Concepts avancés

Guide de déploiement de Citrix ADC VPX sur Azure

Vue d’ensemble

Citrix ADC est une solution de mise à disposition d’applications et d’équilibrage de charge qui fournit une expérience utilisateur de haute qualité pour les applications Web, traditionnelles et natives du cloud, quel que soit l’endroit où elles sont hébergées. Il est disponible dans une grande variété de formats et d’options de déploiement sans enfermer les utilisateurs dans une configuration ou un cloud unique. Les licences de capacité groupées permettent de déplacer la capacité entre les déploiements cloud.

En tant que leader incontesté de la fourniture de services et d’applications, Citrix ADC est déployé sur des milliers de réseaux à travers le monde pour optimiser, sécuriser et contrôler la fourniture de tous les services d’entreprise et de cloud. Déployé directement devant les serveurs Web et de base de données, Citrix ADC combine l’équilibrage de charge et la commutation de contenu à haute vitesse, la compression HTTP, la mise en cache de contenu, l’accélération SSL, la visibilité du flux d’applications et un puissant pare-feu applicatif dans une plate-forme intégrée et facile à utiliser. Il est beaucoup plus simple de respecter les SLA grâce à une surveillance de bout en bout qui transforme les données réseau en Business Intelligence exploitable. Citrix ADC permet de définir et de gérer les stratégies à l’aide d’un moteur de stratégie déclarative simple sans expertise en programmation requise.

Citrix ADC VPX

Le produit Citrix ADC VPX est une appliance virtuelle qui peut être hébergée sur une grande variété de plateformes de virtualisation et de cloud.

Ce guide de déploiement se concentre sur Citrix ADC VPX sur Azure.

Microsoft Azure

  • Microsoft Azure est un ensemble de services de cloud computing en constante évolution destinés à aider les entreprises à relever leurs défis commerciaux. Azure donne aux utilisateurs la liberté de créer, de gérer et de déployer des applications sur un vaste réseau mondial à l’aide de leurs outils et infrastructures préférés. Avec Azure, les utilisateurs peuvent :

  • Soyez prêt pour l’avenir grâce à l’innovation continue de Microsoft pour soutenir leur développement aujourd’hui et leurs visions des produits pour demain.

  • Exploitez le cloud hybride de manière transparente sur site, dans le cloud et à la périphérie : Azure répond aux besoins des utilisateurs là où ils se trouvent.

  • Tirez parti de leurs conditions grâce à l’engagement d’Azure en faveur de l’open source et de la prise en charge de tous les langages et infrastructures, permettant aux utilisateurs d’être libres de créer comme ils le souhaitent et de déployer où ils le souhaitent.

  • Faites confiance à leur cloud avec une sécurité complète, soutenue par une équipe d’experts et une conformité proactive et de pointe, à laquelle les entreprises, les gouvernements et les startups font confiance.

Terminologie Azure

Voici une brève description des principaux termes utilisés dans ce document et que les utilisateurs doivent connaître :

  • Azure Load Balancer — L’équilibreur de charge Azure est une ressource qui distribue le trafic entrant entre les ordinateurs d’un réseau. Le trafic est distribué entre les machines virtuelles définies dans un jeu d’équilibrage de charge. Un équilibreur de charge peut être externe ou connecté à Internet, ou il peut être interne.

  • Azure Resource Manager (ARM) — ARM est le nouveau cadre de gestion des services dans Azure. Azure Load Balancer est géré à l’aide d’API et d’outils ARM.

  • Pool d’adresses back-end — Il s’agit des adresses IP associées à la carte réseau de la machine virtuelle à laquelle la charge sera distribuée.

  • BLOB - Binary Large Object — Tout objet binaire tel qu’un fichier ou une image qui peut être stocké dans le stockage Azure.

  • Configuration IP front-end : un équilibreur de charge Azure peut inclure une ou plusieurs adresses IP front-end, également appelées adresses IP virtuelles (VIP). Ces adresses IP servent d’entrée pour le trafic.

  • IP publique au niveau de l’instance (ILPIP) : un ILPIP est une adresse IP publique que les utilisateurs peuvent attribuer directement à une machine virtuelle ou à une instance de rôle, plutôt qu’au service cloud dans lequel réside la machine virtuelle ou l’instance de rôle. Cela ne remplace pas le VIP (IP virtuelle) qui est attribué à leur service cloud. Il s’agit plutôt d’une adresse IP supplémentaire qui peut être utilisée pour se connecter directement à une machine virtuelle ou à une instance de rôle.

Remarque :

Dans le passé, un ILPIP était appelé PIP, ce qui signifie public IP.

  • Règles NAT entrantes : elles contiennent des règles qui mappent un port public sur l’équilibreur de charge à un port pour une machine virtuelle spécifique dans le pool d’adresses back-end.

  • IP-Config - Il peut être défini comme une paire d’adresses IP (IP publique et IP privée) associée à une carte réseau individuelle. Dans une configuration IP, l’adresse IP publique peut être NULL. Chaque carte réseau peut être associée à plusieurs configurations IP, qui peuvent aller jusqu’à 255.

  • Règles d’équilibrage de charge : propriété de règle qui mappe une combinaison IP et port front-end donnée à un ensemble d’adresses IP back-end et de combinaisons de ports. Avec une définition unique d’une ressource d’équilibreur de charge, les utilisateurs peuvent définir plusieurs règles d’équilibrage de charge, chaque règle reflétant une combinaison d’une adresse IP et d’un port frontaux et d’une adresse IP et d’un port back-end associés aux machines virtuelles.

  • Groupe de sécurité réseau (NSG) : le groupe de sécurité réseau contient une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers les instances de machines virtuelles d’un réseau virtuel. Les NSG peuvent être associés à des sous-réseaux ou à des instances de machine virtuelle individuelles au sein de ce sous-réseau. Lorsqu’un groupe de sécurité réseau est associé à un sous-réseau, les règles ACL s’appliquent à toutes les instances de machines virtuelles de ce sous-réseau. En outre, le trafic vers une machine virtuelle individuelle peut être davantage restreint en associant un groupe de sécurité réseau directement à cette machine virtuelle.

  • Adresses IP privées : utilisées pour la communication au sein d’un réseau virtuel Azure et pour le réseau local de l’utilisateur lorsqu’une passerelle VPN est utilisée pour étendre un réseau utilisateur à Azure. Les adresses IP privées permettent aux ressources Azure de communiquer avec d’autres ressources dans un réseau virtuel ou un réseau local via une Gateway VPN ou un circuit ExpressRoute, sans utiliser d’adresse IP accessible par Internet. Dans le modèle de déploiement Azure Resource Manager, une adresse IP privée est associée aux types de ressources Azure suivants : machines virtuelles, équilibreurs de charge internes (ILB) et passerelles d’application.

  • Sondes : contient des sondes d’intégrité utilisées pour vérifier la disponibilité des instances de machines virtuelles dans le pool d’adresses back-end. Si une machine virtuelle particulière ne répond pas aux sondes d’intégrité pendant un certain temps, elle est retirée du service de trafic. Les sondes permettent aux utilisateurs de suivre l’état de santé des instances virtuelles. Si une sonde d’intégrité échoue, l’instance virtuelle est automatiquement retirée de la rotation.

  • Adresses IP publiques (PIP) : PIP est utilisé pour la communication avec Internet, y compris les services publics Azure et est associé aux machines virtuelles, aux équilibreurs de charge connectés à Internet, aux passerelles VPN et aux passerelles d’application.

  • Région - Zone au sein d’une géographie qui ne franchit pas les frontières nationales et qui contient un ou plusieurs centres de données. Les tarifs, les services régionaux et les types d’offres sont exposés au niveau régional. Une région est généralement jumelée à une autre région, qui peut se trouver à plusieurs centaines de miles, pour former une paire régionale. Les paires régionales peuvent servir de mécanisme pour la reprise après sinistre et les scénarios de haute disponibilité. Aussi appelé généralement lieu.

  • Groupe de ressources : conteneur dans le Gestionnaire de ressources qui contient les ressources associées pour une application. Le groupe de ressources peut inclure toutes les ressources d’une application, ou uniquement les ressources qui sont regroupées logiquement.

  • Compte de stockage : un compte de stockage Azure permet aux utilisateurs d’accéder au blob, à la file d’attente, aux tables et aux services de fichiers Azure dans Azure Storage. Un compte de stockage utilisateur fournit l’espace de noms unique pour les objets de données de stockage Azure utilisateur.

  • Machine virtuelle : implémentation logicielle d’un ordinateur physique qui exécute un système d’exploitation. Plusieurs machines virtuelles peuvent s’exécuter simultanément sur le même matériel. Dans Azure, les machines virtuelles sont disponibles en différentes tailles.

  • Réseau virtuel - Un réseau virtuel Azure est une représentation d’un réseau utilisateur dans le cloud. Il s’agit d’un isolement logique du cloud Azure dédié à un abonnement utilisateur. Les utilisateurs peuvent contrôler totalement les blocs d’adresses IP, les paramètres DNS, les stratégies de sécurité et les tables de routage au sein de ce réseau. Les utilisateurs peuvent également segmenter davantage leur réseau virtuel en sous-réseaux et lancer des machines virtuelles Azure IaaS et des services cloud (instances de rôle PaaS). Les utilisateurs peuvent également connecter le réseau virtuel à leur réseau local à l’aide de l’une des options de connectivité disponibles dans Azure. Essentiellement, les utilisateurs peuvent étendre leur réseau à Azure, avec un contrôle total sur les blocs d’adresses IP et bénéficier de l’évolutivité d’Azure.

Flux logique de Citrix WAF sur Azure

image-vpx-azure-appsecurity-deployment-01

Figure 1 : Schéma logique de Citrix WAF sur Azure

Flux logique

Le Web Application Firewall peut être installé en tant que périphérique réseau de couche 3 ou en tant que pont réseau de couche 2 entre les serveurs du client et les utilisateurs du client, généralement derrière le routeur ou le pare-feu de l’entreprise cliente. Il doit être installé dans un emplacement où il peut intercepter le trafic entre les serveurs Web que les utilisateurs souhaitent protéger et le hub ou le commutateur par lequel les utilisateurs accèdent à ces serveurs Web. Les utilisateurs configurent ensuite le réseau pour envoyer des requêtes au Web Application Firewall plutôt que directement à leurs serveurs Web, et des réponses au Web Application Firewall plutôt que directement à leurs utilisateurs. Le Web Application Firewall filtre ce trafic avant de le transférer vers sa destination finale, en utilisant à la fois son ensemble de règles internes et les ajouts et modifications de l’utilisateur. Il bloque ou rend inoffensif toute activité qu’il détecte comme nuisible, puis transfère le trafic restant au serveur Web. La figure ci-dessus (Figure 1) donne une vue d’ensemble du processus de filtrage.

Remarque : La figure omet l’application d’une stratégie au trafic entrant. Il illustre une configuration de sécurité dans laquelle la stratégie est de traiter toutes les demandes. De plus, dans cette configuration, un objet signatures a été configuré et associé au profil, et des vérifications de sécurité ont été configurées dans le profil. Comme le montre la figure, lorsqu’un utilisateur demande une URL sur un site Web protégé, le Web Application Firewall examine d’abord la demande pour s’assurer qu’elle ne correspond pas à une signature. Si la demande correspond à une signature, le Web Application Firewall affiche l’objet d’erreur (une page Web située sur le dispositif Web Application Firewall et que les utilisateurs peuvent configurer à l’aide de la fonction d’importation) ou transmet la demande à l’URL d’erreur désignée (la page d’erreur).

Si une demande réussit l’inspection de signature, le Web Application Firewall applique les contrôles de sécurité des demandes qui ont été activés. Les contrôles de sécurité de la demande vérifient que la demande est appropriée pour le site Web ou le service Web de l’utilisateur et qu’elle ne contient aucun élément susceptible de constituer une menace. Par exemple, les vérifications de sécurité examinent la demande pour détecter des signes indiquant qu’elle peut être d’un type inattendu, demander du contenu inattendu ou contenir des données de formulaire Web, des commandes SQL ou des scripts inattendus et éventuellement malveillants. Si la demande échoue à un contrôle de sécurité, le Web Application Firewall nettoie la demande, puis la renvoie à l’appliance Citrix ADC (ou à l’appliance virtuelle Citrix ADC), ou affiche l’objet d’erreur. Si la demande réussit les vérifications de sécurité, elle est renvoyée à l’appliance Citrix ADC, qui termine tout autre traitement et transfère la demande au serveur Web protégé.

Lorsque le site Web ou le service Web envoie une réponse à l’utilisateur, le Web Application Firewall applique les contrôles de sécurité des réponses qui ont été activés. Les contrôles de sécurité de réponse examinent la réponse pour détecter les fuites d’informations privées sensibles, les signes de dégradation du site Web ou tout autre contenu qui ne devrait pas être présent. Si la réponse échoue à un contrôle de sécurité, le Web Application Firewall supprime le contenu qui ne devrait pas être présent ou bloque la réponse. Si la réponse réussit les vérifications de sécurité, elle est renvoyée à l’appliance Citrix ADC, qui la transmet à l’utilisateur.

Cas d’utilisation

Comparé aux solutions alternatives qui nécessitent que chaque service soit déployé en tant qu’appliance virtuelle distincte, Citrix ADC sur Azure combine l’équilibrage de charge L4, la gestion du trafic L7, le déchargement du serveur, l’accélération des applications, la sécurité des applications et d’autres fonctionnalités essentielles de mise à disposition d’applications dans un seul VPX , facilement disponible via Azure Marketplace. En outre, tout est régi par un cadre de stratégie unique et géré avec le même ensemble puissant d’outils utilisés pour administrer les déploiements Citrix ADC locaux. Le résultat net est que Citrix ADC sur Azure permet plusieurs cas d’utilisation convaincants qui répondent non seulement aux besoins immédiats des entreprises d’aujourd’hui, mais également à l’évolution continue des infrastructures informatiques héritées vers les centres de données cloud d’entreprise.

Types de déploiement

Déploiement multi-IP multi-NIC (déploiement sur trois cartes réseau)

  • Déploiements types

    • Piloté par StyleBook

    • Avec ADM

      • Avec GSLB (Azure Traffic Management (TM) sans enregistrement de domaine)

      • Licences - Pooled/Marketplace

  • Cas d’utilisation

    • Les déploiements multi-NIC Multi-IP (trois cartes réseau) sont utilisés pour obtenir une isolation réelle des données et du trafic de gestion.

    • Les déploiements multi-NIC Multi-IP (trois cartes réseau) améliorent également l’évolutivité et les performances de l’ADC.

    • Les déploiements multi-IP (trois cartes réseau) sont utilisés dans les applications réseau où le débit est généralement de 1 Gbit/s ou plus et un déploiement à trois cartes réseau est recommandé.

Déploiement multi-NIC Multi-IP (trois cartes réseau) pour une haute disponibilité (HA)

Les clients peuvent déployer à l’aide d’un déploiement à trois cartes réseau s’ils effectuent un déploiement dans un environnement de production où la sécurité, la redondance, la disponibilité, la capacité et l’évolutivité sont essentielles. Avec cette méthode de déploiement, la complexité et la facilité de gestion ne sont pas des préoccupations critiques pour les utilisateurs.

Déploiement de modèles Azure Resource

Les clients peuvent déployer à l’aide de modèles ARM (Azure Resource Manager) s’ils personnalisent leurs déploiements ou s’ils automatisent leurs déploiements.

Modèles ARM (Azure Resource Manager)

Le référentiel GitHub pour les modèles Citrix ADC ARM (Azure Resource Manager) héberge desmodèles personnalisés Citrix ADC pour le déploiement de Citrix ADC dans Microsoft Azure Cloud Services. Tous les modèles de ce référentiel ont été développés et maintenus par l’équipe d’ingénierie de Citrix ADC.

Chaque modèle de ce référentiel possède une documentation colocalisée décrivant l’utilisation et l’architecture du modèle. Les modèles tentent de codifier l’architecture de déploiement recommandée de Citrix ADC VPX, ou de présenter à l’utilisateur Citrix ADC ou de démontrer une fonction/édition/option particulière. Les utilisateurs peuvent réutiliser/modifier ou améliorer les modèles en fonction de leurs besoins spécifiques en matière de production et de test. La plupart des modèles nécessitent un abonnement suffisant à portal.azure.com pour créer des ressources et déployer des modèles. Les modèles Citrix ADC VPX Azure Resource Manager (ARM) sont conçus pour garantir un déploiement simple et cohérent de Citrix ADC VPX autonome. Ces modèles augmentent la fiabilité et la disponibilité du système grâce à la redondance intégrée. Ces modèles ARM prennent en charge les sélections basées sur la fonction Bring Your Own License (BYOL) ou Le choix de la sélection est mentionné dans la description du modèle ou proposé lors du déploiement du modèle. Pour plus d’informations sur la mise en service d’une instance Citrix ADC VPX sur Microsoft Azure à l’aide de modèles ARM (Azure Resource Manager), rendez-vous sur : Modèles Citrix ADC Azure.

Pour plus d’informations sur la façon de déployer une instance Citrix ADC VPX sur Microsoft Azure, veuillez consulter : Déployer une instance Citrix ADC VPX sur Microsoft Azure.

Pour plus d’informations sur le fonctionnement d’une instance Citrix ADC VPX sur Azure, consultez : How a Citrix ADC VPX Instance Works on Azure.

Étapes de déploiement

Lorsque les utilisateurs déploient une instance Citrix ADC VPX sur Microsoft Azure Resource Manager (ARM), ils peuvent utiliser les fonctionnalités de cloud computing Azure et utiliser les fonctionnalités d’équilibrage de charge et de gestion du trafic de Citrix ADC pour leurs besoins professionnels. Les utilisateurs peuvent déployer des instances Citrix ADC VPX sur Azure Resource Manager soit en tant qu’instances autonomes, soit en tant que paires haute disponibilité en modes actif-veille.

Les utilisateurs peuvent déployer une instance Citrix ADC VPX sur Microsoft Azure de deux manières :

  • Via Azure Marketplace. Le boîtier virtuel Citrix ADC VPX est disponible en tant qu’image dans Microsoft Azure Marketplace. Le modèle Azure Resource Manager est publié sur Azure Marketplace et peut être utilisé pour déployer Citrix ADC dans un déploiement autonome et dans un déploiement de paire HA.

  • Utilisation du modèle json Citrix ADC Azure Resource Manager (ARM) disponible sur GitHub. Pour plus d’informations, consultez le référentiel GitHub pour les modèles de solutions Citrix ADC.

Choisir la bonne instance Azure

Les appliances virtuelles VPX sur Azure peuvent être déployées sur n’importe quel type d’instance doté de deux cœurs ou plus et de plus de 2 Go de mémoire. Le tableau suivant répertorie les types d’instances recommandés pour la licence ADC VPX :

Modèle VPX Instance Azure (recommandé)
VPX10 D2s standard v3
VPX200 D2s standard v3
VPX 1000 D4s v3 standard
VPX 3000 D8 standard v3

Une fois que la licence et le type d’instance qui doivent être utilisés pour le déploiement sont connus, les utilisateurs peuvent provisionner une instance Citrix ADC VPX sur Azure à l’aide de l’architecture multi-IP multi-NIC recommandée.

Architecture multi-NIC Multi-IP (trois cartes réseau)

Dans ce type de déploiement, les utilisateurs peuvent avoir plusieurs interfaces réseau (NIC) connectées à une instance VPX. Toute carte réseau peut avoir une ou plusieurs configurations IP (adresses IP publiques et privées statiques ou dynamiques) qui lui sont attribuées. L’architecture multi-cartes réseau peut être utilisée à la fois pour les déploiements autonomes et par paires HA. Les modèles ARM suivants peuvent être utilisés :

  • Citrix ADC Standalone : 3-NIC autonome avec modèle ARM

  • Paire Citrix ADC HA : modèle ARM-paire HA 3-NIC

Reportez-vous aux exemples d’utilisation suivants :

Architecture de déploiement Citrix ADM

L’image suivante fournit une vue d’ensemble de la façon dont Citrix ADM se connecte à Azure pour provisionner des instances Citrix ADC VPX dans Microsoft Azure.

image-vpx-azure-appsecurity-deployment-02

Les utilisateurs doivent disposer de trois sous-réseaux pour provisionner et gérer les instances Citrix ADC VPX dans Microsoft Azure. Un groupe de sécurité doit être créé pour chaque sous-réseau. Les règles spécifiées dans Network Security Group (NSG) régissent la communication entre les sous-réseaux.

L’agent de service Citrix ADM aide les utilisateurs à provisionner et à gérer les instances Citrix ADC VPX.

Configuration d’une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau

Dans un déploiement Microsoft Azure, une configuration haute disponibilité de deux instances Citrix ADC VPX est réalisée à l’aide de l’équilibreur de charge Azure (ALB). Pour ce faire, configurez une sonde d’intégrité sur ALB, qui surveille chaque instance VPX en envoyant des sondes d’intégrité toutes les 5 secondes aux instances principales et secondaires.

Dans cette configuration, seul le nœud principal répond aux sondes de santé et le nœud secondaire ne le fait pas. Une fois que le principal envoie la réponse à la sonde d’intégrité, l’ALB commence à envoyer le trafic de données à l’instance. Si l’instance principale manque deux sondes d’intégrité consécutives, ALB ne redirige pas le trafic vers cette instance. Lors du basculement, la nouvelle base commence à répondre aux sondes d’intégrité et l’ALB redirige le trafic vers elle. Le temps de basculement standard VPX haute disponibilité est de trois secondes. Le temps de basculement total pouvant survenir pour la commutation de trafic peut être de 13 secondes maximum.

Les utilisateurs peuvent déployer une paire d’instances Citrix ADC VPX avec plusieurs cartes réseau dans une configuration haute disponibilité (HA) active-passive sur Azure. Chaque carte réseau peut contenir plusieurs adresses IP.

Les options suivantes sont disponibles pour un déploiement multicarte haute disponibilité :

  • Haute disponibilité à l’aide du jeu de disponibilité Azure

  • Haute disponibilité à l’aide des zones de disponibilité Azure

Pour plus d’informations sur l’ensemble de disponibilité Azure et les zones de disponibilité, consultez la documentation Azure Gérer la disponibilité des machines virtuelles Linux.

Haute disponibilité avec le jeu de disponibilité

Une configuration haute disponibilité utilisant un jeu de disponibilité doit répondre aux exigences suivantes :

  • Configuration de réseau indépendant HA (Independent Network Configuration)

  • L’équilibrage de charge Azure (ALB) en mode retour direct du serveur (DSR)

Tout le trafic passe par le nœud principal. Le nœud secondaire reste en mode veille jusqu’à ce que le nœud principal tombe en panne.

Remarque :

Pour qu’un déploiement haute disponibilité Citrix VPX sur le cloud Azure fonctionne, les utilisateurs ont besoin d’une IP publique flottante (PIP) qui peut être déplacée entre les deux nœuds VPX. L’équilibrage de charge Azure (ALB) fournit ce PIP flottant, qui est déplacé automatiquement vers le deuxième nœud en cas de basculement.

Dans un déploiement actif-passif, les adresses IP publiques frontales (PIP) ALB sont ajoutées en tant qu’adresses VIP dans chaque nœud VPX. Dans une configuration HA-INC, les adresses VIP sont flottantes et les adresses SNIP sont spécifiques à une instance.

Les utilisateurs peuvent déployer une paire VPX en mode haute disponibilité actif-passif de deux manières en utilisant :

  • Modèle de haute disponibilité standard Citrix ADC VPX : utilisez cette option pour configurer une paire HA avec l’option par défaut de trois sous-réseaux et six cartes réseau.

  • Commandes Windows PowerShell : utilisez cette option pour configurer une paire HA en fonction des besoins de votre sous-réseau et de votre carte réseau.

Cette section décrit comment déployer une paire VPX dans une configuration HA active-passive à l’aide du modèle Citrix. Si les utilisateurs souhaitent déployer à l’aide de commandes PowerShell, consultez Configurer une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau à l’aide des commandes PowerShell.

Configurer les nœuds HA-INC à l’aide du modèle Citrix High Availability

Les utilisateurs peuvent déployer rapidement et efficacement une paire d’instances VPX en mode HA-INC en utilisant le modèle standard. Le modèle crée deux nœuds, avec trois sous-réseaux et six cartes réseau. Les sous-réseaux sont destinés à la gestion, au trafic côté client et côté serveur, et chaque sous-réseau possède deux cartes réseau pour les deux instances VPX.

Procédez comme suit pour lancer le modèle et déployer une paire VPX haute disponibilité, à l’aide des jeux de disponibilité Azure.

  1. À partir de la Place de marché Azure, sélectionnez et lancez le modèle de solution Citrix. Le modèle apparaît.

  2. Assurez-vous que le type de déploiement est Gestionnaire de ressources et sélectionnez Créer.

  3. La page Principes de base s’affiche. Créez un groupe de ressources et sélectionnez OK.

  4. La page Paramètres généraux s’affiche. Tapez les détails et sélectionnez OK.

  5. La page Paramètres réseau s’affiche. Vérifiez les configurations du réseau virtuel et du sous-réseau, modifiez les paramètres requis et sélectionnez OK.

  6. La page Résumé s’affiche. Vérifiez la configuration et modifiez en conséquence. Sélectionnez OK pour confirmer.

  7. La page Acheter apparaît. Sélectionnez Achat pour terminer le déploiement.

Il peut prendre un moment avant que le groupe de ressources Azure soit créé avec les configurations requises. Une fois terminé, sélectionnez le groupe de ressources dans le portail Azure pour voir les détails de configuration, tels que les règles LB, les pools back-end, les sondes d’intégrité, etc. La paire haute disponibilité apparaît sous la forme ns-vpx0 et ns-vpx1.

Si d’autres modifications sont nécessaires pour la configuration de HA, telles que la création de règles de sécurité et de ports supplémentaires, les utilisateurs peuvent le faire à partir du portail Azure.

Ensuite, les utilisateurs doivent configurer le serveur virtuel d’équilibrage de charge avec l’ adresse IP publique (PIP) Frontend de l’ALB, sur le nœud principal. Pour rechercher le PIP ALB, sélectionnez ALB > Configuration IP frontend.

Consultez la section Ressources pour plus d’informations sur la façon de configurer le serveur virtuel d’équilibrage de charge.

Ressources :

Les liens suivants fournissent des informations supplémentaires relatives au déploiement haute disponibilité et à la configuration du serveur virtuel :

Ressources connexes :

Haute disponibilité grâce aux zones de disponibilité

Les zones de disponibilité Azure sont des emplacements isolés de pannes dans une région Azure, fournissant une alimentation, un refroidissement et une mise en réseau redondantes et augmentant la résilience. Seules les régions Azure spécifiques prennent en charge les zones de disponibilité. Pour plus d’informations, consultez la documentation Azure Availability Zones in Azure : Configure GSLB on an Active-Standby HighAvailability Setup.

Les utilisateurs peuvent déployer une paire VPX en mode haute disponibilité à l’aide du modèle appelé « NetScaler 13.0 HA using Availability Zones », disponible dans Azure Marketplace.

Procédez comme suit pour lancer le modèle et déployer une paire VPX haute disponibilité, à l’aide des zones de disponibilité Azure.

  1. À partir de la Place de marché Azure, sélectionnez et lancez le modèle de solution Citrix.

  2. Assurez-vous que le type de déploiement est Gestionnaire de ressources et sélectionnez Créer.

  3. La page Principes de base s’affiche. Entrez les détails et cliquez sur OK.

Remarque : Assurez-vous qu’une région Azure prenant en charge les zones de disponibilité est sélectionnée. Pour plus d’informations sur les régions qui prennent en charge les zones de disponibilité, consultez la documentation Azure Zones de disponibilité dans Azure : Régions et zones de disponibilité dans Azure.

  1. La page Paramètres généraux s’affiche. Tapez les détails et sélectionnez OK.

  2. La page Paramètres réseau s’affiche. Vérifiez les configurations du réseau virtuel et du sous-réseau, modifiez les paramètres requis et sélectionnez OK.

  3. La page Résumé s’affiche. Vérifiez la configuration et modifiez en conséquence. Sélectionnez OK pour confirmer.

  4. La page Acheter apparaît. Sélectionnez Achat pour terminer le déploiement.

Il peut prendre un moment avant que le groupe de ressources Azure soit créé avec les configurations requises. Une fois terminé, sélectionnez le groupe de ressources pour afficher les détails de configuration, tels que les règles de LB, les pools back-end, les analyses de santé, etc., dans le portail Azure. La paire haute disponibilité apparaît sous la forme ns-vpx0 et ns-vpx1. Les utilisateurs peuvent également voir l’emplacement dans la colonne Emplacement .

Si d’autres modifications sont nécessaires pour la configuration de HA, telles que la création de règles de sécurité et de ports supplémentaires, les utilisateurs peuvent le faire à partir du portail Azure.

Pour plus d’informations sur le provisionnement d’instances Citrix ADC VPX sur Microsoft Azure, consultez : Provisioning d’instances Citrix ADC VPX sur Microsoft Azure.

Citrix Application Delivery Management

Citrix Application Delivery Management Service (Citrix ADM) fournit une solution simple et évolutive pour gérer les déploiements Citrix ADC qui incluent Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway, Citrix ADC SDX, Citrix ADC CPX et Citrix SD-WAN déployés sur site ou sur le cloud.

Les utilisateurs peuvent utiliser cette solution cloud pour gérer, surveiller et dépanner l’ensemble de l’infrastructure mondiale de distribution d’applications à partir d’une console cloud unique, unifiée et centralisée. Le service Citrix ADM fournit toutes les fonctionnalités nécessaires pour configurer, déployer et gérer rapidement la livraison des applications dans les déploiements Citrix ADC et dispose d’une analyse complète de l’intégrité, des performances et de la sécurité des applications.

Le service Citrix ADM offre les avantages suivants :

  • Agile— Facile à utiliser, à mettre à jour et à utiliser. Le modèle de service de Citrix ADM Service est disponible sur le cloud, ce qui facilite l’utilisation, la mise à jour et l’utilisation des fonctionnalités fournies par Citrix ADM Service. La fréquence des mises à jour, combinée à la fonction de mise à jour automatisée, améliore rapidement le déploiement de Citrix ADC par l’utilisateur.

  • Délai de rentabilisationplus rapide — Réalisation plus rapide des objectifs commerciaux. Contrairement au déploiement sur site traditionnel, les utilisateurs peuvent utiliser leur service Citrix ADM en quelques clics. Les utilisateurs économisent non seulement le temps d’installation et de configuration, mais évitent également de perdre du temps et des ressources à cause d’éventuelles erreurs.

  • Gestion multisite : interface unique pour les instances des centres de données multisites. Avec le service Citrix ADM, les utilisateurs peuvent gérer et surveiller les Citrix ADC qui se trouvent dans différents types de déploiements. Les utilisateurs disposent d’un guichet unique de gestion pour les Citrix ADC déployés sur site et dans le cloud.

  • Efficacité opérationnelle— Méthode optimisée et automatisée pour améliorer la productivité opérationnelle. Avec le service Citrix ADM, les coûts opérationnels des utilisateurs sont réduits en économisant du temps, de l’argent et des ressources sur la maintenance et la mise à niveau des déploiements matériels traditionnels.

Fonctionnement du service Citrix ADM

Citrix ADM Service est disponible en tant que service sur Citrix Cloud. Une fois que les utilisateurs se sont inscrits à Citrix Cloud et ont commencé à utiliser le service, installez les agents dans l’environnement réseau utilisateur ou lancez l’agent intégré dans les instances. Ajoutez ensuite les instances que les utilisateurs souhaitent gérer au service.

Un agent permet la communication entre le service Citrix ADM et les instances gérées dans le centre de données utilisateur. L’agent collecte les données des instances gérées dans le réseau utilisateur et les envoie au service Citrix ADM.

Lorsque les utilisateurs ajoutent une instance au service Citrix ADM, elle s’ajoute implicitement en tant que destination d’interruption et collecte un inventaire de l’instance.

Le service recueille les détails de l’instance, tels que :

  • Nom d’hôte

  • Version du logiciel

  • Configuration en cours d’exécution et enregistrée

  • Certificats

  • Entités configurées sur l’instance, etc.

Citrix ADM Service interroge périodiquement les instances gérées pour collecter des informations.

L’image suivante illustre la communication entre le service, les agents et les instances :

image-vpx-azure-appsecurity-deployment-03

Guide de documentation

La documentation du service Citrix ADM comprend des informations sur la façon de démarrer avec le service, une liste des fonctionnalités prises en charge par le service et la configuration spécifique à cette solution de service.

Top 10 de Citrix ADC WAF et OWASP — 2017

The Open Web Application Security Project : OWASP (a publié le Top 10 OWASP pour 2017 en matière de sécurité des applications Web. Cette liste répertorie les vulnérabilités les plus courantes des applications Web et constitue un excellent point de départ pour évaluer la sécurité Web. Nous expliquons ici comment configurer le pare-feu d’application Web (WAF) Citrix ADC pour atténuer ces failles. WAF est disponible en tant que module intégré dans Citrix ADC (Premium Edition) et dans une gamme complète d’appliances.

L’intégralité du document OWASP Top 10 est disponible à l’adresse suivante : OWASP Top Ten.

Top 10 de l’OWASP 2017 Fonctionnalités de Citrix ADC WAF
A 1:2017 - Injection Prévention des attaques par injection (injection SQL ou toute autre injection personnalisée telle que l’injection de commande du système d’exploitation, l’injection XPath et l’injection LDAP), fonctionnalité de signature de mise à jour automatique
A 2:2017 - Authentification brisée AAA, protection contre la falsification des cookies, proxy de cookies, cryptage des cookies, marquage CSRF, utilisation de SSL
A 3:2017 - Exposition de données sensibles Protection des cartes de crédit, commerce sécurisé, proxy de cookies et cryptage des cookies
A 4:2017 Entités externes XML (XXE) Protection XML, y compris les contrôles WSI, la validation des messages XML et le contrôle de filtrage des erreurs XML SOAP
A 5:2017 Contrôle d’accès cassé AAA, fonction de sécurité d’autorisation dans le module AAA de NetScaler, protections de formulaire et protections contre la falsification des cookies, StartURL et ClosureURL
A 6:2017 - Mauvaise configuration de la sécurité Rapports PCI, fonctionnalités SSL, génération de signatures à partir de rapports d’analyse de vulnérabilité tels que Cenzic, Qualys, AppScan, WebInspect, Whitehat. En outre, des protections spécifiques telles que le cryptage des cookies, le proxy et la falsification
A 7:2017 - Script intersite (XSS) XSS Attack Prevention, bloque toutes les attaques par aide-mémoire OWASP XSS
A 8:2017 — Désérialisation non sécurisée Contrôles de sécurité XML, type de contenu GWT, signatures personnalisées, Xpath pour JSON et XML
A 9:2017 - Utilisation de composants présentant des vulnérabilités connues Rapports d’analyse de vulnérabilité, modèles de pare-feu d’application et signatures personnalisées
A 10:2017 — Journalisation et surveillance insuffisantes Journalisation personnalisée configurable par l’utilisateur, système de gestion et d’analyse Citrix ADC

A 1:2017 - Injection

Les défauts d’injection, tels que l’injection SQL, NoSQL, OS et LDAP, se produisent lorsque des données non fiables sont envoyées à un interpréteur dans le cadre d’une commande ou d’une requête. Les données hostiles de l’attaquant peuvent inciter l’interpréteur à exécuter des commandes involontaires ou à accéder à des données sans autorisation appropriée.

Protections ADC WAF

  • La fonction de prévention des injections SQL protège contre les attaques par injection courantes. Des modèles d’injection personnalisés peuvent être téléchargés pour protéger contre tout type d’attaque par injection, y compris XPath et LDAP. Cela s’applique aux charges utiles HTML et XML.

  • La fonction de signature de mise à jour automatique maintient les signatures d’injection à jour.

  • La fonction de protection du format de champ permet à l’administrateur de limiter les paramètres utilisateur à une expression régulière. Par exemple, vous pouvez faire en sorte qu’un champ de code postal contienne uniquement des entiers ou même des entiers à 5 chiffres.

  • Cohérence des champs de formulaire : validez chaque formulaire utilisateur soumis par rapport à la signature du formulaire de session utilisateur pour garantir la validité de tous les éléments du formulaire.

  • Les contrôles de dépassement de tampon garantissent que l’URL, les en-têtes et les cookies sont dans les bonnes limites, bloquant ainsi toute tentative d’injection de scripts ou de code volumineux.

A 2:2017 — Authentification brisée

Les fonctions d’application liées à l’authentification et à la gestion des sessions sont souvent mal mises en œuvre, ce qui permet aux attaquants de compromettre des mots de passe, des clés ou des jetons de session, ou d’exploiter d’autres failles de mise en œuvre pour assumer temporairement ou définitivement l’identité d’autres utilisateurs.

Protections ADC WAF

  • Le module AAA Citrix ADC effectue l’authentification des utilisateurs et fournit une fonctionnalité d’authentification unique aux applications back-end. Il est intégré au moteur de stratégies Citrix ADC AppExpert pour permettre des stratégies personnalisées basées sur les informations des utilisateurs et des groupes.

  • À l’aide des fonctionnalités de déchargement SSL et de transformation d’URL, le pare-feu peut également aider les sites à utiliser des protocoles de couche de transport sécurisés pour empêcher le vol de jetons de session par reniflage du réseau.

  • Le proxy des cookies et le chiffrement des cookies peuvent être utilisés pour limiter complètement le vol de cookies.

A 3:2017 - Exposition de données sensibles

De nombreuses applications Web et API ne protègent pas correctement les données sensibles, telles que les données financières, les soins de santé et les informations personnelles. Les attaquants peuvent voler ou modifier ces données mal protégées pour commettre des fraudes par carte de crédit, des vols d’identité ou d’autres délits. Les données sensibles peuvent être compromises sans protection supplémentaire, telle que le chiffrement au repos ou en transit, et nécessitent des précautions particulières lors de leur échange avec le navigateur.

Protections ADC WAF

  • Le pare-feu d’application protège les applications contre la fuite de données sensibles telles que les informations de carte de crédit.

  • Les données sensibles peuvent être configurées en tant qu’objets sécurisés dans la protection Safe Commerce afin d’éviter toute exposition.

  • Toutes les données sensibles contenues dans les cookies peuvent être protégées par le proxy des cookies et le cryptage des cookies.

A 4:2017 Entités externes XML (XXE)

De nombreux processeurs XML anciens ou mal configurés évaluent les références d’entités externes dans les documents XML. Les entités externes peuvent être utilisées pour divulguer des fichiers internes à l’aide du gestionnaire d’URI de fichier, des partages de fichiers internes, de l’analyse de port interne, de l’exécution de code à distance et des attaques par déni de service

Protections ADC WAF

  • En plus de détecter et de bloquer les menaces applicatives courantes qui peuvent être adaptées pour attaquer les applications basées sur XML (c’est-à-dire les scripts intersites, l’injection de commandes, etc.).

  • Le pare-feu d’application ADC inclut un ensemble complet de protections de sécurité spécifiques à XML. Il s’agit notamment de la validation de schéma pour vérifier en profondeur les messages SOAP et les charges utiles XML, ainsi que d’une puissante vérification des pièces jointes XML pour bloquer les pièces jointes contenant des exécutables malveillants ou des virus.

  • Les méthodes d’inspection automatique du trafic bloquent les attaques par injection XPath sur les URL et les formulaires destinés à obtenir un accès.

  • Le pare-feu d’application ADC contrecarre également diverses attaques par déni de service, notamment les références d’entités externes, l’extension récursive, l’imbrication excessive et les messages malveillants contenant des attributs et des éléments longs ou nombreux.

A 5:2017 Contrôle d’accès cassé

Les restrictions concernant ce que les utilisateurs authentifiés sont autorisés à faire ne sont souvent pas correctement appliquées. Les attaquants peuvent exploiter ces failles pour accéder à des fonctionnalités et des données non autorisées, telles que l’accès aux comptes d’autres utilisateurs, l’affichage de fichiers sensibles, la modification des données d’autres utilisateurs, la modification des droits d’accès, etc.

Protections ADC WAF

  • La fonction AAA qui prend en charge l’authentification, l’autorisation et l’audit pour tout le trafic des applications permet à un administrateur de site de gérer les contrôles d’accès avec l’appliance ADC.

  • La fonction de sécurité d’autorisation du module AAA de l’appliance ADC permet à l’appliance de vérifier le contenu d’un serveur protégé auquel elle doit autoriser l’accès de chaque utilisateur.

  • Cohérence des champs de formulaire : si les références aux objets sont stockées sous forme de champs masqués dans les formulaires, vous pouvez vérifier que ces champs ne sont pas falsifiés lors de demandes ultérieures.

  • Proxying des cookies et cohérence des cookies : les références d’objets qui sont stockées dans les valeurs des cookies peuvent être validées avec ces protections.

  • Lancer la vérification d’URL avec fermeture d’URL : permet à l’utilisateur d’accéder à une liste d’URL autorisées prédéfinie. La fermeture d’URL crée une liste de toutes les URL vues dans les réponses valides pendant la session utilisateur et autorise automatiquement l’accès à celles-ci pendant cette session.

A 6:2017 - Mauvaise configuration de la sécurité

La mauvaise configuration de la sécurité est le problème le plus fréquent. Cela est généralement dû à des configurations par défaut non sécurisées, à des configurations incomplètes ou improvisées, à un stockage cloud ouvert, à des en-têtes HTTP mal configurés et à des messages d’erreur détaillés contenant des informations sensibles. Non seulement tous les systèmes d’exploitation, infrastructures, bibliothèques et applications doivent être configurés de manière sécurisée, mais ils doivent également être corrigés et mis à niveau en temps opportun.

Protections ADC WAF

  • Le rapport PCI-DSS généré par le pare-feu d’application documente les paramètres de sécurité du périphérique pare-feu.

  • Les rapports des outils d’analyse sont convertis en signatures ADC WAF afin de gérer les erreurs de configuration de sécurité.

  • ADC WAF prend en charge Cenzic, IBM AppScan (Enterprise et Standard), Qualys, TrendMicro, WhiteHat et les rapports d’analyse de vulnérabilité personnalisés.

A 7:2017 - Script intersite (XSS)

Les failles XSS se produisent lorsqu’une application inclut des données non fiables dans une nouvelle page Web sans validation ni échappement appropriés, ou lorsqu’elle met à jour une page Web existante avec des données fournies par l’utilisateur à l’aide d’une API de navigateur capable de créer du code HTML ou JavaScript. XSS permet aux attaquants d’exécuter des scripts dans le navigateur de la victime qui peuvent détourner des sessions utilisateur, dégrader des sites Web ou rediriger l’utilisateur vers des sites malveillants.

Protections ADC WAF

  • La protection XSS protège contre les attaques XSS courantes. Des modèles XSS personnalisés peuvent être téléchargés pour modifier la liste par défaut des balises et des attributs autorisés. Le WAF ADC utilise une liste blanche d’attributs et de balises HTML autorisés pour détecter les attaques XSS. Cela s’applique aux charges utiles HTML et XML.

  • ADC WAF bloque toutes les attaques répertoriées dans le aide-mémoire OWASP XSS Filter Evaluation.

  • La vérification du format des champs empêche un attaquant d’envoyer des données de formulaire Web inappropriées, ce qui peut constituer une attaque XSS potentielle.

  • Cohérence des champs de formulaire

A 8:2017 - Désérialisation non sécurisée

Une désérialisation non sécurisée entraîne souvent l’exécution de code à distance. Même si les failles de désérialisation n’entraînent pas l’exécution de code à distance, elles peuvent être utilisées pour exécuter des attaques, y compris des attaques par rediffusion, des attaques par injection et des attaques par élévation de privilèges.

Protections ADC WAF

  • Inspection de la charge utile JSON avec des signatures personnalisées.

  • Sécurité XML : protection contre le déni de service XML (XDoS), l’injection XML SQL et Xpath et les scripts intersites, les vérifications de format, la conformité de base du profil WS-I, la vérification des pièces jointes XML.

  • Les contrôles de format de champ et la cohérence des cookies et la cohérence des champs peuvent être utilisés.

A 9:2017 - Utilisation de composants présentant des vulnérabilités connues

Les composants, tels que les bibliothèques, les infrastructures et les autres modules logiciels, s’exécutent avec les mêmes privilèges que l’application. Si un composant vulnérable est exploité, une telle attaque peut entraîner de graves pertes de données ou la prise de contrôle du serveur. Les applications et les API utilisant des composants présentant des vulnérabilités connues peuvent compromettre les défenses des applications et permettre diverses attaques et impacts.

Protections ADC WAF

  • Citrix recommande de mettre à jour les composants tiers.

  • Les rapports d’analyse de vulnérabilité convertis en signatures ADC peuvent être utilisés pour corriger virtuellement ces composants.

  • Les modèles de pare-feu d’application disponibles pour ces composants vulnérables peuvent être utilisés.

  • Les signatures personnalisées peuvent être liées au pare-feu pour protéger ces composants.

A 10:2017 - Journalisation et surveillance insuffisantes

Une journalisation et une surveillance insuffisantes, associées à une intégration manquante ou inefficace avec la réponse aux incidents, permettent aux attaquants d’attaquer davantage les systèmes, de maintenir la persistance, de basculer vers d’autres systèmes et de falsifier, extraire ou détruire des données. La plupart des études sur les violations montrent que le délai de détection d’une violation est de plus de 200 jours, généralement détecté par des parties externes plutôt que par des processus internes ou une surveillance.

Protections ADC WAF

  • Lorsque l’action de journalisation est activée pour les contrôles de sécurité ou les signatures, les messages de journal résultants fournissent des informations sur les demandes et les réponses que le pare-feu d’applications a observées lors de la protection de vos sites Web et applications.

  • Le pare-feu d’application offre la commodité d’utiliser la base de données ADC intégrée pour identifier les emplacements correspondant aux adresses IP d’où proviennent les demandes malveillantes.

  • Les expressions de format par défaut (PI) offrent la flexibilité nécessaire pour personnaliser les informations incluses dans les journaux avec la possibilité d’ajouter les données spécifiques à capturer dans les messages de journal générés par le pare-feu d’application.

  • Le pare-feu d’application prend en charge les journaux CEF.

Protection de sécurité des applications

Citrix ADM

Citrix Application Delivery Management Service (Citrix ADM) fournit une solution évolutive pour gérer les déploiements Citrix ADC qui incluent Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway, Citrix ADC SDX, Citrix ADC CPX et les appliances Citrix SD-WAN déployées sur site ou sur le cloud.

Fonctionnalités d’analyse et de gestion des applications Citrix ADM

Vous trouverez ci-dessous une liste et un résumé des principales fonctionnalités qui sont essentielles au rôle d’ADM dans App Security.

Analyse et gestion des applications

La fonctionnalité Analyse et gestion des applications de Citrix ADM renforce l’approche centrée sur les applications afin d’aider les utilisateurs à relever divers défis liés à la fourniture d’applications. Cette approche donne aux utilisateurs une visibilité sur les scores de santé des applications, aide les utilisateurs à déterminer les risques de sécurité, et aide les utilisateurs à détecter les anomalies dans les flux de trafic des applications et à prendre des mesures correctives. Le rôle le plus important pour App Security est Application Security Analytics :

  • Analyses de sécurité des applications : Analyse de sécurité desapplications. Le tableau de bord de sécurité des applications fournit une vue globale de l’état de sécurité des applications utilisateur. Par exemple, il affiche des mesures de sécurité clés telles que les violations de sécurité, les violations de signature, les indices de menaces. Le tableau de bord App Security affiche également des informations relatives aux attaques, telles que les attaques SYN, les attaques par petites fenêtres et les attaques par inondation DNS pour les instances Citrix ADC découvertes.

Stylebooks

Les StyleBooks simplifient la gestion des configurations complexes de Citrix ADC pour les applications utilisateur. Un StyleBook est un modèle que les utilisateurs peuvent utiliser pour créer et gérer des configurations Citrix ADC. Ici, les utilisateurs sont principalement préoccupés par le StyleBook utilisé pour déployer le Web Application Firewall. Pour plus d’informations sur StyleBooks, voir : StyleBooks.

Analyse

Fournit un moyen simple et évolutif d’examiner les différentes informations des données des instances Citrix ADC afin de décrire, de prévoir et d’améliorer les performances des applications. Les utilisateurs peuvent utiliser une ou plusieurs fonctionnalités d’analyse simultanément. Les rôles les plus importants pour la sécurité des applications sont les suivants :

  • Security Insight : Security Insight. Fournit une solution à volet unique pour aider les utilisateurs à évaluer l’état de sécurité des applications utilisateur et à prendre des mesures correctives pour sécuriser les applications utilisateur.

  • Bot Insight

  • Pour plus d’informations sur les analyses, voir Analytics : Analytics.

Les autres fonctionnalités importantes pour la fonctionnalité ADM sont les suivantes :

Gestion des événements

Les événements représentent des occurrences d’événements ou d’erreurs sur une instance Citrix ADC gérée. Par exemple, en cas de défaillance du système ou de modification de la configuration, un événement est généré et enregistré sur Citrix ADM. Voici les fonctionnalités connexes que les utilisateurs peuvent configurer ou afficher à l’aide de Citrix ADM :

Pour plus d’informations sur la gestion des événements, voir : Événements.

Gestion des instances

Permet aux utilisateurs de gérer les instances Citrix ADC, Citrix Gateway, Citrix Secure Web Gateway et Citrix SD-WAN. Pour plus d’informations sur la gestion des instances, voir : Ajouter des instances.

Gestion des licences

Permet aux utilisateurs de gérer les licences Citrix ADC en configurant Citrix ADM en tant que gestionnaire de licences.

  • Capacité groupée Citrix ADC : capacité groupée. Pool de licences commun à partir duquel une instance Citrix ADC utilisateur peut récupérer une licence d’instance et uniquement la bande passante dont elle a besoin. Lorsque l’instance n’a plus besoin de ces ressources, elle les réintègre dans le pool commun, rendant les ressources disponibles pour les autres instances qui en ont besoin.

  • Licences d’enregistrement et de retrait Citrix ADC VPX : Licences d’enregistrement et de départ Citrix ADC VPX. Citrix ADM alloue des licences aux instances Citrix ADC VPX à la demande. Une instance Citrix ADC VPX peut récupérer la licence auprès de Citrix ADM lorsqu’une instance Citrix ADC VPX est provisionnée, ou récupérer sa licence auprès de Citrix ADM lorsqu’une instance est supprimée ou détruite.

  • Pour plus d’informations sur la gestion des licences, voir : Capacité groupée.

Gestion de la configuration

Citrix ADM permet aux utilisateurs de créer des tâches de configuration qui les aident à effectuer des tâches de configuration, telles que la création d’entités, la configuration des fonctionnalités, la réplication des modifications de configuration, les mises à niveau du système et d’autres activités de maintenance en toute simplicité sur plusieurs instances. Les tâches de configuration et les modèles simplifient les tâches administratives les plus répétitives en une seule tâche sur Citrix ADM. Pour plus d’informations sur la gestion de la configuration, voir Tâches de configuration : Tâches de configuration.

Audit de configuration

Permet aux utilisateurs de surveiller et d’identifier les anomalies dans les configurations entre les instances utilisateur.

Les signatures fournissent les options de déploiement suivantes pour aider les utilisateurs à optimiser la protection des applications utilisateur :

  • Modèle de sécurité négatif : avec le modèle de sécurité négatif, les utilisateurs utilisent un ensemble complet de règles de signature préconfigurées pour appliquer la puissance de la correspondance de modèles afin de détecter les attaques et de se protéger contre les vulnérabilités des applications. Les utilisateurs bloquent uniquement ce qu’ils ne veulent pas et autorisent le reste. Les utilisateurs peuvent ajouter leurs propres règles de signature, en fonction des besoins de sécurité spécifiques des applications utilisateur, afin de concevoir leurs propres solutions de sécurité personnalisées.

  • Modèle de sécurité hybride : Outre l’utilisation de signatures, les utilisateurs peuvent utiliser des contrôles de sécurité positifs pour créer une configuration parfaitement adaptée aux applications utilisateur. Utilisez des signatures pour bloquer ce que les utilisateurs ne veulent pas, et utilisez des contrôles de sécurité positifs pour appliquer ce qui est autorisé.

Pour protéger les applications utilisateur à l’aide de signatures, les utilisateurs doivent configurer un ou plusieurs profils afin d’utiliser leur objet de signatures. Dans une configuration de sécurité hybride, les modèles d’injection SQL et de script intersite, ainsi que les règles de transformation SQL, dans l’objet signatures utilisateur sont utilisés non seulement par les règles de signature, mais également par les contrôles de sécurité positifs configurés dans le profil Web Application Firewall qui utilise le objet signatures.

Le Web Application Firewall examine le trafic vers les sites Web et les services Web protégés par l’utilisateur afin de détecter le trafic correspondant à une signature. Une correspondance n’est déclenchée que lorsque chaque motif de la règle correspond au trafic. Lorsqu’une correspondance se produit, les actions spécifiées pour la règle sont appelées. Les utilisateurs peuvent afficher une page d’erreur ou un objet d’erreur lorsqu’une demande est bloquée. Les messages de journal peuvent aider les utilisateurs à identifier les attaques lancées contre les applications des utilisateurs. Si les utilisateurs activent les statistiques, le Web Application Firewall conserve les données relatives aux demandes qui correspondent à une signature ou à un contrôle de sécurité du Web Application Firewall.

Si le trafic correspond à la fois à une signature et à un contrôle de sécurité positif, la plus restrictive des deux actions est appliquée. Par exemple, si une demande correspond à une règle de signature pour laquelle l’action de blocage est désactivée, mais que la demande correspond également à une vérification de sécurité positive SQL Injection pour laquelle l’action est bloquée, la demande est bloquée. Dans ce cas, la violation de signature peut être enregistrée sous la forme<not blocked>, bien que la demande soit bloquée par le contrôle d’injection SQL.

Personnalisation : si nécessaire, les utilisateurs peuvent ajouter leurs propres règles à un objet de signatures. Les utilisateurs peuvent également personnaliser les modèles SQL/XSS. La possibilité d’ajouter leurs propres règles de signature, en fonction des besoins de sécurité spécifiques des applications utilisateur, permet aux utilisateurs de concevoir leurs propres solutions de sécurité personnalisées. Les utilisateurs bloquent uniquement ce qu’ils ne veulent pas et autorisent le reste. Un modèle de correspondance rapide spécifique dans un emplacement spécifié peut réduire considérablement la surcharge de traitement afin d’optimiser les performances. Les utilisateurs peuvent ajouter, modifier ou supprimer des modèles d’injection SQL et de script intersite. Les éditeurs d’expressions régulières et d’expressions intégrés aident les utilisateurs à configurer des modèles utilisateur et à vérifier leur exactitude.

Cas d’utilisation

Comparé aux solutions alternatives qui nécessitent que chaque service soit déployé en tant qu’appliance virtuelle distincte, Citrix ADC sur AWS combine l’équilibrage de charge L4, la gestion du trafic L7, le déchargement du serveur, l’accélération des applications, la sécurité des applications, les licences flexibles et d’autres fonctionnalités essentielles de mise à disposition d’applications dans une seule instance VPX, facilement disponible via AWS Marketplace. En outre, tout est régi par un cadre de stratégie unique et géré avec le même ensemble puissant d’outils utilisés pour administrer les déploiements Citrix ADC locaux. Le résultat net est que Citrix ADC sur AWS permet plusieurs cas d’utilisation convaincants qui prennent en charge non seulement les besoins immédiats des entreprises d’aujourd’hui, mais aussi l’évolution continue des infrastructures informatiques héritées aux centres de données cloud d’entreprise.

Pare-feu applicatif Web Citrix (WAF)

Citrix Web Application Firewall (WAF) est une solution d’entreprise offrant des protections de pointe pour les applications modernes. Citrix WAF atténue les menaces contre les actifs destinés au public, notamment les sites Web, les applications Web et les API. Citrix WAF inclut le filtrage basé sur la réputation IP, l’atténuation des bots, les 10 meilleures protections contre les menaces applicatives OWASP, la protection contre les attaques DDoS de couche 7 et bien plus encore. Sont également incluses des options pour appliquer l’authentification, des chiffrements SSL/TLS forts, TLS 1.3, la limitation du débit et des stratégies de réécriture. Utilisant à la fois des protections WAF de base et avancées, Citrix WAF fournit une protection complète à vos applications avec une facilité d’utilisation inégalée. Se lever et courir ne prend que quelques minutes. En outre, grâce à un modèle d’apprentissage automatisé, appelé profilage dynamique, Citrix WAF permet aux utilisateurs de gagner un temps précieux. En apprenant automatiquement le fonctionnement d’une application protégée, Citrix WAF s’adapte à l’application même lorsque les développeurs déploient et modifient les applications. Citrix WAF contribue à la conformité à toutes les principales normes et organismes réglementaires, y compris PCI-DSS, HIPAA, etc. Avec nos modèles CloudFormation, il n’a jamais été aussi facile d’être rapidement opérationnel. Grâce à la mise à l’échelle automatique, les utilisateurs peuvent être assurés que leurs applications restent protégées même lorsque leur trafic augmente.

Stratégie de déploiement de Web Application Firewall

La première étape du déploiement du pare-feu d’application Web consiste à évaluer quelles applications ou données spécifiques nécessitent une protection de sécurité maximale, celles qui sont moins vulnérables et celles pour lesquelles l’inspection de sécurité peut être contournée en toute sécurité. Cela aide les utilisateurs à établir une configuration optimale et à concevoir des stratégies et des points de liaison appropriés pour séparer le trafic. Par exemple, les utilisateurs peuvent vouloir configurer une stratégie pour contourner l’inspection de sécurité des demandes de contenu Web statique, tels que des images, des fichiers MP3 et des films, et configurer une autre stratégie pour appliquer des contrôles de sécurité avancés aux demandes de contenu dynamique. Les utilisateurs peuvent utiliser plusieurs stratégies et profils pour protéger différents contenus d’une même application.

L’étape suivante consiste à référencer le déploiement. Commencez par créer un serveur virtuel et testez le trafic via celui-ci pour avoir une idée du débit et de la quantité de trafic circulant dans le système utilisateur.

Déployez ensuite le Web Application Firewall. Utilisez Citrix ADM et le Web Application Firewall StyleBook pour configurer le Web Application Firewall. Consultez la section StyleBook ci-dessous dans ce guide pour plus de détails.

Une fois que le Web Application Firewall est déployé et configuré avec le Web Application Firewall StyleBook, une étape utile consiste à implémenter le Citrix ADC WAF et OWASP Top Ten.

Enfin, trois des protections du Web Application Firewall sont particulièrement efficaces contre les types courants d’attaques Web et sont donc plus couramment utilisées que toutes les autres. Ils doivent donc être mis en œuvre lors du déploiement initial. Ils sont :

  • Script intersite HTML. Examine les demandes et les réponses pour les scripts qui tentent d’accéder au contenu d’un site Web différent de celui sur lequel se trouve le script ou de le modifier. Lorsque cette vérification détecte un tel script, elle le rend inoffensif avant de transférer la requête ou la réponse à sa destination, ou elle bloque la connexion.

  • Injection HTML SQL. Examine les demandes qui contiennent des données de champs de formulaire pour les tentatives d’injection de commandes SQL dans une base de données SQL. Lorsque cette vérification détecte du code SQL injecté, elle bloque la requête ou rend le code SQL injecté inoffensif avant de transférer la demande au serveur Web.

Remarque : Si les deux conditions suivantes s’appliquent à la configuration utilisateur, les utilisateurs doivent s’assurer que votre pare-feu d’applications Web est correctement configuré :

  • Si les utilisateurs activent la vérification HTML Cross-Site Scripting ou la vérification HTML SQL Injection (ou les deux), et

  • Les sites Web protégés par l’utilisateur acceptent les chargements de fichiers ou contiennent des formulaires Web pouvant contenir des données corporelles POST volumineuses.

Pour plus d’informations sur la configuration du Web Application Firewall pour gérer ce cas, consultez Configuration du pare-feu d’application : configuration du Web App Firewall.

  • Dépassement de tampon Examine les demandes visant à détecter les tentatives de dépassement de tampon sur le serveur Web.

Configuration du Web Application Firewall (WAF)

Les étapes suivantes supposent que le WAF est déjà activé et qu’il fonctionne correctement.

Citrix recommande aux utilisateurs de configurer WAF à l’aide du StyleBook du Web Application Firewall. La plupart des utilisateurs trouvent que c’est la méthode la plus simple pour configurer le Web Application Firewall, et elle est conçue pour éviter les erreurs. L’interface graphique et l’interface de ligne de commande sont toutes deux destinées aux utilisateurs expérimentés, principalement pour modifier une configuration existante ou utiliser des options avancées.

Injection SQL

La vérification Injection HTML SQL du pare-feu d’application fournit des défenses spéciales contre l’injection de code SQL non autorisé susceptible de compromettre la sécurité de l’application utilisateur. Citrix Web Application Firewall examine la charge utile de la requête pour le code SQL injecté à trois emplacements : 1) corps POST, 2) en-têtes et 3) cookies.

Un ensemble par défaut de mots-clés et de caractères spéciaux fournit des mots-clés connus et des caractères spéciaux couramment utilisés pour lancer des attaques SQL. Les utilisateurs peuvent également ajouter de nouveaux modèles et modifier le jeu par défaut pour personnaliser l’inspection de vérification SQL.

Plusieurs paramètres peuvent être configurés pour le traitement par injection SQL. Les utilisateurs peuvent vérifier la présence de caractères génériques SQL. Les utilisateurs peuvent modifier le type d’injection SQL et sélectionner l’une des 4 options (SQLKeyword, SQLSplChar, SQLSplCharAndKeyword, SQLSplCharorKeyword) pour indiquer comment évaluer les mots clés SQL et les caractères spéciaux SQL lors du traitement de la charge utile. Leparamètre Gestion des commentaires SQLpermet aux utilisateurs de spécifier le type de commentaires qui doivent être inspectés ou exemptés lors de la détection d’injection SQL.

Les utilisateurs peuvent déployer des relaxations pour éviter les faux positifs. Le moteur d’apprentissage peut fournir des recommandations pour configurer les règles de relaxation.

Les options suivantes sont disponibles pour configurer une protection optimisée contre les injections SQL pour l’application utilisateur :

Bloquer — Si les utilisateurs activent le blocage, l’action de blocage est déclenchée uniquement si l’entrée correspond à la spécification du type d’injection SQL. Par exemple, siSQLSplCharAndKeywordest configuré comme type d’injection SQL, une requête n’est pas bloquée si elle ne contient aucun mot-clé, même si des caractères spéciaux SQL sont détectés dans l’entrée. Une telle requête est bloquée si le type d’injection SQL est défini surSqlsPlCharouSqlsPlCharorKeyword.

Journal  : si les utilisateurs activent la fonction de journalisation, le check SQL Injection génère des messages de journal indiquant les actions qu’il entreprend. Si bloc est désactivé, un message de journal distinct est généré pour chaque champ d’entrée dans lequel la violation SQL a été détectée. Toutefois, un seul message est généré lorsque la demande est bloquée. De même, un message de journal par demande est généré pour l’opération de transformation, même lorsque des caractères spéciaux SQL sont transformés dans plusieurs champs. Les utilisateurs peuvent surveiller les journaux pour déterminer si les réponses aux demandes légitimes sont bloquées. Une forte augmentation du nombre de messages de journal peut indiquer des tentatives de lancement d’une attaque.

Statistiques — Si elle est activée, la fonction de statistiques collecte des statistiques sur les violations et les journaux. Une augmentation inattendue du compteur de statistiques peut indiquer que l’application utilisateur est attaquée. Si des demandes légitimes sont bloquées, les utilisateurs devront peut-être revoir la configuration pour voir s’ils ont besoin de configurer de nouvelles règles de relaxation ou de modifier les règles existantes.

Apprendre — Si les utilisateurs ne sont pas certains des règles de relaxation SQL qui conviennent le mieux à leurs applications, ils peuvent utiliser la fonction d’apprentissage pour générer des recommandations basées sur les données apprises. Le moteur d’apprentissage du Web Application Firewall surveille le trafic et fournit des recommandations d’apprentissage SQL basées sur les valeurs observées. Pour obtenir des avantages optimaux sans compromettre les performances, les utilisateurs peuvent vouloir activer l’option d’apprentissage pendant une courte période afin d’obtenir un exemple représentatif des règles, puis déployer les règles et désactiver l’apprentissage.

Transformer les caractères spéciaux SQL : le Web Application Firewall considère trois caractères, les guillemets droits simples (‘), la barre oblique inverse () et le point-virgule (;) comme des caractères spéciaux pour le traitement des contrôles de sécurité SQL. La fonction Transformation SQL modifie le code d’injection SQL dans une requête HTML afin de garantir que la demande est rendue inoffensive. La demande HTML modifiée est ensuite envoyée au serveur. Toutes les règles de transformation par défaut sont spécifiées dans le fichier /netscaler/default_custom_settings.xml.

  • L’opération de transformation rend le code SQL inactif en apportant les modifications suivantes à la demande :

  • Guillemet droit simple (‘) vers guillemet double droit («).

  • Inversible () à double barre oblique inverse ().

  • Le point-virgule (;) est complètement supprimé.

Ces trois caractères (chaînes spéciales) sont nécessaires pour envoyer des commandes à un serveur SQL. À moins qu’une commande SQL ne soit précédée d’une chaîne spéciale, la plupart des serveurs SQL ignorent cette commande. Par conséquent, les modifications que le Web Application Firewall effectue lorsque la transformation est activée empêchent un attaquant d’injecter du code SQL actif. Une fois ces modifications apportées, la demande peut être transmise en toute sécurité au site Web protégé par l’utilisateur. Lorsque les formulaires Web sur le site Web protégé par l’utilisateur peuvent légitimement contenir des chaînes spéciales SQL, mais que les formulaires Web ne dépendent pas des chaînes spéciales pour fonctionner correctement, les utilisateurs peuvent désactiver le blocage et activer la transformation pour empêcher le blocage des données de formulaires Web légitimes sans réduire la protection que le Web Application Firewall fournit aux utilisateurs des sites Web protégés.

L’opération de transformation fonctionne indépendamment du paramètre SQL Injection Type . Si la transformation est activée et que le type d’injection SQL est spécifié en tant que mot-clé SQL, les caractères spéciaux SQL sont transformés même si la requête ne contient aucun mot clé.

Conseil : Les utilisateurs activent normalement la transformation ou le blocage, mais pas les deux. Si l’action de blocage est activée, elle a priorité sur l’action de transformation. Si le blocage est activé pour les utilisateurs, l’activation de la transformation est redondante.

Vérifier les caractères génériques SQL —Lescaractères génériques peuvent être utilisés pour élargir les sélections d’une SELECT instruction SQL. Ces opérateurs génériques peuvent être utilisés avec les opérateursLIKEetNOT LIKEpour comparer une valeur à des valeurs similaires. Le pourcentage (%) et le trait de soulignement (_) sont fréquemment utilisés comme caractères génériques. Le signe de pourcentage est analogue au caractère générique astérisque (*) utilisé avec MS-DOS et correspond à zéro, un ou plusieurs caractères dans un champ. Le trait de soulignement est similaire au point d’interrogation MS-DOS ( ?) caractère générique. Il correspond à un seul nombre ou caractère dans une expression.

Par exemple, les utilisateurs peuvent utiliser la requête suivante pour effectuer une recherche de chaîne afin de trouver tous les clients dont le nom contient le caractère D.

SELECT * à partir du nom WHERE du client tel que « %D% » :

L’exemple suivant combine les opérateurs pour rechercher les valeurs de salaire dont la deuxième et la troisième position sont égales à 0.

SELECT * du client WHERE salaire comme « _ 00% » :

Différents fournisseurs de SGBD ont étendu les caractères génériques en ajoutant des opérateurs supplémentaires. Le pare-feu d’application Web Citrix peut vous protéger contre les attaques lancées en injectant ces caractères génériques. Les 5 caractères génériques par défaut sont le pourcentage (%), le trait de soulignement (_), le signe d’insertion (^), le crochet ouvrant ([) et le crochet fermant (]). Cette protection s’applique aux profils HTML et XML.

Les caractères génériques par défaut sont une liste de littéraux spécifiés dans les*Signatures par défaut :

  • <wildchar type=” LITERAL”>%</wildchar>

  • <wildchar type=”LITERAL”>_</wildchar>

  • <wildchar type=”LITERAL”>^</wildchar>

  • <wildchar type=”LITERAL”>[</wildchar>

  • <wildchar type=”LITERAL”>]</wildchar>

Les caractères génériques d’une attaque peuvent être PCRE, comme [^A-F]. Le Web Application Firewall prend également en charge les caractères génériques PCRE, mais les caractères génériques littéraux ci-dessus sont suffisants pour bloquer la plupart des attaques.

Remarque : La vérification des caractères génériques SQL est différente de la vérification des caractères spéciaux SQL. Cette option doit être utilisée avec précaution afin d’éviter les faux positifs.

Check Request Containing SQL Injection Type : le Web Application Firewall propose 4 options pour implémenter le niveau de rigueur souhaité pour l’inspection par injection SQL, en fonction des besoins individuels de l’application. La demande est vérifiée par rapport à la spécification du type d’injection pour détecter les violations SQL. Les 4 options de type d’injection SQL sont les suivantes :

  • Caractère spécial SQL et mot clé : un mot clé SQL et un caractère spécial SQL doivent être présents dans l’entrée pour déclencher une violation SQL. Ce paramètre le moins restrictif est également le paramètre par défaut.

  • Caractère spécial SQL : au moins un des caractères spéciaux doit être présent dans l’entrée pour déclencher une violation SQL.

  • Mot clé SQL : au moins un des mots clés SQL spécifiés doit être présent dans l’entrée pour déclencher une violation SQL. Ne sélectionnez pas cette option sans avoir dûment pris en considération. Pour éviter les faux positifs, assurez-vous qu’aucun des mots-clés n’est attendu dans les entrées.

  • Caractère spécial SQL ou mot-clé : le mot clé ou la chaîne de caractères spéciaux doit être présent dans l’entrée pour déclencher la violation de vérification de sécurité.

Conseil : Si les utilisateurs configurent le Web Application Firewall pour vérifier les entrées contenant un caractère spécial SQL, le Web Application Firewall ignore les champs de formulaire Web qui ne contiennent aucun caractère spécial. Étant donné que la plupart des serveurs SQL ne traitent pas les commandes SQL qui ne sont pas précédées d’un caractère spécial, l’activation de cette option peut réduire considérablement la charge sur le Web Application Firewall et accélérer le traitement sans mettre en danger les sites Web protégés par l’utilisateur.

Gestion des commentaires SQL — Par défaut, le Web Application Firewall recherche les commandes SQL injectées dans tous les commentaires SQL. Cependant, de nombreux serveurs SQL ignorent tout élément d’un commentaire, même s’il est précédé d’un caractère spécial SQL. Pour accélérer le traitement, si votre serveur SQL ignore les commentaires, vous pouvez configurer le Web Application Firewall pour ignorer les commentaires lors de l’examen des demandes de code SQL injecté. Les options de gestion des commentaires SQL sont les suivantes :

  • ANSI—Ignorez les commentaires SQL au format ANSI, qui sont normalement utilisés par les bases de données SQL basées sur UNIX. Par exemple :

    • /— (Deux traits d’union) - C’est un commentaire qui commence par deux traits d’union et se termine par la fin de la ligne.

    • {} - Accolades (Les accolades enferment le commentaire. Le {précède le commentaire, et le} le suit. Les accolades peuvent délimiter les commentaires sur une ou plusieurs lignes, mais les commentaires ne peuvent pas être imbriqués)

    • /**/: commentaires de style C (n’autorise pas les commentaires imbriqués). Veuillez noter /* ! <comment that begins with a slash followed by an asterisk and an exclamation mark is not a comment >*/

    • MySQL Server prend en charge certaines variantes de commentaires de style C. Ils permettent aux utilisateurs d’écrire du code qui inclut des extensions MySQL, mais qui reste portable, en utilisant des commentaires de la forme suivante : [/* ! Code spécifique à MySQL */]

    • .# : Mysql comments : C’est un commentaire qui commence par le caractère # et se termine par la fin de la ligne

  • Nested  : ignore les commentaires SQL imbriqués, qui sont normalement utilisés par Microsoft SQL Server. Par exemple ; — (Deux traits d’union) et/**/(Autorise les commentaires imbriqués)

  • ANSI/Nested — Ignorer les commentaires qui respectent à la fois les normes ANSI et SQL imbriquées. Les commentaires qui correspondent uniquement à la norme ANSI, ou uniquement à la norme imbriquée, sont toujours vérifiés pour détecter le code SQL injecté.

  • Vérifier tous les commentaires — Vérifiez l’intégralité de la requête SQL injectée sans rien ignorer. C’est le réglage par défaut.

Conseil : En général, les utilisateurs ne doivent pas choisir l’option imbriquée ou ANSI/imbriquée sauf si leur base de données principale est exécutée sur Microsoft SQL Server. La plupart des autres types de logiciels SQL Server ne reconnaissent pas les commentaires imbriqués. Si des commentaires imbriqués apparaissent dans une demande dirigée vers un autre type de serveur SQL, ils peuvent indiquer une tentative de violation de la sécurité sur ce serveur.

Vérifier les en-têtes de requête — Activez cette option si, en plus d’examiner les entrées dans les champs du formulaire, les utilisateurs souhaitent examiner les en-têtes de requête pour les attaques par injection HTML SQL. Si les utilisateurs utilisent l’interface utilisateur graphique, ils peuvent activer ce paramètre dans le voletParamètres avancés->Paramètres du profildu profil du Web Application Firewall.

Remarque : Si les utilisateurs activent l’indicateur d’en-tête Check Request, ils peuvent avoir à configurer une règle de relaxation pour l’en-têteUser-Agent. La présence du mot-clé SQLlikeet d’un caractère spécial SQL point-virgule (;) peut déclencher des faux positifs et bloquer les requêtes contenant cet en-tête. Avertissement : Si les utilisateurs activent à la fois la vérification et la transformation des en-têtes de requête, tous les caractères spéciaux SQL présents dans les en-têtes sont également transformés. Les en-têtes Accept, Accept-Charset, Accept-Encoding, Accept-Language, Expect et User-Agent contiennent normalement des points-virgules ( ;). L’activation simultanée de la vérification et de la transformation des en-têtes de demande peut entraîner des erreurs

InspectQueryContentTypes— Configurez cette option si les utilisateurs souhaitent examiner la partie requête de requête à la recherche d’attaques par injection SQL pour des types de contenu spécifiques. Si les utilisateurs utilisent l’interface utilisateur graphique, ils peuvent configurer ce paramètre dans le voletParamètres avancés->Paramètres du profildu profil du pare-feu d’application.

Scripting intersite

La vérification Script intersite HTML (script intersite) examine à la fois les en-têtes et les corps POST des requêtes utilisateur pour détecter d’éventuelles attaques de script intersite. S’il trouve un script intersite, il modifie (transforme) la demande pour rendre l’attaque inoffensive ou bloque la demande.

Remarque : La vérification HTML Cross-Site Scripting (cross-site scripting) ne fonctionne que pour le type de contenu, la longueur du contenu, etc. Cela ne fonctionne pas pour les cookie. Assurez-vous également que l’option « CheckRequestHeaders » est activée dans le profil Web Application Firewall de l’utilisateur.

Pour empêcher l’utilisation abusive des scripts sur les sites Web protégés par l’utilisateur afin d’enfreindre la sécurité des sites Web des utilisateurs, la vérification HTML Cross-Site Scripting bloque les scripts qui enfreignent la même règle d’origine, qui stipule que les scripts ne doivent pas accéder au contenu ni le modifier sur aucun serveur autre que le serveur sur lequel ils se trouvent. Tout script qui enfreint la même règle d’origine est appelé script intersite, et la pratique consistant à utiliser des scripts pour accéder ou modifier du contenu sur un autre serveur est appelée script intersite. La raison pour laquelle les scripts intersites constituent un problème de sécurité est qu’un serveur Web qui autorise le script intersite peut être attaqué à l’aide d’un script qui ne se trouve pas sur ce serveur Web, mais sur un autre serveur Web, tel qu’un serveur détenu et contrôlé par l’attaquant.

Malheureusement, de nombreuses entreprises disposent d’une importante base installée de contenu Web amélioré par JavaScript qui enfreint la même règle d’origine. Si les utilisateurs activent le check HTML Cross-Site Scripting sur un tel site, ils doivent générer les exceptions appropriées afin que la vérification ne bloque pas les activités légitimes.

Le Web Application Firewall propose diverses options d’action pour la mise en œuvre de la protection par script intersite HTML. Outre les actionsBloquer,Enregistrer,StatistiquesetApprendre, les utilisateurs ont également la possibilité detransformer les scripts intersitespour rendre une attaque inoffensive en codant les balises de script dans la demande soumise par l’entité. Les utilisateurs peuvent configurer Vérifier les URL complètes pour le paramètre de script intersite afin de spécifier s’ils souhaitent inspecter non seulement les paramètres de requête, mais l’URL entière afin de détecter une attaque par script intersite. Les utilisateurs peuvent configurer le paramètre InspectQueryContentTypespour inspecter la partie requête de requête afin de détecter une attaque par script intersite pour les types de contenu spécifiques.

Les utilisateurs peuvent déployer des relaxations pour éviter les faux positifs. Le moteur d’apprentissage Web Application Firewall peut fournir des recommandations pour la configuration des règles de relaxation.

Les options suivantes sont disponibles pour configurer une protection optimisée par script intersite HTML pour l’application utilisateur :

  • Bloquer — Si les utilisateurs activent le blocage, l’action de blocage est déclenchée si les balises de script intersite sont détectées dans la demande.

  • Journal  : si les utilisateurs activent la fonction de journalisation, le check HTML Cross-Site Scripting génère des messages de journal indiquant les actions qu’il entreprend. Si le blocage est désactivé, un message de journal distinct est généré pour chaque en-tête ou champ de formulaire dans lequel la violation de script intersite a été détectée. Toutefois, un seul message est généré lorsque la demande est bloquée. De même, un message de journal par requête est généré pour l’opération de transformation, même lorsque les balises de script intersite sont transformées en plusieurs champs. Les utilisateurs peuvent surveiller les journaux pour déterminer si les réponses aux demandes légitimes sont bloquées. Une forte augmentation du nombre de messages de journal peut indiquer des tentatives de lancement d’une attaque.

  • Statistiques — Si elle est activée, la fonction de statistiques collecte des statistiques sur les violations et les journaux. Une augmentation inattendue du compteur de statistiques peut indiquer que l’application utilisateur est attaquée. Si des demandes légitimes sont bloquées, les utilisateurs peuvent être amenés à revoir la configuration pour voir s’ils doivent configurer de nouvelles règles de relaxation ou modifier les règles existantes.

  • Apprendre — Si les utilisateurs ne sont pas certains des règles de relaxation qui conviennent le mieux à leur application, ils peuvent utiliser la fonction d’apprentissage pour générer des recommandations de règles de script intersite HTML basées sur les données apprises. Le moteur d’apprentissage du Web Application Firewall surveille le trafic et fournit des recommandations d’apprentissage basées sur les valeurs observées. Pour obtenir des avantages optimaux sans compromettre les performances, les utilisateurs peuvent vouloir activer l’option d’apprentissage pendant une courte période afin d’obtenir un exemple représentatif des règles, puis déployer les règles et désactiver l’apprentissage.

  • Transformer les scripts intersites  : si cette option est activée, le Web Application Firewall apporte les modifications suivantes aux requêtes qui correspondent à la vérification HTML Cross-Site Scripting :

    • Crochet angulaire gauche (<) en équivalent d’entité de caractères HTML (<)

    • Crochet droit (>) en équivalent d’entité de caractères HTML (>)

Cela garantit que les navigateurs n’interprètent pas les balises html non sécurisées, telles que <script>, and thereby run malicious code. If users enable both request-header checking and transformation, any special characters found in request headers are also modified as described above. If scripts on the user protected website contain cross-site scripting features, but the user website does not rely upon those scripts to operate correctly, users can safely disable blocking and enable transformation. This configuration ensures that no legitimate web traffic is blocked, while stopping any potential cross-site scripting attacks.

  • Vérifier les URL complètes pour les scripts intersites — Si la vérification des URL complètes est activée, le Web Application Firewall examine les URL entières à la recherche d’attaques par script intersite HTML au lieu de vérifier uniquement les parties de requête des URL.

  • Vérifier les en-têtes de demande — Si la vérification des en-têtes de requête est activée, le Web Application Firewall examine les en-têtes des requêtes pour les attaques par script intersite HTML, au lieu des URL uniquement. Si les utilisateurs utilisent l’interface utilisateur graphique, ils peuvent activer ce paramètre dans l’onglet Paramètres du profil Web Application Firewall.

  • InspectQueryContentTypes— Si l’inspection de requête de requête est configurée, le pare-feu d’application examine la requête des demandes d’attaques par script intersite pour les types de contenu spécifiques. Si les utilisateurs utilisent l’interface utilisateur graphique, ils peuvent configurer ce paramètre dans l’onglet Paramètres du profil du pare-feu d’applications.

Important : Dans le cadre des modifications apportées au streaming, le traitement des balises de script intersite par le Web Application Firewall a changé. Dans les versions précédentes, la présence de crochets ouverts (<), or close bracket (>) ou de crochets ouverts et fermés (<>) était signalée comme une violation de script intersite. Le comportement a changé dans les versions qui incluent la prise en charge du streaming côté demande. Seul le caractère de crochet fermé (>) n’est plus considéré comme une attaque. Les demandes sont bloquées même lorsqu’un caractère entre crochets ouverts (<) est présent, et sont considérées comme une attaque. L’attaque par script intersite est signalée.

Vérification du débordement de la mémoire tampon

La vérification de débordement de la mémoire tampon détecte les tentatives de provoquer un débordement de la mémoire tampon sur le serveur Web. Si le Web Application Firewall détecte que l’URL, les cookies ou l’en-tête sont plus longs que la longueur configurée, il bloque la demande car cela peut provoquer un dépassement de tampon.

La vérification de débordement de la mémoire tampon empêche les attaques contre les logiciels non sécurisés du système d’exploitation ou du serveur Web qui peuvent se bloquer ou se comporter de manière imprévisible lorsqu’il reçoit une chaîne de données plus grande qu’elle ne peut gérer. Des techniques de programmation appropriées empêchent les débordements de tampon en vérifiant les données entrantes et en rejetant ou en tronquant les chaînes trop longues. De nombreux programmes, cependant, ne vérifient pas toutes les données entrantes et sont donc vulnérables aux débordements de tampon. Ce problème affecte particulièrement les anciennes versions des logiciels et des systèmes d’exploitation de serveurs Web, dont beaucoup sont encore en cours d’utilisation.

Le contrôle de sécurité Buffer Overflow permet aux utilisateurs de configurer les actionsBlock,LogetStats. En outre, les utilisateurs peuvent également configurer les paramètres suivants :

  • Longueur maximale de l’URL. La longueur maximale autorisée par le Web Application Firewall dans une URL demandée. Les demandes avec des URL plus longues sont bloquées.Valeurs possibles : 0 à 65535.Par défaut : 1024

  • Longueur maximale du cookie. La longueur maximale autorisée par le Web Application Firewall pour tous les cookies d’une demande. Les demandes avec des cookies plus longs déclenchent les violations.Valeurs possibles : 0 à 65535.Par défaut : 4096

  • Longueur maximale de l’en-tête. La longueur maximale autorisée par le Web Application Firewall pour les en-têtes HTTP. Les demandes avec des en-têtes plus longs sont bloquées.Valeurs possibles : 0 à 65535.Par défaut : 4096

  • Longueur de chaîne de requête. Longueur maximale autorisée pour une chaîne de requête dans une requête entrante. Les requêtes avec des requêtes plus longues sont bloquées. Valeurs possibles : 0—65535. Par défaut : 1024

  • Longueur totale de la demande. Longueur maximale de demande autorisée pour une demande entrante. Les demandes de plus longue durée sont bloquées. Valeurs possibles : 0—65535. Par défaut : 24820

Patching/Signatures virtuels

Les signatures fournissent des règles spécifiques et configurables pour simplifier la tâche de protection des sites Web des utilisateurs contre les attaques connues. Une signature représente un modèle qui est un composant d’une attaque connue contre un système d’exploitation, un serveur Web, un site Web, un service Web XML ou une autre ressource. Un ensemble complet de règles préconfigurées, intégrées ou natives offre une solution de sécurité facile à utiliser, qui applique la puissance de la correspondance de modèles pour détecter les attaques et se protéger contre les vulnérabilités des applications.

Les utilisateurs peuvent créer leurs propres signatures ou utiliser des signatures dans les modèles intégrés. Le Web Application Firewall possède deux modèles intégrés :

  • Signatures par défaut : ce modèle contient une liste préconfigurée de plus de 1 300 signatures, en plus d’une liste complète de mots-clés d’injection SQL, de chaînes spéciales SQL, de règles de transformation SQL et de caractères génériques SQL. Il contient également des modèles refusés pour les scripts intersites, ainsi que des attributs et des balises autorisés pour les scripts intersites. Il s’agit d’un modèle en lecture seule. Les utilisateurs peuvent afficher le contenu, mais ils ne peuvent pas ajouter, modifier ou supprimer quoi que ce soit dans ce modèle. Pour l’utiliser, les utilisateurs doivent en faire une copie. Dans leur propre copie, les utilisateurs peuvent activer les règles de signature qu’ils souhaitent appliquer à leur trafic et spécifier les actions à effectuer lorsque les règles de signature correspondent au trafic.

Les signatures sont dérivées des règles publiées par SNORT : SNORT, qui est un système de prévention des intrusions open source capable d’effectuer une analyse du trafic en temps réel pour détecter diverses attaques et sondes.

  • *Modèles d’injection Xpath : Ce modèle contient un ensemble préconfiguré de mots-clés littéraux et PCRE ainsi que des chaînes spéciales utilisées pour détecter les attaques par injection XPath (XML Path Language).

Signatures vierges : Outre la copie du modèle de signatures par défaut intégré, les utilisateurs peuvent utiliser un modèle de signature vierge pour créer un objet de signature. L’objet de signature que les utilisateurs créent avec l’option de signatures vierges ne possède pas de règles de signature natives, mais, tout comme le modèle *Default, il possède toutes les entités intégrées SQL/XSS.

Signatures de format externe : le Web Application Firewall prend également en charge les signatures de format externe. Les utilisateurs peuvent importer le rapport de scan tiers à l’aide des fichiers XSLT pris en charge par le pare-feu d’application Web Citrix. Un ensemble de fichiers XSLT intégrés est disponible pour certains outils d’analyse afin de traduire les fichiers au format externe au format natif (voir la liste des fichiers XSLT intégrés plus loin dans cette section).

Alors que les signatures aident les utilisateurs à réduire le risque de vulnérabilités exposées et à protéger les serveurs Web critiques tout en visant l’efficacité, les signatures ont un coût de traitement CPU supplémentaire.

Il est important de choisir les signatures adaptées aux besoins de l’application utilisateur. Activez uniquement les signatures pertinentes pour l’application/l’environnement du client.

Citrix propose des signatures dans plus de 10 catégories différentes sur les plateformes/systèmes d’exploitation et technologies.

image-vpx-azure-appsecurity-deployment-04

La base de données des règles de signature est importante, car les informations sur les attaques se sont accumulées au fil des ans. Ainsi, la plupart des anciennes règles peuvent ne pas être pertinentes pour tous les réseaux, car les développeurs de logiciels les ont peut-être déjà corrigées ou les clients utilisent une version plus récente du système d’exploitation.

Mises à jour des

Citrix Web Application Firewall prend en charge la mise à jour automatique et manuelle des signatures. Nous vous suggérons également d’activer la mise à jour automatique pour que les signatures restent à jour.

image-vpx-azure-appsecurity-deployment-05

Ces fichiers de signatures sont hébergés dans l’environnement AWS et il est important d’ autoriser l’accès sortant aux adresses IP NetScaler à partir des pare-feu réseau pour récupérer les derniers fichiers de signature. La mise à jour des signatures de l’ADC pendant le traitement du trafic en temps réel n’a aucun effet.

Analyse de sécurité des applications

Letableau de bord de sécurité des applicationsfournit une vue globale de l’état de sécurité des applications utilisateur. Par exemple, il affiche des mesures de sécurité clés telles que les violations de sécurité, les violations de signature et les index de menaces. Le tableau de bord Sécurité des applications affiche également des informations relatives aux attaques, telles que les attaques de synchronisation, les attaques par petites fenêtres et les attaques par inondation DNS pour les instances Citrix ADC découvertes.

Remarque : pour afficher les métriques du tableau de bord de sécurité des applications, AppFlow for Security Insight doit être activé sur les instances Citrix ADC que les utilisateurs souhaitent surveiller.

Pour afficher les métriques de sécurité d’une instance Citrix ADC sur le tableau de bord de sécurité de l’application :

  1. Ouvrez une session sur Citrix ADM à l’aide des informations d’identification de l’administrateur.

  2. Accédez àApplications > App Security Dashboard, puis sélectionnez l’adresse IP de l’instance dans la liste Appareils.

Les utilisateurs peuvent explorer plus en détail les anomalies signalées par Application Security Investigator en cliquant sur les bulles tracées sur le graphique.

Apprentissage centralisé sur ADM

Citrix Web Application Firewall (WAF) protège les applications Web des utilisateurs contre les attaques malveillantes telles que l’injection SQL et les scripts intersites (XSS). Pour prévenir les violations de données et fournir une protection de sécurité adaptée, les utilisateurs doivent surveiller leur trafic à la recherche de menaces et de données exploitables en temps réel sur les attaques. Parfois, les attaques signalées peuvent être des faux positifs et ceux-ci doivent être fournis à titre exceptionnel.

L’apprentissage centralisé sur Citrix ADM est un filtre de signatures répétitif qui permet à WAF d’apprendre le comportement (les activités normales) des applications Web utilisateur. Sur la base de la surveillance, le moteur génère une liste de règles ou d’exceptions suggérées pour chaque vérification de sécurité appliquée au trafic HTTP.

Il est beaucoup plus facile de déployer des règles de relaxation à l’aide du moteur d’apprentissage que de les déployer manuellement en tant que relaxation nécessaire.

Pour déployer la fonctionnalité d’apprentissage, les utilisateurs doivent d’abord configurer un profil Web Application Firewall (ensemble de paramètres de sécurité) sur l’appliance Citrix ADC utilisateur. Pour plus d’informations, consultez Création de profils de Web Application Firewall : Création de profils de Web App Firewall.

Citrix ADM génère une liste d’exceptions (relaxations) pour chaque vérification de sécurité. En tant qu’administrateur, les utilisateurs peuvent consulter la liste des exceptions dans Citrix ADM et décider de les déployer ou de les ignorer.

À l’aide de la fonctionnalité d’apprentissage WAF de Citrix ADM, les utilisateurs peuvent :

  • Configurer un profil d’apprentissage avec les contrôles de sécurité suivants

    • Dépassement de tampon

    • Scriptage inter-sites HTML

      Remarque : La limitation de l’emplacement par script intersite est uniquement FormField.

    • Injection SQL HTML

      Remarque :

      Pour le check Injection HTML SQL, les utilisateurs doivent configurerset -sqlinjectionTransformSpecialChars ONetset -sqlinjectiontype sqlspclcharorkeywords dans l’instance Citrix ADC.

  • Vérifiez les règles de relaxation dans Citrix ADM et décidez de prendre les mesures nécessaires (déployer ou ignorer)

  • Recevez les notifications par e-mail, slack et ServiceNow

  • Utilisez le tableau de bord pour afficher les détails relatifs à

Pour utiliser l’apprentissage WAF dans Citrix ADM :

  1. Configurer le profil de formation : Configurer le profil de formation

  2. Voir les règles de relaxation : Afficher les règles de relaxation et les règles d’inactivité

  3. Utilisez le tableau de bord d’apprentissage WAF : Afficher le tableau de bord d’apprentissage WAF

StyleBook

Citrix Web Application Firewall est un pare-feu d’application Web (WAF) qui protège les applications et les sites Web contre les attaques connues et inconnues, y compris toutes les menaces zero-day et au niveau de la couche applicative.

Citrix ADM fournit désormais un StyleBook par défaut avec lequel les utilisateurs peuvent créer plus facilement une configuration de pare-feu d’application sur les instances Citrix ADC.

Déploiement de configurations de pare-feu

La tâche suivante vous aide à déployer une configuration d’équilibrage de charge avec le pare-feu d’application et la stratégie de réputation IP sur les instances de Citrix ADC dans votre réseau d’entreprise.

Pour créer une configuration LB avec des paramètres de pare-feu d’application

Dans Citrix ADM, accédez àApplications>Configurations>StyleBooks. La page StyleBooks affiche tous les StyleBooks disponibles pour une utilisation par le client dans Citrix.

  • ADM. Faites défiler vers le bas et recherchez HTTP/SSL Load Balancing StyleBook avec stratégie de pare-feu d’application et stratégie de réputation IP. Les utilisateurs peuvent également rechercher le StyleBook en saisissant le nom lb-appfw. Cliquez surCréer une configuration.

Le StyleBook s’ouvre en tant que page d’interface utilisateur sur laquelle les utilisateurs peuvent entrer les valeurs de tous les paramètres définis dans ce StyleBook.

  • Entrez des valeurs pour les paramètres suivants :

    • Nom de l’application équilibrée de charge. Nom de la configuration d’équilibrage de charge avec un pare-feu d’application à déployer sur le réseau utilisateur.

    • Adresse IP virtuelle de l’application équilibrée en charge. Adresse IP virtuelle à laquelle l’instance d’Citrix ADC reçoit les demandes client.

    • Port virtuel de l’application équilibrée de charge. Port TCP à utiliser par les utilisateurs pour accéder à l’application équilibrée de charge.

    • Protocole d’application équilibré de charge. Sélectionnez le protocole frontal dans la liste.

    • Protocole du serveur d’applications. Sélectionnez le protocole du serveur d’applications.

image-vpx-azure-appsecurity-deployment-06

  • En option, les utilisateurs peuvent activer et configurer lesparamètres avancés de l’équilibreurde charge.

image-vpx-azure-appsecurity-deployment-07

  • Les utilisateurs peuvent également configurer un serveur d’authentification pour authentifier le trafic pour le serveur virtuel d’équilibrage de charge.

image-vpx-azure-appsecurity-deployment-08

  • Cliquez sur « + » dans la section IP et ports des serveurs pour créer des serveurs d’applications et les ports sur lesquels ils sont accessibles.

image-vpx-azure-appsecurity-deployment-09

  • Les utilisateurs peuvent également créer des noms de domaine complet pour les serveurs d’applications.

image-vpx-azure-appsecurity-deployment-10

  • Les utilisateurs peuvent également spécifier les détails du certificat SSL.

image-vpx-azure-appsecurity-deployment-11

  • Les utilisateurs peuvent également créer des moniteurs dans l’instance Citrix ADC cible.

image-vpx-azure-appsecurity-deployment-12

  • Pour configurer un pare-feu d’application sur le serveur virtuel, activez les paramètres WAF.

Assurez-vous que la règle de stratégie de pare-feu d’application est vraie si les utilisateurs souhaitent appliquer les paramètres du pare-feu applicatif à tout le trafic sur ce VIP. Sinon, spécifiez la règle de stratégie Citrix ADC pour sélectionner un sous-ensemble de demandes auxquelles appliquer les paramètres du pare-feu d’application. Ensuite, sélectionnez le type de profil à appliquer - HTML ou XML.

image-vpx-azure-appsecurity-deployment-13

  • Les utilisateurs peuvent éventuellement configurer des paramètres de profil de pare-feu d’application détaillés en activant la case à cocher Paramètres de profil du pare-feu d’application.

  • Si les utilisateurs souhaitent configurer des signatures de pare-feu d’application, entrez le nom de l’objet de signature créé sur l’instance Citrix ADC où le serveur virtuel doit être déployé.

Remarque :

Les utilisateurs ne peuvent pas créer d’objets de signature en utilisant ce StyleBook.

  • Ensuite, les utilisateurs peuvent également configurer tout autre paramètre de profil de pare-feu d’application, tels que les paramètres StartURL, les paramètres DenyURL et autres.

image-vpx-azure-appsecurity-deployment-14

Pour plus d’informations sur le pare-feu d’application et les paramètres de configuration, voir Pare-feu d’application.

  • Dans la sectionInstances cibles, sélectionnez l’instance Citrix ADC sur laquelle vous souhaitez déployer le serveur virtuel d’équilibrage de charge avec le pare-feu d’application.

Remarque : Les utilisateurs peuvent également cliquer sur l’icône d’actualisation pour ajouter les instances Citrix ADC récemment découvertes dans Citrix ADM à la liste des instances disponibles dans cette fenêtre.

  • Les utilisateurs peuvent également activer lecontrôle de réputation IPpour identifier l’adresse IP qui envoie des demandes indésirables. Les utilisateurs peuvent utiliser la liste de réputation IP pour rejeter de manière préventive les demandes provenant de l’adresse IP de mauvaise réputation.

image-vpx-azure-appsecurity-deployment-15

Conseil : Citrix recommande aux utilisateurs de sélectionner Exécution à sec pour vérifier les objets de configuration qui doivent être créés sur l’instance cible avant d’exécuter la configuration réelle sur l’instance.

Lorsque la configuration est correctement créée, le StyleBook crée le serveur virtuel d’équilibrage de charge requis, le serveur d’applications, les services, les groupes de services, les étiquettes de pare-feu d’application, les stratégies de pare-feu d’application et les lie au serveur virtuel d’équilibrage de charge.

La figure suivante montre les objets créés sur chaque serveur :

image-vpx-azure-appsecurity-deployment-16

  • Pour afficher le ConfigPack créé sur Citrix ADM, accédez à Applications > Configurations .

image-vpx-azure-appsecurity-deployment-17

Analyses Security Insight

Les applications Web et de services Web exposées à Internet sont devenues de plus en plus vulnérables aux attaques. Pour protéger les applications contre les attaques, les utilisateurs ont besoin d’une visibilité sur la nature et l’ampleur des menaces passées, présentes et imminentes, de données exploitables en temps réel sur les attaques et de recommandations sur les contre-mesures. Security Insight fournit une solution à panneau unique pour aider les utilisateurs à évaluer l’état de sécurité des applications utilisateur et à prendre des mesures correctives pour sécuriser les applications utilisateur.

Fonctionnement de Security Insight

Security Insight est une solution d’analyse de sécurité intuitive basée sur un tableau de bord qui offre aux utilisateurs une visibilité complète sur l’environnement des menaces associées aux applications utilisateur. Security Insight est inclus dans Citrix ADM et génère régulièrement des rapports basés sur les configurations de sécurité du système ADC et Application Firewall de l’utilisateur. Les rapports contiennent les renseignements suivants pour chaque application :

  • Indice des menaces. Système d’évaluation à un chiffre qui indique le degré de criticité des attaques contre l’application, que l’application soit protégée ou non par une appliance ADC. Plus les attaques sur une application sont critiques, plus l’indice de menace pour cette application est élevé. Les valeurs varient de 1 à 7.

L’indice des menaces est basé sur les informations d’attaque. Les informations relatives à l’attaque, telles que le type de violation, la catégorie d’attaque, l’emplacement et les détails du client, fournissent aux utilisateurs un aperçu des attaques contre l’application. Les informations de violation sont envoyées à Citrix ADM uniquement lorsqu’une violation ou une attaque se produit. De nombreuses failles et vulnérabilités conduisent à un indice de menace élevé.

  • Indice de sécurité. Un système d’évaluation à un chiffre qui indique le niveau de sécurité des utilisateurs pour configurer les instances ADC afin de protéger les applications contre les menaces et les vulnérabilités externes. Plus les risques pour la sécurité d’une application sont faibles, plus l’indice de sécurité est élevé. Les valeurs varient de 1 à 7.

L’indice de sécurité tient compte à la fois de la configuration du pare-feu d’application et de la configuration de sécurité du système ADC. Pour un indice de sécurité élevé, les deux configurations doivent être solides. Par exemple, si des contrôles rigoureux du pare-feu des applications sont en place mais que les mesures de sécurité du système ADC, telles qu’un mot de passe fort pour l’utilisateur nsroot, n’ont pas été adoptées, les applications se voient attribuer une valeur d’indice de sécurité faible.

  • Informations exploitables. Informations dont les utilisateurs ont besoin pour réduire l’indice de menace et augmenter l’indice de sécurité, ce qui améliore considérablement la sécurité des applications. Par exemple, les utilisateurs peuvent consulter des informations sur les violations, les configurations de sécurité existantes et manquantes pour le pare-feu des applications et d’autres fonctionnalités de sécurité, le taux d’attaque des applications, etc.

Configuration de Security Insight

Remarque : Security Insight est pris en charge sur les instances ADC avec licence Premium ou ADC Advanced avec licence AppFirewall uniquement.

Pour configurer les informations de sécurité sur une instance ADC, configurez d’abord un profil de pare-feu d’application et une stratégie de pare-feu d’application, puis liez la stratégie de pare-feu d’application globalement.

Ensuite, activez la fonctionnalité AppFlow, configurez un collecteur, une action et une stratégie AppFlow, puis liez la stratégie globalement. Lorsque les utilisateurs configurent le collecteur, ils doivent spécifier l’adresse IP de l’agent de service Citrix ADM sur lequel ils souhaitent surveiller les rapports.

Configuration de Security Insight sur une instance ADC

  • Exécutez les commandes suivantes pour configurer un profil et une stratégie de pare-feu d’application et lier la stratégie de pare-feu d’application globalement ou au serveur virtuel d’équilibrage de charge.

add appfw profile <name> [-defaults ( basic or advanced )]

set appfw profile <name> [-startURLAction <startURLAction> …]

add appfw policy <name> <rule> <profileName>

bind appfw global <policyName> <priority>

ou,

bind lb vserver <lb vserver> -policyName <policy> -priority <priority>

Échantillon :


add appfw profile pr_appfw -defaults advanced

set appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority "20"

<!--NeedCopy-->
  • Exécutez les commandes suivantes pour activer la fonctionnalité AppFlow, configurer un collecteur, une action et une stratégie AppFlow et lier la stratégie globalement ou au serveur virtuel d’équilibrage de charge :

add appflow collector <name> -IPAddress <ipaddress>

set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ENABLED or DISABLED )]

add appflow action <name> -collectors <string>

add appflow policy <name> <rule> <action>

bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

ou,

bind lb vserver <vserver> -policyName <policy> -priority <priority>

Échantillon :


add appflow collector col -IPAddress 10.102.63.85

set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"

<!--NeedCopy-->

Activer Security Insight à partir de Citrix ADM

  1. Accédez àRéseaux>Instances>Citrix ADCet sélectionnez le type d’instance. Par exemple, VPX.

  2. Sélectionnez l’instance et dans la listeSélectionner une action, sélectionnezConfigurer Analytics.

  3. Dans la fenêtreConfigurer Analytics sur un serveur virtuel :

    • Sélectionnez les serveurs virtuels pour lesquels vous souhaitez activer Security Insight et cliquez surActiver Analytics.

    La fenêtreActiver Analyticss’affiche.

    • SélectionnezSecurity Insight

    • SousOptions avancées, sélectionnezLogstreamouIPFIXcomme mode de transport

    • L’expression est true par défaut

    • Cliquez surOK

image-vpx-azure-appsecurity-deployment-18

Remarque :

  • Si les utilisateurs sélectionnent des serveurs virtuels qui ne sont pas sous licence, Citrix ADM octroie d’abord une licence pour ces serveurs virtuels, puis active l’analyse.

  • Pour les partitions d’administration, seul Web Insight est pris en charge

Une fois que les utilisateurs ont cliqué surOK, Citrix ADM procède à l’activation des analyses sur les serveurs virtuels sélectionnés.

image-vpx-azure-appsecurity-deployment-19

Remarque : Lorsque les utilisateurs créent un groupe, ils peuvent attribuer des rôles au groupe, fournir un accès au niveau de l’application au groupe et attribuer des utilisateurs au groupe. Citrix ADM Analytics prend désormais en charge l’autorisation basée sur les adresses IP virtuelles. Les utilisateurs clients peuvent désormais consulter les rapports pour tous les Insights uniquement pour les applications (serveurs virtuels) pour lesquelles ils sont autorisés. Pour plus d’informations sur les groupes et l’attribution d’utilisateurs au groupe, consultez Configurer des groupes sur Citrix ADM : Configurer des groupes sur Citrix ADM.

Seuils

Les utilisateurs peuvent définir et afficher des seuils sur l’indice de sécurité et l’indice de menace des applications dans Security Insight.

Pour définir un seuil :

  • Accédez àSystème>Paramètres Analytics>Seuils, puis sélectionnezAjouter.

  • Sélectionnez le type de traficSécuritédans le champ Type de trafic et entrez les informations requises dans les autres champs appropriés tels que Nom, Durée et entité.

  • Dans la sectionRègle, utilisez les champs Métrique, Comparateur et Valeur pour définir un seuil. Par exemple, « Threat Index » « > » « 5 »

  • Cliquez sur Créer.

Pour afficher les franchissements de seuil :

  • Accédez àAnalytics>Security Insight>Devices, puis sélectionnez l’instance ADC.

  • Dans la sectionApplication, les utilisateurs peuvent afficher le nombre de violations de seuil qui se sont produites pour chaque serveur virtuel dans la colonne Seuil de dépassement.

Cas d’utilisation Security Insight

Les exemples d’utilisation suivants décrivent comment les utilisateurs peuvent utiliser Security Insight pour évaluer l’exposition aux menaces des applications et améliorer les mesures de sécurité.

Obtenir un aperçu de l’environnement de menace

Dans ce cas d’utilisation, les utilisateurs disposent d’un ensemble d’applications exposées aux attaques et ont configuré Citrix ADM pour surveiller l’environnement des menaces. Les utilisateurs doivent régulièrement consulter l’indice de menace, l’indice de sécurité, ainsi que le type et la gravité des attaques que les applications ont pu subir, afin de pouvoir se concentrer en premier lieu sur les applications qui nécessitent le plus d’attention. Le tableau de bord Security Insight fournit un résumé des menaces subies par les applications utilisateur au cours de la période choisie par l’utilisateur et pour un appareil ADC sélectionné. Il affiche la liste des applications, leurs indices de menace et de sécurité, ainsi que le nombre total d’attaques pour la période choisie.

Par exemple, les utilisateurs peuvent surveiller Microsoft Outlook, Microsoft Lync, SharePoint et une application SAP, et les utilisateurs peuvent vouloir consulter un résumé de l’environnement de menaces pour ces applications.

Pour obtenir un résumé de l’environnement des menaces, connectez-vous à Citrix ADM, puis accédez àAnalytics > Security Insight.

Les informations clés sont affichées pour chaque application. La période par défaut est de 1 heure.

image-vpx-azure-appsecurity-deployment-20

Pour afficher les informations d’une période différente, sélectionnez une période dans la liste située en haut à gauche.

image-vpx-azure-appsecurity-deployment-21

Pour afficher un résumé d’une autre instance ADC, sousDevices, cliquez sur l’adresse IP de l’instance ADC. Pour trier la liste des applications par colonne donnée, cliquez sur l’en-tête de colonne.

Déterminer l’exposition à la menace d’une application

Après avoir examiné un résumé de l’environnement des menaces sur le tableau de bord Security Insight afin d’identifier les applications présentant un indice de menace élevé et un indice de sécurité faible, les utilisateurs souhaitent déterminer leur exposition aux menaces avant de décider comment les sécuriser. En d’autres termes, les utilisateurs souhaitent déterminer le type et la gravité des attaques qui ont dégradé leurs valeurs d’index. Les utilisateurs peuvent déterminer l’exposition aux menaces d’une application en consultant le résumé de l’application.

Dans cet exemple, Microsoft Outlook a une valeur d’indice de menace de 6, et les utilisateurs souhaitent connaître les facteurs qui contribuent à cet indice de menace élevé.

Pour déterminer l’exposition aux menaces de Microsoft Outlook, dans le tableau de bordSecurity Insight, cliquez surOutlook. Le résumé de l’application inclut une carte qui identifie l’emplacement géographique du serveur.

image-vpx-azure-appsecurity-deployment-22

Cliquez surIndex des menaces > Violations des contrôles de sécurité et vérifiezles informations de violation qui s’affichent.

image-vpx-azure-appsecurity-deployment-23

Cliquez surViolations de signatureet vérifiez les informations de violation qui s’affichent.

image-vpx-azure-appsecurity-deployment-24

Déterminer la configuration de sécurité existante et manquante pour une application

Après avoir examiné l’exposition aux menaces d’une application, les utilisateurs souhaitent déterminer quelles configurations de sécurité d’application sont en place et quelles configurations sont manquantes pour cette application. Les utilisateurs peuvent obtenir ces informations en explorant le résumé de l’indice de sécurité de l’application.

Le résumé de l’indice de sécurité fournit aux utilisateurs des informations sur l’efficacité des configurations de sécurité suivantes :

  • Configuration du pare-feu d’application. Indique le nombre d’entités de signature et de sécurité non configurées.

  • Citrix ADM System Security. Indique le nombre de paramètres de sécurité du système qui ne sont pas configurés.

image-vpx-azure-appsecurity-deployment-25

Dans l’exemple d’utilisation précédent, les utilisateurs ont examiné l’exposition aux menaces de Microsoft Outlook, dont la valeur d’indice de menace est de 6. Désormais, les utilisateurs veulent savoir quelles configurations de sécurité sont en place pour Outlook et quelles configurations peuvent être ajoutées pour améliorer son indice de menaces.

Dans le tableau debord Security Insight, cliquez surOutlook, puis sur l’ongletIndice de sécurité. Passez en revue les informations fournies dans la zoneRésumé de l’indice de sécurité.

image-vpx-azure-appsecurity-deployment-26

Dans le nœudConfiguration du pare-feu d’application, cliquez surOutlook_Profileet passez en revue les informations de vérification de sécurité et de violation de signature dans les graphiques en secteurs.

image-vpx-azure-appsecurity-deployment-27

Vérifiez l’état de configuration de chaque type de protection dans le tableau récapitulatif du pare-feu de l’application. Pour trier le tableau d’une colonne, cliquez sur l’en-tête de colonne.

image-vpx-azure-appsecurity-deployment-28

Cliquez sur le nœudCitrix ADM System Securityet passez en revue les paramètres de sécurité du système et les recommandations Citrix pour améliorer l’indice de sécurité des applications.

Identifier les applications nécessitant une attention immédiate

Les applications qui nécessitent une attention immédiate sont celles qui présentent un indice de menace élevé et un indice de sécurité faible.

Dans cet exemple, Microsoft Outlook et Microsoft Lync ont une valeur d’indice de menace élevée de 6, mais Lync a le plus faible des deux index de sécurité. Par conséquent, les utilisateurs peuvent avoir à concentrer leur attention sur Lync avant d’améliorer l’environnement des menaces pour Outlook.

image-vpx-azure-appsecurity-deployment-29

Déterminer le nombre d’attaques au cours d’une période donnée

Les utilisateurs peuvent vouloir déterminer le nombre d’attaques qui se sont produites sur une application donnée à un moment donné ou étudier le taux d’attaque pendant une période donnée.

Sur la page Security Insight, cliquez sur n’importe quelle application et dans le résumé de l’application, cliquez sur le nombre de violations. La page Total des violations affiche les attaques de manière graphique pendant une heure, un jour, une semaine et un mois.

image-vpx-azure-appsecurity-deployment-30

Le tableauRésumé des applicationsfournit des informations détaillées sur les attaques. Certains d’entre eux sont les suivants :

  • Temps d’attaque

  • Adresse IP du client à partir duquel l’attaque s’est produite

  • Gravité

  • Catégorie de violation

  • URL d’origine de l’attaque, et d’autres détails.

image-vpx-azure-appsecurity-deployment-31

Alors que les utilisateurs peuvent toujours afficher l’heure de l’attaque dans un rapport horaire, comme le montre l’image ci-dessus, ils peuvent désormais consulter la plage de temps d’attaque pour les rapports agrégés, même pour les rapports quotidiens ou hebdomadaires. Si les utilisateurs sélectionnent « 1 jour » dans la liste des périodes, le rapport Security Insight affiche toutes les attaques agrégées et la durée de l’attaque est affichée dans une plage d’une heure. Si les utilisateurs choisissent « 1 semaine » ou « 1 mois », toutes les attaques sont agrégées et la durée de l’attaque est affichée sur une plage d’un jour.

image-vpx-azure-appsecurity-deployment-32

Obtenir des informations détaillées sur les violations de sécurité

Les utilisateurs peuvent consulter la liste des attaques contre une application et obtenir des informations sur le type et la gravité des attaques, les actions entreprises par l’instance ADC, les ressources demandées et la source des attaques.

Par exemple, les utilisateurs peuvent vouloir déterminer le nombre d’attaques contre Microsoft Lync qui ont été bloquées, les ressources demandées et les adresses IP des sources.

Dans le tableau debord Security Insight, cliquez surLync > Total Violations. Dans le tableau, cliquez sur l’icône de filtre dans l’en-têtede colonne Action entreprise, puis sélectionnezBloqué.

image-vpx-azure-appsecurity-deployment-33

Pour plus d’informations sur les ressources demandées, consultez la colonneURL. Pour plus d’informations sur les sources des attaques, consultez la colonneIP du client.

Afficher les détails de l’expression du journal

Les instances Citrix ADC utilisent des expressions de journal configurées avec le profil Application Firewall pour prendre des mesures contre les attaques contre une application dans l’entreprise de l’utilisateur. Dans Security Insight, les utilisateurs peuvent afficher les valeurs renvoyées pour les expressions de journal utilisées par l’instance ADC. Ces valeurs incluent, en-tête de requête, corps de requête et ainsi de suite. Outre les valeurs de l’expression de journal, les utilisateurs peuvent également afficher le nom de l’expression de journal et le commentaire de l’expression de journal définie dans le profil Application Firewall que l’instance ADC a utilisé pour prendre des mesures pour l’attaque.

Prérequis :

Assurez-vous que les utilisateurs :

  • Configurez les expressions de journal dans le profil du pare-feu d’application. Pour plus d’informations, reportez-vous à la section Pare-feu d’application.

  • Activez les paramètres Security Insights basés sur l’expression de journal dans Citrix ADM. Procédez comme suit :

    • Accédez àAnalytics > Paramètres, puis cliquez surActiver les fonctionnalités pour Analytics.

    • Dans la page Activer les fonctionnalités pour Analytics, sélectionnezActiver Security Insight dans la section Paramètres de Security Insight basés sur l’expression du journalet cliquez surOK.

image-vpx-azure-appsecurity-deployment-34

Par exemple, les utilisateurs peuvent vouloir afficher les valeurs de l’expression de journal renvoyée par l’instance ADC pour l’action entreprise suite à une attaque contre Microsoft Lync dans l’entreprise de l’utilisateur.

Dans le tableau de bord Security Insight, accédez àLync > Total Violations. Dans le tableau Résumé de l’application, cliquez sur l’URL pour afficher les détails complets de la violation dans la pageInformations sur la violation, y compris le nom de l’expression de journal, le commentaire et les valeurs renvoyées par l’instance ADC pour l’action.

image-vpx-azure-appsecurity-deployment-35

Déterminer l’indice de sécurité avant de déployer la configuration

Les failles de sécurité se produisent après que les utilisateurs ont déployé la configuration de sécurité sur une instance ADC, mais les utilisateurs peuvent vouloir évaluer l’efficacité de la configuration de sécurité avant de la déployer.

Par exemple, les utilisateurs peuvent vouloir évaluer l’indice de sécurité de la configuration de l’application SAP sur l’instance ADC avec l’adresse IP 10.102.60.27.

Dans le tableau debord Security Insight, sousDevices, cliquez sur l’adresse IP de l’instance ADC configurée par les utilisateurs. Les utilisateurs peuvent voir que l’indice de menace et le nombre total d’attaques sont tous deux égaux à 0. L’indice de menace reflète directement le nombre et le type d’attaques contre l’application. Aucune attaque indique que l’application n’est soumise à aucune menace.

image-vpx-azure-appsecurity-deployment-36

Cliquez surSap > Safety Index > SAP_Profileet évaluez les informations d’indice de sécurité qui s’affichent.

image-vpx-azure-appsecurity-deployment-37

Dans le résumé du pare-feu d’application, les utilisateurs peuvent consulter l’état de configuration des différents paramètres de protection. Si un paramètre est défini pour consigner ou si un paramètre n’est pas configuré, un indice de sécurité inférieur est attribué à l’application.

image-vpx-azure-appsecurity-deployment-38

Infractions de sécurité

Afficher les informations relatives aux violations de sécurité

Les applications Web exposées à Internet sont devenues beaucoup plus vulnérables aux attaques. Citrix ADM permet aux utilisateurs de visualiser les détails des violations exploitables afin de protéger les applications contre les attaques. Accédez àSécurité>Violations de sécuritépour obtenir une solution à volet unique permettant de :

  • Accédez aux violations de sécurité des applications en fonction de leurs catégories, telles queRéseau,BotetWAF

  • Prendre des mesures correctives pour sécuriser les applications

Pour afficher les violations de sécurité dans Citrix ADM, assurez-vous que :

  • Les utilisateurs disposent d’une licence premium pour l’instance Citrix ADC (pour les violations WAF et BOT).

  • Les utilisateurs ont appliqué une licence sur les serveurs virtuels d’équilibrage de charge ou de commutation de contenu (pour WAF et BOT). Pour plus d’informations, consultez : Gérer les licences sur les serveurs virtuels.

  • Les utilisateurs activent davantage de paramètres. Pour plus d’informations, consultez la procédure disponible dans la section Configuration de la documentation produit Citrix : Configuration.

Catégories de violations

Citrix ADM permet aux utilisateurs d’afficher les violations suivantes :

RÉSEAU Bot WAF
HTTP lent Loris Connexions client excessives Transactions de chargement exceptionnellement élevées
DNS Lent Loris Prise en charge de compte** Transactions de téléchargement exceptionnellement élevées
Publication lente HTTP Volume de téléchargement exceptionnellement élevé IPs uniques excessifs
Attaque par saturation NXDomain Taux de demandes exceptionnellement élevé IPs uniques excessifs par géo
Attaque de désynchronisation HTTP Volume de téléchargement exceptionnellement élevé  
Attaque de Bleichenbacher    
Segment smack Attaque    
Attaque par inondation solaire    

** - Les utilisateurs doivent configurer le paramètre de prise de contrôle de compte dans Citrix ADM. Consultez les conditions préalables mentionnées dans Account Takeover : Account Takeover.

Outre ces violations, les utilisateurs peuvent également afficher les violations Security Insight et Bot Insight suivantes dans les catégories WAF et Bot, respectivement :

WAF Bot
Dépassement de tampon Crawler
Type de contenu Feed Fetcher
Cohérence des Vérificateur de liens
Balisage de formulaire CSRF Marketing
Refuser URL Scraper
Cohérence des champs de formulaire Créateur de capture d’écran
Formats de champs Moteur de recherche
Nombre maximal de téléchargements Agent de service
En-tête du référent Moniteur de site
Commerce sécurisé Tester de vitesse
Objet sécurisé Outil
Injection SQL HTML Sans catégorie
URL de démarrage Analyseur de virus
XSS Analyseur de vulnérabilité
DoS XML Attente DeviceFP dépassée
Format XML DeviceFP non valide
XML WSI Réponse Captcha non valide
XML SSL Tentatives de captcha dépassées
Pièce jointe XML Réponse Captcha valide
Erreur SOAP XML Captcha client en sourdine
Validation XML Temps d’attente Captcha dépassé
Autres Limite de taille de demande dépassée
Réputation IP Limite de débit dépassée
HTTP DOS Liste noire (IP, sous-réseau, expression de stratégie)
Petite fenêtre TCP Liste blanche (IP, sous-réseau, expression de stratégie)
Violation signature Demande de zéro pixel
Type de téléchargement de fichier IP source
JSON XSS Hôte
JSON SQL Géolocalisation
JSON DOS URL
Injection de commande  
Induire le type de contenu XML  
Détournement de cookies  

Configuration

Les utilisateurs doivent activerAdvanced Security Analyticset définir lesparamètres de transaction WebsurTouspour afficher les violations suivantes dans Citrix ADM :

  • Transactions de chargement exceptionnellement élevées (WAF)

  • Transactions de téléchargement exceptionnellement élevées (WAF)

  • IPs uniques excessifs (WAF)

  • Prise de contrôle de compte (BOT)

Pour les autres violations, assurez-vous queMetrics Collectorest activé. Par défaut,Metrics Collectorest activé sur l’instance Citrix ADC. Pour plus d’informations, voir :Configurer Intelligent App Analytics.

Activer les analyses de sécurité avancées

  • Accédez àNetworks>Instances>Citrix ADC, puis sélectionnez le type d’instance. Par exemple, MPX.

  • Sélectionnez l’instance Citrix ADC et dans la listeSélectionner une action, sélectionnezConfigurer Analytics.

  • Sélectionnez le serveur virtuel et cliquez surActiver Analytics.

  • Dans la fenêtreActiver Analytics :

    • SélectionnezWeb Insight. Une fois que les utilisateurs ont sélectionné Web Insight, l’optionAdvanced Security Analyticsen lecture seule est activée automatiquement.

    Remarque : L’optionAdvanced Security Analyticss’affiche uniquement pour les instances ADC sous licence Premium.

    • SélectionnezLogstreamcomme mode de transport

    • L’expression est true par défaut

    • Cliquez surOK

image-vpx-azure-appsecurity-deployment-39

Activer les paramètres de transaction Web

  • Accédez àAnalytics>Paramètres.

La pageParamètress’affiche.

  • Cliquez surActiver les fonctionnalités pour Analytics.

  • SousParamètres de transaction Web, sélectionnezTout.

image-vpx-azure-appsecurity-deployment-40

  • Cliquez surOk.

Tableau de bord des violations de sécurité

Dans le tableau de bord des violations de sécurité, les utilisateurs peuvent consulter :

  • Le nombre total de violations s’est produit dans toutes les instances et applications ADC. Le total des violations s’affiche en fonction de la durée sélectionnée.

image-vpx-azure-appsecurity-deployment-41

  • Total des violations dans chaque catégorie.

image-vpx-azure-appsecurity-deployment-42

  • Nombre total de ADC affectés, nombre total d’applications affectées et violations les plus importantes en fonction du nombre total d’occurrences et des applications affectées.

image-vpx-azure-appsecurity-deployment-43

Détails de la violation

Pour chaque violation, Citrix ADM surveille le comportement pendant une durée spécifique et détecte les violations pour les comportements inhabituels. Cliquez sur chaque onglet pour afficher les détails de la violation. Les utilisateurs peuvent consulter des détails tels que :

  • Nombre total d’occurrences, la dernière survenue et le nombre total d’applications affectées

  • Sous Détails de l’événement, les utilisateurs peuvent consulter :

    • L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si plusieurs applications sont concernées par des violations.

    • Graphique indiquant les violations.

    Faites glisser et sélectionnez sur le graphique qui répertorie les violations pour affiner la recherche de violation.

    image-vpx-azure-appsecurity-deployment-44

    Cliquez surReset Zoompour réinitialiser le résultat du zoom

    • Actions recommandéesqui suggèrent aux utilisateurs de résoudre le problème

    • Autres détails de violation tels que l’heure de la violence et le message de détection

Bot Insight

Utilisation de Bot Insight dans Citrix ADM

Une fois que les utilisateurs ont configuré la gestion des bots dans Citrix ADC, ils doivent activerBot Insightsur les serveurs virtuels pour afficher des informations dans Citrix ADM.

Pour activerBot Insight :

  • Accédez àRéseaux>Instances>Citrix ADCet sélectionnez le type d’instance. Par exemple, VPX.

  • Sélectionnez l’instance et dans la listeSélectionner une action, sélectionnezConfigurer Analytics.

  • Sélectionnez le serveur virtuel et cliquez surActiver Analytics.

  • Dans la fenêtreActiver Analytics :

    • SélectionnezBot Insight

    • SousAdvanced Option, sélectionnezLogstream.

    image-vpx-azure-appsecurity-deployment-45

    • Cliquez sur OK.

Après avoir activéBot Insight, accédez àAnalytics>Security>Bot Insight.

image-vpx-azure-appsecurity-deployment-46

  1. Liste de temps pour voir les détails du bot

  2. Faites glisser le curseur pour sélectionner une plage de temps spécifique et cliquez surOKpour afficher les résultats personnalisés.

  3. Nombre total d’instances affectées par les robots

  4. Serveur virtuel pour l’instance sélectionnée avec le nombre total d’attaques de bots

    • Total de bots— Indique le nombre total d’attaques de bots (y compris toutes les catégories de robots) détectées pour le serveur virtuel.

    • Total Human Browsers : indique le nombre total d’utilisateurs humains accédant au serveur virtuel.

    • Ratio humain des robots : indique le rapport entre les utilisateurs humains et les robots accédant au serveur virtuel.

    • Bots de signature,bot à empreinte digitale,bots basés sur le taux, robots deréputation IP, botsdeliste d’autorisationet robots deliste de blocage — Indique le nombre total d’attaques de botssurvenues en fonction de la catégorie de bot configurée. Pour plus d’informations sur la catégorie de robots, voir :Configurer les techniques de détection de bot dans Citrix ADC.

  5. Cliquez sur > pour afficher les détails du bot sous forme de graphique.

image-vpx-azure-appsecurity-deployment-47

Afficher l’historique des événements

Les utilisateurs peuvent consulter les mises à jour des signatures de robots dans l’historique des événements, lorsque :

  • De nouvelles signatures de bot sont ajoutées dans les instances de Citrix ADC.

  • Les signatures de bot existantes sont mises à jour dans les instances de Citrix ADC.

Les utilisateurs peuvent sélectionner la durée dans la page Bot Insight pour afficher l’historique des événements.

image-vpx-azure-appsecurity-deployment-48

Le diagramme suivant montre comment les signatures de bot sont récupérées à partir du cloud AWS, mises à jour sur Citrix ADC et afficher le résumé de la mise à jour des signatures sur Citrix ADM.

image-vpx-azure-appsecurity-deployment-49

  1. Le planificateur de mise à jour automatique de la signature du bot récupère le fichier de mappage à partir de l’URI AWS.

  2. Vérifie les signatures les plus récentes du fichier de mappage avec les signatures existantes dans l’appliance ADC.

  3. Télécharge les nouvelles signatures depuis AWS et vérifie l’intégrité de la signature.

  4. Met à jour les signatures de bots existantes avec les nouvelles signatures dans le fichier de signature du bot.

  5. Génère une alerte SNMP et envoie le résumé de la mise à jour des signatures à Citrix ADM.

Voir les robots

Cliquez sur le serveur virtuel pour afficher lerésumé de l’application

image-vpx-azure-appsecurity-deployment-50

  1. Fournit les détails du résumé de la demande, tels que :

    • RPS moyen— Indique le nombre moyen de demandes de transaction de bot par seconde (RPS) reçues sur les serveurs virtuels.

    • Bots par gravité : indique les transactions de botsles plus élevées qui ont eu lieu en fonction de leur gravité. La gravité est classée en fonction deCritique,Élevé, MoyenetFaible.

    Par exemple, si les serveurs virtuels ont 11 770 robots de gravité élevée et 1 550 robots de gravité critique, Citrix ADM affiche Critique 1,55 KsousBots par gravité.

    • Catégorie de robots la plus importante— Indique la plus grande attaque de bot survenue en fonction de la catégorie de bot.

    Par exemple, si les serveurs virtuels ont 8 000 robots répertoriés en mode bloc, 5 000 robots autorisés et 10 000 robots dont la limite de débit est dépassée, Citrix ADM afficheLimite de débit dépassée 10 000sousla catégorie de robots la plus grande.

    • Laplus grande source géographique— Indique le plus grand nombre d’attaques de bots survenues en fonction d’une région.

    Par exemple, si les serveurs virtuels ont 5 000 attaques de robots à Santa Clara, 7 000 attaques de robots à Londres et 9 000 attaques de robots à Bangalore, Citrix ADM afficheBangalore 9 Ksous laplus grande source géographique.

    • % moyen de trafic de robots : indique le ratio de robots humains.
  2. Affiche la gravité des attaques de robots en fonction des emplacements dans la vue cartographique

  3. Affiche les types d’attaques de robots (bonnes, mauvaises et toutes)

  4. Affiche le nombre total d’attaques de bots ainsi que les actions configurées correspondantes. Par exemple, si vous avez configuré :

    • Plage d’adresses IP (192.140.14.9 à 192.140.14.254) en tant que bots de liste de blocs et sélectionné Drop comme action pour ces plages d’adresses IP

    • Plage d’adresses IP (192.140.15.4 à 192.140.15.254) en tant que bots de liste noire et sélectionnée pour créer un message de journal en tant qu’action pour ces plages d’adresses IP

      Dans ce scénario, Citrix ADM affiche :

      • Total des bots listés par bloc

      • Nombre total de robots sousDropped

      • Nombre total de robots sous Log

Voir les robots CAPTCHA

Dans les pages Web, les CAPTCHA sont conçus pour identifier si le trafic entrant provient d’un humain ou d’un robot automatisé. Pour afficher les activités CAPTCHA dans Citrix ADM, les utilisateurs doivent configurer CAPTCHA en tant qu’action de bot pour les techniques de réputation IP et de détection d’empreinte digitale de périphérique dans une instance Citrix ADC. Pour plus d’informations, voir :Configurer la gestion des robots.

Voici les activités CAPTCHA que Citrix ADM affiche dans Bot Insight :

  • Nombre detentatives de captcha dépassé : indique le nombre maximal de tentatives CAPTCHA effectuées après des échecs de connexion

  • Client Captcha muted : indique le nombre de demandes client qui sont abandonnées ou redirigées parce que ces demandes ont été détectées comme des robots malveillants précédemment avec le challenge CAPTCHA.

  • Humain— Indique les entrées captcha effectuées par les utilisateurs humains

  • Réponse captcha non valide : indique le nombre de réponses CAPTCHA incorrectes reçues du bot ou de l’humain, lorsque Citrix ADC envoie un défi CAPTCHA

image-vpx-azure-appsecurity-deployment-51

Afficher les pièges à

Pour afficher les pièges de robots dans Citrix ADM, vous devez configurer le bot trap dans l’instance Citrix ADC. Pour plus d’informations, voir :Configurer la gestion des robots.

image-vpx-azure-appsecurity-deployment-52

Pour identifier le piège à robots, un script est activé sur la page Web et ce script est masqué aux humains, mais pas aux robots. Citrix ADM identifie et signale les interruptions de robot, lorsque ce script est accessible par les robots.

Cliquez sur le serveur virtuel et sélectionnezZero Pixel Request

image-vpx-azure-appsecurity-deployment-53

Afficher les détails du bot

Pour plus de détails, cliquez sur le type d’attaque debot sous Catégoriede robots.

Les détails tels que le temps d’attaque et le nombre total d’attaques de robots pour la catégorie de captcha sélectionnée sont affichés.

image-vpx-azure-appsecurity-deployment-54

Les utilisateurs peuvent également faire glisser le graphique à barres pour sélectionner la période spécifique à afficher avec les attaques de robots.

image-vpx-azure-appsecurity-deployment-55

Pour obtenir des informations supplémentaires sur l’attaque de bot, cliquez pour développer.

image-vpx-azure-appsecurity-deployment-56

  • IP de l’instance : indique l’adresse IP de l’instance Citrix ADC

  • Total de bots— Indique le nombre total d’attaques de bots survenues pendant cette période

  • URL de requête HTTP— Indique l’URL configurée pour le reporting captcha

  • Code du pays— Indique le pays dans lequel l’attaque de bot a eu lieu

  • Région : indique la région dans laquelle l’attaque de bot s’est produite

  • Nom du profil : indique le nom du profil que les utilisateurs ont fourni lors de la configuration

Recherche avancée

Les utilisateurs peuvent également utiliser la zone de texte de recherche et la liste des durées, où ils peuvent afficher les détails du bot selon les besoins de l’utilisateur. Lorsque les utilisateurs cliquent sur le champ de recherche, celui-ci leur fournit la liste suivante de suggestions de recherche.

  • IP de l’instance : adresse IPde l’instance Citrix ADC

  • Client-IP— Adresse IP du client

  • Type de bot— Type de bot tel que Bon ou Mauvais

  • Gravité : gravité de l’attaque de bot

  • Action-Taken— Action entreprise après l’attaque du bot, telle que Drop, No action, Redirect

  • Bot-Category— Catégorie de l’attaque de bot, telle que liste de blocage, liste d’autorisation, empreinte digitale, etc. En fonction d’une catégorie, les utilisateurs peuvent y associer une action de bot

  • Bot-Detection : types de détection de bots (liste rouge, liste verte, etc.) que les utilisateurs ont configurés sur l’instance Citrix ADC

  • Emplacement : région/pays dans lequel l’attaque de bot a eu lieu

  • Request-URL— URL qui contient les attaques possibles par des robots

Les utilisateurs peuvent également utiliser des opérateurs dans les requêtes de recherche d’utilisateurs pour affiner le champ de la recherche d’utilisateurs. Par exemple, si les utilisateurs souhaitent afficher tous les robots malveillants :

  • Cliquez sur la zone de recherche et sélectionnezType de démarrage

  • Cliquez à nouveau sur le champ de recherche et sélectionnez l’opérateur**=**

  • Cliquez à nouveau sur le champ de recherche et sélectionnezMauvais

  • Cliquez surRechercherpour afficher les résultats

image-vpx-azure-appsecurity-deployment-57

Détails sur la violation de bot

Connexions client excessives

Lorsqu’un client tente d’accéder à l’application Web, la demande client est traitée dans l’appliance Citrix ADC, au lieu de se connecter directement au serveur. Le trafic Web comprend des robots et les robots peuvent effectuer diverses actions plus rapidement qu’un humain.

À l’aide de l’indicateur deconnexions client excessives, les utilisateurs peuvent analyser des scénarios dans lesquels une application reçoit des connexions client anormalement élevées via des robots.

image-vpx-azure-appsecurity-deployment-58

SousDétails de l’événement, les utilisateurs peuvent consulter :

  • L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si plusieurs applications sont concernées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Message de détection de la violation, indiquant le total des adresses IP qui transportent l’application

  • La plage d’adresses IP acceptées que l’application peut recevoir

Prise en charge de compte

Remarque : Assurez-vous que les utilisateurs activent les options avancées d’analyse de sécurité et de transaction Web. Pour plus d’informations, voir Configuration : Configuration.

Certains robots malveillants peuvent voler les informations d’identification des utilisateurs et effectuer divers types de cyberattaques. Ces bots malveillants sont connus sous le nom de mauvais bots. Il est essentiel d’identifier les robots malveillants et de protéger l’appliance utilisateur contre toute forme d’attaque de sécurité avancée.

Conditions préalables

Les utilisateurs doivent configurer les paramètres deprise de contrôle de comptedans Citrix ADM.

  • Accédez àAnalytics>Paramètres>Violations de sécurité

  • Cliquez surAjouter

image-vpx-azure-appsecurity-deployment-59

  • Dans la page Ajouter une application, spécifiez les paramètres suivants :

    • Application : sélectionnez le serveur virtuel dans la liste.

    • Méthode : sélectionnez le type de méthode HTTP dans la liste. Les options disponibles sontGET,PUSH,POSTetUPDATE.

    • URL de connexion et code de réponse de réussite : spécifiez l’URL de l’application Web et spécifiez le code d’état HTTP (par exemple, 200) pour lequel les utilisateurs souhaitent que Citrix ADM signale la violation de prise de compte par des robots malveillants.

    • Cliquez surAjouter.

image-vpx-azure-appsecurity-deployment-60

Une fois que les utilisateurs ont configuré les paramètres, à l’aide de l’indicateurAccount Takeover, les utilisateurs peuvent analyser si des robots malveillants ont tenté de prendre le contrôle du compte utilisateur, en envoyant plusieurs demandes ainsi que des informations d’identification.

image-vpx-azure-appsecurity-deployment-61

SousDétails de l’événement, les utilisateurs peuvent consulter :

  • L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si plusieurs applications sont concernées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Le message de détection de la violation, indiquant l’échec total inhabituel de l’activité de connexion, les connexions réussies et les connexions échouées

  • La mauvaise adresse IP du bot. Cliquez pour afficher des détails tels que l’heure, l’adresse IP, le nombre total de connexions réussies, le nombre total de connexions ayant échoué et le nombre total de demandes effectuées à partir de cette adresse IP.

image-vpx-azure-appsecurity-deployment-62

Volume de téléchargement exceptionnellement élevé

Le trafic Web comprend également des données qui sont traitées pour le téléchargement. Par exemple, si la moyenne des données téléchargées par l’utilisateur par jour est de 500 Mo et si les utilisateurs téléchargent 2 Go de données, cela peut être considéré comme un volume de données de téléchargement anormalement élevé. Les robots sont également capables de traiter le téléchargement de données plus rapidement que les humains.

À l’aide de l’indicateur devolume de téléchargement anormalement élevé, les utilisateurs peuvent analyser des scénarios anormaux de téléchargement de données vers l’application via des robots.

image-vpx-azure-appsecurity-deployment-63

SousDétails de l’événement, les utilisateurs peuvent consulter :

  • L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si plusieurs applications sont concernées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Message de détection de la violation, indiquant le volume total de données de téléchargement traité

  • La plage acceptée des données de téléchargement vers l’application

Volume de téléchargement exceptionnellement élevé

Comme pour un volume de téléchargement élevé, les robots peuvent également effectuer des téléchargements plus rapidement que les humains.

À l’aide de l’indicateur devolume de téléchargement anormalement élevé, les utilisateurs peuvent analyser des scénarios anormaux de téléchargement de données depuis l’application via des robots.

image-vpx-azure-appsecurity-deployment-64

SousDétails de l’événement, les utilisateurs peuvent consulter :

  • L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si plusieurs applications sont concernées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Message de détection de la violation, indiquant le volume total de données de téléchargement traité

  • La plage acceptée des données de téléchargement de l’application

Taux de demandes exceptionnellement élevé

Les utilisateurs peuvent contrôler le trafic entrant et sortant depuis ou vers une application. Une attaque de bot peut entraîner un taux de requêtes anormalement élevé. Par exemple, si les utilisateurs configurent une application pour autoriser 100 requêtes/minute et si les utilisateurs observent 350 requêtes, il peut s’agir d’une attaque de bot.

À l’aide de l’indicateur detaux de demandes anormalement élevé, les utilisateurs peuvent analyser le taux de demandes inhabituel reçu par l’application.

image-vpx-azure-appsecurity-deployment-65

SousDétails de l’événement, les utilisateurs peuvent consulter :

  • L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si plusieurs applications sont concernées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Le message de détection de la violation, indiquant le nombre total de demandes reçues et% de demandes excessives reçues par rapport aux demandes attendues

  • La fourchette acceptée de la fourchette de taux de demande prévue à partir de la demande

Cas d’utilisation

Bot

Parfois, le trafic Web entrant est composé de bots et la plupart des organisations souffrent d’attaques de bot. Les applications Web et mobiles sont des moteurs de revenus importants pour les entreprises et la plupart des entreprises sont menacées par des cyberattaques avancées, telles que les robots. Un bot est un logiciel qui effectue automatiquement certaines actions à plusieurs reprises à un rythme beaucoup plus rapide qu’un humain. Les bots peuvent interagir avec des pages Web, soumettre des formulaires, exécuter des actions, numériser des textes ou télécharger du contenu. Ils peuvent accéder à des vidéos, poster des commentaires et tweeter sur les plateformes de médias sociaux. Certains bots, connus sous le nom de chatbots, peuvent tenir des conversations de base avec des utilisateurs humains. Un bot qui effectue un service utile, tel que le service à la clientèle, le chat automatisé et les bots de recherche sont de bons bots. Dans le même temps, un bot qui peut capturer ou télécharger du contenu à partir d’un site Web, voler des informations d’identification d’utilisateur, du contenu de spam et effectuer d’autres types de cyberattaques est un bot malveillant. Avec un bon nombre de robots malveillants effectuant des tâches malveillantes, il est essentiel de gérer le trafic des robots et de protéger les applications Web des utilisateurs contre les attaques de robots. En utilisant la gestion des robots Citrix, les utilisateurs peuvent détecter le trafic entrant des robots et atténuer les attaques de robots afin de protéger les applications Web des utilisateurs. La gestion des bots Citrix permet d’identifier les robots malveillants et de protéger l’appliance utilisateur contre les attaques de sécurité avancées. Il détecte les bots bons et les bots malveillants et identifie si le trafic entrant est une attaque de bot. En utilisant la gestion des robots, les utilisateurs peuvent atténuer les attaques et protéger les applications Web des utilisateurs.

La gestion de bot Citrix ADC offre les avantages suivants :

  • Défense contre les robots, les scripts et les boîtes à outils. Fournit une atténuation des menaces en temps réel à l’aide d’une défense statique basée sur les signatures et de l’empreinte digitale

  • Neutralise les attaques automatisées de base et avancées. Empêche les attaques, telles que les DDoS de couche d’application, la pulvérisation de mot de passe, le remplissage de mot de passe, les racleurs de prix et les racleurs de contenu.

  • Protège les API et les investissements des utilisateurs. Protège les API utilisateur contre les abus injustifiés et protège les investissements en infrastructure contre le trafic automatisé.

Voici quelques exemples d’utilisation dans lesquels les utilisateurs peuvent bénéficier de l’utilisation du système de gestion des bots Citrix :

  • Connexion par force brute. Un portail Web gouvernemental est constamment attaqué par des robots qui tentent de se connecter par force brute. L’organisation découvre l’attaque en consultant les journaux Web et en voyant des utilisateurs spécifiques être attaqués à plusieurs reprises avec des tentatives de connexion rapides et des mots de passe incrémentés à l’aide d’une approche d’attaque par dictionnaire. En vertu de la loi, ils doivent se protéger eux-mêmes et protéger leurs utilisateurs. En déployant la gestion de bot Citrix, ils peuvent arrêter la connexion par force brute à l’aide de techniques d’empreintes digitales de l’appareil et de limitation de débit.

  • Bloquez les robots malveillants et les robots inconnus par empreinte digitale d’appareil Une entité Web reçoit 100 000 visiteurs par jour. Ils doivent améliorer l’empreinte sous-jacente et ils dépensent une fortune. Lors d’un audit récent, l’équipe a découvert que 40 % du trafic provenait de bots, de capture de contenu, de collecte de nouvelles, de vérification des profils d’utilisateurs, etc. Ils veulent bloquer ce trafic pour protéger leurs utilisateurs et réduire leurs coûts d’hébergement. Grâce à la gestion des bots, ils peuvent bloquer les bots malveillants connus et les bots inconnus d’empreintes digitales qui martèlent leur site. En bloquant ces bots, ils peuvent réduire le trafic de bots de 90 %.

  • Autorisez les bons robots. Les « bons » robots sont conçus pour aider les entreprises et les consommateurs. Ils existent depuis le début des années 1990, lorsque les premiers robots des moteurs de recherche ont été développés pour explorer Internet. Google, Yahoo et Bing n’existeraient pas sans eux. D’autres exemples de bons robots, principalement axés sur le consommateur, incluent :

    • Les chatbots (aussi appelés chatterbots, robots intelligents, robots de discussion, robots de messagerie instantanée, robots sociaux, robots de conversation) interagissent avec les humains par le biais de textes ou de sons. L’une des premières utilisations de texte a été pour le service client en ligne et les applications de messagerie texte comme Facebook Messenger et iPhone Messages. Siri, Cortana et Alexa sont des chatbots, mais il en va de même pour les applications mobiles qui permettent aux utilisateurs de commander du café et de leur dire quand il sera prêt, de regarder des bandes-annonces de films et de trouver les horaires des cinémas locaux, ou d’envoyer aux utilisateurs une photo du modèle de voiture et de la plaque d’immatriculation lorsqu’ils demandent un service de transport.

    • Les Shopbots parcourent Internet à la recherche des prix les plus bas sur les articles recherchés par les utilisateurs.

    • Les robots de surveillance vérifient la santé (disponibilité et réactivité) des sites Web. Downdetector est un exemple de site indépendant qui fournit des informations d’état en temps réel, y compris les pannes, de sites Web et d’autres types de services. Pour plus d’informations sur Downdetector, voir : Downdetector.

Détection des bots

Configuration de la gestion des bots à l’Citrix ADC utilisateur graphique

Les utilisateurs peuvent configurer la gestion des bots Citrix ADC en activant d’abord la fonctionnalité sur l’appliance. Une fois que les utilisateurs l’ont activé, ils peuvent créer une stratégie de bot pour évaluer le trafic entrant en tant que bot et envoyer le trafic vers le profil de bot. Ensuite, les utilisateurs créent un profil de bot, puis lient le profil à une signature de bot. Les utilisateurs peuvent également cloner le fichier de signature de bot par défaut et utiliser le fichier de signature pour configurer les techniques de détection. Après avoir créé le fichier de signature, les utilisateurs peuvent l’importer dans le profil du bot. Toutes ces étapes sont effectuées dans l’ordre ci-dessous :

image-vpx-azure-appsecurity-deployment-66

  1. Activer la fonctionnalité de gestion des robots

  2. Configuration des paramètres de gestion des bots

  3. Signature par défaut du robot Cloner Citrix

  4. Importer la signature du bot Citrix

  5. Configuration des paramètres de signature du bot

  6. Créer un profil de bot

  7. Créer une stratégie de bot

Activer la fonctionnalité de gestion des robots

Suivez les étapes ci-dessous pour activer la gestion des robots :

  1. Dans le volet de navigation, développezSystème, puis cliquez surParamètres.

  2. Sur la pageConfigurer les fonctionnalités avancées, cochez la caseGestion des robots.

  3. Cliquez surOK, puis surFermer.

image-vpx-azure-appsecurity-deployment-67

Fichier de signature de clone bot

Suivez les étapes ci-dessous pour cloner le fichier de signature de bot :

  1. Accédez àSécurité>Citrix Bot ManagementandSignatures.

  2. Dans la pageSignatures de Citrix Bot Management, sélectionnez l’enregistrement de signatures de bot par défaut et cliquez surCloner

  3. Sur la pageSignature de Clone Bot, entrez un nom et modifiez les données de signature.

  4. Cliquez sur Créer.

image-vpx-azure-appsecurity-deployment-68

Importer le fichier de signature de

Si les utilisateurs disposent de leur propre fichier de signature, ils peuvent l’importer sous forme de fichier, de texte ou d’URL. Pour importer le fichier de signature du bot, procédez comme suit :

  • Accédez àSécurité>Citrix Bot ManagementandSignatures.

  • Sur la pageSignatures de Citrix Bot Management, importez le fichier sous forme d’URL, de fichier ou de texte.

  • Cliquez sur Continuer.

image-vpx-azure-appsecurity-deployment-69

  • Sur la page Importer la signature de Citrix Bot Management, définissez les paramètres suivants.

    • Nom. Nom du fichier de signature du bot.

    • Commentaire. Brève description du fichier importé.

    • Écraser. Activez cette case à cocher pour autoriser l’écrasement des données pendant la mise à jour du fichier.

    • Données de signature. Modifier les paramètres de signature

  • Cliquez surTerminé.

image-vpx-azure-appsecurity-deployment-70

Réputation IP

Configurer la réputation IP à l’aide de l’interface Citrix ADC

Cette configuration est une condition préalable à la fonctionnalité de réputation IP des robots. La technique de détection permet aux utilisateurs d’identifier s’il existe une activité malveillante provenant d’une adresse IP entrante. Dans le cadre de la configuration, nous définissons différentes catégories de robots malveillants et associons une action de bot à chacune d’entre elles. Suivez les étapes ci-dessous pour configurer la technique de réputation IP.

  • Accédez àSécurité>Citrix Bot ManagementandProfiles.

  • Sur la pageCitrix Bot Management Profiles, sélectionnez un fichier de signature et cliquez sur Modifier.

  • Sur la pageProfil Citrix Bot Management, accédez à la sectionParamètres de signatureet cliquez surRéputation IP.

  • Dans la section Réputation IP, définissez les paramètres suivants :

    • Activé. Activez cette case à cocher pour valider le trafic de bots entrant dans le cadre du processus de détection.

    • Configurer les catégories. Les utilisateurs peuvent utiliser la technique de réputation IP pour le trafic entrant de bots dans différentes catégories. En fonction de la catégorie configurée, les utilisateurs peuvent supprimer ou rediriger le trafic du bot. Cliquez sur Ajouter pour configurer une catégorie de robots malveillants.

    • Dans la pageConfigurer la liaison de réputation IP du profil Citrix Bot Management, définissez les paramètres suivants :

      • Catégorie. Sélectionnez une catégorie de bots malveillants dans la liste. Associez une action de robot en fonction de la catégorie.

      • Activé. Cochez la case pour valider la détection de signature de réputation IP.

      • Action du bot. En fonction de la catégorie configurée, les utilisateurs ne peuvent attribuer aucune action, suppression, redirection ou action CAPTCHA.

      • Bûche. Activez la case à cocher pour stocker les entrées du journal.

      • Message du journal. Brève description du journal.

      • Commentaires. Brève description de la catégorie de robots.

  • Cliquez sur OK.

  • Cliquez surUpdate.

  • Cliquez surTerminé.

image-vpx-azure-appsecurity-deployment-71

Mise à jour automatique des signatures de robots

La technique de signature statique des bots utilise une table de recherche de signature avec une liste de bons bots et de mauvais robots. Les robots sont classés en fonction de la chaîne de l’agent utilisateur et des noms de domaine. Si la chaîne de l’agent utilisateur et le nom de domaine dans le trafic de bot entrant correspondent à une valeur de la table de recherche, une action de bot configurée est appliquée. Les mises à jour des signatures de bots sont hébergées sur le cloud AWS et la table de recherche de signature communique avec la base de données AWS pour les mises à jour des signatures. Le planificateur de mise à jour automatique des signatures s’exécute toutes les heures pour vérifier la base de données AWS et met à jour la table de signatures dans l’appliance ADC.

L’URL de mise à jour automatique du mappage de signature debot pour configurer les signatures est : Mappage des signatures

Remarque : Les utilisateurs peuvent également configurer un serveur proxy et mettre à jour régulièrement les signatures du cloud AWS vers l’appliance ADC via un proxy. Pour la configuration du proxy, les utilisateurs doivent définir l’adresse IP du proxy et l’adresse du port dans les paramètres du bot.

Configurer la mise à jour automatique des signatures

Pour configurer la mise à jour automatique de la signature du bot, procédez comme suit :

Activer la mise à jour automatique des signatures

Les utilisateurs doivent activer l’option de mise à jour automatique dans les paramètres du bot de l’appliance ADC.

À l’invite de commandes, tapez :

définir les paramètres du bot —SignatureAutoUpdate ON

Configurer la mise à jour automatique de signature de bot à l’aide de l’interface utilisateur

Suivez les étapes suivantes pour configurer la mise à jour automatique de la signature du bot :

  • Accédez àSécurité > Citrix Bot Management.

  • Dans le volet de détails, sousParamètres, cliquez surModifier les paramètres de gestion des robots Citrix.

  • Dans lesparamètres Configurer Citrix Bot Management, cochez la caseSignature de mise à jour automatique.

image-vpx-azure-appsecurity-deployment-72

  • Cliquez surOKet surFermer.

Pour plus d’informations sur la configuration de la réputation IP à l’aide de l’interface de ligne de commande, voir : Configurer la fonctionnalité de réputation IP à l’aide

Références

Pour plus d’informations sur l’utilisation des relaxations fines SQL, voir : Relaxations fines SQL.

Pour plus d’informations sur la façon de configurer le contrôle d’injection SQL à l’aide de la ligne de commande, voir : Contrôle d’injection HTML SQL.

Pour plus d’informations sur la façon de configurer le contrôle d’injection SQL à l’aide de l’interface utilisateur graphique, voir : Utilisation de l’interface utilisateur pour configurer le contrôle de sécurité par injection SQL.

Pour plus d’informations sur l’utilisation de la fonctionnalité Learn avec le contrôle d’injection SQL, voir : Utilisation de la fonctionnalité Learn avec le contrôle d’injection SQL.

Pour plus d’informations sur l’utilisation de la fonction Log avec le contrôle d’injection SQL, voir : Using the Log Feature with the SQL Injection Check.

Pour plus d’informations sur les statistiques relatives aux violations d’injection SQL, voir : Statistiques relatives aux violations d’injection SQL.

Pour plus d’informations sur les points forts de vérification d’injection SQL, voir : Highlights.

Pour plus d’informations sur les vérifications d’injection XML SQL, voir : Contrôle d’injection XML SQL.

Pour plus d’informations sur l’utilisation des relaxations fines de script intersite, voir : Relaxations fines SQL.

Pour plus d’informations sur la configuration des scripts intersites HTML à l’aide de la ligne de commande, voir : Utilisation de la ligne de commande pour configurer le contrôle de script intersite HTML.

Pour plus d’informations sur la configuration des scripts intersites HTML à l’aide de l’interface utilisateur graphique, voir : Utilisation de l’interface graphique pour configurer le contrôle de script intersite HTML.

Pour plus d’informations sur l’utilisation de la fonctionnalité Learn avec la vérification de script intersite HTML, voir : Utilisation de la fonctionnalité Learn avec la vérification de script intersite HTML.

Pour plus d’informations sur l’utilisation de la fonctionnalité de journalisation avec la vérification de script intersite HTML, voir : Utilisation de la fonctionnalité de journal avec la vérification de script intersite HTML.

Pour plus d’informations sur les statistiques relatives aux violations de script intersite HTML, voir : Statistiques relatives aux violations de script intersite HTML.

Pour plus d’informations sur les points forts du script intersite HTML, voir : Points forts.

Pour plus d’informations sur les scripts intersites XML, consultez : Vérification des scripts intersitesXML.

Pour plus d’informations sur l’utilisation de la ligne de commande pour configurer le contrôle de sécurité par débordement de tampon, voir : Utilisation de la ligne de commande pour configurer le contrôle de sécurité par débordement de tampon.

Pour plus d’informations sur l’utilisation de l’interface utilisateur graphique pour configurer le contrôle de sécurité par débordement de tampon, voir : Configurer le contrôle de sécurité par débordement de tampon à Citrix ADC interface utilisateur graphique

Pour plus d’informations sur l’utilisation de la fonction Log avec le contrôle de sécurité Buffer Overflow, voir : Using the Log Feature with the Buffer Overflow Security Check.

Pour plus d’informations sur les statistiques relatives aux violations de débordement de tampon, voir : Statistiques relatives aux violations de débordement de tampon.

Pour plus d’informations sur les points saillants du contrôle de sécurité par débordement de tampon, voir : Points

Pour plus d’informations sur l’ajout ou la suppression d’un objet de signature, voir : Ajouter ou supprimer un objet de signature.

Pour plus d’informations sur la création d’un objet de signature à partir d’un modèle, voir : Pour créer un objet Signatures à partir d’un modèle.

Pour plus d’informations sur la création d’un objet de signatures en important un fichier, voir : Pour créer un objet de signatures en important un fichier.

Pour plus d’informations sur la création d’un objet de signatures en important un fichier à l’aide de la ligne de commande, voir : Pour créer un objet de signatures en important un fichier à l’aide de la ligne de commande.

Pour plus d’informations sur la suppression d’un objet de signatures à l’aide de l’interface graphique, voir : Pour supprimer un objet de signatures à l’aide de l’interface utilisateur graphique

Pour plus d’informations sur la suppression d’un objet de signatures à l’aide de la ligne de commande, voir : Pour supprimer un objet Signatures à l’aide de la ligne de commande.

Pour plus d’informations sur la configuration ou la modification d’un objet de signatures, voir : Configuration ou modification d’un objet de signatures.

Pour plus d’informations sur la mise à jour d’un objet de signature, voir : Mettre à jour un objet de signature.

Pour plus d’informations sur l’utilisation de la ligne de commande pour mettre à jour les signatures du Web Application Firewall à partir de la source, voir : Pour mettre à jour les signatures du Web Application Firewall depuis la source à l’aide de la ligne de commande

Pour plus d’informations sur la mise à jour d’un objet de signatures à partir d’un fichier au format Citrix, voir : Mise à jour d’un objet Signatures à partir d’un fichier

Pour plus d’informations sur la mise à jour d’un objet de signatures à partir d’un outil d’analyse de vulnérabilité pris en charge, voir : Mettre à jour un objet de signatures à partir d’un outil

Pour plus d’informations sur l’intégration des règles Snort, voir : Intégration des règles Snort.

Pour plus d’informations sur la configuration des règles Snort, voir : Configurer les règles de Snort.

Pour plus d’informations sur la configuration de Bot Management à l’aide de la ligne de commande, voir : Configurer Bot Management

Pour plus d’informations sur la configuration des paramètres de gestion des robots pour la technique d’empreinte digitale de l’appareil, voir : Configurer les paramètres de gestion des robots pour la technique

Pour plus d’informations sur la configuration des listes d’autorisation des robots à l’aide de l’interface utilisateur graphique de Citrix ADC, voir : Configurer la liste blanche des robots à l’aide de l’interface graphique

Pour plus d’informations sur la configuration des listes de bots bloqués à l’aide de l’interface utilisateur graphique de Citrix ADC, voir : Configurer la liste noire des robots à l’aide de l’interface utilisateur

Pour plus d’informations sur la configuration de la gestion des robots, voir :Configurer la gestion des robots.

Conditions préalables

Les utilisateurs ont besoin de certaines connaissances préalables avant de déployer une instance Citrix VPX sur Azure :

  • Familiarité avec la terminologie Azure et les détails du réseau. Pour plus d’informations, consultez la terminologie Azure ci-dessus.

  • Connaissance d’une appliance Citrix ADC. Pour des informations détaillées sur l’appliance Citrix ADC, voir :Citrix ADC 13.0.

  • Connaissance de la mise en réseau Citrix ADC. Voir : Networking.

Prérequis Azure

Cette section décrit les conditions préalables que les utilisateurs doivent remplir dans Microsoft Azure et Citrix ADM avant de provisionner des instances Citrix ADC VPX.

Ce document suppose ce qui suit :

  • Les utilisateurs possèdent un compte Microsoft Azure qui prend en charge le modèle de déploiement Azure Resource Manager.

  • Les utilisateurs disposent d’un groupe de ressources dans Microsoft Azure.

Pour plus d’informations sur la façon de créer un compte et d’autres tâches, consultez la documentation Microsoft Azure :Microsoft Azure Documentation.

Limitations

L’exécution de la solution d’équilibrage de charge Citrix ADC VPX sur ARM impose les limitations suivantes :

  • L’architecture Azure ne prend pas en charge les fonctionnalités Citrix ADC suivantes :

    • Mise en cluster

    • IPv6

    • ARP gratuit (GARP)

    • Mode L2 (pontage). Les serveurs virtuels transparents sont pris en charge avec L2 (réécriture MAC) pour les serveurs du même sous-réseau que le SNIP.

    • VLAN balisé

    • Routage dynamique

    • MAC virtuel

    • USIP

    • Trames Jumbo

  • Si les utilisateurs pensent devoir arrêter et désallouer temporairement la machine virtuelle Citrix ADC VPX à tout moment, ils doivent attribuer une adresse IP interne statique lors de la création de la machine virtuelle. S’il n’attribue pas d’adresse IP interne statique, Azure peut attribuer à la machine virtuelle une adresse IP différente chaque fois qu’elle redémarre, et la machine virtuelle peut devenir inaccessible.

  • Dans un déploiement Azure, seuls les modèles Citrix ADC VPX suivants sont pris en charge : VPX 10, VPX 200, VPX 1000 et VPX 3000. Pour plus d’informations, consultez la fiche technique Citrix ADC VPX.

  • Si une instance Citrix ADC VPX avec un numéro de modèle supérieur à VPX 3000 est utilisée, le débit réseau peut ne pas être le même que celui spécifié par la licence de l’instance. Toutefois, d’autres fonctionnalités, telles que le débit SSL et les transactions SSL par seconde, peuvent s’améliorer.

  • L’ « ID de déploiement » généré par Azure lors du provisionnement de la machine virtuelle n’est pas visible par l’utilisateur dans ARM. Les utilisateurs ne peuvent pas utiliser l’ID de déploiement pour déployer l’appliance Citrix ADC VPX sur ARM.

  • L’instance Citrix ADC VPX prend en charge un débit de 20 Mo/s et les fonctionnalités de l’édition standard lorsqu’elle est initialisée.

  • Pour un déploiement XenApp et XenDesktop, un serveur virtuel VPN sur une instance VPX peut être configuré dans les modes suivants :

    • Mode de base, où le paramètre du serveur virtuel ICAOnly VPN est défini sur ON. Le mode de base fonctionne entièrement sur une instance Citrix ADC VPX sans licence.

    • Mode Smart-Access, dans lequel le paramètre de serveur virtuel ICAOnly VPN est défini sur OFF. Le mode Smart-Access ne fonctionne que pour 5 utilisateurs de session NetScaler AAA sur une instance Citrix ADC VPX sans licence.

Remarque :

Pour configurer la fonctionnalité Smart Control, les utilisateurs doivent appliquer une licence Premium à l’instance Citrix ADC VPX.

Modèles et licences pris en charge par Azure-VPX

Dans un déploiement Azure, seuls les modèles Citrix ADC VPX suivants sont pris en charge : VPX 10, VPX 200, VPX 1000 et VPX 3000. Pour plus d’informations, consultez la fiche technique Citrix ADC VPX.

Une instance Citrix ADC VPX sur Azure nécessite une licence. Les options de licence suivantes sont disponibles pour les instances Citrix ADC VPX exécutées sur Azure. Les utilisateurs peuvent choisir l’une des méthodes suivantes pour obtenir une licence Citrix ADC provisionnée par Citrix ADM :

  • Utilisation des licences ADC présentes dans Citrix ADM : configurez la capacité groupée, les licences VPX ou les licences CPU virtuelles lors de la création du groupe autoscale. Ainsi, lorsqu’une nouvelle instance est provisionnée pour un groupe autoscale, le type de licence déjà configuré est automatiquement appliqué à l’instance provisionnée.

    • Capacité groupée : alloue de la bande passante à chaque instance provisionnée dans le groupe de mise à l’échelle automatique. Assurez-vous que les utilisateurs disposent de la bande passante nécessaire dans Citrix ADM pour provisionner de nouvelles instances. Pour plus d’informations, voir : Configurer la capacité groupée.

    Chaque instance ADC du groupe de mise à l’échelle automatique extraire une licence d’instance et la bande passante spécifiée du pool.

    • Licences VPX : applique les licences VPX aux instances nouvellement provisionnées. Assurez-vous que les utilisateurs disposent du nombre nécessaire de licences VPX disponibles dans Citrix ADM pour provisionner de nouvelles instances.

    Lorsqu’une instance Citrix ADC VPX est provisionnée, l’instance extrait la licence du Citrix ADM. Pour plus d’informations, voir : Licences d’enregistrement et de départ Citrix ADC VPX.

    • Licences UC virtuelles : applique des licences de processeur virtuel aux instances nouvellement provisionnées. Cette licence spécifie le nombre de processeurs autorisés à une instance Citrix ADC VPX. Assurez-vous que les utilisateurs disposent du nombre nécessaire de processeurs virtuels dans Citrix ADM pour provisionner de nouvelles instances.

Lorsqu’une instance Citrix ADC VPX est provisionnée, l’instance extrait la licence CPU virtuelle de Citrix ADM. Pour plus d’informations, voir :Licences CPU virtuelles Citrix ADC.

Lorsque les instances provisionnées sont détruites ou déprovisionnées, les licences appliquées sont automatiquement renvoyées à Citrix ADM.

Pour surveiller les licences consommées, accédez à la pageRéseaux>Licences.

Utilisation des licences d’abonnement Microsoft Azure : configurez les licences Citrix ADC disponibles dans Azure Marketplace lors de la création du groupe autoscale. Ainsi, lorsqu’une nouvelle instance est provisionnée pour le groupe de mise à l’échelle automatique, la licence est obtenue à partir de la Place de marché Azure.

Images de machines virtuelles Citrix ADC Azure prises en charge

Images de machines virtuelles Citrix ADC Azure prises en charge pour le provisionnement

Utilisez l’image de la machine virtuelle Azure qui prend en charge au moins trois cartes réseau. Le provisionnement de l’instance Citrix ADC VPX est pris en charge uniquement sur les versions Premium et Advanced. Pour plus d’informations sur les types d’images de machines virtuelles Azure, voir :Tailles de machines virtuelles à usage général.

Voici les tailles de machines virtuelles recommandées pour le Provisioning :

  • Standard_DS3_v2

  • Standard_B2ms

  • Standard_DS4_v2

Instructions relatives à l’utilisation des ports

Les utilisateurs peuvent configurer davantage de règles entrantes et sortantes dans NSG lors de la création de l’instance NetScaler VPX ou après le provisionnement de la machine virtuelle. Chaque règle entrante et sortante est associée à un port public et à un port privé.

Avant de configurer les règles NSG, prenez note des consignes suivantes concernant les numéros de port que les utilisateurs peuvent utiliser :

  1. L’instance NetScaler VPX réserve les ports suivants. Les utilisateurs ne peuvent pas les définir comme des ports privés lorsqu’ils utilisent l’adresse IP publique pour les requêtes provenant d’Internet. Ports 21, 22, 80, 443, 8080, 67, 161, 179, 500, 520, 3003, 3008, 3009, 3010, 3011, 4001, 5061, 9000, 7000. Toutefois, si les utilisateurs souhaitent que les services Internet tels que le VIP utilisent un port standard (par exemple, le port 443), ils doivent créer un mappage de port à l’aide du NSG. Le port standard est ensuite mappé à un port différent qui est configuré sur Citrix ADC VPX pour ce service VIP. Par exemple, un service VIP peut s’exécuter sur le port 8443 sur l’instance VPX mais être mappé sur le port public 443. Ainsi, lorsque l’utilisateur accède au port 443 via l’IP publique, la requête est dirigée vers le port privé 8443.

  2. L’adresse IP publique ne prend pas en charge les protocoles dans lesquels le mappage de port est ouvert dynamiquement, tels que FTP passif ou ALG.

  3. La haute disponibilité ne fonctionne pas pour le trafic qui utilise une adresse IP publique (PIP) associée à une instance VPX, au lieu d’un PIP configuré sur l’équilibreur de charge Azure. Pour plus d’informations, voir :Configurer une configuration haute disponibilité avec une adresse IP unique et une seule carte réseau.

  4. Dans un déploiement NetScaler Gateway, les utilisateurs n’ont pas besoin de configurer une adresse SNIP, car le NSIP peut être utilisé comme SNIP lorsqu’aucun SNIP n’est configuré. Les utilisateurs doivent configurer l’adresse VIP en utilisant l’adresse NSIP et un numéro de port non standard. Pour la configuration de rappel sur le serveur principal, le numéro de port VIP doit être spécifié avec l’URL VIP (par exemple, url : port).

    Remarque :

    • Dans Azure Resource Manager, une instance Citrix ADC VPX est associée à deux adresses IP : une adresse IP publique (PIP) et une adresse IP interne. Pendant que le trafic externe se connecte au PIP, l’adresse IP interne ou le NSIP n’est pas routable. Pour configurer un VIP dans VPX, utilisez l’adresse IP interne (NSIP) et l’un des ports libres disponibles. N’utilisez pas le PIP pour configurer un VIP.

    • Par exemple, si le NSIP d’une instance Citrix ADC VPX est 10.1.0.3 et qu’un port libre disponible est 10022, les utilisateurs peuvent configurer un VIP en fournissant la combinaison 10.1.0. 3:10022 (adresse NSIP+port).

Guide de déploiement de Citrix ADC VPX sur Azure

Dans cet article