Einstellungen auf den gesamten Datenverkehr auf dieser VIP anwenden möchten. Andernfalls geben Sie die Citrix ADC-Richtlinienregel an, um eine Untermenge von Anforderungen auszuwählen, auf die die Anwendungs-Firewall-Einstellungen angewendet werden sollen. Wählen Sie als Nächstes den Profiltyp aus, der angewendet werden soll – HTML oder XML.

• Optional können Benutzer detaillierte Anwendungs-Firewall-Profileinstellungen konfigurieren, indem sie das Kontrollkästchen „Anwendungs-Firewall-Profileinstellungen“ aktivieren.

• Optional, wenn Benutzer Anwendungs-Firewall-Signaturen konfigurieren möchten, geben Sie den Namen des Signaturobjekts ein, das auf der Citrix ADC-Instanz erstellt wird, auf der der virtuelle Server bereitgestellt werden soll.

Hinweis:

Benutzer können mit diesem StyleBook keine Signaturobjekte erstellen.

• Als Nächstes können Benutzer auch alle anderen Anwendungs-Firewall-Profileinstellungen konfigurieren, wie z. B. StartURL-Einstellungen, DenyURL-Einstellungen und andere.

Weitere Informationen zur Application Firewall und den Konfigurationseinstellungen finden Sie unter Application Firewall.

• Wählen Sie im Abschnitt Zielinstanzen die Citrix ADC-Instanz aus, auf der der Lastausgleichs-Virtual-Server mit der Application Firewall bereitgestellt werden soll.

Hinweis:

Benutzer können auch auf das Aktualisierungssymbol klicken, um kürzlich entdeckte Citrix ADC-Instanzen in Citrix ADM zur verfügbaren Liste der Instanzen in diesem Fenster hinzuzufügen.

• Benutzer können auch die IP-Reputationsprüfung aktivieren, um die IP-Adresse zu identifizieren, die unerwünschte Anfragen sendet. Benutzer können die IP-Reputationsliste verwenden, um Anfragen, die von IPs mit schlechtem Ruf stammen, präventiv abzulehnen.

Tipp:

Citrix empfiehlt Benutzern, „Trockenlauf“ auszuwählen, um die Konfigurationsobjekte zu überprüfen, die auf der Zielinstanz erstellt werden müssen, bevor sie die eigentliche Konfiguration auf der Instanz ausführen.

Wenn die Konfiguration erfolgreich erstellt wurde, erstellt das StyleBook den erforderlichen Lastausgleichs-Virtual-Server, Anwendungsserver, Dienste, Dienstgruppen, Application Firewall-Labels und Application Firewall-Richtlinien und bindet diese an den Lastausgleichs-Virtual-Server.

Die folgende Abbildung zeigt die in jedem Server erstellten Objekte:

• Um das in Citrix ADM erstellte ConfigPack anzuzeigen, navigieren Sie zu Anwendungen > Konfigurationen.

Security Insight Analytics

Web- und Webdienstanwendungen, die dem Internet ausgesetzt sind, sind zunehmend anfälliger für Angriffe geworden. Um Anwendungen vor Angriffen zu schützen, benötigen Benutzer Einblick in die Art und das Ausmaß vergangener, gegenwärtiger und bevorstehender Bedrohungen, umsetzbare Echtzeitdaten zu Angriffen und Empfehlungen für Gegenmaßnahmen. Security Insight bietet eine Single-Pane-Lösung, die Benutzern hilft, den Sicherheitsstatus von Benutzeranwendungen zu bewerten und Korrekturmaßnahmen zur Sicherung von Benutzeranwendungen zu ergreifen.

So funktioniert Security Insight

Security Insight ist eine intuitive, Dashboard-basierte Sicherheitsanalyselösung, die Benutzern vollständige Transparenz über die Bedrohungsumgebung im Zusammenhang mit Benutzeranwendungen bietet. Security Insight ist in Citrix ADM enthalten und generiert regelmäßig Berichte basierend auf den Sicherheitskonfigurationen der Benutzer-Anwendungsfirewall und des ADC-Systems. Die Berichte enthalten die folgenden Informationen für jede Anwendung:

• Bedrohungsindex. Ein einstelliges Bewertungssystem, das die Kritikalität von Angriffen auf die Anwendung angibt, unabhängig davon, ob die Anwendung durch eine ADC-Appliance geschützt ist. Je kritischer die Angriffe auf eine Anwendung, desto höher ist der Bedrohungsindex für diese Anwendung. Die Werte reichen von 1 bis 7.

Der Bedrohungsindex basiert auf Angriffsinformationen. Die angriffsbezogenen Informationen, wie z. B. Verletzungstyp, Angriffskategorie, Ort und Clientdetails, geben Benutzern Einblick in die Angriffe auf die Anwendung. Verletzungsinformationen werden nur dann an Citrix ADM gesendet, wenn eine Verletzung oder ein Angriff auftritt. Viele Sicherheitsverletzungen und Schwachstellen führen zu einem hohen Bedrohungsindexwert.

• Sicherheitsindex. Ein einstelliges Bewertungssystem, das angibt, wie sicher Benutzer die ADC-Instanzen konfiguriert haben, um Anwendungen vor externen Bedrohungen und Schwachstellen zu schützen. Je geringer die Sicherheitsrisiken für eine Anwendung, desto höher der Sicherheitsindex. Die Werte reichen von 1 bis 7.

Der Sicherheitsindex berücksichtigt sowohl die Konfiguration der Anwendungsfirewall als auch die Systemsicherheitskonfiguration des ADC. Für einen hohen Sicherheitsindexwert müssen beide Konfigurationen stark sein. Wenn beispielsweise strenge Anwendungsfirewall-Prüfungen vorhanden sind, aber ADC-Systemsicherheitsmaßnahmen, wie ein starkes Passwort für den nsroot Benutzer, nicht übernommen wurden, erhalten Anwendungen einen niedrigen Sicherheitsindexwert.

• Verwertbare Informationen. Informationen, die Benutzer benötigen, um den Bedrohungsindex zu senken und den Sicherheitsindex zu erhöhen, was die Anwendungssicherheit erheblich verbessert. Benutzer können beispielsweise Informationen über Verstöße, bestehende und fehlende Sicherheitskonfigurationen für die Anwendungsfirewall und andere Sicherheitsfunktionen, die Häufigkeit, mit der die Anwendungen angegriffen werden, und so weiter überprüfen.

Security Insight konfigurieren

Hinweis:

Security Insight wird nur auf ADC-Instanzen mit Premium-Lizenz oder ADC Advanced mit AppFirewall-Lizenz unterstützt.

Um Security Insight auf einer ADC-Instanz zu konfigurieren, konfigurieren Sie zuerst ein Anwendungsfirewall-Profil und eine Anwendungsfirewall-Richtlinie und binden Sie dann die Anwendungsfirewall-Richtlinie global.

Aktivieren Sie dann die AppFlow-Funktion, konfigurieren Sie einen AppFlow-Collector, eine Aktion und eine Richtlinie und binden Sie die Richtlinie global. Wenn Benutzer den Collector konfigurieren, müssen sie die IP-Adresse des Citrix ADM-Dienstagenten angeben, auf dem sie die Berichte überwachen möchten.

Security Insight auf einer ADC-Instanz konfigurieren

• Führen Sie die folgenden Befehle aus, um ein Anwendungsfirewall-Profil und eine Richtlinie zu konfigurieren und die Anwendungsfirewall-Richtlinie global oder an den virtuellen Lastausgleichsserver zu binden.

add appfw profile <name> [-defaults ( basic oder advanced )]

set appfw Profil <name> [-Start-URL-Aktion <startURLAction> …]

AppFW-Richtlinie hinzufügen <name> <rule> <profileName>

AppFW global binden <policyName> <priority>

oder,

binden lb vserver <lb vserver> -policyName <policy> -Priorität <priority>

Beispiel:

add appfw profile pr_appfw -defaults advanced

set appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority "20"

<!--NeedCopy-->

• Führen Sie die folgenden Befehle aus, um die AppFlow-Funktion zu aktivieren, einen AppFlow-Collector, eine Aktion und eine Richtlinie zu konfigurieren und die Richtlinie global oder an den virtuellen Lastausgleichsserver zu binden:

hinzufügen appflow collector <name> -IPAddress <ipaddress>

set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ENABLED oder DISABLED )]

hinzufügen appflow Aktion <name> -collectors <string>

hinzufügen appflow Richtlinie <name> <rule> <action>

bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-Typ <type>]

oder,

binden Lastausgleich virtueller Server <vserver> -Richtlinienname <policy> -Priorität <priority>

Beispiel:

add appflow collector col -IPAddress 10.102.63.85

set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"

<!--NeedCopy-->

Security Insight von Citrix ADM aktivieren

1. Navigieren Sie zu Networks > Instances > Citrix ADC und wählen Sie den Instanztyp aus. Zum Beispiel VPX.

2. Wählen Sie die Instanz aus und wählen Sie aus der Liste Select Action die Option Configure Analytics.

3. Im Fenster Configure Analytics on virtual server:

   • Wählen Sie die virtuellen Server aus, für die Sie Security Insight aktivieren möchten, und klicken Sie auf Enable Analytics.

   Das Fenster Enable Analytics wird angezeigt.

   • Wählen Sie Security Insight

   • Wählen Sie unter Advanced Options entweder Logstream oder IPFIX als Transportmodus aus.

   • Der Ausdruck ist standardmäßig wahr.

   • Klicken Sie auf OK

Hinweis:

• Wenn Benutzer nicht lizenzierte virtuelle Server auswählen, lizenziert Citrix ADM diese virtuellen Server zuerst und aktiviert dann die Analyse.

• Für Administratorpartitionen wird nur Web Insight unterstützt.

Nachdem Benutzer auf OK geklickt haben, verarbeitet Citrix ADM die Aktivierung von Analysen auf den ausgewählten virtuellen Servern.

Hinweis:

Wenn Benutzer eine Gruppe erstellen, können sie der Gruppe Rollen zuweisen, der Gruppe Zugriff auf Anwendungsebene gewähren und Benutzer der Gruppe zuweisen. Citrix ADM Analytics unterstützt jetzt die Autorisierung basierend auf virtuellen IP-Adressen. Kundenbenutzer können jetzt Berichte für alle Insights nur für die Anwendungen (virtuelle Server) sehen, für die sie autorisiert sind. Weitere Informationen zu Gruppen und der Zuweisung von Benutzern zu Gruppen finden Sie unter: Configure Groups on Citrix ADM.

Schwellenwerte

Benutzer können Schwellenwerte für den Sicherheitsindex und den Bedrohungsindex von Anwendungen in Security Insight festlegen und anzeigen.

So legen Sie einen Schwellenwert fest

• Navigieren Sie zu System > Analytics Settings > Thresholds, und wählen Sie Add.

• Wählen Sie im Feld „Traffic Type“ den Traffic-Typ als Security aus und geben Sie die erforderlichen Informationen in die anderen entsprechenden Felder wie Name, Dauer und Entität ein.

• Verwenden Sie im Abschnitt Rule die Felder Metric, Comparator und Value, um einen Schwellenwert festzulegen. Zum Beispiel: „Threat Index“ „>“ „5“

• Klicken Sie auf Create.

So zeigen Sie die Schwellenwertüberschreitungen an

• Navigieren Sie zu Analytics > Security Insight > Devices, und wählen Sie die ADC-Instanz aus.

• Im Abschnitt Application können Benutzer die Anzahl der Schwellenwertüberschreitungen anzeigen, die für jeden virtuellen Server in der Spalte „Threshold Breach“ aufgetreten sind.

Anwendungsfall für Security Insight

Die folgenden Anwendungsfälle beschreiben, wie Benutzer Security Insight verwenden können, um die Bedrohungsgefährdung von Anwendungen zu bewerten und Sicherheitsmaßnahmen zu verbessern.

Einen Überblick über die Bedrohungslandschaft erhalten

In diesem Anwendungsfall verfügen Benutzer über eine Reihe von Anwendungen, die Angriffen ausgesetzt sind, und sie haben Citrix ADM so konfiguriert, dass es die Bedrohungslandschaft überwacht. Benutzer müssen den Bedrohungsindex, den Sicherheitsindex sowie die Art und Schwere der Angriffe, die die Anwendungen möglicherweise erfahren haben, häufig überprüfen, damit sie sich zuerst auf die Anwendungen konzentrieren können, die die meiste Aufmerksamkeit erfordern. Das Security Insight-Dashboard bietet eine Zusammenfassung der Bedrohungen, denen die Benutzeranwendungen über einen vom Benutzer gewählten Zeitraum und für ein ausgewähltes ADC-Gerät ausgesetzt waren. Es zeigt die Liste der Anwendungen, deren Bedrohungs- und Sicherheitsindizes sowie die Gesamtzahl der Angriffe für den gewählten Zeitraum an.

Benutzer könnten beispielsweise Microsoft Outlook, Microsoft Lync, SharePoint und eine SAP-Anwendung überwachen und möchten möglicherweise eine Zusammenfassung der Bedrohungslandschaft für diese Anwendungen überprüfen.

Um eine Zusammenfassung der Bedrohungslandschaft zu erhalten, melden Sie sich bei Citrix ADM an und navigieren Sie dann zu Analytics > Security Insight.

Für jede Anwendung werden wichtige Informationen angezeigt. Der Standardzeitraum beträgt 1 Stunde.

Um Informationen für einen anderen Zeitraum anzuzeigen, wählen Sie aus der Liste oben links einen Zeitraum aus.

Um eine Zusammenfassung für eine andere ADC-Instanz anzuzeigen, klicken Sie unter Devices auf die IP-Adresse der ADC-Instanz. Um die Anwendungsliste nach einer bestimmten Spalte zu sortieren, klicken Sie auf die Spaltenüberschrift.

Die Bedrohungsgefährdung einer Anwendung bestimmen

Nachdem Benutzer eine Zusammenfassung der Bedrohungslandschaft auf dem Security Insight-Dashboard überprüft haben, um Anwendungen mit einem hohen Bedrohungsindex und einem niedrigen Sicherheitsindex zu identifizieren, möchten sie deren Bedrohungsgefährdung bestimmen, bevor sie entscheiden, wie sie diese sichern. Das heißt, Benutzer möchten die Art und Schwere der Angriffe bestimmen, die ihre Indexwerte verschlechtert haben. Benutzer können die Bedrohungsgefährdung einer Anwendung bestimmen, indem sie die Anwendungszusammenfassung überprüfen.

In diesem Beispiel hat Microsoft Outlook einen Bedrohungsindexwert von 6, und Benutzer möchten wissen, welche Faktoren zu diesem hohen Bedrohungsindex beitragen.

Um die Bedrohungsgefährdung von Microsoft Outlook zu bestimmen, klicken Sie auf dem Dashboard Security Insight auf Outlook. Die Anwendungszusammenfassung enthält eine Karte, die den geografischen Standort des Servers angibt.

Klicken Sie auf Threat Index > Security Check Violations und überprüfen Sie die angezeigten Informationen zu den Verstößen.

Klicken Sie auf Signature Violations und überprüfen Sie die angezeigten Informationen zu den Verstößen.

Vorhandene und fehlende Sicherheitskonfigurationen für eine Anwendung ermitteln

Nachdem Benutzer die Bedrohungsgefährdung einer Anwendung überprüft haben, möchten sie feststellen, welche Anwendungssicherheitskonfigurationen vorhanden sind und welche Konfigurationen für diese Anwendung fehlen. Benutzer können diese Informationen erhalten, indem sie die Zusammenfassung des Sicherheitsindex der Anwendung detailliert untersuchen.

Die Zusammenfassung des Sicherheitsindex gibt Benutzern Informationen über die Wirksamkeit der folgenden Sicherheitskonfigurationen:

• Anwendungs-Firewall-Konfiguration. Zeigt an, wie viele Signatur- und Sicherheitseinheiten nicht konfiguriert sind.

• Citrix ADM System Security. Zeigt an, wie viele Systemsicherheitseinstellungen nicht konfiguriert sind.

Im vorherigen Anwendungsfall haben Benutzer die Bedrohungsgefährdung von Microsoft Outlook überprüft, die einen Bedrohungsindexwert von 6 aufweist. Nun möchten Benutzer wissen, welche Sicherheitskonfigurationen für Outlook vorhanden sind und welche Konfigurationen hinzugefügt werden können, um den Bedrohungsindex zu verbessern.

Klicken Sie im Security Insight-Dashboard auf Outlook und dann auf die Registerkarte Safety Index. Überprüfen Sie die Informationen im Bereich Safety Index Summary.

Klicken Sie auf dem Knoten Application Firewall Configuration auf Outlook_Profile und überprüfen Sie die Informationen zu Sicherheitsprüfungen und Signaturverletzungen in den Kreisdiagrammen.

Überprüfen Sie den Konfigurationsstatus jedes Schutztyps in der Zusammenfassungstabelle der Anwendungs-Firewall. Um die Tabelle nach einer Spalte zu sortieren, klicken Sie auf die Spaltenüberschrift.

Klicken Sie auf den Knoten Citrix ADM System Security und überprüfen Sie die Systemeinstellungen und Citrix-Empfehlungen zur Verbesserung des Anwendungssicherheitsindex.

Anwendungen identifizieren, die sofortige Aufmerksamkeit erfordern

Anwendungen, die sofortige Aufmerksamkeit benötigen, sind solche mit einem hohen Bedrohungsindex und einem niedrigen Sicherheitsindex.

In diesem Beispiel haben sowohl Microsoft Outlook als auch Microsoft Lync einen hohen Bedrohungsindexwert von 6, aber Lync hat den niedrigeren der beiden Sicherheitsindizes. Daher müssen Benutzer möglicherweise ihre Aufmerksamkeit auf Lync richten, bevor sie die Bedrohungsumgebung für Outlook verbessern.

Anzahl der Angriffe in einem bestimmten Zeitraum ermitteln

Benutzer möchten möglicherweise ermitteln, wie viele Angriffe auf eine bestimmte Anwendung zu einem bestimmten Zeitpunkt stattgefunden haben, oder sie möchten die Angriffsrate für einen bestimmten Zeitraum untersuchen.

Klicken Sie auf der Seite „Security Insight“ auf eine beliebige Anwendung und in der Anwendungszusammenfassung auf die Anzahl der Verstöße. Die Seite „Total Violations“ zeigt die Angriffe grafisch für eine Stunde, einen Tag, eine Woche und einen Monat an.

Die Tabelle Application Summary enthält Details zu den Angriffen. Einige davon sind wie folgt:

• Angriffszeit

• IP-Adresse des Clients, von dem der Angriff ausging

• Schweregrad

• Kategorie der Verletzung

• URL, von der der Angriff ausging, und weitere Details.

Während Benutzer die Angriffszeit in einem Stundenbericht, wie im Bild gezeigt, immer anzeigen können, können sie jetzt den Angriffszeitbereich für aggregierte Berichte auch für Tages- oder Wochenberichte anzeigen. Wenn Benutzer „1 Tag“ aus der Liste der Zeiträume auswählen, zeigt der Security Insight-Bericht alle aggregierten Angriffe an, und die Angriffszeit wird in einem einstündigen Bereich angezeigt. Wenn Benutzer „1 Woche“ oder „1 Monat“ wählen, werden alle Angriffe aggregiert, und die Angriffszeit wird in einem eintägigen Bereich angezeigt.

Detaillierte Informationen zu Sicherheitsverletzungen erhalten

Benutzer möchten möglicherweise eine Liste der Angriffe auf eine Anwendung anzeigen und Einblicke in Art und Schwere der Angriffe, von der ADC-Instanz ergriffene Maßnahmen, angeforderte Ressourcen und die Quelle der Angriffe erhalten.

Benutzer möchten beispielsweise ermitteln, wie viele Angriffe auf Microsoft Lync blockiert wurden, welche Ressourcen angefordert wurden und welche IP-Adressen die Quellen hatten.

Klicken Sie im Security Insight-Dashboard auf Lync > Total Violations. Klicken Sie in der Tabelle auf das Filtersymbol in der Spaltenüberschrift Action Taken und wählen Sie dann Blocked.

Informationen zu den angeforderten Ressourcen finden Sie in der Spalte URL. Informationen zu den Quellen der Angriffe finden Sie in der Spalte Client IP.

Details der Protokollausdrücke anzeigen

Citrix ADC-Instanzen verwenden Protokollausdrücke, die mit dem Application Firewall-Profil konfiguriert sind, um Maßnahmen gegen Angriffe auf eine Anwendung im Benutzerunternehmen zu ergreifen. In Security Insight können Benutzer die für die von der ADC-Instanz verwendeten Protokollausdrücke zurückgegebenen Werte anzeigen. Diese Werte umfassen den Anforderungsheader, den Anforderungstext und so weiter. Zusätzlich zu den Werten der Protokollausdrücke können Benutzer auch den Namen des Protokollausdrucks und den Kommentar für den im Application Firewall-Profil definierten Protokollausdruck anzeigen, den die ADC-Instanz zur Durchführung der Maßnahme gegen den Angriff verwendet hat.

Voraussetzungen

Stellen Sie sicher, dass Benutzer:

• Konfigurieren Sie Protokollausdrücke im Application Firewall-Profil. Weitere Informationen finden Sie unter Application Firewall.

• Aktivieren Sie protokollausdruckbasierte Security Insights-Einstellungen in Citrix ADM. Gehen Sie wie folgt vor:

  • Navigieren Sie zu Analytics > Settings, und klicken Sie auf Enable Features for Analytics.

  • Wählen Sie auf der Seite „Enable Features for Analytics“ unter dem Abschnitt Log Expression Based Security Insight Setting die Option Enable Security Insight aus und klicken Sie auf OK.

Benutzer möchten beispielsweise die Werte des Protokollausdrucks anzeigen, die von der ADC-Instanz für die Aktion zurückgegeben werden, die sie für einen Angriff auf Microsoft Lync im Benutzerunternehmen ausgeführt hat.

Navigieren Sie auf dem Security Insight-Dashboard zu Lync > Total Violations. Klicken Sie in der Tabelle „Application Summary“ auf die URL, um die vollständigen Details der Verletzung auf der Seite Violation Information anzuzeigen, einschließlich des Namens des Protokollausdrucks, des Kommentars und der von der ADC-Instanz für die Aktion zurückgegebenen Werte.

Bestimmen Sie den Sicherheitsindex vor der Bereitstellung der Konfiguration

Sicherheitsverletzungen treten auf, nachdem Benutzer die Sicherheitskonfiguration auf einer ADC-Instanz bereitgestellt haben, aber Benutzer möchten möglicherweise die Wirksamkeit der Sicherheitskonfiguration bewerten, bevor sie diese bereitstellen.

Benutzer möchten beispielsweise den Sicherheitsindex der Konfiguration für die SAP-Anwendung auf der ADC-Instanz mit der IP-Adresse 10.102.60.27 bewerten.

Klicken Sie auf dem Security Insight-Dashboard unter Devices auf die IP-Adresse der von den Benutzern konfigurierten ADC-Instanz. Benutzer können sehen, dass sowohl der Bedrohungsindex als auch die Gesamtzahl der Angriffe 0 sind. Der Bedrohungsindex ist ein direktes Spiegelbild der Anzahl und Art der Angriffe auf die Anwendung. Null Angriffe zeigen an, dass die Anwendung keiner Bedrohung ausgesetzt ist.

Klicken Sie auf Sap > Safety Index > SAP_Profile und bewerten Sie die angezeigten Sicherheitsindexinformationen.

In der Anwendungs-Firewall-Zusammenfassung können Benutzer den Konfigurationsstatus verschiedener Schutzeinstellungen anzeigen. Wenn eine Einstellung auf Protokollierung gesetzt ist oder wenn eine Einstellung nicht konfiguriert ist, wird der Anwendung ein niedrigerer Sicherheitsindex zugewiesen.

Sicherheitsverletzungen

Details zu Anwendungs-Sicherheitsverletzungen anzeigen

Webanwendungen, die dem Internet ausgesetzt sind, sind drastisch anfälliger für Angriffe geworden. Citrix ADM ermöglicht Benutzern, umsetzbare Verletzungsdetails zu visualisieren, um Anwendungen vor Angriffen zu schützen. Navigieren Sie zu Security > Security Violations für eine Single-Pane-Lösung, um:

• Auf die Anwendungs-Sicherheitsverletzungen basierend auf ihren Kategorien wie Network, Bot und WAF zuzugreifen

• Korrekturmaßnahmen zu ergreifen, um die Anwendungen zu sichern

Um die Sicherheitsverletzungen in Citrix ADM anzuzeigen, stellen Sie sicher:

• Benutzer verfügen über eine Premium-Lizenz für die Citrix ADC-Instanz (für WAF- und BOT-Verletzungen).

• Benutzer haben eine Lizenz auf den virtuellen Servern für Lastausgleich oder Inhaltsumschaltung angewendet (für WAF und BOT). Weitere Informationen finden Sie unter Lizenzierung auf virtuellen Servern verwalten.

• Benutzer aktivieren weitere Einstellungen. Weitere Informationen finden Sie in der Prozedur im Abschnitt „Einrichtung“ in der Citrix Produktdokumentation: Einrichtung.

Verletzungskategorien**

Citrix ADM ermöglicht Benutzern, die folgenden Verletzungen anzuzeigen:

** – Benutzer müssen die Einstellung zur Kontoübernahme in Citrix ADM konfigurieren. Siehe die Voraussetzung unter Kontoübernahme: Kontoübernahme.

Abgesehen von diesen Verstößen können Benutzer auch die folgenden Security Insight- und Bot Insight-Verstöße unter den Kategorien WAF bzw. Bot anzeigen:

Einrichtung

Benutzer müssen Advanced Security Analytics aktivieren und die Web Transaction Settings auf Alle setzen, um die folgenden Verstöße in Citrix ADM anzuzeigen:

• Ungewöhnlich hohe Upload-Transaktionen (WAF)

• Ungewöhnlich hohe Download-Transaktionen (WAF)

• Übermäßig viele eindeutige IPs (WAF)

• Kontoübernahme (BOT)

Stellen Sie bei anderen Verstößen sicher, dass der Metrik-Collector aktiviert ist. Standardmäßig ist der Metrik-Collector auf der Citrix ADC-Instanz aktiviert. Weitere Informationen finden Sie unter: Intelligent App Analytics konfigurieren.

Erweiterte Sicherheitsanalyse aktivieren

• Navigieren Sie zu Netzwerke > Instanzen > Citrix ADC, und wählen Sie den Instanztyp aus. Zum Beispiel MPX.

• Wählen Sie die Citrix ADC-Instanz aus und wählen Sie aus der Liste Aktion auswählen die Option Analytics konfigurieren.

• Wählen Sie den virtuellen Server aus und klicken Sie auf Analytics aktivieren.

• Im Fenster Analytics aktivieren:

  • Wählen Sie Web Insight aus. Nachdem Benutzer Web Insight ausgewählt haben, wird die schreibgeschützte Option Erweiterte Sicherheitsanalyse automatisch aktiviert.

  Hinweis: Die Option Erweiterte Sicherheitsanalyse wird nur für ADC-Instanzen mit Premium-Lizenz angezeigt.

  • Wählen Sie Logstream als Transportmodus aus

  • Der Ausdruck ist standardmäßig wahr

  • Klicken Sie auf OK

Webtransaktionseinstellungen aktivieren

• Navigieren Sie zu Analytics > Einstellungen.

Die Seite Einstellungen wird angezeigt.

• Klicken Sie auf Funktionen für Analysen aktivieren.

• Wählen Sie unter Webtransaktionseinstellungen die Option Alle aus.

• Klicken Sie auf OK.

Dashboard für Sicherheitsverletzungen

Im Dashboard für Sicherheitsverletzungen können Benutzer Folgendes anzeigen:

• Gesamtzahl der auf allen ADC-Instanzen und Anwendungen aufgetretenen Verletzungen. Die Gesamtverletzungen werden basierend auf der ausgewählten Zeitdauer angezeigt.

• Gesamtzahl der Verletzungen unter jeder Kategorie.

• Gesamtzahl der betroffenen ADCs, Gesamtzahl der betroffenen Anwendungen und Top-Verletzungen basierend auf der Gesamtzahl der Vorkommen und den betroffenen Anwendungen.

Verletzungsdetails

Für jede Verletzung überwacht Citrix ADM das Verhalten über einen bestimmten Zeitraum und erkennt Verletzungen bei ungewöhnlichem Verhalten. Klicken Sie auf jede Registerkarte, um die Verletzungsdetails anzuzeigen. Benutzer können Details wie die folgenden anzeigen:

• Die Gesamtzahl der Vorkommen, das letzte Vorkommen und die Gesamtzahl der betroffenen Anwendungen

• Unter den Ereignisdetails können Benutzer Folgendes anzeigen:

  • Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

  • Das Diagramm, das Verstöße anzeigt.

  Ziehen und wählen Sie im Diagramm, das die Verstöße auflistet, um die Suche nach Verstößen einzugrenzen.

  

  Klicken Sie auf Zoom zurücksetzen, um das Zoom-Ergebnis zurückzusetzen.

  • Empfohlene Aktionen, die Benutzern vorschlagen, das Problem zu beheben

  • Weitere Details zu Verstößen, wie z. B. Zeitpunkt des Verstoßes und Erkennungsmeldung

Bot Insight

Verwenden von Bot Insight in Citrix ADM

Nachdem Benutzer die Bot-Verwaltung in Citrix ADC konfiguriert haben, müssen sie Bot Insight auf virtuellen Servern aktivieren, um Einblicke in Citrix ADM anzuzeigen.

So aktivieren Sie Bot Insight:

• Navigieren Sie zu Netzwerke > Instanzen > Citrix ADC und wählen Sie den Instanztyp aus. Zum Beispiel VPX.

• Wählen Sie die Instanz aus und wählen Sie aus der Liste Aktion auswählen die Option Analysen konfigurieren.

• Wählen Sie den virtuellen Server aus und klicken Sie auf Enable Analytics.

• Im Fenster Enable Analytics:

  • Wählen Sie Bot Insight aus.

  • Wählen Sie unter Advanced Option die Option Logstream aus.

  

  • Klicken Sie auf OK.

Nachdem Sie Bot Insight aktiviert haben, navigieren Sie zu Analytics > Security > Bot Insight.

1. Zeitliste zum Anzeigen von Bot-Details

2. Ziehen Sie den Schieberegler, um einen bestimmten Zeitraum auszuwählen, und klicken Sie auf Go, um die angepassten Ergebnisse anzuzeigen.

3. Gesamtzahl der von Bots betroffenen Instanzen

4. Virtueller Server für die ausgewählte Instanz mit der Gesamtzahl der Bot-Angriffe

   • Total Bots – Zeigt die Gesamtzahl der Bot-Angriffe (einschließlich aller Bot-Kategorien) an, die für den virtuellen Server gefunden wurden.

   • Total Human Browsers – Zeigt die Gesamtzahl der menschlichen Benutzer an, die auf den virtuellen Server zugreifen.

   • Bot Human Ratio – Zeigt das Verhältnis zwischen menschlichen Benutzern und Bots an, die auf den virtuellen Server zugreifen.

   • Signatur-Bots, Fingerprint-Bots, Ratenbasierte Bots, IP-Reputations-Bots, Zulassungslisten-Bots und Sperrlisten-Bots – Gibt die Gesamtzahl der Bot-Angriffe an, die basierend auf der konfigurierten Bot-Kategorie aufgetreten sind. Weitere Informationen zu Bot-Kategorien finden Sie unter: Bot-Erkennungstechniken in Citrix ADC konfigurieren.

5. Klicken Sie auf >, um Bot-Details in einem Diagrammformat anzuzeigen.

Ereignisverlauf anzeigen

Benutzer können die Bot-Signatur-Updates im Ereignisverlauf anzeigen, wenn:

• Neue Bot-Signaturen in Citrix ADC-Instanzen hinzugefügt werden.

• Bestehende Bot-Signaturen in Citrix ADC-Instanzen aktualisiert werden.

Sie können die Zeitdauer auf der Bot-Insight-Seite auswählen, um den Ereignisverlauf anzuzeigen.

Das folgende Diagramm zeigt, wie die Bot-Signaturen aus der AWS Cloud abgerufen, auf Citrix ADC aktualisiert und die Zusammenfassung der Signatur-Updates auf Citrix ADM angezeigt werden.

1. Der Bot-Signatur-Auto-Update-Scheduler ruft die Mapping-Datei von der AWS-URI ab.

2. Überprüft die neuesten Signaturen in der Mapping-Datei mit den vorhandenen Signaturen in der ADC-Appliance.

3. Lädt die neuen Signaturen von AWS herunter und überprüft die Signaturintegrität.

4. Aktualisiert die vorhandenen Bot-Signaturen mit den neuen Signaturen in der Bot-Signaturdatei.

5. Generiert eine SNMP-Warnung und sendet die Zusammenfassung der Signaturaktualisierung an Citrix ADM.

Bots anzeigen

Klicken Sie auf den virtuellen Server, um die Anwendungszusammenfassung anzuzeigen.

1. Bietet die Details der Anwendungszusammenfassung, wie z. B.:

   • Durchschnittliche RPS – Zeigt die durchschnittlichen Bot-Transaktionsanfragen pro Sekunde (RPS) an, die auf virtuellen Servern empfangen wurden.

   • Bots nach Schweregrad – Zeigt die höchsten Bot-Transaktionen an, die basierend auf dem Schweregrad aufgetreten sind. Der Schweregrad wird nach Kritisch, Hoch, Mittel und Niedrig kategorisiert.

     Wenn die virtuellen Server beispielsweise 11770 Bots mit hohem Schweregrad und 1550 Bots mit kritischem Schweregrad aufweisen, zeigt Citrix ADM unter Bots nach Schweregrad den Wert Kritisch 1,55 K an.

   • Größte Bot-Kategorie – Zeigt die höchsten Bot-Angriffe an, die basierend auf der Bot-Kategorie aufgetreten sind.

     Wenn die virtuellen Server beispielsweise 8000 blockierte Bots, 5000 zugelassene Bots und 10000 Bots mit überschrittener Ratenbegrenzung aufweisen, zeigt Citrix ADM unter Größte Bot-Kategorie den Wert Ratenbegrenzung überschritten 10 K an.

   • Größte Geo-Quelle – Zeigt die höchsten Bot-Angriffe an, die basierend auf einer Region aufgetreten sind.

     Wenn die virtuellen Server beispielsweise 5000 Bot-Angriffe in Santa Clara, 7000 Bot-Angriffe in London und 9000 Bot-Angriffe in Bangalore aufweisen, zeigt Citrix ADM unter Größte Geo-Quelle den Wert Bangalore 9 K an.

   • Durchschnittlicher % Bot-Traffic – Zeigt das Verhältnis von Mensch zu Bot an.

2. Zeigt den Schweregrad der Bot-Angriffe basierend auf Standorten in der Kartenansicht an

3. Zeigt die Arten von Bot-Angriffen an (Gut, Schlecht und Alle).

4. Zeigt die gesamten Bot-Angriffe zusammen mit den entsprechenden konfigurierten Aktionen an. Wenn Sie beispielsweise Folgendes konfiguriert haben:

   • IP-Adressbereich (192.140.14.9 bis 192.140.14.254) als Blocklisten-Bots und als Aktion ‘Verwerfen’ für diese IP-Adressbereiche ausgewählt haben

   • IP-Bereich (192.140.15.4 bis 192.140.15.254) als Blocklisten-Bots und als Aktion das Erstellen einer Protokollmeldung für diese IP-Bereiche ausgewählt haben

     In diesem Szenario zeigt Citrix ADM Folgendes an:

     • Gesamtzahl der blockierten Bots

     • Gesamtzahl der Bots unter Verworfen

     • Gesamtzahl der Bots unter Protokoll

CAPTCHA-Bots anzeigen

Auf Webseiten sind CAPTCHAs dazu konzipiert, zu identifizieren, ob der eingehende Datenverkehr von einem Menschen oder einem automatisierten Bot stammt. Um die CAPTCHA-Aktivitäten in Citrix ADM anzuzeigen, müssen Benutzer CAPTCHA als Bot-Aktion für IP-Reputations- und Geräte-Fingerprinting-Erkennungstechniken in einer Citrix ADC-Instanz konfigurieren. Weitere Informationen finden Sie unter: Bot-Verwaltung konfigurieren.

Im Folgenden sind die CAPTCHA-Aktivitäten aufgeführt, die Citrix ADM in Bot Insight anzeigt:

• CAPTCHA-Versuche überschritten – Bezeichnet die maximale Anzahl von CAPTCHA-Versuchen nach fehlgeschlagenen Anmeldungen

• CAPTCHA-Client stummgeschaltet – Bezeichnet die Anzahl der Client-Anfragen, die verworfen oder umgeleitet werden, da diese Anfragen zuvor als schlechte Bots mit der CAPTCHA-Herausforderung erkannt wurden

• Menschlich – Bezeichnet die CAPTCHA-Eingaben, die von menschlichen Benutzern durchgeführt wurden

• Ungültige CAPTCHA-Antwort – Bezeichnet die Anzahl der falschen CAPTCHA-Antworten, die vom Bot oder Menschen empfangen wurden, wenn Citrix ADC eine CAPTCHA-Herausforderung sendet

Bot-Fallen anzeigen

Um Bot-Fallen in Citrix ADM anzuzeigen, müssen Sie die Bot-Falle in der Citrix ADC-Instanz konfigurieren. Weitere Informationen finden Sie unter Bot-Management konfigurieren.

Um die Bot-Falle zu identifizieren, wird ein Skript auf der Webseite aktiviert, das vor Menschen, aber nicht vor Bots verborgen ist. Citrix ADM identifiziert und meldet die Bot-Fallen, wenn dieses Skript von Bots aufgerufen wird.

Klicken Sie auf den virtuellen Server und wählen Sie Zero Pixel Request aus.

Bot-Details anzeigen

Für weitere Details klicken Sie auf den Bot-Angriffstyp unter Bot Category.

Die Details wie Angriffszeit und Gesamtzahl der Bot-Angriffe für die ausgewählte Captcha-Kategorie werden angezeigt.

Benutzer können auch das Balkendiagramm ziehen, um den spezifischen Zeitraum auszuwählen, der mit Bot-Angriffen angezeigt werden soll.

Um zusätzliche Informationen zum Bot-Angriff zu erhalten, klicken Sie zum Erweitern.

• Instance IP – Zeigt die IP-Adresse der Citrix ADC-Instanz an

• Gesamtanzahl Bots – Gibt die Gesamtzahl der Bot-Angriffe an, die in diesem bestimmten Zeitraum aufgetreten sind

• HTTP-Anforderungs-URL – Gibt die URL an, die für die Captcha-Berichterstattung konfiguriert ist

• Ländercode – Gibt das Land an, in dem der Bot-Angriff stattgefunden hat

• Region – Gibt die Region an, in der der Bot-Angriff stattgefunden hat

• Profilname – Gibt den Profilnamen an, den Benutzer während der Konfiguration angegeben haben

Erweiterte Suche

Benutzer können auch das Suchtextfeld und die Liste der Zeiträume verwenden, um Bot-Details gemäß ihren Anforderungen anzuzeigen. Wenn Benutzer auf das Suchfeld klicken, erhalten sie die folgende Liste von Suchvorschlägen.

• Instanz-IP – IP-Adresse der Citrix ADC-Instanz

• Client-IP – Client-IP-Adresse

• Bot-Typ – Bot-Typ wie Gut oder Schlecht

• Schweregrad – Schweregrad des Bot-Angriffs

• Ergriffene Aktion – Nach dem Bot-Angriff ergriffene Aktion, z. B. Ablegen, Keine Aktion, Umleiten

• Bot-Kategorie – Kategorie des Bot-Angriffs, z. B. Blockierliste, Zulassungsliste, Fingerabdruck usw. Basierend auf einer Kategorie können Benutzer eine Bot-Aktion damit verknüpfen

• Bot-Erkennung – Bot-Erkennungstypen (Blockierliste, Zulassungsliste usw.), die Benutzer auf der Citrix ADC-Instanz konfiguriert haben

• Standort – Region/Land, in dem der Bot-Angriff stattgefunden hat

• Request-URL – URL, die mögliche Bot-Angriffe aufweist

Benutzer können auch Operatoren in den Benutzersuchanfragen verwenden, um den Fokus der Benutzersuche einzugrenzen. Wenn Benutzer beispielsweise alle schlechten Bots anzeigen möchten:

• Klicken Sie auf das Suchfeld und wählen Sie Bot-Type aus

• Klicken Sie erneut auf das Suchfeld und wählen Sie den Operator = aus

• Klicken Sie erneut auf das Suchfeld und wählen Sie Bad aus

• Klicken Sie auf Search, um die Ergebnisse anzuzeigen

Details zu Bot-Verletzungen

Übermäßige Client-Verbindungen

Wenn ein Client versucht, auf die Webanwendung zuzugreifen, wird die Client-Anfrage in der Citrix ADC Appliance verarbeitet, anstatt sich direkt mit dem Server zu verbinden. Der Web-Traffic umfasst Bots, und Bots können verschiedene Aktionen schneller ausführen als ein Mensch.

Mithilfe des Indikators Excessive Client Connections können Benutzer Szenarien analysieren, in denen eine Anwendung ungewöhnlich viele Client-Verbindungen durch Bots erhält.

Unter Event Details können Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verletzungen betroffen sind.

• Das Diagramm, das alle Verletzungen anzeigt

• Die Zeit des Auftretens der Verletzung

• Die Erkennungsmeldung für die Verletzung, die die Gesamtzahl der IP-Adressen angibt, die die Anwendung transaktieren

• Der akzeptierte IP-Adressbereich, den die Anwendung empfangen kann

Kontoübernahme

Hinweis:

Stellen Sie sicher, dass Benutzer die erweiterten Sicherheitsanalyse- und Webtransaktionsoptionen aktivieren. Weitere Informationen finden Sie unter Einrichten: Einrichten.

Einige bösartige Bots können Benutzeranmeldeinformationen stehlen und verschiedene Arten von Cyberangriffen durchführen. Diese bösartigen Bots werden als Bad Bots bezeichnet. Es ist wichtig, Bad Bots zu identifizieren und die Benutzer-Appliance vor jeder Form von erweiterten Sicherheitsangriffen zu schützen.

Voraussetzung

Benutzer müssen die Einstellungen für die Kontoübernahme in Citrix ADM konfigurieren.

• Navigieren Sie zu Analytics > Einstellungen > Sicherheitsverletzungen

• Klicken Sie auf Hinzufügen

• Geben Sie auf der Seite Anwendung hinzufügen die folgenden Parameter an:

  • Anwendung – Wählen Sie den virtuellen Server aus der Liste aus.

  • Methode – Wählen Sie den HTTP-Methodentyp aus der Liste aus. Die verfügbaren Optionen sind GET, PUSH, POST und UPDATE.

  • Anmelde-URL und Erfolgs-Antwortcode – Geben Sie die URL der Webanwendung und den HTTP-Statuscode (z. B. 200) an, für den Benutzer möchten, dass Citrix ADM die Verletzung der Kontoübernahme durch schlechte Bots meldet.

  • Klicken Sie auf Hinzufügen.

Nachdem Benutzer die Einstellungen konfiguriert haben, können sie mithilfe des Indikators Kontoübernahme analysieren, ob schlechte Bots versucht haben, das Benutzerkonto zu übernehmen, indem sie mehrere Anfragen zusammen mit Anmeldeinformationen senden.

Unter Ereignisdetails können Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

• Das Diagramm, das alle Verstöße anzeigt

• Der Zeitpunkt des Verstoßes

• Die Erkennungsmeldung für den Verstoß, die die gesamte ungewöhnliche fehlgeschlagene Anmeldeaktivität, erfolgreiche Anmeldungen und fehlgeschlagene Anmeldungen anzeigt

• Die IP-Adresse des schlechten Bots. Klicken Sie hier, um Details wie Uhrzeit, IP-Adresse, die Gesamtzahl der erfolgreichen Anmeldungen, die Gesamtzahl der fehlgeschlagenen Anmeldungen und die Gesamtzahl der von dieser IP-Adresse gestellten Anfragen anzuzeigen.

Ungewöhnlich hohes Upload-Volumen

Der Web-Traffic umfasst auch Daten, die zum Hochladen verarbeitet werden. Wenn beispielsweise die durchschnittliche Upload-Datenmenge pro Benutzer und Tag 500 MB beträgt und Benutzer 2 GB Daten hochladen, kann dies als ungewöhnlich hohes Upload-Datenvolumen angesehen werden. Bots sind auch in der Lage, Daten schneller hochzuladen als Menschen.

Mithilfe des Indikators Ungewöhnlich hohes Upload-Volumen können Benutzer anormale Szenarien von Upload-Daten an die Anwendung durch Bots analysieren.

Unter Ereignisdetails können Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

• Das Diagramm, das alle Verstöße anzeigt

• Die Uhrzeit des Verstoßes

• Die Erkennungsmeldung für den Verstoß, die das gesamte verarbeitete Upload-Datenvolumen angibt

• Der akzeptierte Bereich der Upload-Daten an die Anwendung

Ungewöhnlich hohes Download-Volumen

Ähnlich wie bei hohem Upload-Volumen können Bots auch Downloads schneller durchführen als Menschen.

Mithilfe des Indikators Ungewöhnlich hohes Download-Volumen können Benutzer abnormale Szenarien von Download-Daten aus der Anwendung durch Bots analysieren.

Unter Ereignisdetails können Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

• Das Diagramm, das alle Verstöße anzeigt

• Die Uhrzeit des Verstoßes

• Die Erkennungsmeldung für die Verletzung, die das verarbeitete Gesamt-Download-Datenvolumen angibt

• Der akzeptierte Bereich der Download-Daten von der Anwendung

Ungewöhnlich hohe Anfragerate

Benutzer können den eingehenden und ausgehenden Datenverkehr von oder zu einer Anwendung steuern. Ein Bot-Angriff kann eine ungewöhnlich hohe Anfragerate verursachen. Wenn Benutzer beispielsweise eine Anwendung so konfigurieren, dass 100 Anfragen/Minute zugelassen werden, und 350 Anfragen beobachten, könnte es sich um einen Bot-Angriff handeln.

Mithilfe des Indikators Ungewöhnlich hohe Anfragerate können Benutzer die ungewöhnliche Anfragerate analysieren, die bei der Anwendung eingeht.

Unter Ereignisdetails können Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

• Das Diagramm, das alle Verstöße anzeigt

• Die Uhrzeit des Verstoßes

• Die Erkennungsmeldung für die Verletzung, die die insgesamt empfangenen Anfragen und den Prozentsatz der übermäßigen Anfragen im Vergleich zu den erwarteten Anfragen angibt

• Der akzeptierte Bereich der erwarteten Anfragerate von der Anwendung

Anwendungsfälle

Bot

Manchmal besteht der eingehende Web-Traffic aus Bots, und die meisten Organisationen leiden unter Bot-Angriffen. Web- und mobile Anwendungen sind wichtige Umsatztreiber für Unternehmen, und die meisten Unternehmen sind von fortgeschrittenen Cyberangriffen, wie z. B. Bots, bedroht. Ein Bot ist ein Softwareprogramm, das bestimmte Aktionen automatisch und wiederholt mit einer viel höheren Geschwindigkeit als ein Mensch ausführt. Bots können mit Webseiten interagieren, Formulare absenden, Aktionen ausführen, Texte scannen oder Inhalte herunterladen. Sie können auf Videos zugreifen, Kommentare posten und auf Social-Media-Plattformen twittern. Einige Bots, bekannt als Chatbots, können grundlegende Gespräche mit menschlichen Benutzern führen. Ein Bot, der einen hilfreichen Dienst leistet, wie z. B. Kundenservice, automatischer Chat und Suchmaschinen-Crawler, sind gute Bots. Gleichzeitig sind Bots, die Inhalte von einer Website scrapen oder herunterladen, Benutzeranmeldeinformationen stehlen, Inhalte spammen und andere Arten von Cyberangriffen durchführen können, schlechte Bots. Angesichts der großen Anzahl schlechter Bots, die bösartige Aufgaben ausführen, ist es unerlässlich, den Bot-Verkehr zu verwalten und die Webanwendungen der Benutzer vor Bot-Angriffen zu schützen. Durch die Verwendung von Citrix Bot-Management können Benutzer den eingehenden Bot-Verkehr erkennen und Bot-Angriffe abwehren, um die Webanwendungen der Benutzer zu schützen. Citrix Bot-Management hilft, schlechte Bots zu identifizieren und die Benutzer-Appliance vor fortgeschrittenen Sicherheitsangriffen zu schützen. Es erkennt gute und schlechte Bots und identifiziert, ob eingehender Datenverkehr ein Bot-Angriff ist. Durch die Verwendung von Bot-Management können Benutzer Angriffe abwehren und die Webanwendungen der Benutzer schützen.

Das Bot-Management von Citrix ADC bietet die folgenden Vorteile:

• Schützt vor Bots, Skripten und Toolkits. Bietet Echtzeit-Bedrohungsabwehr mithilfe statischer signaturbasierter Verteidigung und Geräte-Fingerprinting.

• Neutralisiert automatisierte einfache und erweiterte Angriffe. Verhindert Angriffe wie App-Layer-DDoS, Password Spraying, Password Stuffing, Preis-Scraper und Content-Scraper.

• Schützt Benutzer-APIs und Investitionen. Schützt Benutzer-APIs vor unberechtigter Nutzung und schützt Infrastrukturinvestitionen vor automatisiertem Datenverkehr.

Einige Anwendungsfälle, in denen Benutzer vom Citrix Bot-Management-System profitieren können, sind:

• Brute-Force-Anmeldung. Ein Regierungs-Webportal wird ständig von Bots angegriffen, die Brute-Force-Benutzeranmeldungen versuchen. Die Organisation entdeckt den Angriff, indem sie Webprotokolle durchsucht und feststellt, dass bestimmte Benutzer immer wieder mit schnellen Anmeldeversuchen und Passwörtern, die mit einem Wörterbuchangriff inkrementiert werden, angegriffen werden. Gesetzlich müssen sie sich und ihre Benutzer schützen. Durch den Einsatz des Citrix Bot-Managements können sie Brute-Force-Anmeldungen mithilfe von Geräte-Fingerprinting und Ratenbegrenzungstechniken stoppen.

• Schlechte Bots blockieren und unbekannte Bots per Geräte-Fingerprinting identifizieren. Eine Web-Entität erhält täglich 100.000 Besucher. Sie müssen die zugrunde liegende Infrastruktur aufrüsten und geben ein Vermögen aus. Bei einer kürzlichen Prüfung stellte das Team fest, dass 40 Prozent des Datenverkehrs von Bots stammten, die Inhalte scrapten, Nachrichten sammelten, Benutzerprofile überprüften und vieles mehr. Sie möchten diesen Datenverkehr blockieren, um ihre Benutzer zu schützen und ihre Hosting-Kosten zu senken. Mithilfe des Bot-Managements können sie bekannte schlechte Bots blockieren und unbekannte Bots, die ihre Website überlasten, per Geräte-Fingerprinting identifizieren. Durch das Blockieren dieser Bots können sie den Bot-Verkehr um 90 Prozent reduzieren.

• Gute Bots zulassen. „Gute“ Bots sollen Unternehmen und Verbrauchern helfen. Es gibt sie seit den frühen 1990er Jahren, als die ersten Suchmaschinen-Bots entwickelt wurden, um das Internet zu durchsuchen. Google, Yahoo und Bing würden ohne sie nicht existieren. Weitere Beispiele für gute Bots – meist verbraucherorientiert – sind:

  • Chatbots (auch bekannt als Chatterbots, Smart Bots, Talk Bots, IM Bots, Social Bots, Conversation Bots) interagieren mit Menschen über Text oder Ton. Eine der ersten Textanwendungen war für den Online-Kundenservice und Textnachrichten-Apps wie Facebook Messenger und iPhone Messages. Siri, Cortana und Alexa sind Chatbots; aber auch mobile Apps, mit denen Benutzer Kaffee bestellen und dann erfahren können, wann er fertig ist, mit denen Benutzer Filmtrailer ansehen und lokale Kinozeiten finden können, oder die Benutzern ein Bild des Automodells und des Nummernschilds senden, wenn sie einen Fahrdienst anfordern.

  • Shopbots durchsuchen das Internet nach den niedrigsten Preisen für Artikel, nach denen Benutzer suchen.

  • Monitoring-Bots überprüfen den Zustand (Verfügbarkeit und Reaktionsfähigkeit) von Websites. Downdetector ist ein Beispiel für eine unabhängige Website, die Echtzeit-Statusinformationen, einschließlich Ausfällen, von Websites und anderen Arten von Diensten bereitstellt. Weitere Informationen zu Downdetector finden Sie unter: Downdetector.

Bot-Erkennung

Konfigurieren des Bot-Managements mithilfe der Citrix ADC GUI

Benutzer können das Citrix ADC Bot-Management konfigurieren, indem sie die Funktion zunächst auf dem Gerät aktivieren. Sobald Benutzer sie aktivieren, können sie eine Bot-Richtlinie erstellen, um den eingehenden Datenverkehr als Bot zu bewerten und den Datenverkehr an das Bot-Profil zu senden. Anschließend erstellen Benutzer ein Bot-Profil und binden das Profil an eine Bot-Signatur. Alternativ können Benutzer auch die Standard-Bot-Signaturdatei klonen und die Signaturdatei verwenden, um die Erkennungstechniken zu konfigurieren. Nach dem Erstellen der Signaturdatei können Benutzer diese in das Bot-Profil importieren. Alle diese Schritte werden in der folgenden Reihenfolge ausgeführt:

1. Bot-Management-Funktion aktivieren

2. Bot-Management-Einstellungen konfigurieren

3. Standard-Bot-Signatur von Citrix klonen

4. Citrix Bot-Signatur importieren

5. Bot-Signatur-Einstellungen konfigurieren

6. Bot-Profil erstellen

7. Bot-Richtlinie erstellen

Bot-Management-Funktion aktivieren

1. Erweitern Sie im Navigationsbereich System und klicken Sie dann auf Einstellungen.

2. Wählen Sie auf der Seite Erweiterte Funktionen konfigurieren das Kontrollkästchen Bot-Management aus.

3. Klicken Sie auf OK und dann auf Schließen.

Bot-Signaturdatei klonen

1. Navigieren Sie zu Sicherheit > Citrix Bot-Management > Signaturen.

2. Wählen Sie auf der Seite Citrix Bot-Management-Signaturen den Standard-Bot-Signaturen-Eintrag aus und klicken Sie auf Klonen.

3. Geben Sie auf der Seite Bot-Signatur klonen einen Namen ein und bearbeiten Sie die Signaturdaten.

4. Klicken Sie auf Erstellen.

Bot-Signaturdatei importieren

Wenn Benutzer eine eigene Signaturdatei haben, können sie diese als Datei, Text oder URL importieren. Führen Sie die folgenden Schritte aus, um die Bot-Signaturdatei zu importieren:

• Navigieren Sie zu Sicherheit > Citrix Bot Management und Signaturen.

• Importieren Sie auf der Seite Citrix Bot Management Signaturen die Datei als URL, Datei oder Text.

• Klicken Sie auf Weiter.

• Legen Sie auf der Seite Citrix Bot Management-Signatur importieren die folgenden Parameter fest.

  • Name. Name der Bot-Signaturdatei.

  • Kommentar. Kurze Beschreibung der importierten Datei.

  • Überschreiben. Aktivieren Sie das Kontrollkästchen, um das Überschreiben von Daten während der Dateiaktualisierung zuzulassen.

  • Signaturdaten. Signaturparameter ändern

• Klicken Sie auf Fertig.

IP-Reputation

IP-Reputation mithilfe der Citrix ADC GUI konfigurieren

Diese Konfiguration ist eine Voraussetzung für die Bot-IP-Reputationsfunktion. Die Erkennungstechnik ermöglicht es Benutzern, bösartige Aktivitäten von einer eingehenden IP-Adresse zu identifizieren. Im Rahmen der Konfiguration legen wir verschiedene Kategorien für bösartige Bots fest und ordnen jeder Kategorie eine Bot-Aktion zu.

• Navigieren Sie zu Security > Citrix Bot Management > Profiles.

• Wählen Sie auf der Seite Citrix Bot Management Profiles eine Signaturdatei aus und klicken Sie auf Edit.

• Gehen Sie auf der Seite Citrix Bot Management Profile zum Abschnitt Signature Settings und klicken Sie auf IP Reputation.

• Legen Sie im Abschnitt IP-Reputation die folgenden Parameter fest:

  • Aktiviert. Aktivieren Sie das Kontrollkästchen, um eingehenden Bot-Verkehr als Teil des Erkennungsprozesses zu validieren.

  • Kategorien konfigurieren. Benutzer können die IP-Reputations-Technik für eingehenden Bot-Verkehr unter verschiedenen Kategorien verwenden. Basierend auf der konfigurierten Kategorie können Benutzer den Bot-Verkehr verwerfen oder umleiten. Klicken Sie auf Hinzufügen, um eine Kategorie für bösartige Bots zu konfigurieren.

  • Legen Sie auf der Seite Configure Citrix Bot Management Profile IP Reputation Binding die folgenden Parameter fest:

    • Kategorie. Wählen Sie eine Kategorie für bösartige Bots aus der Liste aus. Ordnen Sie eine Bot-Aktion basierend auf der Kategorie zu.

    • Aktiviert. Aktivieren Sie das Kontrollkästchen, um die IP-Reputations-Signaturerkennung zu validieren.

    • Bot-Aktion. Basierend auf der konfigurierten Kategorie können Benutzer keine Aktion, Verwerfen, Umleiten oder CAPTCHA-Aktion zuweisen.

    • Protokoll. Aktivieren Sie das Kontrollkästchen, um Protokolleinträge zu speichern.

    • Protokollmeldung. Kurze Beschreibung des Protokolls.

    • Kommentare. Kurze Beschreibung der Bot-Kategorie.

• Klicken Sie auf OK.

• Klicken Sie auf Aktualisieren.

• Klicken Sie auf Fertig.

Automatische Aktualisierung für Bot-Signaturen

Die statische Bot-Signaturtechnik verwendet eine Signatur-Nachschlagetabelle mit einer Liste guter und schlechter Bots. Die Bots werden basierend auf dem User-Agent-String und den Domänennamen kategorisiert. Wenn der User-Agent-String und der Domänenname im eingehenden Bot-Verkehr mit einem Wert in der Nachschlagetabelle übereinstimmen, wird eine konfigurierte Bot-Aktion angewendet. Die Bot-Signatur-Updates werden in der AWS Cloud gehostet, und die Signatur-Nachschlagetabelle kommuniziert mit der AWS-Datenbank für Signatur-Updates. Der Scheduler für die automatische Signaturaktualisierung läuft stündlich, um die AWS-Datenbank zu überprüfen und die Signaturtabelle in der ADC-Appliance zu aktualisieren.

Die URL für die automatische Aktualisierung der Bot-Signaturzuordnung zum Konfigurieren von Signaturen lautet: Bot-Signaturzuordnung.

Hinweis:

Benutzer können auch einen Proxyserver konfigurieren und Signaturen von der AWS Cloud über einen Proxy regelmäßig auf die ADC-Appliance aktualisieren. Für die Proxy-Konfiguration müssen Benutzer die Proxy-IP-Adresse und Portadresse in den Bot-Einstellungen festlegen.

Automatische Aktualisierung der Bot-Signatur konfigurieren

Führen Sie die folgenden Schritte aus, um die automatische Aktualisierung der Bot-Signatur zu konfigurieren:

Automatische Aktualisierung der Bot-Signatur aktivieren

Benutzer müssen die Option zur automatischen Aktualisierung in den Bot-Einstellungen auf der ADC-Appliance aktivieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

set bot settings –signatureAutoUpdate ON

Bot-Signatur-Auto-Update über die Citrix ADC GUI konfigurieren

Führen Sie die folgenden Schritte aus, um die automatische Aktualisierung der Bot-Signatur zu konfigurieren:

• Navigieren Sie zu Security > Citrix Bot Management.

• Klicken Sie im Detailbereich unter Settings auf Change Citrix Bot Management Settings.

• Wählen Sie unter Configure Citrix Bot Management Settings das Kontrollkästchen Auto Update Signature aus.

• Klicken Sie auf OK und Close.

Weitere Informationen zum Konfigurieren der IP-Reputation über die CLI finden Sie unter: Configure the IP Reputation Feature Using the CLI.

Referenzen

Informationen zur Verwendung von SQL Fine Grained Relaxations finden Sie unter: SQL Fine Grained Relaxations.

Informationen zum Konfigurieren der SQL-Injection-Prüfung über die Befehlszeile finden Sie unter: HTML SQL Injection Check.

Informationen zum Konfigurieren der SQL-Injection-Prüfung über die GUI finden Sie unter: Using the GUI to Configure the SQL Injection Security Check.

Informationen zur Verwendung der Lernfunktion mit der SQL-Injection-Prüfung finden Sie unter: Using the Learn Feature with the SQL Injection Check.

Informationen zur Verwendung der Protokollfunktion mit der SQL-Injection-Prüfung finden Sie unter: Using the Log Feature with the SQL Injection Check.

Informationen zu Statistiken für SQL-Injection-Verletzungen finden Sie unter: Statistics for the SQL Injection Violations.

Informationen zu den Highlights der SQL-Injection-Prüfung finden Sie unter: Highlights.

Informationen zu XML-SQL-Injection-Prüfungen finden Sie unter: XML SQL Injection Check.

Informationen zur Verwendung von Cross-Site-Scripting-Feinabstimmungs-Relaxationen finden Sie unter: SQL Fine Grained Relaxations.

Informationen zum Konfigurieren von HTML-Cross-Site-Scripting über die Befehlszeile finden Sie unter: Using the Command Line to Configure the HTML Cross-Site Scripting Check.

Informationen zum Konfigurieren von HTML-Cross-Site-Scripting über die GUI finden Sie unter: Using the GUI to Configure the HTML Cross-Site Scripting Check.

Informationen zur Verwendung der Lernfunktion mit der HTML-Cross-Site-Scripting-Prüfung finden Sie unter: Using the Learn Feature with the HTML Cross-Site Scripting Check.

Informationen zur Verwendung der Protokollfunktion mit der HTML-Cross-Site-Scripting-Prüfung finden Sie unter: Using the Log Feature with the HTML Cross-Site Scripting Check.

Informationen zu Statistiken für HTML-Cross-Site-Scripting-Verletzungen finden Sie unter: Statistics for the HTML Cross-Site Scripting Violations.

Informationen zu den Highlights von HTML-Cross-Site-Scripting finden Sie unter: Highlights.

Informationen zu XML-Cross-Site-Scripting finden Sie unter: XML Cross-Site Scripting Check.

Informationen zur Konfiguration der Buffer-Overflow-Sicherheitsprüfung über die Befehlszeile finden Sie unter: Using the Command Line to Configure the Buffer Overflow Security Check.

Informationen zur Konfiguration der Buffer-Overflow-Sicherheitsprüfung über die GUI finden Sie unter: Configure Buffer Overflow Security Check by using the Citrix ADC GUI.

Informationen zur Verwendung der Protokollfunktion mit der Buffer-Overflow-Sicherheitsprüfung finden Sie unter: Using the Log Feature with the Buffer Overflow Security Check.

Informationen zu Statistiken für Pufferüberlaufverletzungen finden Sie unter: Statistiken für Pufferüberlaufverletzungen.

Informationen zu den Highlights der Pufferüberlauf-Sicherheitsprüfung finden Sie unter: Highlights.

Informationen zum Hinzufügen oder Entfernen eines Signaturobjekts finden Sie unter: Hinzufügen oder Entfernen eines Signaturobjekts.

Informationen zum Erstellen eines Signaturobjekts aus einer Vorlage finden Sie unter: Erstellen eines Signaturobjekts aus einer Vorlage.

Informationen zum Erstellen eines Signaturobjekts durch Importieren einer Datei finden Sie unter: Erstellen eines Signaturobjekts durch Importieren einer Datei.

Informationen zum Erstellen eines Signaturobjekts durch Importieren einer Datei über die Befehlszeile finden Sie unter: Erstellen eines Signaturobjekts durch Importieren einer Datei über die Befehlszeile.

Informationen zum Entfernen eines Signaturobjekts über die GUI finden Sie unter: Entfernen eines Signaturobjekts über die GUI.

Informationen zum Entfernen eines Signaturobjekts über die Befehlszeile finden Sie unter: Entfernen eines Signaturobjekts über die Befehlszeile.

Informationen zum Konfigurieren oder Ändern eines Signaturobjekts finden Sie unter: Konfigurieren oder Ändern eines Signaturobjekts.

Weitere Informationen zum Aktualisieren eines Signaturobjekts finden Sie unter: Aktualisieren eines Signaturobjekts.

Informationen zum Aktualisieren von Web Application Firewall-Signaturen aus der Quelle über die Befehlszeile finden Sie unter: Aktualisieren der Web Application Firewall-Signaturen aus der Quelle über die Befehlszeile.

Informationen zum Aktualisieren eines Signaturobjekts aus einer Datei im Citrix-Format finden Sie unter: Aktualisieren eines Signaturobjekts aus einer Datei im Citrix-Format.

Informationen zum Aktualisieren eines Signaturobjekts von einem unterstützten Schwachstellen-Scanning-Tool finden Sie unter: Aktualisieren eines Signaturobjekts von einem unterstützten Schwachstellen-Scanning-Tool.

Informationen zur Snort-Regelintegration finden Sie unter: Snort-Regelintegration.

Informationen zum Konfigurieren von Snort-Regeln finden Sie unter: Konfigurieren von Snort-Regeln.

Informationen zum Konfigurieren von Bot Management über die Befehlszeile finden Sie unter: Bot Management konfigurieren.

Informationen zum Konfigurieren der Bot-Management-Einstellungen für die Geräte-Fingerprint-Technik finden Sie unter: Bot-Management-Einstellungen für die Geräte-Fingerprint-Technik konfigurieren.

Informationen zum Konfigurieren von Bot-Zulassungslisten mithilfe der Citrix ADC GUI finden Sie unter: Bot-Zulassungsliste mithilfe der Citrix ADC GUI konfigurieren.

Informationen zum Konfigurieren von Bot-Sperrlisten mithilfe der Citrix ADC GUI finden Sie unter: Bot-Sperrliste mithilfe der Citrix ADC GUI konfigurieren.

Weitere Informationen zum Konfigurieren von Bot Management finden Sie unter: Bot Management konfigurieren.

Voraussetzungen

Bevor Benutzer versuchen, eine VPX-Instanz in AWS zu erstellen, sollten sie sicherstellen, dass sie über Folgendes verfügen:

• Ein AWS-Konto zum Starten eines Citrix ADC VPX AMI in einer Amazon Web Services (AWS) Virtual Private Cloud (VPC). Benutzer können ein kostenloses AWS-Konto bei Amazon Web Services erstellen: AWS.

• Ein AWS Identity and Access Management (IAM)-Benutzerkonto, um den Zugriff auf AWS-Dienste und -Ressourcen für Benutzer sicher zu steuern. Weitere Informationen zum Erstellen eines IAM-Benutzerkontos finden Sie im Thema: Erstellen von IAM-Benutzern (Konsole).

Eine IAM-Rolle ist sowohl für Standalone- als auch für Hochverfügbarkeitsbereitstellungen obligatorisch. Die IAM-Rolle muss die folgenden Berechtigungen haben:

• ec2:DescribeInstances

• ec2:DescribeNetworkInterfaces

• ec2:DetachNetworkInterface

• ec2:AttachNetworkInterface

• ec2:StartInstances

• ec2:StopInstances

• ec2:RebootInstances

• ec2:DescribeAddresses

• ec2:AssociateAddress

• ec2:DisassociateAddress

• ec2:AssignPrivateIpAddresses

• Automatische Skalierung:*

• Einfacher Benachrichtigungsdienst:*

• Einfacher Warteschlangendienst:*

• Cloud-Überwachung:*

• iam:SimulatePrincipalPolicy

• iam:GetRole

Weitere Informationen zu IAM-Berechtigungen finden Sie unter: AWS verwaltete Richtlinien für Stellenfunktionen.

Wenn die Citrix CloudFormation-Vorlage verwendet wird, wird die IAM-Rolle automatisch erstellt. Die Vorlage erlaubt nicht die Auswahl einer bereits erstellten IAM-Rolle.

Hinweis:

Wenn Benutzer sich über die GUI bei der VPX-Instanz anmelden, wird eine Aufforderung zur Konfiguration der erforderlichen Berechtigungen für die IAM-Rolle angezeigt. Ignorieren Sie die Aufforderung, wenn die Berechtigungen bereits konfiguriert wurden. Hinweis:

Die AWS CLI ist erforderlich, um alle Funktionen der AWS Management Console über das Terminalprogramm nutzen zu können. Weitere Informationen finden Sie im AWS CLI-Benutzerhandbuch: Was ist die AWS Command Line Interface?. Benutzer benötigen die AWS CLI auch, um den Netzwerkschnittstellentyp auf SR-IOV zu ändern.

Weitere Informationen zu Citrix ADC und AWS, einschließlich der Unterstützung für Citrix Networking VPX innerhalb von AWS, finden Sie im Validated Reference Design Guide zu Citrix ADC und Amazon Web Services: Citrix ADC und Amazon Web Services Validated Reference Design.

Einschränkungen und Nutzungsrichtlinien

Die folgenden Einschränkungen und Nutzungsrichtlinien gelten bei der Bereitstellung einer Citrix ADC VPX-Instanz auf AWS:

• Benutzer sollten die oben aufgeführte AWS-Terminologie lesen, bevor sie eine neue Bereitstellung starten.

• Die Clustering-Funktion wird nur unterstützt, wenn sie mit Citrix ADM Auto Scale Groups bereitgestellt wird.

• Damit das Hochverfügbarkeits-Setup effektiv funktioniert, weisen Sie der Verwaltungsschnittstelle ein dediziertes NAT-Gerät zu oder weisen Sie dem NSIP eine Elastic IP (EIP) zu. Weitere Informationen zu NAT finden Sie in der AWS-Dokumentation unter: NAT-Instanzen.

• Datenverkehr und Verwaltungsdatenverkehr müssen mit ENIs, die zu verschiedenen Subnetzen gehören, getrennt werden.

• Nur die NSIP-Adresse darf auf der Management-ENI vorhanden sein.

• Wenn eine NAT-Instanz zur Sicherheit verwendet wird, anstatt dem NSIP eine EIP zuzuweisen, sind entsprechende Routing-Änderungen auf VPC-Ebene erforderlich. Anweisungen zum Vornehmen von Routing-Änderungen auf VPC-Ebene finden Sie in der AWS-Dokumentation unter: Szenario 2: VPC mit öffentlichen und privaten Subnetzen.

• Eine VPX-Instanz kann von einem EC2-Instanztyp zu einem anderen verschoben werden (z. B. von m3.large zu m3.xlarge). Weitere Informationen finden Sie unter: Einschränkungen und Nutzungsrichtlinien.

• Für Speichermedien für VPX auf AWS empfiehlt Citrix EBS, da es dauerhaft ist und die Daten auch nach dem Trennen von der Instanz verfügbar sind.

• Das dynamische Hinzufügen von ENIs zu VPX wird nicht unterstützt. Starten Sie die VPX-Instanz neu, um das Update anzuwenden. Citrix empfiehlt Benutzern, die Standalone- oder HA-Instanz zu stoppen, die neue ENI anzuhängen und die Instanz dann neu zu starten. Die primäre ENI kann nach der Bereitstellung nicht geändert oder einem anderen Subnetz zugewiesen werden. Sekundäre ENIs können bei gestoppter VPX nach Bedarf getrennt und geändert werden.

• Benutzer können einer ENI mehrere IP-Adressen zuweisen. Die maximale Anzahl von IP-Adressen pro ENI wird durch den EC2-Instanztyp bestimmt, siehe den Abschnitt „IP-Adressen pro Netzwerkschnittstelle pro Instanztyp“ in Elastic Network Interfaces: Elastic Network Interfaces. Benutzer müssen die IP-Adressen in AWS zuweisen, bevor sie sie den ENIs zuweisen. Weitere Informationen finden Sie unter Elastic Network Interfaces: Elastic Network Interfaces.

• Citrix empfiehlt, die Befehle zum Aktivieren und Deaktivieren von Schnittstellen auf Citrix ADC VPX-Schnittstellen nicht zu verwenden.

• Die Citrix ADC set ha node \<NODE\_ID\> -haStatus STAYPRIMARY- und set ha node \<NODE\_ID\> -haStatus STAYSECONDARY-Befehle sind standardmäßig deaktiviert.

• IPv6 wird für VPX nicht unterstützt.

• Aufgrund von AWS-Einschränkungen werden diese Funktionen nicht unterstützt:

  • Gratuitous ARP (GARP)

  • L2-Modus (Bridging). Transparente virtuelle Server werden mit L2 (MAC-Umschreibung) für Server im selben Subnetz wie die SNIP unterstützt.

  • Tagged VLAN

  • Dynamisches Routing

  • Virtuelle MAC

• Damit RNAT, Routing und transparente virtuelle Server funktionieren, stellen Sie sicher, dass die Quell-/Zielprüfung für alle ENIs im Datenpfad deaktiviert ist. Weitere Informationen finden Sie unter „Ändern der Quell-/Zielprüfung“ in Elastic Network Interfaces: Elastic Network Interfaces.

• Bei einer Citrix ADC VPX-Bereitstellung auf AWS kann es in einigen AWS-Regionen vorkommen, dass die AWS-Infrastruktur AWS-API-Aufrufe nicht auflösen kann. Dies geschieht, wenn die API-Aufrufe über eine Nicht-Verwaltungsschnittstelle auf der Citrix ADC VPX-Instanz ausgegeben werden. Als Problemumgehung beschränken Sie die API-Aufrufe nur auf die Verwaltungsschnittstelle. Erstellen Sie dazu ein NSVLAN auf der VPX-Instanz und binden Sie die Verwaltungsschnittstelle mit dem entsprechenden Befehl an das NSVLAN.

• Zum Beispiel:

  • set ns config -nsvlan <vlan id> -ifnum 1/1 -tagged NEIN

  • Konfiguration speichern

• Starten Sie die VPX-Instanz an der Eingabeaufforderung neu.

• Weitere Informationen zum Konfigurieren von nsvlan finden Sie unter Konfigurieren von NSVLAN: Konfigurieren von NSVLAN.

• In der AWS-Konsole kann die unter der Registerkarte „Überwachung“ für eine VPX-Instanz angezeigte vCPU-Auslastung hoch sein (bis zu 100 Prozent), selbst wenn die tatsächliche Auslastung viel geringer ist. Um die tatsächliche vCPU-Auslastung anzuzeigen, navigieren Sie zu „Alle CloudWatch-Metriken anzeigen“. Weitere Informationen finden Sie unter: Überwachen Ihrer Instanzen mit Amazon CloudWatch. Alternativ können Benutzer, wenn geringe Latenz und Leistung keine Rolle spielen, die CPU-Yield-Funktion aktivieren, die es den Paket-Engines ermöglicht, im Leerlauf zu sein, wenn kein Datenverkehr vorhanden ist. Besuchen Sie Citrix Support Knowledge Center für weitere Details zur CPU-Yield-Funktion und deren Aktivierung.

Technische Anforderungen

Bevor Benutzer den Quick Start Guide starten, um eine Bereitstellung zu beginnen, muss das Benutzerkonto wie in der folgenden Tabelle angegeben konfiguriert werden. Andernfalls könnte die Bereitstellung fehlschlagen.

Ressourcen

Melden Sie sich bei Bedarf beim Amazon-Benutzerkonto an und fordern Sie hier eine Erhöhung der Dienstlimits für die folgenden Ressourcen an: AWS/Anmelden. Dies kann erforderlich sein, wenn Sie bereits eine bestehende Bereitstellung haben, die diese Ressourcen nutzt, und Sie der Meinung sind, dass Sie mit dieser Bereitstellung die Standardlimits überschreiten könnten. Informationen zu Standardlimits finden Sie in den AWS Service Quotas in der AWS-Dokumentation: AWS Service Quotas.

Der AWS Trusted Advisor, hier zu finden: AWS/Anmelden, bietet eine Überprüfung der Dienstlimits, die die Nutzung und Limits für einige Aspekte bestimmter Dienste anzeigt.

Regionen

Citrix WAF unter AWS wird derzeit nicht in allen AWS-Regionen unterstützt. Eine aktuelle Liste der unterstützten Regionen finden Sie unter AWS Service Endpoints in der AWS-Dokumentation: AWS Service Endpoints.

Weitere Informationen zu AWS-Regionen und warum Cloud-Infrastruktur wichtig ist, finden Sie unter: Globale Infrastruktur.

Schlüsselpaar

Stellen Sie sicher, dass mindestens ein Amazon EC2-Schlüsselpaar im AWS-Konto des Benutzers in der Region vorhanden ist, in der Benutzer die Bereitstellung mithilfe des Quick Start Guide planen. Notieren Sie sich den Namen des Schlüsselpaars. Benutzer werden während der Bereitstellung nach diesen Informationen gefragt. Um ein Schlüsselpaar zu erstellen, befolgen Sie die Anweisungen für Amazon EC2-Schlüsselpaare und Linux-Instanzen in der AWS-Dokumentation: Amazon EC2-Schlüsselpaare und Linux-Instanzen.

Wenn Benutzer den Quick Start Guide zu Test- oder Proof-of-Concept-Zwecken bereitstellen, empfehlen wir, ein neues Schlüsselpaar zu erstellen, anstatt ein Schlüsselpaar anzugeben, das bereits von einer Produktionsinstanz verwendet wird.