Guide de déploiement de Citrix ADC VPX sur AWS

Présentation

Citrix ADC est une solution de livraison d’applications et d’équilibrage de charge qui offre une expérience utilisateur de haute qualité pour les applications web, traditionnelles et natives du cloud, quel que soit leur hébergement. Il est disponible dans une grande variété de facteurs de forme et d’options de déploiement, sans enfermer les utilisateurs dans une configuration ou un cloud unique. La licence de capacité mutualisée permet le déplacement de la capacité entre les déploiements cloud.

En tant que leader incontesté de la livraison de services et d’applications, Citrix ADC est déployé dans des milliers de réseaux à travers le monde pour optimiser, sécuriser et contrôler la livraison de tous les services d’entreprise et cloud. Déployé directement devant les serveurs web et de bases de données, Citrix ADC combine l’équilibrage de charge et la commutation de contenu à haute vitesse, la compression HTTP, la mise en cache de contenu, l’accélération SSL, la visibilité du flux d’applications et un puissant pare-feu d’applications dans une plateforme intégrée et facile à utiliser. Le respect des SLA est grandement simplifié grâce à une surveillance de bout en bout qui transforme les données réseau en informations commerciales exploitables. Citrix ADC permet de définir et de gérer des politiques à l’aide d’un moteur de politique déclaratif simple, sans nécessiter d’expertise en programmation.

Citrix ADC VPX

Le produit Citrix ADC VPX est une appliance virtuelle qui peut être hébergée sur une grande variété de plateformes de virtualisation et de cloud.

Ce guide de déploiement se concentre sur Citrix ADC VPX sur Amazon Web Services.

Amazon Web Services

Amazon Web Services (AWS) est une plateforme de cloud computing complète et évolutive fournie par Amazon qui comprend un mélange d’offres d’infrastructure en tant que service (IaaS), de plateforme en tant que service (PaaS) et de logiciel en tant que service (SaaS) packagé. Les services AWS offrent des outils tels que la puissance de calcul, le stockage de bases de données et les services de livraison de contenu.

AWS propose les services essentiels suivants :

• Services de calcul AWS

• Services de migration

• Stockage

• Services de base de données

• Outils de gestion

• Services de sécurité

• Analytique

• Réseaux

• Messagerie

• Outils de développement

• Services mobiles

Terminologie AWS

Voici une brève description des termes clés utilisés dans ce document que les utilisateurs doivent connaître :

• Interface réseau élastique (ENI) – Une interface réseau virtuelle que les utilisateurs peuvent attacher à une instance dans un cloud privé virtuel (VPC).

• Adresse IP élastique (EIP) – Une adresse IPv4 publique et statique que les utilisateurs ont allouée dans Amazon EC2 ou Amazon VPC, puis attachée à une instance. Les adresses IP élastiques sont associées aux comptes utilisateur, et non à une instance spécifique. Elles sont élastiques car les utilisateurs peuvent facilement les allouer, les attacher, les détacher et les libérer en fonction de l’évolution de leurs besoins.

• Sous-réseau – Un segment de la plage d’adresses IP d’un VPC auquel des instances EC2 peuvent être attachées. Les utilisateurs peuvent créer des sous-réseaux pour regrouper les instances en fonction des besoins de sécurité et opérationnels.

• Cloud privé virtuel (VPC) – Un service web permettant de provisionner une section logiquement isolée du cloud AWS où les utilisateurs peuvent lancer des ressources AWS dans un réseau virtuel qu’ils définissent.

Voici une brève description d’autres termes utilisés dans ce document que les utilisateurs devraient connaître :

• Amazon Machine Image (AMI) – Une image machine, qui fournit les informations nécessaires pour lancer une instance, qui est un serveur virtuel dans le cloud.

• Elastic Block Store – Fournit des volumes de stockage par blocs persistants à utiliser avec les instances Amazon EC2 dans le cloud AWS.

• Simple Storage Service (S3) – Stockage pour Internet. Il est conçu pour faciliter l’informatique à l’échelle du web pour les développeurs.

• Elastic Compute Cloud (EC2) – Un service web qui fournit une capacité de calcul sécurisée et redimensionnable dans le cloud. Il est conçu pour faciliter le cloud computing à l’échelle du web pour les développeurs.

• Elastic Kubernetes Service (EKS) – Amazon EKS est un service géré qui permet aux utilisateurs d’exécuter facilement Kubernetes sur AWS sans avoir à configurer ou à maintenir leur propre plan de contrôle Kubernetes. … Amazon EKS exécute des instances de plan de contrôle Kubernetes sur plusieurs zones de disponibilité pour assurer une haute disponibilité. Amazon EKS est un service géré qui permet aux utilisateurs d’exécuter facilement Kubernetes sur AWS sans avoir à installer et à exploiter leurs propres clusters Kubernetes.

• Application Load Balancing (ALB) – Amazon ALB fonctionne à la couche 7 de la pile OSI ; il est donc utilisé lorsque les utilisateurs souhaitent acheminer ou sélectionner le trafic en fonction d’éléments de la connexion HTTP ou HTTPS, qu’elle soit basée sur l’hôte ou sur le chemin. La connexion ALB est sensible au contexte et peut avoir des requêtes directes basées sur n’importe quelle variable unique. Les applications sont équilibrées en fonction de leur comportement particulier et non uniquement des informations du serveur (système d’exploitation ou couche de virtualisation).

• Elastic Load Balancing (ALB/ELB/NLB) – Amazon ELB distribue le trafic d’application entrant sur plusieurs instances EC2, dans plusieurs zones de disponibilité. Cela augmente la tolérance aux pannes des applications utilisateur.

• Network Load Balancing (NLB) – Amazon NLB fonctionne à la couche 4 de la pile OSI et en dessous, et n’est pas conçu pour prendre en compte quoi que ce soit au niveau de la couche application, comme le type de contenu, les données de cookie, les en-têtes personnalisés, la localisation de l’utilisateur ou le comportement de l’application. Il est sans contexte, ne se souciant que des informations de la couche réseau contenues dans les paquets qu’il dirige. Il distribue le trafic en fonction de variables réseau telles que l’adresse IP et les ports de destination.

• Type d’instance – Amazon EC2 offre une large sélection de types d’instances optimisés pour s’adapter à différents cas d’utilisation. Les types d’instances comprennent diverses combinaisons de CPU, de mémoire, de stockage et de capacité réseau et offrent aux utilisateurs la flexibilité de choisir la combinaison de ressources appropriée pour leurs applications.

• Identity and Access Management (IAM) – Une identité AWS avec des politiques d’autorisation qui déterminent ce que l’identité peut et ne peut pas faire dans AWS. Les utilisateurs peuvent utiliser un rôle IAM pour permettre aux applications s’exécutant sur une instance EC2 d’accéder en toute sécurité à leurs ressources AWS. Un rôle IAM est requis pour le déploiement d’instances VPX dans une configuration haute disponibilité.

• Internet Gateway – Connecte un réseau à Internet. Les utilisateurs peuvent acheminer le trafic pour les adresses IP en dehors de leur VPC vers la passerelle Internet.

• Paire de clés – Un ensemble d’informations d’identification de sécurité avec lesquelles les utilisateurs prouvent leur identité électroniquement. Une paire de clés se compose d’une clé privée et d’une clé publique.

• Table de routage – Un ensemble de règles de routage qui contrôle le trafic quittant tout sous-réseau associé à la table de routage. Les utilisateurs peuvent associer plusieurs sous-réseaux à une seule table de routage, mais un sous-réseau ne peut être associé qu’à une seule table de routage à la fois.

• Groupes de mise à l’échelle automatique (Auto Scale Groups) – Un service web pour lancer ou arrêter automatiquement des instances Amazon EC2 en fonction de politiques, de calendriers et de contrôles de santé définis par l’utilisateur.

• CloudFormation – Un service pour écrire ou modifier des modèles qui créent et suppriment des ressources AWS associées ensemble comme une unité.

• Pare-feu d’application web (WAF) – Un WAF est défini comme une solution de sécurité protégeant la couche d’application web dans le modèle réseau OSI. Un WAF ne dépend pas de l’application qu’il protège. Ce document se concentre sur l’exposition et l’évaluation des méthodes et fonctions de sécurité fournies spécifiquement par Citrix WAF.

• Bot – Un bot est défini comme un appareil, un programme ou un logiciel autonome sur un réseau (en particulier Internet) qui peut interagir avec des systèmes informatiques ou des utilisateurs pour exécuter des commandes, répondre à des messages ou effectuer des tâches de routine. Un bot est un programme logiciel sur Internet qui effectue des tâches répétitives. Certains bots peuvent être bons, tandis que d’autres peuvent avoir un impact négatif considérable sur un site web ou une application.

Exemple d’architecture Citrix WAF sur AWS

L’image précédente montre un cloud privé virtuel (VPC) avec des paramètres par défaut qui construit un environnement Citrix WAF dans le cloud AWS.

Dans un déploiement de production, les paramètres suivants sont configurés pour l’environnement Citrix WAF :

• Cette architecture suppose l’utilisation d’un modèle AWS CloudFormation et d’un guide de démarrage rapide AWS, que vous pouvez trouver ici : GitHub/AWS-Quickstart/Quickstart-Citrix-ADC-VPX.

• Un VPC qui s’étend sur deux zones de disponibilité, configuré avec deux sous-réseaux publics et quatre sous-réseaux privés, conformément aux meilleures pratiques AWS, pour vous fournir votre propre réseau virtuel sur AWS avec un bloc CIDR (Classless Inter-Domain Routing) /16 (un réseau avec 65 536 adresses IP privées). *

• Deux instances de Citrix WAF (principale et secondaire), une dans chaque zone de disponibilité.

• Trois groupes de sécurité, un pour chaque interface réseau (gestion, client, serveur), qui agissent comme des pare-feu virtuels pour contrôler le trafic de leurs instances associées.

• Trois sous-réseaux, pour chaque instance : un pour la gestion, un pour le client et un pour le serveur back-end.

• Une passerelle Internet attachée au VPC, et une table de routage de sous-réseaux publics qui est associée aux sous-réseaux publics afin de permettre l’accès à Internet. Cette passerelle est utilisée par l’hôte WAF pour envoyer et recevoir du trafic. Pour plus d’informations sur les passerelles Internet, consultez : Passerelles Internet. *

• 5 tables de routage - une table de routage publique associée aux sous-réseaux clients des WAF principal et secondaire. Les 4 tables de routage restantes sont liées à chacun des 4 sous-réseaux privés (sous-réseaux de gestion et côté serveur des WAF principal et secondaire). *

• AWS Lambda dans WAF prend en charge les éléments suivants :

  • Configuration de deux WAF dans chaque zone de disponibilité en mode HA

  • Création d’un exemple de profil WAF et, par conséquent, application de cette configuration par rapport au WAF

• AWS Identity and Access Management (IAM) pour contrôler de manière sécurisée l’accès aux services et ressources AWS pour vos utilisateurs. Par défaut, le modèle CloudFormation (CFT) crée le rôle IAM requis. Cependant, les utilisateurs peuvent fournir leur propre rôle IAM pour les instances Citrix ADC.

• Dans les sous-réseaux publics, deux passerelles NAT (Network Address Translation) gérées pour permettre l’accès Internet sortant aux ressources des sous-réseaux publics.

Remarque :

Le modèle CFT WAF qui déploie le Citrix WAF dans un VPC existant ignore les composants marqués d’astérisques et invite les utilisateurs à fournir leur configuration VPC existante.

Les serveurs backend ne sont pas déployés par le CFT.

Flux logique de Citrix WAF sur AWS

Flux logique

Le pare-feu d’applications Web peut être installé soit comme un périphérique réseau de couche 3, soit comme un pont réseau de couche 2 entre les serveurs des clients et les utilisateurs des clients, généralement derrière le routeur ou le pare-feu de l’entreprise cliente. Il doit être installé à un endroit où il peut intercepter le trafic entre les serveurs Web que les utilisateurs souhaitent protéger et le concentrateur ou le commutateur par lequel les utilisateurs accèdent à ces serveurs Web. Les utilisateurs configurent ensuite le réseau pour envoyer les requêtes au pare-feu d’applications Web au lieu de les envoyer directement à leurs serveurs Web, et les réponses au pare-feu d’applications Web au lieu de les envoyer directement à leurs utilisateurs. Le pare-feu d’applications Web filtre ce trafic avant de le transmettre à sa destination finale, en utilisant à la fois son ensemble de règles internes et les ajouts et modifications de l’utilisateur. Il bloque ou neutralise toute activité qu’il détecte comme étant nuisible, puis transmet le trafic restant au serveur Web. L’image précédente donne un aperçu du processus de filtrage.

Remarque :

Le diagramme omet l’application d’une politique au trafic entrant. Il illustre une configuration de sécurité dans laquelle la politique consiste à traiter toutes les requêtes. De plus, dans cette configuration, un objet de signatures a été configuré et associé au profil, et des contrôles de sécurité ont été configurés dans le profil.

Comme le montre le diagramme, lorsqu’un utilisateur demande une URL sur un site Web protégé, le pare-feu d’applications Web examine d’abord la requête pour s’assurer qu’elle ne correspond pas à une signature. Si la requête correspond à une signature, le pare-feu d’applications Web affiche l’objet d’erreur (une page Web située sur l’appliance du pare-feu d’applications Web et que les utilisateurs peuvent configurer à l’aide de la fonction d’importation) ou transmet la requête à l’URL d’erreur désignée (la page d’erreur).

Si une requête passe l’inspection des signatures, le pare-feu d’applications Web applique les contrôles de sécurité des requêtes qui ont été activés. Les contrôles de sécurité des requêtes vérifient que la requête est appropriée pour le site Web ou le service Web de l’utilisateur et ne contient pas de matériel susceptible de constituer une menace. Par exemple, les contrôles de sécurité examinent la requête pour détecter des signes indiquant qu’elle pourrait être d’un type inattendu, demander un contenu inattendu ou contenir des données de formulaire Web, des commandes SQL ou des scripts inattendus et potentiellement malveillants. Si la requête échoue à un contrôle de sécurité, le pare-feu d’applications Web soit nettoie la requête et la renvoie à l’appliance Citrix ADC (ou à l’appliance virtuelle Citrix ADC), soit affiche l’objet d’erreur. Si la requête passe les contrôles de sécurité, elle est renvoyée à l’appliance Citrix ADC, qui termine tout autre traitement et transmet la requête au serveur Web protégé.

Lorsque le site Web ou le service Web envoie une réponse à l’utilisateur, le pare-feu d’applications Web applique les contrôles de sécurité des réponses qui ont été activés. Les contrôles de sécurité des réponses examinent la réponse pour détecter les fuites d’informations privées sensibles, les signes de défiguration de site Web ou tout autre contenu qui ne devrait pas être présent. Si la réponse échoue à un contrôle de sécurité, le pare-feu d’applications Web supprime le contenu qui ne devrait pas être présent ou bloque la réponse. Si la réponse passe les contrôles de sécurité, elle est renvoyée à l’appliance Citrix ADC, qui la transmet à l’utilisateur.

Coût et licences

Les utilisateurs sont responsables du coût des services AWS utilisés lors de l’exécution des déploiements AWS. Les modèles AWS CloudFormation qui peuvent être utilisés pour ce déploiement incluent des paramètres de configuration que les utilisateurs peuvent personnaliser si nécessaire. Certains de ces paramètres, tels que le type d’instance, affectent le coût du déploiement. Pour les estimations de coûts, les utilisateurs doivent se référer aux pages de tarification de chaque service AWS qu’ils utilisent. Les prix sont sujets à changement.

Un Citrix ADC WAF sur AWS nécessite une licence. Pour licencier Citrix WAF, les utilisateurs doivent placer la clé de licence dans un compartiment S3 et spécifier son emplacement lors du lancement du déploiement.

Remarque :

Lorsque les utilisateurs choisissent le modèle de licence Bring your own license (BYOL), ils doivent s’assurer que la fonctionnalité AppFlow est activée. Pour plus d’informations sur les licences BYOL, consultez : AWS Marketplace/Citrix ADC VPX - Customer Licensed.

Les options de licence suivantes sont disponibles pour Citrix ADC WAF exécuté sur AWS. Les utilisateurs peuvent choisir une AMI (Amazon Machine Image) basée sur un seul facteur tel que le débit.

• Modèle de licence : Paiement à l’utilisation (PAYG, pour les licences de production) ou Bring Your Own License (BYOL, pour l’AMI sous licence client - Citrix ADC Pooled Capacity). Pour plus d’informations sur Citrix ADC Pooled Capacity, consultez : Citrix ADC Pooled Capacity.

  • Pour BYOL, il existe 3 modes de licence :

    • Configurer Citrix ADC Pooled Capacity : Configure Citrix ADC Pooled Capacity

    • Licence d’enregistrement et de retrait Citrix ADC VPX (CICO) : Citrix ADC VPX Check-in and Check-out Licensing

    Conseil :

    Si les utilisateurs choisissent la licence CICO avec le type de plate-forme d’application VPX-200, VPX-1000, VPX-3000, VPX-5000 ou VPX-8000, ils doivent s’assurer qu’ils disposent de la même licence de débit sur leur serveur de licences ADM.

    • Licence de CPU virtuel Citrix ADC : Citrix ADC virtual CPU Licensing

Remarque :

Si les utilisateurs souhaitent modifier dynamiquement la bande passante d’une instance VPX, ils doivent choisir une option BYOL, par exemple Citrix ADC pooled capacity où ils peuvent allouer les licences à partir de Citrix ADM, ou ils peuvent retirer les licences des instances Citrix ADC en fonction de la capacité minimale et maximale de l’instance à la demande et sans redémarrage. Un redémarrage n’est requis que si les utilisateurs souhaitent modifier l’édition de la licence.

• Débit : 200 Mbps ou 1 Gbps

• Bundle : Premium

Options de déploiement

Ce guide de déploiement propose deux options de déploiement :

• La première option consiste à déployer en utilisant un format de guide de démarrage rapide et les options suivantes :

  • Déployer Citrix WAF dans un nouveau VPC (déploiement de bout en bout). Cette option crée un nouvel environnement AWS composé du VPC, des sous-réseaux, des groupes de sécurité et d’autres composants d’infrastructure, puis déploie Citrix WAF dans ce nouveau VPC.

  • Déployer Citrix WAF dans un VPC existant. Cette option provisionne Citrix WAF dans l’infrastructure AWS existante de l’utilisateur.

• La deuxième option consiste à déployer en utilisant les StyleBooks WAF avec Citrix ADM

Étapes de déploiement à l’aide d’un guide de démarrage rapide

Étape 1 : Se connecter au compte AWS de l’utilisateur

• Connectez-vous au compte utilisateur sur AWS : AWS avec un rôle utilisateur IAM (Identity and Access Management) disposant des autorisations nécessaires pour créer un compte Amazon (si nécessaire) ou vous connecter à un compte Amazon.

• Utilisez le sélecteur de région dans la barre de navigation pour choisir la région AWS où les utilisateurs souhaitent déployer la haute disponibilité sur plusieurs zones de disponibilité AWS.

• Assurez-vous que le compte AWS de l’utilisateur est correctement configuré ; reportez-vous à la section Exigences techniques de ce document pour plus d’informations.

Étape 2 : S’abonner à l’AMI Citrix WAF

• Ce déploiement nécessite un abonnement à l’AMI pour Citrix WAF sur l’AWS Marketplace.

• Connectez-vous au compte AWS de l’utilisateur.

• Ouvrez la page de l’offre Citrix WAF en choisissant l’un des liens du tableau suivant.

  • Lorsque les utilisateurs lancent le Guide de démarrage rapide pour déployer Citrix WAF à l’étape 3 ci-dessous, ils utilisent le paramètre Citrix WAF Image pour sélectionner l’offre groupée et l’option de débit qui correspondent à leur abonnement AMI. La liste suivante présente les options AMI et les paramètres correspondants. L’instance AMI VPX nécessite un minimum de 2 processeurs virtuels et 2 Go de mémoire.

Remarque :

Pour récupérer l’ID AMI, consultez la page Produits Citrix sur AWS Marketplace sur GitHub : Produits Citrix sur AWS Marketplace.

• AMI AWS Marketplace

  • Citrix Web Application Firewall (WAF) - 200 Mbps : Citrix Web App Firewall (WAF) - 200 Mbps

  • Citrix Web Application Firewall (WAF) - 1000 Mbps : Citrix Web App Firewall (WAF) - 1000 Mbps

• Sur la page AMI, choisissez Continuer à s’abonner.

• Examinez les conditions générales d’utilisation du logiciel, puis choisissez Accepter les conditions.

Remarque :

Les utilisateurs reçoivent une page de confirmation, et un e-mail de confirmation est envoyé au propriétaire du compte. Pour des instructions d’abonnement détaillées, consultez la section Démarrage dans la documentation AWS Marketplace : Démarrage.

• Une fois le processus d’abonnement terminé, quittez AWS Marketplace sans autre action. Ne provisionnez pas le logiciel depuis AWS Marketplace — les utilisateurs déploieront l’AMI avec le Guide de démarrage rapide.

Étape 3 : Lancer le Guide de démarrage rapide pour déployer l’AMI

• Connectez-vous au compte AWS de l’utilisateur et choisissez l’une des options suivantes pour lancer le modèle AWS CloudFormation. Pour obtenir de l’aide sur le choix d’une option, consultez les options de déploiement plus tôt dans ce guide.

  • Déployez Citrix VPX dans un nouveau VPC sur AWS en utilisant l’un des modèles AWS CloudFormation situés ici :

    • Citrix/Citrix-ADC-AWS-CloudFormation/Templates/High-Availability/Across-Availability-Zone

    • Citrix/Citrix-ADC-AWS-CloudFormation/Templates/High-Availability/Same-Availability-Zone

  • Déployez Citrix WAF dans un VPC nouveau ou existant sur AWS en utilisant le modèle de démarrage rapide AWS situé ici : AWS-Quickstart/Quickstart-Citrix-ADC- WAF

Important :

Si les utilisateurs déploient Citrix WAF dans un VPC existant, ils doivent s’assurer que leur VPC s’étend sur deux zones de disponibilité, avec un sous-réseau public et deux sous-réseaux privés dans chaque zone de disponibilité pour les instances de charge de travail, et que les sous-réseaux ne sont pas partagés. Ce guide de déploiement ne prend pas en charge les sous-réseaux partagés, voir Travailler avec les VPC partagés : Working with Shared VPCs. Ces sous-réseaux nécessitent des passerelles NAT dans leurs tables de routage pour permettre aux instances de télécharger des packages et des logiciels sans les exposer à Internet. Pour plus d’informations sur les passerelles NAT, voir : NAT Gateways. Configurez les sous-réseaux de manière à ce qu’il n’y ait pas de chevauchement de sous-réseaux.

De plus, les utilisateurs doivent s’assurer que l’option de nom de domaine dans les options DHCP est configurée comme expliqué dans la documentation Amazon VPC disponible ici : Ensembles d’options DHCP : DHCP Options Sets. Les utilisateurs sont invités à saisir leurs paramètres VPC lorsqu’ils lancent le guide de démarrage rapide.

• Chaque déploiement prend environ 15 minutes.

• Vérifiez la région AWS affichée dans le coin supérieur droit de la barre de navigation et modifiez-la si nécessaire. C’est là que l’infrastructure réseau pour Citrix WAF sera construite. Le modèle est lancé par défaut dans la région USA Est (Ohio).

Remarque :

Ce déploiement inclut Citrix WAF, qui n’est pas actuellement pris en charge dans toutes les régions AWS. Pour une liste à jour des régions prises en charge, consultez les points de terminaison de service AWS : AWS Service Endpoints.

• Sur la page Sélectionner le modèle, conservez le paramètre par défaut pour l’URL du modèle, puis choisissez Suivant.

• Sur la page Spécifier les détails, spécifiez le nom de la pile selon la convenance de l’utilisateur. Passez en revue les paramètres du modèle. Fournissez des valeurs pour les paramètres qui nécessitent une saisie. Pour tous les autres paramètres, examinez les paramètres par défaut et personnalisez-les si nécessaire.

• Dans le tableau suivant, les paramètres sont répertoriés par catégorie et décrits séparément pour l’option de déploiement :

• Paramètres pour le déploiement de Citrix WAF dans un VPC nouveau ou existant (Option de déploiement 1)

• Lorsque les utilisateurs ont fini d’examiner et de personnaliser les paramètres, ils doivent choisir Suivant.

Paramètres pour le déploiement de Citrix WAF dans un nouveau VPC

Configuration réseau du VPC

Pour des informations de référence sur ce déploiement, consultez le modèle CFT ici : AWS-Quickstart/Quickstart-Citrix-ADC-WAF/Templates.

Configuration de l’hôte bastion

Configuration du WAF Citrix

Configuration des licences en pool

• Configurer la capacité groupée de Citrix ADC : Configurer la capacité groupée de Citrix ADC
• Licences d’enregistrement et de retrait (CICO) Citrix ADC VPX : Licences d’enregistrement et de retrait Citrix ADC VPX * Licences de CPU virtuel Citrix ADC : [Licences de CPU virtuel Citrix ADC](https://docs.citrix.com/fr-fr/citrix-application-delivery-management-software/13/license-server/adc-virtual-cpu-licensing.html)| |**Bande passante de la licence en Mbps**|0 Mbps|Uniquement si le mode de licence est la licence groupée, ce champ est pris en compte. Il alloue une bande passante initiale de la licence en Mbps à allouer après la création des ADC BYOL. Elle doit être un multiple de 10 Mbps.| |**Édition de la licence**|Premium|L’édition de la licence pour le mode de licence de capacité groupée est **Premium**| |**Type de plateforme d’appliance**|Facultatif|Choisissez le type de plateforme d’appliance requis, **uniquement** si les utilisateurs optent pour le mode de licence CICO. Les options disponibles sont : VPX-200, VPX-1000, VPX-3000, VPX-5000, VPX-8000| |**Édition de la licence**|Premium|L’édition de la licence basée sur le vCPU est **Premium**.|

Configuration du guide de démarrage rapide AWS

Remarque :

Nous recommandons aux utilisateurs de conserver les paramètres par défaut pour les deux paramètres suivants, à moins qu’ils ne personnalisent les modèles du guide de démarrage rapide pour leurs propres projets de déploiement. La modification des paramètres mettra automatiquement à jour les références de code pour pointer vers un nouvel emplacement du guide de démarrage rapide. Pour plus de détails, consultez le guide du contributeur du guide de démarrage rapide AWS situé ici : AWS Quick Starts/Option 1 - Adopter un démarrage rapide.

• Sur la page Options, les utilisateurs peuvent spécifier une balise de ressource (Resource Tag) ou une paire clé-valeur pour les ressources de votre pile et définir des options avancées. Pour plus d’informations sur les balises de ressource, consultez : Balise de ressource. Pour plus d’informations sur la configuration des options de pile AWS CloudFormation, consultez : Configuration des options de pile AWS CloudFormation. Lorsque les utilisateurs ont terminé, ils doivent choisir Suivant.

• Sur la page Vérification, vérifiez et confirmez les paramètres du modèle. Sous Fonctionnalités, cochez les deux cases pour reconnaître que le modèle crée des ressources IAM et qu’il peut nécessiter la capacité d’expansion automatique des macros.

• Choisissez Créer pour déployer la pile.

• Surveillez l’état de la pile. Lorsque l’état est CREATE_COMPLETE, l’instance Citrix WAF est prête.

• Utilisez les URL affichées dans l’onglet Sorties de la pile pour afficher les ressources qui ont été créées.

Étape 4 : Tester le déploiement

Nous désignons les instances de ce déploiement comme principale et secondaire. Chaque instance a différentes adresses IP associées. Lorsque le Quick Start a été déployé avec succès, le trafic passe par l’instance Citrix WAF principale configurée dans la zone de disponibilité 1. En cas de basculement, lorsque l’instance principale ne répond pas aux requêtes des clients, l’instance WAF secondaire prend le relais.

L’adresse IP élastique de l’adresse IP virtuelle de l’instance principale migre vers l’instance secondaire, qui prend le relais en tant que nouvelle instance principale.

Dans le processus de basculement, Citrix WAF effectue les opérations suivantes :

• Citrix WAF vérifie les serveurs virtuels auxquels des ensembles d’IP sont attachés.

• Citrix WAF trouve l’adresse IP qui a une adresse IP publique associée parmi les deux adresses IP sur lesquelles le serveur virtuel écoute. L’une est directement attachée au serveur virtuel, et l’autre est attachée via l’ensemble d’IP.

• Citrix WAF réassocie l’adresse IP élastique publique à l’adresse IP privée qui appartient à la nouvelle adresse IP virtuelle principale.

Pour valider le déploiement, effectuez les opérations suivantes :

• Connectez-vous à l’instance principale

Par exemple, avec un serveur proxy, un hôte de rebond (une instance Linux/Windows/FW exécutée dans AWS, ou l’hôte bastion), ou un autre appareil accessible à ce VPC ou une connexion Direct Connect si vous traitez avec une connectivité sur site.

• Effectuez une action de déclenchement pour forcer le basculement et vérifiez si l’instance secondaire prend le relais.

Conseil :

Pour valider davantage la configuration concernant Citrix WAF, exécutez la commande suivante après vous être connecté à l’instance WAF Citrix principale :

Sh appfw profile QS-Profile

Se connecter à la paire HA Citrix WAF à l’aide d’un hôte bastion

Si les utilisateurs optent pour un déploiement Sandbox (par exemple, dans le cadre de CFT, les utilisateurs optent pour la configuration d’un hôte bastion), un hôte bastion Linux déployé dans un sous-réseau public sera configuré pour accéder aux interfaces WAF.

Dans la console AWS CloudFormation, accessible en vous connectant ici : Se connecter, choisissez la pile maître, et sous l’onglet Sorties, recherchez la valeur de LinuxBastionHostEIP1.

• Valeur de la clé PrivateManagementPrivateNSIP et PrimaryADCInstanceID à utiliser dans les étapes ultérieures pour se connecter en SSH à l’ADC.

• Choisissez Services.

• Sous l’onglet Calcul, sélectionnez EC2.

  • Sous Ressources, choisissez Instances en cours d’exécution.

  • Sous l’onglet Description de l’instance WAF principale, notez l’adresse IP publique IPv4. Les utilisateurs ont besoin de cette adresse IP pour construire la commande SSH.

• Pour stocker la clé dans le trousseau de l’utilisateur, exécutez la commande ssh-add -K [your-key-pair].pem

Sous Linux, les utilisateurs pourraient avoir besoin d’omettre l’indicateur -K.

• Connectez-vous à l’hôte bastion à l’aide de la commande suivante, en utilisant la valeur de LinuxBastionHostEIP1 que les utilisateurs ont notée à l’étape 1.

ssh -A ubuntu@[LinuxBastionHostEIP1]

• Depuis l’hôte bastion, les utilisateurs peuvent se connecter à l’instance WAF principale en utilisant SSH.

ssh nsroot@[Primary Management Private NSIP]

Mot de passe : [Primary ADC Instance ID]

Les utilisateurs sont maintenant connectés à l’instance WAF principale de Citrix. Pour voir les commandes disponibles, les utilisateurs peuvent exécuter la commande help. Pour afficher la configuration HA actuelle, les utilisateurs peuvent exécuter la commande show HA node.

Citrix Application Delivery Management

Le service Citrix Application Delivery Management (Citrix ADM) offre une solution simple et évolutive pour gérer les déploiements Citrix ADC, y compris les appliances Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway™, Citrix ADC SDX, Citrix ADC CPX et Citrix SD-WAN, qu’elles soient déployées sur site ou dans le cloud.

Les utilisateurs peuvent utiliser cette solution cloud pour gérer, surveiller et dépanner l’ensemble de l’infrastructure globale de livraison d’applications à partir d’une console cloud unique, unifiée et centralisée. Le service Citrix ADM offre toutes les fonctionnalités nécessaires pour configurer, déployer et gérer rapidement la livraison d’applications dans les déploiements Citrix ADC, avec des analyses riches sur la santé, les performances et la sécurité des applications.

Le service Citrix ADM offre les avantages suivants :

• Agile – Facile à utiliser, à mettre à jour et à consommer. Le modèle de service de Citrix ADM Service est disponible via le cloud, ce qui facilite l’exploitation, la mise à jour et l’utilisation des fonctionnalités offertes par Citrix ADM Service. La fréquence des mises à jour, combinée à la fonction de mise à jour automatisée, améliore rapidement le déploiement Citrix ADC de l’utilisateur.

• Délai de rentabilisation plus rapide – Atteinte plus rapide des objectifs commerciaux. Contrairement au déploiement traditionnel sur site, les utilisateurs peuvent utiliser leur service Citrix ADM en quelques clics. Les utilisateurs économisent non seulement du temps d’installation et de configuration, mais évitent également de gaspiller du temps et des ressources sur des erreurs potentielles.

• Gestion multi-site – Tableau de bord unique pour les instances réparties sur des centres de données multi-sites. Avec le service Citrix ADM, les utilisateurs peuvent gérer et surveiller les Citrix ADC qui se trouvent dans divers types de déploiements. Les utilisateurs disposent d’une gestion centralisée pour les Citrix ADC déployés sur site et dans le cloud.

• Efficacité opérationnelle – Moyen optimisé et automatisé d’atteindre une productivité opérationnelle plus élevée. Avec le service Citrix ADM, les coûts opérationnels des utilisateurs sont réduits en économisant du temps, de l’argent et des ressources pour la maintenance et la mise à niveau des déploiements matériels traditionnels.

Fonctionnement du service Citrix ADM

Le service Citrix ADM est disponible en tant que service sur Citrix Cloud. Une fois que les utilisateurs se sont inscrits à Citrix Cloud et ont commencé à utiliser le service, installez des agents dans l’environnement réseau de l’utilisateur ou initialisez l’agent intégré dans les instances. Ensuite, ajoutez au service les instances que les utilisateurs souhaitent gérer.

Un agent permet la communication entre le service Citrix ADM et les instances gérées dans le centre de données de l’utilisateur. L’agent collecte les données des instances gérées dans le réseau de l’utilisateur et les envoie au service Citrix ADM.

Lorsque les utilisateurs ajoutent une instance au service Citrix ADM, celle-ci s’ajoute implicitement comme destination de trap et collecte un inventaire de l’instance.

Le service collecte les détails de l’instance, tels que :

• Nom d’hôte

• Version du logiciel

• Configuration en cours d’exécution et enregistrée

• Certificats

• Entités configurées sur l’instance, et ainsi de suite.

Le service Citrix ADM interroge périodiquement les instances gérées pour collecter des informations.

L’image suivante illustre la communication entre le service, les agents et les instances :

Guide de documentation

La documentation du service Citrix ADM comprend des informations sur la façon de démarrer avec le service, une liste des fonctionnalités prises en charge par le service et la configuration spécifique à cette solution de service.

Déploiement d’instances Citrix ADC VPX sur AWS à l’aide de Citrix ADM

Lorsque les clients déplacent leurs applications vers le cloud, les composants qui font partie de leur application augmentent, deviennent plus distribués et doivent être gérés dynamiquement.

Avec les instances Citrix ADC VPX sur AWS, les utilisateurs peuvent étendre de manière transparente leur pile réseau L4-L7 à AWS. Avec Citrix ADC VPX, AWS devient une extension naturelle de leur infrastructure informatique sur site. Les clients peuvent utiliser Citrix ADC VPX sur AWS pour combiner l’élasticité et la flexibilité du cloud, avec les mêmes fonctionnalités d’optimisation, de sécurité et de contrôle qui prennent en charge les sites web et applications les plus exigeants au monde.

Avec Citrix Application Delivery Management (ADM) qui surveille leurs instances Citrix ADC, les utilisateurs obtiennent une visibilité sur la santé, les performances et la sécurité de leurs applications. Ils peuvent automatiser la configuration, le déploiement et la gestion de leur infrastructure de livraison d’applications dans des environnements multi-cloud hybrides.

Diagramme d’architecture

L’image suivante donne un aperçu de la façon dont Citrix ADM se connecte à AWS pour provisionner des instances Citrix ADC VPX dans AWS.

Tâches de configuration

Effectuez les tâches suivantes sur AWS avant de provisionner les instances Citrix ADC VPX dans Citrix ADM :

• Créer des sous-réseaux

• Créer des groupes de sécurité

• Créer un rôle IAM et définir une politique

Effectuez les tâches suivantes sur Citrix ADM pour provisionner les instances sur AWS :

• Créer un site

• Provisionner une instance Citrix ADC VPX sur AWS

Pour créer des sous-réseaux

Créez trois sous-réseaux dans un VPC. Les trois sous-réseaux nécessaires pour provisionner les instances Citrix ADC VPX dans un VPC sont : gestion, client et serveur. Spécifiez un bloc CIDR IPv4 à partir de la plage définie dans le VPC pour chacun des sous-réseaux. Spécifiez la zone de disponibilité dans laquelle le sous-réseau doit résider. Créez les trois sous-réseaux dans la même zone de disponibilité. L’image suivante illustre les trois sous-réseaux créés dans la région du client et leur connectivité au système client.

Pour plus d’informations sur les VPC et les sous-réseaux, consultez VPC et sous-réseaux.

Pour créer des groupes de sécurité

Créez un groupe de sécurité pour contrôler le trafic entrant et sortant dans l’instance Citrix ADC VPX. Un groupe de sécurité agit comme un pare-feu virtuel pour une instance utilisateur. Créez des groupes de sécurité au niveau de l’instance, et non au niveau du sous-réseau. Il est possible d’attribuer à chaque instance d’un sous-réseau du VPC utilisateur un ensemble différent de groupes de sécurité. Ajoutez des règles pour chaque groupe de sécurité afin de contrôler le trafic entrant qui transite par le sous-réseau client vers les instances. Les utilisateurs peuvent également ajouter un ensemble distinct de règles qui contrôlent le trafic sortant qui transite par le sous-réseau du serveur vers les serveurs d’applications. Bien que les utilisateurs puissent utiliser le groupe de sécurité par défaut pour leurs instances, ils peuvent souhaiter créer leurs propres groupes. Créez trois groupes de sécurité - un pour chaque sous-réseau. Créez des règles pour le trafic entrant et sortant que les utilisateurs souhaitent contrôler. Les utilisateurs peuvent ajouter autant de règles qu’ils le souhaitent.

Pour plus d’informations sur les groupes de sécurité, consultez : Groupes de sécurité pour votre VPC.

Pour créer un rôle IAM et définir une politique

Créez un rôle IAM afin que les clients puissent établir une relation de confiance entre leurs utilisateurs et le compte AWS de confiance de Citrix, et créer une politique avec les autorisations Citrix.

1. Dans AWS, cliquez sur Services. Dans le volet de navigation de gauche, sélectionnez IAM > Rôles, puis cliquez sur Créer un rôle.

2. Les utilisateurs connectent leur compte AWS au compte AWS dans Citrix ADM. Par conséquent, sélectionnez Autre compte AWS pour permettre à Citrix ADM d’effectuer des actions dans le compte AWS.

Saisissez l’ID de compte AWS Citrix ADM à 12 chiffres. L’ID Citrix est 835822366011. Les utilisateurs peuvent également trouver l’ID Citrix dans Citrix ADM lorsqu’ils créent le profil d’accès au cloud.

1. Activez Exiger un ID externe pour vous connecter à un compte tiers. Les utilisateurs peuvent renforcer la sécurité de leurs rôles en exigeant un identifiant externe facultatif. Saisissez un ID qui peut être une combinaison de n’importe quels caractères.

2. Cliquez sur Autorisations.

3. Dans la page Attacher des stratégies d’autorisations, cliquez sur Créer une stratégie.

4. Les utilisateurs peuvent créer et modifier une stratégie dans l’éditeur visuel ou en utilisant JSON.

La liste des autorisations de Citrix est fournie dans la boîte suivante :

{
"Version": "2012-10-17",
"Statement":
[
    {
         "Effect": "Allow",
        "Action": [
            "ec2:DescribeInstances",
            "ec2:DescribeImageAttribute",
            "ec2:DescribeInstanceAttribute",
            "ec2:DescribeRegions",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeHosts",
            "ec2:DescribeImages",
            "ec2:DescribeVpcs",
            "ec2:DescribeSubnets",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeNetworkInterfaceAttribute",
            "ec2:DescribeInstanceStatus",
            "ec2:DescribeAddresses",
            "ec2:DescribeKeyPairs",
            "ec2:DescribeTags",
            "ec2:DescribeVolumeStatus",
            "ec2:DescribeVolumes",
            "ec2:DescribeVolumeAttribute",
            "ec2:CreateTags",
            "ec2:DeleteTags",
            "ec2:CreateKeyPair",
            "ec2:DeleteKeyPair",
            "ec2:ResetInstanceAttribute",
            "ec2:RunScheduledInstances",
            "ec2:ReportInstanceStatus",
            "ec2:StartInstances",
            "ec2:RunInstances",
            "ec2:StopInstances",
            "ec2:UnmonitorInstances",
            "ec2:MonitorInstances",
            "ec2:RebootInstances",
            "ec2:TerminateInstances",
            "ec2:ModifyInstanceAttribute",
            "ec2:AssignPrivateIpAddresses",
            "ec2:UnassignPrivateIpAddresses",
            "ec2:CreateNetworkInterface",
            "ec2:AttachNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:ResetNetworkInterfaceAttribute",
            "ec2:ModifyNetworkInterfaceAttribute",
            "ec2:AssociateAddress",
            "ec2:AllocateAddress",
            "ec2:ReleaseAddress",
            "ec2:DisassociateAddress",
            "ec2:GetConsoleOutput"
        ],
            "Resource": "*"
    }
]
}
<!--NeedCopy-->

1. Copiez et collez la liste des autorisations dans l’onglet JSON et cliquez sur Vérifier la stratégie.

2. Dans la page Vérifier la stratégie, saisissez un nom pour la stratégie, entrez une description et cliquez sur Créer une stratégie.

Pour créer un site dans Citrix ADM

Créez un site dans Citrix ADM et ajoutez les détails du VPC associé au rôle AWS.

1. Dans Citrix ADM, accédez à Réseaux > Sites.

2. Cliquez sur Ajouter.

3. Sélectionnez le type de service comme AWS et activez Utiliser le VPC existant comme site.

4. Sélectionnez le profil d’accès au cloud.

5. Si le profil d’accès au cloud n’existe pas dans le champ, cliquez sur Ajouter pour créer un profil.

   • Dans la page Créer un profil d’accès au cloud, saisissez le nom du profil avec lequel les utilisateurs souhaitent accéder à AWS.

   • Saisissez l’ARN associé au rôle que les utilisateurs ont créé dans AWS.

   • Saisissez l’ID externe que les utilisateurs ont fourni lors de la création d’un rôle IAM (Identity and Access Management) dans AWS. Reportez-vous à l’étape 4 de la tâche « Pour créer un rôle IAM et définir une stratégie ». Assurez-vous que le nom du rôle IAM spécifié dans AWS commence par Citrix-ADM- et qu’il apparaît correctement dans l’ARN du rôle.

Les détails du VPC, tels que la région, l’ID du VPC, le nom et le bloc CIDR, associés à votre rôle IAM dans AWS sont importés dans Citrix ADM.

1. Saisissez un nom pour le site.

2. Cliquez sur Créer.

Pour provisionner Citrix ADC VPX sur AWS

Utilisez le site que les utilisateurs ont créé précédemment pour provisionner les instances Citrix ADC VPX sur AWS. Fournissez les détails de l’agent de service Citrix ADM pour provisionner les instances liées à cet agent.

1. Dans Citrix ADM, accédez à Réseaux > Instances > Citrix ADC.

2. Dans l’onglet VPX, cliquez sur Provisionner.

Cette option affiche la page Provisionner Citrix ADC VPX sur le cloud.

1. Sélectionnez Amazon Web Services (AWS) et cliquez sur Suivant.

2. Dans Paramètres de base,

   • Sélectionnez le Type d’instance dans la liste.

     • Autonome : Cette option provisionne une instance Citrix ADC VPX autonome sur AWS.

     • HA : Cette option provisionne les instances Citrix ADC VPX à haute disponibilité sur AWS.

     Pour provisionner les instances Citrix ADC VPX dans la même zone, sélectionnez l’option Zone unique sous Type de zone.

     Pour provisionner les instances Citrix ADC VPX sur plusieurs zones, sélectionnez l’option Multi-zones sous Type de zone. Dans l’onglet Paramètres cloud, assurez-vous de spécifier les détails du réseau pour chaque zone créée sur AWS.

   

   • Spécifiez le nom de l’instance Citrix ADC VPX.

   • Dans Site, sélectionnez le site que vous avez créé précédemment.

   • Dans Agent, sélectionnez l’agent créé pour gérer l’instance Citrix ADC VPX.

   • Dans Profil d’accès au cloud, sélectionnez le profil d’accès au cloud créé lors de la création du site.

   • Dans Profil de périphérique, sélectionnez le profil pour fournir l’authentification.

   Citrix ADM utilise le profil de périphérique lorsqu’il doit se connecter à l’instance Citrix ADC VPX.

   • Cliquez sur Suivant.

3. Dans Paramètres cloud,

   • Sélectionnez le rôle IAM Citrix créé dans AWS. Un rôle IAM est une identité AWS avec des politiques d’autorisation qui déterminent ce que l’identité peut et ne peut pas faire dans AWS.

   • Dans le champ Produit, sélectionnez la version du produit Citrix ADC que les utilisateurs souhaitent provisionner.

   • Sélectionnez le type d’instance EC2 dans la liste Type d’instance.

   • Sélectionnez la version de Citrix ADC que les utilisateurs souhaitent provisionner. Sélectionnez les versions Majeure et Mineure de Citrix ADC.

   • Dans Groupes de sécurité, sélectionnez les groupes de sécurité Gestion, Client et Serveur que les utilisateurs ont créés dans leur réseau virtuel.

   • Dans Adresses IP dans le sous-réseau du serveur par nœud, sélectionnez le nombre d’adresses IP dans le sous-réseau du serveur par nœud pour le groupe de sécurité.

   • Dans Sous-réseaux, sélectionnez les sous-réseaux Gestion, Client et Serveur pour chaque zone créés dans AWS. Les utilisateurs peuvent également sélectionner la région dans la liste Zone de disponibilité.

   • Cliquez sur Terminer.

L’instance Citrix ADC VPX est maintenant provisionnée sur AWS.

Remarque :

Citrix ADM ne prend pas en charge le déprovisionnement des instances Citrix ADC depuis AWS.

Pour afficher le Citrix ADC VPX provisionné dans AWS

1. Depuis la page d’accueil d’AWS, accédez à Services et cliquez sur EC2.

2. Sur la page Ressources, cliquez sur Instances en cours d’exécution.

3. Les utilisateurs peuvent afficher le Citrix ADC VPX provisionné dans AWS.

Le nom de l’instance Citrix ADC VPX est le même nom que celui fourni par les utilisateurs lors du provisionnement de l’instance dans Citrix ADM.

Pour afficher le Citrix ADC VPX provisionné dans Citrix ADM

1. Dans Citrix ADM, accédez à Réseaux > Instances > Citrix ADC.

2. Sélectionnez l’onglet Citrix ADC VPX.

3. L’instance Citrix ADC VPX provisionnée dans AWS est répertoriée ici.

Citrix ADC WAF et OWASP Top 10 – 2017

L’Open Web Application Security Project : OWASP a publié l’OWASP Top 10 pour 2017 concernant la sécurité des applications web. Cette liste documente les vulnérabilités les plus courantes des applications web et constitue un excellent point de départ pour évaluer la sécurité web. Nous détaillons ici comment configurer le pare-feu d’applications web (WAF) Citrix ADC pour atténuer ces failles. Le WAF est disponible en tant que module intégré dans le Citrix ADC (édition Premium) ainsi que dans une gamme complète d’appliances.

Le document complet OWASP Top 10 est disponible à l’adresse OWASP Top Ten.

A1:2017- Injection

Les failles d’injection, telles que l’injection SQL, NoSQL, OS et LDAP, se produisent lorsque des données non fiables sont envoyées à un interpréteur dans le cadre d’une commande ou d’une requête. Les données hostiles de l’attaquant peuvent tromper l’interpréteur pour qu’il exécute des commandes non intentionnelles ou accède à des données sans autorisation appropriée.

Protections WAF ADC

• La fonction de prévention des injections SQL protège contre les attaques par injection courantes. Des modèles d’injection personnalisés peuvent être téléchargés pour protéger contre tout type d’attaque par injection, y compris XPath et LDAP. Ceci est applicable aux charges utiles HTML et XML.

• La fonction de mise à jour automatique des signatures maintient les signatures d’injection à jour.

• La fonction de protection du format des champs permet à l’administrateur de restreindre tout paramètre utilisateur à une expression régulière. Par exemple, vous pouvez imposer qu’un champ de code postal ne contienne que des entiers ou même des entiers à 5 chiffres.

• Cohérence des champs de formulaire : Validez chaque formulaire utilisateur soumis par rapport à la signature du formulaire de session utilisateur pour garantir la validité de tous les éléments du formulaire.

• Les vérifications de dépassement de tampon garantissent que l’URL, les en-têtes et les cookies respectent les limites appropriées, bloquant ainsi toute tentative d’injection de scripts ou de code volumineux.

A2:2017 – Authentification défaillante

Les fonctions d’application liées à l’authentification et à la gestion de session sont souvent implémentées de manière incorrecte, ce qui permet aux attaquants de compromettre les mots de passe, les clés ou les jetons de session, ou d’exploiter d’autres failles d’implémentation pour usurper temporairement ou définitivement l’identité d’autres utilisateurs.

Protections WAF ADC

• Le module AAA de Citrix ADC effectue l’authentification des utilisateurs et fournit une fonctionnalité d’authentification unique (Single Sign-On) aux applications back-end. Il est intégré au moteur de stratégie Citrix ADC AppExpert pour permettre des stratégies personnalisées basées sur les informations utilisateur et de groupe.

• En utilisant les capacités de déchargement SSL et de transformation d’URL, le pare-feu peut également aider les sites à utiliser des protocoles de couche de transport sécurisés pour empêcher le vol de jetons de session par l’interception de réseau.

• Le proxy de cookies et le chiffrement des cookies peuvent être utilisés pour atténuer complètement le vol de cookies.

A3:2017 - Exposition des données sensibles

De nombreuses applications web et API ne protègent pas correctement les données sensibles, telles que les données financières, de santé et les informations personnelles identifiables (PII). Les attaquants peuvent voler ou modifier ces données mal protégées pour commettre des fraudes par carte de crédit, des vols d’identité ou d’autres crimes. Les données sensibles peuvent être compromises sans protection supplémentaire, telle que le chiffrement au repos ou en transit, et nécessitent des précautions particulières lors de leur échange avec le navigateur.

Protections WAF ADC

• Le pare-feu d’application protège les applications contre la fuite de données sensibles comme les détails de carte de crédit.

• Les données sensibles peuvent être configurées comme des objets sécurisés dans la protection Safe Commerce pour éviter l’exposition.

• Toutes les données sensibles dans les cookies peuvent être protégées par le proxy de cookies et le chiffrement des cookies.

A4:2017 Entités externes XML (XXE)

De nombreux processeurs XML plus anciens ou mal configurés évaluent les références d’entités externes au sein des documents XML. Les entités externes peuvent être utilisées pour divulguer des fichiers internes à l’aide du gestionnaire d’URI de fichier, des partages de fichiers internes, de l’analyse de ports internes, de l’exécution de code à distance et des attaques par déni de service.

Protections WAF ADC

• En plus de détecter et de bloquer les menaces d’application courantes qui peuvent être adaptées pour attaquer les applications basées sur XML (c’est-à-dire, le script intersite, l’injection de commandes, etc.).

• Le pare-feu d’application ADC comprend un riche ensemble de protections de sécurité spécifiques à XML. Celles-ci incluent la validation de schéma pour vérifier minutieusement les messages SOAP et les charges utiles XML, ainsi qu’une puissante vérification des pièces jointes XML pour bloquer les pièces jointes contenant des exécutables malveillants ou des virus.

• Les méthodes d’inspection automatique du trafic bloquent les attaques par injection XPath sur les URL et les formulaires visant à obtenir un accès.

• Le pare-feu d’application ADC déjoue également diverses attaques DoS, y compris les références d’entités externes, l’expansion récursive, l’imbrication excessive et les messages malveillants contenant un grand nombre d’attributs et d’éléments, ou des attributs et des éléments longs.

A5:2017 Contrôle d’accès défaillant

Les restrictions sur ce que les utilisateurs authentifiés sont autorisés à faire ne sont souvent pas correctement appliquées. Les attaquants peuvent exploiter ces failles pour accéder à des fonctionnalités et des données non autorisées, telles que l’accès aux comptes d’autres utilisateurs, la consultation de fichiers sensibles, la modification des données d’autres utilisateurs, la modification des droits d’accès, etc.

Protections WAF ADC

• La fonctionnalité AAA de Citrix ADC qui prend en charge l’authentification, l’autorisation et l’audit pour tout le trafic d’application permet à un administrateur de site de gérer les contrôles d’accès avec l’appliance ADC.

• La fonctionnalité de sécurité d’autorisation au sein du module AAA de Citrix ADC de l’appliance ADC permet à l’appliance de vérifier quel contenu sur un serveur protégé elle doit autoriser chaque utilisateur à accéder.

• Cohérence des champs de formulaire : Si les références d’objets sont stockées en tant que champs masqués dans les formulaires, l’utilisation de la cohérence des champs de formulaire permet de valider que ces champs ne sont pas altérés lors des requêtes ultérieures.

• Proxying de cookies et cohérence des cookies : Les références d’objets stockées dans les valeurs de cookies peuvent être validées avec ces protections.

• Vérification de l’URL de démarrage avec fermeture d’URL : Permet à l’utilisateur d’accéder à une liste blanche d’URL prédéfinie. La fermeture d’URL construit une liste de toutes les URL vues dans les réponses valides pendant la session utilisateur et autorise automatiquement l’accès à celles-ci pendant cette session.

A6:2017 - Mauvaise configuration de sécurité

La mauvaise configuration de sécurité est le problème le plus fréquemment rencontré. Cela résulte généralement de configurations par défaut non sécurisées, de configurations incomplètes ou improvisées, de stockage cloud ouvert, d’en-têtes HTTP mal configurés et de messages d’erreur détaillés contenant des informations sensibles. Non seulement tous les systèmes d’exploitation, frameworks, bibliothèques et applications doivent être configurés de manière sécurisée, mais ils doivent également être patchés et mis à jour en temps opportun.

Protections ADC WAF

• Le rapport PCI-DSS généré par le pare-feu d’application documente les paramètres de sécurité sur le périphérique de pare-feu.

• Les rapports des outils d’analyse sont convertis en signatures ADC WAF pour gérer les mauvaises configurations de sécurité.

• ADC WAF prend en charge les rapports d’analyse de vulnérabilité de Cenzic, IBM AppScan (Enterprise et Standard), Qualys, TrendMicro, WhiteHat et les rapports personnalisés.

A7:2017 - Script intersites (XSS)

Les failles XSS se produisent chaque fois qu’une application inclut des données non fiables dans une nouvelle page web sans validation ou échappement approprié, ou met à jour une page web existante avec des données fournies par l’utilisateur à l’aide d’une API de navigateur capable de créer du HTML ou du JavaScript. Le script intersites permet aux attaquants d’exécuter des scripts dans le navigateur de la victime, ce qui peut détourner des sessions utilisateur, défigurer des sites web ou rediriger l’utilisateur vers des sites malveillants.

Protections ADC WAF

• La protection contre les scripts intersites protège contre les attaques XSS courantes. Des modèles XSS personnalisés peuvent être téléchargés pour modifier la liste par défaut des balises et attributs autorisés. L’ADC WAF utilise une liste blanche d’attributs et de balises HTML autorisés pour détecter les attaques XSS. Cela s’applique aux charges utiles HTML et XML.

• ADC WAF bloque toutes les attaques répertoriées dans la feuille de triche d’évaluation du filtre XSS OWASP.

• La vérification du format de champ empêche un attaquant d’envoyer des données de formulaire web inappropriées, ce qui pourrait constituer une attaque XSS potentielle.

• Cohérence des champs de formulaire.

A8:2017 - Désérialisation non sécurisée

La désérialisation non sécurisée conduit souvent à l’exécution de code à distance. Même si les failles de désérialisation n’entraînent pas l’exécution de code à distance, elles peuvent être utilisées pour mener des attaques, notamment des attaques par relecture, des attaques par injection et des attaques par élévation de privilèges.

Protections WAF ADC

• Inspection de la charge utile JSON avec des signatures personnalisées.

• Sécurité XML : protège contre le déni de service XML (xDoS), l’injection XML SQL et Xpath, le script intersite, les vérifications de format, la conformité au profil de base WS-I, la vérification des pièces jointes XML.

• Les vérifications de format de champ peuvent être utilisées en plus de la cohérence des cookies et de la cohérence des champs.

A9:2017 - Utilisation de composants avec des vulnérabilités connues

Les composants, tels que les bibliothèques, les frameworks et autres modules logiciels, s’exécutent avec les mêmes privilèges que l’application. Si un composant vulnérable est exploité, une telle attaque peut entraîner une perte de données grave ou une prise de contrôle du serveur. Les applications et les API utilisant des composants présentant des vulnérabilités connues peuvent compromettre les défenses des applications et permettre diverses attaques et impacts.

Protections WAF ADC

• Citrix recommande de maintenir les composants tiers à jour.

• Les rapports d’analyse de vulnérabilité qui sont convertis en signatures ADC peuvent être utilisés pour corriger virtuellement ces composants.

• Les modèles de pare-feu d’application qui sont disponibles pour ces composants vulnérables peuvent être utilisés.

• Des signatures personnalisées peuvent être liées au pare-feu pour protéger ces composants.

A10:2017 - Journalisation et surveillance insuffisantes

Une journalisation et une surveillance insuffisantes, associées à une intégration manquante ou inefficace avec la réponse aux incidents, permettent aux attaquants de poursuivre leurs attaques sur les systèmes, de maintenir leur persistance, de passer à d’autres systèmes et de falsifier, d’extraire ou de détruire des données. La plupart des études sur les violations montrent que le temps de détection d’une violation est supérieur à 200 jours, généralement détectée par des parties externes plutôt que par des processus ou une surveillance internes.

Protections WAF ADC

• Lorsque l’action de journalisation est activée pour les contrôles de sécurité ou les signatures, les messages de journalisation résultants fournissent des informations sur les requêtes et les réponses que le pare-feu d’application a observées tout en protégeant vos sites web et applications.

• Le pare-feu d’application offre la commodité d’utiliser la base de données ADC intégrée pour identifier les emplacements correspondant aux adresses IP d’où proviennent les requêtes malveillantes.

• Les expressions de format par défaut (PI) offrent la flexibilité de personnaliser les informations incluses dans les journaux avec la possibilité d’ajouter les données spécifiques à capturer dans les messages de journal générés par le pare-feu d’application.

• Le pare-feu d’application prend en charge les journaux CEF.

Protection de la sécurité des applications

Citrix ADM

Le service Citrix Application Delivery Management (Citrix ADM) fournit une solution évolutive pour gérer les déploiements Citrix ADC qui incluent les appliances Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web™ Gateway, Citrix ADC SDX, Citrix ADC CPX et Citrix SD-WAN déployées sur site ou dans le cloud.

Fonctionnalités d’analyse et de gestion des applications de Citrix ADM

Les fonctionnalités suivantes sont essentielles au rôle d’ADM dans la sécurité des applications.

Analyse et gestion des applications

La fonctionnalité d’analyse et de gestion des applications de Citrix ADM renforce l’approche centrée sur l’application pour aider les utilisateurs à relever divers défis de livraison d’applications. Cette approche offre aux utilisateurs une visibilité sur les scores de santé des applications, les aide à déterminer les risques de sécurité et à détecter les anomalies dans les flux de trafic des applications et à prendre des mesures correctives. Le plus important de ces rôles pour la sécurité des applications est l’analyse de la sécurité des applications :

• Analyse de la sécurité des applications : Analyse de la sécurité des applications. Le tableau de bord de sécurité des applications offre une vue d’ensemble de l’état de sécurité des applications utilisateur. Par exemple, il affiche des métriques de sécurité clés telles que les violations de sécurité, les violations de signature, les indices de menace. Le tableau de bord de sécurité des applications affiche également des informations relatives aux attaques telles que les attaques SYN, les attaques de petite fenêtre et les attaques par inondation DNS pour les instances Citrix ADC découvertes.

StyleBooks

Les StyleBooks simplifient la gestion des configurations Citrix ADC complexes pour les applications utilisateur. Un StyleBook est un modèle que les utilisateurs peuvent utiliser pour créer et gérer des configurations Citrix ADC. Ici, les utilisateurs sont principalement concernés par le StyleBook utilisé pour déployer le pare-feu d’application Web. Pour plus d’informations sur les StyleBooks, voir : StyleBooks.

Analyses

Offre un moyen simple et évolutif d’examiner les diverses informations des données des instances Citrix ADC afin de décrire, prédire et améliorer les performances des applications. Les utilisateurs peuvent utiliser une ou plusieurs fonctionnalités d’analyse simultanément. Les rôles les plus importants parmi ceux-ci pour la sécurité des applications sont :

• Security Insight : Security Insight. Fournit une solution unifiée pour aider les utilisateurs à évaluer l’état de sécurité des applications utilisateur et à prendre des mesures correctives pour sécuriser les applications utilisateur.

• Bot Insight

• Pour plus d’informations sur l’analyse, voir Analyses : Analytics.

Les autres fonctionnalités importantes pour la fonctionnalité ADM sont :

Gestion des événements

Les événements représentent des occurrences d’événements ou d’erreurs sur une instance Citrix ADC gérée. Par exemple, en cas de défaillance du système ou de modification de la configuration, un événement est généré et enregistré sur Citrix ADM. Voici les fonctionnalités connexes que les utilisateurs peuvent configurer ou afficher à l’aide de Citrix ADM :

• Création de règles d’événement : Create Event Rules

• Afficher et exporter les messages syslog : View and Export Syslog Messages

Pour plus d’informations sur la gestion des événements, voir : Events.

Gestion des instances

Permet aux utilisateurs de gérer les instances Citrix ADC, Citrix Gateway, Citrix Secure Web Gateway et Citrix SD-WAN. Pour plus d’informations sur la gestion des instances, voir : Adding Instances.

Gestion des licences

Permet aux utilisateurs de gérer les licences Citrix ADC en configurant Citrix ADM comme gestionnaire de licences.

• Capacité groupée Citrix ADC : Capacité groupée. Un pool de licences commun à partir duquel une instance Citrix ADC utilisateur peut extraire une licence d’instance et uniquement la bande passante dont elle a besoin. Lorsque l’instance n’a plus besoin de ces ressources, elle les restitue au pool commun, rendant les ressources disponibles pour d’autres instances qui en ont besoin.

• Licences d’enregistrement et de retrait Citrix ADC VPX : Licences d’enregistrement et de retrait Citrix ADC VPX. Citrix ADM alloue des licences aux instances Citrix ADC VPX à la demande. Une instance Citrix ADC VPX peut retirer la licence de Citrix ADM lorsqu’une instance Citrix ADC VPX est provisionnée, ou restituer sa licence à Citrix ADM lorsqu’une instance est supprimée ou détruite.

• Pour plus d’informations sur la gestion des licences, consultez : Capacité groupée.

Gestion de la configuration

Citrix ADM permet aux utilisateurs de créer des tâches de configuration qui les aident à effectuer des tâches de configuration, telles que la création d’entités, la configuration de fonctionnalités, la réplication des modifications de configuration, les mises à niveau du système et d’autres activités de maintenance en toute simplicité sur plusieurs instances. Les tâches et modèles de configuration simplifient les tâches administratives les plus répétitives en une seule tâche sur Citrix ADM. Pour plus d’informations sur la gestion de la configuration, consultez Tâches de configuration : Tâches de configuration.

Audit de configuration

Permet aux utilisateurs de surveiller et d’identifier les anomalies dans les configurations des instances utilisateur.

• Conseils de configuration : Obtenir des conseils de configuration sur la configuration réseau. Permet aux utilisateurs d’identifier toute anomalie de configuration.

• Modèle d’audit : Créer des modèles d’audit. Permet aux utilisateurs de surveiller les modifications d’une configuration spécifique.

• Pour plus d’informations sur l’audit de configuration, consultez : Audit de configuration.

Les signatures offrent les options de déploiement suivantes pour aider les utilisateurs à optimiser la protection des applications utilisateur :

• Modèle de sécurité négatif : Avec le modèle de sécurité négatif, les utilisateurs emploient un ensemble riche de règles de signature préconfigurées pour appliquer la puissance de la correspondance de motifs afin de détecter les attaques et de protéger contre les vulnérabilités des applications. Les utilisateurs bloquent uniquement ce qu’ils ne veulent pas et autorisent le reste. Les utilisateurs peuvent ajouter leurs propres règles de signature, basées sur les besoins de sécurité spécifiques des applications utilisateur, pour concevoir leurs propres solutions de sécurité personnalisées.

• Modèle de sécurité hybride : En plus d’utiliser des signatures, les utilisateurs peuvent utiliser des contrôles de sécurité positifs pour créer une configuration idéalement adaptée aux applications utilisateur. Utilisez des signatures pour bloquer ce que les utilisateurs ne veulent pas, et utilisez des contrôles de sécurité positifs pour appliquer ce qui est autorisé.

Pour protéger les applications utilisateur à l’aide de signatures, les utilisateurs doivent configurer un ou plusieurs profils pour utiliser leur objet de signatures. Dans une configuration de sécurité hybride, les modèles d’injection SQL et de script intersite, ainsi que les règles de transformation SQL, dans l’objet de signatures utilisateur sont utilisés non seulement par les règles de signature, mais aussi par les contrôles de sécurité positifs configurés dans le profil du pare-feu d’application Web qui utilise l’objet de signatures.

Le pare-feu d’applications Web examine le trafic vers les sites Web et services Web protégés par l’utilisateur pour détecter le trafic qui correspond à une signature. Une correspondance est déclenchée uniquement lorsque chaque modèle de la règle correspond au trafic. Lorsqu’une correspondance se produit, les actions spécifiées pour la règle sont invoquées. Les utilisateurs peuvent afficher une page d’erreur ou un objet d’erreur lorsqu’une requête est bloquée. Les messages de journalisation peuvent aider les utilisateurs à identifier les attaques lancées contre les applications utilisateur. Si les utilisateurs activent les statistiques, le pare-feu d’applications Web conserve les données sur les requêtes qui correspondent à une signature de pare-feu d’applications Web ou à un contrôle de sécurité.

Si le trafic correspond à la fois à une signature et à un contrôle de sécurité positif, l’action la plus restrictive des deux est appliquée. Par exemple, si une requête correspond à une règle de signature pour laquelle l’action de blocage est désactivée, mais que la requête correspond également à un contrôle de sécurité positif d’injection SQL pour lequel l’action est le blocage, la requête est bloquée. Dans ce cas, la violation de signature peut être enregistrée comme [not blocked], bien que la requête soit bloquée par le contrôle d’injection SQL.

Personnalisation : Si nécessaire, les utilisateurs peuvent ajouter leurs propres règles à un objet de signatures. Les utilisateurs peuvent également personnaliser les modèles SQL/XSS. L’option d’ajouter leurs propres règles de signature, basées sur les besoins de sécurité spécifiques des applications utilisateur, offre aux utilisateurs la flexibilité de concevoir leurs propres solutions de sécurité personnalisées. Les utilisateurs bloquent uniquement ce qu’ils ne veulent pas et autorisent le reste. Un modèle de correspondance rapide spécifique à un emplacement donné peut réduire considérablement la surcharge de traitement pour optimiser les performances. Les utilisateurs peuvent ajouter, modifier ou supprimer des modèles d’injection SQL et de script intersite. Les éditeurs d’expressions et de RegEx intégrés aident les utilisateurs à configurer leurs modèles et à vérifier leur exactitude.

Cas d’utilisation

Comparé aux solutions alternatives qui exigent que chaque service soit déployé comme une appliance virtuelle distincte, Citrix ADC sur AWS combine l’équilibrage de charge L4, la gestion du trafic L7, le déchargement de serveur, l’accélération d’applications, la sécurité d’applications, la licence flexible et d’autres capacités essentielles de livraison d’applications dans une seule instance VPX, facilement disponible via l’AWS Marketplace. De plus, tout est régi par un cadre de politique unique et géré avec le même ensemble d’outils puissants utilisés pour administrer les déploiements Citrix ADC sur site. Le résultat net est que Citrix ADC sur AWS permet plusieurs cas d’utilisation convaincants qui non seulement répondent aux besoins immédiats des entreprises d’aujourd’hui, mais aussi à l’évolution continue des infrastructures informatiques héritées vers les centres de données cloud d’entreprise.

Pare-feu d’applications Web Citrix (WAF)

Le pare-feu d’applications Web Citrix (WAF) est une solution de niveau entreprise offrant des protections de pointe pour les applications modernes. Citrix WAF atténue les menaces contre les actifs exposés au public, y compris les sites Web, les applications Web et les API. Citrix WAF inclut le filtrage basé sur la réputation IP, l’atténuation des bots, les protections contre les 10 principales menaces d’applications OWASP, la protection DDoS de couche 7 et plus encore. Sont également incluses des options pour appliquer l’authentification, des chiffrements SSL/TLS robustes, TLS 1.3, la limitation de débit et les politiques de réécriture. En utilisant des protections WAF de base et avancées, Citrix WAF offre une protection complète pour vos applications avec une facilité d’utilisation inégalée. La mise en œuvre est une question de minutes. De plus, en utilisant un modèle d’apprentissage automatisé, appelé profilage dynamique, Citrix WAF fait gagner un temps précieux aux utilisateurs. En apprenant automatiquement comment une application protégée fonctionne, Citrix WAF s’adapte à l’application même lorsque les développeurs déploient et modifient les applications. Citrix WAF aide à la conformité avec toutes les principales normes et organismes de réglementation, y compris PCI-DSS, HIPAA, et plus encore. Grâce à nos modèles CloudFormation, il n’a jamais été aussi facile de démarrer rapidement. Avec l’auto-mise à l’échelle, les utilisateurs peuvent être assurés que leurs applications restent protégées même lorsque leur trafic augmente.

Stratégie de déploiement du pare-feu d’applications Web

La première étape du déploiement du pare-feu d’applications Web consiste à évaluer quelles applications ou données spécifiques nécessitent une protection de sécurité maximale, lesquelles sont moins vulnérables et celles pour lesquelles l’inspection de sécurité peut être contournée en toute sécurité. Cela aide les utilisateurs à élaborer une configuration optimale et à concevoir des politiques et des points de liaison appropriés pour séparer le trafic. Par exemple, les utilisateurs peuvent vouloir configurer une politique pour contourner l’inspection de sécurité des requêtes de contenu Web statique, comme les images, les fichiers MP3 et les films, et configurer une autre politique pour appliquer des contrôles de sécurité avancés aux requêtes de contenu dynamique. Les utilisateurs peuvent utiliser plusieurs politiques et profils pour protéger différents contenus de la même application.

L’étape suivante consiste à établir la base de référence du déploiement. Commencez par créer un serveur virtuel et faites-y passer du trafic de test pour avoir une idée du débit et du volume de trafic circulant dans le système utilisateur.

Ensuite, déployez le pare-feu d’applications Web. Utilisez Citrix ADM et le StyleBook du pare-feu d’applications Web pour configurer le pare-feu d’applications Web. Consultez la section StyleBook ci-dessous dans ce guide pour plus de détails.

Une fois le pare-feu d’applications Web déployé et configuré avec le StyleBook du pare-feu d’applications Web, une étape utile suivante consisterait à implémenter le WAF Citrix ADC et l’OWASP Top 10.

Enfin, trois des protections du pare-feu d’applications Web sont particulièrement efficaces contre les types courants d’attaques Web, et sont donc plus couramment utilisées que toutes les autres. Elles devraient donc être implémentées lors du déploiement initial. Ce sont :

• Script intersite HTML. Examine les requêtes et les réponses à la recherche de scripts qui tentent d’accéder ou de modifier du contenu sur un site Web différent de celui où le script est situé. Lorsque ce contrôle trouve un tel script, il le rend inoffensif avant de transmettre la requête ou la réponse à sa destination, ou il bloque la connexion.

• Injection SQL HTML. Examine les requêtes qui contiennent des données de champ de formulaire à la recherche de tentatives d’injection de commandes SQL dans une base de données SQL. Lorsque ce contrôle détecte du code SQL injecté, il bloque la requête ou rend le code SQL injecté inoffensif avant de transmettre la requête au serveur Web.

Remarque :

Si les deux conditions suivantes s’appliquent à la configuration utilisateur, les utilisateurs doivent s’assurer que votre pare-feu d’application Web est correctement configuré :

• Si les utilisateurs activent la vérification de script intersite HTML ou la vérification d’injection SQL HTML (ou les deux), et

• Les sites Web protégés par l’utilisateur acceptent les téléchargements de fichiers ou contiennent des formulaires Web pouvant contenir de grandes quantités de données de corps POST.

Pour plus d’informations sur la configuration du pare-feu d’application Web pour gérer ce cas, consultez Configuration du pare-feu d’application : Configuration du pare-feu d’application Web.

• Dépassement de tampon. Examine les requêtes pour détecter les tentatives de provoquer un dépassement de tampon sur le serveur Web.

Configuration du pare-feu d’application Web (WAF)

Les étapes suivantes supposent que le WAF est déjà activé et fonctionne correctement.

Citrix recommande aux utilisateurs de configurer le WAF à l’aide du StyleBook du pare-feu d’application Web. La plupart des utilisateurs trouvent que c’est la méthode la plus simple pour configurer le pare-feu d’application Web, et elle est conçue pour éviter les erreurs. L’interface graphique et l’interface de ligne de commande sont destinées aux utilisateurs expérimentés, principalement pour modifier une configuration existante ou utiliser des options avancées.

Injection SQL

La vérification d’injection SQL HTML du pare-feu d’application offre des défenses spéciales contre l’injection de code SQL non autorisé qui pourrait compromettre la sécurité de l’application utilisateur. Le pare-feu d’application Web Citrix examine la charge utile de la requête pour le code SQL injecté à trois endroits : 1) corps POST, 2) en-têtes et 3) cookies.

Un ensemble par défaut de mots-clés et de caractères spéciaux fournit des mots-clés et des caractères spéciaux connus qui sont couramment utilisés pour lancer des attaques SQL. Les utilisateurs peuvent également ajouter de nouveaux modèles et modifier l’ensemble par défaut pour personnaliser l’inspection de la vérification SQL.

Plusieurs paramètres peuvent être configurés pour le traitement de l’injection SQL. Les utilisateurs peuvent rechercher des caractères génériques SQL. Les utilisateurs peuvent modifier le type d’injection SQL et sélectionner l’une des 4 options (SQLKeyword, SQLSplChar, SQLSplCharANDKeyword, SQLSplCharORKeyword) pour indiquer comment évaluer les mots-clés SQL et les caractères spéciaux SQL lors du traitement de la charge utile. Le paramètre de gestion des commentaires SQL donne aux utilisateurs la possibilité de spécifier le type de commentaires à inspecter ou à exempter lors de la détection d’injection SQL.

Les utilisateurs peuvent déployer des relaxations pour éviter les faux positifs. Le moteur d’apprentissage peut fournir des recommandations pour la configuration des règles de relaxation.

Les options suivantes sont disponibles pour configurer une protection optimisée contre l’injection SQL pour l’application utilisateur :

Bloquer — Si les utilisateurs activent block, l’action de blocage n’est déclenchée que si l’entrée correspond à la spécification du type d’injection SQL. Par exemple, si SQLSplCharANDKeyword est configuré comme type d’injection SQL, une requête n’est pas bloquée si elle ne contient aucun mot-clé, même si des caractères spéciaux SQL sont détectés dans l’entrée. Une telle requête est bloquée si le type d’injection SQL est défini sur SQLSplChar ou SQLSplCharORKeyword.

Journal — Si les utilisateurs activent la fonction de journalisation, la vérification d’injection SQL génère des messages de journal indiquant les actions qu’elle entreprend. Si block est désactivé, un message de journal distinct est généré pour chaque champ d’entrée dans lequel la violation SQL a été détectée. Cependant, un seul message est généré lorsque la requête est bloquée. De même, 1 message de journal par requête est généré pour l’opération de transformation, même lorsque des caractères spéciaux SQL sont transformés dans plusieurs champs. Les utilisateurs peuvent surveiller les journaux pour déterminer si les réponses aux requêtes légitimes sont bloquées. Une forte augmentation du nombre de messages de journal peut indiquer des tentatives de lancement d’une attaque.

Statistiques — Si elle est activée, la fonction de statistiques recueille des statistiques sur les violations et les journaux. Une augmentation inattendue du compteur de statistiques peut indiquer que l’application utilisateur est attaquée. Si des requêtes légitimes sont bloquées, les utilisateurs devront peut-être revoir la configuration pour voir s’ils doivent configurer de nouvelles règles de relaxation ou modifier celles existantes.

Apprendre — Si les utilisateurs ne sont pas sûrs des règles de relaxation SQL qui pourraient être idéalement adaptées à leurs applications, ils peuvent utiliser la fonction d’apprentissage pour générer des recommandations basées sur les données apprises. Le moteur d’apprentissage du Web Application Firewall surveille le trafic et fournit des recommandations d’apprentissage SQL basées sur les valeurs observées. Pour obtenir un bénéfice optimal sans compromettre les performances, les utilisateurs peuvent vouloir activer l’option d’apprentissage pendant une courte période pour obtenir un échantillon représentatif des règles, puis déployer les règles et désactiver l’apprentissage.

Transformer les caractères spéciaux SQL — Le Web Application Firewall considère trois caractères, la guillemet simple droite (‘), la barre oblique inverse () et le point-virgule (;) comme des caractères spéciaux pour le traitement de la vérification de sécurité SQL. La fonction de transformation SQL modifie le code d’injection SQL dans une requête HTML pour s’assurer que la requête est rendue inoffensive. La requête HTML modifiée est ensuite envoyée au serveur. Toutes les règles de transformation par défaut sont spécifiées dans le fichier /netscaler/default_custom_settings.xml.

• L’opération de transformation rend le code SQL inactif en apportant les modifications suivantes à la requête :

• Guillemet simple droite (‘) en guillemet double droite (“).

• Barre oblique inverse () en double barre oblique inverse ().

• Le point-virgule (;) est complètement supprimé.

Ces trois caractères (chaînes spéciales) sont nécessaires pour émettre des commandes à un serveur SQL. À moins qu’une commande SQL ne soit précédée d’une chaîne spéciale, la plupart des serveurs SQL ignorent cette commande. Par conséquent, les modifications que le Web Application Firewall effectue lorsque la transformation est activée empêchent un attaquant d’injecter du SQL actif. Une fois ces modifications effectuées, la requête peut être transmise en toute sécurité au site Web protégé par l’utilisateur. Lorsque les formulaires Web sur le site Web protégé par l’utilisateur peuvent légitimement contenir des chaînes spéciales SQL, mais que les formulaires Web ne dépendent pas des chaînes spéciales pour fonctionner correctement, les utilisateurs peuvent désactiver le blocage et activer la transformation pour empêcher le blocage des données de formulaire Web légitimes sans réduire la protection que le Web Application Firewall offre aux sites Web protégés par l’utilisateur.

L’opération de transformation fonctionne indépendamment du paramètre Type d’injection SQL. Si la transformation est activée et que le type d’injection SQL est spécifié comme un mot-clé SQL, les caractères spéciaux SQL sont transformés même si la requête ne contient aucun mot-clé.

Conseil :

Les utilisateurs activent normalement soit la transformation, soit le blocage, mais pas les deux. Si l’action de blocage est activée, elle a la priorité sur l’action de transformation. Si les utilisateurs ont activé le blocage, l’activation de la transformation est redondante.

Vérifier les caractères génériques SQL — Les caractères génériques peuvent être utilisés pour élargir les sélections d’une instruction SQL (SQL-SELECT). Ces opérateurs génériques peuvent être utilisés avec les opérateurs LIKE et NOT LIKE pour comparer une valeur à des valeurs similaires. Les caractères pourcentage (%), et tiret bas (_) sont fréquemment utilisés comme caractères génériques. Le signe pourcentage est analogue au caractère générique astérisque (*) utilisé avec MS-DOS et pour faire correspondre zéro, un ou plusieurs caractères dans un champ. Le tiret bas est similaire au caractère générique point d’interrogation (?) de MS-DOS. Il correspond à un seul nombre ou caractère dans une expression.

Par exemple, les utilisateurs peuvent utiliser la requête suivante pour effectuer une recherche de chaîne afin de trouver tous les clients dont les noms contiennent le caractère D.

SELECT * from customer WHERE name like “%D%” :

L’exemple suivant combine les opérateurs pour trouver toutes les valeurs de salaire qui contiennent 0 en deuxième et troisième position.

SELECT * from customer WHERE salary like ‘_00%’ :

Différents fournisseurs de SGBD ont étendu les caractères génériques en ajoutant des opérateurs supplémentaires. Le pare-feu d’applications web Citrix peut protéger contre les attaques lancées en injectant ces caractères génériques. Les 5 caractères génériques par défaut sont le pourcentage (%), le trait de soulignement (_), l’accent circonflexe (^), le crochet ouvrant ([), and closing bracket (]). Cette protection s’applique aux profils HTML et XML.

Les caractères génériques par défaut sont une liste de littéraux spécifiés dans les Signatures par défaut :

• <wildchar type=” LITTÉRAL”>%</wildchar>

• <wildchar type=”LITTÉRAL”]>_</wildchar>

• <caractère générique type=”LITTÉRAL”>^</wildchar>

• <caractère générique type=”LITTÉRAL”>[</wildchar>

• <caractère générique type=”LITERAL”>]</wildchar>

Les caractères génériques dans une attaque peuvent être des PCRE, comme [^A-F]. Le pare-feu d’applications web prend également en charge les caractères génériques PCRE, mais les caractères génériques littéraux présentés ici sont suffisants pour bloquer la plupart des attaques.

Remarque :

La vérification des caractères génériques SQL est différente de la vérification des caractères spéciaux SQL. Cette option doit être utilisée avec prudence pour éviter les faux positifs.

Vérifier la requête contenant le type d’injection SQL — Le pare-feu d’applications web offre 4 options pour implémenter le niveau de rigueur souhaité pour l’inspection des injections SQL, en fonction des besoins individuels de l’application. La requête est vérifiée par rapport à la spécification du type d’injection pour détecter les violations SQL. Les 4 options de type d’injection SQL sont :

• Caractère spécial et mot-clé SQL — Un mot-clé SQL et un caractère spécial SQL doivent être présents dans l’entrée pour déclencher une violation SQL. Ce paramètre, le moins restrictif, est également le paramètre par défaut.

• Caractère spécial SQL — Au moins un des caractères spéciaux doit être présent dans l’entrée pour déclencher une violation SQL.

• Mot-clé SQL — Au moins un des mots-clés SQL spécifiés doit être présent dans l’entrée pour déclencher une violation SQL. Ne sélectionnez pas cette option sans mûre réflexion. Pour éviter les faux positifs, assurez-vous qu’aucun des mots-clés n’est attendu dans les entrées.

• Caractère spécial ou mot-clé SQL — Le mot-clé ou la chaîne de caractères spéciaux doit être présent dans l’entrée pour déclencher la violation de la vérification de sécurité.

Conseil :

Si les utilisateurs configurent le pare-feu d’applications Web pour vérifier les entrées contenant un caractère spécial SQL, le pare-feu d’applications Web ignore les champs de formulaire Web qui ne contiennent aucun caractère spécial. Étant donné que la plupart des serveurs SQL ne traitent pas les commandes SQL qui ne sont pas précédées d’un caractère spécial, l’activation de cette option peut réduire considérablement la charge sur le pare-feu d’applications Web et accélérer le traitement sans mettre en danger les sites Web protégés par l’utilisateur.

Gestion des commentaires SQL — Par défaut, le pare-feu d’applications Web vérifie tous les commentaires SQL à la recherche de commandes SQL injectées. De nombreux serveurs SQL ignorent tout ce qui se trouve dans un commentaire, même s’il est précédé d’un caractère spécial SQL. Pour un traitement plus rapide, si votre serveur SQL ignore les commentaires, vous pouvez configurer le pare-feu d’applications Web pour ignorer les commentaires lors de l’examen des requêtes pour les injections SQL. Les options de gestion des commentaires SQL sont :

• ANSI — Ignorer les commentaires SQL au format ANSI, qui sont normalement utilisés par les bases de données SQL basées sur UNIX. Par exemple :

  • /– (Deux tirets) - Il s’agit d’un commentaire qui commence par deux tirets et se termine par la fin de la ligne.

  • {} - Accolades (Les accolades encadrent le commentaire. Le { précède le commentaire, et le } le suit. Les accolades peuvent délimiter des commentaires sur une ou plusieurs lignes, mais les commentaires ne peuvent pas être imbriqués)

  • /*/: Commentaires de style C (Ne permet pas les commentaires imbriqués). Veuillez noter /! <un commentaire qui commence par une barre oblique suivie d’un astérisque et d’un point d’exclamation n’est pas un commentaire > */

  • Le serveur MySQL prend en charge certaines variantes de commentaires de style C. Celles-ci permettent aux utilisateurs d’écrire du code qui inclut des extensions MySQL, mais qui reste portable, en utilisant des commentaires de la forme suivante : [/*! MySQL-specific code */]

  • .#: Commentaires Mysql : Il s’agit d’un commentaire qui commence par le caractère # et se termine par la fin de la ligne

• Imbriqués — Ignorer les commentaires SQL imbriqués, qui sont normalement utilisés par Microsoft SQL Server. Par exemple ; – (Deux tirets), et /**/ (Permet les commentaires imbriqués)

• ANSI/Imbriqués — Ignorer les commentaires qui respectent à la fois les normes de commentaires SQL ANSI et imbriqués. Les commentaires qui ne correspondent qu’à la norme ANSI, ou qu’à la norme imbriquée, sont toujours vérifiés pour les injections SQL.

• Vérifier tous les commentaires — Vérifier l’intégralité de la requête pour les injections SQL sans rien ignorer. C’est le paramètre par défaut.

Conseil :

Dans la plupart des cas, les utilisateurs ne doivent pas choisir l’option Imbriquée ou ANSI/Imbriquée à moins que leur base de données back-end ne s’exécute sur Microsoft SQL Server. La plupart des autres types de logiciels de serveur SQL ne reconnaissent pas les commentaires imbriqués. Si des commentaires imbriqués apparaissent dans une requête dirigée vers un autre type de serveur SQL, cela pourrait indiquer une tentative d’atteinte à la sécurité de ce serveur.

Vérifier les en-têtes de requête — Activez cette option si, en plus d’examiner l’entrée dans les champs de formulaire, les utilisateurs souhaitent examiner les en-têtes de requête pour les attaques d’injection SQL HTML. Si les utilisateurs utilisent l’interface graphique, ils peuvent activer ce paramètre dans le volet Paramètres avancés -> Paramètres de profil du profil du pare-feu d’applications Web.

Remarque :

Si les utilisateurs activent l’indicateur Vérifier l’en-tête de requête, ils devront peut-être configurer une règle de relaxation pour l’en-tête User-Agent. La présence du mot-clé SQL like et d’un caractère spécial SQL point-virgule (;) peut déclencher un faux positif et bloquer les requêtes qui contiennent cet en-tête. Avertissement : Si les utilisateurs activent à la fois la vérification et la transformation des en-têtes de requête, tous les caractères spéciaux SQL trouvés dans les en-têtes sont également transformés. Les en-têtes Accept, Accept-Charset, Accept-Encoding, Accept-Language, Expect et User-Agent contiennent normalement des points-virgules (;). L’activation simultanée de la vérification et de la transformation des en-têtes de requête peut entraîner des erreurs.

InspectQueryContentTypes — Configurez cette option si les utilisateurs souhaitent examiner la partie de la requête pour les attaques d’injection SQL pour les types de contenu spécifiques. Si les utilisateurs utilisent l’interface graphique, ils peuvent configurer ce paramètre dans le volet Paramètres avancés -> Paramètres de profil du profil du pare-feu d’applications.

Scripting intersites

La vérification du scripting intersites HTML (cross-site scripting) examine à la fois les en-têtes et les corps POST des requêtes utilisateur pour détecter d’éventuelles attaques de scripting intersites. S’il trouve un script intersites, il modifie (transforme) la requête pour rendre l’attaque inoffensive, ou bloque la requête.

Remarque :

La vérification du scripting intersites HTML (cross-site scripting) ne fonctionne que pour le type de contenu, la longueur du contenu, etc. Elle ne fonctionne pas pour les cookies. Assurez-vous également que l’option « checkRequestHeaders » est activée dans le profil du pare-feu d’applications Web de l’utilisateur.

Pour empêcher l’utilisation abusive des scripts sur les sites Web protégés par l’utilisateur afin de compromettre la sécurité sur les sites Web de l’utilisateur, la vérification du scripting intersites HTML bloque les scripts qui violent la règle de la même origine, qui stipule que les scripts ne doivent pas accéder ou modifier le contenu sur un serveur autre que celui sur lequel ils sont situés. Tout script qui viole la règle de la même origine est appelé un script intersites, et la pratique consistant à utiliser des scripts pour accéder ou modifier du contenu sur un autre serveur est appelée scripting intersites. La raison pour laquelle le scripting intersites est un problème de sécurité est qu’un serveur Web qui autorise le scripting intersites peut être attaqué avec un script qui ne se trouve pas sur ce serveur Web, mais sur un serveur Web différent, tel qu’un serveur détenu et contrôlé par l’attaquant.

Malheureusement, de nombreuses entreprises disposent d’une large base installée de contenu Web amélioré par JavaScript qui viole la règle de la même origine. Si les utilisateurs activent la vérification du scripting intersites HTML sur un tel site, ils doivent générer les exceptions appropriées afin que la vérification ne bloque pas les activités légitimes.

Le pare-feu d’applications Web offre diverses options d’action pour la mise en œuvre de la protection contre le scripting intersites HTML. En plus des actions Bloquer, Journaliser, Statistiques et Apprendre, les utilisateurs ont également la possibilité de Transformer les scripts intersites pour rendre une attaque inoffensive en encodant les balises de script dans la requête soumise. Les utilisateurs peuvent configurer le paramètre Vérifier les URL complètes pour le scripting intersites afin de spécifier s’ils souhaitent inspecter non seulement les paramètres de requête, mais l’intégralité de l’URL pour détecter une attaque de scripting intersites. Les utilisateurs peuvent configurer le paramètre InspectQueryContentTypes pour inspecter la partie de la requête pour une attaque de scripting intersites pour les types de contenu spécifiques.

Les utilisateurs peuvent déployer des relaxations pour éviter les faux positifs. Le moteur d’apprentissage du pare-feu d’applications Web peut fournir des recommandations pour la configuration des règles de relaxation.

Les options suivantes sont disponibles pour configurer une protection optimisée contre le scripting intersites HTML pour l’application utilisateur :

• Bloquer — Si les utilisateurs activent block, l’action de blocage est déclenchée si les balises de script intersite sont détectées dans la requête.

• Journaliser — Si les utilisateurs activent la fonction de journalisation, la vérification de script intersite HTML génère des messages de journal indiquant les actions qu’elle entreprend. Si block est désactivé, un message de journal distinct est généré pour chaque en-tête ou champ de formulaire dans lequel la violation de script intersite a été détectée. Cependant, un seul message est généré lorsque la requête est bloquée. De même, 1 message de journal par requête est généré pour l’opération de transformation, même lorsque les balises de script intersite sont transformées dans plusieurs champs. Les utilisateurs peuvent surveiller les journaux pour déterminer si les réponses aux requêtes légitimes sont bloquées. Une forte augmentation du nombre de messages de journal peut indiquer des tentatives de lancement d’une attaque.

• Statistiques — Si elle est activée, la fonction de statistiques collecte des statistiques sur les violations et les journaux. Une augmentation inattendue du compteur de statistiques peut indiquer que l’application utilisateur est attaquée. Si des requêtes légitimes sont bloquées, les utilisateurs devront peut-être revoir la configuration pour voir s’ils doivent configurer de nouvelles règles de relaxation ou modifier celles existantes.

• Apprentissage — Si les utilisateurs ne sont pas sûrs des règles de relaxation qui conviendraient le mieux à leur application, ils peuvent utiliser la fonction d’apprentissage pour générer des recommandations de règles de script intersite HTML basées sur les données apprises. Le moteur d’apprentissage du pare-feu d’application Web surveille le trafic et fournit des recommandations d’apprentissage basées sur les valeurs observées. Pour obtenir un bénéfice optimal sans compromettre les performances, les utilisateurs peuvent vouloir activer l’option d’apprentissage pendant une courte période pour obtenir un échantillon représentatif des règles, puis déployer les règles et désactiver l’apprentissage.

• Transformer les scripts intersites — Si elle est activée, le pare-feu d’application Web apporte les modifications suivantes aux requêtes qui correspondent à la vérification de script intersite HTML :

  • Crochet angulaire gauche (<) en entité de caractère HTML équivalente (<)

  • Crochet angulaire droit (>) en entité de caractère HTML équivalente (>)

Cela garantit que les navigateurs n’interprètent pas les balises HTML non sécurisées, telles que <script>, et n’exécutent pas de code malveillant. Si les utilisateurs activent à la fois la vérification des en-têtes de requête et la transformation, tous les caractères spéciaux trouvés dans les en-têtes de requête sont également modifiés comme décrit ci-dessus. Si les scripts du site Web protégé par l’utilisateur contiennent des fonctionnalités de script intersite, mais que le site Web de l’utilisateur ne dépend pas de ces scripts pour fonctionner correctement, les utilisateurs peuvent désactiver le blocage en toute sécurité et activer la transformation. Cette configuration garantit qu’aucun trafic Web légitime n’est bloqué, tout en arrêtant toute attaque potentielle de script intersite.

• Vérifier les URL complètes pour les scripts intersites — Si la vérification des URL complètes est activée, le pare-feu d’application Web examine les URL entières à la recherche d’attaques de script intersite HTML au lieu de vérifier uniquement les parties de requête des URL.

• Vérifier les en-têtes de requête — Si la vérification des en-têtes de requête est activée, le pare-feu d’application Web examine les en-têtes des requêtes à la recherche d’attaques de script intersite HTML, au lieu de simplement les URL. Si les utilisateurs utilisent l’interface graphique, ils peuvent activer ce paramètre dans l’onglet Paramètres du profil du pare-feu d’application Web.

• InspectQueryContentTypes — Si l’inspection des requêtes est configurée, le pare-feu d’application examine la requête des demandes d’attaques de script intersite pour les types de contenu spécifiques. Si les utilisateurs utilisent l’interface graphique, ils peuvent configurer ce paramètre dans l’onglet Paramètres du profil du pare-feu d’application.

Important :

Dans le cadre des modifications de streaming, le traitement des balises de script intersite par le pare-feu d’application Web a changé. Dans les versions précédentes, la présence d’un crochet ouvrant (<), d’un crochet fermant (>), ou des deux crochets ouvrant et fermant (<>) était signalée comme une violation de script intersite. Le comportement a changé dans les versions qui incluent la prise en charge du streaming côté requête. Seul le caractère de crochet fermant (>) n’est plus considéré comme une attaque. Les requêtes sont bloquées même lorsqu’un caractère de crochet ouvrant (<) est présent et est considéré comme une attaque. L’attaque de script intersite est signalée.

Vérification du dépassement de tampon

La vérification du dépassement de tampon détecte les tentatives de provoquer un dépassement de tampon sur le serveur Web. Si le pare-feu d’application Web détecte que l’URL, les cookies ou l’en-tête sont plus longs que la longueur configurée, il bloque la requête car cela peut provoquer un dépassement de tampon.

La vérification de dépassement de tampon (Buffer Overflow) empêche les attaques contre les logiciels de système d’exploitation ou de serveur web non sécurisés qui peuvent planter ou se comporter de manière imprévisible lorsqu’ils reçoivent une chaîne de données plus grande qu’ils ne peuvent gérer. Des techniques de programmation appropriées empêchent les dépassements de tampon en vérifiant les données entrantes et en rejetant ou en tronquant les chaînes trop longues. De nombreux programmes, cependant, ne vérifient pas toutes les données entrantes et sont donc vulnérables aux dépassements de tampon. Ce problème affecte particulièrement les anciennes versions des logiciels de serveur web et des systèmes d’exploitation, dont beaucoup sont encore utilisés.

La vérification de sécurité de dépassement de tampon (Buffer Overflow) permet aux utilisateurs de configurer les actions Bloquer, Journaliser et Statistiques. De plus, les utilisateurs peuvent également configurer les paramètres suivants :

• Longueur maximale de l’URL. La longueur maximale que le pare-feu d’applications web autorise dans une URL demandée. Les requêtes avec des URL plus longues sont bloquées. Valeurs possibles : 0–65535. Par défaut : 1024

• Longueur maximale du cookie. La longueur maximale que le pare-feu d’applications web autorise pour tous les cookies dans une requête. Les requêtes avec des cookies plus longs déclenchent les violations. Valeurs possibles : 0–65535. Par défaut : 4096

• Longueur maximale de l’en-tête. La longueur maximale que le pare-feu d’applications web autorise pour les en-têtes HTTP. Les requêtes avec des en-têtes plus longs sont bloquées. Valeurs possibles : 0–65535. Par défaut : 4096

• Longueur de la chaîne de requête. Longueur maximale autorisée pour une chaîne de requête dans une requête entrante. Les requêtes avec des chaînes de requête plus longues sont bloquées. Valeurs possibles : 0–65535. Par défaut : 1024

• Longueur totale de la requête. Longueur maximale de requête autorisée pour une requête entrante. Les requêtes d’une longueur supérieure sont bloquées. Valeurs possibles : 0–65535. Par défaut : 24820

Correction virtuelle/Signatures

Les signatures fournissent des règles spécifiques et configurables pour simplifier la tâche de protection des sites web des utilisateurs contre les attaques connues. Une signature représente un modèle qui est un composant d’une attaque connue sur un système d’exploitation, un serveur web, un site web, un service web basé sur XML ou une autre ressource. Un ensemble riche de règles prédéfinies intégrées ou natives offre une solution de sécurité facile à utiliser, appliquant la puissance de la correspondance de modèles pour détecter les attaques et protéger contre les vulnérabilités des applications.

Les utilisateurs peuvent créer leurs propres signatures ou utiliser des signatures dans les modèles intégrés. Le pare-feu d’applications web dispose de deux modèles intégrés :

• Signatures par défaut : Ce modèle contient une liste préconfigurée de plus de 1 300 signatures, en plus d’une liste complète de mots-clés d’injection SQL, de chaînes spéciales SQL, de règles de transformation SQL et de caractères génériques SQL. Il contient également des modèles refusés pour le script intersite, ainsi que des attributs et des balises autorisés pour le script intersite. Il s’agit d’un modèle en lecture seule. Les utilisateurs peuvent en consulter le contenu, mais ils ne peuvent rien ajouter, modifier ou supprimer dans ce modèle. Pour l’utiliser, les utilisateurs doivent en faire une copie. Dans leur propre copie, les utilisateurs peuvent activer les règles de signature qu’ils souhaitent appliquer à leur trafic et spécifier les actions à entreprendre lorsque les règles de signature correspondent au trafic.

Les signatures sont dérivées des règles publiées par SNORT : SNORT, qui est un système de prévention d’intrusion open source capable d’effectuer une analyse du trafic en temps réel pour détecter diverses attaques et sondes.

• *Modèles d’injection Xpath : Ce modèle contient un ensemble préconfiguré de mots-clés littéraux et PCRE et de chaînes spéciales qui sont utilisés pour détecter les attaques par injection XPath (XML Path Language).

Signatures vierges : En plus de faire une copie du modèle de signatures par défaut intégré, les utilisateurs peuvent utiliser un modèle de signatures vierges pour créer un objet de signature. L’objet de signature que les utilisateurs créent avec l’option de signatures vierges ne contient aucune règle de signature native, mais, tout comme le modèle *Par défaut, il contient toutes les entités SQL/XSS intégrées.

Signatures au format externe : Le pare-feu d’applications web prend également en charge les signatures au format externe. Les utilisateurs peuvent importer le rapport d’analyse tiers en utilisant les fichiers XSLT pris en charge par le pare-feu d’applications web Citrix. Un ensemble de fichiers XSLT intégrés est disponible pour certains outils d’analyse afin de traduire les fichiers au format externe vers le format natif (voir la liste des fichiers XSLT intégrés plus loin dans cette section).

Bien que les signatures aident les utilisateurs à réduire le risque de vulnérabilités exposées et à protéger les serveurs Web critiques de l’utilisateur tout en visant l’efficacité, les signatures ont un coût en termes de traitement CPU supplémentaire.

Il est important de choisir les bonnes signatures pour les besoins de l’application de l’utilisateur. Activez uniquement les signatures pertinentes pour l’application/l’environnement du client.

Citrix propose des signatures dans plus de 10 catégories différentes à travers les plateformes/OS/Technologies.

La base de données des règles de signature est substantielle, car les informations sur les attaques se sont accumulées au fil des ans. Ainsi, la plupart des anciennes règles peuvent ne pas être pertinentes pour tous les réseaux, car les développeurs de logiciels les ont peut-être déjà corrigées ou les clients exécutent une version plus récente du système d’exploitation.

Mises à jour des signatures

Citrix Web Application Firewall prend en charge la mise à jour automatique et manuelle des signatures. Nous suggérons également d’activer la mise à jour automatique des signatures pour rester à jour.

Ces fichiers de signatures sont hébergés sur l’environnement AWS et il est important d’autoriser l’accès sortant aux adresses IP NetScaler® depuis les pare-feu réseau pour récupérer les derniers fichiers de signatures. La mise à jour des signatures n’a aucun effet sur l’ADC pendant le traitement du trafic en temps réel.

Analyse de la sécurité des applications

Le tableau de bord de sécurité des applications offre une vue d’ensemble de l’état de sécurité des applications utilisateur. Par exemple, il affiche des métriques de sécurité clés telles que les violations de sécurité, les violations de signature et les indices de menace. Le tableau de bord de sécurité des applications affiche également des informations relatives aux attaques telles que les attaques SYN, les attaques de petite fenêtre et les attaques par inondation DNS pour les instances Citrix ADC découvertes.

Remarque :

Pour afficher les métriques du tableau de bord de sécurité des applications, AppFlow® pour l’analyse de la sécurité doit être activé sur les instances Citrix ADC que les utilisateurs souhaitent surveiller.

Pour afficher les métriques de sécurité d’une instance Citrix ADC sur le tableau de bord de sécurité des applications

1. Connectez-vous à Citrix ADM à l’aide des informations d’identification de l’administrateur.

2. Naviguez vers Applications > Tableau de bord de sécurité des applications, et sélectionnez l’adresse IP de l’instance dans la liste Périphériques.

Les utilisateurs peuvent approfondir les divergences signalées sur l’Application Security Investigator en cliquant sur les bulles tracées sur le graphique.

Apprentissage centralisé sur ADM

Le pare-feu d’applications web (WAF) Citrix protège les applications web des utilisateurs contre les attaques malveillantes telles que l’injection SQL et le script intersite (XSS). Pour prévenir les violations de données et fournir la bonne protection de sécurité, les utilisateurs doivent surveiller leur trafic pour détecter les menaces et obtenir des données exploitables en temps réel sur les attaques. Parfois, les attaques signalées peuvent être des faux positifs et doivent être fournies comme une exception.

L’apprentissage centralisé sur Citrix ADM est un filtre de motifs répétitifs qui permet au WAF d’apprendre le comportement (les activités normales) des applications web des utilisateurs. Basé sur la surveillance, le moteur génère une liste de règles suggérées ou d’exceptions pour chaque contrôle de sécurité appliqué au trafic HTTP.

Il est beaucoup plus facile de déployer des règles de relaxation à l’aide du moteur d’apprentissage que de les déployer manuellement comme relaxations nécessaires.

Pour déployer la fonction d’apprentissage, les utilisateurs doivent d’abord configurer un profil de pare-feu d’applications web (ensemble de paramètres de sécurité) sur l’appliance Citrix ADC de l’utilisateur. Pour plus d’informations, consultez Création de profils de pare-feu d’applications web : Création de profils de pare-feu d’applications web.

Citrix ADM génère une liste d’exceptions (relaxations) pour chaque contrôle de sécurité. En tant qu’administrateur, les utilisateurs peuvent examiner la liste des exceptions dans Citrix ADM et décider de les déployer ou de les ignorer.

En utilisant la fonction d’apprentissage WAF dans Citrix ADM, les utilisateurs peuvent :

• Configurer un profil d’apprentissage avec les contrôles de sécurité suivants

  • Dépassement de tampon

  • Script intersite HTML

  Remarque :

  La limitation de l’emplacement du script intersite est uniquement FormField.

  • Injection SQL HTML

  Remarque :

  Pour la vérification de l’injection SQL HTML, les utilisateurs doivent configurer set -sqlinjectionTransformSpecialChars sur ON et set -sqlinjectiontype sqlspclcharorkeywords dans l’instance Citrix ADC.

• Vérifiez les règles de relaxation dans Citrix ADM et décidez des mesures nécessaires à prendre (déployer ou ignorer)

• Recevez les notifications par e-mail, Slack et ServiceNow

• Utilisez le tableau de bord pour afficher les détails de la relaxation

Pour utiliser l’apprentissage WAF dans Citrix ADM :

1. Configurez le profil d’apprentissage : Configure the Learning Profile

2. Consultez les règles de relaxation : View Relaxation Rules and Idle Rules

3. Utilisez le tableau de bord d’apprentissage WAF : View WAF Learning Dashboard

StyleBook

Citrix Web Application Firewall est un pare-feu d’applications Web (WAF) qui protège les applications et les sites Web contre les attaques connues et inconnues, y compris toutes les menaces de la couche application et les menaces zero-day.

Citrix ADM fournit désormais un StyleBook par défaut avec lequel les utilisateurs peuvent créer plus facilement une configuration de pare-feu d’application sur les instances Citrix ADC.

Déploiement des configurations de pare-feu d’application

La tâche suivante vous aide à déployer une configuration d’équilibrage de charge ainsi que le pare-feu d’application et la politique de réputation IP sur les instances Citrix ADC de votre réseau d’entreprise.

Pour créer une configuration d’équilibrage de charge avec les paramètres du pare-feu d’application

Dans Citrix ADM, accédez à Applications > Configurations > StyleBooks. La page StyleBooks affiche tous les StyleBooks disponibles pour les clients dans Citrix

• ADM. Faites défiler la page et recherchez le StyleBook d’équilibrage de charge HTTP/SSL avec la politique de pare-feu d’application et la politique de réputation IP. Les utilisateurs peuvent également rechercher le StyleBook en tapant le nom comme lb-appfw. Cliquez sur Créer une configuration.

Le StyleBook s’ouvre sous la forme d’une page d’interface utilisateur sur laquelle les utilisateurs peuvent saisir les valeurs de tous les paramètres définis dans ce StyleBook.

• Saisissez les valeurs pour les paramètres suivants :

  • Nom de l’application équilibrée en charge. Nom de la configuration équilibrée en charge avec un pare-feu d’application à déployer dans le réseau utilisateur.

  • Adresse IP virtuelle de l’application équilibrée en charge. Adresse IP virtuelle à laquelle l’instance Citrix ADC reçoit les requêtes client.

  • Port virtuel de l’application équilibrée en charge. Le port TCP à utiliser par les utilisateurs pour accéder à l’application équilibrée en charge.

  • Protocole de l’application équilibrée en charge. Sélectionnez le protocole frontal dans la liste.

  • Protocole du serveur d’applications. Sélectionnez le protocole du serveur d’applications.

• En option, les utilisateurs peuvent activer et configurer les Paramètres avancés de l’équilibreur de charge.

• En option, les utilisateurs peuvent également configurer un serveur d’authentification pour authentifier le trafic du serveur virtuel d’équilibrage de charge.

• Cliquez sur « + » dans la section Adresses IP et ports du serveur pour créer des serveurs d’applications et les ports sur lesquels ils peuvent être accessibles.

• Les utilisateurs peuvent également créer des noms FQDN pour les serveurs d’applications.

• Les utilisateurs peuvent également spécifier les détails du certificat SSL.

• Les utilisateurs peuvent également créer des moniteurs dans l’instance Citrix ADC cible.

• Pour configurer le pare-feu d’applications sur le serveur virtuel, activez les paramètres WAF.

Assurez-vous que la règle de stratégie du pare-feu d’applications est vraie si les utilisateurs souhaitent appliquer les paramètres du pare-feu d’applications à tout le trafic sur ce VIP. Sinon, spécifiez la règle de stratégie Citrix ADC pour sélectionner un sous-ensemble de requêtes auxquelles appliquer les paramètres du pare-feu d’applications. Ensuite, sélectionnez le type de profil à appliquer - HTML ou XML.

• En option, les utilisateurs peuvent configurer des paramètres détaillés de profil de pare-feu d’applications en activant la case à cocher Paramètres de profil du pare-feu d’applications.

• En option, si les utilisateurs souhaitent configurer des signatures de pare-feu d’applications, entrez le nom de l’objet de signature créé sur l’instance Citrix ADC où le serveur virtuel doit être déployé.

Remarque :

Les utilisateurs ne peuvent pas créer d’objets de signature à l’aide de ce StyleBook.

• Ensuite, les utilisateurs peuvent également configurer d’autres paramètres de profil de pare-feu d’applications tels que les paramètres StartURL, les paramètres DenyURL et d’autres.

Pour plus d’informations sur le pare-feu d’application et les paramètres de configuration, consultez Pare-feu d’application.

• Dans la section Instances cibles, sélectionnez l’instance Citrix ADC sur laquelle déployer le serveur virtuel d’équilibrage de charge avec le pare-feu d’application.

Remarque :

Les utilisateurs peuvent également cliquer sur l’icône d’actualisation pour ajouter les instances Citrix ADC récemment découvertes dans Citrix ADM à la liste des instances disponibles dans cette fenêtre.

• Les utilisateurs peuvent également activer la vérification de la réputation IP pour identifier l’adresse IP qui envoie des requêtes indésirables. Les utilisateurs peuvent utiliser la liste de réputation IP pour rejeter préventivement les requêtes provenant d’une IP ayant une mauvaise réputation.

Conseil :

Citrix recommande aux utilisateurs de sélectionner Exécution à blanc pour vérifier les objets de configuration qui doivent être créés sur l’instance cible avant d’exécuter la configuration réelle sur l’instance.

Lorsque la configuration est créée avec succès, le StyleBook crée le serveur virtuel d’équilibrage de charge, le serveur d’applications, les services, les groupes de services, les étiquettes de pare-feu d’application et les stratégies de pare-feu d’application requis, et les lie au serveur virtuel d’équilibrage de charge.

La figure suivante montre les objets créés dans chaque serveur :

• Pour afficher le ConfigPack créé sur Citrix ADM, accédez à Applications > Configurations.

Analyse Security Insight

Les applications web et de services web exposées à Internet sont devenues de plus en plus vulnérables aux attaques. Pour protéger les applications contre les attaques, les utilisateurs ont besoin de visibilité sur la nature et l’étendue des menaces passées, présentes et imminentes, de données exploitables en temps réel sur les attaques et de recommandations sur les contre-mesures. Security Insight offre une solution centralisée pour aider les utilisateurs à évaluer l’état de sécurité de leurs applications et à prendre des mesures correctives pour les sécuriser.

Fonctionnement de Security Insight

Security Insight est une solution d’analyse de sécurité intuitive basée sur un tableau de bord qui offre aux utilisateurs une visibilité complète sur l’environnement de menaces associé aux applications utilisateur. Security Insight est inclus dans Citrix ADM et génère périodiquement des rapports basés sur les configurations de sécurité du pare-feu d’application utilisateur et du système ADC. Les rapports incluent les informations suivantes pour chaque application :

• Indice de menace. Un système de notation à un chiffre qui indique la criticité des attaques sur l’application, que l’application soit protégée ou non par une appliance ADC. Plus les attaques sur une application sont critiques, plus l’indice de menace pour cette application est élevé. Les valeurs vont de 1 à 7.

L’indice de menace est basé sur les informations d’attaque. Les informations relatives aux attaques, telles que le type de violation, la catégorie d’attaque, l’emplacement et les détails du client, donnent aux utilisateurs un aperçu des attaques sur l’application. Les informations de violation ne sont envoyées à Citrix ADM que lorsqu’une violation ou une attaque se produit. De nombreuses brèches et vulnérabilités entraînent une valeur d’indice de menace élevée.

• Indice de sécurité. Un système de notation à un chiffre qui indique le degré de sécurité avec lequel les utilisateurs ont configuré les instances ADC pour protéger les applications contre les menaces et les vulnérabilités externes. Plus les risques de sécurité pour une application sont faibles, plus l’indice de sécurité est élevé. Les valeurs vont de 1 à 7.

L’indice de sécurité prend en compte à la fois la configuration du pare-feu d’application et la configuration de sécurité du système ADC. Pour une valeur d’indice de sécurité élevée, les deux configurations doivent être robustes. Par exemple, si des contrôles rigoureux du pare-feu d’application sont en place mais que les mesures de sécurité du système ADC, telles qu’un mot de passe fort pour l’utilisateur nsroot, n’ont pas été adoptées, les applications se voient attribuer une faible valeur d’indice de sécurité.

• Informations exploitables. Informations dont les utilisateurs ont besoin pour réduire l’indice de menace et augmenter l’indice de sécurité, ce qui améliore considérablement la sécurité des applications. Par exemple, les utilisateurs peuvent consulter des informations sur les violations, les configurations de sécurité existantes et manquantes pour le pare-feu d’application et d’autres fonctionnalités de sécurité, la fréquence à laquelle les applications sont attaquées, etc.

Configuration de Security Insight

Remarque :

Security Insight est pris en charge uniquement sur les instances ADC avec une licence Premium ou ADC Advanced avec une licence AppFirewall.

Pour configurer Security Insight sur une instance ADC, configurez d’abord un profil de pare-feu d’application et une stratégie de pare-feu d’application, puis liez la stratégie de pare-feu d’application globalement.

Ensuite, activez la fonctionnalité AppFlow, configurez un collecteur, une action et une stratégie AppFlow, puis liez la stratégie globalement. Lorsque les utilisateurs configurent le collecteur, ils doivent spécifier l’adresse IP de l’agent de service Citrix ADM sur lequel ils souhaitent surveiller les rapports.

Configurer Security Insight sur une instance ADC

• Exécutez les commandes suivantes pour configurer un profil et une stratégie de pare-feu d’application, et liez la stratégie de pare-feu d’application globalement ou au serveur virtuel d’équilibrage de charge.

add appfw profile <name> [-defaults ( basique ou avancé )]

définir appfw profil <name> [-startURLAction <startURLAction> …]

Ajouter appfw stratégie <name> <rule> <profileName>

Lier appfw global <policyName> <priority>

ou,

lier lb vserver <lb vserver> -nomPolitique <policy> -priorité <priority>

Exemple :

add appfw profile pr_appfw -defaults advanced

set appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority "20"

<!--NeedCopy-->

• Exécutez les commandes suivantes pour activer la fonctionnalité AppFlow, configurer un collecteur, une action et une politique AppFlow, et lier la politique globalement ou au serveur virtuel d’équilibrage de charge :

ajouter collecteur appflow <name> -adresseIP <ipaddress>

set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ACTIVÉ ou DÉSACTIVÉ )]

ajouter action appflow <name> -collecteurs <string>

ajouter politique appflow <name> <rule> <action>

lier appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

ou,

lier lb vserver <vserver> -policyName <policy> -priority <priority>

Exemple :

add appflow collector col -IPAddress 10.102.63.85

set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"

<!--NeedCopy-->

Activer Security Insight depuis Citrix ADM

1. Accédez à Networks > Instances > Citrix ADC et sélectionnez le type d’instance. Par exemple, VPX.

2. Sélectionnez l’instance et, dans la liste Select Action, sélectionnez Configure Analytics.

3. Dans la fenêtre Configure Analytics on virtual server :

   • Sélectionnez les serveurs virtuels pour lesquels vous souhaitez activer Security Insight et cliquez sur Enable Analytics.

   La fenêtre Enable Analytics s’affiche.

   • Sélectionnez Security Insight

   • Sous Advanced Options, sélectionnez Logstream ou IPFIX comme mode de transport.

   • L’expression est vraie par défaut.

   • Cliquez sur OK

Remarque :

• Si les utilisateurs sélectionnent des serveurs virtuels qui ne sont pas sous licence, Citrix ADM attribue d’abord une licence à ces serveurs virtuels, puis active l’analyse.

• Pour les partitions d’administration, seul Web Insight est pris en charge.

Après que les utilisateurs cliquent sur OK, Citrix ADM traite pour activer l’analyse sur les serveurs virtuels sélectionnés.

Remarque :

Lorsque les utilisateurs créent un groupe, ils peuvent attribuer des rôles au groupe, fournir un accès au niveau de l’application au groupe et attribuer des utilisateurs au groupe. L’analyse Citrix ADM prend désormais en charge l’autorisation basée sur l’adresse IP virtuelle. Les utilisateurs clients peuvent désormais consulter les rapports pour tous les Insights uniquement pour les applications (serveurs virtuels) pour lesquelles ils sont autorisés. Pour plus d’informations sur les groupes et l’attribution d’utilisateurs au groupe, consultez Configurer des groupes sur Citrix ADM : Configurer des groupes sur Citrix ADM.

Seuils

Les utilisateurs peuvent définir et afficher des seuils sur l’indice de sécurité et l’indice de menace des applications dans Security Insight.

Pour définir un seuil

• Accédez à Système > Paramètres d’analyse > Seuils, puis sélectionnez Ajouter.

• Sélectionnez le type de trafic Sécurité dans le champ Type de trafic, et saisissez les informations requises dans les autres champs appropriés tels que Nom, Durée et entité.

• Dans la section Règle, utilisez les champs Métrique, Comparateur et Valeur pour définir un seuil. Par exemple, « Indice de menace » « > » « 5 »

• Cliquez sur Créer.

Pour afficher les dépassements de seuil

• Accédez à Analytique > Security Insight > Appareils, et sélectionnez l’instance ADC.

• Dans la section Application, les utilisateurs peuvent afficher le nombre de dépassements de seuil qui se sont produits pour chaque serveur virtuel dans la colonne Dépassement de seuil.

Cas d’utilisation de Security Insight

Les cas d’utilisation suivants décrivent comment les utilisateurs peuvent utiliser la fonction Security Insight pour évaluer l’exposition aux menaces des applications et améliorer les mesures de sécurité.

Obtenir un aperçu de l’environnement des menaces

Dans ce cas d’utilisation, les utilisateurs disposent d’un ensemble d’applications exposées aux attaques, et ils ont configuré Citrix ADM pour surveiller l’environnement des menaces. Les utilisateurs doivent fréquemment examiner l’indice de menace, l’indice de sécurité, ainsi que le type et la gravité des attaques que les applications ont pu subir, afin de pouvoir se concentrer d’abord sur les applications qui nécessitent le plus d’attention. Le tableau de bord Security Insight fournit un résumé des menaces subies par les applications utilisateur sur une période choisie par l’utilisateur, et pour un périphérique ADC sélectionné. Il affiche la liste des applications, leurs indices de menace et de sécurité, et le nombre total d’attaques pour la période choisie.

Par exemple, les utilisateurs peuvent surveiller Microsoft Outlook, Microsoft Lync, SharePoint et une application SAP, et ils peuvent vouloir examiner un résumé de l’environnement des menaces pour ces applications.

Pour obtenir un résumé de l’environnement des menaces, connectez-vous à Citrix ADM, puis accédez à Analytics > Security Insight.

Les informations clés sont affichées pour chaque application. La période par défaut est de 1 heure.

Pour afficher les informations pour une période différente, dans la liste en haut à gauche, sélectionnez une période.

Pour afficher un résumé pour une autre instance ADC, sous Devices, cliquez sur l’adresse IP de l’instance ADC. Pour trier la liste des applications par une colonne donnée, cliquez sur l’en-tête de colonne.

Déterminer l’exposition aux menaces d’une application

Après avoir examiné un résumé de l’environnement des menaces sur le tableau de bord Security Insight pour identifier les applications ayant un indice de menace élevé et un indice de sécurité faible, les utilisateurs souhaitent déterminer leur exposition aux menaces avant de décider comment les sécuriser. Autrement dit, les utilisateurs veulent déterminer le type et la gravité des attaques qui ont dégradé leurs valeurs d’indice. Les utilisateurs peuvent déterminer l’exposition aux menaces d’une application en examinant le résumé de l’application.

Dans cet exemple, Microsoft Outlook a une valeur d’indice de menace de 6, et les utilisateurs veulent savoir quels facteurs contribuent à cet indice de menace élevé.

Pour déterminer l’exposition aux menaces de Microsoft Outlook, sur le tableau de bord Security Insight, cliquez sur Outlook. Le résumé de l’application comprend une carte qui identifie l’emplacement géographique du serveur.

Cliquez sur Threat Index > Security Check Violations et examinez les informations de violation qui apparaissent.

Cliquez sur Signature Violations et examinez les informations de violation qui apparaissent.

Déterminer les configurations de sécurité existantes et manquantes pour une application

Après avoir examiné l’exposition aux menaces d’une application, les utilisateurs veulent déterminer quelles configurations de sécurité d’application sont en place et quelles configurations sont manquantes pour cette application. Les utilisateurs peuvent obtenir ces informations en explorant le résumé de l’indice de sécurité de l’application.

Le résumé de l’indice de sécurité fournit aux utilisateurs des informations sur l’efficacité des configurations de sécurité suivantes :

• Configuration du pare-feu d’application. Indique le nombre d’entités de signature et de sécurité non configurées.

• Sécurité du système Citrix ADM. Indique le nombre de paramètres de sécurité du système non configurés.

Dans le cas d’utilisation précédent, les utilisateurs ont examiné l’exposition aux menaces de Microsoft Outlook, qui a une valeur d’indice de menace de 6. Maintenant, les utilisateurs veulent savoir quelles configurations de sécurité sont en place pour Outlook et quelles configurations peuvent être ajoutées pour améliorer son indice de menace.

Sur le tableau de bord Security Insight, cliquez sur Outlook, puis sur l’onglet Safety Index. Examinez les informations fournies dans la zone Safety Index Summary.

Sur le nœud Application Firewall Configuration, cliquez sur Outlook_Profile et examinez les informations de vérification de sécurité et de violation de signature dans les diagrammes circulaires.

Passez en revue l’état de la configuration de chaque type de protection dans le tableau récapitulatif du pare-feu d’application. Pour trier le tableau sur une colonne, cliquez sur l’en-tête de la colonne.

Cliquez sur le nœud Citrix ADM System Security et examinez les paramètres de sécurité du système et les recommandations de Citrix pour améliorer l’indice de sécurité des applications.

Identifier les applications qui nécessitent une attention immédiate

Les applications qui nécessitent une attention immédiate sont celles qui ont un indice de menace élevé et un faible indice de sécurité.

Dans cet exemple, Microsoft Outlook et Microsoft Lync ont tous deux un indice de menace élevé de 6, mais Lync a le plus faible des deux indices de sécurité. Par conséquent, les utilisateurs devront peut-être concentrer leur attention sur Lync avant d’améliorer l’environnement de menace pour Outlook.

Déterminer le nombre d’attaques sur une période donnée

Les utilisateurs peuvent vouloir déterminer le nombre d’attaques sur une application donnée à un moment donné, ou ils peuvent vouloir étudier le taux d’attaque pour une période spécifique.

Sur la page Security Insight, cliquez sur n’importe quelle application et, dans le résumé de l’application, cliquez sur le nombre de violations. La page Total Violations affiche les attaques sous forme graphique pour une heure, un jour, une semaine et un mois.

Le tableau Application Summary fournit les détails sur les attaques. En voici quelques-uns :

• Heure de l’attaque

• Adresse IP du client d’où provient l’attaque

• Gravité

• Catégorie de violation

• URL d’où provient l’attaque, et autres détails.

Alors que les utilisateurs peuvent toujours consulter l’heure de l’attaque dans un rapport horaire comme indiqué dans l’image, ils peuvent désormais consulter la plage horaire de l’attaque pour les rapports agrégés, même pour les rapports quotidiens ou hebdomadaires. Si les utilisateurs sélectionnent « 1 jour » dans la liste des périodes, le rapport Security Insight affiche toutes les attaques agrégées et l’heure de l’attaque est affichée dans une plage d’une heure. Si les utilisateurs choisissent « 1 semaine » ou « 1 mois », toutes les attaques sont agrégées et l’heure de l’attaque est affichée dans une plage d’un jour.

Obtenir des informations détaillées sur les failles de sécurité

Les utilisateurs peuvent souhaiter consulter une liste des attaques sur une application et obtenir des informations sur le type et la gravité des attaques, les actions entreprises par l’instance ADC, les ressources demandées et la source des attaques.

Par exemple, les utilisateurs peuvent vouloir déterminer combien d’attaques sur Microsoft Lync ont été bloquées, quelles ressources ont été demandées et les adresses IP des sources.

Sur le tableau de bord Security Insight, cliquez sur Lync > Total Violations. Dans le tableau, cliquez sur l’icône de filtre dans l’en-tête de colonne Action Taken, puis sélectionnez Blocked.

Pour obtenir des informations sur les ressources demandées, consultez la colonne URL. Pour obtenir des informations sur les sources des attaques, consultez la colonne Client IP.

Afficher les détails de l’expression de journal

Les instances Citrix ADC utilisent des expressions de journal configurées avec le profil de pare-feu d’application pour prendre des mesures contre les attaques sur une application dans l’entreprise de l’utilisateur. Dans Security Insight, les utilisateurs peuvent afficher les valeurs renvoyées pour les expressions de journal utilisées par l’instance ADC. Ces valeurs incluent l’en-tête de requête, le corps de requête, etc. En plus des valeurs d’expression de journal, les utilisateurs peuvent également afficher le nom de l’expression de journal et le commentaire de l’expression de journal définie dans le profil de pare-feu d’application que l’instance ADC a utilisé pour prendre des mesures contre l’attaque.

Prérequis

Assurez-vous que les utilisateurs :

• Configurez les expressions de journal dans le profil de pare-feu d’application. Pour plus d’informations, consultez Pare-feu d’application.

• Activez les paramètres Security Insights basés sur les expressions de journal dans Citrix ADM. Procédez comme suit :

  • Accédez à Analytics > Paramètres, puis cliquez sur Activer les fonctionnalités pour Analytics.

  • Dans la page Activer les fonctionnalités pour Analytics, sélectionnez Activer Security Insight sous la section Paramètre Security Insight basé sur l’expression de journal et cliquez sur OK.

Par exemple, les utilisateurs peuvent vouloir afficher les valeurs de l’expression de journal renvoyées par l’instance ADC pour l’action qu’elle a effectuée lors d’une attaque sur Microsoft Lync dans l’entreprise de l’utilisateur.

Sur le tableau de bord Security Insight, accédez à Lync > Total des violations. Dans le tableau Récapitulatif de l’application, cliquez sur l’URL pour afficher les détails complets de la violation dans la page Informations sur la violation, y compris le nom de l’expression de journal, le commentaire et les valeurs renvoyées par l’instance ADC pour l’action.

Déterminer l’indice de sécurité avant de déployer la configuration

Des failles de sécurité se produisent après que les utilisateurs ont déployé la configuration de sécurité sur une instance ADC, mais les utilisateurs peuvent vouloir évaluer l’efficacité de la configuration de sécurité avant de la déployer.

Par exemple, les utilisateurs peuvent vouloir évaluer l’indice de sécurité de la configuration pour l’application SAP sur l’instance ADC avec l’adresse IP 10.102.60.27.

Sur le tableau de bord Security Insight, sous Appareils, cliquez sur l’adresse IP de l’instance ADC que les utilisateurs ont configurée. Les utilisateurs peuvent voir que l’indice de menace et le nombre total d’attaques sont tous deux de 0. L’indice de menace est un reflet direct du nombre et du type d’attaques sur l’application. Zéro attaque indique que l’application n’est sous aucune menace.

Cliquez sur Sap > Indice de sécurité > SAP_Profile et évaluez les informations d’indice de sécurité qui apparaissent.

Dans le résumé du pare-feu d’application, les utilisateurs peuvent consulter l’état de configuration des différents paramètres de protection. Si un paramètre est configuré pour la journalisation ou s’il n’est pas configuré, l’application se voit attribuer un indice de sécurité inférieur.

Violations de sécurité

Afficher les détails des violations de sécurité des applications

Les applications web exposées à Internet sont devenues considérablement plus vulnérables aux attaques. Citrix ADM permet aux utilisateurs de visualiser les détails exploitables des violations pour protéger les applications contre les attaques. Accédez à Sécurité > Violations de sécurité pour une solution à panneau unique permettant de :

• Accéder aux violations de sécurité des applications en fonction de leurs catégories telles que Réseau, Bot et WAF

• Prendre des mesures correctives pour sécuriser les applications

Pour afficher les violations de sécurité dans Citrix ADM, assurez-vous que :

• Les utilisateurs disposent d’une licence premium pour l’instance Citrix ADC (pour les violations WAF et BOT).

• Les utilisateurs ont appliqué une licence sur les serveurs virtuels d’équilibrage de charge ou de commutation de contenu (pour WAF et BOT). Pour plus d’informations, consultez Gérer les licences sur les serveurs virtuels.

• Les utilisateurs activent davantage de paramètres. Pour plus d’informations, consultez la procédure disponible dans la section Configuration de la documentation produit Citrix : Configuration.

Catégories de violations**

Citrix ADM permet aux utilisateurs d’afficher les violations suivantes :

** - Les utilisateurs doivent configurer le paramètre de prise de contrôle de compte dans Citrix ADM. Voir le prérequis mentionné dans Prise de contrôle de compte : Prise de contrôle de compte.

Outre ces violations, les utilisateurs peuvent également consulter les violations Security Insight et Bot Insight suivantes, respectivement dans les catégories WAF et Bot :

Configuration

Les utilisateurs doivent activer Advanced Security Analytics et définir Web Transaction Settings sur All pour afficher les violations suivantes dans Citrix ADM :

• Transactions de téléversement inhabituellement élevées (WAF)

• Transactions de téléchargement inhabituellement élevées (WAF)

• Adresses IP uniques excessives (WAF)

• Prise de contrôle de compte (BOT)

Pour les autres violations, assurez-vous que le collecteur de métriques est activé. Par défaut, le collecteur de métriques est activé sur l’instance Citrix ADC. Pour plus d’informations, consultez : Configurer Intelligent App Analytics.

Activer l’analyse de sécurité avancée

• Accédez à Réseaux > Instances > Citrix ADC, et sélectionnez le type d’instance. Par exemple, MPX.

• Sélectionnez l’instance Citrix ADC et dans la liste Sélectionner une action, sélectionnez Configurer l’analyse.

• Sélectionnez le serveur virtuel et cliquez sur Activer l’analyse.

• Dans la fenêtre Activer l’analyse :

  • Sélectionnez Web Insight. Une fois que les utilisateurs ont sélectionné Web Insight, l’option en lecture seule Analyse de sécurité avancée est activée automatiquement.

  Remarque : L’option Analyse de sécurité avancée s’affiche uniquement pour les instances ADC sous licence premium.

  • Sélectionnez Logstream comme mode de transport

  • L’expression est vraie par défaut

  • Cliquez sur OK

Activer les paramètres de transaction Web

• Accédez à Analyse > Paramètres.

La page Paramètres s’affiche.

• Cliquez sur Activer les fonctionnalités pour l’analyse.

• Sous Paramètres de transaction Web, sélectionnez Tout.

• Cliquez sur OK.

Tableau de bord des violations de sécurité

Dans le tableau de bord des violations de sécurité, les utilisateurs peuvent afficher :

• Nombre total de violations sur toutes les instances et applications ADC. Le nombre total de violations est affiché en fonction de la durée sélectionnée.

• Nombre total de violations par catégorie.

• Nombre total d’ADC affectés, nombre total d’applications affectées et principales violations basées sur le nombre total d’occurrences et les applications affectées.

Détails de la violation

Pour chaque violation, Citrix ADM surveille le comportement pendant une durée spécifique et détecte les violations pour les comportements inhabituels. Cliquez sur chaque onglet pour afficher les détails de la violation. Les utilisateurs peuvent afficher des détails tels que :

• Le nombre total d’occurrences, la dernière occurrence et le nombre total d’applications affectées

• Sous les détails de l’événement, les utilisateurs peuvent afficher :

  • L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Le graphique indiquant les violations.

  Faites glisser et sélectionnez sur le graphique qui liste les violations pour affiner la recherche de violations.

  

  Cliquez sur Réinitialiser le zoom pour réinitialiser le résultat du zoom

  • Actions recommandées qui suggèrent aux utilisateurs de résoudre le problème

  • Autres détails de violation tels que l’heure d’occurrence de la violation et le message de détection

Bot Insight

Utilisation de Bot Insight dans Citrix ADM

Une fois que les utilisateurs ont configuré la gestion des bots dans Citrix ADC, ils doivent activer Bot Insight sur les serveurs virtuels pour afficher les informations dans Citrix ADM.

Pour activer Bot Insight :

• Accédez à Réseaux > Instances > Citrix ADC et sélectionnez le type d’instance. Par exemple, VPX.

• Sélectionnez l’instance et dans la liste Sélectionner une action, sélectionnez Configurer l’analyse.

• Sélectionnez le serveur virtuel et cliquez sur Enable Analytics.

• Dans la fenêtre Enable Analytics :

  • Sélectionnez Bot Insight

  • Sous Advanced Option, sélectionnez Logstream.

  

  • Cliquez sur OK.

Après avoir activé Bot Insight, accédez à Analytics > Security > Bot Insight.

1. Liste de temps pour afficher les détails du bot

2. Faites glisser le curseur pour sélectionner une plage horaire spécifique et cliquez sur Go pour afficher les résultats personnalisés.

3. Nombre total d’instances affectées par les bots

4. Serveur virtuel pour l’instance sélectionnée avec le total des attaques de bots

   • Total Bots – Indique le nombre total d’attaques de bots (incluant toutes les catégories de bots) détectées pour le serveur virtuel.

   • Total Human Browsers – Indique le nombre total d’utilisateurs humains accédant au serveur virtuel.

   • Bot Human Ratio – Indique le rapport entre les utilisateurs humains et les bots accédant au serveur virtuel.

   • Bots de signature, Bots par empreinte digitale, Bots basés sur le débit, Bots de réputation IP, Bots de liste d’autorisation et Bots de liste de blocage – Indique le nombre total d’attaques de bots survenues en fonction de la catégorie de bot configurée. Pour plus d’informations sur les catégories de bots, consultez : Configurer les techniques de détection de bots dans Citrix ADC.

5. Cliquez sur > pour afficher les détails des bots sous forme de graphique.

Afficher l’historique des événements

Les utilisateurs peuvent consulter les mises à jour des signatures de bots dans l’Historique des événements, lorsque :

• De nouvelles signatures de bots sont ajoutées dans les instances Citrix ADC.

• Les signatures de bots existantes sont mises à jour dans les instances Citrix ADC.

Vous pouvez sélectionner la durée sur la page d’informations sur les bots pour afficher l’historique des événements.

Le diagramme suivant montre comment les signatures de bots sont récupérées depuis le cloud AWS, mises à jour sur Citrix ADC et comment afficher le résumé de la mise à jour des signatures sur Citrix ADM.

1. Le planificateur de mise à jour automatique des signatures de bots récupère le fichier de mappage depuis l’URI AWS.

2. Vérifie les dernières signatures dans le fichier de mappage avec les signatures existantes dans l’appliance ADC.

3. Télécharge les nouvelles signatures depuis AWS et vérifie l’intégrité de la signature.

4. Met à jour les signatures de bots existantes avec les nouvelles signatures dans le fichier de signatures de bots.

5. Génère une alerte SNMP et envoie le résumé de la mise à jour des signatures à Citrix ADM.

Afficher les bots

Cliquez sur le serveur virtuel pour afficher le Résumé de l’application

1. Fournit les détails du résumé de l’application, tels que :

   • RPS moyen – Indique le nombre moyen de requêtes de transactions de bots par seconde (RPS) reçues sur les serveurs virtuels.

   • Bots par gravité – Indique les transactions de bots les plus élevées en fonction de la gravité. La gravité est classée en fonction de Critique, Élevée, Moyenne et Faible.

     Par exemple, si les serveurs virtuels ont 11770 bots de gravité élevée et 1550 bots de gravité critique, Citrix ADM affiche Critical 1.55 K sous Bots par gravité.

   • Catégorie de bot la plus importante – Indique les attaques de bots les plus importantes en fonction de la catégorie de bot.

     Par exemple, si les serveurs virtuels ont 8000 bots bloqués, 5000 bots autorisés et 10000 bots ayant dépassé la limite de débit, Citrix ADM affiche Rate Limit Exceeded 10 K sous Largest Bot Category.

   • Source géographique la plus importante – Indique les attaques de bots les plus importantes en fonction d’une région.

     Par exemple, si les serveurs virtuels ont 5000 attaques de bots à Santa Clara, 7000 attaques de bots à Londres et 9000 attaques de bots à Bangalore, Citrix ADM affiche Bangalore 9 K sous Largest Geo Source.

   • Pourcentage moyen de trafic de bots – Indique le ratio humain/bot.

2. Affiche la gravité des attaques de bots en fonction des emplacements dans la vue cartographique

3. Affiche les types d’attaques de bots (Bon, Mauvais et Tous)

4. Affiche le nombre total d’attaques de bots ainsi que les actions configurées correspondantes. Par exemple, si vous avez configuré :

   • Plage d’adresses IP (192.140.14.9 à 192.140.14.254) comme bots de liste de blocage et sélectionné Supprimer comme action pour ces plages d’adresses IP

   • Plage d’adresses IP (192.140.15.4 à 192.140.15.254) comme bots de liste de blocage et sélectionné de créer un message de journal comme action pour ces plages d’adresses IP

     Dans ce scénario, Citrix ADM affiche :

     • Nombre total de bots figurant sur la liste de blocage

     • Nombre total de bots sous Supprimé

     • Nombre total de bots sous Journal

Afficher les bots CAPTCHA

Dans les pages web, les CAPTCHA sont conçus pour identifier si le trafic entrant provient d’un humain ou d’un bot automatisé. Pour afficher les activités CAPTCHA dans Citrix ADM, les utilisateurs doivent configurer CAPTCHA comme action de bot pour les techniques de réputation IP et de détection d’empreintes digitales d’appareil dans une instance Citrix ADC. Pour plus d’informations, consultez : Configurer la gestion des bots.

Voici les activités CAPTCHA que Citrix ADM affiche dans Bot insight :

• Tentatives de CAPTCHA dépassées – Indique le nombre maximal de tentatives de CAPTCHA effectuées après des échecs de connexion

• Client CAPTCHA mis en sourdine – Indique le nombre de requêtes client qui sont supprimées ou redirigées parce que ces requêtes ont été détectées comme de mauvais bots plus tôt avec le défi CAPTCHA

• Humain – Indique les entrées CAPTCHA effectuées par les utilisateurs humains

• Réponse CAPTCHA invalide – Indique le nombre de réponses CAPTCHA incorrectes reçues du bot ou de l’humain, lorsque Citrix ADC envoie un défi CAPTCHA

Afficher les pièges à bots

Pour afficher les pièges à bots dans Citrix ADM, vous devez configurer le piège à bots dans l’instance Citrix ADC. Pour plus d’informations, consultez Configurer la gestion des bots.

Pour identifier le piège à bots, un script est activé sur la page web et ce script est masqué pour les humains, mais pas pour les bots. Citrix ADM identifie et signale les pièges à bots lorsque ce script est accédé par des bots.

Cliquez sur le serveur virtuel et sélectionnez Zero Pixel Request

Afficher les détails du bot

Pour plus de détails, cliquez sur le type d’attaque de bot sous Catégorie de bot.

Les détails tels que l’heure de l’attaque et le nombre total d’attaques de bots pour la catégorie captcha sélectionnée sont affichés.

Les utilisateurs peuvent également faire glisser le graphique à barres pour sélectionner la plage horaire spécifique à afficher avec les attaques de bots.

Pour obtenir des informations supplémentaires sur l’attaque de bot, cliquez pour développer.

• IP de l’instance – Indique l’adresse IP de l’instance Citrix ADC

• Bots totaux – Indique le nombre total d’attaques de bots survenues pour cette période spécifique

• URL de la requête HTTP – Indique l’URL configurée pour le rapport de captcha

• Code pays – Indique le pays où l’attaque de bot a eu lieu

• Région – Indique la région où l’attaque de bot a eu lieu

• Nom du profil – Indique le nom du profil que les utilisateurs ont fourni lors de la configuration

Recherche avancée

Les utilisateurs peuvent également utiliser la zone de texte de recherche et la liste de durée, où ils peuvent afficher les détails des bots selon leurs besoins. Lorsque les utilisateurs cliquent sur la zone de recherche, celle-ci leur propose la liste de suggestions de recherche suivante.

• IP de l’instance – Adresse IP de l’instance Citrix ADC

• IP du client – Adresse IP du client

• Type de bot – Type de bot, tel que Bon ou Mauvais

• Gravité – Gravité de l’attaque de bot

• Action effectuée – Action effectuée après l’attaque de bot, telle que Supprimer, Aucune action, Rediriger

• Catégorie de bot – Catégorie de l’attaque de bot, telle que liste de blocage, liste d’autorisation, empreinte digitale, etc. En fonction d’une catégorie, les utilisateurs peuvent y associer une action de bot

• Détection de bot – Types de détection de bot (liste de blocage, liste d’autorisation, etc.) que les utilisateurs ont configurés sur l’instance Citrix ADC

• Emplacement – Région/pays où l’attaque de bot a eu lieu

• Request-URL – URL présentant des attaques de bots potentielles

Les utilisateurs peuvent également utiliser des opérateurs dans les requêtes de recherche utilisateur pour affiner la recherche utilisateur. Par exemple, si les utilisateurs souhaitent afficher tous les mauvais bots :

• Cliquez sur la zone de recherche et sélectionnez Type de bot

• Cliquez à nouveau sur la zone de recherche et sélectionnez l’opérateur =

• Cliquez à nouveau sur la zone de recherche et sélectionnez Mauvais

• Cliquez sur Rechercher pour afficher les résultats

Détails des violations de bot

Connexions client excessives

Lorsqu’un client tente d’accéder à l’application web, la requête client est traitée dans l’appliance Citrix ADC, au lieu de se connecter directement au serveur. Le trafic web comprend des bots et les bots peuvent effectuer diverses actions à un rythme plus rapide qu’un humain.

En utilisant l’indicateur Connexions client excessives, les utilisateurs peuvent analyser les scénarios où une application reçoit un nombre anormalement élevé de connexions client via des bots.

Sous Détails de l’événement, les utilisateurs peuvent afficher :

• L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

• Le graphique indiquant toutes les violations

• L’heure de l’occurrence de la violation

• Le message de détection de la violation, indiquant le nombre total d’adresses IP traitant l’application

• La plage d’adresses IP acceptée que l’application peut recevoir

Prise de contrôle de compte

Remarque :

Assurez-vous que les utilisateurs activent les options d’analyse de sécurité avancée et de transaction web. Pour plus d’informations, consultez Configuration : Configuration.

Certains bots malveillants peuvent voler les identifiants des utilisateurs et effectuer divers types de cyberattaques. Ces bots malveillants sont connus sous le nom de « bad bots ». Il est essentiel d’identifier les « bad bots » et de protéger l’appareil de l’utilisateur contre toute forme d’attaques de sécurité avancées.

Prérequis

Les utilisateurs doivent configurer les paramètres de Prise de contrôle de compte dans Citrix ADM.

• Accédez à Analytics > Settings > Security Violations

• Cliquez sur Ajouter

• Sur la page Ajouter une application, spécifiez les paramètres suivants :

  • Application - Sélectionnez le serveur virtuel dans la liste.

  • Méthode - Sélectionnez le type de méthode HTTP dans la liste. Les options disponibles sont GET, PUSH, POST et UPDATE.

  • URL de connexion et code de réponse de succès - Spécifiez l’URL de l’application web et le code d’état HTTP (par exemple, 200) pour lequel les utilisateurs souhaitent que Citrix ADM signale la violation de prise de contrôle de compte par des bots malveillants.

  • Cliquez sur Ajouter.

Une fois les paramètres configurés, à l’aide de l’indicateur Prise de contrôle de compte, les utilisateurs peuvent analyser si des bots malveillants ont tenté de prendre le contrôle du compte utilisateur, en effectuant plusieurs requêtes avec des identifiants.

Sous Détails de l’événement, les utilisateurs peuvent afficher :

• L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

• Le graphique indiquant toutes les violations

• L’heure de survenance de la violation

• Le message de détection de la violation, indiquant le total des activités de connexion échouées inhabituelles, des connexions réussies et des connexions échouées

• L’adresse IP du bot malveillant. Cliquez pour afficher les détails tels que l’heure, l’adresse IP, le nombre total de connexions réussies, le nombre total de connexions échouées et le nombre total de requêtes effectuées à partir de cette adresse IP.

Volume de téléversement inhabituellement élevé

Le trafic web comprend également des données traitées pour le téléversement. Par exemple, si la moyenne des données téléversées par jour par un utilisateur est de 500 Mo et si les utilisateurs téléversent 2 Go de données, cela peut être considéré comme un volume de données téléversées inhabituellement élevé. Les bots sont également capables de traiter le téléversement de données plus rapidement que les humains.

À l’aide de l’indicateur Volume de téléversement inhabituellement élevé, les utilisateurs peuvent analyser les scénarios anormaux de téléversement de données vers l’application par le biais de bots.

Sous Détails de l’événement, les utilisateurs peuvent afficher :

• L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

• Le graphique indiquant toutes les violations

• L’heure de survenance de la violation

• Le message de détection de la violation, indiquant le volume total de données téléversées traitées

• La plage acceptée de données de téléversement vers l’application

Volume de téléchargement anormalement élevé

Similaire à un volume de téléversement élevé, les robots peuvent également effectuer des téléchargements plus rapidement que les humains.

À l’aide de l’indicateur Volume de téléchargement anormalement élevé, les utilisateurs peuvent analyser des scénarios anormaux de données de téléchargement depuis l’application via des robots.

Sous Détails de l’événement, les utilisateurs peuvent afficher :

• L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

• Le graphique indiquant toutes les violations

• L’heure de survenance de la violation

• Le message de détection de la violation, indiquant le volume total de données téléchargées traitées

• La plage acceptée de données de téléchargement de l’application

Taux de requêtes anormalement élevé

Les utilisateurs peuvent contrôler le trafic entrant et sortant d’une application. Une attaque de bot peut entraîner un taux de requêtes anormalement élevé. Par exemple, si les utilisateurs configurent une application pour autoriser 100 requêtes/minute et qu’ils observent 350 requêtes, il pourrait s’agir d’une attaque de bot.

À l’aide de l’indicateur Taux de requêtes anormalement élevé, les utilisateurs peuvent analyser le taux de requêtes inhabituel reçu par l’application.

Sous Détails de l’événement, les utilisateurs peuvent afficher :

• L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

• Le graphique indiquant toutes les violations

• L’heure de survenance de la violation

• Le message de détection de la violation, indiquant le nombre total de requêtes reçues et le pourcentage de requêtes excessives reçues par rapport aux requêtes attendues

• La plage acceptée du taux de requêtes attendu de l’application

Cas d’utilisation

Bot

Parfois, le trafic web entrant est composé de bots et la plupart des organisations subissent des attaques de bots. Les applications web et mobiles sont des moteurs de revenus importants pour les entreprises, et la plupart d’entre elles sont menacées par des cyberattaques avancées, telles que les bots. Un bot est un programme logiciel qui exécute automatiquement certaines actions de manière répétée, à un rythme beaucoup plus rapide qu’un humain. Les bots peuvent interagir avec des pages web, soumettre des formulaires, exécuter des actions, scanner des textes ou télécharger du contenu. Ils peuvent accéder à des vidéos, publier des commentaires et tweeter sur les plateformes de médias sociaux. Certains bots, connus sous le nom de chatbots, peuvent tenir des conversations de base avec des utilisateurs humains. Un bot qui fournit un service utile, tel que le service client, le chat automatisé et les robots d’exploration de moteurs de recherche, est un bon bot. En même temps, un bot qui peut extraire ou télécharger du contenu d’un site web, voler des identifiants d’utilisateur, spammer du contenu et effectuer d’autres types de cyberattaques est un mauvais bot. Avec un grand nombre de mauvais bots effectuant des tâches malveillantes, il est essentiel de gérer le trafic des bots et de protéger les applications web des utilisateurs contre les attaques de bots. En utilisant la gestion des bots Citrix, les utilisateurs peuvent détecter le trafic de bots entrant et atténuer les attaques de bots pour protéger leurs applications web. La gestion des bots Citrix aide à identifier les mauvais bots et à protéger l’appliance de l’utilisateur contre les attaques de sécurité avancées. Elle détecte les bons et les mauvais bots et identifie si le trafic entrant est une attaque de bot. En utilisant la gestion des bots, les utilisateurs peuvent atténuer les attaques et protéger leurs applications web.

La gestion des bots Citrix ADC offre les avantages suivants :

• Défend contre les bots, les scripts et les boîtes à outils. Fournit une atténuation des menaces en temps réel à l’aide d’une défense basée sur des signatures statiques et de l’empreinte numérique des appareils.

• Neutralise les attaques automatisées de base et avancées. Prévient les attaques telles que les DDoS de la couche application, le password spraying, le password stuffing, les price scrapers et les content scrapers.

• Protège les API utilisateur et les investissements. Protège les API utilisateur contre les utilisations abusives non justifiées et protège les investissements d’infrastructure contre le trafic automatisé.

Voici quelques cas d’utilisation où les utilisateurs peuvent bénéficier de l’utilisation du système de gestion des bots Citrix :

• Connexion par force brute. Un portail web gouvernemental est constamment attaqué par des bots tentant des connexions utilisateur par force brute. L’organisation découvre l’attaque en examinant les journaux web et en constatant que des utilisateurs spécifiques sont ciblés à plusieurs reprises avec des tentatives de connexion rapides et des mots de passe incrémentés à l’aide d’une approche d’attaque par dictionnaire. La loi les oblige à se protéger et à protéger leurs utilisateurs. En déployant la gestion des bots Citrix, ils peuvent arrêter les connexions par force brute en utilisant des techniques d’empreinte numérique des appareils et de limitation de débit.

• Bloquer les mauvais bots et identifier les bots inconnus par empreinte numérique. Une entité web reçoit 100 000 visiteurs chaque jour. Elle doit mettre à niveau son infrastructure sous-jacente et dépense une fortune. Lors d’un audit récent, l’équipe a découvert que 40 % du trafic provenait de bots, qui aspiraient du contenu, collectaient des actualités, vérifiaient des profils d’utilisateurs, et plus encore. Ils veulent bloquer ce trafic pour protéger leurs utilisateurs et réduire leurs coûts d’hébergement. En utilisant la gestion des bots, ils peuvent bloquer les mauvais bots connus et identifier par empreinte numérique les bots inconnus qui bombardent leur site. En bloquant ces bots, ils peuvent réduire le trafic de bots de 90 %.

• Autoriser les bons bots. Les « bons » bots sont conçus pour aider les entreprises et les consommateurs. Ils existent depuis le début des années 1990, lorsque les premiers bots de moteurs de recherche ont été développés pour explorer Internet. Google, Yahoo et Bing n’existeraient pas sans eux. D’autres exemples de bons bots, principalement axés sur le consommateur, incluent :

  • Les Chatbots (également appelés chatterbots, bots intelligents, talk bots, bots de messagerie instantanée, bots sociaux, bots conversationnels) interagissent avec les humains par le texte ou le son. L’une des premières utilisations textuelles a été pour le service client en ligne et les applications de messagerie texte comme Facebook Messenger et iPhone Messages. Siri, Cortana et Alexa sont des chatbots ; mais aussi les applications mobiles qui permettent aux utilisateurs de commander du café et de leur indiquer quand il sera prêt, de regarder des bandes-annonces de films et de trouver les horaires des cinémas locaux, ou d’envoyer aux utilisateurs une photo du modèle de voiture et de la plaque d’immatriculation lorsqu’ils demandent un service de covoiturage.

  • Les Shopbots parcourent Internet à la recherche des prix les plus bas pour les articles recherchés par les utilisateurs.

  • Les bots de surveillance vérifient la santé (disponibilité et réactivité) des sites web. Downdetector est un exemple de site indépendant qui fournit des informations d’état en temps réel, y compris les pannes, des sites web et d’autres types de services. Pour plus d’informations sur Downdetector, consultez : Downdetector.

Détection des bots

Configuration de la gestion des bots à l’aide de l’interface graphique de Citrix ADC

Les utilisateurs peuvent configurer la gestion des bots Citrix ADC en activant d’abord la fonctionnalité sur l’appliance. Une fois activée, ils peuvent créer une politique de bot pour évaluer le trafic entrant comme étant un bot et envoyer ce trafic au profil de bot. Ensuite, les utilisateurs créent un profil de bot, puis lient ce profil à une signature de bot. Alternativement, les utilisateurs peuvent également cloner le fichier de signature de bot par défaut et utiliser ce fichier de signature pour configurer les techniques de détection. Après avoir créé le fichier de signature, les utilisateurs peuvent l’importer dans le profil de bot. Toutes ces étapes sont effectuées dans la séquence suivante :

1. Activer la fonctionnalité de gestion des bots

2. Configurer les paramètres de gestion des bots

3. Cloner la signature de bot par défaut de Citrix

4. Importer la signature de bot Citrix

5. Configurer les paramètres de signature de bot

6. Créer un profil de bot

7. Créer une stratégie de bot

Activer la fonctionnalité de gestion des bots

1. Dans le volet de navigation, développez Système, puis cliquez sur Paramètres.

2. Sur la page Configurer les fonctionnalités avancées, cochez la case Gestion des bots.

3. Cliquez sur OK, puis sur Fermer.

Cloner le fichier de signature de bot

1. Accédez à Sécurité > Gestion des bots Citrix > Signatures.

2. Dans la page Signatures de gestion des bots Citrix, sélectionnez l’enregistrement des signatures de bot par défaut et cliquez sur Cloner.

3. Dans la page Cloner la signature de bot, saisissez un nom et modifiez les données de signature.

4. Cliquez sur Créer.

Importer un fichier de signature de bot

Si les utilisateurs disposent de leur propre fichier de signature, ils peuvent l’importer en tant que fichier, texte ou URL. Suivez les étapes suivantes pour importer le fichier de signature de bot :

• Accédez à Sécurité > Gestion des bots Citrix et Signatures.

• Sur la page Signatures de gestion des bots Citrix, importez le fichier en tant qu’URL, fichier ou texte.

• Cliquez sur Continuer.

• Sur la page Importer une signature de gestion des bots Citrix, définissez les paramètres suivants.

  • Nom. Nom du fichier de signature de bot.

  • Commentaire. Brève description du fichier importé.

  • Écraser. Cochez la case pour autoriser l’écrasement des données lors de la mise à jour du fichier.

  • Données de signature. Modifier les paramètres de signature

• Cliquez sur Terminé.

Réputation IP

Configurer la réputation IP à l’aide de l’interface graphique de Citrix ADC

Cette configuration est un prérequis pour la fonctionnalité de réputation IP des bots. La technique de détection permet aux utilisateurs d’identifier toute activité malveillante provenant d’une adresse IP entrante. Dans le cadre de la configuration, nous définissons différentes catégories de bots malveillants et associons une action de bot à chacune d’elles.

• Accédez à Sécurité > Gestion des bots Citrix et Profils.

• Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier de signature et cliquez sur Modifier.

• Sur la page Profil de gestion des bots Citrix, accédez à la section Paramètres de signature et cliquez sur Réputation IP.

• Dans la section Réputation IP, définissez les paramètres suivants :

  • Activé. Cochez la case pour valider le trafic de bot entrant dans le cadre du processus de détection.

  • Configurer les catégories. Les utilisateurs peuvent utiliser la technique de réputation IP pour le trafic de bot entrant sous différentes catégories. En fonction de la catégorie configurée, les utilisateurs peuvent bloquer ou rediriger le trafic de bot. Cliquez sur Ajouter pour configurer une catégorie de bot malveillant.

  • Dans la page Configurer la liaison de réputation IP du profil de gestion des bots Citrix, définissez les paramètres suivants :

    • Catégorie. Sélectionnez une catégorie de bot malveillant dans la liste. Associez une action de bot en fonction de la catégorie.

    • Activé. Cochez la case pour valider la détection de signature de réputation IP.

    • Action de bot. En fonction de la catégorie configurée, les utilisateurs peuvent attribuer une action : aucune, bloquer, rediriger ou CAPTCHA.

    • Journal. Cochez la case pour stocker les entrées de journal.

    • Message du journal. Brève description du journal.

    • Commentaires. Brève description de la catégorie de bot.

• Cliquez sur OK.

• Cliquez sur Mettre à jour.

• Cliquez sur Terminé.

Mise à jour automatique des signatures de bot

La technique de signature statique de bot utilise une table de recherche de signatures avec une liste de bons bots et de mauvais bots. Les bots sont classés en fonction de la chaîne d’agent utilisateur et des noms de domaine. Si la chaîne d’agent utilisateur et le nom de domaine du trafic de bot entrant correspondent à une valeur dans la table de recherche, une action de bot configurée est appliquée. Les mises à jour des signatures de bot sont hébergées sur le cloud AWS et la table de recherche de signatures communique avec la base de données AWS pour les mises à jour de signatures. Le planificateur de mise à jour automatique des signatures s’exécute toutes les heures pour vérifier la base de données AWS et met à jour la table de signatures dans l’appliance ADC.

L’URL de mise à jour automatique du mappage des signatures de bot pour configurer les signatures est : Mappage des signatures de bot.

Remarque :

Les utilisateurs peuvent également configurer un serveur proxy et mettre à jour périodiquement les signatures du cloud AWS vers l’appliance ADC via un proxy. Pour la configuration du proxy, les utilisateurs doivent définir l’adresse IP et l’adresse de port du proxy dans les paramètres du bot.

Configurer la mise à jour automatique des signatures de bot

Pour configurer la mise à jour automatique des signatures de bot, suivez les étapes suivantes :

Activer la mise à jour automatique des signatures de bot

Les utilisateurs doivent activer l’option de mise à jour automatique dans les paramètres du bot sur l’appliance ADC.

À l’invite de commandes, tapez :

set bot settings –signatureAutoUpdate ON

Configurer la mise à jour automatique des signatures de bots à l’aide de l’interface graphique de Citrix ADC

Suivez les étapes ci-dessous pour configurer la mise à jour automatique des signatures de bots :

• Accédez à Sécurité > Gestion des bots Citrix.

• Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres de gestion des bots Citrix.

• Dans Configurer les paramètres de gestion des bots Citrix, cochez la case Mise à jour automatique des signatures.

• Cliquez sur OK et Fermer.

Pour plus d’informations sur la configuration de la réputation IP à l’aide de l’interface de ligne de commande, consultez : Configurer la fonctionnalité de réputation IP à l’aide de l’interface de ligne de commande.

Références

Pour plus d’informations sur l’utilisation des relaxations SQL à grain fin, consultez : Relaxations SQL à grain fin.

Pour plus d’informations sur la configuration de la vérification d’injection SQL à l’aide de la ligne de commande, consultez : Vérification d’injection SQL HTML.

Pour plus d’informations sur la configuration de la vérification d’injection SQL à l’aide de l’interface graphique, consultez : Utilisation de l’interface graphique pour configurer la vérification de sécurité d’injection SQL.

Pour plus d’informations sur l’utilisation de la fonctionnalité d’apprentissage avec la vérification d’injection SQL, consultez : Utilisation de la fonctionnalité d’apprentissage avec la vérification d’injection SQL.

Pour plus d’informations sur l’utilisation de la fonction de journalisation avec la vérification d’injection SQL, consultez : Utilisation de la fonction de journalisation avec la vérification d’injection SQL.

Pour plus d’informations sur les statistiques relatives aux violations d’injection SQL, consultez : Statistiques relatives aux violations d’injection SQL.

Pour plus d’informations sur les points forts de la vérification d’injection SQL, consultez : Points forts.

Pour plus d’informations sur les vérifications d’injection SQL XML, consultez : Vérification d’injection SQL XML.

Pour plus d’informations sur l’utilisation des relaxations à grain fin de script intersite, consultez : Relaxations SQL à grain fin.

Pour plus d’informations sur la configuration du script intersite HTML à l’aide de la ligne de commande, consultez : Utilisation de la ligne de commande pour configurer la vérification de script intersite HTML.

Pour plus d’informations sur la configuration du script intersite HTML à l’aide de l’interface graphique, consultez : Utilisation de l’interface graphique pour configurer la vérification de script intersite HTML.

Pour plus d’informations sur l’utilisation de la fonction d’apprentissage avec la vérification de script intersite HTML, consultez : Utilisation de la fonction d’apprentissage avec la vérification de script intersite HTML.

Pour plus d’informations sur l’utilisation de la fonction de journalisation avec la vérification de script intersite HTML, consultez : Utilisation de la fonction de journalisation avec la vérification de script intersite HTML.

Pour plus d’informations sur les statistiques relatives aux violations de script intersite HTML, consultez : Statistiques relatives aux violations de script intersite HTML.

Pour plus d’informations sur les points forts du script intersite HTML, consultez : Points forts.

Pour plus d’informations sur le script intersite XML, consultez : Vérification de script intersite XML.

Pour plus d’informations sur l’utilisation de la ligne de commande pour configurer la vérification de sécurité de dépassement de tampon, consultez : Utilisation de la ligne de commande pour configurer la vérification de sécurité de dépassement de tampon.

Pour plus d’informations sur l’utilisation de l’interface graphique pour configurer la vérification de sécurité de dépassement de tampon, consultez : Configurer la vérification de sécurité de dépassement de tampon à l’aide de l’interface graphique de Citrix ADC.

Pour plus d’informations sur l’utilisation de la fonction de journalisation avec la vérification de sécurité de dépassement de tampon, consultez : Utilisation de la fonction de journalisation avec la vérification de sécurité de dépassement de tampon.

Pour plus d’informations sur les statistiques des violations de dépassement de tampon, consultez : Statistics for the Buffer Overflow Violations.

Pour plus d’informations sur les points forts de la vérification de sécurité du dépassement de tampon, consultez : Highlights.

Pour plus d’informations sur l’ajout ou la suppression d’un objet de signature, consultez : Adding or Removing a Signature Object.

Pour plus d’informations sur la création d’un objet de signatures à partir d’un modèle, consultez : To Create a Signatures Object from a Template.

Pour plus d’informations sur la création d’un objet de signatures en important un fichier, consultez : To Create a Signatures Object by Importing a File.

Pour plus d’informations sur la création d’un objet de signatures en important un fichier à l’aide de la ligne de commande, consultez : To Create a Signatures Object by Importing a File using the Command Line.

Pour plus d’informations sur la suppression d’un objet de signatures à l’aide de l’interface graphique, consultez : To Remove a Signatures Object by using the GUI.

Pour plus d’informations sur la suppression d’un objet de signatures à l’aide de la ligne de commande, consultez : To Remove a Signatures Object by using the Command Line.

Pour plus d’informations sur la configuration ou la modification d’un objet de signatures, consultez : Configuring or Modifying a Signatures Object.

Pour plus d’informations sur la mise à jour d’un objet de signature, consultez : Updating a Signature Object.

Pour plus d’informations sur l’utilisation de la ligne de commande pour mettre à jour les signatures du pare-feu d’applications Web à partir de la source, consultez : To Update the Web Application Firewall Signatures from the Source by using the Command Line.

Pour plus d’informations sur la mise à jour d’un objet de signatures à partir d’un fichier au format Citrix, consultez : Updating a Signatures Object from a Citrix Format File.

Pour plus d’informations sur la mise à jour d’un objet de signatures à partir d’un outil d’analyse des vulnérabilités pris en charge, consultez : Updating a Signatures Object from a Supported Vulnerability Scanning Tool.

Pour plus d’informations sur l’intégration des règles Snort, consultez : Snort Rule Integration.

Pour plus d’informations sur la configuration des règles Snort, consultez : Configure Snort Rules.

Pour plus d’informations sur la configuration de la gestion des bots à l’aide de la ligne de commande, consultez : Configurer la gestion des bots.

Pour plus d’informations sur la configuration des paramètres de gestion des bots pour la technique d’empreinte digitale de l’appareil, consultez : Configurer les paramètres de gestion des bots pour la technique d’empreinte digitale de l’appareil.

Pour plus d’informations sur la configuration des listes d’autorisation de bots à l’aide de l’interface graphique de Citrix ADC, consultez : Configurer la liste blanche de bots à l’aide de l’interface graphique de Citrix ADC.

Pour plus d’informations sur la configuration des listes de blocage de bots à l’aide de l’interface graphique de Citrix ADC, consultez : Configurer la liste noire de bots à l’aide de l’interface graphique de Citrix ADC.

Pour plus d’informations sur la configuration de la gestion des bots, consultez : Configurer la gestion des bots.

Prérequis

Avant de tenter de créer une instance VPX dans AWS, les utilisateurs doivent s’assurer qu’ils disposent des éléments suivants :

• Un compte AWS pour lancer une AMI Citrix ADC VPX dans un cloud privé virtuel (VPC) Amazon Web Services (AWS). Les utilisateurs peuvent créer un compte AWS gratuitement sur Amazon Web Services : AWS.

• Un compte utilisateur AWS Identity and Access Management (IAM) pour contrôler en toute sécurité l’accès aux services et ressources AWS pour les utilisateurs. Pour plus d’informations sur la création d’un compte utilisateur IAM, consultez la rubrique : Création d’utilisateurs IAM (Console).

Un rôle IAM est obligatoire pour les déploiements autonomes et à haute disponibilité. Le rôle IAM doit disposer des privilèges suivants :

• ec2:DescribeInstances

• ec2:DescribeNetworkInterfaces

• ec2:DetachNetworkInterface

• ec2:AttachNetworkInterface

• ec2:StartInstances

• ec2:StopInstances

• ec2:RebootInstances

• ec2:DescribeAddresses

• ec2:AssociateAddress

• ec2:DisassociateAddress

• ec2:AssignPrivateIpAddresses

• Autoscaling:*

• SNS:*

• SQS:*

• CloudWatch:*

• iam:SimulatePrincipalPolicy

• iam:GetRole

Pour plus d’informations sur les autorisations IAM, consultez : Stratégies gérées AWS pour les fonctions de tâche.

Si le modèle Citrix CloudFormation est utilisé, le rôle IAM est automatiquement créé. Le modèle ne permet pas de sélectionner un rôle IAM déjà créé.

Remarque :

Lorsque les utilisateurs se connectent à l’instance VPX via l’interface graphique, une invite de configuration des privilèges requis pour le rôle IAM apparaît. Ignorez l’invite si les privilèges ont déjà été configurés. Remarque :

L’AWS CLI est nécessaire pour utiliser toutes les fonctionnalités fournies par la console de gestion AWS à partir du programme de terminal. Pour plus d’informations, consultez le guide de l’utilisateur AWS CLI : Qu’est-ce que l’interface de ligne de commande AWS ?. Les utilisateurs ont également besoin de l’AWS CLI pour modifier le type d’interface réseau en SR-IOV.

Pour plus d’informations sur Citrix ADC et AWS, y compris la prise en charge de Citrix Networking VPX au sein d’AWS, consultez le guide de conception de référence validée Citrix ADC et Amazon Web Services : Citrix ADC and Amazon Web Services Validated Reference Design.

Limitations et directives d’utilisation

Les limitations et directives d’utilisation suivantes s’appliquent lors du déploiement d’une instance Citrix ADC VPX sur AWS :

• Les utilisateurs doivent lire la terminologie AWS listée ci-dessus avant de commencer un nouveau déploiement.

• La fonctionnalité de clustering n’est prise en charge que lorsqu’elle est provisionnée avec les groupes de mise à l’échelle automatique Citrix ADM.

• Pour que la configuration de haute disponibilité fonctionne efficacement, associez un périphérique NAT dédié à l’interface de gestion ou associez une adresse IP élastique (EIP) au NSIP. Pour plus d’informations sur NAT, dans la documentation AWS, consultez : NAT Instances.

• Le trafic de données et le trafic de gestion doivent être séparés avec des ENI appartenant à des sous-réseaux différents.

• Seule l’adresse NSIP doit être présente sur l’ENI de gestion.

• Si une instance NAT est utilisée pour la sécurité au lieu d’attribuer une EIP au NSIP, des modifications de routage au niveau du VPC sont nécessaires. Pour obtenir des instructions sur la modification du routage au niveau du VPC, dans la documentation AWS, consultez : Scénario 2 : VPC avec sous-réseaux publics et privés.

• Une instance VPX peut être déplacée d’un type d’instance EC2 à un autre (par exemple, de m3.large à m3.xlarge). Pour plus d’informations, visitez : Limitations et directives d’utilisation.

• Pour le support de stockage pour VPX sur AWS, Citrix recommande EBS, car il est durable et les données sont disponibles même après avoir été détachées de l’instance.

• L’ajout dynamique d’ENI à VPX n’est pas pris en charge. Redémarrez l’instance VPX pour appliquer la mise à jour. Citrix recommande aux utilisateurs d’arrêter l’instance autonome ou HA, d’attacher la nouvelle ENI, puis de redémarrer l’instance. L’ENI principale ne peut pas être modifiée ou attachée à un sous-réseau différent une fois déployée. Les ENI secondaires peuvent être détachées et modifiées selon les besoins lorsque le VPX est arrêté.

• Les utilisateurs peuvent attribuer plusieurs adresses IP à une ENI. Le nombre maximal d’adresses IP par ENI est déterminé par le type d’instance EC2, consultez la section « Adresses IP par interface réseau par type d’instance » dans Interfaces réseau élastiques : Elastic Network Interfaces. Les utilisateurs doivent allouer les adresses IP dans AWS avant de les attribuer aux ENI. Pour plus d’informations, consultez Interfaces réseau élastiques : Elastic Network Interfaces.

• Citrix recommande aux utilisateurs d’éviter d’utiliser les commandes d’activation et de désactivation d’interface sur les interfaces Citrix ADC VPX.

• Les commandes Citrix ADC set ha node \<NODE\_ID\> -haStatus STAYPRIMARY et set ha node \<NODE\_ID\> -haStatus STAYSECONDARY sont désactivées par défaut.

• IPv6 n’est pas pris en charge pour VPX.

• En raison des limitations d’AWS, ces fonctionnalités ne sont pas prises en charge :

  • ARP gratuit (GARP)

  • Mode L2 (pontage). Les serveurs virtuels transparents sont pris en charge avec L2 (réécriture MAC) pour les serveurs situés dans le même sous-réseau que le SNIP.

  • VLAN étiqueté

  • Routage dynamique

  • MAC virtuel

• Pour que RNAT, le routage et le serveur virtuel transparent fonctionnent, assurez-vous que la vérification source/destination est désactivée pour toutes les ENI dans le chemin de données. Pour plus d’informations, consultez « Modification de la vérification source/destination » dans Interfaces réseau élastiques : Interfaces réseau élastiques.

• Dans un déploiement Citrix ADC VPX sur AWS, dans certaines régions AWS, l’infrastructure AWS pourrait ne pas être en mesure de résoudre les appels d’API AWS. Cela se produit si les appels d’API sont émis via une interface non-gestion sur l’instance Citrix ADC VPX. Pour contourner ce problème, limitez les appels d’API à l’interface de gestion uniquement. Pour ce faire, créez un NSVLAN sur l’instance VPX et liez l’interface de gestion au NSVLAN à l’aide de la commande appropriée.

• Par exemple :

  • définir ns configuration -nsvlan <vlan id> -ifnum 1/1 -tagged NON

  • enregistrer configuration

• Redémarrez l’instance VPX à l’invite.

• Pour plus d’informations sur la configuration de nsvlan, consultez Configuration de NSVLAN : Configuring NSVLAN.

• Dans la console AWS, l’utilisation du vCPU affichée pour une instance VPX sous l’onglet Surveillance peut être élevée (jusqu’à 100 %), même lorsque l’utilisation réelle est bien inférieure. Pour afficher l’utilisation réelle du vCPU, accédez à Afficher toutes les métriques CloudWatch. Pour plus d’informations, consultez : Monitor your Instances using Amazon CloudWatch. Alternativement, si une faible latence et des performances ne sont pas une préoccupation, les utilisateurs peuvent activer la fonction CPU Yield permettant aux moteurs de paquets de rester inactifs lorsqu’il n’y a pas de trafic. Visitez le Citrix Support Knowledge Center pour plus de détails sur la fonction CPU Yield et comment l’activer.

Exigences techniques

Avant que les utilisateurs ne lancent le Guide de démarrage rapide pour commencer un déploiement, le compte utilisateur doit être configuré comme spécifié dans le tableau suivant. Dans le cas contraire, le déploiement pourrait échouer.

Ressources

Si nécessaire, connectez-vous au compte Amazon de l’utilisateur et demandez des augmentations de limites de service pour les ressources suivantes ici : AWS/Sign in. Vous pourriez avoir besoin de le faire si vous avez déjà un déploiement existant qui utilise ces ressources, et que vous pensez dépasser les limites par défaut avec ce déploiement. Pour les limites par défaut, consultez les quotas de service AWS dans la documentation AWS : AWS Service Quotas.

L’AWS Trusted Advisor, disponible ici : AWS/Sign in, propose une vérification des limites de service qui affiche l’utilisation et les limites pour certains aspects de certains services.

Régions

Citrix WAF sur AWS n’est pas actuellement pris en charge dans toutes les régions AWS. Pour une liste à jour des régions prises en charge, consultez les points de terminaison de service AWS dans la documentation AWS : Points de terminaison de service AWS.

Pour plus d’informations sur les régions AWS et l’importance de l’infrastructure cloud, consultez : Infrastructure mondiale.

Paire de clés

Assurez-vous qu’au moins une paire de clés Amazon EC2 existe dans le compte AWS de l’utilisateur, dans la région où les utilisateurs prévoient de déployer à l’aide du Guide de démarrage rapide. Notez le nom de la paire de clés. Ces informations seront demandées aux utilisateurs lors du déploiement. Pour créer une paire de clés, suivez les instructions pour les paires de clés Amazon EC2 et les instances Linux dans la documentation AWS : Paires de clés Amazon EC2 et instances Linux.

Si les utilisateurs déploient le Guide de démarrage rapide à des fins de test ou de preuve de concept, nous leur recommandons de créer une nouvelle paire de clés au lieu de spécifier une paire de clés déjà utilisée par une instance de production.