Citrix Application Delivery Management-Service

Sicherheits-Advisory

Eine sichere und belastbare Infrastruktur ist die Lebensader jeder Organisation. Daher muss die Organisation neue Common Vulnerabilities and Exposures (CVEs) nachverfolgen, die Auswirkungen von CVEs auf ihre Infrastruktur bewerten, die Minderung und Behebung verstehen und die Minderung und Behebung planen, um die Schwachstellen zu lösen.

Citrix ADM Security Advisory hebt Citrix CVes hervor, Ihre ADC-Instanzen einem Risiko auszusetzen, und empfiehlt Abgrenzungen und Korrekturen. Sie können die Empfehlungen überprüfen und geeignete Maßnahmen ergreifen, indem Sie den ADM-Service verwenden, um die Gegenmaßnahmen und Behebungen anzuwenden.

Funktionen zur Sicherheitsberatung

Die folgenden Sicherheitsfunktionen helfen Ihnen beim Schutz Ihrer Infrastruktur.

  • Scan: enthält den standardmäßigen Systemscan und den Scannen auf Anforderung.
    • Systemscan: scannt alle verwalteten Instanzen standardmäßig einmal pro Woche. ADM entscheidet über Datum und Uhrzeit von Systemscans, und Sie können diese nicht ändern.
    • Anforderungsscan: ermöglicht es Ihnen, die Instanzen bei Bedarf manuell zu scannen. Wenn die nach dem letzten Systemscan verstrichene Zeit erheblich ist, können Sie den Anforderungs-Scan ausführen, um die aktuelle Sicherheitslage zu beurteilen. Oder scannen Sie, nachdem eine Behebung oder Minderung durchgeführt wurde, um die überarbeitete Haltung zu beurteilen.
  • CVE-Wirkungsanalyse: zeigt Ergebnisse aller CVEs, die sich auf Ihre Infrastruktur auswirken, und alle ADC-Instanzen, die betroffen sind, und schlägt eine Abhilfe und Minderung vor. Verwenden Sie diese Informationen, um Minderung und Abhilfe zu beantragen, um Sicherheitsrisiken zu beheben.

  • CVE berichtet: speichert Kopien der letzten fünf Scans. Sie können diese Berichte im CSV-Format herunterladen und analysieren.

  • CVE-Repository: Bietet einen detaillierten Überblick über alle ADC-bezogenen CVEs, die Citrix seit Dezember 2019 angekündigt hat und die Auswirkungen auf Ihre ADC-Infrastruktur haben könnten. Sie können diese Ansicht verwenden, um die CVEs im Bereich der Sicherheitsberatung zu verstehen und mehr über den CVE zu erfahren.

Punkte zu beachten

Beachten Sie bei der Verwendung von Security Advisory die folgenden Punkte:

  • Instanzen, die für die CVE-Erkennung unterstützt werden: alle ADC (SDX, MPX, VPX, BLX) und Gateway.
  • Unterstützte CVEs: alle CVEs nach Dezember 2019.
  • Umfang von ADC, Gateway-Versionen: Die Funktion ist auf Hauptgebäude beschränkt. Die Sicherheitsberatung enthält keinen speziellen Build in seinen Anwendungsbereich.

    • Security Advisory wird in ADC-Instanzen unterstützt, in denen Versionen höher als 10.5 ausgeführt werden, und nicht in Instanzen, in denen 10.5 und niedrigere Versionen ausgeführt werden.

    • Die Sicherheitshinweise wird in Admin-Partitions-, SD-WAN-Geräten, HAProxy oder HAProxy-Host-Geräten nicht unterstützt.

  • Arten von Scans: Sicherheitshinweise führt Versionsscans und Konfigurationsscans durch
    • Versionsscan: prüft, ob die ADC-Version eine anfällige Version ist. Die verwendete Logik ist, wenn ein CVE auf ADC-Version xx.xx festgelegt ist, werden alle Releases und Builds niedriger als xx.xx Build als anfällig angesehen.
    • Config Scan — Scannen Sie die ADC-Konfiguration, um festzustellen, ob ein bestimmtes Konfigurationsmuster existiert, das sie anfällig macht.
  • Scans haben keinen Einfluss auf den Produktionsverkehr auf ADC und verändern keine ADC-Konfiguration unter ADC.

So verwenden Sie das Sicherheits-Advisory-Dashboard

Um über die ADM-GUI auf das Security Advisory Dashboard zuzugreifen, navigieren Sie zu Netzwerke > Instanz Advisory > Security Advisory. Das Dashboard zeigt den Schwachstellenstatus aller ADC-Instanzen an, die Sie über ADM verwalten. Die Instanzen werden einmal pro Woche gescannt; Sie können sie jedoch jederzeit scannen, indem Sie auf Jetzt scannenklicken.

Das Dashboard enthält drei Registerkarten:

  • Aktuelle CVEs
  • Protokoll scannen
  • CVE-Repository

Sicherheits-Advisory-Dashboard

Wichtig

In der Sicherheits-Advisory-GUI oder im Bericht werden möglicherweise nicht alle CVEs angezeigt, und Sie sehen möglicherweise nur eine CVE. Klicken Sie als Workaround auf Jetzt scannen, um einen Anforderungsscan auszuführen. Nachdem der Scan abgeschlossen ist, werden alle CVEs im Bereich (ungefähr 15) in der Benutzeroberfläche oder im Bericht angezeigt.

Aktuelle CVEs

Diese Registerkarte zeigt die Anzahl der CVEs, die sich auf Ihre Instanzen auswirken (in diesem Bildschirm 14 CVEs), sowie die Instanzen, die von CVEs betroffen sind (in diesem Bildschirm Capture One). Die Registerkarten sind nicht sequenziell, und als Administrator können Sie je nach Anwendungsfall zwischen diesen Registerkarten wechseln.

Die Tabelle mit der Anzahl der CVEs, die sich auf die ADC-Instanzen auswirken, enthält die folgenden Details.

CVE ID: Die ID der CVE, die sich auf die Instanzen auswirkt.

Veröffentlichungsdatum: Das Datum, an dem das Sicherheitsbulletin für diesen CVE veröffentlicht wurde.

Schweregrad: der Schweregrad (hoch/mittel/kritisch) und Score. Um die Punktzahl zu sehen, bewegen Sie den Mauszeiger über den Schweregrad

Schwachstellentyp: Die Art der Schwachstelle für diese CVE.

Betroffene ADC-Instanzen: Die Instanz, auf die sich die CVE-ID auswirkt. Wenn Sie den Mauszeiger darüber bewegen, wird die Liste der ADC-Instanzen angezeigt.

Behebung: Die verfügbaren Behebungen, bei denen die Instanz (normalerweise) aktualisiert oder Konfigurationspakete angewendet werden.

Die gleiche Instanz kann von mehreren CVEs betroffen sein. In dieser Tabelle können Sie sehen, wie viele Instanzen eine bestimmte CVE oder mehrere ausgewählte CVEs Auswirkungen haben. Um die IP-Adresse der betroffenen Instanz zu überprüfen, bewegen Sie den Mauszeiger über ADC-Details unter Betroffene ADC-Instanzen. Um die Details der betroffenen Instanz zu überprüfen, klicken Sie unten in der Tabelle auf Betroffene Instanzen anzeigen. Sie können auch Spalten in der Tabelle hinzufügen oder entfernen, indem Sie auf das Pluszeichen klicken.

Aktuelle CVEs

Die <number of>ADC-Instanzen werden von der Registerkarte CVEs beeinflusst und zeigt Ihnen alle betroffenen ADM-verwalteten ADC-Instanzen. Die Tabelle zeigt die ADC-IP-Adresse, den Hostnamen, die ADC-Modellnummer, den Status des ADC, die Softwareversion und den Build sowie die Liste der CVEs, die den ADC beeinflussen.

Bei der folgenden Bildschirmaufnahme ist eine ADC-Instanz betroffen. Sie fügen eine dieser Spalten nach Bedarf hinzu oder entfernen sie, indem Sie auf das Zeichen + klicken.

Instanzen, die von CVE betroffen sind

Um das Schwachstellenproblem zu beheben, wählen Sie die ADC-Instanz aus und wenden Sie die Empfehlungsbehebung an, bei der die Instanz aktualisiert wird.

  • Upgrade: Sie können die anfälligen ADC-Instanzen auf eine Version und einen Build mit dem Fix aktualisieren. Dieses Detail ist in der Behebungsspalte zu sehen. Wählen Sie zum Upgrade die Instanz aus und klicken Sie dann auf Weiter zum Upgrade-Workflow. Im Upgrade-Workflow wird der anfällige ADC automatisch als Ziel-ADC ausgefüllt.

Hinweis

Die Releases 12.0, 11.0, 10.5 und niedriger sind bereits Ende des Lebenszyklus (EOL). Wenn Ihre ADC-Instanzen auf einer dieser Versionen ausgeführt werden, führen Sie ein Upgrade auf eine unterstützte Version durch.

Der Upgrade-Workflow beginnt. Weitere Informationen zur Verwendung von ADM zum Upgrade von ADC-Instanzen finden Sie unter Erstellen eines ADC-Upgrade-Auftrags.

Hinweis

Die Version und der Build, auf die Sie upgraden möchten, liegt in Ihrem Ermessen. Lesen Sie die Ratschläge in der Behebungsspalte, um zu erfahren, welche Releases und Builds den Sicherheitskorrektur haben, und wählen Sie entsprechend eine unterstützte Version und einen Build aus, der noch nicht das Ende der Lebensdauer erreicht hat.

Arbeitsablauf für Upgrade-

Protokoll scannen

Die Registerkarte zeigt Berichte der letzten fünf Scans, die sowohl Standardsystem-Scans als auch benutzerinitiierte Scans auf Anforderung enthalten. Sie können den Bericht jedes Scans im CSV-Format herunterladen. Wenn ein Anforderungsscan läuft, können Sie den Abschlussstatus hier einsehen. Wenn ein Scan fehlgeschlagen ist, zeigt der Status dies an.

Protokoll scannen

CVE-Repository

Diese Registerkarte enthält die neuesten Informationen aller CVEs ab Dezember 2019 sowie die CVE-IDs, den Schwachstellentyp, das Veröffentlichungsdatum, den Schweregrad, die Behebung und Links zu Sicherheitsbulletins.

CVE-Repository

Jetzt durchsuchen

Die Sicherheitsberatung zeigt an, wann die Instanzen zuletzt gescannt wurden und wann der nächste Zeitplan fällig ist. Sie können die Instanzen auch jederzeit scannen, je nach Bedarf. Klicken Sie auf Jetzt scannen, um den neuesten Sicherheitsbericht Ihrer Instanz zu erhalten. ADM benötigt ein paar Minuten, um den Scan abzuschließen.

Jetzt scannen

Sobald der Scanvorgang abgeschlossen ist, werden die überarbeiteten Sicherheitsdetails in der Sicherheitsinform-GUI angezeigt. Sie finden den Bericht auch unter Scan Log, den Sie auch herunterladen können.

Nach dem Scannen anmelden

Hinweis

Das Scan-Log zeigt nur die Protokolle der letzten fünf Scans an, die sowohl geplant als auch bei Bedarf erfolgen können.

Benachrichtigung

Als Administrator erhalten Sie Citrix Cloud-Benachrichtigungen, die zeigen, wie viele ADC-Instanzen anfällig sind. Um die Benachrichtigungen zu sehen, klicken Sie auf das Glockensymbol in der oberen rechten Ecke der ADM-GUI.

Citrix Cloud-Benachrichtigung

Sicherheits-Advisory