Sécurité Edge

Les fonctionnalités de sécurité Citrix SD-WAN Edge permettent une sécurité avancée sur les appliances de succursale Citrix SD-WAN. Il simplifie la gestion de la sécurité des informations pour protéger le réseau des succursales contre les menaces Internet en fournissant un volet de gestion et de reporting unique pour diverses fonctionnalités de sécurité ainsi que le SD-WAN. Il élimine le besoin de plusieurs solutions de succursale en consolidant les capacités de routage, de SD-WAN et de sécurité sur une seule appliance et réduit la complexité et les coûts du réseau.

La pile de sécurité Edge inclut les fonctionnalités de sécurité suivantes :

  • Filtrage Web
  • Anti-Malware
  • Prévention des intrusions

La fonctionnalité de sécurité Edge est disponible sur les appliances Citrix SD-WAN Advanced Edition. Pour plus d’informations sur les éditions, consultez Citrix SD-WAN Platform Editions et Prise en charge du logiciel Citrix SD-WAN Platform. Pour plus d’informations sur les appliances prises en charge, consultez la fiche technique Citrix SD-WAN.

Remarque

Citrix SD-WAN Advanced Edition est pris en charge sur l’appliance Citrix SD-WAN 1100. Les appliances Citrix SD-WAN 210 Standard Edition (SE) et 210 SE LTE prennent désormais en charge les fonctionnalités Advanced Edge Security avec des licences complémentaires de sécurité avancée.

Étant donné que la fonctionnalité de sécurité Edge est sensible au calcul, Citrix vous conseille d’utiliser l’appliance Advanced Edition uniquement sur les sites de succursales qui n’ont pas encore de solution de pare-feu de nouvelle génération.

Lors de la configuration d’un site de succursale doté des fonctionnalités de sécurité Edge, assurez-vous qu’un modèle de périphérique prenant en charge Advanced Edition est sélectionné et que l’Édition de périphérique est AE. Pour plus d’informations sur l’ajout et la configuration d’un site, consultez Paramètres de base.

Paramètres de base de la configuration du site

Citrix SD-WAN Orchestrator vous permet de définir des profils de sécurité pour les fonctionnalités de sécurité Edge et d’associer ces profils de sécurité à des stratégies de pare-feu. Les stratégies de pare-feu sont améliorées pour accepter les paramètres des profils de sécurité qui spécifient les fonctionnalités de sécurité avancées.

Remarque

Vous pouvez créer des profils de sécurité et configurer des fonctionnalités de sécurité Edge via SD-WAN Orchestrator uniquement.

Profils de sécurité

Un profil de sécurité est un ensemble d’options de sécurité de périphérie spécifiques qui est appliqué à un segment spécifique de trafic défini par une stratégie de pare-feu. L’intention est de protéger le trafic contre les menaces à la sécurité. Par exemple, vous pouvez définir des profils de sécurité avec différents niveaux de sécurité et droits d’accès pour différents segments de votre réseau. Vous pouvez activer et configurer les paramètres de filtrage Web, de lutte contre les programmes malveillants et de prévention des intrusions pour chaque profil de sécurité.

Les profils de sécurité sont ensuite associés aux stratégies de pare-feu pour définir les critères du trafic à inspecter. Par exemple, dans une organisation, vous pouvez créer différents profils de sécurité pour les sous-réseaux d’employés et les zones de pare-feu invité. Vous pouvez ensuite affecter le profil de sécurité à une stratégie de pare-feu appropriée qui correspond respectivement au trafic des employés et des invités.

Pour créer un profil de sécurité, au niveau du réseau, accédez à Configuration > Sécurité > Profil de sécurité et cliquez sur Nouveau profil de sécurité.

Profil de sécurité

Fournissez un nom et une description pour le profil de sécurité. Activez et configurez les paramètres de filtrage Web, de lutte contre les programmes malveillants et de prévention des intrusions selon les besoins.

Profil de sécurité

Filtrage Web

Le filtrage Web vous permet de filtrer les sites Web auxquels vos utilisateurs du réseau accèdent via une base de données de catégorisation qui comprend environ 32 milliards d’URL et 750 millions de domaines. Il peut empêcher l’exposition à des sites inappropriés, aux logiciels espions, au phishing, au pharming, à la redirection de sites Web et à d’autres menaces Internet. Il peut également appliquer des politiques Internet, empêchant l’accès aux médias sociaux, la communication entre pairs, les jeux de hasard et d’autres sites fréquemment interdits par les politiques de l’entreprise. Web Filter surveille le trafic Internet sur votre réseau et le filtre en enregistrant les activités Web et en signalant ou bloquant également le contenu inapproprié.

Lorsque vous visitez un site Web et que le filtrage Web est activé, l’URL est envoyée à une base de données cloud pour la catégorisation.

Remarque

Configurez un serveur DNS valide et activez l’accès Internet HTTPS via l’interface de gestion SD-WAN. Cela rend la base de données cloud accessible pour que le filtrage Web puisse fonctionner.

Le résultat de catégorisation est ensuite mis en cache sur l’appliance SD-WAN afin d’augmenter la vitesse de traitement des demandes futures. Le résultat est ensuite utilisé pour marquer, bloquer ou autoriser les sites Web sans augmenter le temps de chargement. Vous pouvez ajouter des règles pour bloquer ou contourner les sites non catégorisés ou mal classés, ou pour configurer des exceptions. Vous pouvez également contourner le filtrage Web pour des adresses IP ou des sous-réseaux utilisateur spécifiques.

Catégorie de bloc/drapeau

Vous pouvez marquer ou bloquer différentes catégories de sites Web. Le filtrage Web classe les URL en six catégories : ressources informatiques, Divers, Confidentialité, Productivité, Sécurité et Sensible. Chacun de ces groupes a des catégories d’URL différentes. Lorsque vous choisissez l’option de bloc, il signale implicitement le site Web aussi. Lorsque vous essayez d’accéder à un site Web d’une catégorie bloquée, il est marqué comme une violation et le site Web est bloqué. Les catégories marquées vous permettent d’accéder aux sites Web, mais l’événement est marqué comme une violation. Vous pouvez afficher les détails dans les journaux de sécurité ou les rapports.

Catégorie de bloc/drapeau

Bloc/Signaler les sites

Vous pouvez ajouter des règles pour bloquer ou marquer des sites spécifiques autorisés par les paramètres de la section Catégories. Vous pouvez également bloquer ou marquer les sites non catégorisés ou non catégorisés. Entrez le nom de domaine fournissez une description et sélectionnez Bloquer ou Indicateur. Les décisions relatives aux URL dans la liste Bloc/Sites de signalisations ont priorité sur les décisions basées sur la catégorie de site.

Remarque

  • Vous ne pouvez ajouter que des noms de domaine complets (FQDN), par exemple - somedomain.com. Vous ne pouvez pas ajouter de chemins d’URL, par exemple - somedomain.com/path/to/file.
  • Tout domaine ajouté aux sites de blocage/d’indicateur inclut également ses sous-domaines. Par exemple, l’ajout de domain.com bloquera ou signale subdomain1.domain.com, subdomain2.domain.com et subdomainlevel2.subdomainlevel1.domain.com.

URL de bloc/drapeau

Sites de contournement

Vous pouvez ajouter des règles pour autoriser des sites spécifiques dans des catégories bloquées. Tout domaine ajouté à la liste des sites de contournement est autorisé, même s’il est bloqué par catégorie ou par URL individuelle. Entrez le nom de domaine et fournissez une description. Sélectionnez Actif pour autoriser l’URL.

Remarque

  • Vous ne pouvez ajouter que des noms de domaine complets (FQDN), par exemple - somedomain.com. Vous ne pouvez pas ajouter de chemins d’URL, par exemple - somedomain.com/path/to/file.
  • Tout domaine ajouté aux sites de contournement inclut également ses sous-domaines. Par exemple, l’ajout de domain.com contourne subdomain1.domain.com, subdomain2.domain.com et subdomainlevel2.subdomainlevel1.domain.com.

Sites de contournement

Contourner les adresses IP du client

Vous pouvez ajouter des règles pour contourner le filtrage Web pour des adresses IP ou des sous-réseaux spécifiques. Vous pouvez fournir une adresse IP ou une notation CIDR de sous-réseau et une description significative. Le filtre Web ne bloque aucun trafic, quels que soient les catégories ou les sites bloqués. Sélectionnez Actif pour autoriser le trafic à partir de ces adresses IP.

Remarque

Étant donné que les adresses IP DHCP peuvent changer, utilisez cette fonctionnalité uniquement pour les clients disposant d’adresses IP statiques ou de sous-réseaux.

Contourner les adresses IP du client

Options avancées

Traiter le trafic HTTPS par indication de nom de serveur (SNI)

SNI est une extension du protocole TLS (Transport Layer Security) par lequel un client indique le nom du site Web auquel l’utilisateur tente de se connecter au début du processus de connexion sécurisée.

Cela permet non seulement au serveur de fournir le bon certificat, mais également à l’appliance SD-WAN d’identifier le site Web cible et de déterminer sa catégorie d’URL, même si la communication de bout en bout est chiffrée. Si cette option est activée, le trafic HTTPS est catégorisé à l’aide du SNI dans le flux de données HTTPS, le cas échéant.

Remarque

L’option Traiter le trafic HTTPS par SNI est activée par défaut.

Options de blocage

  • Bloc QUIC (UDP port 443) : le pare-feu bloque toute communication sortante sur le port UDP 443, qui est généralement utilisé pour le protocole QUIC, qui ne peut pas être traité par le module de filtrage Web. Le blocage de QUIC entraîne le retour du navigateur à la communication HTTP (S) basée sur TCP.

  • Passer si le référent correspond à un site de contournement : si une page contenant du contenu externe est autorisée via l’URL de contournement, le contenu externe est transmis indépendamment des autres stratégies de blocage.

    Remarque

    Bien que cette option vous permet d’accéder aux sites Web externes, elle expose un risque de sécurité. L’option de référence dans l’en-tête HTTP peut être remplacée par des modules complémentaires et des plug-ins de navigateur. Citrix vous conseille d’utiliser cette option judicieusement.

  • Fermer la connexion pour les sessions HTTPS bloquées sans rediriger vers la page de blocage : l’appliance SD-WAN émet une redirection HTTP vers une page de bloc personnalisée au cas où l’URL est bloquée. Toutefois, cette redirection n’est pas possible pour les sessions HTTPS sans entraîner une fin de session Mi-in-the-Middle (MiTM), affichant une page d’avertissement du navigateur de certificats non valide. Cette option entraîne la fin de la session HTTPS à la place, afin d’éviter un faux avertissement concernant une attaque potentielle sur le site Web cible.

    Remarque

    Cette option est activée par défaut.

  • URL personnalisée pour le bloc : Définissez un emplacement de serveur externe pour rediriger les utilisateurs lorsqu’un filtre Web leur refuse l’accès à un site Web. Si une URL personnalisée est configurée, les variables de chaîne de requête suivantes sont transmises afin que le système de réception puisse personnaliser son contenu.

    • raison : la raison pour laquelle l’utilisateur s’est vu refuser l’accès. Il s’agit du nom de la catégorie Web-based+E-mailet d’une description de catégorie plus longue. Par exemple, sites+offre+web+based+email+et+email+clients (les espaces sont remplacés par « + ») dans le cas où le site était bloqué en raison de sa catégorie. Sinon, si bloqué en raison de « blocs URL », il est vide.

    • appname : application responsable du déni (filtrage Web).

    • appid : l’identifiant de l’application, un identifiant interne pour le filtrage Web qui peut être ignoré).

    • host : nom de domaine de l’URL à laquelle l’utilisateur final s’est vu refuser l’accès.

    • ClientAddress : adresse IP de l’utilisateur final auquel l’accès a été refusé.

    • url : URL demandée à laquelle l’accès a été refusé.

Remarque

Si vous n’utilisez pas votre propre page Web pour traiter le déni, le déni intégré émet une redirection vers une adresse IP non routable.

URL personnalisée pour le bloc

Vous pouvez afficher des rapports détaillés de filtrage Web sur Citrix SD-WAN Orchestrator. Pour plus de détails, voir Rapports — Filtrage Web

Prévention des intrusions

La prévention des intrusions détecte et empêche les activités malveillantes sur votre réseau. Il comprend une base de données de plus de 34 000 détections de signatures et signatures heuristiques pour les analyses de ports, ce qui vous permet de surveiller et de bloquer efficacement la plupart des demandes suspectes. Vous pouvez choisir d’activer ou de désactiver la prévention des intrusions lors de la définition d’un profil de sécurité, mais les règles de prévention des intrusions sont communes à tous les profils de sécurité. Vous pouvez créer et gérer des règles de prévention des intrusions, à partir de Configuration > Sécurité > Prévention des intrusions. Pour plus d’informations, reportez-vous à la section Prévention des intrusions.

Remarque

La prévention des intrusions détecte uniquement le trafic malveillant sur le trafic capturé par les stratégies de pare-feu respectives.

URL personnalisée pour le bloc

Vous pouvez afficher des rapports détaillés sur la prévention des intrusions sur Citrix SD-WAN Orchestrator. Pour plus de détails, voir Rapports — Prévention des intrusions.

Anti-Malware

Edge Security Anti-Malware analyse et élimine les virus, chevaux de Troie et autres logiciels malveillants. Anti-Malware peut analyser le trafic HTTP, FTP et SMTP sur votre réseau et l’examiner par rapport à une base de données de signatures et de modèles de fichiers connus pour détecter l’infection. Si aucune infection n’est détectée, le trafic est envoyé au destinataire. Si une infection est détectée, Anti-Malware supprime ou met en quarantaine le fichier infecté et en informe l’utilisateur.

Anti-Malware utilise le moteur de Bitdefender pour analyser les fichiers téléchargés à l’aide d’une combinaison de base de données de signatures, d’heuristiques pour les modèles suspects et d’analyse dynamique d’émulateurs. Les fichiers de téléchargement sont bloqués si l’un de ces tests échoue.

Contourner les URL sans numérisation

Vous pouvez contourner l’analyse Anti-Malware pour les sites internes de confiance ou les sites externes qui sont utilisés pour des mises à jour régulières, génèrent plus de trafic et sont considérés comme sûrs. En autorisant les sites de confiance à passer sans analyse, vous pouvez réduire les ressources consacrées à l’analyse de ces sites.

Entrez l’URL, fournissez une brève description et ajoutez l’URL à la liste des URL de contournement.

Contourner l'URL sans numérisation

Analyse par type de fichier

Anti-Malware prend en charge par défaut l’analyse de 41 extensions de type fichier dans le trafic HTTP. L’analyse anti-programme malveillant implique une analyse approfondie à l’aide de signatures, d’heuristiques et d’émulations, ce qui en fait un processus sensible au calcul. Vous pouvez choisir d’exclure certaines extensions de nom de fichier de l’analyse Anti-Malware. Désactivez les types de fichiers qui n’ont pas besoin d’être analysés.

Remarque

Les types de fichiers sélectionnés par défaut établisse un équilibre entre l’efficacité de la lutte contre les programmes malveillants et les performances du système. Activer davantage de types de fichiers, augmenter la charge de traitement de la sécurité Edge et compromettre la capacité globale du système.

Analyse par type de fichier

Analyse par types MIME

Un type MIME (Multipurpose Internet Mail Extension) est une norme Internet qui décrit le contenu d’un fichier Internet en fonction de la nature et du format. Comme pour les types de fichiers, vous pouvez choisir d’exclure certains types MIME de l’analyse Anti-Malware. Vous pouvez choisir d’exclure certains types MIME de l’analyse en les effacant.

Remarque

Les types MIME sélectionnés par défaut sont choisis pour équilibrer l’efficacité de la lutte contre les programmes malveillants et la capacité du système. L’activation d’un plus grand nombre de types de fichiers augmente la charge de traitement de la sécurité Edge et compromet la capacité globale du système.

Scanner par types mime

Autres options d’analyse

Vous pouvez choisir d’activer ou de désactiver les analyses anti-programme malveillant sur les protocoles Internet suivants :

  • Analyse HTTP : Activer l’analyse anti-programme malveillant sur le trafic HTTP.

  • Scan FTP : Activer l’analyse anti-malware sur les téléchargements FTP.

  • Analyser SMTP : activez l’analyse anti-programme malveillant sur les pièces jointes des messages SMTP et choisissez l’action à effectuer.

    • Supprimer l’infection : La pièce jointe infectée est supprimée et l’e-mail est remis au destinataire.

    • Message de transmission : l’e-mail est remis au destinataire avec la pièce jointe intacte.

    Remarque

    Pour les actions Supprimer l’infection et Passer le message, la ligne d’objet de l’e-mail est précédée de “[VIRUS]”.

    • Bloquer le message : l’e-mail est bloqué et n’est pas remis au destinataire.

Autres options d'analyse

Vous pouvez afficher des rapports détaillés d’analyse Anti-Malware sur Citrix SD-WAN Orchestrator. Pour plus de détails, reportez-vous à la section Rapports — Anti-Malware.

Stratégie de pare-feu de sécurité Edge

Les fonctionnalités de sécurité Edge sont déclenchées à l’aide de stratégies de pare-feu. Vous pouvez définir une stratégie de pare-feu pour le protocole IP de type de correspondance et la mapper à un profil de sécurité. Si le trafic entrant correspond aux critères de filtrage, une action d’inspection est déclenchée et les capacités de sécurité, configurées selon le profil de sécurité sélectionné, sont appliquées.

Citrix SD-WAN évalue les stratégies de pare-feu d’une manière « première correspondance », où la première stratégie correspondante détermine l’action. Les stratégies de pare-feu doivent être configurées dans l’ordre suivant :

  1. Protocole IP, Office 365 et stratégies de pare-feu d’application DNS avec action non inspectée
  2. Stratégies de pare-feu de sécurité Edge (stratégies de pare-feu de protocole IP avec action d’inspection)
  3. Stratégies de pare-feu application

Pour configurer une stratégie de pare-feu et activer la sécurité des tronçons, accédez à Configuration > Sécurité > Profils de pare-feu et ajoutez un profil en fonction de vos préférences. Cliquez sur Créer une nouvelle règle. Sélectionnez le type de correspondance en tant que protocole IP et configurez les critères de filtrage. Pour plus d’informations, consultez Profils de pare-feu. Sélectionnez l’action Inspecter (pour le protocole IP) et sélectionnez un profil de sécurité.

Stratégie de pare-feu de sécurité Edge

Remarque

Bien qu’il n’y ait aucune limite sur le nombre de profils de sécurité que vous pouvez créer, vous ne pouvez affecter qu’à un site jusqu’à 32 stratégies de pare-feu Inspecter.

Limitations

  • Le téléchargement du logiciel de l’appliance prend plus de temps pour les appliances Citrix SD-WAN Standard Edition (SE) mises à niveau vers Advanced Edition (AE). Le sous-système Edge Security des appliances AE est fourni séparément afin d’éviter tout impact sur la taille du téléchargement pour les appliances SE.
  • Le filtrage Web Citrix SD-WAN Edge Security ne peut vérifier que l’indication de nom de serveur (SNI) pour les sites HTTPS afin de décider s’il faut bloquer, marquer ou autoriser le trafic.
  • La prise en charge du serveur syslog externe n’est pas disponible via Orchestrator pour Citrix SD-WAN Edge Security.

Sujets connexes

Sécurité Edge