Concepts avancés

Guide de déploiement Citrix ADC VPX sur AWS

Vue d’ensemble

Citrix ADC est une solution de mise à disposition d’applications et d’équilibrage de charge qui fournit une expérience utilisateur de haute qualité pour les applications Web, traditionnelles et natives du cloud, quel que soit l’endroit où elles sont hébergées. Il est disponible dans une grande variété de formats et d’options de déploiement sans enfermer les utilisateurs dans une configuration ou un cloud unique. Les licences de capacité groupées permettent de déplacer la capacité entre les déploiements cloud.

En tant que leader incontesté de la fourniture de services et d’applications, Citrix ADC est déployé sur des milliers de réseaux à travers le monde pour optimiser, sécuriser et contrôler la fourniture de tous les services d’entreprise et de cloud. Déployé directement devant les serveurs Web et de base de données, Citrix ADC combine l’équilibrage de charge et la commutation de contenu à haute vitesse, la compression HTTP, la mise en cache de contenu, l’accélération SSL, la visibilité du flux d’applications et un puissant pare-feu applicatif dans une plate-forme intégrée et facile à utiliser. Il est beaucoup plus simple de respecter les SLA grâce à une surveillance de bout en bout qui transforme les données réseau en Business Intelligence exploitable. Citrix ADC permet de définir et de gérer les stratégies à l’aide d’un moteur de stratégie déclarative simple sans expertise en programmation requise.

Citrix ADC VPX

Le produit Citrix ADC VPX est une appliance virtuelle qui peut être hébergée sur une grande variété de plateformes de virtualisation et de cloud.

Ce guide de déploiement se concentre sur Citrix ADC VPX sur Amazon Web Services.

Amazon Web Services

Amazon Web Services (AWS) est une plateforme de cloud computing complète et évolutive fournie par Amazon qui comprend un mélange d’offres d’infrastructure en tant que service (IaaS), de plateforme en tant que service (PaaS) et de progiciel en tant que service (SaaS). Les services AWS proposent des outils tels que la puissance de calcul, le stockage de base de données et les services de diffusion de contenu

AWS propose les services essentiels suivants :

  • Services de calcul AWS

  • Services de migration

  • Stockage

  • Services de base de

  • Outils de gestion

  • Services de sécurité

  • Analyse

  • Mise en réseau

  • Messagerie

  • Outils pour développeurs

  • Services mobiles

Terminologie AWS

Voici une brève description des principaux termes utilisés dans ce document et que les utilisateurs doivent connaître :

  • Elastic Network Interface (ENI) : interface réseau virtuelle que les utilisateurs peuvent associer à une instance dans un Virtual Private Cloud (VPC).

  • Adresse IP élastique (EIP) : adresse IPv4 publique statique que les utilisateurs ont allouée dans Amazon EC2 ou Amazon VPC, puis attachée à une instance. Les adresses IP Elastic sont associées à des comptes utilisateur, et non à une instance spécifique. Ils sont élastiques car les utilisateurs peuvent facilement les allouer, les attacher, les détacher et les libérer en fonction de l’évolution de leurs besoins.

  • Sous-réseau : segment de la plage d’adresses IP d’un VPC auquel les instances EC2 peuvent être attachées. Les utilisateurs peuvent créer des sous-réseaux pour regrouper des instances en fonction des besoins opérationnels et de sécurité.

  • Virtual Private Cloud (VPC) : service Web permettant de provisionner une section logiquement isolée du cloud AWS où les utilisateurs peuvent lancer des ressources AWS dans un réseau virtuel qu’ils définissent.

Voici une brève description des autres termes utilisés dans ce document que les utilisateurs devraient connaître :

  • Amazon Machine Image (AMI) : image machine, qui fournit les informations requises pour lancer une instance, qui est un serveur virtuel dans le cloud.

  • Elastic Block Store — Fournit des volumes de stockage en mode bloc persistants à utiliser avec les instances Amazon EC2 dans le cloud AWS.

  • Simple Storage Service (S3) : stockage pour Internet. Il est conçu pour faciliter l’informatique à l’échelle du Web pour les développeurs.

  • Elastic Compute Cloud (EC2) : service Web qui fournit une capacité de calcul sécurisée et redimensionnable dans le cloud. Il est conçu pour faciliter le cloud computing à l’échelle du Web pour les développeurs.

  • Elastic Kubernetes Service (EKS) — Amazon EKS est un service géré qui permet aux utilisateurs d’exécuter facilement Kubernetes sur AWS sans avoir à mettre en place ou à maintenir leur propre plan de contrôle Kubernetes. Amazon EKS exécute des instances de plan de contrôle Kubernetes dans plusieurs zones de disponibilité afin de garantir une haute disponibilité. Amazon EKS est un service géré qui permet aux utilisateurs d’exécuter facilement Kubernetes sur AWS sans avoir à installer et exploiter leurs propres clusters Kubernetes.

  • Équilibrage de charge d’application (ALB) : Amazon ALB fonctionne au niveau de la couche 7 de la pile OSI. Il est donc utilisé lorsque les utilisateurs souhaitent acheminer ou sélectionner le trafic en fonction des éléments de la connexion HTTP ou HTTPS, qu’il s’agisse d’un hôte ou d’un chemin. La connexion ALB est sensible au contexte et peut avoir des demandes directes basées sur n’importe quelle variable. Les applications sont équilibrées en fonction de leur comportement particulier et pas uniquement en fonction des informations du serveur (système d’exploitation ou couche de virtualisation).

  • Elastic Load Balancing (ALB/ELB/NLB) — Amazon ELB distribue le trafic applicatif entrant sur plusieurs instances EC2, dans plusieurs zones de disponibilité. Cela augmente la tolérance aux pannes des applications utilisateur.

  • Équilibrage de charge réseau (NLB) — Amazon NLB fonctionne au niveau de la couche 4 de la pile OSI et n’est pas conçu pour prendre en compte les éléments au niveau de l’application tels que le type de contenu, les données des cookie, les en-têtes personnalisés, l’emplacement de l’utilisateur ou le comportement de l’application. Il est sans contexte et ne se préoccupe que des informations de la couche réseau contenues dans les paquets qu’il dirige. Il distribue le trafic en fonction de variables réseau telles que l’adresse IP et les ports de destination.

  • Type d’instance : Amazon EC2 propose une large sélection de types d’instances optimisés pour s’adapter à différents cas d’utilisation. Les types d’instances comprennent différentes combinaisons de CPU, de mémoire, de stockage et de capacité réseau et offrent aux utilisateurs la flexibilité de choisir la combinaison de ressources appropriée pour leurs applications.

  • Identity and Access Management (IAM) : identité AWS avec des stratégies d’autorisation qui déterminent ce que l’identité peut et ne peut pas faire dans AWS. Les utilisateurs peuvent utiliser un rôle IAM pour permettre aux applications exécutées sur une instance EC2 d’accéder en toute sécurité à leurs ressources AWS. Le rôle IAM est requis pour déployer des instances VPX dans une configuration haute disponibilité.

  • Passerelle Internet — Connecte un réseau à Internet. Les utilisateurs peuvent acheminer le trafic pour les adresses IP en dehors de leur VPC vers la passerelle Internet.

  • Paire de clés : ensemble d’informations d’identification de sécurité avec lesquelles les utilisateurs prouvent leur identité par voie électronique. Une paire de clés se compose d’une clé privée et d’une clé publique.

  • Table de routage : ensemble de règles de routage qui contrôle le trafic sortant de tout sous-réseau associé à la table de routage. Les utilisateurs peuvent associer plusieurs sous-réseaux à une seule table de routage, mais un sous-réseau ne peut être associé qu’à une seule table de routage à la fois.

  • Groupes de mise à l’échelle automatique : service Web permettant de lancer ou de mettre fin automatiquement aux instances Amazon EC2 en fonction des stratégies, des calendriers et des bilans de santé définis par l’utilisateur.

  • CloudFormation — Service d’écriture ou de modification de modèles qui crée et supprime les ressources AWS associées en tant qu’unité.

  • Web Application Firewall (WAF) : WAF est défini comme une solution de sécurité protégeant la couche applicative Web dans le modèle de réseau OSI. Un WAF ne dépend pas de l’application qu’il protège. Ce document se concentre sur l’exposition et l’évaluation des méthodes et fonctions de sécurité fournies spécifiquement par Citrix WAF.

  • Bot : un bot est défini comme un appareil, un programme ou un logiciel autonome sur un réseau (en particulier Internet) qui peut interagir avec des systèmes informatiques ou des utilisateurs pour exécuter des commandes, répondre à des messages ou effectuer des tâches de routine. Un bot est un logiciel sur Internet qui exécute des tâches répétitives. Certains robots peuvent être bons, tandis que d’autres peuvent avoir un impact négatif énorme sur un site Web ou une application.

Exemple d’architecture Citrix WAF sur AWS

Architecture pour Citrix WAF sur AWS pour le déploiement en production

L’image précédente montre un cloud privé virtuel (VPC) avec des paramètres par défaut qui crée un environnement Citrix WAF dans le cloud AWS.

Dans un déploiement de production, les paramètres suivants sont définis pour l’environnement Citrix WAF :

  • Cette architecture suppose l’utilisation d’un modèle AWS CloudFormation et d’un guide de démarrage rapide AWS, disponibles ici : GitHub/AWS-QuickStart/QuickStart-Citrix-ADC-VPX.

  • Un VPC qui couvre deux zones de disponibilité, configuré avec deux sous-réseaux publics et quatre sous-réseaux privés, conformément aux bonnes pratiques AWS, afin de vous fournir votre propre réseau virtuel sur AWS avec un bloc de routage inter-domaine sans classe (CIDR) /16 (un réseau avec 65 536 adresses IP privées) . *

  • Deux instances de Citrix WAF (principale et secondaire), une dans chaque zone de disponibilité.

  • Trois groupes de sécurité, un pour chaque interface réseau (gestion, client, serveur), qui agissent comme des pare-feu virtuels pour contrôler le trafic pour leurs instances associées.

  • Trois sous-réseaux, pour chaque instance : un pour la gestion, un pour le client et un pour le serveur principal.

  • Une passerelle Internet connectée au VPC et une table de routage de sous-réseaux publics qui est associée à des sous-réseaux publics afin de permettre l’accès à Internet. Cette passerelle est utilisée par l’hôte WAF pour envoyer et recevoir du trafic. Pour plus d’informations sur les passerelles Internet, voir : Passerelles Internet. *

  • 5 tables de routage : une table de routage publique associée aux sous-réseaux clients du WAF primaire et secondaire. Les 4 tables de routage restantes sont reliées à chacun des 4 sous-réseaux privés (sous-réseaux de gestion et sous-réseaux côté serveur du WAF primaire et secondaire) . *

  • AWS Lambda dans WAF prend en charge les tâches suivantes :

    • Configuration de deux WAF dans chaque zone de disponibilité du mode HA

    • Créer un exemple de profil WAF et ainsi pousser cette configuration par rapport au WAF

  • AWS Identity and Access Management (IAM) pour contrôler en toute sécurité l’accès aux services et ressources AWS pour vos utilisateurs. Par défaut, le modèle CloudFormation (CFT) crée le rôle IAM requis. Toutefois, les utilisateurs peuvent fournir leur propre rôle IAM pour les instances Citrix ADC.

  • Dans les sous-réseaux publics, deux passerelles de traduction d’adresses réseau (NAT) gérées permettent l’accès Internet sortant aux ressources des sous-réseaux publics.

Remarque :

Le modèle CFT WAF qui déploie le Citrix WAF dans un VPC existant ignore les composants marqués d’un astérisque et invite les utilisateurs à entrer leur configuration VPC existante.

Les serveurs principaux ne sont pas déployés par le CFT.

Flux logique de Citrix WAF sur AWS

Schéma logique de Citrix WAF sur AWS

Flux logique

Le Web Application Firewall peut être installé en tant que périphérique réseau de couche 3 ou en tant que pont réseau de couche 2 entre les serveurs du client et les utilisateurs du client, généralement derrière le routeur ou le pare-feu de l’entreprise cliente. Il doit être installé dans un emplacement où il peut intercepter le trafic entre les serveurs Web que les utilisateurs souhaitent protéger et le hub ou le commutateur par lequel les utilisateurs accèdent à ces serveurs Web. Les utilisateurs configurent ensuite le réseau pour envoyer des requêtes au Web Application Firewall plutôt que directement à leurs serveurs Web, et des réponses au Web Application Firewall plutôt que directement à leurs utilisateurs. Le Web Application Firewall filtre ce trafic avant de le transférer vers sa destination finale, en utilisant à la fois son ensemble de règles internes et les ajouts et modifications de l’utilisateur. Il bloque ou rend inoffensif toute activité qu’il détecte comme nuisible, puis transfère le trafic restant au serveur Web. L’image précédente donne un aperçu du processus de filtrage.

Remarque :

Le diagramme omet l’application d’une stratégie au trafic entrant. Il illustre une configuration de sécurité dans laquelle la stratégie est de traiter toutes les demandes. De plus, dans cette configuration, un objet signatures a été configuré et associé au profil, et des vérifications de sécurité ont été configurées dans le profil.

Comme le montre le diagramme, lorsqu’un utilisateur demande une URL sur un site Web protégé, le Web Application Firewall examine d’abord la demande pour s’assurer qu’elle ne correspond pas à une signature. Si la demande correspond à une signature, le Web Application Firewall affiche l’objet d’erreur (une page Web située sur le dispositif Web Application Firewall et que les utilisateurs peuvent configurer à l’aide de la fonction d’importation) ou transmet la demande à l’URL d’erreur désignée (la page d’erreur).

Si une demande réussit l’inspection de signature, le Web Application Firewall applique les contrôles de sécurité des demandes qui ont été activés. Les contrôles de sécurité de la demande vérifient que la demande est appropriée pour le site Web ou le service Web de l’utilisateur et qu’elle ne contient aucun élément susceptible de constituer une menace. Par exemple, les vérifications de sécurité examinent la demande pour détecter des signes indiquant qu’elle peut être d’un type inattendu, demander du contenu inattendu ou contenir des données de formulaire Web, des commandes SQL ou des scripts inattendus et éventuellement malveillants. Si la demande échoue à un contrôle de sécurité, le Web Application Firewall nettoie la demande, puis la renvoie à l’appliance Citrix ADC (ou à l’appliance virtuelle Citrix ADC), ou affiche l’objet d’erreur. Si la demande réussit les vérifications de sécurité, elle est renvoyée à l’appliance Citrix ADC, qui termine tout autre traitement et transfère la demande au serveur Web protégé.

Lorsque le site Web ou le service Web envoie une réponse à l’utilisateur, le Web Application Firewall applique les contrôles de sécurité des réponses qui ont été activés. Les contrôles de sécurité de réponse examinent la réponse pour détecter les fuites d’informations privées sensibles, les signes de dégradation du site Web ou tout autre contenu qui ne devrait pas être présent. Si la réponse échoue à un contrôle de sécurité, le Web Application Firewall supprime le contenu qui ne devrait pas être présent ou bloque la réponse. Si la réponse réussit les vérifications de sécurité, elle est renvoyée à l’appliance Citrix ADC, qui la transmet à l’utilisateur.

Coûts et licences

Les utilisateurs sont responsables du coût des services AWS utilisés lors de l’exécution des déploiements AWS. Les modèles AWS CloudFormation qui peuvent être utilisés pour ce déploiement incluent des paramètres de configuration que les utilisateurs peuvent personnaliser selon les besoins. Certains de ces paramètres, tels que le type d’instance, ont une incidence sur le coût du déploiement. Pour les estimations de coûts, les utilisateurs doivent consulter les pages de tarification de chaque service AWS qu’ils utilisent. Les prix sont sujets à changement.

Un WAF Citrix ADC sur AWS nécessite une licence. Pour obtenir une licence Citrix WAF, les utilisateurs doivent placer la clé de licence dans un compartiment S3 et spécifier son emplacement lorsqu’ils lancent le déploiement.

Remarque :

Lorsque les utilisateurs choisissent le modèle de licence BYOL (Bring your own license), ils doivent s’assurer qu’une fonctionnalité AppFlow est activée. Pour plus d’informations sur les licences BYOL, consultez : AWS Marketplace/Citrix ADC VPX - Licence client.

Les options de licence suivantes sont disponibles pour Citrix ADC WAF exécuté sur AWS. Les utilisateurs peuvent choisir une AMI (Amazon Machine Image) en fonction d’un seul facteur, tel que le débit.

  • Modèle de licence : Pay as You Go (PAYG, pour les licences de production) ou Bring Your Own License (BYOL, pour l’AMI sous licence client - Citrix ADC Pooled Capacity). Pour plus d’informations sur Citrix ADC Pooled Capacity, voir : Citrix ADC Pooled Capacity.

    • Pour BYOL, il existe 3 modes de licence :

      Conseil :

      Si les utilisateurs choisissent le système de licence CICO avec le type de plate-forme d’application VPX-200, VPX-1000, VPX-3000, VPX-5000 ou VPX-8000, ils doivent s’assurer qu’ils disposent de la même licence de débit présente sur leur serveur de licences ADM.

Remarque :

Si les utilisateurs souhaitent modifier dynamiquement la bande passante d’une instance VPX, ils doivent sélectionner une option BYOL, par exemple la capacité groupée Citrix ADC où ils peuvent allouer les licences de Citrix ADM, ou ils peuvent récupérer les licences des instances Citrix ADC conformément à la capacité minimale et maximale de l’instance à la demande et sans redémarrage. Un redémarrage n’est requis que si les utilisateurs souhaitent modifier l’édition de la licence.

  • Débit : 200 Mbits/s ou 1 Gbit/s

  • Offre groupée : Premium

Options de déploiement

Ce guide de déploiement propose deux options de déploiement :

  • La première option consiste à déployer à l’aide du format Guide de démarrage rapide et des options suivantes :

    • Déployez Citrix WAF dans un nouveau VPC (déploiement de bout en bout). Cette option crée un nouvel environnement AWS composé du VPC, des sous-réseaux, des groupes de sécurité et d’autres composants de l’infrastructure, puis déploie Citrix WAF dans ce nouveau VPC.

    • Déployez Citrix WAF dans un VPC existant. Cette option met en service Citrix WAF dans l’infrastructure AWS existante de l’utilisateur.

  • La deuxième option consiste à déployer à l’aide de WAF StyleBooks à l’aide de Citrix ADM

Étapes de déploiement utilisant un guide de démarrage rapide

Étape 1 : Connectez-vous au compte AWS de l’utilisateur

  • Connectez-vous au compte utilisateur sur AWS : AWS avec un rôle utilisateur IAM (Identity and Access Management) qui possède les autorisations nécessaires pour créer un compte Amazon (si nécessaire) ou se connecter à un compte Amazon.

  • Utilisez le sélecteur de région dans la barre de navigation pour choisir la région AWS dans laquelle les utilisateurs souhaitent déployer la haute disponibilité dans les zones de disponibilité AWS.

  • Assurez-vous que le compte AWS de l’utilisateur est correctement configuré. Reportez-vous à la section Exigences techniques de ce document pour plus d’informations.

Étape 2 : S’abonner à l’AMI Citrix WAF

  • Ce déploiement nécessite un abonnement à l’AMI pour Citrix WAF sur AWS Marketplace.

  • Connectez-vous au compte AWS de l’utilisateur.

  • Ouvrez la page de l’offre Citrix WAF en choisissant l’un des liens du tableau suivant.

    • Lorsque les utilisateurs lancent le Guide de démarrage rapide dans pour déployer Citrix WAF à l’étape 3 ci-dessous, ils utilisent le paramètre Image Citrix WAF pour sélectionner l’option de bundle et de débit qui correspond à leur abonnement AMI. La liste suivante répertorie les options de l’AMI et les paramètres correspondants. L’instance AMI VPX nécessite au moins 2 processeurs virtuels et 2 Go de mémoire.

Remarque :

Pour récupérer l’ID d’AMI, consultez la page Produits Citrix sur AWS Marketplace sur GitHub : Produits Citrix sur AWS Marketplace.

Page AWS Marketplace pour un pare-feu d'application Web (WAF) Citrix

  • Passez en revue les termes et conditions d’utilisation du logiciel, puis choisissez Accepter les termes.

Acceptation des termes du contrat de licence utilisateur Citrix WAF

Remarque :

Les utilisateurs reçoivent une page de confirmation et un e-mail de confirmation est envoyé au propriétaire du compte. Pour obtenir des instructions d’abonnement détaillées, consultez Getting Started dans la documentation AWS Marketplace : Getting Started.

  • Lorsque le processus d’abonnement est terminé, quittez AWS Marketplace sans autre action. Ne mettez pas en service le logiciel depuis AWS Marketplace. Les utilisateurs déploieront l’AMI à l’aide du guide de démarrage rapide.

Étape 3 : Lancer le guide de démarrage rapide pour déployer l’AMI

Important :

Si les utilisateurs déploient Citrix WAF dans un VPC existant, ils doivent s’assurer que leur VPC couvre deux zones de disponibilité, avec un sous-réseau public et deux sous-réseaux privés dans chaque zone de disponibilité pour les instances de charge de travail, et que les sous-réseaux ne sont pas partagés. Ce guide de déploiement ne prend pas en charge les sous-réseaux partagés, voir Working with Shared VPC : Working with Shared VPC. Ces sous-réseaux nécessitent des passerelles NAT dans leurs tables de routage pour permettre aux instances de télécharger des packages et des logiciels sans les exposer à Internet. Pour plus d’informations sur les passerelles NAT, voir : Passerelles NAT. Configurez les sous-réseaux afin qu’il n’y ait pas de chevauchement de sous-réseaux.

Les utilisateurs doivent également s’assurer que l’option de nom de domaine dans les options DHCP est configurée comme expliqué dans la documentation Amazon VPC disponible ici : DHCP Options Sets : DHCP Options Sets. Les utilisateurs sont invités à entrer leurs paramètres VPC lorsqu’ils lancent le guide de démarrage rapide.

  • Chaque déploiement prend environ 15 minutes.

  • Vérifiez la région AWS qui s’affiche dans le coin supérieur droit de la barre de navigation et modifiez-la si nécessaire. C’est là que l’infrastructure réseau de Citrix WAF sera construite. Le modèle est lancé par défaut dans la région USA Est (Ohio).

Remarque :

Ce déploiement inclut Citrix WAF, qui n’est actuellement pas pris en charge dans toutes les régions AWS. Pour obtenir la liste actuelle des régions prises en charge, consultez le document AWS Service Endpoints : AWS Service Endpoints.

  • Sur la page Select Template, conservez le paramètre par défaut pour l’URL du modèle, puis choisissez Next.

  • Sur la page Spécifier les détails, spécifiez le nom de la pile selon la commodité de l’utilisateur. Passez en revue les paramètres du modèle. Fournissez des valeurs pour les paramètres qui nécessitent une entrée. Pour tous les autres paramètres, passez en revue les paramètres par défaut et personnalisez-les si nécessaire.

  • Dans le tableau suivant, les paramètres sont répertoriés par catégorie et décrits séparément pour l’option de déploiement :

  • Paramètres de déploiement de Citrix WAF dans un VPC nouveau ou existant (option de déploiement 1)

  • Lorsque les utilisateurs ont fini de vérifier et de personnaliser les paramètres, ils doivent choisir Suivant.

Paramètres de déploiement de Citrix WAF dans un nouveau VPC

Configuration réseau VPC

Pour obtenir des informations de référence sur ce déploiement, reportez-vous au modèle CFT ici : AWS-QuickStart/QuickStart-Citrix-ADC-WAF/Templates.

Libellé du paramètre (nom) Défaut Description
Zone de disponibilité principale (PrimaryAvailabilityZone) Nécessite des La zone de disponibilité pour le déploiement principal de Citrix WAF
Zone de disponibilité secondaire (SecondaryAvailabilityZone) Nécessite des La zone de disponibilité pour le déploiement secondaire de Citrix WAF
CIDR VPC (VPCCIDR) 10.0.0.0/16 Bloc d’adresse CIDR pour le VPC. Il doit s’agir d’une plage d’adresses CIDR IP valide de la forme x.x.x.x/x.
IP CIDR SSH distante (gestion) (RestrictedSSHCIDR) Nécessite des Plage d’adresses IP qui peut établir une connexion SSH avec l’instance EC2 (port : 22).
    Par exemple, l’utilisation de 0.0.0.0/0 permet à toutes les adresses IP d’accéder à l’instance utilisateur via SSH ou RDP. Remarque : Autorisez uniquement une adresse IP ou une plage d’adresses spécifiques pour accéder à l’instance utilisateur, car son utilisation en production n’est pas sûre.
IP CIDR HTTP distante (client) (RestrictedWebAppCidr) 0.0.0.0/0 La plage d’adresses IP qui peut accéder via HTTP à l’instance EC2 (port : 80)
IP CIDR HTTP distante (client) (RestrictedWebAppCidr) 0.0.0.0/0 La plage d’adresses IP qui peut accéder via HTTP à l’instance EC2 (port : 80)
CIDR de sous-réseau privé de gestion primaire (PrimaryManagementPrivateSubnetCIDR) 10.0.1.0/24 Bloc CIDR pour le sous-réseau de gestion principal situé dans la zone de disponibilité 1.
IP privée de gestion principale (PrimaryManagementPrivateIP) IP privée attribuée à l’ENI de gestion principale (le dernier octet doit être compris entre 5 et 254) à partir du CIDR du sous-réseau de gestion principal.
CIDR de sous-réseau public du client principal (PrimaryClientPublicSubnetCIDR) 10.0.2.0/24 Bloc d’adresse CIDR pour le sous-réseau du client principal situé dans la zone de disponibilité 1.
IP privée du client principal (PrimaryClientPrivateIP) IP privée attribuée à l’ENI du client principal (le dernier octet doit être compris entre 5 et 254) à partir de l’adresse IP du client principal à partir de l’adresse CIDR du sous-réseau du client principal.
CIDR de sous-réseau privé du serveur principal (PrimaryServerPrivateSubnetCIDR) 10.0.3.0/24 Bloc d’adresse CIDR pour le serveur principal situé dans la zone de disponibilité 1.
IP privée du serveur principal (PrimaryServerPrivateIP) IP privée attribuée à l’ENI du serveur primaire (le dernier octet doit être compris entre 5 et 254) à partir de l’adresse CIDR du sous-réseau du serveur primaire.
CIDR de sous-réseau privé de gestion secondaire (SecondaryManagementPrivateSubnetCIDR) 10.0.4.0/24 Bloc CIDR pour le sous-réseau de gestion secondaire situé dans la zone de disponibilité 2.
IP privée de gestion secondaire (SecondaryManagementPrivateIP) IP privée attribuée à l’ENI de gestion secondaire (le dernier octet doit être compris entre 5 et 254). Il allouerait une adresse IP de gestion secondaire à partir du CIDR du sous-réseau de gestion secondaire.
CIDR de sous-réseau public du client secondaire (SecondaryClientPublicSubnetCIDR) 10.0.5.0/24 Bloc d’adresse CIDR pour le sous-réseau client secondaire situé dans la zone de disponibilité 2.
IP privée du client secondaire (SecondaryClientPrivateIP) IP privée attribuée à l’ENI du client secondaire (le dernier octet doit être compris entre 5 et 254). Il allouerait l’adresse IP du client secondaire à partir du CIDR du sous-réseau du client secondaire.
CIDR de sous-réseau privé du serveur secondaire (SecondaryServerPrivateSubnetCIDR) 10.0.6.0/24 Bloc CIDR pour le sous-réseau du serveur secondaire situé dans la zone de disponibilité 2.
IP privée du serveur secondaire (SecondaryServerPrivateIP) IP privée attribuée à l’ENI du serveur secondaire (le dernier octet doit être compris entre 5 et 254). Il allouerait l’adresse IP du serveur secondaire à partir du CIDR du sous-réseau du serveur secondaire.
Attribut de location de VPC (VPCTenancy) default Location autorisée des instances lancées dans le VPC. Choisissez Dedicated tenancy pour lancer des instances EC2 dédiées à un seul client.

Configuration de l’hôte Bastion

Libellé du paramètre (nom) Défaut Description
Hôte Bastion requis (LinuxBastionHosteIP) Non Par défaut, aucun hôte bastion n’est configuré. Mais si les utilisateurs souhaitent opter pour le déploiement sandbox, sélectionnez « oui » dans le menu qui déploierait un hôte Linux Bastion dans le sous-réseau public avec une adresse IP IP qui donnerait aux utilisateurs l’accès aux composants du sous-réseau privé et public.

Configuration de Citrix WAF

Libellé du paramètre (nom) Défaut Description
Nom de la paire de clés (KeyPairName) Nécessite des Une paire de clés publique/privée, qui permet aux utilisateurs de se connecter en toute sécurité à l’instance utilisateur après son lancement. Il s’agit de la paire de clés créée par les utilisateurs dans leur région AWS préférée ; consultez la section Exigences techniques.
Type d’instance Citrix ADC (CitrixADCInstanceType) m4.xlarge Type d’instance EC2 à utiliser pour les instances ADC. Assurez-vous que le type d’instance choisi correspond aux types d’instances disponibles sur AWS Marketplace, sinon le CFT risque d’échouer.
ID d’AMI Citrix ADC (CitrixADCImageID) L’AMI AWS Marketplace à utiliser pour le déploiement de Citrix WAF. Cela doit correspondre aux utilisateurs de l’AMI auxquels ils sont abonnés à l’étape 2.
Rôle IAM Citrix ADC VPX (iam:GetRole) Ce modèle : AWS-QuickStart/QuickStart-Citrix-ADC-VPX/Templates crée le rôle IAM et le profil d’instance requis pour Citrix ADC VPX. S’il est laissé vide, CFT crée le rôle IAM requis.
IPpublique du client (EIP) (ClientPublicEIP) Non Sélectionnez « Oui » si les utilisateurs souhaitent attribuer une adresse IP publique à l’interface réseau client utilisateur. Sinon, même après le déploiement, les utilisateurs ont toujours la possibilité de l’attribuer ultérieurement si nécessaire.

Configuration des licences groupées

|Libellé du paramètre (nom)|Défaut|Description| |:—|:—|:—| |Licences groupées ADM|Non|Si vous choisissez l’option BYOL pour les licences, sélectionnez Oui dans la liste. Cela permet aux utilisateurs de télécharger leurs licences déjà achetées. Avant de commencer, les utilisateurs doivent configurer la capacité groupée Citrix ADC pour s’assurer que les licences groupées ADM sont disponibles, voir : Configurer la capacité groupée Citrix ADC.| |Adm accessible/IP de l’agent ADM|Nécessite une entrée|Pour l’option Licence client, si les utilisateurs déploient Citrix ADM sur- prem ou un agent dans le cloud, assurez-vous d’avoir une adresse IP ADM accessible qui sera ensuite utilisée comme paramètre d’entrée. | |Mode de licence|Optionnel|Les utilisateurs peuvent choisir parmi les 3 modes de licence :

  • Configurer la capacité groupée Citrix ADC : Configurer la capacité groupée Citrix ADC
  • Licences d’enregistrement et de retrait Citrix ADC VPX (CICO) : Licences d’enregistrement et de retrait Citrix ADC VPX
  • Licences CPU virtuelles Citrix ADC : Licences CPU virtuelles Citrix ADC| |Bande passante de licence en Mbps|0 Mbps|Seulement si le mode de licence est Licences groupées, ce champ apparaît dans l’image. Il alloue une bande passante initiale de la licence en Mbps à allouer après la création des ADC BYOL. Il doit être un multiple de 10 Mbps. | |Édition de licence|Premium|L’édition de licence pour le mode de licence de capacité groupée est Premium| |Type de plate-forme d’appliance|Optionnel|Choisissez le type de plate-forme d’appliance requis, uniquement si les utilisateurs optent pour le mode de licence CICO. Les utilisateurs obtiennent les options listées : VPX-200, VPX-1000, VPX-3000, VPX-5000, VPX-8000| |Édition de licence|Premium|L’édition de licence pour les licences basées sur vCPU est Premium.|

Configuration du guide de démarrage rapide AWS

Remarque :

Nous recommandons aux utilisateurs de conserver les paramètres par défaut pour les deux paramètres suivants, sauf s’ils personnalisent les modèles du Guide de démarrage rapide pour leurs propres projets de déploiement. La modification des paramètres de ces paramètres met automatiquement à jour les références de code pour pointer vers un nouvel emplacement du guide de démarrage rapide. Pour plus de détails, consultez le guide de démarrage rapide AWS Contributor’s Guide situé ici : AWS Quick Starts/Option 1 - Adopt a Quick Start.

Libellé du paramètre (nom) Défaut Description
Guide de démarrage rapideNom du compartimentS3 (QSS3BucketName) aws-quickstart Les utilisateurs du compartiment S3 créés pour leur copie des ressources du guide de démarrage rapide, si les utilisateurs décident de personnaliser ou d’étendre le guide de démarrage rapide pour leur propre usage. Le nom du compartiment peut inclure des chiffres, des lettres minuscules, des lettres majuscules et des traits d’union, mais ne doit pas commencer ni se terminer par un trait d’union.
Guide de démarrage rapide Préfixe de clé S3 (QSS3KeyPrefix) démarrage rapide citrix-adc-vpx/ Le préfixe de nom de clé S3, issu de la clé d’objet et métadonnées : clé d’objet et métadonnées, est utilisé pour simuler un dossier pour la copie utilisateur des ressources du Guide de démarrage rapide, si les utilisateurs décident de personnaliser ou d’étendre le guide de démarrage rapide pour leur propre usage. Ce préfixe peut inclure des chiffres, des lettres minuscules, des lettres majuscules, des traits d’union et des barres obliques.
  • Sur la page Options, les utilisateurs peuvent spécifier une balise de ressource ou une paire clé-valeur pour les ressources de votre pile et définir des options avancées. Pour plus d’informations sur les balises de ressources, voir : Resource Tag. Pour plus d’informations sur la définition des options AWS CloudFormation Stack, voir : Setting AWS CloudFormation Stack Options. Lorsque les utilisateurs ont terminé, ils doivent choisir Next.

  • Sur la page Révision, vérifiez et confirmez les paramètres du modèle. Sous Capabilities, cochez les deux cases pour confirmer que le modèle crée des ressources IAM et qu’il peut nécessiter la capacité de développer automatiquement des macros.

  • Choisissez Create pour déployer la pile.

  • Surveillez l’état de la pile. Lorsque l’état est CREATE_COMPLETE, l’instance Citrix WAF est prête.

  • Utilisez les URL affichées dans l’onglet Sorties de la pile pour afficher les ressources qui ont été créées.

Sorties Citrix WAF après un déploiement réussi

Étape 4 : Tester le déploiement

Dans ce déploiement, nous appelons les instances principales et secondaires. Chaque instance possède des adresses IP différentes qui lui sont associées. Lorsque le Quick Start a été déployé avec succès, le trafic passe par l’instance principale Citrix WAF configurée dans la zone de disponibilité 1. Pendant les conditions de basculement, lorsque l’instance principale ne répond pas aux demandes du client, l’instance WAF secondaire prend le relais.

L’adresse IP Elastic de l’adresse IP virtuelle de l’instance principale migre vers l’instance secondaire, qui prend le relais en tant que nouvelle instance principale.

Dans le processus de basculement, Citrix WAF effectue les opérations suivantes :

  • Citrix WAF vérifie les serveurs virtuels auxquels sont attachés des ensembles d’adresses IP.

  • Citrix WAF trouve l’adresse IP associée à une adresse IP publique parmi les deux adresses IP que le serveur virtuel écoute. L’un qui est directement connecté au serveur virtuel et l’autre qui est connecté via l’ensemble d’adresses IP.

  • Citrix WAF associe de nouveau l’adresse IP Elastic publique à l’adresse IP privée qui appartient à la nouvelle adresse IP virtuelle principale.

Pour valider le déploiement, effectuez les opérations suivantes :

  • Connectez-vous à l’instance principale

Par exemple, avec un serveur proxy, un hôte de saut (une instance Linux/Windows/FW exécutée dans AWS, ou l’hôte Bastion), ou un autre appareil accessible à ce VPC ou Direct Connect s’il s’agit d’une connectivité sur site.

  • Exécutez une action de déclenchement pour forcer le basculement et vérifier si l’instance secondaire prend le relais.

Conseil :

Pour valider davantage la configuration par rapport à Citrix WAF, exécutez la commande suivante après vous être connecté à l’ instance principale Citrix WAF :

Sh appfw profile QS-Profile

Connectez-vous à la paire HA Citrix WAF à l’aide de Bastion Host

Si les utilisateurs optent pour le déploiement Sandbox (par exemple, dans le cadre de CFT, les utilisateurs optent pour la configuration d’un hôte Bastion), un hôte bastion Linux déployé dans un sous-réseau public sera configuré pour accéder aux interfaces WAF.

Dans la console AWS CloudFormation, accessible en vous connectant ici : Connectez-vous, choisissez la pile principale et, dansl’onglet Outputs, recherchez la valeur de LinuxBastionHosteIP1.

Ressources de déploiement de paires HA Citrix WAF

  • Valeur des clésPrivateManagementPrivateNSIPet PrimaryADCINstanceID à utiliser dans les étapes ultérieures pour SSH dans l’ADC.

  • Choisissez Services.

  • Dans l’onglet Calcul, sélectionnez EC2.

    • Sous Resources, choisissez Running Instances.

    • Dans l’onglet Description de l’instance WAF principale, notez l’adresse IP publique IPv4 . Les utilisateurs ont besoin de cette adresse IP pour créer la commande SSH.

Console Amazon EC2 avec description de l'instance principale

  • Pour enregistrer la clé dans le trousseau de l’utilisateur, exécutez la commande ssh-add -K [your-key-pair].pem

Sous Linux, les utilisateurs peuvent avoir besoin d’omettre l’indicateur -K.

  • Connectez-vous à l’hôte bastion à l’aide de la commande suivante, en utilisant la valeur pour LinuxBastionHosteIP1 que les utilisateurs ont notée à l’étape 1.

ssh -A ubuntu@[LinuxBastionHostEIP1]

  • À partir de l’hôte Bastion, les utilisateurs peuvent se connecter à l’instance WAF principale à l’aide de SSH.

ssh nsroot@[Primary Management Private NSIP]

Mot de passe : [ID de l’instance ADC principale]

Connexion à l'instance principale de Citrix WAF

Les utilisateurs sont désormais connectés à l’instance principale de Citrix WAF. Pour voir les commandes disponibles, les utilisateurs peuvent exécuter la commande help. Pour afficher la configuration HA actuelle, les utilisateurs peuvent exécuter la commande show HA node.

Citrix Application Delivery Management

Citrix Application Delivery Management Service (Citrix ADM) fournit une solution simple et évolutive pour gérer les déploiements Citrix ADC qui incluent Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway, Citrix ADC SDX, Citrix ADC CPX et Citrix SD-WAN déployés sur site ou sur le cloud.

Les utilisateurs peuvent utiliser cette solution cloud pour gérer, surveiller et dépanner l’ensemble de l’infrastructure mondiale de distribution d’applications à partir d’une console cloud unique, unifiée et centralisée. Le service Citrix ADM fournit toutes les fonctionnalités nécessaires pour configurer, déployer et gérer rapidement la livraison des applications dans les déploiements Citrix ADC et dispose d’une analyse complète de l’intégrité, des performances et de la sécurité des applications.

Le service Citrix ADM offre les avantages suivants :

  • Agile— Facile à utiliser, à mettre à jour et à utiliser. Le modèle de service de Citrix ADM Service est disponible sur le cloud, ce qui facilite l’utilisation, la mise à jour et l’utilisation des fonctionnalités fournies par Citrix ADM Service. La fréquence des mises à jour, combinée à la fonction de mise à jour automatisée, améliore rapidement le déploiement de Citrix ADC par l’utilisateur.

  • Délai de rentabilisationplus rapide — Réalisation plus rapide des objectifs commerciaux. Contrairement au déploiement sur site traditionnel, les utilisateurs peuvent utiliser leur service Citrix ADM en quelques clics. Les utilisateurs économisent non seulement le temps d’installation et de configuration, mais évitent également de perdre du temps et des ressources à cause d’éventuelles erreurs.

  • Gestion multisite : interface unique pour les instances des centres de données multisites. Avec le service Citrix ADM, les utilisateurs peuvent gérer et surveiller les Citrix ADC qui se trouvent dans différents types de déploiements. Les utilisateurs disposent d’un guichet unique de gestion pour les Citrix ADC déployés sur site et dans le cloud.

  • Efficacité opérationnelle— Méthode optimisée et automatisée pour améliorer la productivité opérationnelle. Avec le service Citrix ADM, les coûts opérationnels des utilisateurs sont réduits en économisant du temps, de l’argent et des ressources sur la maintenance et la mise à niveau des déploiements matériels traditionnels.

Fonctionnement du service Citrix ADM

Citrix ADM Service est disponible en tant que service sur Citrix Cloud. Une fois que les utilisateurs se sont inscrits à Citrix Cloud et ont commencé à utiliser le service, installez les agents dans l’environnement réseau utilisateur ou lancez l’agent intégré dans les instances. Ajoutez ensuite les instances que les utilisateurs souhaitent gérer au service.

Un agent permet la communication entre le service Citrix ADM et les instances gérées dans le centre de données utilisateur. L’agent collecte les données des instances gérées dans le réseau utilisateur et les envoie au service Citrix ADM.

Lorsque les utilisateurs ajoutent une instance au service Citrix ADM, elle s’ajoute implicitement en tant que destination d’interruption et collecte un inventaire de l’instance.

Le service recueille les détails de l’instance, tels que :

  • Nom d’hôte

  • Version du logiciel

  • Configuration en cours d’exécution et enregistrée

  • Certificats

  • Entités configurées sur l’instance, etc.

Citrix ADM Service interroge périodiquement les instances gérées pour collecter des informations.

L’image suivante illustre la communication entre le service, les agents et les instances :

image-vpx-aws-appsecurity-deployment-09

Guide de documentation

La documentation du service Citrix ADM comprend des informations sur la façon de démarrer avec le service, une liste des fonctionnalités prises en charge par le service et la configuration spécifique à cette solution de service.

Déploiement d’instances Citrix ADC VPX sur AWS à l’aide de Citrix ADM

Lorsque les clients déplacent leurs applications vers le cloud, les composants qui font partie de leur application augmentent, sont plus distribués et doivent être gérés de manière dynamique.

Avec les instances Citrix ADC VPX sur AWS, les utilisateurs peuvent étendre en toute transparence leur pile réseau L4-L7 à AWS. Avec Citrix ADC VPX, AWS devient une extension naturelle de son infrastructure informatique sur site. Les clients peuvent utiliser Citrix ADC VPX sur AWS pour combiner l’élasticité et la flexibilité du cloud, avec les mêmes fonctionnalités d’optimisation, de sécurité et de contrôle qui prennent en charge les sites Web et les applications les plus exigeants au monde.

Avec Citrix Application Delivery Management (ADM) qui surveille leurs instances Citrix ADC, les utilisateurs gagnent en visibilité sur l’intégrité, les performances et la sécurité de leurs applications. Ils peuvent automatiser la configuration, le déploiement et la gestion de leur infrastructure de mise à disposition d’applications dans des environnements multicloud hybrides.

Schéma d’architecture

L’image suivante fournit une vue d’ensemble de la façon dont Citrix ADM se connecte à AWS pour provisionner des instances Citrix ADC VPX dans AWS.

image-vpx-aws-appsecurity-deployment-10

Tâches de configuration

Effectuez les tâches suivantes sur AWS avant de provisionner des instances Citrix ADC VPX dans Citrix ADM :

  • Créer des sous-réseaux

  • Créer des groupes de sécurité

  • Créer un rôle IAM et définir une stratégie

Effectuez les tâches suivantes sur Citrix ADM pour provisionner les instances sur AWS :

  • Créer un site

  • Provisionner l’instance Citrix ADC VPX sur AWS

Pour créer des sous-réseaux

Créez trois sous-réseaux dans un VPC. Les trois sous-réseaux requis pour provisionner des instances Citrix ADC VPX dans un VPC sont la gestion, le client et le serveur. Spécifiez un bloc d’adresse CIDR IPv4 dans la plage définie dans le VPC pour chacun des sous-réseaux. Spécifiez la zone de disponibilité dans laquelle le sous-réseau doit résider. Créez les trois sous-réseaux dans la même zone de disponibilité. L’image suivante illustre les trois sous-réseaux créés dans la région du client et leur connectivité au système client.

image-vpx-aws-appsecurity-deployment-11

Pour plus d’informations sur les VPC et les sous-réseaux, consultez la section VPC et sous-réseaux.

Pour créer des groupes de sécurité

Créez un groupe de sécurité pour contrôler le trafic entrant et sortant dans l’instance Citrix ADC VPX. Un groupe de sécurité agit comme un pare-feu virtuel pour une instance utilisateur. Créez des groupes de sécurité au niveau de l’instance, et non au niveau du sous-réseau. Il est possible d’affecter chaque instance d’un sous-réseau du VPC utilisateur à un ensemble différent de groupes de sécurité. Ajoutez des règles pour chaque groupe de sécurité afin de contrôler le trafic entrant qui passe par le sous-réseau client aux instances. Les utilisateurs peuvent également ajouter un ensemble distinct de règles qui contrôlent le trafic sortant qui passe par le sous-réseau du serveur vers les serveurs d’applications. Bien que les utilisateurs puissent utiliser le groupe de sécurité par défaut pour leurs instances, ils peuvent vouloir créer leurs propres groupes. Créez trois groupes de sécurité - un pour chaque sous-réseau. Créez des règles pour le trafic entrant et sortant que les utilisateurs souhaitent contrôler. Les utilisateurs peuvent ajouter autant de règles qu’ils le souhaitent.

Pour plus d’informations sur les groupes de sécurité, voir :Security Groups for your VPC.

Pour créer un rôle IAM et définir une stratégie

Créez un rôle IAM afin que les clients puissent établir une relation de confiance entre leurs utilisateurs et le compte AWS de confiance Citrix et créer une stratégie avec des autorisations Citrix.

  1. Dans AWS, cliquez surServices. Dans le volet de navigation de gauche, sélectionnezIAM > Roles, puis cliquez surCreate role.

  2. Les utilisateurs connectent leur compte AWS au compte AWS dans Citrix ADM. Sélectionnez doncAnother AWS accountpour permettre à Citrix ADM d’effectuer des actions dans le compte AWS.

Saisissez l’ID de compte Citrix ADM AWS à 12 chiffres. L’ID Citrix est 835822366011. Les utilisateurs peuvent également trouver l’ID Citrix dans Citrix ADM lorsqu’ils créent le profil d’accès au cloud.

image-vpx-aws-appsecurity-deployment-12

  1. Activez l’optionExiger un identifiant externepour vous connecter à un compte tiers. Les utilisateurs peuvent renforcer la sécurité de leurs rôles en exigeant un identifiant externe facultatif. Tapez un ID qui peut être une combinaison de caractères.

  2. Cliquez surAutorisations.

  3. Dans la pageAttacher des stratégies d’autorisations, cliquez surCréer une stratégie.

  4. Les utilisateurs peuvent créer et modifier une stratégie dans l’éditeur visuel ou à l’aide de JSON.

La liste des autorisations de Citrix est fournie dans la zone suivante :

{
"Version": "2012-10-17",
"Statement":
[
    {
         "Effect": "Allow",
        "Action": [
            "ec2:DescribeInstances",
            "ec2:DescribeImageAttribute",
            "ec2:DescribeInstanceAttribute",
            "ec2:DescribeRegions",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeHosts",
            "ec2:DescribeImages",
            "ec2:DescribeVpcs",
            "ec2:DescribeSubnets",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeNetworkInterfaceAttribute",
            "ec2:DescribeInstanceStatus",
            "ec2:DescribeAddresses",
            "ec2:DescribeKeyPairs",
            "ec2:DescribeTags",
            "ec2:DescribeVolumeStatus",
            "ec2:DescribeVolumes",
            "ec2:DescribeVolumeAttribute",
            "ec2:CreateTags",
            "ec2:DeleteTags",
            "ec2:CreateKeyPair",
            "ec2:DeleteKeyPair",
            "ec2:ResetInstanceAttribute",
            "ec2:RunScheduledInstances",
            "ec2:ReportInstanceStatus",
            "ec2:StartInstances",
            "ec2:RunInstances",
            "ec2:StopInstances",
            "ec2:UnmonitorInstances",
            "ec2:MonitorInstances",
            "ec2:RebootInstances",
            "ec2:TerminateInstances",
            "ec2:ModifyInstanceAttribute",
            "ec2:AssignPrivateIpAddresses",
            "ec2:UnassignPrivateIpAddresses",
            "ec2:CreateNetworkInterface",
            "ec2:AttachNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:ResetNetworkInterfaceAttribute",
            "ec2:ModifyNetworkInterfaceAttribute",
            "ec2:AssociateAddress",
            "ec2:AllocateAddress",
            "ec2:ReleaseAddress",
            "ec2:DisassociateAddress",
            "ec2:GetConsoleOutput"
        ],
            "Resource": "*"
    }
]
}
<!--NeedCopy-->
  1. Copiez et collez la liste des autorisations dans l’onglet JSON et cliquez surReview policy.

  2. Dans la pageReview policy, tapez un nom pour la stratégie, entrez une description, puis cliquez surCreate policy.

Pour créer un site dans Citrix ADM

Créez un site dans Citrix ADM et ajoutez les détails du VPC associé au rôle AWS.

  1. Dans Citrix ADM, accédez àRéseaux > Sites.

  2. Cliquez surAjouter.

  3. Sélectionnez le type de service AWS et activezUse existing VPC as a site.

  4. Sélectionnez le profil d’accès au cloud.

  5. Si le profil d’accès au cloud n’existe pas dans le champ, cliquez surAjouterpour créer un profil.

    • Sur la pageCréer un profil d’accès au cloud, tapez le nom du profil avec lequel les utilisateurs souhaitent accéder à AWS.

    • Tapez l’ARN associé au rôle que les utilisateurs ont créé dans AWS.

    • Saisissez l’ID externe fourni par les utilisateurs lors de la création d’un rôle Identity and Access Management (IAM) dans AWS. Reportez-vous à l’étape 4 de la tâche « Pour créer un rôle IAM et définir une stratégie ». Assurez-vous que le nom du rôle IAM spécifié dans AWS commence par Citrix-ADM- et qu’il apparaît correctement dans l’ARN du rôle.

image-vpx-aws-appsecurity-deployment-13

Les détails du VPC, tels que la région, l’ID du VPC, le nom et le bloc CIDR, associés à votre rôle IAM dans AWS, sont importés dans Citrix ADM.

  1. Tapez un nom pour le site.

  2. Cliquez sur Créer.

Pour provisionner Citrix ADC VPX sur AWS

Utilisez le site que les utilisateurs ont créé précédemment pour provisionner les instances Citrix ADC VPX sur AWS. Fournissez les détails de l’agent de service Citrix ADM pour provisionner les instances qui sont liées à cet agent.

  1. Dans Citrix ADM, accédez àRéseaux>Instances>Citrix ADC.

  2. Dans l’ongletVPX, cliquez surProvisionner.

Cette option affiche la pageProvisionner Citrix ADC VPX on Cloud.

  1. SélectionnezAmazon Web Services (AWS)et cliquez surNext.

  2. DansParamètres de base,

    • Sélectionnez letype d’instancedans la liste.

      • Autonome : cette option met en service une instance autonome Citrix ADC VPX sur AWS.

      • HA : Cette option met en service les instances haute disponibilité Citrix ADC VPX sur AWS.

      Pour provisionner les instances Citrix ADC VPX dans la même zone, sélectionnez l’optionZone uniquesousType de zone.

      Pour provisionner les instances Citrix ADC VPX sur plusieurs zones, sélectionnez l’optionMulti ZonesousType de zone. Dans l’ongletParamètres du cloud, assurez-vous de spécifier les détails du réseau pour chaque zone créée sur AWS.

    image-vpx-aws-appsecurity-deployment-14

    • Spécifiez le nom de l’instance Citrix ADC VPX.

    • DansSite, sélectionnez le site que vous avez créé précédemment.

    • DansAgent, sélectionnez l’agent créé pour gérer l’instance Citrix ADC VPX.

    • DansCloud Access Profile, sélectionnez le profild’accès au cloud créé lors de la création du site.

    • DansDevice Profile, sélectionnez le profil pour fournir l’authentification.

    Citrix ADM utilise le profil de périphérique lorsqu’il doit se connecter à l’instance Citrix ADC VPX.

    • Cliquez sur Suivant.
  3. DansParamètres du cloud,

    • Sélectionnez lerôle IAM Citrixcréé dans AWS. Un rôle IAM est une identité AWS avec des stratégies d’autorisation qui déterminent ce que l’identité peut et ne peut pas faire dans AWS.

    • Dans le champProduit, sélectionnez la version du produit Citrix ADC que les utilisateurs souhaitent provisionner.

    • Sélectionnez le type d’instance EC2 dans la listeType d’instance.

    • Sélectionnez laversionde Citrix ADC que les utilisateurs souhaitent provisionner. Sélectionnez la versionmajeureet la versionmineurede Citrix ADC.

    • DansSecurity Groups, sélectionnez les groupesde sécurité Management, Client et Server que les utilisateurs ont créés dans leur réseau virtuel.

    • DansIPs in server Subnet per Node, sélectionnez le nombre d’adresses IP dans le sous-réseau du serveur par nœud pour le groupe de sécurité.

    • DansSubnets, sélectionnez les sous-réseaux Management, Client et Server pour chaque zone créée dans AWS. Les utilisateurs peuvent également sélectionner la région dans la listeZone de disponibilité.

    • Cliquez surTerminer.

image-vpx-aws-appsecurity-deployment-15

L’instance Citrix ADC VPX est désormais provisionnée sur AWS.

Remarque :

Citrix ADM ne prend pas en charge le déprovisionnement des instances Citrix ADC depuis AWS.

Pour afficher le Citrix ADC VPX provisionné dans AWS

  1. Sur la page d’accueil d’AWS, accédez àServiceset cliquez surEC2.

  2. Sur la pageResources, cliquez surRunning Instances.

  3. Les utilisateurs peuvent afficher le Citrix ADC VPX provisionné dans AWS.

Le nom de l’instance Citrix ADC VPX est le même que celui fourni par les utilisateurs lors du provisionnement de l’instance dans Citrix ADM.

Pour afficher le Citrix ADC VPX provisionné dans Citrix ADM

  1. Dans Citrix ADM, accédez àRéseaux>Instances>Citrix ADC.

  2. Sélectionnez l’ongletCitrix ADC VPX.

  3. L’instance Citrix ADC VPX provisionnée dans AWS est répertoriée ici.

Top 10 de Citrix ADC WAF et OWASP — 2017

L’Open Web Application Security Project : OWASP a publié le Top 10 OWASP pour 2017 en matière de sécurité des applications Web. Cette liste répertorie les vulnérabilités les plus courantes des applications Web et constitue un excellent point de départ pour évaluer la sécurité Web. Nous expliquons ici comment configurer le pare-feu d’application Web (WAF) Citrix ADC pour atténuer ces failles. WAF est disponible en tant que module intégré dans Citrix ADC (Premium Edition) ainsi que dans une gamme complète d’appliances.

L’intégralité du document OWASP Top 10 est disponible à l’adresse suivante : OWASP Top Ten.

Top 10 de l’OWASP 2017 Fonctionnalités de Citrix ADC WAF
A 1:2017 - Injection Prévention des attaques par injection (injection SQL ou toute autre injection personnalisée telle que l’injection de commande du système d’exploitation, l’injection XPath et l’injection LDAP), fonctionnalité de signature de mise à jour automatique
A 2:2017 - Authentification brisée Citrix ADC AAA, protection contre la falsification des cookies, proxy de cookies, cryptage des cookies, marquage CSRF, utilisation de SSL
A 3:2017 - Exposition de données sensibles Protection des cartes de crédit, commerce sécurisé, proxy de cookies et cryptage des cookies
A 4:2017 Entités externes XML (XXE) Protection XML, y compris les contrôles WSI, la validation des messages XML et le contrôle de filtrage des erreurs XML SOAP
A 5:2017 Contrôle d’accès cassé Citrix ADC AAA, fonctionnalité de sécurité d’autorisation dans le module Citrix ADC AAA de NetScaler, protections de formulaire et protections contre la falsification des cookies, StartURL et ClosureURL
A 6:2017 - Mauvaise configuration de la sécurité Rapports PCI, fonctionnalités SSL, génération de signatures à partir de rapports d’analyse de vulnérabilité tels que Cenznic, Qualys, AppScan, WebInspect, Whitehat. En outre, des protections spécifiques telles que le cryptage des cookies, le proxy et la falsification
A 7:2017 - Script intersite (XSS) XSS Attack Prevention, bloque toutes les attaques par aide-mémoire OWASP XSS
A 8:2017 — Désérialisation non sécurisée Contrôles de sécurité XML, type de contenu GWT, signatures personnalisées, Xpath pour JSON et XML
A 9:2017 - Utilisation de composants présentant des vulnérabilités connues Rapports d’analyse de vulnérabilité, modèles de pare-feu d’application et signatures personnalisées
A 10:2017 — Journalisation et surveillance insuffisantes Journalisation personnalisée configurable par l’utilisateur, système de gestion et d’analyse Citrix ADC

A 1:2017 - Injection

Les défauts d’injection, tels que l’injection SQL, NoSQL, OS et LDAP, se produisent lorsque des données non fiables sont envoyées à un interpréteur dans le cadre d’une commande ou d’une requête. Les données hostiles de l’attaquant peuvent inciter l’interpréteur à exécuter des commandes involontaires ou à accéder à des données sans autorisation appropriée.

Protections ADC WAF

  • La fonction de prévention des injections SQL protège contre les attaques par injection courantes. Des modèles d’injection personnalisés peuvent être téléchargés pour protéger contre tout type d’attaque par injection, y compris XPath et LDAP. Cela s’applique aux charges utiles HTML et XML.

  • La fonction de signature de mise à jour automatique maintient les signatures d’injection à jour.

  • La fonction de protection du format de champ permet à l’administrateur de limiter les paramètres utilisateur à une expression régulière. Par exemple, vous pouvez faire en sorte qu’un champ de code postal contienne uniquement des entiers ou même des entiers à 5 chiffres.

  • Cohérence des champs de formulaire : validez chaque formulaire utilisateur soumis par rapport à la signature du formulaire de session utilisateur pour garantir la validité de tous les éléments du formulaire.

  • Les contrôles de dépassement de tampon garantissent que l’URL, les en-têtes et les cookies sont dans les bonnes limites, bloquant ainsi toute tentative d’injection de scripts ou de code volumineux.

A 2:2017 — Authentification brisée

Les fonctions d’application liées à l’authentification et à la gestion des sessions sont souvent mal mises en œuvre, ce qui permet aux attaquants de compromettre des mots de passe, des clés ou des jetons de session, ou d’exploiter d’autres failles de mise en œuvre pour assumer temporairement ou définitivement l’identité d’autres utilisateurs.

Protections ADC WAF

  • Le module AAA Citrix ADC effectue l’authentification des utilisateurs et fournit une fonctionnalité d’authentification unique aux applications back-end. Il est intégré au moteur de stratégies Citrix ADC AppExpert pour permettre des stratégies personnalisées basées sur les informations des utilisateurs et des groupes.

  • À l’aide des fonctionnalités de déchargement SSL et de transformation d’URL, le pare-feu peut également aider les sites à utiliser des protocoles de couche de transport sécurisés pour empêcher le vol de jetons de session par reniflage du réseau.

  • Le proxy des cookies et le chiffrement des cookies peuvent être utilisés pour limiter complètement le vol de cookies.

A 3:2017 - Exposition de données sensibles

De nombreuses applications Web et API ne protègent pas correctement les données sensibles, telles que les données financières, les soins de santé et les informations personnelles. Les attaquants peuvent voler ou modifier ces données mal protégées pour commettre des fraudes par carte de crédit, des vols d’identité ou d’autres délits. Les données sensibles peuvent être compromises sans protection supplémentaire, telle que le chiffrement au repos ou en transit, et nécessitent des précautions particulières lors de leur échange avec le navigateur.

Protections ADC WAF

  • Le pare-feu d’application protège les applications contre la fuite de données sensibles telles que les informations de carte de crédit.

  • Les données sensibles peuvent être configurées en tant qu’objets sécurisés dans la protection Safe Commerce afin d’éviter toute exposition.

  • Toutes les données sensibles contenues dans les cookies peuvent être protégées par le proxy des cookies et le cryptage des cookies.

A 4:2017 Entités externes XML (XXE)

De nombreux processeurs XML anciens ou mal configurés évaluent les références d’entités externes dans les documents XML. Les entités externes peuvent être utilisées pour divulguer des fichiers internes à l’aide du gestionnaire d’URI de fichier, des partages de fichiers internes, de l’analyse de port interne, de l’exécution de code à distance et des attaques par déni de service

Protections ADC WAF

  • En plus de détecter et de bloquer les menaces applicatives courantes qui peuvent être adaptées pour attaquer les applications basées sur XML (c’est-à-dire les scripts intersites, l’injection de commandes, etc.).

  • Le pare-feu d’application ADC inclut un ensemble complet de protections de sécurité spécifiques à XML. Il s’agit notamment de la validation de schéma pour vérifier en profondeur les messages SOAP et les charges utiles XML, ainsi que d’une puissante vérification des pièces jointes XML pour bloquer les pièces jointes contenant des exécutables malveillants ou des virus.

  • Les méthodes d’inspection automatique du trafic bloquent les attaques par injection XPath sur les URL et les formulaires destinés à obtenir un accès.

  • Le pare-feu d’application ADC contrecarre également diverses attaques par déni de service, notamment les références d’entités externes, l’extension récursive, l’imbrication excessive et les messages malveillants contenant un grand nombre d’attributs et d’éléments.

A 5:2017 Contrôle d’accès cassé

Les restrictions concernant ce que les utilisateurs authentifiés sont autorisés à faire ne sont souvent pas correctement appliquées. Les attaquants peuvent exploiter ces failles pour accéder à des fonctionnalités et des données non autorisées, telles que l’accès aux comptes d’autres utilisateurs, l’affichage de fichiers sensibles, la modification des données d’autres utilisateurs, la modification des droits d’accès, etc.

Protections ADC WAF

  • La fonctionnalité AAA de Citrix ADC qui prend en charge l’authentification, l’autorisation et l’audit pour tout le trafic des applications permet à un administrateur de site de gérer les contrôles d’accès avec l’appliance ADC.

  • La fonction de sécurité Authorization du module Citrix ADC AAA de l’appliance ADC permet à l’appliance de vérifier le contenu d’un serveur protégé auquel elle doit autoriser l’accès de chaque utilisateur.

  • Cohérence des champs de formulaire : si les références aux objets sont stockées sous forme de champs masqués dans les formulaires, vous pouvez vérifier que ces champs ne sont pas falsifiés lors de demandes ultérieures.

  • Proxying des cookies et cohérence des cookies : les références d’objets qui sont stockées dans les valeurs des cookies peuvent être validées avec ces protections.

  • Lancer la vérification d’URL avec fermeture d’URL : permet à l’utilisateur d’accéder à une liste d’URL autorisées prédéfinie. La fermeture d’URL crée une liste de toutes les URL vues dans les réponses valides pendant la session utilisateur et autorise automatiquement l’accès à celles-ci pendant cette session.

A 6:2017 - Mauvaise configuration de la sécurité

La mauvaise configuration de la sécurité est le problème le plus fréquent. Cela est généralement dû à des configurations par défaut non sécurisées, à des configurations incomplètes ou improvisées, à un stockage cloud ouvert, à des en-têtes HTTP mal configurés et à des messages d’erreur détaillés contenant des informations sensibles. Non seulement tous les systèmes d’exploitation, infrastructures, bibliothèques et applications doivent être configurés de manière sécurisée, mais ils doivent également être corrigés et mis à niveau en temps opportun.

Protections ADC WAF

  • Le rapport PCI-DSS généré par le pare-feu d’application documente les paramètres de sécurité du périphérique pare-feu.

  • Les rapports des outils d’analyse sont convertis en signatures ADC WAF afin de gérer les erreurs de configuration de sécurité.

  • ADC WAF prend en charge Cenzic, IBM AppScan (Enterprise et Standard), Qualys, TrendMicro, WhiteHat et les rapports d’analyse de vulnérabilité personnalisés.

A 7:2017 - Script intersite (XSS)

Les failles XSS se produisent lorsqu’une application inclut des données non fiables dans une nouvelle page Web sans validation ni échappement appropriés, ou lorsqu’elle met à jour une page Web existante avec des données fournies par l’utilisateur à l’aide d’une API de navigateur capable de créer du code HTML ou JavaScript. Les scripts intersites permettent aux attaquants d’exécuter des scripts dans le navigateur de la victime qui peuvent détourner des sessions utilisateur, dégrader des sites Web ou rediriger l’utilisateur vers des sites malveillants.

Protections ADC WAF

  • La protection par script intersite protège contre les attaques XSS courantes. Des modèles XSS personnalisés peuvent être téléchargés pour modifier la liste par défaut des balises et des attributs autorisés. Le WAF ADC utilise une liste d’autorisation d’attributs et de balises HTML autorisés pour détecter les attaques XSS. Cela s’applique aux charges utiles HTML et XML.

  • ADC WAF bloque toutes les attaques répertoriées dans le aide-mémoire OWASP XSS Filter Evaluation.

  • La vérification du format des champs empêche un attaquant d’envoyer des données de formulaire Web inappropriées, ce qui peut constituer une attaque XSS potentielle.

  • Cohérence des champs de formulaire

A 8:2017 - Désérialisation non sécurisée

Une désérialisation non sécurisée entraîne souvent l’exécution de code à distance. Même si les failles de désérialisation n’entraînent pas l’exécution de code à distance, elles peuvent être utilisées pour exécuter des attaques, y compris des attaques par rediffusion, des attaques par injection et des attaques par élévation de privilèges.

Protections ADC WAF

  • Inspection de la charge utile JSON avec des signatures personnalisées.

  • Sécurité XML : protection contre le déni de service XML (XDoS), l’injection XML SQL et Xpath et les scripts intersites, les vérifications de format, la conformité de base du profil WS-I, la vérification des pièces jointes XML.

  • Des contrôles de format de champ peuvent être utilisés en plus de la cohérence des cookies et de la cohérence des champs.

A 9:2017 - Utilisation de composants présentant des vulnérabilités connues

Les composants, tels que les bibliothèques, les infrastructures et les autres modules logiciels, s’exécutent avec les mêmes privilèges que l’application. Si un composant vulnérable est exploité, une telle attaque peut entraîner de graves pertes de données ou la prise de contrôle du serveur. Les applications et les API utilisant des composants présentant des vulnérabilités connues peuvent compromettre les défenses des applications et permettre diverses attaques et impacts.

Protections ADC WAF

  • Citrix recommande de mettre à jour les composants tiers.

  • Les rapports d’analyse de vulnérabilité convertis en signatures ADC peuvent être utilisés pour corriger virtuellement ces composants.

  • Les modèles de pare-feu d’application disponibles pour ces composants vulnérables peuvent être utilisés.

  • Les signatures personnalisées peuvent être liées au pare-feu pour protéger ces composants.

A 10:2017 - Journalisation et surveillance insuffisantes

Une journalisation et une surveillance insuffisantes, associées à une intégration manquante ou inefficace avec la réponse aux incidents, permettent aux attaquants d’attaquer davantage les systèmes, de maintenir la persistance, de basculer vers d’autres systèmes et de falsifier, extraire ou détruire des données. La plupart des études sur les violations montrent que le délai de détection d’une violation est de plus de 200 jours, généralement détecté par des parties externes plutôt que par des processus internes ou une surveillance.

Protections ADC WAF

  • Lorsque l’action de journalisation est activée pour les contrôles de sécurité ou les signatures, les messages de journal résultants fournissent des informations sur les demandes et les réponses que le pare-feu d’applications a observées lors de la protection de vos sites Web et applications.

  • Le pare-feu d’application offre la commodité d’utiliser la base de données ADC intégrée pour identifier les emplacements correspondant aux adresses IP d’où proviennent les demandes malveillantes.

  • Les expressions de format par défaut (PI) offrent la flexibilité nécessaire pour personnaliser les informations incluses dans les journaux avec la possibilité d’ajouter les données spécifiques à capturer dans les messages de journal générés par le pare-feu d’application.

  • Le pare-feu d’application prend en charge les journaux CEF.

Protection de sécurité des applications

Citrix ADM

Citrix Application Delivery Management Service (Citrix ADM) fournit une solution évolutive pour gérer les déploiements Citrix ADC qui incluent Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway, Citrix ADC SDX, Citrix ADC CPX et les appliances Citrix SD-WAN déployées sur site ou sur le cloud.

Fonctionnalités d’analyse et de gestion des applications Citrix ADM

Les fonctionnalités suivantes sont essentielles au rôle ADM dans App Security.

Analyse et gestion des applications

La fonctionnalité Analyse et gestion des applications de Citrix ADM renforce l’approche centrée sur les applications afin d’aider les utilisateurs à relever divers défis liés à la fourniture d’applications. Cette approche donne aux utilisateurs une visibilité sur les scores de santé des applications, aide les utilisateurs à déterminer les risques de sécurité, et aide les utilisateurs à détecter les anomalies dans les flux de trafic des applications et à prendre des mesures correctives. Le plus important de ces rôles pour App Security est Application Security Analytics :

  • Analyses de sécurité des applications : Analyse de sécurité desapplications. Le tableau de bord de sécurité des applications fournit une vue globale de l’état de sécurité des applications utilisateur. Par exemple, il affiche des mesures de sécurité clés telles que les violations de sécurité, les violations de signature, les indices de menaces. Le tableau de bord App Security affiche également des informations relatives aux attaques, telles que les attaques SYN, les attaques par petites fenêtres et les attaques par inondation DNS pour les instances Citrix ADC découvertes.

StyleBooks

Les StyleBooks simplifient la gestion des configurations complexes de Citrix ADC pour les applications utilisateur. Un StyleBook est un modèle que les utilisateurs peuvent utiliser pour créer et gérer des configurations Citrix ADC. Ici, les utilisateurs sont principalement préoccupés par le StyleBook utilisé pour déployer le Web Application Firewall. Pour plus d’informations sur StyleBooks, voir : StyleBooks.

Analyse

Fournit un moyen simple et évolutif d’examiner les différentes informations des données des instances Citrix ADC afin de décrire, de prévoir et d’améliorer les performances des applications. Les utilisateurs peuvent utiliser une ou plusieurs fonctionnalités d’analyse simultanément. Les rôles les plus importants pour la sécurité des applications sont les suivants :

  • Security Insight : Security Insight. Fournit une solution à volet unique pour aider les utilisateurs à évaluer l’état de sécurité des applications utilisateur et à prendre des mesures correctives pour sécuriser les applications utilisateur.

  • Bot Insight

  • Pour plus d’informations sur les analyses, voir Analytics : Analytics.

Les autres fonctionnalités importantes pour la fonctionnalité ADM sont les suivantes :

Gestion des événements

Les événements représentent des occurrences d’événements ou d’erreurs sur une instance Citrix ADC gérée. Par exemple, en cas de défaillance du système ou de modification de la configuration, un événement est généré et enregistré sur Citrix ADM. Voici les fonctionnalités connexes que les utilisateurs peuvent configurer ou afficher à l’aide de Citrix ADM :

Pour plus d’informations sur la gestion des événements, voir : Événements.

Gestion des instances

Permet aux utilisateurs de gérer les instances Citrix ADC, Citrix Gateway, Citrix Secure Web Gateway et Citrix SD-WAN. Pour plus d’informations sur la gestion des instances, voir : Ajouter des instances.

Gestion des licences

Permet aux utilisateurs de gérer les licences Citrix ADC en configurant Citrix ADM en tant que gestionnaire de licences.

  • Capacité groupée Citrix ADC : capacité groupée. Pool de licences commun à partir duquel une instance Citrix ADC utilisateur peut récupérer une licence d’instance et uniquement la bande passante dont elle a besoin. Lorsque l’instance n’a plus besoin de ces ressources, elle les réintègre dans le pool commun, rendant les ressources disponibles pour les autres instances qui en ont besoin.

  • Licences d’enregistrement et de retrait Citrix ADC VPX : Licences d’enregistrement et de départ Citrix ADC VPX. Citrix ADM alloue des licences aux instances Citrix ADC VPX à la demande. Une instance Citrix ADC VPX peut récupérer la licence auprès de Citrix ADM lorsqu’une instance Citrix ADC VPX est provisionnée, ou récupérer sa licence auprès de Citrix ADM lorsqu’une instance est supprimée ou détruite.

  • Pour plus d’informations sur la gestion des licences, voir : Capacité groupée.

Gestion de la configuration

Citrix ADM permet aux utilisateurs de créer des tâches de configuration qui les aident à effectuer des tâches de configuration, telles que la création d’entités, la configuration des fonctionnalités, la réplication des modifications de configuration, les mises à niveau du système et d’autres activités de maintenance en toute simplicité sur plusieurs instances. Les tâches de configuration et les modèles simplifient les tâches administratives les plus répétitives en une seule tâche sur Citrix ADM. Pour plus d’informations sur la gestion de la configuration, voir Tâches de configuration : Tâches de configuration.

Audit de configuration

Permet aux utilisateurs de surveiller et d’identifier les anomalies dans les configurations entre les instances utilisateur.

Les signatures fournissent les options de déploiement suivantes pour aider les utilisateurs à optimiser la protection des applications utilisateur :

  • Modèle de sécurité négatif : avec le modèle de sécurité négatif, les utilisateurs utilisent un ensemble complet de règles de signature préconfigurées pour appliquer la puissance de la correspondance de modèles afin de détecter les attaques et de se protéger contre les vulnérabilités des applications. Les utilisateurs bloquent uniquement ce qu’ils ne veulent pas et autorisent le reste. Les utilisateurs peuvent ajouter leurs propres règles de signature, en fonction des besoins de sécurité spécifiques des applications utilisateur, afin de concevoir leurs propres solutions de sécurité personnalisées.

  • Modèle de sécurité hybride : Outre l’utilisation de signatures, les utilisateurs peuvent utiliser des contrôles de sécurité positifs pour créer une configuration parfaitement adaptée aux applications utilisateur. Utilisez des signatures pour bloquer ce que les utilisateurs ne veulent pas, et utilisez des contrôles de sécurité positifs pour appliquer ce qui est autorisé.

Pour protéger les applications utilisateur à l’aide de signatures, les utilisateurs doivent configurer un ou plusieurs profils afin d’utiliser leur objet de signatures. Dans une configuration de sécurité hybride, les modèles d’injection SQL et de script intersite, ainsi que les règles de transformation SQL, dans l’objet signatures utilisateur sont utilisés non seulement par les règles de signature, mais également par les contrôles de sécurité positifs configurés dans le profil Web Application Firewall qui utilise le objet signatures.

Le Web Application Firewall examine le trafic vers les sites Web et les services Web protégés par l’utilisateur afin de détecter le trafic correspondant à une signature. Une correspondance n’est déclenchée que lorsque chaque motif de la règle correspond au trafic. Lorsqu’une correspondance se produit, les actions spécifiées pour la règle sont appelées. Les utilisateurs peuvent afficher une page d’erreur ou un objet d’erreur lorsqu’une demande est bloquée. Les messages de journal peuvent aider les utilisateurs à identifier les attaques lancées contre les applications des utilisateurs. Si les utilisateurs activent les statistiques, le Web Application Firewall conserve les données relatives aux demandes qui correspondent à une signature ou à un contrôle de sécurité du Web Application Firewall.

Si le trafic correspond à la fois à une signature et à un contrôle de sécurité positif, la plus restrictive des deux actions est appliquée. Par exemple, si une demande correspond à une règle de signature pour laquelle l’action de blocage est désactivée, mais que la demande correspond également à une vérification de sécurité positive SQL Injection pour laquelle l’action est bloquée, la demande est bloquée. Dans ce cas, la violation de signature peut être enregistrée comme [non bloquée], bien que la demande soit bloquée par le contrôle d’injection SQL.

Personnalisation : si nécessaire, les utilisateurs peuvent ajouter leurs propres règles à un objet de signatures. Les utilisateurs peuvent également personnaliser les modèles SQL/XSS. La possibilité d’ajouter leurs propres règles de signature, en fonction des besoins de sécurité spécifiques des applications utilisateur, permet aux utilisateurs de concevoir leurs propres solutions de sécurité personnalisées. Les utilisateurs bloquent uniquement ce qu’ils ne veulent pas et autorisent le reste. Un modèle de correspondance rapide spécifique dans un emplacement spécifié peut réduire considérablement la surcharge de traitement afin d’optimiser les performances. Les utilisateurs peuvent ajouter, modifier ou supprimer des modèles d’injection SQL et de script intersite. Les éditeurs d’expressions régulières et d’expressions intégrés aident les utilisateurs à configurer des modèles utilisateur et à vérifier leur exactitude.

Cas d’utilisation

Comparé aux solutions alternatives qui nécessitent que chaque service soit déployé en tant qu’appliance virtuelle distincte, Citrix ADC sur AWS combine l’équilibrage de charge L4, la gestion du trafic L7, le déchargement du serveur, l’accélération des applications, la sécurité des applications, les licences flexibles et d’autres fonctionnalités essentielles de mise à disposition d’applications dans une seule instance VPX, facilement disponible via AWS Marketplace. En outre, tout est régi par un cadre de stratégie unique et géré avec le même ensemble puissant d’outils utilisés pour administrer les déploiements Citrix ADC locaux. Le résultat net est que Citrix ADC sur AWS permet plusieurs cas d’utilisation convaincants qui prennent en charge non seulement les besoins immédiats des entreprises d’aujourd’hui, mais aussi l’évolution continue des infrastructures informatiques héritées aux centres de données cloud d’entreprise.

Pare-feu applicatif Web Citrix (WAF)

Citrix Web Application Firewall (WAF) est une solution d’entreprise offrant des protections de pointe pour les applications modernes. Citrix WAF atténue les menaces contre les actifs destinés au public, notamment les sites Web, les applications Web et les API. Citrix WAF inclut le filtrage basé sur la réputation IP, l’atténuation des bots, les 10 meilleures protections contre les menaces applicatives OWASP, la protection contre les attaques DDoS de couche 7 et bien plus encore. Sont également incluses des options pour appliquer l’authentification, des chiffrements SSL/TLS forts, TLS 1.3, la limitation du débit et des stratégies de réécriture. Utilisant à la fois des protections WAF de base et avancées, Citrix WAF fournit une protection complète à vos applications avec une facilité d’utilisation inégalée. Se lever et courir ne prend que quelques minutes. En outre, grâce à un modèle d’apprentissage automatisé, appelé profilage dynamique, Citrix WAF permet aux utilisateurs de gagner un temps précieux. En apprenant automatiquement le fonctionnement d’une application protégée, Citrix WAF s’adapte à l’application même lorsque les développeurs déploient et modifient les applications. Citrix WAF contribue à la conformité à toutes les principales normes et organismes réglementaires, y compris PCI-DSS, HIPAA, etc. Avec nos modèles CloudFormation, il n’a jamais été aussi facile d’être rapidement opérationnel. Grâce à la mise à l’échelle automatique, les utilisateurs peuvent être assurés que leurs applications restent protégées même lorsque leur trafic augmente.

Stratégie de déploiement de Web Application Firewall

La première étape du déploiement du pare-feu d’application Web consiste à évaluer quelles applications ou données spécifiques nécessitent une protection de sécurité maximale, celles qui sont moins vulnérables et celles pour lesquelles l’inspection de sécurité peut être contournée en toute sécurité. Cela aide les utilisateurs à établir une configuration optimale et à concevoir des stratégies et des points de liaison appropriés pour séparer le trafic. Par exemple, les utilisateurs peuvent vouloir configurer une stratégie pour contourner l’inspection de sécurité des demandes de contenu Web statique, tels que des images, des fichiers MP3 et des films, et configurer une autre stratégie pour appliquer des contrôles de sécurité avancés aux demandes de contenu dynamique. Les utilisateurs peuvent utiliser plusieurs stratégies et profils pour protéger différents contenus d’une même application.

L’étape suivante consiste à référencer le déploiement. Commencez par créer un serveur virtuel et testez le trafic via celui-ci pour avoir une idée du débit et de la quantité de trafic circulant dans le système utilisateur.

Déployez ensuite le Web Application Firewall. Utilisez Citrix ADM et le Web Application Firewall StyleBook pour configurer le Web Application Firewall. Consultez la section StyleBook ci-dessous dans ce guide pour plus de détails.

Après le déploiement et la configuration du Web Application Firewall avec le Web Application Firewall StyleBook, une étape suivante utile consiste à implémenter Citrix ADC WAF et OWASP Top 10.

Enfin, trois des protections du Web Application Firewall sont particulièrement efficaces contre les types courants d’attaques Web et sont donc plus couramment utilisées que toutes les autres. Ils doivent donc être mis en œuvre lors du déploiement initial. Ils sont :

  • Script intersite HTML. Examine les demandes et les réponses pour les scripts qui tentent d’accéder au contenu d’un site Web différent de celui sur lequel se trouve le script ou de le modifier. Lorsque cette vérification détecte un tel script, elle le rend inoffensif avant de transférer la requête ou la réponse à sa destination, ou elle bloque la connexion.

  • Injection HTML SQL. Examine les demandes qui contiennent des données de champs de formulaire pour les tentatives d’injection de commandes SQL dans une base de données SQL. Lorsque cette vérification détecte du code SQL injecté, elle bloque la requête ou rend le code SQL injecté inoffensif avant de transférer la demande au serveur Web.

Remarque :

Si les deux conditions suivantes s’appliquent à la configuration utilisateur, les utilisateurs doivent s’assurer que votre pare-feu d’applications Web est correctement configuré :

  • Si les utilisateurs activent la vérification HTML Cross-Site Scripting ou la vérification HTML SQL Injection (ou les deux), et

  • Les sites Web protégés par l’utilisateur acceptent les chargements de fichiers ou contiennent des formulaires Web pouvant contenir des données corporelles POST volumineuses.

Pour plus d’informations sur la configuration du Web Application Firewall pour gérer ce cas, consultez Configuration du pare-feu d’application : configuration du Web App Firewall.

  • Dépassement de tampon Examine les demandes visant à détecter les tentatives de dépassement de tampon sur le serveur Web.

Configuration du Web Application Firewall (WAF)

Les étapes suivantes supposent que le WAF est déjà activé et qu’il fonctionne correctement.

Citrix recommande aux utilisateurs de configurer WAF à l’aide du StyleBook du Web Application Firewall. La plupart des utilisateurs trouvent que c’est la méthode la plus simple pour configurer le Web Application Firewall, et elle est conçue pour éviter les erreurs. L’interface graphique et l’interface de ligne de commande sont toutes deux destinées aux utilisateurs expérimentés, principalement pour modifier une configuration existante ou utiliser des options avancées.

Injection SQL

La vérification Injection HTML SQL du pare-feu d’application fournit des défenses spéciales contre l’injection de code SQL non autorisé susceptible de compromettre la sécurité de l’application utilisateur. Citrix Web Application Firewall examine la charge utile de la requête pour le code SQL injecté à trois emplacements : 1) corps POST, 2) en-têtes et 3) cookies.

Un ensemble par défaut de mots-clés et de caractères spéciaux fournit des mots-clés connus et des caractères spéciaux couramment utilisés pour lancer des attaques SQL. Les utilisateurs peuvent également ajouter de nouveaux modèles et modifier le jeu par défaut pour personnaliser l’inspection de vérification SQL.

Plusieurs paramètres peuvent être configurés pour le traitement par injection SQL. Les utilisateurs peuvent vérifier la présence de caractères génériques SQL. Les utilisateurs peuvent modifier le type d’injection SQL et sélectionner l’une des 4 options (SQLKeyword, SQLSplChar, SQLSplCharAndKeyword, SQLSplCharorKeyword) pour indiquer comment évaluer les mots clés SQL et les caractères spéciaux SQL lors du traitement de la charge utile. Leparamètre Gestion des commentaires SQLpermet aux utilisateurs de spécifier le type de commentaires qui doivent être inspectés ou exemptés lors de la détection d’injection SQL.

Les utilisateurs peuvent déployer des relaxations pour éviter les faux positifs. Le moteur d’apprentissage peut fournir des recommandations pour configurer les règles de relaxation.

Les options suivantes sont disponibles pour configurer une protection optimisée contre les injections SQL pour l’application utilisateur :

Bloquer — Si les utilisateurs activent block, l’action de blocage est déclenchée uniquement si l’entrée correspond à la spécification du type d’injection SQL. Par exemple, siSQLSplCharAndKeywordest configuré comme type d’injection SQL, une requête n’est pas bloquée si elle ne contient aucun mot-clé, même si des caractères spéciaux SQL sont détectés dans l’entrée. Une telle requête est bloquée si le type d’injection SQL est défini surSqlsPlCharouSqlsPlCharorKeyword.

Journal  : si les utilisateurs activent la fonction de journalisation, le check SQL Injection génère des messages de journal indiquant les actions qu’il entreprend. Si block est désactivé, un message de journal distinct est généré pour chaque champ de saisie dans lequel la violation SQL a été détectée. Toutefois, un seul message est généré lorsque la demande est bloquée. De même, 1 message de journal par requête est généré pour l’opération de transformation, même lorsque des caractères spéciaux SQL sont transformés dans plusieurs champs. Les utilisateurs peuvent surveiller les journaux pour déterminer si les réponses aux demandes légitimes sont bloquées. Une forte augmentation du nombre de messages de journal peut indiquer des tentatives de lancement d’une attaque.

Statistiques — Si elle est activée, la fonction de statistiques collecte des statistiques sur les violations et les journaux. Une augmentation inattendue du compteur de statistiques peut indiquer que l’application utilisateur est attaquée. Si des demandes légitimes sont bloquées, les utilisateurs devront peut-être revoir la configuration pour voir s’ils ont besoin de configurer de nouvelles règles de relaxation ou de modifier les règles existantes.

Apprendre — Si les utilisateurs ne sont pas certains des règles de relaxation SQL qui conviennent le mieux à leurs applications, ils peuvent utiliser la fonction d’apprentissage pour générer des recommandations basées sur les données apprises. Le moteur d’apprentissage du Web Application Firewall surveille le trafic et fournit des recommandations d’apprentissage SQL basées sur les valeurs observées. Pour obtenir des avantages optimaux sans compromettre les performances, les utilisateurs peuvent vouloir activer l’option d’apprentissage pendant une courte période afin d’obtenir un exemple représentatif des règles, puis déployer les règles et désactiver l’apprentissage.

Transformer les caractères spéciaux SQL : le Web Application Firewall considère trois caractères, les guillemets droits simples (‘), la barre oblique inverse () et le point-virgule (;) comme des caractères spéciaux pour le traitement des contrôles de sécurité SQL. La fonction Transformation SQL modifie le code d’injection SQL dans une requête HTML afin de garantir que la demande est rendue inoffensive. La demande HTML modifiée est ensuite envoyée au serveur. Toutes les règles de transformation par défaut sont spécifiées dans le fichier /netscaler/default_custom_settings.xml.

  • L’opération de transformation rend le code SQL inactif en apportant les modifications suivantes à la demande :

  • Guillemet droit simple (‘) vers guillemet double droit («).

  • Inversible () à double barre oblique inverse ().

  • Le point-virgule (;) est complètement supprimé.

Ces trois caractères (chaînes spéciales) sont nécessaires pour envoyer des commandes à un serveur SQL. À moins qu’une commande SQL ne soit précédée d’une chaîne spéciale, la plupart des serveurs SQL ignorent cette commande. Par conséquent, les modifications que le Web Application Firewall effectue lorsque la transformation est activée empêchent un attaquant d’injecter du code SQL actif. Une fois ces modifications apportées, la demande peut être transmise en toute sécurité au site Web protégé par l’utilisateur. Lorsque les formulaires Web sur le site Web protégé par l’utilisateur peuvent légitimement contenir des chaînes spéciales SQL, mais que les formulaires Web ne dépendent pas des chaînes spéciales pour fonctionner correctement, les utilisateurs peuvent désactiver le blocage et activer la transformation pour empêcher le blocage des données de formulaires Web légitimes sans réduire la protection que le Web Application Firewall fournit aux utilisateurs des sites Web protégés.

L’opération de transformation fonctionne indépendamment du paramètre Type d’injection SQL. Si transform est activé et que le type d’injection SQL est spécifié en tant que mot-clé SQL, les caractères spéciaux SQL sont transformés même si la requête ne contient aucun mot-clé.

Conseil :

Les utilisateurs activent normalement la transformation ou le blocage, mais pas les deux. Si l’action de blocage est activée, elle a priorité sur l’action de transformation. Si le blocage est activé pour les utilisateurs, l’activation de la transformation est redondante.

Vérifier les caractères génériques SQL —Lescaractères génériques peuvent être utilisés pour élargir les sélections d’une instruction SQL (SQL-SELECT). Ces opérateurs génériques peuvent être utilisés avec les opérateursLIKEetNOT LIKEpour comparer une valeur à des valeurs similaires. Le pourcentage (%) et le trait de soulignement (_) sont fréquemment utilisés comme caractères génériques. Le signe de pourcentage est analogue au caractère générique astérisque (*) utilisé avec MS-DOS et correspond à zéro, un ou plusieurs caractères dans un champ. Le trait de soulignement est similaire au point d’interrogation MS-DOS ( ?) caractère générique. Il correspond à un seul nombre ou caractère dans une expression.

Par exemple, les utilisateurs peuvent utiliser la requête suivante pour effectuer une recherche de chaîne afin de trouver tous les clients dont le nom contient le caractère D.

SELECT * à partir du nom WHERE du client tel que « %D% » :

L’exemple suivant combine les opérateurs pour rechercher les valeurs de salaire dont la deuxième et la troisième position sont égales à 0.

SELECT * du client WHERE salaire comme « _ 00% » :

Différents fournisseurs de SGBD ont étendu les caractères génériques en ajoutant des opérateurs supplémentaires. Le pare-feu d’application Web Citrix peut vous protéger contre les attaques lancées en injectant ces caractères génériques. Les 5 caractères génériques par défaut sont le pourcentage (%), le trait de soulignement (_), le signe d’insertion (^), le crochet ouvrant ([) et le crochet fermant (]). Cette protection s’applique aux profils HTML et XML.

Les caractères génériques par défaut sont une liste de littéraux spécifiés dans les*Signatures par défaut :

  • <wildchar type=” LITERAL”>%</wildchar>

  • <wildchar type=”LITERAL”]>_</wildchar>

  • <wildchar type=”LITERAL”>^</wildchar>

  • <wildchar type=”LITERAL”>[</wildchar>

  • <wildchar type=”LITERAL”>]</wildchar>

Les caractères génériques d’une attaque peuvent être PCRE, comme [^A-F]. Le Web Application Firewall prend également en charge les caractères génériques PCRE, mais les caractères génériques littéraux affichés ici sont suffisants pour bloquer la plupart des attaques.

Remarque :

La vérification des caractères génériques SQL est différente de la vérification des caractères spéciaux SQL. Cette option doit être utilisée avec précaution afin d’éviter les faux positifs.

Check Request Containing SQL Injection Type : le Web Application Firewall propose 4 options pour implémenter le niveau de rigueur souhaité pour l’inspection par injection SQL, en fonction des besoins individuels de l’application. La demande est vérifiée par rapport à la spécification du type d’injection pour détecter les violations SQL. Les 4 options de type d’injection SQL sont les suivantes :

  • Caractère spécial SQL et mot clé : un mot clé SQL et un caractère spécial SQL doivent être présents dans l’entrée pour déclencher une violation SQL. Ce paramètre le moins restrictif est également le paramètre par défaut.

  • Caractère spécial SQL : au moins un des caractères spéciaux doit être présent dans l’entrée pour déclencher une violation SQL.

  • Mot clé SQL : au moins un des mots clés SQL spécifiés doit être présent dans l’entrée pour déclencher une violation SQL. Ne sélectionnez pas cette option sans avoir dûment pris en considération. Pour éviter les faux positifs, assurez-vous qu’aucun des mots-clés n’est attendu dans les entrées.

  • Caractère spécial SQL ou mot-clé : le mot clé ou la chaîne de caractères spéciaux doit être présent dans l’entrée pour déclencher la violation de vérification de sécurité.

Conseil :

Si les utilisateurs configurent le Web Application Firewall pour vérifier les entrées contenant un caractère spécial SQL, le Web Application Firewall ignore les champs de formulaire Web qui ne contiennent aucun caractère spécial. Étant donné que la plupart des serveurs SQL ne traitent pas les commandes SQL qui ne sont pas précédées d’un caractère spécial, l’activation de cette option peut réduire considérablement la charge sur le Web Application Firewall et accélérer le traitement sans mettre en danger les sites Web protégés par l’utilisateur.

Gestion des commentaires SQL — Par défaut, le Web Application Firewall recherche les commandes SQL injectées dans tous les commentaires SQL. Cependant, de nombreux serveurs SQL ignorent tout élément d’un commentaire, même s’il est précédé d’un caractère spécial SQL. Pour accélérer le traitement, si votre serveur SQL ignore les commentaires, vous pouvez configurer le Web Application Firewall pour ignorer les commentaires lors de l’examen des demandes de code SQL injecté. Les options de gestion des commentaires SQL sont les suivantes :

  • ANSI  : ignore les commentaires SQL au format ANSI, qui sont normalement utilisés par les bases de données SQL basées sur UNIX. Par exemple :

    • /— (Deux traits d’union) - C’est un commentaire qui commence par deux traits d’union et se termine par la fin de la ligne.

    • {} - Accolades (Les accolades enferment le commentaire. Le {précède le commentaire, et le} le suit. Les accolades peuvent délimiter les commentaires sur une ou plusieurs lignes, mais les commentaires ne peuvent pas être imbriqués)

    • /**/: commentaires de style C (n’autorise pas les commentaires imbriqués). Veuillez noter /* ! <comment that begins with a slash followed by an asterisk and an exclamation mark is not a comment >*/

    • MySQL Server prend en charge certaines variantes de commentaires de style C. Ils permettent aux utilisateurs d’écrire du code qui inclut des extensions MySQL, mais qui reste portable, en utilisant des commentaires de la forme suivante : [/* ! Code spécifique à MySQL */]

    • .# : Mysql comments : C’est un commentaire qui commence par le caractère # et se termine par la fin de la ligne

  • Nested  : ignore les commentaires SQL imbriqués, qui sont normalement utilisés par Microsoft SQL Server. Par exemple ; — (Deux traits d’union) et/**/(Autorise les commentaires imbriqués)

  • ANSI/Nested — Ignorer les commentaires qui respectent à la fois les normes ANSI et SQL imbriquées. Les commentaires qui correspondent uniquement à la norme ANSI, ou uniquement à la norme imbriquée, sont toujours vérifiés pour détecter le code SQL injecté.

  • Vérifier tous les commentaires — Vérifiez l’intégralité de la requête SQL injectée sans rien ignorer. C’est le réglage par défaut.

Conseil :

Dans la plupart des cas, les utilisateurs ne doivent pas choisir l’option imbriquée ou ANSI/imbriquée sauf si leur base de données principale est exécutée sur Microsoft SQL Server. La plupart des autres types de logiciels SQL Server ne reconnaissent pas les commentaires imbriqués. Si des commentaires imbriqués apparaissent dans une demande dirigée vers un autre type de serveur SQL, ils peuvent indiquer une tentative de violation de la sécurité sur ce serveur.

Vérifier les en-têtes de requête — Activez cette option si, en plus d’examiner les entrées dans les champs du formulaire, les utilisateurs souhaitent examiner les en-têtes de requête pour les attaques par injection HTML SQL. Si les utilisateurs utilisent l’interface utilisateur graphique, ils peuvent activer ce paramètre dans le voletParamètres avancés->Paramètres du profildu profil du Web Application Firewall.

Remarque :

Si les utilisateurs activent l’indicateur d’en-tête Check Request, ils peuvent avoir à configurer une règle de relaxation pour l’en-têteUser-Agent. La présence du mot-clé SQLlikeet d’un caractère spécial SQL point-virgule (;) peut déclencher des faux positifs et bloquer les requêtes contenant cet en-tête. Avertissement : Si les utilisateurs activent à la fois la vérification et la transformation des en-têtes de requête, tous les caractères spéciaux SQL présents dans les en-têtes sont également transformés. Les en-têtes Accept, Accept-Charset, Accept-Encoding, Accept-Language, Expect et User-Agent contiennent normalement des points-virgules ( ;). L’activation simultanée de la vérification et de la transformation des en-têtes de demande peut entraîner des erreurs

InspectQueryContentTypes— Configurez cette option si les utilisateurs souhaitent examiner la partie requête de requête à la recherche d’attaques par injection SQL pour des types de contenu spécifiques. Si les utilisateurs utilisent l’interface utilisateur graphique, ils peuvent configurer ce paramètre dans le voletParamètres avancés->Paramètres du profildu profil du pare-feu d’application.

Scripting intersite

La vérification Script intersite HTML (script intersite) examine à la fois les en-têtes et les corps POST des requêtes utilisateur pour détecter d’éventuelles attaques de script intersite. S’il trouve un script intersite, il modifie (transforme) la demande pour rendre l’attaque inoffensive ou bloque la demande.

Remarque :

La vérification Script intersite HTML (script intersite) fonctionne uniquement pour le type de contenu, la longueur du contenu, etc. Cela ne fonctionne pas pour les cookie. Assurez-vous également que l’option « CheckRequestHeaders » est activée dans le profil Web Application Firewall de l’utilisateur.

Pour empêcher l’utilisation abusive des scripts sur les sites Web protégés par l’utilisateur afin d’enfreindre la sécurité des sites Web des utilisateurs, la vérification HTML Cross-Site Scripting bloque les scripts qui enfreignent la même règle d’origine, qui stipule que les scripts ne doivent pas accéder au contenu ni le modifier sur aucun serveur autre que le serveur sur lequel ils se trouvent. Tout script qui enfreint la même règle d’origine est appelé script intersite, et la pratique consistant à utiliser des scripts pour accéder ou modifier du contenu sur un autre serveur est appelée script intersite. La raison pour laquelle les scripts intersites constituent un problème de sécurité est qu’un serveur Web qui autorise le script intersite peut être attaqué à l’aide d’un script qui ne se trouve pas sur ce serveur Web, mais sur un autre serveur Web, tel qu’un serveur détenu et contrôlé par l’attaquant.

Malheureusement, de nombreuses entreprises disposent d’une importante base installée de contenu Web amélioré par JavaScript qui enfreint la même règle d’origine. Si les utilisateurs activent le check HTML Cross-Site Scripting sur un tel site, ils doivent générer les exceptions appropriées afin que la vérification ne bloque pas les activités légitimes.

Le Web Application Firewall propose diverses options d’action pour la mise en œuvre de la protection par script intersite HTML. Outre les actionsBloquer,Enregistrer,StatistiquesetApprendre, les utilisateurs ont également la possibilité detransformer les scripts intersitespour rendre une attaque inoffensive en codant les balises de script dans la demande soumise par l’entité. Les utilisateurs peuvent configurer Vérifier les URL complètes pour le paramètre de script intersite afin de spécifier s’ils souhaitent inspecter non seulement les paramètres de requête, mais l’URL entière afin de détecter une attaque par script intersite. Les utilisateurs peuvent configurer le paramètre InspectQueryContentTypespour inspecter la partie requête de requête afin de détecter une attaque par script intersite pour les types de contenu spécifiques.

Les utilisateurs peuvent déployer des relaxations pour éviter les faux positifs. Le moteur d’apprentissage Web Application Firewall peut fournir des recommandations pour la configuration des règles de relaxation.

Les options suivantes sont disponibles pour configurer une protection optimisée par script intersite HTML pour l’application utilisateur :

  • Bloquer — Si les utilisateurs activent block, l’action de blocage est déclenchée si les balises de script intersite sont détectées dans la demande.

  • Journal  : si les utilisateurs activent la fonction de journalisation, le check HTML Cross-Site Scripting génère des messages de journal indiquant les actions qu’il entreprend. Si block est désactivé, un message de journal distinct est généré pour chaque en-tête ou champ de formulaire dans lequel la violation de script intersite a été détectée. Toutefois, un seul message est généré lorsque la demande est bloquée. De même, 1 message de journal par demande est généré pour l’opération de transformation, même lorsque les balises de script intersite sont transformées dans plusieurs champs. Les utilisateurs peuvent surveiller les journaux pour déterminer si les réponses aux demandes légitimes sont bloquées. Une forte augmentation du nombre de messages de journal peut indiquer des tentatives de lancement d’une attaque.

  • Statistiques — Si elle est activée, la fonction de statistiques collecte des statistiques sur les violations et les journaux. Une augmentation inattendue du compteur de statistiques peut indiquer que l’application utilisateur est attaquée. Si des demandes légitimes sont bloquées, les utilisateurs peuvent être amenés à revoir la configuration pour voir s’ils doivent configurer de nouvelles règles de relaxation ou modifier les règles existantes.

  • Apprendre — Si les utilisateurs ne sont pas certains des règles de relaxation qui conviennent le mieux à leur application, ils peuvent utiliser la fonction d’apprentissage pour générer des recommandations de règles de script intersite HTML basées sur les données apprises. Le moteur d’apprentissage du Web Application Firewall surveille le trafic et fournit des recommandations d’apprentissage basées sur les valeurs observées. Pour obtenir des avantages optimaux sans compromettre les performances, les utilisateurs peuvent vouloir activer l’option d’apprentissage pendant une courte période afin d’obtenir un exemple représentatif des règles, puis déployer les règles et désactiver l’apprentissage.

  • Transformer les scripts intersites  : si cette option est activée, le Web Application Firewall apporte les modifications suivantes aux requêtes qui correspondent à la vérification HTML Cross-Site Scripting :

    • Crochet angulaire gauche (<) en équivalent d’entité de caractères HTML (<)

    • Crochet droit (>) en équivalent d’entité de caractères HTML (>)

Cela garantit que les navigateurs n’interprètent pas les balises html non sécurisées, telles que <script>, and thereby run malicious code. If users enable both request-header checking and transformation, any special characters found in request headers are also modified as described above. If scripts on the user protected website contain cross-site scripting features, but the user website does not rely upon those scripts to operate correctly, users can safely disable blocking and enable transformation. This configuration ensures that no legitimate web traffic is blocked, while stopping any potential cross-site scripting attacks.

  • Vérifier les URL complètes pour les scripts intersites — Si la vérification des URL complètes est activée, le Web Application Firewall examine les URL entières à la recherche d’attaques par script intersite HTML au lieu de vérifier uniquement les parties de requête des URL.

  • Vérifier les en-têtes de demande — Si la vérification des en-têtes de requête est activée, le Web Application Firewall examine les en-têtes des requêtes pour les attaques par script intersite HTML, au lieu des URL uniquement. Si les utilisateurs utilisent l’interface utilisateur graphique, ils peuvent activer ce paramètre dans l’onglet Paramètres du profil Web Application Firewall.

  • InspectQueryContentTypes— Si l’inspection de requête de requête est configurée, le pare-feu d’application examine la requête des demandes d’attaques par script intersite pour les types de contenu spécifiques. Si les utilisateurs utilisent l’interface utilisateur graphique, ils peuvent configurer ce paramètre dans l’onglet Paramètres du profil du pare-feu d’applications.

Important :

Dans le cadre des modifications apportées au streaming, le traitement des balises de script intersite par le Web Application Firewall a changé. Dans les versions précédentes, la présence de crochets ouverts (<), or close bracket (>) ou de crochets ouverts et fermés (<>) était signalée comme une violation de script intersite. Le comportement a changé dans les versions qui incluent la prise en charge du streaming côté demande. Seul le caractère de crochet fermé (>) n’est plus considéré comme une attaque. Les demandes sont bloquées même lorsqu’un caractère entre crochets ouverts (<) est présent, et sont considérées comme une attaque. L’attaque par script intersite est signalée.

Vérification du débordement de la mémoire tampon

La vérification de débordement de la mémoire tampon détecte les tentatives de provoquer un débordement de la mémoire tampon sur le serveur Web. Si le Web Application Firewall détecte que l’URL, les cookies ou l’en-tête sont plus longs que la longueur configurée, il bloque la demande car cela peut provoquer un dépassement de tampon.

La vérification de débordement de la mémoire tampon empêche les attaques contre les logiciels non sécurisés du système d’exploitation ou du serveur Web qui peuvent se bloquer ou se comporter de manière imprévisible lorsqu’il reçoit une chaîne de données plus grande qu’elle ne peut gérer. Des techniques de programmation appropriées empêchent les débordements de tampon en vérifiant les données entrantes et en rejetant ou en tronquant les chaînes trop longues. De nombreux programmes, cependant, ne vérifient pas toutes les données entrantes et sont donc vulnérables aux débordements de tampon. Ce problème affecte particulièrement les anciennes versions des logiciels et des systèmes d’exploitation de serveurs Web, dont beaucoup sont encore en cours d’utilisation.

Le contrôle de sécurité Buffer Overflow permet aux utilisateurs de configurer les actionsBlock,LogetStats. En outre, les utilisateurs peuvent également configurer les paramètres suivants :

  • Longueur maximale de l’URL. La longueur maximale autorisée par le Web Application Firewall dans une URL demandée. Les demandes avec des URL plus longues sont bloquées.Valeurs possibles : 0 à 65535.Par défaut : 1024

  • Longueur maximale du cookie. La longueur maximale autorisée par le Web Application Firewall pour tous les cookies d’une demande. Les demandes avec des cookies plus longs déclenchent les violations.Valeurs possibles : 0 à 65535.Par défaut : 4096

  • Longueur maximale de l’en-tête. La longueur maximale autorisée par le Web Application Firewall pour les en-têtes HTTP. Les demandes avec des en-têtes plus longs sont bloquées.Valeurs possibles : 0 à 65535.Par défaut : 4096

  • Longueur de chaîne de requête. Longueur maximale autorisée pour une chaîne de requête dans une requête entrante. Les requêtes avec des requêtes plus longues sont bloquées. Valeurs possibles : 0—65535. Par défaut : 1024

  • Longueur totale de la demande. Longueur maximale de demande autorisée pour une demande entrante. Les demandes de plus longue durée sont bloquées. Valeurs possibles : 0—65535. Par défaut : 24820

Patching/Signatures virtuels

Les signatures fournissent des règles spécifiques et configurables pour simplifier la tâche de protection des sites Web des utilisateurs contre les attaques connues. Une signature représente un modèle qui est un composant d’une attaque connue contre un système d’exploitation, un serveur Web, un site Web, un service Web XML ou une autre ressource. Un ensemble complet de règles préconfigurées, intégrées ou natives offre une solution de sécurité facile à utiliser, qui applique la puissance de la correspondance de modèles pour détecter les attaques et se protéger contre les vulnérabilités des applications.

Les utilisateurs peuvent créer leurs propres signatures ou utiliser des signatures dans les modèles intégrés. Le Web Application Firewall possède deux modèles intégrés :

  • Signatures par défaut : ce modèle contient une liste préconfigurée de plus de 1 300 signatures, en plus d’une liste complète de mots-clés d’injection SQL, de chaînes spéciales SQL, de règles de transformation SQL et de caractères génériques SQL. Il contient également des modèles refusés pour les scripts intersites, ainsi que des attributs et des balises autorisés pour les scripts intersites. Il s’agit d’un modèle en lecture seule. Les utilisateurs peuvent afficher le contenu, mais ils ne peuvent pas ajouter, modifier ou supprimer quoi que ce soit dans ce modèle. Pour l’utiliser, les utilisateurs doivent en faire une copie. Dans leur propre copie, les utilisateurs peuvent activer les règles de signature qu’ils souhaitent appliquer à leur trafic et spécifier les actions à effectuer lorsque les règles de signature correspondent au trafic.

Les signatures sont dérivées des règles publiées par SNORT : SNORT, qui est un système de prévention des intrusions open source capable d’effectuer une analyse du trafic en temps réel pour détecter diverses attaques et sondes.

  • *Modèles d’injection Xpath : Ce modèle contient un ensemble préconfiguré de mots-clés littéraux et PCRE ainsi que des chaînes spéciales utilisées pour détecter les attaques par injection XPath (XML Path Language).

Signatures vierges : Outre la copie du modèle de signatures par défaut intégré, les utilisateurs peuvent utiliser un modèle de signature vierge pour créer un objet de signature. L’objet de signature que les utilisateurs créent avec l’option de signatures vierges ne possède pas de règles de signature natives, mais, tout comme le modèle *Default, il possède toutes les entités intégrées SQL/XSS.

Signatures de format externe : le Web Application Firewall prend également en charge les signatures de format externe. Les utilisateurs peuvent importer le rapport de scan tiers à l’aide des fichiers XSLT pris en charge par le pare-feu d’application Web Citrix. Un ensemble de fichiers XSLT intégrés est disponible pour certains outils d’analyse afin de traduire les fichiers au format externe au format natif (voir la liste des fichiers XSLT intégrés plus loin dans cette section).

Alors que les signatures aident les utilisateurs à réduire le risque de vulnérabilités exposées et à protéger les serveurs Web critiques tout en visant l’efficacité, les signatures ont un coût de traitement CPU supplémentaire.

Il est important de choisir les signatures adaptées aux besoins de l’application utilisateur. Activez uniquement les signatures pertinentes pour l’application/l’environnement du client.

Citrix propose des signatures dans plus de 10 catégories différentes sur les plateformes/systèmes d’exploitation et technologies.

image-vpx-aws-appsecurity-deployment-16

La base de données des règles de signature est importante, car les informations sur les attaques se sont accumulées au fil des ans. Ainsi, la plupart des anciennes règles peuvent ne pas être pertinentes pour tous les réseaux, car les développeurs de logiciels les ont peut-être déjà corrigées ou les clients utilisent une version plus récente du système d’exploitation.

Mises à jour des

Citrix Web Application Firewall prend en charge la mise à jour automatique et manuelle des signatures. Nous vous suggérons également d’activer la mise à jour automatique pour les signatures afin de rester à jour.

image-vpx-aws-appsecurity-deployment-17

Ces fichiers de signatures sont hébergés dans l’environnement AWS et il est important d’autoriser l’accès sortant aux adresses IP NetScaler depuis les pare-feu réseau pour récupérer les derniers fichiers de signatures. La mise à jour des signatures vers l’ADC pendant le traitement du trafic en temps réel n’a aucun effet

Analyse de sécurité des applications

Letableau de bord de sécurité des applicationsfournit une vue globale de l’état de sécurité des applications utilisateur. Par exemple, il affiche des mesures de sécurité clés telles que les violations de sécurité, les violations de signature et les index de menaces. Le tableau de bord Sécurité des applications affiche également des informations relatives aux attaques, telles que les attaques de synchronisation, les attaques par petites fenêtres et les attaques par inondation DNS pour les instances Citrix ADC découvertes.

Remarque :

Pour afficher les métriques du tableau de bord de sécurité des applications, AppFlow for Security Insight doit être activé sur les instances Citrix ADC que les utilisateurs souhaitent surveiller.

Pour afficher les métriques de sécurité d’une instance Citrix ADC sur le tableau de bord de sécurité de l’application

  1. Ouvrez une session sur Citrix ADM à l’aide des informations d’identification de l’administrateur.

  2. Accédez à Applications > App Security Dashboard, puis sélectionnez l’adresse IP de l’instance dans la liste Appareils.

Les utilisateurs peuvent explorer plus en détail les anomalies signalées par Application Security Investigator en cliquant sur les bulles tracées sur le graphique.

Apprentissage centralisé sur ADM

Citrix Web Application Firewall (WAF) protège les applications Web des utilisateurs contre les attaques malveillantes telles que l’injection SQL et les scripts intersites (XSS). Pour prévenir les violations de données et fournir une protection de sécurité adaptée, les utilisateurs doivent surveiller leur trafic à la recherche de menaces et de données exploitables en temps réel sur les attaques. Parfois, les attaques signalées peuvent être des faux positifs et ceux-ci doivent être fournis à titre exceptionnel.

L’apprentissage centralisé sur Citrix ADM est un filtre de signatures répétitif qui permet à WAF d’apprendre le comportement (les activités normales) des applications Web utilisateur. Sur la base de la surveillance, le moteur génère une liste de règles ou d’exceptions suggérées pour chaque vérification de sécurité appliquée au trafic HTTP.

Il est beaucoup plus facile de déployer des règles de relaxation à l’aide du moteur d’apprentissage que de les déployer manuellement en tant que relaxation nécessaire.

Pour déployer la fonctionnalité d’apprentissage, les utilisateurs doivent d’abord configurer un profil Web Application Firewall (ensemble de paramètres de sécurité) sur l’appliance Citrix ADC utilisateur. Pour plus d’informations, consultez Création de profils de Web Application Firewall : Création de profils de Web App Firewall.

Citrix ADM génère une liste d’exceptions (relaxations) pour chaque vérification de sécurité. En tant qu’administrateur, les utilisateurs peuvent consulter la liste des exceptions dans Citrix ADM et décider de les déployer ou de les ignorer.

À l’aide de la fonctionnalité d’apprentissage WAF de Citrix ADM, les utilisateurs peuvent :

  • Configurer un profil d’apprentissage avec les contrôles de sécurité suivants

    • Dépassement de tampon

    • Scriptage inter-sites HTML

    Remarque :

    La limitation de l’emplacement d’un script inter-site est uniquement FormField.

    • Injection SQL HTML

    Remarque :

    Pour la vérification Injection HTML SQL, les utilisateurs doiventset -sqlinjectionTransformSpecialChars configurer sur ON etset -sqlinjectiontype sqlspclcharorkeywords dans l’instance Citrix ADC.

  • Vérifiez les règles de relaxation dans Citrix ADM et décidez de prendre les mesures nécessaires (déployer ou ignorer)

  • Recevez les notifications par e-mail, slack et ServiceNow

  • Utilisez le tableau de bord pour afficher les détails relatifs à

Pour utiliser l’apprentissage WAF dans Citrix ADM :

  1. Configurer le profil de formation : Configurer le profil de formation

  2. Voir les règles de relaxation : Afficher les règles de relaxation et les règles d’inactivité

  3. Utilisez le tableau de bord d’apprentissage WAF : Afficher le tableau de bord d’apprentissage WAF

StyleBook

Citrix Web Application Firewall est un pare-feu d’application Web (WAF) qui protège les applications et les sites Web contre les attaques connues et inconnues, y compris toutes les menaces zero-day et au niveau de la couche applicative.

Citrix ADM fournit désormais un StyleBook par défaut avec lequel les utilisateurs peuvent créer plus facilement une configuration de pare-feu d’application sur les instances Citrix ADC.

Déploiement de configurations de pare-feu

La tâche suivante vous aide à déployer une configuration d’équilibrage de charge avec le pare-feu d’application et la stratégie de réputation IP sur les instances de Citrix ADC dans votre réseau d’entreprise.

Pour créer une configuration LB avec des paramètres de pare-feu d’application

Dans Citrix ADM, accédez àApplications>Configurations>StyleBooks. La page StyleBooks affiche tous les StyleBooks disponibles pour une utilisation par le client dans Citrix.

  • ADM. Faites défiler vers le bas et recherchez HTTP/SSL Load Balancing StyleBook avec stratégie de pare-feu d’application et stratégie de réputation IP. Les utilisateurs peuvent également rechercher le StyleBook en saisissant son nom sous la forme lb-appfw. Cliquez surCréer une configuration.

Le StyleBook s’ouvre en tant que page d’interface utilisateur sur laquelle les utilisateurs peuvent entrer les valeurs de tous les paramètres définis dans ce StyleBook.

  • Entrez des valeurs pour les paramètres suivants :

    • Nom de l’application équilibrée de charge. Nom de la configuration d’équilibrage de charge avec un pare-feu d’application à déployer sur le réseau utilisateur.

    • Adresse IP virtuelle de l’application équilibrée en charge. Adresse IP virtuelle à laquelle l’instance d’Citrix ADC reçoit les demandes client.

    • Port virtuel de l’application équilibrée de charge. Port TCP à utiliser par les utilisateurs pour accéder à l’application équilibrée de charge.

    • Protocole d’application équilibré de charge. Sélectionnez le protocole frontal dans la liste.

    • Protocole du serveur d’applications. Sélectionnez le protocole du serveur d’applications.

image-vpx-aws-appsecurity-deployment-18

  • En option, les utilisateurs peuvent activer et configurer lesparamètres avancés de l’équilibreurde charge.

image-vpx-aws-appsecurity-deployment-19

  • Les utilisateurs peuvent également configurer un serveur d’authentification pour authentifier le trafic pour le serveur virtuel d’équilibrage de charge.

image-vpx-aws-appsecurity-deployment-20

  • Cliquez sur « + » dans la section IP et ports des serveurs pour créer des serveurs d’applications et les ports sur lesquels ils sont accessibles.

image-vpx-aws-appsecurity-deployment-21

  • Les utilisateurs peuvent également créer des noms de domaine complet pour les serveurs d’applications.

image-vpx-aws-appsecurity-deployment-22

  • Les utilisateurs peuvent également spécifier les détails du certificat SSL.

image-vpx-aws-appsecurity-deployment-23

  • Les utilisateurs peuvent également créer des moniteurs dans l’instance Citrix ADC cible.

image-vpx-aws-appsecurity-deployment-24

  • Pour configurer le pare-feu d’application sur le serveur virtuel, activez les paramètres WAF.

Assurez-vous que la règle de stratégie de pare-feu d’application est vraie si les utilisateurs souhaitent appliquer les paramètres du pare-feu applicatif à tout le trafic sur ce VIP. Sinon, spécifiez la règle de stratégie Citrix ADC pour sélectionner un sous-ensemble de demandes auxquelles appliquer les paramètres du pare-feu d’application. Ensuite, sélectionnez le type de profil à appliquer - HTML ou XML.

image-vpx-aws-appsecurity-deployment-25

  • Les utilisateurs peuvent éventuellement configurer des paramètres de profil de pare-feu d’application détaillés en activant la case à cocher Paramètres de profil du pare-feu d’application.

  • Si les utilisateurs souhaitent configurer des signatures de pare-feu d’application, entrez le nom de l’objet de signature créé sur l’instance Citrix ADC où le serveur virtuel doit être déployé.

Remarque :

Les utilisateurs ne peuvent pas créer d’objets de signature en utilisant ce StyleBook.

  • Ensuite, les utilisateurs peuvent également configurer tout autre paramètre de profil de pare-feu d’application, tels que les paramètres StartURL, les paramètres DenyURL et autres.

image-vpx-aws-appsecurity-deployment-26

Pour plus d’informations sur le pare-feu d’application et les paramètres de configuration, voir Pare-feu d’application.

  • Dans la sectionInstances cibles, sélectionnez l’instance Citrix ADC sur laquelle vous souhaitez déployer le serveur virtuel d’équilibrage de charge avec le pare-feu d’application.

Remarque :

Les utilisateurs peuvent également cliquer sur l’icône d’actualisation pour ajouter les instances Citrix ADC récemment découvertes dans Citrix ADM à la liste des instances disponibles dans cette fenêtre.

  • Les utilisateurs peuvent également activer lecontrôle de réputation IPpour identifier l’adresse IP qui envoie des demandes indésirables. Les utilisateurs peuvent utiliser la liste de réputation IP pour rejeter de manière préventive les demandes provenant de l’adresse IP de mauvaise réputation.

image-vpx-aws-appsecurity-deployment-27

Conseil :

Citrix recommande aux utilisateurs de sélectionner Dry Run pour vérifier les objets de configuration qui doivent être créés sur l’instance cible avant d’exécuter la configuration réelle sur l’instance.

Lorsque la configuration est correctement créée, le StyleBook crée le serveur virtuel d’équilibrage de charge requis, le serveur d’applications, les services, les groupes de services, les étiquettes de pare-feu d’application, les stratégies de pare-feu d’application et les lie au serveur virtuel d’équilibrage de charge.

La figure suivante montre les objets créés sur chaque serveur :

image-vpx-aws-appsecurity-deployment-28

  • Pour afficher le ConfigPack créé sur Citrix ADM, accédez à Applications > Configurations .

image-vpx-aws-appsecurity-deployment-29

Analyses Security Insight

Les applications Web et de services Web exposées à Internet sont devenues de plus en plus vulnérables aux attaques. Pour protéger les applications contre les attaques, les utilisateurs ont besoin d’une visibilité sur la nature et l’ampleur des menaces passées, présentes et imminentes, de données exploitables en temps réel sur les attaques et de recommandations sur les contre-mesures. Security Insight fournit une solution à panneau unique pour aider les utilisateurs à évaluer l’état de sécurité des applications utilisateur et à prendre des mesures correctives pour sécuriser les applications utilisateur.

Fonctionnement de Security Insight

Security Insight est une solution d’analyse de sécurité intuitive basée sur un tableau de bord qui offre aux utilisateurs une visibilité complète sur l’environnement des menaces associées aux applications utilisateur. Security Insight est inclus dans Citrix ADM et génère régulièrement des rapports basés sur les configurations de sécurité du système ADC et Application Firewall de l’utilisateur. Les rapports contiennent les renseignements suivants pour chaque application :

  • Indice des menaces. Système d’évaluation à un chiffre qui indique le degré de criticité des attaques contre l’application, que l’application soit protégée ou non par une appliance ADC. Plus les attaques sur une application sont critiques, plus l’indice de menace pour cette application est élevé. Les valeurs varient de 1 à 7.

L’indice des menaces est basé sur les informations d’attaque. Les informations relatives à l’attaque, telles que le type de violation, la catégorie d’attaque, l’emplacement et les détails du client, fournissent aux utilisateurs un aperçu des attaques contre l’application. Les informations de violation sont envoyées à Citrix ADM uniquement lorsqu’une violation ou une attaque se produit. De nombreuses failles et vulnérabilités conduisent à un indice de menace élevé.

  • Indice de sécurité. Un système d’évaluation à un chiffre qui indique le niveau de sécurité des utilisateurs pour configurer les instances ADC afin de protéger les applications contre les menaces et les vulnérabilités externes. Plus les risques pour la sécurité d’une application sont faibles, plus l’indice de sécurité est élevé. Les valeurs varient de 1 à 7.

L’indice de sécurité tient compte à la fois de la configuration du pare-feu d’application et de la configuration de sécurité du système ADC. Pour un indice de sécurité élevé, les deux configurations doivent être solides. Par exemple, si des contrôles rigoureux du pare-feu des applications sont en place mais que les mesures de sécurité du système ADC, telles qu’un mot de passe fort pour l’utilisateur nsroot, n’ont pas été adoptées, les applications se voient attribuer une valeur d’indice de sécurité faible.

  • Informations exploitables. Informations dont les utilisateurs ont besoin pour réduire l’indice de menace et augmenter l’indice de sécurité, ce qui améliore considérablement la sécurité des applications. Par exemple, les utilisateurs peuvent consulter des informations sur les violations, les configurations de sécurité existantes et manquantes pour le pare-feu des applications et d’autres fonctionnalités de sécurité, le taux d’attaque des applications, etc.

Configuration de Security Insight

Remarque :

Security Insight est pris en charge sur les instances ADC avec licence Premium ou ADC Advanced avec licence AppFirewall uniquement.

Pour configurer les informations de sécurité sur une instance ADC, configurez d’abord un profil de pare-feu d’application et une stratégie de pare-feu d’application, puis liez la stratégie de pare-feu d’application globalement.

Ensuite, activez la fonctionnalité AppFlow, configurez un collecteur, une action et une stratégie AppFlow, puis liez la stratégie globalement. Lorsque les utilisateurs configurent le collecteur, ils doivent spécifier l’adresse IP de l’agent de service Citrix ADM sur lequel ils souhaitent surveiller les rapports.

Configuration de Security Insight sur une instance ADC

  • Exécutez les commandes suivantes pour configurer un profil et une stratégie de pare-feu d’application et lier la stratégie de pare-feu d’application globalement ou au serveur virtuel d’équilibrage de charge.

add appfw profile <name> [-defaults ( basic or advanced )]

set appfw profile <name> [-startURLAction <startURLAction> …]

add appfw policy <name> <rule> <profileName>

bind appfw global <policyName> <priority>

ou,

bind lb vserver <lb vserver> -policyName <policy> -priority <priority>

Échantillon :


add appfw profile pr_appfw -defaults advanced

set appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority "20"

<!--NeedCopy-->
  • Exécutez les commandes suivantes pour activer la fonctionnalité AppFlow, configurer un collecteur, une action et une stratégie AppFlow et lier la stratégie globalement ou au serveur virtuel d’équilibrage de charge :

add appflow collector <name> -IPAddress <ipaddress>

set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ENABLED or DISABLED )]

add appflow action <name> -collectors <string>

add appflow policy <name> <rule> <action>

bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

ou,

bind lb vserver <vserver> -policyName <policy> -priority <priority>

Échantillon :


add appflow collector col -IPAddress 10.102.63.85

set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"

<!--NeedCopy-->

Activer Security Insight à partir de Citrix ADM

  1. Accédez àRéseaux>Instances>Citrix ADCet sélectionnez le type d’instance. Par exemple, VPX.

  2. Sélectionnez l’instance et dans la listeSélectionner une action, sélectionnezConfigurer Analytics.

  3. Dans la fenêtreConfigurer Analytics sur un serveur virtuel :

    • Sélectionnez les serveurs virtuels pour lesquels vous souhaitez activer Security Insight et cliquez surActiver Analytics.

    La fenêtreActiver Analyticss’affiche.

    • SélectionnezSecurity Insight

    • SousOptions avancées, sélectionnezLogstreamouIPFIXcomme mode de transport

    • L’expression est true par défaut

    • Cliquez surOK

image-vpx-aws-appsecurity-deployment-30

Remarque :

  • Si les utilisateurs sélectionnent des serveurs virtuels qui ne sont pas sous licence, Citrix ADM octroie d’abord une licence pour ces serveurs virtuels, puis active l’analyse.

  • Pour les partitions d’administration, seul Web Insight est pris en charge

Une fois que les utilisateurs ont cliqué surOK, Citrix ADM procède à l’activation des analyses sur les serveurs virtuels sélectionnés.

image-vpx-aws-appsecurity-deployment-31

Remarque :

Lorsque les utilisateurs créent un groupe, ils peuvent attribuer des rôles au groupe, fournir un accès au niveau de l’application au groupe et attribuer des utilisateurs au groupe. Citrix ADM Analytics prend désormais en charge l’autorisation basée sur les adresses IP virtuelles. Les utilisateurs clients peuvent désormais consulter les rapports pour tous les Insights uniquement pour les applications (serveurs virtuels) pour lesquelles ils sont autorisés. Pour plus d’informations sur les groupes et l’attribution d’utilisateurs au groupe, consultez Configurer des groupes sur Citrix ADM : Configurer des groupes sur Citrix ADM.

Seuils

Les utilisateurs peuvent définir et afficher des seuils sur l’indice de sécurité et l’indice de menace des applications dans Security Insight.

Pour définir un seuil

  • Accédez àSystème>Paramètres Analytics>Seuils, puis sélectionnezAjouter.

  • Sélectionnez le type de traficSécuritédans le champ Type de trafic et entrez les informations requises dans les autres champs appropriés tels que Nom, Durée et entité.

  • Dans la sectionRègle, utilisez les champs Métrique, Comparateur et Valeur pour définir un seuil. Par exemple, « Threat Index » « > » « 5 »

  • Cliquez sur Créer.

Pour afficher les franchissements de seuil

  • Accédez àAnalytics>Security Insight>Devices, puis sélectionnez l’instance ADC.

  • Dans la sectionApplication, les utilisateurs peuvent afficher le nombre de violations de seuil qui se sont produites pour chaque serveur virtuel dans la colonne Seuil de dépassement.

Cas d’utilisation Security Insight

Les exemples d’utilisation suivants décrivent comment les utilisateurs peuvent utiliser Security Insight pour évaluer l’exposition aux menaces des applications et améliorer les mesures de sécurité.

Obtenir un aperçu de l’environnement de menace

Dans ce cas d’utilisation, les utilisateurs disposent d’un ensemble d’applications exposées aux attaques et ont configuré Citrix ADM pour surveiller l’environnement des menaces. Les utilisateurs doivent régulièrement consulter l’indice de menace, l’indice de sécurité, ainsi que le type et la gravité des attaques que les applications ont pu subir, afin de pouvoir se concentrer en premier lieu sur les applications qui nécessitent le plus d’attention. Le tableau de bord Security Insight fournit un résumé des menaces subies par les applications utilisateur au cours de la période choisie par l’utilisateur et pour un appareil ADC sélectionné. Il affiche la liste des applications, leurs indices de menace et de sécurité, ainsi que le nombre total d’attaques pour la période choisie.

Par exemple, les utilisateurs peuvent surveiller Microsoft Outlook, Microsoft Lync, SharePoint et une application SAP, et les utilisateurs peuvent vouloir consulter un résumé de l’environnement de menaces pour ces applications.

Pour obtenir un résumé de l’environnement des menaces, connectez-vous à Citrix ADM, puis accédez àAnalytics > Security Insight.

Les informations clés sont affichées pour chaque application. La période par défaut est de 1 heure.

image-vpx-aws-appsecurity-deployment-32

Pour afficher les informations d’une période différente, sélectionnez une période dans la liste située en haut à gauche.

image-vpx-aws-appsecurity-deployment-33

Pour afficher un résumé d’une autre instance ADC, sousDevices, cliquez sur l’adresse IP de l’instance ADC. Pour trier la liste des applications par colonne donnée, cliquez sur l’en-tête de colonne.

Déterminer l’exposition à la menace d’une application

Après avoir examiné un résumé de l’environnement des menaces sur le tableau de bord Security Insight afin d’identifier les applications présentant un indice de menace élevé et un indice de sécurité faible, les utilisateurs souhaitent déterminer leur exposition aux menaces avant de décider comment les sécuriser. En d’autres termes, les utilisateurs souhaitent déterminer le type et la gravité des attaques qui ont dégradé leurs valeurs d’index. Les utilisateurs peuvent déterminer l’exposition aux menaces d’une application en consultant le résumé de l’application.

Dans cet exemple, Microsoft Outlook a une valeur d’indice de menace de 6, et les utilisateurs souhaitent connaître les facteurs qui contribuent à cet indice de menace élevé.

Pour déterminer l’exposition aux menaces de Microsoft Outlook, dans le tableau de bordSecurity Insight, cliquez surOutlook. Le résumé de l’application inclut une carte qui identifie l’emplacement géographique du serveur.

image-vpx-aws-appsecurity-deployment-34

Cliquez surIndex des menaces > Violations des contrôles de sécurité et vérifiezles informations de violation qui s’affichent.

image-vpx-aws-appsecurity-deployment-35

Cliquez surViolations de signatureet vérifiez les informations de violation qui s’affichent.

image-vpx-aws-appsecurity-deployment-36

Déterminer les configurations de sécurité existantes et manquantes pour une application

Après avoir examiné l’exposition aux menaces d’une application, les utilisateurs souhaitent déterminer quelles configurations de sécurité d’application sont en place et quelles configurations sont manquantes pour cette application. Les utilisateurs peuvent obtenir ces informations en explorant le résumé de l’indice de sécurité de l’application.

Le résumé de l’indice de sécurité fournit aux utilisateurs des informations sur l’efficacité des configurations de sécurité suivantes :

  • Configuration du pare-feu d’application. Indique le nombre d’entités de signature et de sécurité non configurées.

  • Citrix ADM System Security. Indique le nombre de paramètres de sécurité du système qui ne sont pas configurés.

image-vpx-aws-appsecurity-deployment-37

Dans l’exemple d’utilisation précédent, les utilisateurs ont examiné l’exposition aux menaces de Microsoft Outlook, dont la valeur d’indice de menace est de 6. Désormais, les utilisateurs veulent savoir quelles configurations de sécurité sont en place pour Outlook et quelles configurations peuvent être ajoutées pour améliorer son indice de menaces.

Dans le tableau debord Security Insight, cliquez surOutlook, puis sur l’ongletIndice de sécurité. Passez en revue les informations fournies dans la zoneRésumé de l’indice de sécurité.

image-vpx-aws-appsecurity-deployment-38

Dans le nœudConfiguration du pare-feu d’application, cliquez surOutlook_Profileet passez en revue les informations de vérification de sécurité et de violation de signature dans les graphiques en secteurs.

image-vpx-aws-appsecurity-deployment-39

Vérifiez l’état de configuration de chaque type de protection dans le tableau récapitulatif du pare-feu de l’application. Pour trier le tableau d’une colonne, cliquez sur l’en-tête de colonne.

image-vpx-aws-appsecurity-deployment-40

Cliquez sur le nœudCitrix ADM System Securityet passez en revue les paramètres de sécurité du système et les recommandations Citrix pour améliorer l’indice de sécurité des applications.

Identifier les applications nécessitant une attention immédiate

Les applications qui nécessitent une attention immédiate sont celles qui présentent un indice de menace élevé et un indice de sécurité faible.

Dans cet exemple, Microsoft Outlook et Microsoft Lync ont une valeur d’indice de menace élevée de 6, mais Lync a le plus faible des deux index de sécurité. Par conséquent, les utilisateurs peuvent avoir à concentrer leur attention sur Lync avant d’améliorer l’environnement des menaces pour Outlook.

image-vpx-aws-appsecurity-deployment-41

Déterminer le nombre d’attaques au cours d’une période donnée

Les utilisateurs peuvent vouloir déterminer le nombre d’attaques qui se sont produites sur une application donnée à un moment donné ou étudier le taux d’attaque pendant une période donnée.

Sur la page Security Insight, cliquez sur n’importe quelle application et dans le résumé de l’application, cliquez sur le nombre de violations. La page Total des violations affiche les attaques de manière graphique pendant une heure, un jour, une semaine et un mois.

image-vpx-aws-appsecurity-deployment-42

Le tableauRésumé des applicationsfournit des informations détaillées sur les attaques. Certains d’entre eux sont les suivants :

  • Temps d’attaque

  • Adresse IP du client à partir duquel l’attaque s’est produite

  • Gravité

  • Catégorie de violation

  • URL d’origine de l’attaque, et d’autres détails.

image-vpx-aws-appsecurity-deployment-43

Alors que les utilisateurs peuvent toujours afficher l’heure de l’attaque dans un rapport horaire, comme le montre l’image, ils peuvent désormais consulter la plage de temps d’attaque pour les rapports agrégés, même pour les rapports quotidiens ou hebdomadaires. Si les utilisateurs sélectionnent « 1 jour » dans la liste des périodes, le rapport Security Insight affiche toutes les attaques agrégées et la durée de l’attaque est affichée dans une plage d’une heure. Si les utilisateurs choisissent « 1 semaine » ou « 1 mois », toutes les attaques sont agrégées et la durée de l’attaque est affichée sur une plage d’un jour.

image-vpx-aws-appsecurity-deployment-44

Obtenir des informations détaillées sur les violations de sécurité

Les utilisateurs peuvent consulter la liste des attaques contre une application et obtenir des informations sur le type et la gravité des attaques, les actions entreprises par l’instance ADC, les ressources demandées et la source des attaques.

Par exemple, les utilisateurs peuvent vouloir déterminer le nombre d’attaques contre Microsoft Lync qui ont été bloquées, les ressources demandées et les adresses IP des sources.

Dans le tableau debord Security Insight, cliquez surLync > Total Violations. Dans le tableau, cliquez sur l’icône de filtre dans l’en-têtede colonne Action entreprise, puis sélectionnezBloqué.

image-vpx-aws-appsecurity-deployment-45

Pour plus d’informations sur les ressources demandées, consultez la colonneURL. Pour plus d’informations sur les sources des attaques, consultez la colonneIP du client.

Afficher les détails de l’expression du journal

Les instances Citrix ADC utilisent des expressions de journal configurées avec le profil Application Firewall pour prendre des mesures contre les attaques contre une application dans l’entreprise de l’utilisateur. Dans Security Insight, les utilisateurs peuvent afficher les valeurs renvoyées pour les expressions de journal utilisées par l’instance ADC. Ces valeurs incluent, en-tête de requête, corps de requête et ainsi de suite. Outre les valeurs de l’expression de journal, les utilisateurs peuvent également afficher le nom de l’expression de journal et le commentaire de l’expression de journal définie dans le profil Application Firewall que l’instance ADC a utilisé pour prendre des mesures pour l’attaque.

Conditions préalables

Assurez-vous que les utilisateurs :

  • Configurez les expressions de journal dans le profil du pare-feu d’application. Pour plus d’informations, reportez-vous à la section Pare-feu d’application.

  • Activez les paramètres Security Insights basés sur l’expression de journal dans Citrix ADM. Procédez comme suit :

    • Accédez àAnalytics > Paramètres, puis cliquez surActiver les fonctionnalités pour Analytics.

    • Dans la page Activer les fonctionnalités pour Analytics, sélectionnezActiver Security Insight dans la section Paramètres de Security Insight basés sur l’expression du journalet cliquez surOK.

image-vpx-aws-appsecurity-deployment-46

Par exemple, les utilisateurs peuvent vouloir afficher les valeurs de l’expression de journal renvoyée par l’instance ADC pour l’action entreprise suite à une attaque contre Microsoft Lync dans l’entreprise de l’utilisateur.

Dans le tableau de bord Security Insight, accédez àLync > Total Violations. Dans le tableau Résumé de l’application, cliquez sur l’URL pour afficher les détails complets de la violation dans la pageInformations sur la violation, y compris le nom de l’expression de journal, le commentaire et les valeurs renvoyées par l’instance ADC pour l’action.

image-vpx-aws-appsecurity-deployment-47

Déterminer l’indice de sécurité avant de déployer la configuration

Les failles de sécurité se produisent après que les utilisateurs ont déployé la configuration de sécurité sur une instance ADC, mais les utilisateurs peuvent vouloir évaluer l’efficacité de la configuration de sécurité avant de la déployer.

Par exemple, les utilisateurs peuvent vouloir évaluer l’indice de sécurité de la configuration de l’application SAP sur l’instance ADC avec l’adresse IP 10.102.60.27.

Dans le tableau debord Security Insight, sousDevices, cliquez sur l’adresse IP de l’instance ADC configurée par les utilisateurs. Les utilisateurs peuvent voir que l’indice de menace et le nombre total d’attaques sont tous deux égaux à 0. L’indice de menace reflète directement le nombre et le type d’attaques contre l’application. Aucune attaque indique que l’application n’est soumise à aucune menace.

image-vpx-aws-appsecurity-deployment-48

Cliquez surSap > Safety Index > SAP_Profileet évaluez les informations d’indice de sécurité qui s’affichent.

image-vpx-aws-appsecurity-deployment-49

Dans le résumé du pare-feu d’application, les utilisateurs peuvent consulter l’état de configuration des différents paramètres de protection. Si un paramètre est défini pour consigner ou si un paramètre n’est pas configuré, un indice de sécurité inférieur est attribué à l’application.

image-vpx-aws-appsecurity-deployment-50

Infractions de sécurité

Afficher les informations relatives aux violations de sécurité

Les applications Web exposées à Internet sont devenues beaucoup plus vulnérables aux attaques. Citrix ADM permet aux utilisateurs de visualiser les détails des violations exploitables afin de protéger les applications contre les attaques. Accédez àSécurité > Violations de sécuritépour obtenir une solution à volet unique permettant de :

  • Accédez aux violations de sécurité des applications en fonction de leurs catégories, telles queRéseau,BotetWAF

  • Prendre des mesures correctives pour sécuriser les applications

Pour afficher les violations de sécurité dans Citrix ADM, assurez-vous que :

  • Les utilisateurs disposent d’une licence premium pour l’instance Citrix ADC (pour les violations WAF et BOT).

  • Les utilisateurs ont appliqué une licence sur les serveurs virtuels d’équilibrage de charge ou de commutation de contenu (pour WAF et BOT). Pour plus d’informations, consultez la section Gérer les licences sur les serveurs virtuels.

  • Les utilisateurs activent davantage de paramètres. Pour plus d’informations, consultez la procédure disponible dans la section Configuration de la documentation produit Citrix : Configuration.

Catégories de violations**

Citrix ADM permet aux utilisateurs d’afficher les violations suivantes :

RÉSEAU Bot WAF
HTTP lent Loris Connexions client excessives Transactions de chargement exceptionnellement élevées
DNS Lent Loris Prise en charge de compte** Transactions de téléchargement exceptionnellement élevées
Publication lente HTTP Volume de téléchargement exceptionnellement élevé IPs uniques excessifs
Attaque par saturation NXDomain Taux de demandes exceptionnellement élevé IPs uniques excessifs par géo
Attaque de désynchronisation HTTP Volume de téléchargement exceptionnellement élevé  
Attaque de Bleichenbacher    
Segment smack Attaque    
Attaque par inondation solaire    

** - Les utilisateurs doivent configurer le paramètre de prise de contrôle de compte dans Citrix ADM. Consultez les conditions préalables mentionnées dans Account Takeover : Account Takeover.

Outre ces violations, les utilisateurs peuvent également afficher les violations Security Insight et Bot Insight suivantes dans les catégories WAF et Bot, respectivement :

WAF Bot
Dépassement de tampon Crawler
Type de contenu Feed Fetcher
Cohérence des Vérificateur de liens
Balisage de formulaire CSRF Marketing
Refuser URL Scraper
Cohérence des champs de formulaire Créateur de capture d’écran
Formats de champs Moteur de recherche
Nombre maximal de téléchargements Agent de service
En-tête du référent Moniteur de site
Commerce sécurisé Tester de vitesse
Objet sécurisé Outil
Injection SQL HTML Sans catégorie
URL de démarrage Analyseur de virus
XSS Analyseur de vulnérabilité
DoS XML Attente DeviceFP dépassée
Format XML DeviceFP non valide
XML WSI Réponse Captcha non valide
XML SSL Tentatives de captcha dépassées
Pièce jointe XML Réponse Captcha valide
Erreur SOAP XML Captcha client en sourdine
Validation XML Temps d’attente Captcha dépassé
Autres Limite de taille de demande dépassée
Réputation IP Limite de débit dépassée
HTTP DOS Liste de blocage (IP, sous-réseau, expression de stratégie)
Petite fenêtre TCP Autoriser la liste (IP, sous-réseau, expression de stratégie)
Violation signature Demande de zéro pixel
Type de téléchargement de fichier IP source
JSON XSS Hôte
JSON SQL Géolocalisation
JSON DOS URL
Injection de commande  
Induire le type de contenu XML  
Détournement de cookies  

Configuration

Les utilisateurs doivent activerAdvanced Security Analyticset définir lesparamètres de transaction WebsurTouspour afficher les violations suivantes dans Citrix ADM :

  • Transactions de chargement exceptionnellement élevées (WAF)

  • Transactions de téléchargement exceptionnellement élevées (WAF)

  • IPs uniques excessifs (WAF)

  • Prise de contrôle de compte (BOT)

Pour les autres violations, assurez-vous queMetrics Collectorest activé. Par défaut,Metrics Collectorest activé sur l’instance Citrix ADC. Pour plus d’informations, voir :Configurer Intelligent App Analytics.

Activer les analyses de sécurité avancées

  • Accédez àNetworks > Instances > Citrix ADC, puis sélectionnez le type d’instance. Par exemple, MPX.

  • Sélectionnez l’instance Citrix ADC et dans la listeSélectionner une action, sélectionnezConfigurer Analytics.

  • Sélectionnez le serveur virtuel et cliquez surActiver Analytics.

  • Dans la fenêtreActiver Analytics :

    • SélectionnezWeb Insight. Une fois que les utilisateurs ont sélectionné Web Insight, l’optionAdvanced Security Analyticsen lecture seule est activée automatiquement.

    Remarque : L’optionAdvanced Security Analyticss’affiche uniquement pour les instances ADC sous licence Premium.

    • SélectionnezLogstreamcomme mode de transport

    • L’expression est true par défaut

    • Cliquez surOK

image-vpx-aws-appsecurity-deployment-51

Activer les paramètres de transaction Web

  • Accédez àAnalytics > Paramètres.

La pageParamètress’affiche.

  • Cliquez surActiver les fonctionnalités pour Analytics.

  • SousParamètres de transaction Web, sélectionnezTout.

image-vpx-aws-appsecurity-deployment-52

  • Cliquez surOk.

Tableau de bord des violations de sécurité

Dans le tableau de bord des violations de sécurité, les utilisateurs peuvent consulter :

  • Le nombre total de violations s’est produit dans toutes les instances et applications ADC. Le total des violations s’affiche en fonction de la durée sélectionnée.

image-vpx-aws-appsecurity-deployment-53

  • Total des violations dans chaque catégorie.

image-vpx-aws-appsecurity-deployment-54

  • Nombre total de ADC affectés, nombre total d’applications affectées et violations les plus importantes en fonction du nombre total d’occurrences et des applications affectées.

image-vpx-aws-appsecurity-deployment-55

Détails de la violation

Pour chaque violation, Citrix ADM surveille le comportement pendant une durée spécifique et détecte les violations pour les comportements inhabituels. Cliquez sur chaque onglet pour afficher les détails de la violation. Les utilisateurs peuvent consulter des détails tels que :

  • Nombre total d’occurrences, la dernière survenue et le nombre total d’applications affectées

  • Sous Détails de l’événement, les utilisateurs peuvent consulter :

    • L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si plusieurs applications sont concernées par des violations.

    • Graphique indiquant les violations.

    Faites glisser et sélectionnez sur le graphique qui répertorie les violations pour affiner la recherche de violation.

    image-vpx-aws-appsecurity-deployment-56

    Cliquez surReset Zoompour réinitialiser le résultat du zoom

    • Actions recommandéesqui suggèrent aux utilisateurs de résoudre le problème

    • Autres détails de violation tels que l’heure de la violence et le message de détection

Bot Insight

Utilisation de Bot Insight dans Citrix ADM

Une fois que les utilisateurs ont configuré la gestion des bots dans Citrix ADC, ils doivent activerBot Insightsur les serveurs virtuels pour afficher des informations dans Citrix ADM.

Pour activerBot Insight :

  • Accédez àRéseaux>Instances>Citrix ADCet sélectionnez le type d’instance. Par exemple, VPX.

  • Sélectionnez l’instance et dans la listeSélectionner une action, sélectionnezConfigurer Analytics.

  • Sélectionnez le serveur virtuel et cliquez surActiver Analytics.

  • Dans la fenêtreActiver Analytics :

    • SélectionnezBot Insight

    • SousAdvanced Option, sélectionnezLogstream.

    image-vpx-aws-appsecurity-deployment-57

    • Cliquez sur OK.

Après avoir activéBot Insight, accédez àAnalytics>Security>Bot Insight.

image-vpx-aws-appsecurity-deployment-58

  1. Liste de temps pour voir les détails du bot

  2. Faites glisser le curseur pour sélectionner une plage de temps spécifique et cliquez surOKpour afficher les résultats personnalisés.

  3. Nombre total d’instances affectées par les robots

  4. Serveur virtuel pour l’instance sélectionnée avec le nombre total d’attaques de bots

    • Total de bots— Indique le nombre total d’attaques de bots (y compris toutes les catégories de robots) détectées pour le serveur virtuel.

    • Total Human Browsers : indique le nombre total d’utilisateurs humains accédant au serveur virtuel.

    • Ratio humain des robots : indique le rapport entre les utilisateurs humains et les robots accédant au serveur virtuel.

    • Bots de signature,bot à empreinte digitale,bots basés sur le taux, robots deréputation IP, botsdeliste d’autorisationet robots deliste de blocage — Indique le nombre total d’attaques de botssurvenues en fonction de la catégorie de bot configurée. Pour plus d’informations sur les catégories de robots, voir :Configurer les techniques de détection des robots dans Citrix ADC.

  5. Cliquez sur > pour afficher les détails du bot sous forme de graphique.

image-vpx-aws-appsecurity-deployment-59

Afficher l’historique des événements

Les utilisateurs peuvent consulter les mises à jour des signatures de robots dans l’historique des événements, lorsque :

  • De nouvelles signatures de bot sont ajoutées dans les instances de Citrix ADC.

  • Les signatures de bot existantes sont mises à jour dans les instances de Citrix ADC.

Vous pouvez sélectionner la durée sur la page Bot Insight pour afficher l’historique des événements.

image-vpx-aws-appsecurity-deployment-60

Le diagramme suivant montre comment les signatures de robots sont récupérées depuis le cloud AWS, mises à jour sur Citrix ADC et affichez le résumé de mise à jour des signatures sur Citrix ADM.

image-vpx-aws-appsecurity-deployment-61

  1. Le planificateur de mise à jour automatique de la signature du bot récupère le fichier de mappage à partir de l’URI AWS.

  2. Vérifie les dernières signatures du fichier de mappage avec les signatures existantes dans l’appliance ADC.

  3. Télécharge les nouvelles signatures depuis AWS et vérifie l’intégrité de la signature.

  4. Met à jour les signatures de bots existantes avec les nouvelles signatures dans le fichier de signature du bot.

  5. Génère une alerte SNMP et envoie le résumé de la mise à jour des signatures à Citrix ADM.

Voir les robots

Cliquez sur le serveur virtuel pour afficher lerésumé de l’application

image-vpx-aws-appsecurity-deployment-62

  1. Fournit les détails du résumé de la demande, tels que :

    • RPS moyen— Indique le nombre moyen de demandes de transaction de bot par seconde (RPS) reçues sur les serveurs virtuels.

    • Bots par gravité : indique les transactions de botsles plus élevées qui ont eu lieu en fonction de leur gravité. La gravité est classée en fonction deCritique,Élevé, MoyenetFaible.

      Par exemple, si les serveurs virtuels ont 11 770 robots de gravité élevée et 1 550 robots de gravité critique, Citrix ADM affiche Critique 1,55 KsousBots par gravité.

    • Catégorie de robots la plus importante— Indique la plus grande attaque de bot survenue en fonction de la catégorie de bot.

      Par exemple, si les serveurs virtuels ont 8 000 robots répertoriés en mode bloc, 5 000 robots autorisés et 10 000 robots dont la limite de débit est dépassée, Citrix ADM afficheLimite de débit dépassée 10 000sousla catégorie de robots la plus grande.

    • Laplus grande source géographique— Indique le plus grand nombre d’attaques de bots survenues en fonction d’une région.

      Par exemple, si les serveurs virtuels ont 5 000 attaques de robots à Santa Clara, 7 000 attaques de robots à Londres et 9 000 attaques de robots à Bangalore, Citrix ADM afficheBangalore 9 Ksous laplus grande source géographique.

    • % moyen de trafic de robots : indique le ratio de robots humains.

  2. Affiche la gravité des attaques de robots en fonction des emplacements dans la vue cartographique

  3. Affiche les types d’attaques de robots (bonnes, mauvaises et toutes)

  4. Affiche le nombre total d’attaques de bots ainsi que les actions configurées correspondantes. Par exemple, si vous avez configuré :

    • Plage d’adresses IP (192.140.14.9 à 192.140.14.254) en tant que bots de liste de blocs et sélectionné Drop comme action pour ces plages d’adresses IP

    • Plage d’adresses IP (192.140.15.4 à 192.140.15.254) en tant que bots de liste noire et sélectionnée pour créer un message de journal en tant qu’action pour ces plages d’adresses IP

      Dans ce scénario, Citrix ADM affiche :

      • Total des bots listés par bloc

      • Nombre total de robots sousDropped

      • Nombre total de robots sous Log

Voir les robots CAPTCHA

Dans les pages Web, les CAPTCHA sont conçus pour identifier si le trafic entrant provient d’un humain ou d’un robot automatisé. Pour afficher les activités CAPTCHA dans Citrix ADM, les utilisateurs doivent configurer CAPTCHA en tant qu’action de bot pour les techniques de réputation IP et de détection d’empreinte digitale de périphérique dans une instance Citrix ADC. Pour plus d’informations, voir :Configurer la gestion des robots.

Voici les activités CAPTCHA que Citrix ADM affiche dans Bot Insight :

  • Nombre detentatives de captcha dépassé : indique le nombre maximal de tentatives CAPTCHA effectuées après des échecs de connexion

  • Client Captcha muted : indique le nombre de demandes client qui sont abandonnées ou redirigées parce que ces demandes ont été détectées comme des robots malveillants précédemment avec le challenge CAPTCHA.

  • Humain— Indique les entrées captcha effectuées par les utilisateurs humains

  • Réponse captcha non valide : indique le nombre de réponses CAPTCHA incorrectes reçues du bot ou de l’humain, lorsque Citrix ADC envoie un défi CAPTCHA

image-vpx-aws-appsecurity-deployment-63

Afficher les pièges à

Pour afficher les pièges de robots dans Citrix ADM, vous devez configurer le bot trap dans l’instance de Citrix ADC. Pour plus d’informations, consultez la sectionConfigurer la gestion des robots.

image-vpx-aws-appsecurity-deployment-64

Pour identifier le piège à robots, un script est activé sur la page Web et ce script est masqué aux humains, mais pas aux robots. Citrix ADM identifie et signale les interruptions de robot, lorsque ce script est accessible par les robots.

Cliquez sur le serveur virtuel et sélectionnezZero Pixel Request

image-vpx-aws-appsecurity-deployment-65

Afficher les détails du bot

Pour plus de détails, cliquez sur le type d’attaque debot sous Catégoriede robots.

Les détails tels que le temps d’attaque et le nombre total d’attaques de robots pour la catégorie de captcha sélectionnée sont affichés.

image-vpx-aws-appsecurity-deployment-66

Les utilisateurs peuvent également faire glisser le graphique à barres pour sélectionner la période spécifique à afficher avec les attaques de robots.

image-vpx-aws-appsecurity-deployment-67

Pour obtenir des informations supplémentaires sur l’attaque de bot, cliquez pour développer.

image-vpx-aws-appsecurity-deployment-68

  • IP de l’instance : indique l’adresse IP de l’instance Citrix ADC

  • Total de bots— Indique le nombre total d’attaques de bots survenues pendant cette période

  • URL de requête HTTP— Indique l’URL configurée pour le reporting captcha

  • Code du pays— Indique le pays dans lequel l’attaque de bot a eu lieu

  • Région : indique la région dans laquelle l’attaque de bot s’est produite

  • Nom du profil : indique le nom du profil que les utilisateurs ont fourni lors de la configuration

Recherche avancée

Les utilisateurs peuvent également utiliser la zone de texte de recherche et la liste des durées, où ils peuvent afficher les détails du bot selon les besoins de l’utilisateur. Lorsque les utilisateurs cliquent sur le champ de recherche, celui-ci leur fournit la liste suivante de suggestions de recherche.

  • IP de l’instance : adresse IPde l’instance Citrix ADC

  • Client-IP— Adresse IP du client

  • Type de bot— Type de bot tel que Bon ou Mauvais

  • Gravité : gravité de l’attaque de bot

  • Action-Taken— Action entreprise après l’attaque du bot, telle que Drop, No action, Redirect

  • Bot-Category— Catégorie de l’attaque de bot, telle que liste de blocage, liste d’autorisation, empreinte digitale, etc. En fonction d’une catégorie, les utilisateurs peuvent y associer une action de bot

  • Bot-Detection : types de détection de bots (liste rouge, liste verte, etc.) que les utilisateurs ont configurés sur l’instance Citrix ADC

  • Emplacement : région/pays dans lequel l’attaque de bot a eu lieu

  • Request-URL— URL qui contient les attaques possibles par des robots

Les utilisateurs peuvent également utiliser des opérateurs dans les requêtes de recherche d’utilisateurs pour affiner le champ de la recherche d’utilisateurs. Par exemple, si les utilisateurs souhaitent afficher tous les robots malveillants :

  • Cliquez sur la zone de recherche et sélectionnezType de démarrage

  • Cliquez à nouveau sur le champ de recherche et sélectionnez l’opérateur**=**

  • Cliquez à nouveau sur le champ de recherche et sélectionnezMauvais

  • Cliquez surRechercherpour afficher les résultats

image-vpx-aws-appsecurity-deployment-69

Détails sur la violation de bot

Connexions client excessives

Lorsqu’un client tente d’accéder à l’application Web, la demande client est traitée dans l’appliance Citrix ADC, au lieu de se connecter directement au serveur. Le trafic Web comprend des robots et les robots peuvent effectuer diverses actions plus rapidement qu’un humain.

À l’aide de l’indicateur deconnexions client excessives, les utilisateurs peuvent analyser des scénarios dans lesquels une application reçoit des connexions client anormalement élevées via des robots.

image-vpx-aws-appsecurity-deployment-70

SousDétails de l’événement, les utilisateurs peuvent consulter :

  • L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si plusieurs applications sont concernées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Message de détection de la violation, indiquant le total des adresses IP qui transportent l’application

  • La plage d’adresses IP acceptées que l’application peut recevoir

Prise en charge de compte

Remarque :

Assurez-vous que les utilisateurs activent les analyses de sécurité avancées et les options de transaction Web. Pour plus d’informations, voir Configuration : Configuration.

Certains robots malveillants peuvent voler les informations d’identification des utilisateurs et effectuer divers types de cyberattaques. Ces bots malveillants sont connus sous le nom de mauvais bots. Il est essentiel d’identifier les robots malveillants et de protéger l’appliance utilisateur contre toute forme d’attaque de sécurité avancée.

Conditions préalables

Les utilisateurs doivent configurer les paramètres deprise de contrôle de comptedans Citrix ADM.

  • Accédez àAnalytics > Paramètres > Violations de sécurité

  • Cliquez surAjouter

image-vpx-aws-appsecurity-deployment-71

  • Dans la page Ajouter une application, spécifiez les paramètres suivants :

    • Application : sélectionnez le serveur virtuel dans la liste.

    • Méthode : sélectionnez le type de méthode HTTP dans la liste. Les options disponibles sontGET,PUSH,POSTetUPDATE.

    • URL de connexion et code de réponse de réussite : spécifiez l’URL de l’application Web et spécifiez le code d’état HTTP (par exemple, 200) pour lequel les utilisateurs souhaitent que Citrix ADM signale la violation de prise de compte par des robots malveillants.

    • Cliquez surAjouter.

image-vpx-aws-appsecurity-deployment-72

Une fois que les utilisateurs ont configuré les paramètres, à l’aide de l’indicateurAccount Takeover, les utilisateurs peuvent analyser si des robots malveillants ont tenté de prendre le contrôle du compte utilisateur, en envoyant plusieurs demandes ainsi que des informations d’identification.

image-vpx-aws-appsecurity-deployment-73

SousDétails de l’événement, les utilisateurs peuvent consulter :

  • L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si plusieurs applications sont concernées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Le message de détection de la violation, indiquant l’échec total inhabituel de l’activité de connexion, les connexions réussies et les connexions échouées

  • La mauvaise adresse IP du bot. Cliquez pour afficher des détails tels que l’heure, l’adresse IP, le nombre total de connexions réussies, le nombre total de connexions ayant échoué et le nombre total de demandes effectuées à partir de cette adresse IP.

image-vpx-aws-appsecurity-deployment-74

Volume de téléchargement exceptionnellement élevé

Le trafic Web comprend également des données qui sont traitées pour le téléchargement. Par exemple, si la moyenne des données téléchargées par l’utilisateur par jour est de 500 Mo et si les utilisateurs téléchargent 2 Go de données, cela peut être considéré comme un volume de données de téléchargement anormalement élevé. Les robots sont également capables de traiter le téléchargement de données plus rapidement que les humains.

À l’aide de l’indicateur devolume de téléchargement anormalement élevé, les utilisateurs peuvent analyser des scénarios anormaux de téléchargement de données vers l’application via des robots.

image-vpx-aws-appsecurity-deployment-75

SousDétails de l’événement, les utilisateurs peuvent consulter :

  • L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si plusieurs applications sont concernées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Message de détection de la violation, indiquant le volume total de données de téléchargement traité

  • La plage acceptée des données de téléchargement vers l’application

Volume de téléchargement exceptionnellement élevé

Comme pour un volume de téléchargement élevé, les robots peuvent également effectuer des téléchargements plus rapidement que les humains.

À l’aide de l’indicateur devolume de téléchargement anormalement élevé, les utilisateurs peuvent analyser des scénarios anormaux de téléchargement de données depuis l’application via des robots.

image-vpx-aws-appsecurity-deployment-76

SousDétails de l’événement, les utilisateurs peuvent consulter :

  • L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si plusieurs applications sont concernées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Message de détection de la violation, indiquant le volume total de données de téléchargement traité

  • La plage acceptée des données de téléchargement de l’application

Taux de demandes exceptionnellement élevé

Les utilisateurs peuvent contrôler le trafic entrant et sortant depuis ou vers une application. Une attaque de bot peut entraîner un taux de requêtes anormalement élevé. Par exemple, si les utilisateurs configurent une application pour autoriser 100 requêtes/minute et si les utilisateurs observent 350 requêtes, il peut s’agir d’une attaque de bot.

À l’aide de l’indicateur detaux de demandes anormalement élevé, les utilisateurs peuvent analyser le taux de demandes inhabituel reçu par l’application.

image-vpx-aws-appsecurity-deployment-77

SousDétails de l’événement, les utilisateurs peuvent consulter :

  • L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si plusieurs applications sont concernées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Le message de détection de la violation, indiquant le nombre total de demandes reçues et% de demandes excessives reçues par rapport aux demandes attendues

  • La fourchette acceptée de la fourchette de taux de demande prévue à partir de la demande

Cas d’utilisation

Bot

Parfois, le trafic Web entrant est composé de bots et la plupart des organisations souffrent d’attaques de bot. Les applications Web et mobiles sont des moteurs de revenus importants pour les entreprises et la plupart des entreprises sont menacées par des cyberattaques avancées, telles que les robots. Un bot est un logiciel qui effectue automatiquement certaines actions à plusieurs reprises à un rythme beaucoup plus rapide qu’un humain. Les robots peuvent interagir avec des pages Web, envoyer des formulaires, exécuter des actions, numériser des textes ou télécharger du contenu. Ils peuvent accéder à des vidéos, poster des commentaires et tweeter sur les plateformes de médias sociaux. Certains bots, connus sous le nom de chatbots, peuvent tenir des conversations de base avec des utilisateurs humains. Un bot qui effectue un service utile, tel que le service à la clientèle, le chat automatisé et les bots de recherche sont de bons bots. Dans le même temps, un bot qui peut capturer ou télécharger du contenu à partir d’un site Web, voler des informations d’identification d’utilisateur, du contenu de spam et effectuer d’autres types de cyberattaques est un bot malveillant. Avec un bon nombre de robots malveillants effectuant des tâches malveillantes, il est essentiel de gérer le trafic des robots et de protéger les applications Web des utilisateurs contre les attaques de robots. En utilisant la gestion des robots Citrix, les utilisateurs peuvent détecter le trafic entrant des robots et atténuer les attaques de robots afin de protéger les applications Web des utilisateurs. La gestion des bots Citrix permet d’identifier les robots malveillants et de protéger l’appliance utilisateur contre les attaques de sécurité avancées. Il détecte les bots bons et les bots malveillants et identifie si le trafic entrant est une attaque de bot. En utilisant la gestion des robots, les utilisateurs peuvent atténuer les attaques et protéger les applications Web des utilisateurs.

La gestion de bot Citrix ADC offre les avantages suivants :

  • Défense contre les robots, les scripts et les boîtes à outils. Fournit une atténuation des menaces en temps réel à l’aide d’une défense statique basée sur les signatures et de l’empreinte digitale

  • Neutralise les attaques automatisées de base et avancées. Empêche les attaques, telles que les DDoS de couche d’application, la pulvérisation de mot de passe, le remplissage de mot de passe, les racleurs de prix et les racleurs de contenu.

  • Protège les API et les investissements des utilisateurs. Protège les API utilisateur contre les abus injustifiés et protège les investissements en infrastructure contre le trafic automatisé.

Voici quelques exemples d’utilisation dans lesquels les utilisateurs peuvent bénéficier de l’utilisation du système de gestion des bots Citrix :

  • Connexion par force brute. Un portail Web gouvernemental est constamment attaqué par des robots qui tentent de se connecter par force brute. L’organisation découvre l’attaque en consultant les journaux Web et en voyant des utilisateurs spécifiques être frappés à maintes reprises avec des tentatives de connexion rapides et des mots de passe incrémentés à l’aide d’une approche d’attaque par dictionnaire. En vertu de la loi, ils doivent se protéger eux-mêmes et protéger leurs utilisateurs. En déployant la gestion de bot Citrix, ils peuvent arrêter la connexion par force brute à l’aide de techniques d’empreintes digitales de l’appareil et de limitation de débit.

  • Bloquez les robots malveillants et les robots inconnus par empreinte digitale d’appareil Une entité Web reçoit 100 000 visiteurs par jour. Ils doivent améliorer l’empreinte sous-jacente et ils dépensent une fortune. Lors d’un audit récent, l’équipe a découvert que 40 % du trafic provenait de bots, de capture de contenu, de collecte de nouvelles, de vérification des profils d’utilisateurs, etc. Ils veulent bloquer ce trafic pour protéger leurs utilisateurs et réduire leurs coûts d’hébergement. Grâce à la gestion des bots, ils peuvent bloquer les bots malveillants connus et les bots inconnus d’empreintes digitales qui martèlent leur site. En bloquant ces bots, ils peuvent réduire le trafic de bots de 90 %.

  • Autorisez les bons robots. Les « bons » robots sont conçus pour aider les entreprises et les consommateurs. Ils existent depuis le début des années 1990, lorsque les premiers robots des moteurs de recherche ont été développés pour explorer Internet. Google, Yahoo et Bing n’existeraient pas sans eux. D’autres exemples de bons robots, principalement axés sur le consommateur, incluent :

    • Les chatbots (aussi appelés chatterbots, robots intelligents, robots de discussion, robots de messagerie instantanée, robots sociaux, robots de conversation) interagissent avec les humains par le biais de textes ou de sons. L’une des premières utilisations de texte a été pour le service client en ligne et les applications de messagerie texte comme Facebook Messenger et iPhone Messages. Siri, Cortana et Alexa sont des chatbots, mais il en va de même pour les applications mobiles qui permettent aux utilisateurs de commander du café et de leur dire quand il sera prêt, de regarder des bandes-annonces de films et de trouver les horaires des cinémas locaux, ou d’envoyer aux utilisateurs une photo du modèle de voiture et de la plaque d’immatriculation lorsqu’ils demandent un service de transport.

    • Les Shopbots parcourent Internet à la recherche des prix les plus bas sur les articles recherchés par les utilisateurs.

    • Les robots de surveillance vérifient la santé (disponibilité et réactivité) des sites Web. Downdetector est un exemple de site indépendant qui fournit des informations d’état en temps réel, y compris les pannes, de sites Web et d’autres types de services. Pour plus d’informations sur Downdetector, voir : Downdetector.

Détection de bot

Configuration de la gestion des bots à l’Citrix ADC utilisateur graphique

Les utilisateurs peuvent configurer la gestion des bots Citrix ADC en activant d’abord la fonctionnalité sur l’appliance. Une fois que les utilisateurs l’ont activé, ils peuvent créer une stratégie de bot pour évaluer le trafic entrant en tant que bot et envoyer le trafic vers le profil de bot. Ensuite, les utilisateurs créent un profil de bot, puis lient le profil à une signature de bot. Les utilisateurs peuvent également cloner le fichier de signature de bot par défaut et utiliser le fichier de signature pour configurer les techniques de détection. Après avoir créé le fichier de signature, les utilisateurs peuvent l’importer dans le profil du bot. Toutes ces étapes sont effectuées dans l’ordre suivant :

image-vpx-aws-appsecurity-deployment-78

  1. Activer la fonctionnalité de gestion des robots

  2. Configuration des paramètres de gestion des bots

  3. Signature par défaut du robot Cloner Citrix

  4. Importer la signature du bot Citrix

  5. Configuration des paramètres de signature du bot

  6. Créer un profil de bot

  7. Créer une stratégie de bot

Activer la fonctionnalité de gestion des robots

  1. Dans le volet de navigation, développezSystème, puis cliquez surParamètres.

  2. Sur la pageConfigurer les fonctionnalités avancées, cochez la caseGestion des robots.

  3. Cliquez surOK, puis surFermer.

image-vpx-aws-appsecurity-deployment-79

Fichier de signature de clone bot

  1. Accédez àSécurité > Citrix Bot Management > Signatures.

  2. Dans la pageSignatures de Citrix Bot Management, sélectionnez l’enregistrement de signatures de bot par défaut et cliquez surCloner

  3. Sur la pageSignature de Clone Bot, entrez un nom et modifiez les données de signature.

  4. Cliquez sur Créer.

image-vpx-aws-appsecurity-deployment-80

Importer le fichier de signature de

Si les utilisateurs disposent de leur propre fichier de signature, ils peuvent l’importer sous forme de fichier, de texte ou d’URL. Pour importer le fichier de signature du bot, procédez comme suit :

  • Accédez àSécurité>Citrix Bot ManagementandSignatures.

  • Sur la pageSignatures de Citrix Bot Management, importez le fichier sous forme d’URL, de fichier ou de texte.

  • Cliquez sur Continuer.

image-vpx-aws-appsecurity-deployment-81

  • Sur la page Importer la signature de Citrix Bot Management, définissez les paramètres suivants.

    • Nom. Nom du fichier de signature du bot.

    • Commentaire. Brève description du fichier importé.

    • Écraser. Activez cette case à cocher pour autoriser l’écrasement des données pendant la mise à jour du fichier.

    • Données de signature. Modifier les paramètres de signature

  • Cliquez surTerminé.

image-vpx-aws-appsecurity-deployment-82

Réputation IP

Configurer la réputation IP à l’aide de l’interface Citrix ADC

Cette configuration est une condition préalable à la fonctionnalité de réputation IP des robots. La technique de détection permet aux utilisateurs d’identifier s’il existe une activité malveillante provenant d’une adresse IP entrante. Dans le cadre de la configuration, nous définissons différentes catégories de robots malveillants et associons une action de bot à chacune d’entre elles.

  • Accédez àSécurité>Citrix Bot ManagementandProfiles.

  • Sur la pageCitrix Bot Management Profiles, sélectionnez un fichier de signature et cliquez sur Modifier.

  • Sur la pageProfil Citrix Bot Management, accédez à la sectionParamètres de signatureet cliquez surRéputation IP.

  • Dans la section Réputation IP, définissez les paramètres suivants :

    • Activé. Activez cette case à cocher pour valider le trafic de bots entrant dans le cadre du processus de détection.

    • Configurer les catégories. Les utilisateurs peuvent utiliser la technique de réputation IP pour le trafic entrant de bots dans différentes catégories. En fonction de la catégorie configurée, les utilisateurs peuvent supprimer ou rediriger le trafic du bot. Cliquez sur Ajouter pour configurer une catégorie de robots malveillants.

    • Dans la pageConfigurer la liaison de réputation IP du profil Citrix Bot Management, définissez les paramètres suivants :

      • Catégorie. Sélectionnez une catégorie de bots malveillants dans la liste. Associez une action de robot en fonction de la catégorie.

      • Activé. Cochez la case pour valider la détection de signature de réputation IP.

      • Action du bot. En fonction de la catégorie configurée, les utilisateurs ne peuvent attribuer aucune action, suppression, redirection ou action CAPTCHA.

      • Bûche. Activez la case à cocher pour stocker les entrées du journal.

      • Message du journal. Brève description du journal.

      • Commentaires. Brève description de la catégorie de robots.

  • Cliquez sur OK.

  • Cliquez surUpdate.

  • Cliquez surTerminé.

image-vpx-aws-appsecurity-deployment-83

Mise à jour automatique des signatures de robots

La technique de signature statique des bots utilise une table de recherche de signature avec une liste de bons bots et de mauvais robots. Les robots sont classés en fonction de la chaîne de l’agent utilisateur et des noms de domaine. Si la chaîne de l’agent utilisateur et le nom de domaine dans le trafic de bot entrant correspondent à une valeur de la table de recherche, une action de bot configurée est appliquée. Les mises à jour des signatures de bots sont hébergées sur le cloud AWS et la table de recherche de signature communique avec la base de données AWS pour les mises à jour des signatures. Le planificateur de mise à jour automatique des signatures s’exécute toutes les heures pour vérifier la base de données AWS et met à jour la table de signatures dans l’appliance ADC.

L’URL de mise à jour automatique du mappage de signature debot pour configurer les signatures est : Mappage des signatures

Remarque :

Les utilisateurs peuvent également configurer un serveur proxy et mettre à jour régulièrement les signatures du cloud AWS vers l’appliance ADC via un proxy. Pour la configuration du proxy, les utilisateurs doivent définir l’adresse IP du proxy et l’adresse du port dans les paramètres du bot.

Configurer la mise à jour automatique des signatures

Pour configurer la mise à jour automatique de la signature du bot, procédez comme suit :

Activer la mise à jour automatique des signatures

Les utilisateurs doivent activer l’option de mise à jour automatique dans les paramètres du bot de l’appliance ADC.

À l’invite de commandes, tapez :

set bot settings –signatureAutoUpdate ON

Configurer la mise à jour automatique de signature de bot à l’aide de l’interface utilisateur

Suivez les étapes suivantes pour configurer la mise à jour automatique de la signature du bot :

  • Accédez àSécurité > Citrix Bot Management.

  • Dans le volet de détails, sousParamètres, cliquez surModifier les paramètres de gestion des robots Citrix.

  • Dans lesparamètres Configurer Citrix Bot Management, cochez la caseSignature de mise à jour automatique.

image-vpx-aws-appsecurity-deployment-84

  • Cliquez surOKet surFermer.

Pour plus d’informations sur la configuration de la réputation IP à l’aide de l’interface de ligne de commande, voir : Configurer la fonctionnalité de réputation IP à l’aide

Références

Pour plus d’informations sur l’utilisation des relaxations fines SQL, voir : Relaxations fines SQL.

Pour plus d’informations sur la façon de configurer le contrôle d’injection SQL à l’aide de la ligne de commande, voir : Contrôle d’injection HTML SQL.

Pour plus d’informations sur la façon de configurer le contrôle d’injection SQL à l’aide de l’interface utilisateur graphique, voir : Utilisation de l’interface utilisateur pour configurer le contrôle de sécurité par injection SQL.

Pour plus d’informations sur l’utilisation de la fonctionnalité Learn avec le contrôle d’injection SQL, voir : Utilisation de la fonctionnalité Learn avec le contrôle d’injection SQL.

Pour plus d’informations sur l’utilisation de la fonction Log avec le contrôle d’injection SQL, voir : Using the Log Feature with the SQL Injection Check.

Pour plus d’informations sur les statistiques relatives aux violations d’injection SQL, voir : Statistiques relatives aux violations d’injection SQL.

Pour plus d’informations sur les points forts de vérification d’injection SQL, voir : Highlights.

Pour plus d’informations sur les vérifications d’injection XML SQL, voir : Contrôle d’injection XML SQL.

Pour plus d’informations sur l’utilisation des relaxations fines de script intersite, voir : Relaxations fines SQL.

Pour plus d’informations sur la configuration des scripts intersites HTML à l’aide de la ligne de commande, voir : Utilisation de la ligne de commande pour configurer le contrôle de script intersite HTML.

Pour plus d’informations sur la configuration des scripts intersites HTML à l’aide de l’interface utilisateur graphique, voir : Utilisation de l’interface graphique pour configurer le contrôle de script intersite HTML.

Pour plus d’informations sur l’utilisation de la fonctionnalité Learn avec la vérification de script intersite HTML, voir : Utilisation de la fonctionnalité Learn avec la vérification de script intersite HTML.

Pour plus d’informations sur l’utilisation de la fonctionnalité de journalisation avec la vérification de script intersite HTML, voir : Utilisation de la fonctionnalité de journal avec la vérification de script intersite HTML.

Pour plus d’informations sur les statistiques relatives aux violations de script intersite HTML, voir : Statistiques relatives aux violations de script intersite HTML.

Pour plus d’informations sur les points forts du script intersite HTML, voir : Points forts.

Pour plus d’informations sur les scripts intersites XML, consultez : Vérification des scripts intersitesXML.

Pour plus d’informations sur l’utilisation de la ligne de commande pour configurer le contrôle de sécurité par débordement de tampon, voir : Utilisation de la ligne de commande pour configurer le contrôle de sécurité par débordement de tampon.

Pour plus d’informations sur l’utilisation de l’interface utilisateur graphique pour configurer le contrôle de sécurité par débordement de tampon, voir : Configurer le contrôle de sécurité par débordement de tampon à Citrix ADC interface utilisateur graphique

Pour plus d’informations sur l’utilisation de la fonction Log avec le contrôle de sécurité Buffer Overflow, voir : Using the Log Feature with the Buffer Overflow Security Check.

Pour plus d’informations sur les statistiques relatives aux violations de débordement de tampon, voir : Statistiques relatives aux violations de débordement de tampon.

Pour plus d’informations sur les points saillants du contrôle de sécurité par débordement de tampon, voir : Points

Pour plus d’informations sur l’ajout ou la suppression d’un objet de signature, voir : Ajouter ou supprimer un objet de signature.

Pour plus d’informations sur la création d’un objet de signature à partir d’un modèle, voir : Pour créer un objet Signatures à partir d’un modèle.

Pour plus d’informations sur la création d’un objet de signatures en important un fichier, voir : Pour créer un objet de signatures en important un fichier.

Pour plus d’informations sur la création d’un objet de signatures en important un fichier à l’aide de la ligne de commande, voir : Pour créer un objet de signatures en important un fichier à l’aide de la ligne de commande.

Pour plus d’informations sur la suppression d’un objet de signatures à l’aide de l’interface graphique, voir : Pour supprimer un objet de signatures à l’aide de l’interface utilisateur graphique

Pour plus d’informations sur la suppression d’un objet de signatures à l’aide de la ligne de commande, voir : Pour supprimer un objet Signatures à l’aide de la ligne de commande.

Pour plus d’informations sur la configuration ou la modification d’un objet de signatures, voir : Configuration ou modification d’un objet de signatures.

Pour plus d’informations sur la mise à jour d’un objet de signature, voir : Mettre à jour un objet de signature.

Pour plus d’informations sur l’utilisation de la ligne de commande pour mettre à jour les signatures du Web Application Firewall à partir de la source, voir : Pour mettre à jour les signatures du Web Application Firewall depuis la source à l’aide de la ligne de commande

Pour plus d’informations sur la mise à jour d’un objet de signatures à partir d’un fichier au format Citrix, voir : Mise à jour d’un objet Signatures à partir d’un fichier

Pour plus d’informations sur la mise à jour d’un objet de signatures à partir d’un outil d’analyse de vulnérabilité pris en charge, voir : Mettre à jour un objet de signatures à partir d’un outil

Pour plus d’informations sur l’intégration des règles Snort, voir : Intégration des règles Snort.

Pour plus d’informations sur la configuration des règles Snort, voir : Configurer les règles de Snort.

Pour plus d’informations sur la configuration de Bot Management à l’aide de la ligne de commande, voir : Configurer Bot Management

Pour plus d’informations sur la configuration des paramètres de gestion des robots pour la technique d’empreinte digitale de l’appareil, voir : Configurer les paramètres de gestion des robots pour la technique

Pour plus d’informations sur la configuration des listes d’autorisation des robots à l’aide de l’interface utilisateur graphique de Citrix ADC, voir : Configurer la liste blanche des robots à l’aide de l’interface utilisateur graphique

Pour plus d’informations sur la configuration des listes de robots bloqués à l’aide de l’interface utilisateur graphique de Citrix ADC, voir : Configurer la liste noire des robots à l’aide de l’interface utilisateur graphique

Pour plus d’informations sur la configuration de la gestion des robots, voir :Configurer la gestion des robots.

Conditions préalables

Avant de tenter de créer une instance VPX dans AWS, les utilisateurs doivent s’assurer qu’ils disposent des éléments suivants :

  • Un compte AWS pour lancer une AMI Citrix ADC VPX dans un cloud privé virtuel (VPC) Amazon Web Services (AWS). Les utilisateurs peuvent créer un compte AWS gratuitement sur Amazon Web Services : AWS.

  • Un compte utilisateur AWS Identity and Access Management (IAM) pour contrôler en toute sécurité l’accès aux services et ressources AWS pour les utilisateurs. Pour plus d’informations sur la création d’un compte utilisateur IAM, consultez la rubrique : Création d’utilisateurs IAM (console).

Un rôle IAM est obligatoire pour les déploiements autonomes et haute disponibilité. Le rôle IAM doit disposer des privilèges suivants :

  • ec2:DescribeInstances

  • ec2:DescribeNetworkInterfaces

  • ec2:DetachNetworkInterface

  • ec2:AttachNetworkInterface

  • ec2:StartInstances

  • ec2:StopInstances

  • ec2:RebootInstances

  • ec2:DescribeAddresses

  • ec2:AssociateAddress

  • ec2:DisassociateAddress

  • ec2:AssignPrivateIpAddresses

  • autoscaling:*

  • sns:*

  • sqs:*

  • CloudWatch : *

  • iam:SimulatePrincipalPolicy

  • iam:GetRole

Pour plus d’informations sur les autorisations IAM, consultez : AWS Managed Policies for Job Functions.

Si le modèle Citrix CloudFormation est utilisé, le rôle IAM est automatiquement créé. Le modèle ne permet pas de sélectionner un rôle IAM déjà créé.

Remarque :

Lorsque les utilisateurs se connectent à l’instance VPX via l’interface utilisateur graphique, une invite à configurer les privilèges requis pour le rôle IAM apparaît. Ignorez l’invite si les privilèges ont déjà été configurés. Remarque :

L’interface de ligne de commande AWS est requise pour utiliser toutes les fonctionnalités fournies par AWS Management Console à partir du programme terminal. Pour plus d’informations, consultez le guide utilisateur de l’interface de ligne de commande AWS : What Is the AWS Command Line Interface ?. Les utilisateurs ont également besoin de l’interface de ligne de commande AWS pour modifier le type d’interface réseau en SR-IOV.

Pour plus d’informations sur Citrix ADC et AWS, y compris la prise en charge de Citrix Networking VPX au sein d’AWS, consultez Citrix ADC et Amazon Web Services Validated Reference Design guide : Citrix ADC and Amazon Web Services Validated Reference Design.

Limitations et directives d’utilisation

Les limitations et instructions d’utilisation suivantes s’appliquent lors du déploiement d’une instance Citrix ADC VPX sur AWS :

  • Les utilisateurs doivent lire la terminologie AWS répertoriée ci-dessus avant de commencer un nouveau déploiement.

  • La fonctionnalité de clustering est prise en charge uniquement lorsqu’elle est provisionnée avec Citrix ADM Auto Scale Groups.

  • Pour que la configuration haute disponibilité fonctionne efficacement, associez un périphérique NAT dédié à l’interface de gestion ou associez une adresse IP élastique (EIP) à NSIP. Pour plus d’informations sur NAT, consultez la documentation AWS, voir : Instances NAT.

  • Le trafic de données et le trafic de gestion doivent être séparés par les ENIs appartenant à différents sous-réseaux.

  • Seule l’adresse NSIP doit être présente sur l’ENI de gestion.

  • Si une instance NAT est utilisée pour la sécurité au lieu d’affecter un EIP au NSIP, des modifications appropriées de routage au niveau du VPC sont requises. Pour obtenir des instructions sur les modifications de routage au niveau du VPC, consultez la documentation AWS, voir : Scenario 2 : VPC with Public and Private Subnets.

  • Une instance VPX peut être déplacée d’un type d’instance EC2 à un autre (par exemple, de m3.large à m3.xlarge). Pour plus d’informations, consultez : Limitations et directives d’utilisation.

  • Pour les supports de stockage pour VPX sur AWS, Citrix recommande EBS, car il est durable et les données sont disponibles même après leur détachement de l’instance.

  • L’ajout dynamique d’ENI à VPX n’est pas pris en charge. Redémarrez l’instance VPX pour appliquer la mise à jour. Citrix recommande aux utilisateurs d’arrêter l’instance autonome ou HA, de joindre la nouvelle ENI, puis de redémarrer l’instance. L’ENI principale ne peut pas être modifiée ou rattachée à un sous-réseau différent une fois qu’elle est déployée. Les ENI secondaires peuvent être détachés et modifiés selon les besoins lorsque le VPX est arrêté.

  • Les utilisateurs peuvent attribuer plusieurs adresses IP à un ENI. Le nombre maximal d’adresses IP par ENI est déterminé par le type d’instance EC2. Reportez-vous à la section « Adresses IP par interface réseau par type d’instance » dans Interfaces réseau Elastic : Interfaces réseau Elastic. Les utilisateurs doivent attribuer les adresses IP dans AWS avant de les attribuer à ENI. Pour plus d’informations, voir Elastic Network Interfaces : Elastic Network Interfaces.

  • Citrix recommande aux utilisateurs d’éviter d’utiliser les commandes d’activation et de désactivation de l’interface sur les interfaces Citrix ADC VPX.

  • Les commandes set ha node \<NODE\_ID\> -haStatus STAYPRIMARY et set ha node \<NODE\_ID\> -haStatus STAYSECONDARY de Citrix ADC sont désactivées par défaut.

  • IPv6 n’est pas pris en charge pour VPX.

  • En raison des limitations AWS, ces fonctionnalités ne sont pas prises en charge :

    • Gratuitous ARP (GARP)

    • Mode L2 (pontage). Les serveurs virtuels transparents sont pris en charge avec L2 (réécriture MAC) pour les serveurs du même sous-réseau que le SNIP.

    • VLAN balisé

    • Routage dynamique

    • MAC virtuel

  • Pour que le RNAT, le routage et le serveur virtuel transparent fonctionnent, assurez-vous que la vérification de la source/destination est désactivée pour tous les ENI du chemin de données. Pour plus d’informations, consultez « Modification de la vérification de la source/destination » dans Elastic Network Interfaces : Elastic Network Interfaces.

  • Dans un déploiement Citrix ADC VPX sur AWS, dans certaines régions AWS, l’infrastructure AWS peut ne pas être en mesure de résoudre les appels d’API AWS. Cela se produit si les appels d’API sont émis via une interface non de gestion sur l’instance Citrix ADC VPX. Comme solution de contournement, limitez les appels d’API à l’interface de gestion uniquement. Pour ce faire, créez un NSVLAN sur l’instance VPX et liez l’interface de gestion au NSVLAN à l’aide de la commande appropriée.

  • Par exemple :

    • set ns config -nsvlan <vlan id>-ifnum 1/1 -marqué NON

    • enregistrer la configuration

  • Redémarrez l’instance VPX à l’invite.

  • Pour plus d’informations sur la configuration nsvlan, voir Configuration de NSVLAN : Configuration de NSVLAN.

  • Dans la console AWS, l’utilisation du vCPU affichée pour une instance VPX sous l’onglet Surveillance peut être élevée (jusqu’à 100 %), même lorsque l’utilisation réelle est beaucoup plus faible. Pour voir l’utilisation réelle du vCPU, accédez à Afficher toutes les mesures CloudWatch. Pour plus d’informations, consultez : Surveillez vos instances à l’aide d’Amazon CloudWatch. Sinon, si la faible latence et les performances ne sont pas un problème, les utilisateurs peuvent activer la fonction CPU Yield qui permet aux moteurs de paquets de rester inactifs en l’absence de trafic. Consultez le centre de connaissances de l’assistance Citrix pour plus de détails sur la fonctionnalité CPU Yield et comment l’activer.

Prescriptions techniques

Avant que les utilisateurs ne lancent le Guide de démarrage rapide pour commencer un déploiement, le compte utilisateur doit être configuré comme indiqué dans le tableau suivant. Dans le cas contraire, le déploiement peut échouer.

Ressources

Si nécessaire, connectez-vous au compte utilisateur Amazon et demandez une augmentation de la limite de service pour les ressources suivantes ici : AWS/Sign in. Cela peut être nécessaire si vous disposez déjà d’un déploiement utilisant ces ressources et que vous pensez que vous pourriez dépasser les limites par défaut avec ce déploiement. Pour connaître les limites par défaut, consultez les quotas de service AWS dans la documentation AWS : AWS Service Quotas.

AWS Trusted Advisor, disponible ici : AWS/Sign in, propose une vérification des limites de service qui affiche l’utilisation et les limites pour certains aspects de certains services.

Ressource Ce déploiement utilise
VPC 1
Adresses IP Elastic 0/1 (pour l’hôte Bastion)
Groupes de sécurité IAM 3
Rôles IAM 1
Sous-réseaux 6 (3/zone de disponibilité)
Passerelle Internet 1
Tables de routage 5
Instances VPX WAF 2
Hôte Bastion 0/1
Passerelle NAT 2

Régions

Citrix WAF sur AWS n’est actuellement pas pris en charge dans toutes les régions AWS. Pour obtenir la liste actuelle des régions prises en charge, consultez AWS Service Endpoints dans la documentation AWS : AWS Service Endpoints.

Pour plus d’informations sur les régions AWS et l’importance de l’infrastructure cloud, consultez : Global Infrastructure.

Paire de clés

Assurez-vous qu’au moins une paire de clés Amazon EC2 existe dans le compte AWS de l’utilisateur dans la région où les utilisateurs prévoient de déployer à l’aide du guide de démarrage rapide. Notez le nom de la paire de clés. Les utilisateurs sont invités à fournir ces informations lors du déploiement. Pour créer une paire de clés, suivez les instructions relatives aux paires de clés Amazon EC2 et aux instances Linux dans la documentation AWS : Amazon EC2 Key Pairs and Linux Instances.

Si les utilisateurs déploient le guide de démarrage rapide à des fins de test ou de validation de principe, nous leur recommandons de créer une nouvelle paire de clés au lieu de spécifier une paire de clés déjà utilisée par une instance de production.

Guide de déploiement Citrix ADC VPX sur AWS

Dans cet article