アジュールにおける Citrix ADC VPX 展開ガイド

概要

Citrix ADCは、Web、従来の、およびクラウドネイティブなアプリケーションがどこでホストされているかに関わらず、高品質なユーザーエクスペリエンスを提供するアプリケーション配信および負荷分散ソリューションです。多様なフォームファクターと展開オプションが用意されており、ユーザーを単一の構成やクラウドに縛り付けることはありません。プールされたキャパシティライセンスにより、クラウド展開間でのキャパシティの移動が可能になります。

サービスおよびアプリケーション配信の揺るぎないリーダーとして、Citrix ADCは世界中の何千ものネットワークに展開され、すべてのエンタープライズおよびクラウドサービスの配信を最適化、保護、制御しています。Webサーバーおよびデータベースサーバーの直前に展開されるCitrix ADCは、高速ロードバランシングとコンテンツスイッチング、HTTP圧縮、コンテンツキャッシュ、SSLアクセラレーション、アプリケーションフローの可視化、強力なアプリケーションファイアウォールを統合された使いやすいプラットフォームに組み合わせています。ネットワークデータを実用的なビジネスインテリジェンスに変換するエンドツーエンドの監視機能により、SLAの達成は大幅に簡素化されます。Citrix ADCは、プログラミングの専門知識を必要としないシンプルな宣言型ポリシーエンジンを使用してポリシーを定義および管理できます。

シトリックス ADC VPX

Citrix ADC VPX製品は、多様な仮想化プラットフォームおよびクラウドプラットフォームでホストできる仮想アプライアンスです。

この展開ガイドは、Azure上のCitrix ADC VPXに焦点を当てています。

マイクロソフト アジュール

• Microsoft Azureは、組織がビジネス上の課題を解決するのに役立つ、絶えず拡大するクラウドコンピューティングサービスのセットです。Azureは、ユーザーが好みのツールとフレームワークを使用して、大規模なグローバルネットワーク上でアプリケーションを構築、管理、展開する自由を提供します。Azureを使用すると、ユーザーは次のことができます。

• Microsoftからの継続的なイノベーションにより、今日の開発と明日の製品ビジョンをサポートし、将来に備えることができます。

• オンプレミス、クラウド、エッジでハイブリッドクラウドをシームレスに運用できます。Azureはユーザーがいる場所で対応します。

• Azureのオープンソースへのコミットメントとすべての言語およびフレームワークのサポートにより、ユーザーは望むように構築し、望む場所に展開する自由を得て、自身の条件で構築できます。

• 専門家チームと、企業、政府、スタートアップ企業から信頼されているプロアクティブで業界をリードするコンプライアンスに支えられた、ゼロからのセキュリティでクラウドを信頼できます。

アジュール用語

以下に、このドキュメントで使用されている、ユーザーが熟知しておくべき主要な用語の簡単な説明を示します。

• Azure Load Balancer – Azure Load Balancerは、ネットワーク内のコンピューター間で受信トラフィックを分散するリソースです。トラフィックは、ロードバランサーセットで定義された仮想マシン間で分散されます。ロードバランサーは、外部またはインターネットに面している場合もあれば、内部である場合もあります。

• Azure Resource Manager (ARM) – ARMは、Azureのサービス向けの新しい管理フレームワークです。Azure Load Balancerは、ARMベースのAPIとツールを使用して管理されます。

• バックエンドアドレスプール – これらは、負荷が分散される仮想マシンのNICに関連付けられたIPアドレスです。

• BLOB - Binary Large Object – Azureストレージに保存できるファイルや画像などのバイナリオブジェクト。

• フロントエンドIP構成 – Azure Load Balancerには、仮想IP (VIP) とも呼ばれる1つ以上のフロントエンドIPアドレスを含めることができます。これらのIPアドレスは、トラフィックのイングレスとして機能します。

• インスタンスレベルパブリックIP (ILPIP) – ILPIPは、ユーザーが仮想マシンまたはロールインスタンスが常駐するクラウドサービスではなく、仮想マシンまたはロールインスタンスに直接割り当てることができるパブリックIPアドレスです。これは、クラウドサービスに割り当てられているVIP (仮想IP) の代わりになるものではありません。むしろ、仮想マシンまたはロールインスタンスに直接接続するために使用できる追加のIPアドレスです。

注:

以前は、ILPIPはPIP (パブリックIPの略) と呼ばれていました。

• インバウンドNATルール – ロードバランサー上のパブリックポートを、バックエンドアドレスプール内の特定の仮想マシンのポートにマッピングするルールが含まれています。

• IP構成 - 個々のNICに関連付けられたIPアドレスペア (パブリックIPとプライベートIP) として定義できます。IP構成では、パブリックIPアドレスはNULLにすることができます。各NICには複数のIP構成を関連付けることができ、最大255個まで可能です。

• ロードバランシングルール – 指定されたフロントエンドIPとポートの組み合わせを、バックエンドIPアドレスとポートの組み合わせのセットにマッピングするルールプロパティです。ロードバランサーリソースの単一の定義で、ユーザーは複数のロードバランシングルールを定義でき、各ルールは仮想マシンに関連付けられたフロントエンドIPとポート、およびバックエンドIPとポートの組み合わせを反映します。

• ネットワークセキュリティグループ (NSG) – NSGには、仮想ネットワーク内の仮想マシンインスタンスへのネットワークトラフィックを許可または拒否するアクセス制御リスト (ACL) ルールが含まれています。NSGは、サブネットまたはそのサブネット内の個々の仮想マシンインスタンスに関連付けることができます。NSGがサブネットに関連付けられている場合、ACLルールはそのサブネット内のすべての仮想マシンインスタンスに適用されます。さらに、個々の仮想マシンへのトラフィックは、NSGをその仮想マシンに直接関連付けることで、さらに制限することができます。

• プライベートIPアドレス – Azure仮想ネットワーク内での通信、およびVPNゲートウェイを使用してユーザーネットワークをAzureに拡張する場合のユーザーオンプレミスネットワークで使用されます。プライベートIPアドレスを使用すると、Azureリソースは、インターネットから到達可能なIPアドレスを使用せずに、VPNゲートウェイまたはExpressRoute回線を通じて、仮想ネットワークまたはオンプレミスネットワーク内の他のリソースと通信できます。Azure Resource Managerデプロイモデルでは、プライベートIPアドレスは、仮想マシン、内部ロードバランサー (ILB)、およびアプリケーションゲートウェイという次の種類のAzureリソースに関連付けられています。

• プローブ – バックエンドアドレスプール内の仮想マシンインスタンスの可用性を確認するために使用されるヘルスプローブが含まれています。特定の仮想マシンが一定期間ヘルスプローブに応答しない場合、その仮想マシンはトラフィック処理から除外されます。プローブを使用すると、ユーザーは仮想インスタンスの正常性を追跡できます。ヘルスプローブが失敗した場合、仮想インスタンスは自動的にローテーションから除外されます。

• パブリックIPアドレス (PIP) – PIPは、Azureのパブリック向けサービスを含むインターネットとの通信に使用され、仮想マシン、インターネットに面したロードバランサー、VPNゲートウェイ、およびアプリケーションゲートウェイに関連付けられています。

• リージョン - 国境を越えず、1つ以上のデータセンターを含む地理的領域。価格設定、リージョンサービス、および提供タイプはリージョンレベルで公開されます。リージョンは通常、数百マイル離れた別のリージョンとペアになり、リージョンペアを形成します。リージョンペアは、災害復旧および高可用性シナリオのメカニズムとして使用できます。一般的にロケーションとも呼ばれます。

• リソースグループ - アプリケーションの関連リソースを保持するResource Manager内のコンテナ。リソースグループには、アプリケーションのすべてのリソースを含めることも、論理的にグループ化されたリソースのみを含めることもできます。

• ストレージアカウント – Azureストレージアカウントは、Azure Storage内のAzure BLOB、キュー、テーブル、およびファイルサービスへのアクセスをユーザーに提供します。ユーザーのストレージアカウントは、ユーザーのAzureストレージデータオブジェクトに一意の名前空間を提供します。

• 仮想マシン – オペレーティングシステムを実行する物理コンピューターのソフトウェア実装。複数の仮想マシンを同じハードウェア上で同時に実行できます。Azureでは、仮想マシンはさまざまなサイズで利用できます。

• 仮想ネットワーク - Azure仮想ネットワークは、クラウド内のユーザーネットワークの表現です。これは、ユーザーサブスクリプション専用のAzureクラウドの論理的な分離です。ユーザーは、このネットワーク内のIPアドレスブロック、DNS設定、セキュリティポリシー、およびルートテーブルを完全に制御できます。ユーザーは、VNetをさらにサブネットに分割し、Azure IaaS仮想マシンとクラウドサービス (PaaSロールインスタンス) を起動することもできます。また、ユーザーはAzureで利用可能な接続オプションのいずれかを使用して、仮想ネットワークをオンプレミスネットワークに接続できます。要するに、ユーザーはAzureが提供するエンタープライズ規模のメリットを享受しつつ、IPアドレスブロックを完全に制御して、ネットワークをAzureに拡張できます。

Azure 上のシトリックス WAF の論理フロー

図1: アジュール上のシトリックス WAF の論理図

論理フロー

Webアプリケーションファイアウォールは、通常、顧客企業のルーターまたはファイアウォールの背後で、顧客サーバーと顧客ユーザー間のレイヤー3ネットワークデバイスまたはレイヤー2ネットワークブリッジとしてインストールできます。ユーザーが保護したいWebサーバーと、ユーザーがそれらのWebサーバーにアクセスするハブまたはスイッチとの間のトラフィックを傍受できる場所にインストールする必要があります。その後、ユーザーは、Webサーバーに直接ではなくWebアプリケーションファイアウォールにリクエストを送信し、ユーザーに直接ではなくWebアプリケーションファイアウォールに応答を送信するようにネットワークを構成します。Webアプリケーションファイアウォールは、内部ルールセットとユーザーの追加および変更の両方を使用して、そのトラフィックを最終的な宛先に転送する前にフィルタリングします。有害と検出されたアクティビティをブロックまたは無害化し、残りのトラフィックをWebサーバーに転送します。上記の図 (図1) は、フィルタリングプロセスの概要を示しています。

注: この図では、受信トラフィックへのポリシーの適用は省略されています。これは、すべてのリクエストを処理するポリシーであるセキュリティ構成を示しています。また、この構成では、シグネチャオブジェクトが構成され、プロファイルに関連付けられており、セキュリティチェックがプロファイルで構成されています。図が示すように、ユーザーが保護されたWebサイトでURLをリクエストすると、Webアプリケーションファイアウォールはまずリクエストを検査し、シグネチャと一致しないことを確認します。リクエストがシグネチャと一致する場合、Webアプリケーションファイアウォールはエラーオブジェクト (Webアプリケーションファイアウォールアプライアンス上にあり、ユーザーがインポート機能を使用して構成できるWebページ) を表示するか、指定されたエラーURL (エラーページ) にリクエストを転送します。

リクエストがシグネチャ検査を通過すると、Webアプリケーションファイアウォールは有効になっているリクエストセキュリティチェックを適用します。リクエストセキュリティチェックは、リクエストがユーザーのWebサイトまたはWebサービスに適しており、脅威となる可能性のあるコンテンツが含まれていないことを確認します。たとえば、セキュリティチェックは、リクエストが予期しないタイプである可能性、予期しないコンテンツを要求する可能性、または予期しない悪意のあるWebフォームデータ、SQLコマンド、スクリプトを含む可能性を示す兆候がないかリクエストを検査します。リクエストがセキュリティチェックに失敗した場合、WebアプリケーションファイアウォールはリクエストをサニタイズしてCitrix ADCアプライアンス (またはCitrix ADC仮想アプライアンス) に送り返すか、エラーオブジェクトを表示します。リクエストがセキュリティチェックを通過すると、Citrix ADCアプライアンスに送り返され、Citrix ADCアプライアンスは他の処理を完了し、リクエストを保護されたWebサーバーに転送します。

WebサイトまたはWebサービスがユーザーに応答を送信すると、Webアプリケーションファイアウォールは有効になっている応答セキュリティチェックを適用します。応答セキュリティチェックは、機密性の高い個人情報の漏洩、Webサイト改ざんの兆候、または存在すべきではないその他のコンテンツがないか応答を検査します。応答がセキュリティチェックに失敗した場合、Webアプリケーションファイアウォールは存在すべきではないコンテンツを削除するか、応答をブロックします。応答がセキュリティチェックを通過すると、Citrix ADCアプライアンスに送り返され、Citrix ADCアプライアンスはそれをユーザーに転送します。

ユースケース

各サービスを個別の仮想アプライアンスとしてデプロイする必要がある代替ソリューションと比較して、Azure上のCitrix ADCは、L4ロードバランシング、L7トラフィック管理、サーバーオフロード、アプリケーションアクセラレーション、アプリケーションセキュリティ、およびその他の重要なアプリケーション配信機能を単一のVPXインスタンスに統合し、Azure Marketplaceを通じて便利に利用できます。さらに、すべてが単一のポリシーフレームワークによって管理され、オンプレミスのCitrix ADCデプロイメントを管理するために使用されるのと同じ強力なツールセットで管理されます。その結果、Azure上のCitrix ADCは、今日の企業の差し迫ったニーズをサポートするだけでなく、レガシーコンピューティングインフラストラクチャからエンタープライズクラウドデータセンターへの継続的な進化もサポートする、いくつかの魅力的なユースケースを可能にします。

展開タイプ

マルチNICマルチIP展開 (3NIC展開)

• 一般的な展開

  • スタイルブック駆動

  • ADMを使用

    • GSLB を使用 (Azure トラフィック管理 (TM) ドメイン登録なし)

    • ライセンス - プール/マーケットプレイス

• ユースケース

  • マルチNICマルチIP (3NIC) 展開は、データトラフィックと管理トラフィックの真の分離を実現するために使用されます。

  • マルチNICマルチIP (3NIC) 展開は、ADCのスケールとパフォーマンスも向上させます。

  • マルチNICマルチIP (3NIC) 展開は、スループットが通常1 Gbps以上であり、3NIC展開が推奨されるネットワークアプリケーションで使用されます。

高可用性 (HA) のためのマルチNICマルチIP (3NIC) 展開

セキュリティ、冗長性、可用性、容量、スケーラビリティが重要となる本番環境に展開する場合、顧客は3NIC展開を使用する可能性があります。この展開方法では、複雑さと管理の容易さはユーザーにとって重要な懸念事項ではありません。

Azure リソースマネージャー テンプレート展開

顧客は、展開をカスタマイズする場合、または展開を自動化する場合に、ARM (Azure Resource Manager) テンプレートを使用して展開します。

ARM (アジュール リソース マネージャー) テンプレート

Citrix ADC ARM (Azure Resource Manager) テンプレートのGitHubリポジトリには、Microsoft Azure Cloud ServicesにCitrix ADCを展開するためのCitrix ADCカスタムテンプレートがホストされています。このリポジトリ内のすべてのテンプレートは、Citrix ADCエンジニアリングチームによって開発および保守されています。

このリポジトリ内の各テンプレートには、そのテンプレートの使用法とアーキテクチャを説明するドキュメントが併置されています。これらのテンプレートは、Citrix ADC VPXの推奨される展開アーキテクチャを体系化するか、ユーザーにCitrix ADCを紹介するか、特定の機能/エディション/オプションをデモンストレーションすることを目的としています。ユーザーは、特定の運用およびテストのニーズに合わせてテンプレートを再利用/変更/強化できます。ほとんどのテンプレートでは、リソースを作成してテンプレートを展開するために、portal.azure.comへの十分なサブスクリプションが必要です。 Citrix ADC VPX Azure Resource Manager (ARM) テンプレートは、スタンドアロンのCitrix ADC VPXを簡単かつ一貫した方法で展開できるように設計されています。これらのテンプレートは、組み込みの冗長性により信頼性とシステム可用性を向上させます。これらのARMテンプレートは、Bring Your Own License (BYOL) または時間ベースの選択をサポートしています。選択肢は、テンプレートの説明に記載されているか、テンプレートの展開中に提示されます。 ARM (Azure Resource Manager) テンプレートを使用してMicrosoft AzureにCitrix ADC VPXインスタンスをプロビジョニングする方法の詳細については、Citrix ADC Azureテンプレートを参照してください。

Microsoft AzureにCitrix ADC VPXインスタンスを展開する方法の詳細については、Microsoft AzureにCitrix ADC VPXインスタンスを展開するを参照してください。

AzureでCitrix ADC VPXインスタンスがどのように機能するかについての詳細については、AzureでCitrix ADC VPXインスタンスがどのように機能するかを参照してください。

展開手順

ユーザーがMicrosoft Azure Resource Manager (ARM) にCitrix ADC VPXインスタンスを展開すると、Azureのクラウドコンピューティング機能を利用し、Citrix ADCの負荷分散およびトラフィック管理機能をビジネスニーズに活用できます。ユーザーは、Azure Resource ManagerにCitrix ADC VPXインスタンスをスタンドアロンインスタンスとして、またはアクティブ/スタンバイモードの高可用性ペアとして展開できます。

ユーザーは、Microsoft AzureにCitrix ADC VPXインスタンスを次の2つの方法のいずれかで展開できます。

• Azure Marketplace経由。Citrix ADC VPX仮想アプライアンスは、Microsoft Azure Marketplaceでイメージとして利用できます。Azure Resource ManagerテンプレートはAzure Marketplaceで公開されており、スタンドアロンおよびHAペア展開でCitrix ADCを展開するために使用できます。

• GitHubで入手可能なCitrix ADC Azure Resource Manager (ARM) JSONテンプレートを使用する。詳細については、Citrix ADCソリューションテンプレートのGitHubリポジトリを参照してください。

適切なAzureインスタンスの選択

Azure上のVPX仮想アプライアンスは、2つ以上のコアと2GBを超えるメモリを持つ任意のインスタンスタイプに展開できます。次の表に、ADC VPXライセンスの推奨インスタンスタイプを示します。

デプロイメントに使用するライセンスとインスタンスタイプが判明したら、ユーザーは推奨されるMulti-NICマルチIPアーキテクチャを使用して、Azure上にCitrix ADC VPXインスタンスをプロビジョニングできます。

Multi-NICマルチIPアーキテクチャ (3つのNIC)

このデプロイメントタイプでは、ユーザーはVPXインスタンスに複数のネットワークインターフェース (NIC) を接続できます。任意のNICには、静的または動的なパブリックおよびプライベートIPアドレスが割り当てられた1つ以上のIP構成を持つことができます。Multi-NICアーキテクチャは、スタンドアロンデプロイメントとHAペアデプロイメントの両方に使用できます。次のARMテンプレートを使用できます。

• シトリックス ADC スタンドアロン: ARM テンプレート - スタンドアロン 3-NIC

• シトリックス ADC HA ペア: ARM テンプレート - HA ペア 3-NIC

次のユースケースを参照してください。

• 複数のIPアドレスとNICを使用した高可用性セットアップの構成

• PowerShellコマンドを使用した複数のIPアドレスとNICによる高可用性セットアップの構成

Citrix ADM 展開アーキテクチャ

次の画像は、Citrix ADM が Azure と接続して Microsoft Azure に Citrix ADC VPX インスタンスをプロビジョニングする方法の概要を示しています。

ユーザーは、Microsoft Azure で Citrix ADC VPX インスタンスをプロビジョニングおよび管理するために、3つのサブネットが必要です。各サブネットにはセキュリティグループを作成する必要があります。ネットワークセキュリティグループ (NSG) で指定されたルールが、サブネット間の通信を管理します。

Citrix ADM サービスエージェントは、ユーザーが Citrix ADC VPX インスタンスをプロビジョニングおよび管理するのに役立ちます。

複数のIPアドレスとNICを持つ高可用性セットアップを構成する

Microsoft Azure の展開では、2つの Citrix ADC VPX インスタンスの高可用性構成は、Azure Load Balancer (ALB) を使用して実現されます。これは、ALB でヘルスプローブを構成することで実現され、ALB はプライマリインスタンスとセカンダリインスタンスの両方に5秒ごとにヘルスプローブを送信して、各 VPX インスタンスを監視します。

このセットアップでは、プライマリノードのみがヘルスプローブに応答し、セカンダリノードは応答しません。プライマリがヘルスプローブに応答を送信すると、ALB はデータトラフィックをインスタンスに送信し始めます。プライマリインスタンスが2回連続でヘルスプローブを逃した場合、ALB はそのインスタンスにトラフィックをリダイレクトしません。フェイルオーバー時には、新しいプライマリがヘルスプローブに応答し始め、ALB はトラフィックをそれにリダイレクトします。標準の VPX 高可用性フェイルオーバー時間は3秒です。トラフィック切り替えで発生する可能性のある合計フェイルオーバー時間は最大13秒です。

ユーザーは、Azure 上のアクティブ/パッシブ高可用性 (HA) セットアップで、複数のNICを持つCitrix ADC VPXインスタンスのペアを展開できます。各NICは複数のIPアドレスを含むことができます。

マルチNIC高可用性展開には、次のオプションがあります。

• Azure アベイラビリティセットを使用した高可用性

• Azure アベイラビリティゾーンを使用した高可用性

Azure アベイラビリティセットとアベイラビリティゾーンの詳細については、Azure ドキュメントのLinux仮想マシンの可用性を管理するを参照してください。

アベイラビリティセットを使用した高可用性

アベイラビリティセットを使用した高可用性セットアップは、次の要件を満たす必要があります。

• HA独立ネットワーク構成 (INC) 構成

• ダイレクトサーバーリターン (DSR) モードの アジュール ロードバランサー (ALB)

すべてのトラフィックはプライマリノードを通過します。セカンダリノードは、プライマリノードが故障するまでスタンバイモードのままです。

注:

AzureクラウドでCitrix VPXの高可用性展開を機能させるには、ユーザーは2つのVPXノード間で移動できるフローティングパブリックIP (PIP) を必要とします。Azure Load Balancer (ALB) は、そのフローティングPIPを提供し、フェイルオーバー時に自動的に2番目のノードに移動されます。

アクティブ/パッシブ展開では、ALBフロントエンドのパブリックIP (PIP) アドレスが各VPXノードのVIPアドレスとして追加されます。HA-INC構成では、VIPアドレスはフローティングであり、SNIPアドレスはインスタンス固有です。

ユーザーは、アクティブ/パッシブ高可用性モードでVPXペアを次の2つの方法で展開できます。

• Citrix ADC VPX標準高可用性テンプレート: このオプションを使用して、3つのサブネットと6つのNICのデフォルトオプションでHAペアを構成します。

• Windows PowerShellコマンド: このオプションを使用して、サブネットとNICの要件に応じてHAペアを構成します。

このセクションでは、Citrixテンプレートを使用してアクティブ/パッシブHAセットアップでVPXペアを展開する方法について説明します。PowerShellコマンドを使用して展開する場合は、「PowerShellコマンドを使用して複数のIPアドレスとNICを持つ高可用性セットアップを構成する」を参照してください。

Citrix高可用性テンプレートを使用してHA-INCノードを構成する

ユーザーは、標準テンプレートを使用して、HA-INCモードでVPXインスタンスのペアを迅速かつ効率的に展開できます。このテンプレートは、3つのサブネットと6つのNICを持つ2つのノードを作成します。サブネットは管理、クライアント、サーバー側トラフィック用であり、各サブネットには両方のVPXインスタンス用に2つのNICがあります。

Azure可用性セットを使用して、テンプレートを起動し、高可用性VPXペアを展開するには、次の手順を実行します。

1. Azure MarketplaceからCitrixソリューションテンプレートを選択して起動します。テンプレートが表示されます。

2. 展開タイプがResource Managerであることを確認し、作成を選択します。

3. 「基本」ページが表示されます。リソースグループを作成し、「OK」を選択します。

4. 「一般設定」ページが表示されます。詳細を入力し、「OK」を選択します。

5. 「ネットワーク設定」ページが表示されます。VNetとサブネットの構成を確認し、必要な設定を編集して、「OK」を選択します。

6. 「概要」ページが表示されます。構成を確認し、必要に応じて編集します。「OK」を選択して確定します。

7. 「購入」ページが表示されます。「購入」を選択して展開を完了します。

必要な構成でAzureリソースグループが作成されるまで、しばらく時間がかかる場合があります。完了後、Azureポータルで「リソースグループ」を選択すると、LBルール、バックエンドプール、ヘルスプローブなどの構成の詳細が表示されます。高可用性ペアはns-vpx0とns-vpx1として表示されます。

HAセットアップで、追加のセキュリティルールやポートの作成など、さらなる変更が必要な場合は、ユーザーはAzureポータルからそれを行うことができます。

次に、ユーザーはプライマリノードで、ALBのフロントエンドパブリックIP（PIP）アドレスを使用してロードバランシング仮想サーバーを構成する必要があります。ALB PIPを見つけるには、ALB > 「フロントエンドIP構成」を選択します。

ロードバランシング仮想サーバーの構成方法の詳細については、「リソース」セクションを参照してください。

リソース:

以下のリンクは、HA展開と仮想サーバー構成に関する追加情報を提供します。

• 異なるサブネットでの高可用性ノードの構成

• 基本的なロードバランシングのセットアップ

関連リソース:

• PowerShellコマンドを使用した複数のIPアドレスとNICによる高可用性セットアップの構成

• アクティブ/スタンバイ高可用性セットアップでGSLBを構成する

可用性ゾーンを使用した高可用性

Azure 可用性ゾーンは、Azure リージョン内の障害から隔離された場所であり、冗長な電源、冷却、ネットワークを提供し、回復性を高めます。特定の Azure リージョンのみが可用性ゾーンをサポートしています。詳細については、Azure ドキュメント「Azure の可用性ゾーン: アクティブ/スタンバイ高可用性セットアップでGSLBを構成する」を参照してください。

ユーザーは、Azure Marketplace で入手可能な「NetScaler 13.0 HA using Availability Zones」というテンプレートを使用して、高可用性モードでVPXペアを展開できます。

Azure 可用性ゾーンを使用して、テンプレートを起動し、高可用性VPXペアを展開するには、次の手順を完了します。

1. Azure Marketplace から、Citrix ソリューションテンプレートを選択して起動します。

2. デプロイの種類がResource Managerであることを確認し、作成を選択します。

3. 基本ページが表示されます。詳細を入力し、OKをクリックします。

注: 可用性ゾーンをサポートするAzureリージョンが選択されていることを確認してください。可用性ゾーンをサポートするリージョンの詳細については、Azure ドキュメント「Azure の可用性ゾーン」: Azure のリージョンと可用性ゾーンを参照してください。

1. 一般設定ページが表示されます。詳細を入力し、OKを選択します。

2. ネットワーク設定ページが表示されます。VNetとサブネットの構成を確認し、必要な設定を編集して、OKを選択します。

3. 概要ページが表示されます。構成を確認し、必要に応じて編集します。OKを選択して確定します。

4. 購入ページが表示されます。購入を選択してデプロイを完了します。

必要な構成でAzureリソースグループが作成されるまで、しばらく時間がかかる場合があります。完了後、リソースグループを選択すると、AzureポータルでLBルール、バックエンドプール、ヘルスプローブなどの構成の詳細が表示されます。高可用性ペアはns-vpx0とns-vpx1として表示されます。また、ユーザーは場所列の下に場所を確認できます。

HAセットアップで、追加のセキュリティルールやポートの作成などのさらなる変更が必要な場合は、Azureポータルから実行できます。

Microsoft AzureでのCitrix ADC VPXインスタンスのプロビジョニングに関する詳細については、以下を参照してください: Microsoft AzureでのCitrix ADC VPXインスタンスのプロビジョニング。

Citrix アプリケーション デリバリー マネジメント

Citrix アプリケーション デリバリー マネジメント サービス (Citrix ADM) は、オンプレミスまたはクラウドに展開されている Citrix ADC MPX、Citrix ADC VPX、Citrix Gateway、Citrix Secure Web Gateway™、Citrix ADC SDX、Citrix ADC CPX、および Citrix SD-WAN アプライアンスを含む Citrix ADC の展開を管理するための、簡単でスケーラブルなソリューションを提供します。

ユーザーは、このクラウドソリューションを使用して、単一の統合された集中型クラウドベースのコンソールから、グローバルなアプリケーション配信インフラストラクチャ全体を管理、監視、トラブルシューティングできます。Citrix ADM Serviceは、Citrix ADC展開におけるアプリケーション配信を迅速にセットアップ、展開、管理するために必要なすべての機能と、アプリケーションの健全性、パフォーマンス、セキュリティに関する豊富な分析機能を提供します。

Citrix ADM Serviceは以下の利点を提供します。

• アジャイル – 操作、更新、利用が簡単です。Citrix ADM Serviceのサービスモデルはクラウド経由で利用できるため、Citrix ADM Serviceが提供する機能を簡単に操作、更新、使用できます。更新頻度と自動更新機能の組み合わせにより、ユーザーのCitrix ADC展開が迅速に強化されます。

• 価値実現までの時間短縮 – ビジネス目標の迅速な達成。従来のオンプレミス展開とは異なり、ユーザーは数回のクリックでCitrix ADM Serviceを使用できます。ユーザーはインストールと構成の時間を節約できるだけでなく、潜在的なエラーに時間とリソースを浪費することも回避できます。

• マルチサイト管理 – マルチサイトデータセンター全体のインスタンスに対するシングルペイン管理。Citrix ADM Serviceを使用すると、ユーザーはさまざまな種類の展開にあるCitrix ADCを管理および監視できます。ユーザーは、オンプレミスおよびクラウドに展開されたCitrix ADCを一元的に管理できます。

• 運用効率 – 運用生産性を高めるための最適化された自動化された方法。Citrix ADM Serviceを使用すると、従来のハードウェア展開の保守とアップグレードにかかるユーザーの時間、費用、リソースを節約することで、ユーザーの運用コストが削減されます。

Citrix ADM サービスの仕組み

Citrix ADM Serviceは、Citrix Cloud上でサービスとして利用できます。ユーザーがCitrix Cloudにサインアップしてサービスの使用を開始した後、ユーザーのネットワーク環境にエージェントをインストールするか、インスタンスに組み込みのエージェントを起動します。その後、管理したいインスタンスをサービスに追加します。

エージェントは、Citrix ADM Serviceとユーザーデータセンター内の管理対象インスタンス間の通信を可能にします。エージェントは、ユーザーネットワーク内の管理対象インスタンスからデータを収集し、Citrix ADM Serviceに送信します。

ユーザーがインスタンスをCitrix ADM Serviceに追加すると、そのインスタンスは暗黙的にトラップ宛先として自身を追加し、インスタンスのインベントリを収集します。

サービスは、次のようなインスタンスの詳細を収集します。

• ホスト名

• ソフトウェアバージョン

• 実行中および保存済みの構成

• 証明書

• インスタンスで構成されたエンティティなど。

Citrix ADMサービスは、管理対象インスタンスを定期的にポーリングして情報を収集します。

次の図は、サービス、エージェント、およびインスタンス間の通信を示しています。

ドキュメントガイド

Citrix ADMサービスドキュメントには、サービスの開始方法、サービスでサポートされている機能のリスト、およびこのサービスソリューションに固有の構成に関する情報が含まれています。

シトリックス エーディーシー WAF と オワスプ トップ10 – 2017

Open Web Application Security Project: OWASP は、Webアプリケーションセキュリティに関するOWASP Top 10 for 2017をリリースしました。このリストは、最も一般的なWebアプリケーションの脆弱性を文書化しており、Webセキュリティを評価するための優れた出発点となります。ここでは、これらの欠陥を軽減するためにCitrix ADC Web Application Firewall (WAF) を構成する方法を詳しく説明します。WAFは、Citrix ADC (Premium Edition) の統合モジュールとして、またあらゆるアプライアンスで利用できます。

OWASP Top 10の完全なドキュメントは、OWASP Top Ten で入手できます。

A1:2017- インジェクション

SQL、NoSQL、OS、LDAPインジェクションなどのインジェクションの欠陥は、信頼できないデータがコマンドまたはクエリの一部としてインタープリターに送信されたときに発生します。攻撃者の悪意のあるデータは、インタープリターをだまして意図しないコマンドを実行させたり、適切な認証なしにデータにアクセスさせたりする可能性があります。

エーディーシー ワフ 保護

• SQLインジェクション防止機能は、一般的なインジェクション攻撃から保護します。XPathやLDAPを含むあらゆる種類のインジェクション攻撃から保護するために、カスタムインジェクションパターンをアップロードできます。これはHTMLとXMLの両方のペイロードに適用できます。

• 自動更新署名機能により、インジェクション署名が最新の状態に保たれます。

• フィールド形式保護機能により、管理者は任意のユーザーパラメータを正規表現に制限できます。たとえば、郵便番号フィールドに整数のみ、または5桁の整数のみが含まれるように強制できます。

• フォームフィールドの一貫性: 送信された各ユーザーフォームをユーザーセッションフォーム署名に対して検証し、すべてのフォーム要素の有効性を確認します。

• バッファオーバーフローチェックにより、URL、ヘッダー、およびCookieが適切な制限内にあることを確認し、大規模なスクリプトやコードを挿入しようとする試みをブロックします。

A2:2017 – 認証の不備

認証およびセッション管理に関連するアプリケーション機能は、誤って実装されていることが多く、攻撃者がパスワード、キー、またはセッショントークンを侵害したり、他の実装上の欠陥を悪用して、一時的または永続的に他のユーザーのIDを乗っ取ったりすることを可能にします。

エーディーシー ワフ 保護

• Citrix ADC AAAモジュールはユーザー認証を実行し、バックエンドアプリケーションにシングルサインオン機能を提供します。これは、ユーザーおよびグループ情報に基づいたカスタムポリシーを可能にするために、Citrix ADC AppExpertポリシーエンジンに統合されています。

• SSLオフロードとURL変換機能を使用することで、ファイアウォールはサイトがセキュアなトランスポート層プロトコルを使用して、ネットワークスニッフィングによるセッショントークンの盗難を防ぐのにも役立ちます。

• クッキープロキシとクッキー暗号化を使用することで、クッキーの盗難を完全に軽減できます。

A3:2017 - 機密データ漏洩

多くのWebアプリケーションやAPIは、財務、医療、PIIなどの機密データを適切に保護していません。攻撃者は、このような不十分に保護されたデータを盗んだり改ざんしたりして、クレジットカード詐欺、個人情報盗難、その他の犯罪を行う可能性があります。機密データは、保存時または転送時の暗号化などの追加保護なしに侵害される可能性があり、ブラウザと交換する際には特別な予防措置が必要です。

ADC WAF 保護機能

• アプリケーションファイアウォールは、クレジットカード情報などの機密データが漏洩するのを防ぎます。

• 機密データは、漏洩を防ぐためにSafe Commerce保護のセーフオブジェクトとして構成できます。

• クッキー内の機密データは、クッキープロキシとクッキー暗号化によって保護できます。

A4:2017 XML外部エンティティ (XXE)

多くの古いまたは不適切に構成されたXMLプロセッサは、XMLドキュメント内の外部エンティティ参照を評価します。外部エンティティは、ファイルURIハンドラを使用した内部ファイルの開示、内部ファイル共有、内部ポートスキャン、リモートコード実行、およびサービス拒否攻撃に使用される可能性があります。

ADC WAF 保護機能

• XMLベースのアプリケーションを攻撃するために適応できる一般的なアプリケーション脅威（クロスサイトスクリプティング、コマンドインジェクションなど）の検出とブロックに加えて。

• ADCアプリケーションファイアウォールには、XML固有の豊富なセキュリティ保護機能が含まれています。これには、SOAPメッセージとXMLペイロードを徹底的に検証するためのスキーマ検証、および悪意のある実行可能ファイルやウイルスを含む添付ファイルをブロックするための強力なXML添付ファイルチェックが含まれます。

• 自動トラフィック検査方法は、アクセス取得を目的としたURLおよびフォームに対するXPathインジェクション攻撃をブロックします。

• ADCアプリケーションファイアウォールは、外部エンティティ参照、再帰的展開、過剰なネスト、多数の属性や要素を含む、または長い属性や要素を含む悪意のあるメッセージなど、さまざまなDoS攻撃も阻止します。

A5:2017 不適切なアクセス制御

認証されたユーザーが実行できることに対する制限が、適切に適用されていないことがよくあります。攻撃者はこれらの欠陥を悪用して、不正な機能やデータにアクセスできます。例えば、他のユーザーのアカウントへのアクセス、機密ファイルの閲覧、他のユーザーのデータの変更、アクセス権の変更などです。

ADC WAF保護機能

• すべてのアプリケーショントラフィックに対する認証、認可、監査をサポートするAAA機能により、サイト管理者はADCアプライアンスでアクセス制御を管理できます。

• ADCアプライアンスのAAAモジュール内の認可セキュリティ機能により、アプライアンスは、保護されたサーバー上のどのコンテンツに各ユーザーがアクセスすることを許可すべきかを検証できます。

• フォームフィールドの一貫性: オブジェクト参照がフォームの隠しフィールドとして保存されている場合、フォームフィールドの一貫性を使用すると、これらのフィールドが後続のリクエストで改ざんされていないことを検証できます。

• CookieプロキシとCookieの一貫性: Cookie値に保存されているオブジェクト参照は、これらの保護機能で検証できます。

• URLクローズによる開始URLチェック: 事前定義されたURLの許可リストへのユーザーアクセスを許可します。URLクローズは、ユーザーセッション中に有効な応答で検出されたすべてのURLのリストを作成し、そのセッション中にそれらへのアクセスを自動的に許可します。

A6:2017 - セキュリティ設定ミス

セキュリティ設定ミスは、最もよく見られる問題です。これは通常、安全でないデフォルト設定、不完全または場当たり的な設定、オープンなクラウドストレージ、誤って設定されたHTTPヘッダー、および機密情報を含む詳細なエラーメッセージの結果です。すべてのオペレーティングシステム、フレームワーク、ライブラリ、およびアプリケーションは、安全に構成されるだけでなく、タイムリーにパッチが適用され、アップグレードされる必要があります。

ADC WAF保護機能

• アプリケーションファイアウォールによって生成されるPCI-DSSレポートは、ファイアウォールデバイスのセキュリティ設定を文書化します。

• スキャンツールからのレポートは、セキュリティ設定ミスを処理するためにADC WAFシグネチャに変換されます。

• ADC WAF は、Cenzic、IBM AppScan (エンタープライズおよびスタンダード)、Qualys、TrendMicro、WhiteHat、およびカスタム脆弱性スキャンレポートをサポートしています。

A7:2017 - クロスサイトスクリプティング (XSS)

アプリケーションが、適切な検証やエスケープなしに信頼できないデータを新しいウェブページに含めたり、HTMLやJavaScriptを作成できるブラウザAPIを使用してユーザー提供データで既存のウェブページを更新したりすると、XSSの欠陥が発生します。XSSにより、攻撃者は被害者のブラウザでスクリプトを実行し、ユーザーセッションを乗っ取ったり、ウェブサイトを改ざんしたり、ユーザーを悪意のあるサイトにリダイレクトしたりすることができます。

ADC WAF 保護機能

• XSS保護は、一般的なXSS攻撃から保護します。許可されたタグと属性のデフォルトリストを変更するために、カスタムXSSパターンをアップロードできます。ADC WAFは、許可されたHTML属性とタグのホワイトリストを使用してXSS攻撃を検出します。これは、HTMLペイロードとXMLペイロードの両方に適用されます。

• ADC WAFは、OWASP XSSフィルター評価チートシートに記載されているすべての攻撃をブロックします。

• フィールド形式チェックは、攻撃者が不適切なWebフォームデータを送信するのを防ぎ、それが潜在的なXSS攻撃となる可能性があります。

• フォームフィールドの一貫性。

A8:2017 - 安全でないデシリアライゼーション

安全でないデシリアライゼーションは、多くの場合、リモートコード実行につながります。デシリアライゼーションの欠陥がリモートコード実行に至らない場合でも、リプレイ攻撃、インジェクション攻撃、権限昇格攻撃などの攻撃を実行するために使用される可能性があります。

ADC WAF 保護機能

• カスタム署名によるJSONペイロード検査。

• XMLセキュリティ：XMLサービス拒否 (xDoS)、XML SQLおよびXpathインジェクション、クロスサイトスクリプティング、形式チェック、WS-I基本プロファイル準拠、XML添付ファイルのチェックから保護します。

• フィールド形式チェック、Cookieの一貫性、およびフィールドの一貫性を使用できます。

A9:2017 - 既知の脆弱性を持つコンポーネントの使用

ライブラリ、フレームワーク、その他のソフトウェアモジュールなどのコンポーネントは、アプリケーションと同じ権限で実行されます。脆弱なコンポーネントが悪用された場合、そのような攻撃は深刻なデータ損失やサーバー乗っ取りを引き起こす可能性があります。既知の脆弱性を持つコンポーネントを使用するアプリケーションやAPIは、アプリケーションの防御を弱め、さまざまな攻撃や影響を可能にする可能性があります。

ADC WAF 保護機能

• Citrixは、サードパーティコンポーネントを最新の状態に保つことを推奨しています。

• ADCシグネチャに変換された脆弱性スキャンレポートを使用して、これらのコンポーネントを仮想的にパッチ適用できます。

• これらの脆弱なコンポーネントで利用可能なアプリケーションファイアウォールテンプレートを使用できます。

• カスタムシグネチャをファイアウォールにバインドして、これらのコンポーネントを保護できます。

A10:2017 - 不十分なロギングと監視

不十分なロギングと監視は、インシデント対応との統合が欠けているか効果がないことと相まって、攻撃者がシステムをさらに攻撃し、永続性を維持し、より多くのシステムにピボットし、データを改ざん、抽出、または破壊することを可能にします。ほとんどの侵害調査では、侵害の検出に200日以上かかり、通常は内部プロセスや監視ではなく外部の当事者によって検出されることが示されています。

ADC WAF 保護機能

• セキュリティチェックまたはシグネチャに対してログアクションが有効になっている場合、結果として生成されるログメッセージは、アプリケーションファイアウォールがWebサイトとアプリケーションを保護している間に観測したリクエストとレスポンスに関する情報を提供します。

• アプリケーションファイアウォールは、悪意のあるリクエストの発信元となるIPアドレスに対応する場所を特定するために、組み込みのADCデータベースを使用する利便性を提供します。

• デフォルト形式 (PI) の式は、アプリケーションファイアウォールが生成するログメッセージにキャプチャする特定のデータを追加するオプションを使用して、ログに含まれる情報をカスタマイズする柔軟性を提供します。

• アプリケーションファイアウォールはCEFログをサポートしています。

アプリケーションセキュリティ保護

シトリックス ADM

Citrix アプリケーションデリバリー管理サービス (Citrix ADM) は、オンプレミスまたはクラウドに展開されているCitrix ADC MPX、Citrix ADC VPX、Citrix Gateway、Citrix Secure Web™ Gateway、Citrix ADC SDX、Citrix ADC CPX、およびCitrix SD-WANアプライアンスを含むCitrix ADC展開を管理するためのスケーラブルなソリューションを提供します。

Citrix ADM アプリケーション分析および管理機能

以下に、App SecurityにおけるADMの役割にとって重要な主要機能の概要を示します。

アプリケーション分析および管理

Citrix ADMのアプリケーション分析および管理機能は、アプリケーション中心のアプローチを強化し、ユーザーがさまざまなアプリケーション配信の課題に対処できるようにします。このアプローチにより、ユーザーはアプリケーションの健全性スコアを可視化し、セキュリティリスクを特定し、アプリケーショントラフィックフローの異常を検出し、是正措置を講じることができます。App Securityにおけるこれらの役割の中で最も重要なのは、アプリケーションセキュリティ分析です。

• アプリケーションセキュリティ分析: アプリケーションセキュリティ分析。App Securityダッシュボードは、ユーザーアプリケーションのセキュリティ状態を全体的に把握できます。たとえば、セキュリティ違反、シグネチャ違反、脅威インデックスなどの主要なセキュリティメトリックが表示されます。App Securityダッシュボードには、検出されたCitrix ADCインスタンスのSYN攻撃、スモールウィンドウ攻撃、DNSフラッド攻撃などの攻撃関連情報も表示されます。

スタイルブック

StyleBookは、ユーザーアプリケーションの複雑なCitrix ADC構成を管理するタスクを簡素化します。StyleBookは、ユーザーがCitrix ADC構成を作成および管理するために使用できるテンプレートです。ここでは、Web Application Firewallを展開するために使用されるStyleBookが主な関心事です。StyleBookの詳細については、StyleBookを参照してください。

アナリティクス

Citrix ADCインスタンスのデータのさまざまな洞察を調べて、アプリケーションのパフォーマンスを記述、予測、改善するための簡単でスケーラブルな方法を提供します。ユーザーは1つ以上の分析機能を同時に使用できます。App Securityにおけるこれらの役割の中で最も重要なのは次のとおりです。

• Security Insight: Security Insight。ユーザーがアプリケーションのセキュリティ状態を評価し、アプリケーションを保護するための是正措置を講じるのに役立つシングルペインソリューションを提供します。

• ボットインサイト

• 分析の詳細については、分析: 分析を参照してください。

ADM機能にとって重要なその他の機能は次のとおりです。

イベント管理

イベントは、管理対象のCitrix ADCインスタンスで発生するイベントまたはエラーを表します。たとえば、システム障害や構成変更が発生した場合、イベントが生成され、Citrix ADMに記録されます。以下は、Citrix ADMを使用してユーザーが構成または表示できる関連機能です。

• イベントルールの作成: イベントルールの作成

• syslogメッセージの表示とエクスポート: syslogメッセージの表示とエクスポート

イベント管理の詳細については、以下を参照してください: Events。

インスタンス管理

ユーザーがCitrix ADC、Citrix Gateway、Citrix Secure Web Gateway、およびCitrix SD-WANインスタンスを管理できるようにします。インスタンス管理の詳細については、以下を参照してください: Adding Instances。

ライセンス管理

Citrix ADMをライセンスマネージャーとして構成することで、ユーザーがCitrix ADCライセンスを管理できるようにします。

• Citrix ADCプール容量: Pooled Capacity。ユーザーのCitrix ADCインスタンスが1つのインスタンスライセンスと必要な帯域幅のみをチェックアウトできる共通のライセンスプールです。インスタンスがこれらのリソースを必要としなくなると、それらを共通プールにチェックインし、それらを必要とする他のインスタンスが利用できるようにします。

• Citrix ADC VPXのチェックインおよびチェックアウトライセンス: Citrix ADC VPX Check-in and Check-out Licensing。Citrix ADMは、Citrix ADC VPXインスタンスにオンデマンドでライセンスを割り当てます。Citrix ADC VPXインスタンスは、Citrix ADC VPXインスタンスがプロビジョニングされたときにCitrix ADMからライセンスをチェックアウトしたり、インスタンスが削除または破棄されたときにCitrix ADMにライセンスをチェックインしたりできます。

• ライセンス管理の詳細については、以下を参照してください: Pooled Capacity。

構成管理

Citrix ADMを使用すると、ユーザーは構成ジョブを作成でき、エンティティの作成、機能の構成、構成変更のレプリケーション、システムアップグレード、その他のメンテナンスアクティビティなどの構成タスクを複数のインスタンスで簡単に実行できます。構成ジョブとテンプレートは、最も反復的な管理タスクをCitrix ADM上の単一のタスクに簡素化します。構成管理の詳細については、構成ジョブを参照してください: Configuration Jobs。

構成監査

ユーザーがユーザーインスタンス全体の構成における異常を監視および特定できるようにします。

• 構成アドバイス: ネットワーク構成に関する構成アドバイスを取得。ユーザーが構成の異常を特定できるようにします。

• 監査テンプレート: 監査テンプレートの作成。特定の構成全体にわたる変更をユーザーが監視できるようにします。

• 構成監査の詳細については、以下を参照してください: 構成監査。

シグネチャは、ユーザーアプリケーションの保護を最適化するのに役立つ以下の展開オプションを提供します。

• ネガティブセキュリティモデル: ネガティブセキュリティモデルでは、ユーザーは事前に構成された豊富なシグネチャルールセットを使用して、パターンマッチングの力を適用し、攻撃を検出し、アプリケーションの脆弱性から保護します。ユーザーは不要なものだけをブロックし、残りは許可します。ユーザーは、ユーザーアプリケーションの特定のセキュリティニーズに基づいて独自のシグネチャルールを追加し、独自のカスタマイズされたセキュリティソリューションを設計できます。

• ハイブリッドセキュリティモデル: シグネチャを使用することに加えて、ユーザーはポジティブセキュリティチェックを使用して、ユーザーアプリケーションに最適な構成を作成できます。ユーザーが不要なものをブロックするにはシグネチャを使用し、許可されているものを強制するにはポジティブセキュリティチェックを使用します。

シグネチャを使用してユーザーアプリケーションを保護するには、ユーザーはシグネチャオブジェクトを使用するために1つ以上のプロファイルを構成する必要があります。ハイブリッドセキュリティ構成では、ユーザーシグネチャオブジェクト内のSQLインジェクションおよびクロスサイトスクリプティングパターン、およびSQL変換ルールは、シグネチャルールだけでなく、シグネチャオブジェクトを使用しているWeb Application Firewallプロファイルで構成されたポジティブセキュリティチェックによっても使用されます。

Web Application Firewallは、ユーザーが保護するWebサイトおよびWebサービスへのトラフィックを検査し、シグネチャに一致するトラフィックを検出します。一致は、ルール内のすべてのパターンがトラフィックに一致した場合にのみトリガーされます。一致が発生すると、ルールに指定されたアクションが呼び出されます。リクエストがブロックされた場合、ユーザーはエラーページまたはエラーオブジェクトを表示できます。ログメッセージは、ユーザーアプリケーションに対して開始されている攻撃を特定するのに役立ちます。ユーザーが統計を有効にすると、Web Application Firewallは、Web Application Firewallシグネチャまたはセキュリティチェックに一致するリクエストに関するデータを維持します。

トラフィックがシグネチャとポジティブセキュリティチェックの両方に一致する場合、2つのアクションのうちより制限の厳しい方が適用されます。たとえば、ブロックアクションが無効になっているシグネチャルールにリクエストが一致しても、そのリクエストがブロックアクションが有効になっているSQLインジェクションポジティブセキュリティチェックにも一致する場合、リクエストはブロックされます。この場合、リクエストはSQLインジェクションチェックによってブロックされますが、シグネチャ違反は<not blocked>としてログに記録される可能性があります。

カスタマイズ: 必要に応じて、ユーザーは独自のルールをシグネチャオブジェクトに追加できます。ユーザーはSQL/XSSパターンをカスタマイズすることもできます。ユーザーアプリケーションの特定のセキュリティニーズに基づいて独自のシグネチャルールを追加するオプションは、ユーザーに独自のカスタマイズされたセキュリティソリューションを設計する柔軟性を提供します。ユーザーは不要なものだけをブロックし、残りは許可します。指定された場所の特定の高速一致パターンは、パフォーマンスを最適化するために処理オーバーヘッドを大幅に削減できます。ユーザーはSQLインジェクションおよびクロスサイトスクリプティングパターンを追加、変更、または削除できます。組み込みのRegExおよび式エディタは、ユーザーがユーザーパターンを構成し、その正確性を検証するのに役立ちます。

ユースケース

各サービスを個別の仮想アプライアンスとして展開する必要がある代替ソリューションと比較して、AWS上のCitrix ADCは、L4ロードバランシング、L7トラフィック管理、サーバーオフロード、アプリケーションアクセラレーション、アプリケーションセキュリティ、柔軟なライセンス、およびその他の重要なアプリケーション配信機能を単一のVPXインスタンスに統合し、AWS Marketplaceを通じて便利に利用できます。さらに、すべてが単一のポリシーフレームワークによって管理され、オンプレミスのCitrix ADC展開を管理するために使用されるのと同じ強力なツールセットで管理されます。その結果、AWS上のCitrix ADCは、今日の企業の差し迫ったニーズをサポートするだけでなく、レガシーコンピューティングインフラストラクチャからエンタープライズクラウドデータセンターへの継続的な進化もサポートする、いくつかの魅力的なユースケースを可能にします。

シトリックス Webアプリケーションファイアウォール (WAF)

Citrix Web Application Firewall (WAF) は、最新のアプリケーションに最先端の保護を提供するエンタープライズグレードのソリューションです。Citrix WAFは、Webサイト、Webアプリケーション、APIなどの公開資産に対する脅威を軽減します。Citrix WAFには、IPレピュテーションベースのフィルタリング、ボット軽減、OWASP Top 10アプリケーション脅威保護、レイヤー7 DDoS保護などが含まれています。また、認証、強力なSSL/TLS暗号、TLS 1.3、レート制限、書き換えポリシーを強制するオプションも含まれています。基本的なWAF保護と高度なWAF保護の両方を使用することで、Citrix WAFは比類のない使いやすさでアプリケーションを包括的に保護します。セットアップは数分で完了します。さらに、動的プロファイリングと呼ばれる自動学習モデルを使用することで、Citrix WAFはユーザーの貴重な時間を節約します。保護されたアプリケーションがどのように機能するかを自動的に学習することで、Citrix WAFは開発者がアプリケーションを展開および変更しても、アプリケーションに適応します。Citrix WAFは、PCI-DSS、HIPAAなど、すべての主要な規制基準および機関への準拠を支援します。当社のCloudFormationテンプレートを使用すると、これまでになく簡単に迅速に稼働できます。自動スケーリングにより、トラフィックが増加してもアプリケーションが保護されたままであることをユーザーは安心して確認できます。

Webアプリケーションファイアウォール展開戦略

Webアプリケーションファイアウォールを展開する最初のステップは、どのアプリケーションまたは特定のデータが最大のセキュリティ保護を必要とし、どれが脆弱性が低く、セキュリティ検査を安全にバイパスできるかを評価することです。これにより、ユーザーは最適な構成を考案し、トラフィックを分離するための適切なポリシーとバインドポイントを設計するのに役立ちます。たとえば、ユーザーは、画像、MP3ファイル、動画などの静的Webコンテンツのリクエストのセキュリティ検査をバイパスするポリシーを構成し、動的コンテンツのリクエストに高度なセキュリティチェックを適用する別のポリシーを構成したい場合があります。ユーザーは、同じアプリケーションの異なるコンテンツを保護するために、複数のポリシーとプロファイルを使用できます。

次のステップは、デプロイメントのベースラインを設定することです。仮想サーバーを作成し、テストトラフィックを流して、ユーザーシステムを流れるトラフィックの速度と量を把握することから始めます。

次に、ウェブアプリケーションファイアウォールを展開します。シトリックス ADM とウェブアプリケーションファイアウォール スタイルブックを使用して、ウェブアプリケーションファイアウォールを構成します。詳細については、このガイドの以下のスタイルブックセクションを参照してください。

ウェブアプリケーションファイアウォールが展開され、ウェブアプリケーションファイアウォール StyleBook で構成された後、次の有用なステップは、Citrix ADC WAF と OWASP Top Ten を実装することです。

最後に、Web Application Firewall の保護機能のうち3つは、一般的な種類のWeb攻撃に対して特に効果的であり、他のどの保護機能よりも一般的に使用されています。したがって、これらは初期デプロイメントで実装する必要があります。それらは次のとおりです。

• HTMLクロスサイトスクリプティング。スクリプトが配置されているWebサイトとは異なるWebサイトのコンテンツにアクセスまたは変更しようとするスクリプトについて、要求と応答を検査します。このチェックがそのようなスクリプトを検出すると、要求または応答を宛先に転送する前にスクリプトを無害化するか、接続をブロックします。

• HTML SQLインジェクション。フォームフィールドデータを含む要求を検査し、SQLコマンドをSQLデータベースに挿入しようとする試みを検出します。このチェックが挿入されたSQLコードを検出すると、要求をブロックするか、要求をWebサーバーに転送する前に挿入されたSQLコードを無害化します。

注: 以下の両方の条件がユーザー構成に適用される場合、ユーザーはWeb Application Firewall が正しく構成されていることを確認する必要があります。

• ユーザーがHTMLクロスサイトスクリプティングチェックまたはHTML SQLインジェクションチェック（またはその両方）を有効にしている場合、および

• ユーザーが保護しているWebサイトがファイルアップロードを受け入れるか、または大きなPOSTボディデータを含むWebフォームを含んでいる場合。

このケースを処理するようにWeb Application Firewall を構成する方法の詳細については、「アプリケーションファイアウォールの構成: Web App Firewall の構成」を参照してください。

• バッファオーバーフロー。Webサーバーでバッファオーバーフローを引き起こそうとする試みを検出するために要求を検査します。

ウェブアプリケーションファイアウォール (WAF) の構成

以下の手順は、WAFがすでに有効になっており、正しく機能していることを前提としています。

Citrixは、Web Application Firewall StyleBook を使用してWAFを構成することを推奨します。ほとんどのユーザーは、これがWeb Application Firewall を構成する最も簡単な方法であると考えており、間違いを防ぐように設計されています。GUIとコマンドラインインターフェイスの両方は、主に既存の構成を変更したり、高度なオプションを使用したりするために、経験豊富なユーザーを対象としています。

SQLインジェクション

アプリケーションファイアウォールHTML SQLインジェクションチェックは、ユーザーアプリケーションのセキュリティを侵害する可能性のある不正なSQLコードのインジェクションに対する特別な防御を提供します。Citrix Web Application Firewallは、インジェクションされたSQLコードについて、リクエストペイロードの3つの場所を検査します。1) POSTボディ、2) ヘッダー、3) クッキー。

デフォルトのキーワードと特殊文字のセットは、SQL攻撃を開始するためによく使用される既知のキーワードと特殊文字を提供します。ユーザーは新しいパターンを追加したり、デフォルトのセットを編集してSQLチェックの検査をカスタマイズしたりできます。

SQLインジェクション処理用に設定できるパラメータがいくつかあります。ユーザーはSQLワイルドカード文字をチェックできます。ユーザーはSQLインジェクションタイプを変更し、ペイロード処理時にSQLキーワードとSQL特殊文字をどのように評価するかを示す4つのオプション（SQLKeyword、SQLSplChar、SQLSplCharANDKeyword、SQLSplCharORKeyword）のいずれかを選択できます。SQLコメント処理パラメータを使用すると、SQLインジェクション検出中に検査または除外する必要があるコメントのタイプを指定できます。

ユーザーは誤検知を避けるために緩和策を展開できます。学習エンジンは、緩和ルールを設定するための推奨事項を提供できます。

ユーザーアプリケーション向けに最適化されたSQLインジェクション保護を設定するために、以下のオプションが利用可能です。

ブロック — ユーザーがブロックを有効にすると、入力がSQLインジェクションタイプの仕様と一致する場合にのみブロックアクションがトリガーされます。たとえば、SQLSplCharANDKeywordがSQLインジェクションタイプとして設定されている場合、入力にSQL特殊文字が検出されてもキーワードが含まれていないリクエストはブロックされません。このようなリクエストは、SQLインジェクションタイプがSQLSplCharまたはSQLSplCharORKeywordのいずれかに設定されている場合にブロックされます。

ログ — ユーザーがログ機能を有効にすると、SQLインジェクションチェックは、実行するアクションを示すログメッセージを生成します。ブロックが無効になっている場合、SQL違反が検出された各入力フィールドに対して個別のログメッセージが生成されます。ただし、リクエストがブロックされた場合は1つのメッセージのみが生成されます。同様に、複数のフィールドでSQL特殊文字が変換された場合でも、変換操作に対してリクエストごとに1つのログメッセージが生成されます。ユーザーはログを監視して、正当なリクエストへの応答がブロックされているかどうかを判断できます。ログメッセージの数が大幅に増加すると、攻撃を仕掛けようとしていることを示している可能性があります。

統計 — 有効にすると、統計機能は違反とログに関する統計を収集します。統計カウンターの予期せぬ急増は、ユーザーアプリケーションが攻撃を受けていることを示している可能性があります。正当なリクエストがブロックされている場合、ユーザーは新しい緩和ルールを設定する必要があるか、既存のルールを変更する必要があるかを確認するために設定を見直す必要があるかもしれません。

学習 — ユーザーがどのSQL緩和ルールが自分のアプリケーションに最適であるか不明な場合、学習機能を使用して学習データに基づいた推奨事項を生成できます。Web Application Firewallの学習エンジンはトラフィックを監視し、観測された値に基づいてSQL学習の推奨事項を提供します。パフォーマンスを損なうことなく最適なメリットを得るために、ユーザーは短期間学習オプションを有効にしてルールの代表的なサンプルを取得し、その後ルールを展開して学習を無効にすることをお勧めします。

SQL特殊文字の変換 — Web Application Firewallは、単一引用符（‘）、バックスラッシュ（）、セミコロン（;）の3つの文字をSQLセキュリティチェック処理の特殊文字と見なします。SQL変換機能は、HTMLリクエスト内のSQLインジェクションコードを変更して、リクエストが無害化されるようにします。変更されたHTMLリクエストはその後サーバーに送信されます。すべてのデフォルト変換ルールは、/netscaler/default_custom_settings.xmlファイルで指定されています。

• 変換操作は、リクエストに以下の変更を加えることでSQLコードを非アクティブ化します。

• 単一引用符（‘）を二重引用符（“）に変換。

• バックスラッシュ（）を二重バックスラッシュ（）に変換。

• セミコロン（;）は完全に削除されます。

これら3つの文字（特殊文字列）は、SQLサーバーにコマンドを発行するために必要です。SQLコマンドが特殊文字列で始まる場合を除き、ほとんどのSQLサーバーはそのコマンドを無視します。したがって、変換が有効になっているときにWeb Application Firewallが実行する変更は、攻撃者がアクティブなSQLをインジェクションするのを防ぎます。これらの変更が行われた後、リクエストはユーザー保護されたウェブサイトに安全に転送できます。ユーザー保護されたウェブサイト上のウェブフォームが正当にSQL特殊文字列を含むことができ、かつウェブフォームが正しく動作するために特殊文字列に依存しない場合、ユーザーはブロックを無効にして変換を有効にすることで、Web Application Firewallがユーザー保護されたウェブサイトに提供する保護を低下させることなく、正当なウェブフォームデータのブロックを防ぐことができます。

変換操作は、SQLインジェクションタイプ設定とは独立して動作します。変換が有効になっており、SQLインジェクションタイプがSQLキーワードとして指定されている場合、リクエストにキーワードが含まれていなくても、SQL特殊文字は変換されます。

ヒント: 通常、ユーザーは変換またはブロックのいずれかを有効にしますが、両方を有効にすることはありません。ブロックアクションが有効になっている場合、それは変換アクションよりも優先されます。ユーザーがブロックを有効にしている場合、変換を有効にすることは冗長です。

SQLワイルドカード文字の確認—ワイルドカード文字は、SQL SELECT ステートメントの選択範囲を広げるために使用できます。これらのワイルドカード演算子は、LIKE および NOT LIKE 演算子とともに使用して、値を類似の値と比較できます。パーセント (%) とアンダースコア (_) の文字は、ワイルドカードとして頻繁に使用されます。パーセント記号は、MS-DOS で使用されるアスタリスク (*) ワイルドカード文字に類似しており、フィールド内のゼロ、1つ、または複数の文字に一致します。アンダースコアは、MS-DOS の疑問符 (?) ワイルドカード文字に似ています。式内の単一の数字または文字に一致します。

例えば、ユーザーは次のクエリを使用して文字列検索を実行し、名前にD文字を含むすべての顧客を見つけることができます。

SELECT * from customer WHERE name like “%D%”:

次の例では、演算子を組み合わせて、2番目と3番目の位置に0がある給与値を見つけます。

顧客テーブルから、給与が「_00%」に一致するすべてのレコードを選択します:

異なるDBMSベンダーは、追加の演算子を追加することでワイルドカード文字を拡張しています。Citrix Web Application Firewallは、これらのワイルドカード文字を挿入することによって開始される攻撃から保護できます。5つのデフォルトのワイルドカード文字は、パーセント (%)、アンダースコア (_)、キャレット (^)、開き角括弧 ([), and closing bracket (]) です。この保護は、HTMLプロファイルとXMLプロファイルの両方に適用されます。

デフォルトのワイルドカード文字は、デフォルトシグネチャで指定されているリテラルのリストです。

• <ワイルドカード文字 type=” リテラル”>%</wildchar>

• <ワイルドカード type=”リテラル”>_</wildchar>

• <ワイルドカード type=”リテラル”>^</wildchar>

• <ワイルドカード タイプ=”リテラル”>[</wildchar>

• <ワイルドカード タイプ=”リテラル”>]</wildchar>

攻撃におけるワイルドカード文字は、[^A-F] のようなPCREである可能性があります。Web Application FirewallはPCREワイルドカードもサポートしていますが、上記のリテラルワイルドカード文字は、ほとんどの攻撃をブロックするのに十分です。

注: SQLワイルドカード文字チェックは、SQL特殊文字チェックとは異なります。このオプションは、誤検知を避けるために注意して使用する必要があります。

SQLインジェクションタイプを含むリクエストのチェック — Web Application Firewallは、アプリケーションの個々のニーズに基づいて、SQLインジェクション検査の厳密さの望ましいレベルを実装するための4つのオプションを提供します。リクエストは、SQL違反を検出するためのインジェクションタイプの仕様に対してチェックされます。4つのSQLインジェクションタイプオプションは次のとおりです。

• SQL特殊文字とキーワード — SQL違反をトリガーするには、SQLキーワードとSQL特殊文字の両方が入力に存在する必要があります。この最も制限の少ない設定は、デフォルト設定でもあります。

• SQL特殊文字 — SQL違反をトリガーするには、特殊文字の少なくとも1つが入力に存在する必要があります。

• SQLキーワード — SQL違反をトリガーするには、指定されたSQLキーワードの少なくとも1つが入力に存在する必要があります。十分な検討なしにこのオプションを選択しないでください。誤検知を避けるために、入力にキーワードが期待されていないことを確認してください。

• SQL特殊文字またはキーワード — セキュリティチェック違反をトリガーするには、キーワードまたは特殊文字文字列のいずれかが入力に存在する必要があります。

ヒント: ユーザーがWeb Application Firewallを構成して、SQL特殊文字を含む入力をチェックするように設定した場合、Web Application Firewallは特殊文字を含まないWebフォームフィールドをスキップします。ほとんどのSQLサーバーは、特殊文字が先行しないSQLコマンドを処理しないため、このオプションを有効にすると、ユーザーが保護するWebサイトを危険にさらすことなく、Web Application Firewallの負荷を大幅に軽減し、処理を高速化できます。

SQLコメントの処理 — デフォルトでは、Web Application Firewallは注入されたSQLコマンドについてすべてのSQLコメントをチェックします。しかし、多くのSQLサーバーは、SQL特殊文字が先行していても、コメント内のすべてを無視します。処理を高速化するために、SQLサーバーがコメントを無視する場合、Web Application Firewallを構成して、注入されたSQLのリクエストを検査する際にコメントをスキップさせることができます。SQLコメント処理オプションは次のとおりです。

• ANSI — 通常UNIXベースのSQLデータベースで使用されるANSI形式のSQLコメントをスキップします。例：

  • /– (ハイフン2つ) - これはハイフン2つで始まり、行末で終わるコメントです。

  • {} - 中括弧 (中括弧がコメントを囲みます。{がコメントの前に、}がコメントの後に続きます。中括弧は単一行または複数行のコメントを区切ることができますが、コメントをネストすることはできません)

  • /*/: Cスタイルコメント (ネストされたコメントは許可されません)。スラッシュ、アスタリスク、感嘆符で始まるコメント /! <comment that begins with a slash followed by an asterisk and an exclamation mark is not a comment > */ はコメントではないことに注意してください。

  • MySQL Serverは、Cスタイルコメントのいくつかのバリアントをサポートしています。これらにより、ユーザーはMySQL拡張機能を含むコードを記述できますが、次の形式のコメントを使用することで、移植性を維持できます。 [/*! MySQL-specific code */]

  • .#: Mysqlコメント : これは#文字で始まり、行末で終わるコメントです。

• ネスト — 通常Microsoft SQL Serverで使用されるネストされたSQLコメントをスキップします。例：– (ハイフン2つ)、および /**/ (ネストされたコメントを許可)

• ANSI/Nested — ANSIとネストされたSQLコメント標準の両方に準拠するコメントをスキップします。ANSI標準のみ、またはネストされた標準のみに一致するコメントは、引き続きインジェクションされたSQLについてチェックされます。

• すべてのコメントをチェック — 何もスキップせずに、リクエスト全体をインジェクションされたSQLについてチェックします。これがデフォルト設定です。

ヒント: 通常、バックエンドデータベースがMicrosoft SQL Serverで実行されていない限り、ユーザーはNestedまたはANSI/Nestedオプションを選択すべきではありません。他のほとんどの種類のSQLサーバーソフトウェアは、ネストされたコメントを認識しません。別の種類のSQLサーバーに向けられたリクエストにネストされたコメントが含まれている場合、それはそのサーバーのセキュリティを侵害しようとする試みを示している可能性があります。

リクエストヘッダーのチェック — フォームフィールドの入力を検査するだけでなく、HTML SQLインジェクション攻撃のためにリクエストヘッダーを検査したい場合は、このオプションを有効にします。GUIを使用する場合、Web Application FirewallプロファイルのAdvanced Settings -> Profile Settingsペインでこのパラメータを有効にできます。

注: ユーザーが「Check Request header」フラグを有効にした場合、User-Agentヘッダーの緩和ルールを設定する必要があるかもしれません。SQLキーワードのlikeとSQL特殊文字のセミコロン(;)が存在すると、誤検知が発生し、このヘッダーを含むリクエストがブロックされる可能性があります。 警告: ユーザーがリクエストヘッダーのチェックと変換の両方を有効にすると、ヘッダー内で見つかったSQL特殊文字も変換されます。Accept、Accept-Charset、Accept-Encoding、Accept-Language、Expect、およびUser-Agentヘッダーには通常セミコロン(;)が含まれています。リクエストヘッダーのチェックと変換を同時に有効にすると、エラーが発生する可能性があります。

InspectQueryContentTypes — 特定のコンテンツタイプに対して、SQLインジェクション攻撃のためにリクエストクエリ部分を検査したい場合は、このオプションを設定します。GUIを使用する場合、Application FirewallプロファイルのAdvanced Settings -> Profile Settingsペインでこのパラメータを設定できます。

クロスサイトスクリプティング

HTMLクロスサイトスクリプティング（クロスサイトスクリプティング）チェックは、ユーザーリクエストのヘッダーとPOSTボディの両方を検査し、クロスサイトスクリプティング攻撃の可能性を調べます。クロスサイトスクリプトが検出された場合、攻撃を無害化するためにリクエストを変更（変換）するか、リクエストをブロックします。

注: HTMLクロスサイトスクリプティング（クロスサイトスクリプティング）チェックは、コンテンツタイプ、コンテンツ長などにのみ機能します。クッキーには機能しません。また、ユーザーのWeb Application Firewallプロファイルで「checkRequestHeaders」オプションが有効になっていることを確認してください。

ユーザー保護ウェブサイト上のスクリプトの悪用によるユーザーウェブサイトのセキュリティ侵害を防ぐため、HTMLクロスサイトスクリプティングチェックは、スクリプトが配置されているサーバー以外のサーバー上のコンテンツにアクセスしたり変更したりしてはならないと定める「同一生成元ポリシー」に違反するスクリプトをブロックします。同一生成元ポリシーに違反するスクリプトはクロスサイトスクリプトと呼ばれ、スクリプトを使用して別のサーバー上のコンテンツにアクセスまたは変更する行為はクロスサイトスクリプティングと呼ばれます。クロスサイトスクリプティングがセキュリティ上の問題となる理由は、クロスサイトスクリプティングを許可するウェブサーバーが、そのウェブサーバー上ではなく、攻撃者が所有および制御する別のウェブサーバー上のスクリプトによって攻撃される可能性があるためです。

残念ながら、多くの企業は同一生成元ポリシーに違反するJavaScript強化ウェブコンテンツを大量に導入しています。ユーザーがそのようなサイトでHTMLクロスサイトスクリプティングチェックを有効にする場合、チェックが正当な活動をブロックしないように、適切な例外を生成する必要があります。

Web Application Firewallは、HTMLクロスサイトスクリプティング保護を実装するためのさまざまなアクションオプションを提供します。Block、Log、Stats、Learnのアクションに加えて、ユーザーは送信されたリクエスト内のスクリプトタグをエンティティエンコードすることで攻撃を無害化するクロスサイトスクリプトの変換オプションも利用できます。ユーザーは、クロスサイトスクリプティングパラメータの「Check complete URLs」を設定して、クエリパラメータだけでなくURL全体を検査してクロスサイトスクリプティング攻撃を検出するかどうかを指定できます。ユーザーは、InspectQueryContentTypesパラメータを設定して、特定のコンテンツタイプに対するクロスサイトスクリプティング攻撃のためにリクエストクエリ部分を検査できます。

ユーザーは誤検知を避けるために緩和策を展開できます。Web Application Firewallの学習エンジンは、緩和ルールの設定に関する推奨事項を提供できます。

ユーザーアプリケーション向けに最適化されたHTMLクロスサイトスクリプティング保護を設定するために、以下のオプションが利用可能です。

• ブロック — ユーザーがブロックを有効にすると、リクエスト内でクロスサイトスクリプティングタグが検出された場合にブロックアクションがトリガーされます。

• ログ — ユーザーがログ機能を有効にすると、HTMLクロスサイトスクリプティングチェックは、実行するアクションを示すログメッセージを生成します。ブロックが無効になっている場合、クロスサイトスクリプティング違反が検出された各ヘッダーまたはフォームフィールドに対して個別のログメッセージが生成されます。ただし、リクエストがブロックされた場合は1つのメッセージのみが生成されます。同様に、複数のフィールドでクロスサイトスクリプティングタグが変換された場合でも、変換操作に対してはリクエストごとに1つのログメッセージが生成されます。ユーザーはログを監視して、正当なリクエストへの応答がブロックされているかどうかを判断できます。ログメッセージの数が大幅に増加すると、攻撃を仕掛けようとしていることを示している可能性があります。

• 統計 — 有効にすると、統計機能は違反とログに関する統計を収集します。統計カウンターの予期せぬ急増は、ユーザーアプリケーションが攻撃を受けていることを示している可能性があります。正当なリクエストがブロックされている場合、ユーザーは新しい緩和ルールを設定する必要があるか、既存のルールを変更する必要があるかを確認するために、設定を見直す必要があるかもしれません。

• 学習 — ユーザーがどの緩和ルールが自分のアプリケーションに最適であるか確信が持てない場合、学習機能を使用して、学習データに基づいてHTMLクロスサイトスクリプティングルールの推奨事項を生成できます。Webアプリケーションファイアウォールの学習エンジンはトラフィックを監視し、観測された値に基づいて学習推奨事項を提供します。パフォーマンスを損なうことなく最適なメリットを得るには、ユーザーは短期間学習オプションを有効にして、ルールの代表的なサンプルを取得し、その後ルールを展開して学習を無効にすることをお勧めします。

• クロスサイトスクリプトの変換 — 有効にすると、Webアプリケーションファイアウォールは、HTMLクロスサイトスクリプティングチェックに一致するリクエストに対して次の変更を行います。

  • 左山括弧 (<) をHTML文字実体参照 (<) に

  • 右山括弧 (>) をHTML文字実体参照 (>) に

これにより、ブラウザが<script>などの安全でないHTMLタグを解釈せず、悪意のあるコードが実行されるのを防ぎます。ユーザーがリクエストヘッダーのチェックと変換の両方を有効にすると、リクエストヘッダーで見つかった特殊文字も上記のように変更されます。ユーザーが保護しているウェブサイトのスクリプトにクロスサイトスクリプティング機能が含まれているが、ユーザーのウェブサイトがそれらのスクリプトに依存して正しく動作しない場合、ユーザーは安全にブロックを無効にし、変換を有効にすることができます。この設定により、正当なウェブトラフィックがブロックされることなく、潜在的なクロスサイトスクリプティング攻撃を阻止できます。

• クロスサイトスクリプティングの完全なURLをチェック — 完全なURLのチェックが有効になっている場合、Webアプリケーションファイアウォールは、URLのクエリ部分のみをチェックするのではなく、HTMLクロスサイトスクリプティング攻撃のためにURL全体を検査します。

• リクエストヘッダーのチェック — リクエストヘッダーのチェックが有効になっている場合、Webアプリケーションファイアウォールは、URLだけでなく、HTMLクロスサイトスクリプティング攻撃のためにリクエストのヘッダーを検査します。GUIを使用する場合、ユーザーはWebアプリケーションファイアウォールプロファイルの[設定]タブでこのパラメータを有効にできます。

• InspectQueryContentTypes — リクエストクエリ検査が設定されている場合、アプリケーションファイアウォールは、特定のコンテンツタイプに対するクロスサイトスクリプティング攻撃のリクエストクエリを検査します。GUIを使用する場合、ユーザーはアプリケーションファイアウォールプロファイルの[設定]タブでこのパラメータを設定できます。

重要: ストリーミングの変更の一環として、Webアプリケーションファイアウォールによるクロスサイトスクリプティングタグの処理が変更されました。以前のリリースでは、開き括弧 (<)、閉じ括弧 (>)、またはその両方 (<>) の存在がクロスサイトスクリプティング違反としてフラグ付けされていました。リクエストサイドストリーミングのサポートを含むビルドでは、動作が変更されています。閉じ括弧文字 (>) のみが攻撃とは見なされなくなりました。開き括弧文字 (<) が存在する場合でもリクエストはブロックされ、攻撃と見なされます。クロスサイトスクリプティング攻撃がフラグ付けされます。

バッファオーバーフローチェック

バッファオーバーフローチェックは、Webサーバーでバッファオーバーフローを引き起こそうとする試みを検出します。Webアプリケーションファイアウォールが、URL、Cookie、またはヘッダーが設定された長さよりも長いことを検出した場合、バッファオーバーフローを引き起こす可能性があるため、そのリクエストをブロックします。

バッファオーバーフローチェックは、処理できるデータ文字列よりも大きなデータ文字列を受信したときにクラッシュしたり、予測不能な動作をしたりする可能性のある、安全でないオペレーティングシステムまたはWebサーバーソフトウェアに対する攻撃を防ぎます。適切なプログラミング技術は、受信データをチェックし、長すぎる文字列を拒否または切り詰めることによってバッファオーバーフローを防ぎます。しかし、多くのプログラムはすべての受信データをチェックしないため、バッファオーバーフローに対して脆弱です。この問題は、特に古いバージョンのWebサーバーソフトウェアやオペレーティングシステムに影響を与え、その多くはまだ使用されています。

バッファオーバーフローセキュリティチェックでは、ユーザーがブロック、ログ、統計のアクションを設定できます。さらに、ユーザーは次のパラメータも設定できます。

• 最大URL長。Web Application Firewallが要求されたURLで許可する最大長。これより長いURLを持つ要求はブロックされます。指定可能な値: 0～65535。デフォルト: 1024

• 最大Cookie長。Web Application Firewallが要求内のすべてのCookieで許可する最大長。これより長いCookieを持つ要求は違反をトリガーします。指定可能な値: 0～65535。デフォルト: 4096

• 最大ヘッダー長。Web Application FirewallがHTTPヘッダーで許可する最大長。これより長いヘッダーを持つ要求はブロックされます。指定可能な値: 0～65535。デフォルト: 4096

• クエリ文字列長。受信要求のクエリ文字列に許可される最大長。これより長いクエリを持つ要求はブロックされます。指定可能な値: 0～65535。デフォルト: 1024

• 合計要求長。受信要求に許可される最大要求長。これより長い要求はブロックされます。指定可能な値: 0～65535。デフォルト: 24820

仮想パッチ/シグネチャ

シグネチャは、既知の攻撃からユーザーのWebサイトを保護するタスクを簡素化するための、特定の構成可能なルールを提供します。シグネチャは、オペレーティングシステム、Webサーバー、Webサイト、XMLベースのWebサービス、またはその他のリソースに対する既知の攻撃のコンポーネントであるパターンを表します。事前設定された豊富な組み込みまたはネイティブルールセットは、パターンマッチングの力を適用して攻撃を検出し、アプリケーションの脆弱性から保護する、使いやすいセキュリティソリューションを提供します。

ユーザーは独自のシグネチャを作成したり、組み込みテンプレートのシグネチャを使用したりできます。Web Application Firewallには、2つの組み込みテンプレートがあります。

• デフォルトシグネチャ: このテンプレートには、1,300を超えるシグネチャの事前設定されたリストに加え、SQLインジェクションキーワード、SQL特殊文字列、SQL変換ルール、SQLワイルドカード文字の完全なリストが含まれています。また、クロスサイトスクリプティングの拒否パターン、およびクロスサイトスクリプティングの許可属性とタグも含まれています。これは読み取り専用テンプレートです。ユーザーは内容を表示できますが、このテンプレートに何かを追加、編集、または削除することはできません。使用するには、ユーザーはコピーを作成する必要があります。独自のコピーでは、ユーザーはトラフィックに適用したいシグネチャルールを有効にし、シグネチャルールがトラフィックと一致した場合に実行するアクションを指定できます。

シグネチャは、SNORT: SNORTによって公開されたルールから派生しています。SNORTは、さまざまな攻撃やプローブを検出するためにリアルタイムトラフィック分析を実行できるオープンソースの侵入防止システムです。

• *Xpathインジェクションパターン: このテンプレートには、XPath (XML Path Language) インジェクション攻撃を検出するために使用される、事前設定されたリテラルおよびPCREキーワードと特殊文字列のセットが含まれています。

空白のシグネチャ: 組み込みのデフォルトシグネチャテンプレートのコピーを作成するだけでなく、ユーザーは空白のシグネチャテンプレートを使用してシグネチャオブジェクトを作成できます。空白のシグネチャオプションでユーザーが作成するシグネチャオブジェクトには、ネイティブシグネチャルールはありませんが、*デフォルトテンプレートと同様に、すべてのSQL/XSS組み込みエンティティが含まれています。

外部形式シグネチャ: Web Application Firewallは、外部形式のシグネチャもサポートしています。ユーザーは、Citrix Web Application FirewallでサポートされているXSLTファイルを使用して、サードパーティのスキャンレポートをインポートできます。選択されたスキャンツール向けに、外部形式ファイルをネイティブ形式に変換するための組み込みXSLTファイルセットが利用可能です（このセクションの後半にある組み込みXSLTファイルのリストを参照）。

シグネチャは、露出した脆弱性のリスクを軽減し、ユーザーのミッションクリティカルなWebサーバーを保護し、有効性を目指すのに役立ちますが、シグネチャは追加のCPU処理コストを伴います。

ユーザーのアプリケーションのニーズに合った適切なシグネチャを選択することが重要です。顧客のアプリケーション/環境に関連するシグネチャのみを有効にしてください。

Citrixは、プラットフォーム/OS/テクノロジーを横断して、10以上の異なるカテゴリのシグネチャを提供しています。

攻撃情報が長年にわたって蓄積されてきたため、シグネチャルールデータベースは膨大です。そのため、ソフトウェア開発者がすでにパッチを適用しているか、顧客がより新しいバージョンのOSを実行しているため、古いルールのほとんどはすべてのネットワークに関連しない可能性があります。

シグネチャの更新

Citrix Web Application Firewallは、シグネチャの自動および手動更新の両方をサポートしています。 シグネチャを最新の状態に保つために、自動更新を有効にすることもお勧めします。

これらのシグネチャファイルはAWS環境でホストされており、最新のシグネチャファイルを取得するために、ネットワークファイアウォールからNetScaler® IPへのアウトバウンドアクセスを許可することが重要です。リアルタイムトラフィックの処理中にADCにシグネチャを更新しても影響はありません。

アプリケーションセキュリティ分析

アプリケーションセキュリティダッシュボードは、ユーザーアプリケーションのセキュリティ状態を包括的に表示します。たとえば、セキュリティ違反、シグネチャ違反、脅威インデックスなどの主要なセキュリティメトリックを表示します。アプリケーションセキュリティダッシュボードは、検出されたCitrix ADCインスタンスのSYN攻撃、スモールウィンドウ攻撃、DNSフラッド攻撃などの攻撃関連情報も表示します。

注: アプリケーションセキュリティダッシュボードのメトリックを表示するには、ユーザーが監視したいCitrix ADCインスタンスでAppFlow® for Security insightを有効にする必要があります。

アプリケーションセキュリティダッシュボードでCitrix ADCインスタンスのセキュリティメトリックを表示するには：

1. 管理者資格情報を使用してCitrix ADMにログオンします。

2. アプリケーション > アプリセキュリティダッシュボードに移動し、デバイスリストからインスタンスのIPアドレスを選択します。

ユーザーは、グラフにプロットされたバブルをクリックすることで、アプリケーションセキュリティインベスティゲーターで報告された不一致をさらにドリルダウンできます。

ADMでの集中学習

Citrix Web Application Firewall (WAF) は、SQLインジェクションやクロスサイトスクリプティング (XSS) などの悪意のある攻撃からユーザーのWebアプリケーションを保護します。データ侵害を防止し、適切なセキュリティ保護を提供するために、ユーザーは脅威と攻撃に関するリアルタイムの実行可能なデータをトラフィックで監視する必要があります。報告された攻撃が誤検知である場合があり、それらは例外として提供される必要があります。

Citrix ADM の集中学習は、WAF がユーザーの Web アプリケーションの動作 (通常の活動) を学習できるようにする反復パターンフィルターです。監視に基づいて、エンジンは HTTP トラフィックに適用される各セキュリティチェックに対して、推奨されるルールまたは例外のリストを生成します。

学習エンジンを使用して緩和ルールを展開する方が、必要な緩和策として手動で展開するよりもはるかに簡単です。

学習機能を展開するには、ユーザーはまず、ユーザーの Citrix ADC アプライアンスで Web Application Firewall プロファイル (セキュリティ設定のセット) を構成する必要があります。詳細については、「Web Application Firewall プロファイルの作成: Web App Firewall プロファイルの作成」を参照してください。

Citrix ADM は、各セキュリティチェックの例外 (緩和策) のリストを生成します。管理者として、ユーザーは Citrix ADM で例外のリストを確認し、展開するかスキップするかを決定できます。

Citrix ADM の WAF 学習機能を使用すると、ユーザーは次のことができます。

• 次のセキュリティチェックで学習プロファイルを構成する

  • バッファオーバーフロー

  • HTMLクロスサイトスクリプティング

    注: ロケーションのクロスサイトスクリプトの制限は FormField のみです。

  • HTML SQLインジェクション

    注:

    HTML SQLインジェクションチェックの場合、ユーザーはCitrix ADCインスタンスでset -sqlinjectionTransformSpecialChars ONとset -sqlinjectiontype sqlspclcharorkeywordsを構成する必要があります。

• Citrix ADM で緩和ルールを確認し、必要なアクション (展開またはスキップ) を実行するかどうかを決定する

• メール、Slack、ServiceNow を介して通知を受け取る

• ダッシュボードを使用して緩和の詳細を表示します。

Citrix ADMでWAF学習を使用するには：

1. 学習プロファイルを構成します: 学習プロファイルの構成

2. 緩和ルールを参照します: 緩和ルールとアイドルルールの表示

3. WAF学習ダッシュボードを使用します: WAF学習ダッシュボードの表示

スタイルブック

Citrix Web Application Firewallは、既知および未知の攻撃の両方からWebアプリケーションとサイトを保護するWebアプリケーションファイアウォール（WAF）であり、すべてのアプリケーション層およびゼロデイ脅威を含みます。

Citrix ADMは現在、ユーザーがCitrix ADCインスタンス上でアプリケーションファイアウォール構成をより便利に作成できるデフォルトのStyleBookを提供しています。

アプリケーションファイアウォール構成の展開

次のタスクは、ビジネスネットワーク内のCitrix ADCインスタンスに、アプリケーションファイアウォールとIPレピュテーションポリシーとともにロードバランシング構成を展開するのに役立ちます。

アプリケーションファイアウォール設定を含むLB構成を作成するには

Citrix ADM で、Applications > Configurations > StyleBooks に移動します。スタイルブックページには、Citrix で顧客が利用できるすべてのスタイルブックが表示されます。

• ADM。下にスクロールして、アプリケーションファイアウォールポリシーとIPレピュテーションポリシーを含むHTTP/SSLロードバランシングStyleBookを見つけます。ユーザーは、名前を lb-appfw. と入力してStyleBookを検索することもできます。Create Configuration をクリックします。

StyleBookは、ユーザーがこのStyleBookで定義されているすべてのパラメーターの値を入力できるユーザーインターフェイスページとして開きます。

• 次のパラメーターの値を入力します。

  • ロードバランシングされたアプリケーション名。ユーザーネットワークに展開するアプリケーションファイアウォールを備えたロードバランシング構成の名前。

  • ロードバランシングされたアプリの仮想IPアドレス。Citrix ADCインスタンスがクライアント要求を受信する仮想IPアドレス。

  • ロードバランシングされたアプリの仮想ポート。ユーザーがロードバランシングされたアプリケーションにアクセスする際に使用するTCPポート。

  • ロードバランシングされたアプリのプロトコル。リストからフロントエンドプロトコルを選択します。

  • アプリケーションサーバープロトコル。アプリケーションサーバーのプロトコルを選択します。

• オプションとして、ユーザーは詳細ロードバランサー設定を有効にして構成できます。

• オプションで、ユーザーはロードバランシング仮想サーバーのトラフィックを認証するために、認証サーバーを設定することもできます。

• サーバーIPとポートのセクションで「+」をクリックして、アプリケーションサーバーと、それらにアクセスできるポートを作成します。

• ユーザーはアプリケーションサーバー用にFQDN名を作成することもできます。

• ユーザーはSSL証明書の詳細を指定することもできます。

• ユーザーは、ターゲットのCitrix ADCインスタンスでモニターを作成することもできます。

• 仮想サーバーでアプリケーションファイアウォールを構成するには、WAF設定を有効にします。

ユーザーがそのVIP上のすべてのトラフィックにアプリケーションファイアウォール設定を適用したい場合は、アプリケーションファイアウォールポリシー規則がtrueであることを確認してください。そうでない場合は、アプリケーションファイアウォール設定を適用するリクエストのサブセットを選択するためにCitrix ADCポリシー規則を指定します。次に、適用するプロファイルの種類（HTMLまたはXML）を選択します。

• オプションで、ユーザーはアプリケーションファイアウォールプロファイル設定チェックボックスを有効にすることで、詳細なアプリケーションファイアウォールプロファイル設定を構成できます。

• オプションで、ユーザーがアプリケーションファイアウォール署名を構成したい場合は、仮想サーバーが展開されるCitrix ADCインスタンスで作成された署名オブジェクトの名前を入力します。

注:

このStyleBookを使用して署名オブジェクトを作成することはできません。

• 次に、ユーザーはStartURL設定、DenyURL設定などの他のアプリケーションファイアウォールプロファイル設定も構成できます。

アプリケーションファイアウォールと構成設定の詳細については、「アプリケーションファイアウォール」を参照してください。

• ターゲットインスタンスセクションで、アプリケーションファイアウォールを備えた負荷分散仮想サーバーを展開するCitrix ADCインスタンスを選択します。

注: ユーザーは更新アイコンをクリックして、Citrix ADMで最近検出されたCitrix ADCインスタンスをこのウィンドウの利用可能なインスタンスリストに追加することもできます。

• ユーザーは、不要なリクエストを送信しているIPアドレスを特定するために、IPレピュテーションチェックを有効にすることもできます。ユーザーはIPレピュテーションリストを使用して、評判の悪いIPからのリクエストを事前に拒否できます。

ヒント: Citrixでは、インスタンスで実際の構成を実行する前に、ターゲットインスタンスで作成する必要がある構成オブジェクトを確認するために、ユーザーがドライランを選択することをお勧めします。

構成が正常に作成されると、StyleBookは必要なロードバランシング仮想サーバー、アプリケーションサーバー、サービス、サービスグループ、アプリケーションファイアウォールラベル、アプリケーションファイアウォールポリシーを作成し、それらをロードバランシング仮想サーバーにバインドします。

次の図は、各サーバーで作成されたオブジェクトを示しています。

• Citrix ADMで作成された構成パックを表示するには、Applications > Configurations に移動します。

セキュリティインサイト アナリティクス

インターネットに公開されているWebおよびWebサービスアプリケーションは、攻撃に対してますます脆弱になっています。アプリケーションを攻撃から保護するには、過去、現在、および差し迫った脅威の性質と範囲、攻撃に関するリアルタイムで実用的なデータ、および対策に関する推奨事項をユーザーが把握する必要があります。Security Insightは、ユーザーがアプリケーションのセキュリティ状態を評価し、アプリケーションを保護するための是正措置を講じるのに役立つ単一ペインソリューションを提供します。

セキュリティインサイトの仕組み

Security Insightは、ユーザーアプリケーションに関連する脅威環境を完全に可視化する直感的なダッシュボードベースのセキュリティ分析ソリューションです。Security InsightはCitrix ADMに含まれており、ユーザーのアプリケーションファイアウォールとADCシステムセキュリティ構成に基づいて定期的にレポートを生成します。レポートには、各アプリケーションに関する次の情報が含まれます。

• 脅威インデックス。アプリケーションがADCアプライアンスによって保護されているかどうかにかかわらず、アプリケーションに対する攻撃の重大度を示す1桁の評価システムです。アプリケーションに対する攻撃が重大であるほど、そのアプリケーションの脅威インデックスは高くなります。値は1から7の範囲です。

脅威インデックスは攻撃情報に基づいています。違反の種類、攻撃カテゴリ、場所、クライアントの詳細などの攻撃関連情報は、アプリケーションに対する攻撃に関する洞察をユーザーに提供します。違反情報は、違反または攻撃が発生した場合にのみCitrix ADMに送信されます。多くの侵害や脆弱性は、高い脅威インデックス値につながります。

• 安全インデックス。ユーザーが外部の脅威や脆弱性からアプリケーションを保護するためにADCインスタンスをどれだけ安全に構成したかを示す1桁の評価システムです。アプリケーションのセキュリティリスクが低いほど、安全インデックスは高くなります。値は1から7の範囲です。

安全性インデックスは、アプリケーションファイアウォールの構成とADCシステムセキュリティの構成の両方を考慮します。高い安全性インデックス値を得るには、両方の構成が強力である必要があります。たとえば、厳格なアプリケーションファイアウォールチェックが実施されていても、nsroot ユーザーの強力なパスワードなどのADCシステムセキュリティ対策が採用されていない場合、アプリケーションには低い安全性インデックス値が割り当てられます。

• 実用的な情報。脅威インデックスを下げ、安全性インデックスを上げてアプリケーションセキュリティを大幅に向上させるためにユーザーが必要とする情報。たとえば、ユーザーは違反、アプリケーションファイアウォールやその他のセキュリティ機能の既存および不足しているセキュリティ構成、アプリケーションが攻撃されている頻度などに関する情報を確認できます。

セキュリティインサイトの構成

注: Security Insight は、Premium ライセンスまたは AppFirewall ライセンス付きの ADC Advanced を持つ ADC インスタンスでのみサポートされています。

ADC インスタンスで Security Insight を構成するには、まずアプリケーションファイアウォールプロファイルとアプリケーションファイアウォールポリシーを構成し、次にアプリケーションファイアウォールポリシーをグローバルにバインドします。

次に、AppFlow 機能を有効にし、AppFlow コレクター、アクション、およびポリシーを構成し、ポリシーをグローバルにバインドします。ユーザーがコレクターを構成するときは、レポートを監視したい Citrix ADM サービスエージェントの IP アドレスを指定する必要があります。

ADC インスタンスでのセキュリティインサイトの構成

• アプリケーションファイアウォールプロファイルとポリシーを構成し、アプリケーションファイアウォールポリシーをグローバルに、またはロードバランシング仮想サーバーにバインドするには、次のコマンドを実行します。

add appfw profile <name> [-defaults ( basic or advanced )]

set appfw profile <name> [-startURLAction <startURLAction> …]

アプリケーションファイアウォールポリシーを追加 <name> <rule> <profileName>

アプリケーションファイアウォールグローバルをバインド <policyName> <priority>

または、

bind lb vserver <lb vserver> -policyName <policy> -priority <priority>

例:

add appfw profile pr_appfw -defaults advanced

set appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority "20"

<!--NeedCopy-->

• AppFlow機能を有効にし、AppFlowコレクター、アクション、ポリシーを設定し、そのポリシーをグローバルに、またはロードバランシング仮想サーバーにバインドするには、以下のコマンドを実行します。

add appflow collector <name> -IPAddress <ipaddress>

set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ENABLED or DISABLED )]

add appflow action <name> -collectors <string>

AppFlowポリシーを追加 <名前> <ルール> <アクション>

AppFlowグローバルにバインド <ポリシー名> <優先度> [<goto優先度式>] [-タイプ <タイプ>]

または、

bind lb vserver <vserver> -policyName <policy> -priority <priority>

サンプル：

add appflow collector col -IPAddress 10.102.63.85

set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"

<!--NeedCopy-->

Citrix ADMからセキュリティインサイトを有効にする

1. Networks > Instances > Citrix ADC の順に移動し、インスタンスタイプを選択します。例：VPX。

2. インスタンスを選択し、Select Action リストから Configure Analytics を選択します。

3. 「仮想サーバーでアナリティクスを構成」ウィンドウで：

   • セキュリティインサイトを有効にしたい仮想サーバーを選択し、Enable Analytics をクリックします。

   Enable Analytics ウィンドウが表示されます。

   • 「セキュリティインサイト」を選択します

   • 「詳細オプション」で、転送モードとして「Logstream」または「IPFIX」を選択します。

   • 式はデフォルトでtrueです

   • 「OK」をクリックします

注:

• ユーザーがライセンスされていない仮想サーバーを選択した場合、Citrix ADMはまずそれらの仮想サーバーにライセンスを付与し、その後アナリティクスを有効にします

• 管理者パーティションの場合、Web Insightのみがサポートされます

ユーザーが「OK」をクリックすると、Citrix ADMは、選択された仮想サーバーでアナリティクスを有効にする処理を行います。

注: ユーザーがグループを作成すると、そのグループにロールを割り当てたり、アプリケーションレベルのアクセス権を付与したり、ユーザーを割り当てたりできます。Citrix ADMアナリティクスは、仮想IPアドレスベースの承認をサポートするようになりました。顧客ユーザーは、承認されているアプリケーション（仮想サーバー）についてのみ、すべてのInsightのレポートを表示できるようになりました。グループとグループへのユーザーの割り当ての詳細については、「Citrix ADMでグループを構成する: Configure Groups on Citrix ADM」を参照してください。

しきい値

ユーザーは、Security Insightでアプリケーションの安全指数と脅威指数についてしきい値を設定および表示できます。

しきい値を設定するには:

• システム > 分析設定 > しきい値 に移動し、追加 を選択します。

• トラフィックタイプフィールドでトラフィックタイプをセキュリティとして選択し、名前、期間、エンティティなどの他の適切なフィールドに必要情報を入力します。

• ルールセクションで、メトリック、比較演算子、値の各フィールドを使用してしきい値を設定します。 例：「脅威インデックス」 「>」 「5」

• 作成をクリックします。

しきい値違反を表示するには：

• アナリティクス > セキュリティインサイト > デバイスに移動し、ADCインスタンスを選択します。

• アプリケーションセクションでは、ユーザーはしきい値違反列で各仮想サーバーに発生したしきい値違反の数を表示できます。

セキュリティインサイトのユースケース

次のユースケースでは、ユーザーがセキュリティインサイトを使用してアプリケーションの脅威への露出を評価し、セキュリティ対策を改善する方法について説明します。

脅威環境の概要を取得する

このユースケースでは、ユーザーは攻撃にさらされている一連のアプリケーションを持っており、脅威環境を監視するようにCitrix ADMを設定しています。ユーザーは、脅威インデックス、安全インデックス、およびアプリケーションが経験した可能性のある攻撃の種類と重大度を頻繁にレビューして、最も注意が必要なアプリケーションに最初に焦点を当てることができるようにする必要があります。セキュリティインサイトダッシュボードは、ユーザーが選択した期間にユーザーアプリケーションが経験した脅威の概要を、選択したADCデバイスについて提供します。これは、アプリケーションのリスト、それらの脅威インデックスと安全インデックス、および選択した期間の攻撃の総数を表示します。

例えば、ユーザーはMicrosoft Outlook、Microsoft Lync、SharePoint、およびSAPアプリケーションを監視している可能性があり、これらのアプリケーションの脅威環境の概要をレビューしたいと考えるかもしれません。

脅威環境の概要を取得するには、Citrix ADMにログオンし、アナリティクス > セキュリティインサイトに移動します。

各アプリケーションの主要情報が表示されます。デフォルトの期間は1時間です。

異なる期間の情報を表示するには、左上のリストから期間を選択します。

別のADCインスタンスの概要を表示するには、Devicesの下でADCインスタンスのIPアドレスをクリックします。アプリケーションリストを特定の列でソートするには、列ヘッダーをクリックします。

アプリケーションの脅威エクスポージャーを特定する

Security Insightダッシュボードで脅威環境の概要を確認し、脅威インデックスが高く安全インデックスが低いアプリケーションを特定した後、ユーザーはそれらをどのように保護するかを決定する前に、脅威エクスポージャーを特定したいと考えています。つまり、ユーザーはインデックス値を低下させた攻撃の種類と深刻度を特定したいと考えています。ユーザーは、アプリケーションの概要を確認することで、アプリケーションの脅威エクスポージャーを特定できます。

この例では、Microsoft Outlookの脅威インデックス値は6であり、ユーザーはこの高い脅威インデックスに寄与している要因を知りたいと考えています。

Microsoft Outlookの脅威エクスポージャーを特定するには、Security InsightダッシュボードでOutlookをクリックします。アプリケーションの概要には、サーバーの地理的な場所を特定するマップが含まれています。

脅威インデックス > セキュリティチェック違反 をクリックし、表示される違反情報を確認します。

Signature Violationsをクリックし、表示される違反情報を確認します。

アプリケーションの既存および不足しているセキュリティ構成を特定する

アプリケーションの脅威エクスポージャーを確認した後、ユーザーは、どのようなアプリケーションセキュリティ構成が適用されており、そのアプリケーションにどのような構成が不足しているかを特定したいと考えています。ユーザーは、アプリケーションの安全インデックスの概要をドリルダウンすることで、この情報を取得できます。

安全インデックスの概要は、以下のセキュリティ構成の有効性に関する情報をユーザーに提供します。

• アプリケーションファイアウォール構成。署名およびセキュリティエンティティがいくつ構成されていないかを示します。

• Citrix ADM System Security。システムセキュリティ設定がいくつ未構成であるかを表示します。

以前のユースケースでは、ユーザーはMicrosoft Outlookの脅威エクスポージャーを確認しました。これは脅威インデックス値が6です。現在、ユーザーはOutlookにどのようなセキュリティ構成が適用されているか、そしてその脅威インデックスを改善するためにどのような構成を追加できるかを知りたいと考えています。

Security Insightダッシュボードで、Outlookをクリックし、次にSafety Indexタブをクリックします。Safety Index Summary領域に表示される情報を確認します。

Application Firewall Configurationノードで、Outlook_Profileをクリックし、円グラフでセキュリティチェックとシグネチャ違反の情報を確認します。

アプリケーションファイアウォールの概要テーブルで、各保護タイプの構成ステータスを確認します。テーブルを列でソートするには、列ヘッダーをクリックします。

Citrix ADM System Securityノードをクリックし、システムセキュリティ設定とCitrixの推奨事項を確認して、アプリケーションの安全インデックスを改善します。

即座の対応が必要なアプリケーションを特定する

即座の対応が必要なアプリケーションは、脅威インデックスが高く、安全インデックスが低いものです。

この例では、Microsoft OutlookとMicrosoft Lyncの両方が脅威インデックス値6と高いですが、Lyncは2つのうち安全インデックスが低いです。したがって、ユーザーはOutlookの脅威環境を改善する前に、Lyncに注意を集中する必要があるかもしれません。

特定の期間における攻撃数を特定する

ユーザーは、特定の時点であるアプリケーションで発生した攻撃の数を知りたい場合や、特定の期間の攻撃率を調べたい場合があります。

Security Insightページで、任意のアプリケーションをクリックし、Application Summaryで違反の数をクリックします。合計違反ページには、1時間、1日、1週間、1か月間の攻撃がグラフ形式で表示されます。

Application Summaryテーブルには、攻撃に関する詳細が表示されます。その一部を次に示します。

• 攻撃時刻

• 攻撃が発生したクライアントのIPアドレス

• 重大度

• 違反カテゴリ

• 攻撃元URL、およびその他の詳細。

ユーザーは、上記の画像のように時間ごとのレポートで常に攻撃時刻を表示できますが、今後は日次または週次レポートでも集計レポートの攻撃時刻範囲を表示できます。ユーザーが期間リストから「1日」を選択すると、Security Insightレポートには集計されたすべての攻撃が表示され、攻撃時刻は1時間範囲で表示されます。ユーザーが「1週間」または「1か月」を選択すると、すべての攻撃が集計され、攻撃時刻は1日範囲で表示されます。

セキュリティ侵害に関する詳細情報の取得

ユーザーは、アプリケーションに対する攻撃のリストを表示し、攻撃の種類と重大度、ADCインスタンスによって実行されたアクション、要求されたリソース、および攻撃元に関する洞察を得たい場合があります。

たとえば、ユーザーはMicrosoft Lyncに対する攻撃がいくつブロックされたか、どのようなリソースが要求されたか、および攻撃元のIPアドレスを特定したい場合があります。

「Security Insightダッシュボード」で、「Lync」>「Total Violations」をクリックします。テーブルで、「Action Taken」列ヘッダーのフィルターアイコンをクリックし、「Blocked」を選択します。

要求されたリソースに関する情報については、「URL」列を確認してください。攻撃元に関する情報については、「Client IP」列を確認してください。

ログ式の詳細を表示

Citrix ADCインスタンスは、Application Firewallプロファイルで構成されたログ式を使用して、ユーザー企業内のアプリケーションに対する攻撃に対処します。Security Insightでは、ユーザーはADCインスタンスが使用したログ式に対して返された値を表示できます。これらの値には、リクエストヘッダー、リクエストボディなどが含まれます。ログ式の値に加えて、ユーザーは、ADCインスタンスが攻撃に対処するために使用したApplication Firewallプロファイルで定義されたログ式の名前とコメントも表示できます。

前提条件:

ユーザーが以下を実行していることを確認してください。

• Application Firewallプロファイルでログ式を構成します。詳細については、「Application Firewall」を参照してください。

• Citrix ADMでログ式ベースのSecurity Insights設定を有効にします。次の手順を実行します。

  • 「アナリティクス」>「設定」に移動し、「Enable Features for Analytics」をクリックします。

  • 「Enable Features for Analytics」ページで、「ログ式ベースのセキュリティインサイト設定」セクションの下にある「セキュリティインサイトを有効にする」を選択し、「OK」をクリックします。

たとえば、ユーザーは、ユーザー企業内のMicrosoft Lyncに対する攻撃に対してADCインスタンスが実行したアクションのために返されたログ式の値を表示したい場合があります。

「Security Insightダッシュボード」で、「Lync」>「Total Violations」に移動します。アプリケーションサマリーテーブルで、URLをクリックして、「Violation Information」ページで違反の完全な詳細（ログ式の名前、コメント、およびADCインスタンスがアクションに対して返した値を含む）を表示します。

設定を展開する前に安全指数を決定する

セキュリティ侵害は、ユーザーがADCインスタンスにセキュリティ設定を展開した後に発生しますが、ユーザーは展開する前にセキュリティ設定の有効性を評価したいと考えるかもしれません。

たとえば、ユーザーはIPアドレス10.102.60.27のADCインスタンス上のSAPアプリケーションの設定の安全指数を評価したいと考えるかもしれません。

Security InsightダッシュボードのDevicesの下で、ユーザーが設定したADCインスタンスのIPアドレスをクリックします。脅威指数と攻撃の総数が両方とも0であることがわかります。脅威指数は、アプリケーションに対する攻撃の数と種類の直接的な反映です。攻撃がゼロであることは、アプリケーションが何の脅威にもさらされていないことを示します。

Sap > Safety Index > SAP_Profile をクリックし、表示される安全指数情報を評価します。

アプリケーションファイアウォールの概要で、ユーザーはさまざまな保護設定の構成ステータスを表示できます。設定がログに設定されている場合、または設定が構成されていない場合、アプリケーションには低い安全指数が割り当てられます。

セキュリティ違反

アプリケーションセキュリティ違反の詳細を表示

インターネットに公開されているWebアプリケーションは、攻撃に対して劇的に脆弱になっています。Citrix ADMは、ユーザーが実用的な違反の詳細を視覚化して、アプリケーションを攻撃から保護することを可能にします。単一ペインソリューションとして、Security > Security Violations に移動して、次のことを行います。

• Network、Bot、WAF などのカテゴリに基づいてアプリケーションセキュリティ違反にアクセスする

• アプリケーションを保護するための是正措置を講じる

Citrix ADMでセキュリティ違反を表示するには、以下を確認してください。

• ユーザーはCitrix ADCインスタンスのプレミアムライセンスを持っています（WAFおよびBOT違反の場合）。

• ユーザーは、負荷分散またはコンテンツスイッチング仮想サーバーにライセンスを適用しています（WAFおよびBOTの場合）。詳細については、仮想サーバーでのライセンス管理を参照してください。

• ユーザーはさらに設定を有効にします。詳細については、Citrix製品ドキュメントの「設定」セクションにある手順を参照してください: 設定。

違反カテゴリ

Citrix ADMでは、以下の違反を表示できます。

** - ユーザーはCitrix ADMでアカウント乗っ取り設定を構成する必要があります。アカウント乗っ取りで言及されている前提条件を参照してください: アカウント乗っ取り。

これらの違反とは別に、ユーザーはWAFおよびBotカテゴリの下で、以下のセキュリティインサイトおよびボットインサイトの違反も表示できます。

設定

Citrix ADMで以下の違反を表示するには、ユーザーは高度なセキュリティ分析を有効にし、Webトランザクション設定をすべてに設定する必要があります。

• 異常に高いアップロードトランザクション (WAF)

• 異常に高いダウンロードトランザクション (WAF)

• 過剰なユニークIP (WAF)

• アカウント乗っ取り (BOT)

その他の違反については、Metrics Collectorが有効になっていることを確認してください。デフォルトでは、Metrics CollectorはCitrix ADCインスタンスで有効になっています。詳細については、Configure Intelligent App Analyticsを参照してください。

高度なセキュリティ分析を有効にする

• Networks > Instances > Citrix ADCに移動し、インスタンスタイプを選択します。例: MPX。

• シトリックス ADC インスタンスを選択し、Select ActionリストからConfigure Analyticsを選択します。

• 仮想サーバーを選択し、Enable Analyticsをクリックします。

• Enable Analyticsウィンドウが表示されたら、

  • Web Insightを選択します。ユーザーがWeb Insightを選択すると、読み取り専用のAdvanced Security Analyticsオプションが自動的に有効になります。

  注: Advanced Security Analyticsオプションは、プレミアムライセンスのADCインスタンスでのみ表示されます。

  • 転送モードとしてLogstreamを選択します

  • 式はデフォルトでtrueです

  • OKをクリックします

Webトランザクション設定を有効にする

• アナリティクス > 設定 に移動します。

Settingsページが表示されます。

• 「分析機能の有効化」をクリックします。

• 「Webトランザクション設定」で、「すべて」を選択します。

• Okをクリックします。

セキュリティ違反ダッシュボード

セキュリティ違反ダッシュボードでは、ユーザーは以下を表示できます。

• すべてのADCインスタンスとアプリケーションで発生した合計違反。合計違反は、選択された期間に基づいて表示されます。

• 各カテゴリの違反の合計。

• 影響を受けたADCの合計、影響を受けたアプリケーションの合計、および合計発生数と影響を受けたアプリケーションに基づく上位の違反。

違反の詳細

各違反について、Citrix ADMは特定の期間の動作を監視し、異常な動作の違反を検出します。各タブをクリックして、違反の詳細を表示します。ユーザーは次のような詳細を表示できます。

• 合計発生数、最終発生日時、および影響を受けたアプリケーションの合計

• イベントの詳細では、ユーザーは以下を表示できます。

  • 影響を受けたアプリケーション。2つ以上のアプリケーションが違反の影響を受けている場合、ユーザーはリストからアプリケーションを選択することもできます。

  • 違反を示すグラフ。

  違反を一覧表示するグラフ上でドラッグして選択し、違反検索を絞り込みます。

  

  ズームのリセットをクリックして、ズーム結果をリセットします。

  • ユーザーが問題をトラブルシューティングするための推奨されるアクション

  • 違反発生時刻や検出メッセージなどのその他の違反詳細

ボットインサイト

Citrix ADM でボットインサイトを使用する

ユーザーが Citrix ADC でボット管理を設定した後、Citrix ADM でインサイトを表示するには、仮想サーバーで Bot Insight を有効にする必要があります。

Bot Insight を有効にするには:

• ネットワーク > インスタンス > Citrix ADC に移動し、インスタンスタイプを選択します。例: VPX。

• インスタンスを選択し、アクションの選択リストから分析の構成を選択します。

• 仮想サーバーを選択し、分析を有効にするをクリックします。

• 分析を有効にするウィンドウで:

  • ボットインサイト を選択します

  • 詳細オプションの下で、Logstream を選択します。

  

  • OK をクリックします。

Bot Insight を有効にした後、分析 > セキュリティ > Bot Insight に移動します。

1. ボットの詳細を表示するための時間リスト

2. スライダーをドラッグして特定の時間範囲を選択し、Go をクリックしてカスタマイズされた結果を表示します

3. ボットの影響を受けたインスタンスの合計

4. 選択したインスタンスの仮想サーバーとボット攻撃の合計

   • 合計ボット数 – 仮想サーバーで検出されたボット攻撃の合計数（すべてのボットカテゴリを含む）を示します。

   • 合計ヒューマンブラウザ数 – 仮想サーバーにアクセスしているヒューマンユーザーの合計数を示します。

   • ボット対ヒューマン比率 – 仮想サーバーにアクセスしているヒューマンユーザーとボットの比率を示します。

   • シグネチャボット、フィンガープリントボット、レートベースボット、IPレピュテーションボット、許可リストボット、およびブロックリストボット – 設定されたボットカテゴリに基づいて発生したボット攻撃の合計数を示します。ボットカテゴリの詳細については、Citrix ADC でボット検出技術を構成する を参照してください。

5. グラフ形式でボットの詳細を表示するには、> をクリックします。

イベント履歴の表示

ユーザーは、次の場合にイベント履歴でボットシグネチャの更新を表示できます。

• Citrix ADC インスタンスに新しいボットシグネチャが追加された場合。

• Citrix ADC インスタンスで既存のボットシグネチャが更新された場合。

ユーザーは、ボットインサイトページで期間を選択してイベント履歴を表示できます。

次の図は、ボットシグネチャがAWSクラウドから取得され、Citrix ADCで更新され、Citrix ADMでシグネチャ更新の概要が表示される方法を示しています。

1. ボットシグネチャ自動更新スケジューラは、AWS URIからマッピングファイルを取得します。

2. マッピングファイル内の最新のシグネチャを、ADCアプライアンス内の既存のシグネチャと照合します。

3. AWSから新しいシグネチャをダウンロードし、シグネチャの整合性を検証します。

4. 既存のボットシグネチャを、ボットシグネチャファイル内の新しいシグネチャで更新します。

5. SNMPアラートを生成し、シグネチャ更新の概要をCitrix ADMに送信します。

ボットの表示

仮想サーバーをクリックして、アプリケーションの概要を表示します。

1. アプリケーションの概要の詳細を以下に示します。

   • 平均RPS – 仮想サーバーで受信された1秒あたりの平均ボットトランザクションリクエスト（RPS）を示します。

   • 重大度別のボット – 重大度に基づいて発生した最も高いボットトランザクションを示します。重大度は、重大、高、中、低に分類されます。

   たとえば、仮想サーバーに11770個の高重大度ボットと1550個の重大度ボットがある場合、Citrix ADMは重大度別のボットの下に重大 1.55 Kと表示します。

   • Largest Bot Category – ボットカテゴリに基づいて、最も多くのボット攻撃が発生したことを示します。

   例えば、仮想サーバーにブロックリストに登録されたボットが8000、許可リストに登録されたボットが5000、レート制限超過ボットが10000ある場合、Citrix ADMはRate Limit Exceeded 10 KをLargest Bot Categoryの下に表示します。

   • Largest Geo Source – 地域に基づいて、最も多くのボット攻撃が発生したことを示します。

   例えば、仮想サーバーでサンタクララで5000件、ロンドンで7000件、バンガロールで9000件のボット攻撃が発生した場合、Citrix ADMはBangalore 9 KをLargest Geo Sourceの下に表示します。

   • Average % Bot Traffic – 人間とボットの比率を示します。

2. マップビューで場所に基づいてボット攻撃の深刻度を表示します

3. ボット攻撃の種類（Good、Bad、All）を表示します

4. 対応する設定済みアクションとともに、ボット攻撃の合計数を表示します。例えば、以下のように設定した場合：

   • IPアドレス範囲（192.140.14.9から192.140.14.254）をブロックリストボットとして設定し、これらのIPアドレス範囲に対してアクションとしてドロップを選択した場合

   • IP範囲（192.140.15.4から192.140.15.254）をブロックリストボットとして設定し、これらのIP範囲に対してアクションとしてログメッセージを作成することを選択した場合

     このシナリオでは、Citrix ADMは以下を表示します。

     • ブロックリストに登録されたボットの合計数

     • Droppedの下のボットの合計数

     • Logの下のボットの合計数

CAPTCHAボットの表示

ウェブページでは、CAPTCHAは、受信トラフィックが人間からのものか、自動ボットからのものかを識別するように設計されています。Citrix ADMでCAPTCHAアクティビティを表示するには、ユーザーはCitrix ADCインスタンスでIPレピュテーションおよびデバイスフィンガープリント検出技術のボットアクションとしてCAPTCHAを設定する必要があります。詳細については、ボット管理の構成を参照してください。

Citrix ADMがBot insightに表示するCAPTCHAアクティビティは次のとおりです。

• CAPTCHA試行回数超過 – ログイン失敗後に試行されたCAPTCHAの最大回数を示します。

• CAPTCHAクライアントミュート – これらのリクエストが以前にCAPTCHAチャレンジで悪質なボットとして検出されたため、ドロップまたはリダイレクトされたクライアントリクエストの数を示します。

• 人間 – 人間ユーザーによって実行されたCAPTCHAエントリを示します。

• 無効なCAPTCHA応答 – Citrix ADCがCAPTCHAチャレンジを送信したときに、ボットまたは人間から受信した不正なCAPTCHA応答の数を示します。

ボットトラップの表示

Citrix ADMでボットトラップを表示するには、Citrix ADCインスタンスでボットトラップを設定する必要があります。詳細については、ボット管理の構成を参照してください。

ボットトラップを識別するために、ウェブページでスクリプトが有効になっています。このスクリプトは人間からは隠されていますが、ボットからは隠されていません。Citrix ADMは、このスクリプトがボットによってアクセスされたときに、ボットトラップを識別して報告します。

仮想サーバーをクリックし、Zero Pixel Requestを選択します。

ボットの詳細の表示

詳細については、ボットカテゴリの下にあるボット攻撃タイプをクリックしてください。

選択したCAPTCHAカテゴリの攻撃時間やボット攻撃の総数などの詳細が表示されます。

ユーザーは、棒グラフをドラッグして、ボット攻撃とともに表示する特定の時間範囲を選択することもできます。

ボット攻撃の追加情報を取得するには、クリックして展開します。

• インスタンスIP – Citrix ADCインスタンスのIPアドレスを示します

• 合計ボット数 – その特定の時間に発生したボット攻撃の総数を示します

• HTTPリクエストURL – CAPTCHAレポート用に構成されているURLを示します

• 国コード – ボット攻撃が発生した国を示します

• 地域 – ボット攻撃が発生した地域を示します

• プロファイル名 – ユーザーが設定時に指定したプロファイル名を示します

高度な検索

ユーザーは、検索テキストボックスと期間リストを使用して、ユーザーの要件に応じてボットの詳細を表示することもできます。ユーザーが検索ボックスをクリックすると、検索ボックスには次の検索候補のリストが表示されます。

• インスタンスIP – Citrix ADCインスタンスのIPアドレス

• Client-IP – クライアントIPアドレス

• Bot-Type – GoodまたはBadなどのボットタイプ

• Severity – ボット攻撃の深刻度

• Action-Taken – ドロップ、アクションなし、リダイレクトなど、ボット攻撃後に実行されたアクション

• Bot-Category – ブロックリスト、許可リスト、フィンガープリントなどのボット攻撃のカテゴリ。カテゴリに基づいて、ユーザーはボットアクションを関連付けることができます。

• Bot-Detection – ユーザーがCitrix ADCインスタンスで設定したボット検出タイプ（ブロックリスト、許可リストなど）

• Location – ボット攻撃が発生した地域/国

• Request-URL – 可能性のあるボット攻撃を含むURL

ユーザーは、ユーザー検索の焦点を絞り込むために、ユーザー検索クエリで演算子を使用することもできます。たとえば、すべての悪質なボットを表示したい場合：

• 検索ボックスをクリックし、Bot-Typeを選択します。

• 検索ボックスをもう一度クリックし、演算子=を選択します。

• 検索ボックスをもう一度クリックし、Badを選択します。

• 検索をクリックして結果を表示します。

ボット違反の詳細

過剰なクライアント接続

クライアントがWebアプリケーションにアクセスしようとすると、クライアントのリクエストはサーバーに直接接続するのではなく、Citrix ADCアプライアンスで処理されます。Webトラフィックにはボットが含まれており、ボットは人間よりも速い速度で様々なアクションを実行できます。

過剰なクライアント接続インジケーターを使用すると、ユーザーはアプリケーションがボットを介して異常に高いクライアント接続を受信するシナリオを分析できます。

イベント詳細で、ユーザーは以下を表示できます。

• 影響を受けるアプリケーション。2つ以上のアプリケーションが違反の影響を受けている場合、ユーザーはリストからアプリケーションを選択することもできます。

• すべての違反を示すグラフ

• 違反が発生した時刻

• 違反の検出メッセージ。アプリケーションを処理している合計IPアドレスを示します。

• アプリケーションが受信できる許可されたIPアドレス範囲

アカウント乗っ取り

注: ユーザーは、高度なセキュリティ分析とWebトランザクションオプションを有効にする必要があります。詳細については、「設定: 設定」を参照してください。

一部の悪意のあるボットは、ユーザーの資格情報を盗み、さまざまな種類のサイバー攻撃を実行する可能性があります。これらの悪意のあるボットは、悪質なボットとして知られています。悪質なボットを特定し、あらゆる種類の高度なセキュリティ攻撃からユーザーアプライアンスを保護することが不可欠です。

前提条件

ユーザーはCitrix ADMでアカウント乗っ取り設定を構成する必要があります。

• アナリティクス > 設定 > セキュリティ違反 に移動します。

• 「Add」をクリックします。

• 「Add Application」ページで、次のパラメータを指定します。

  • Application - リストから仮想サーバーを選択します。

  • Method - リストからHTTPメソッドタイプを選択します。利用可能なオプションは、GET、PUSH、POST、UPDATEです。

  • Login URL and Success response code - WebアプリケーションのURLを指定し、Citrix ADMが悪意のあるボットからのアカウント乗っ取り違反を報告する対象となるHTTPステータスコード（例：200）を指定します。

  • 「Add」をクリックします。

ユーザーが設定を構成した後、「Account Takeover」インジケーターを使用して、悪意のあるボットが複数のリクエストと資格情報を提供してユーザーアカウントを乗っ取ろうとしたかどうかを分析できます。

「Event Details」の下で、ユーザーは以下を表示できます。

• 影響を受けるアプリケーション。2つ以上のアプリケーションが違反の影響を受けている場合、ユーザーはリストからアプリケーションを選択することもできます。

• すべての違反を示すグラフ

• 違反が発生した時刻

• 違反の検出メッセージ。異常なログイン失敗アクティビティの合計、成功したログイン、失敗したログインを示します。

• 不正なボットのIPアドレス。クリックすると、時刻、IPアドレス、成功したログインの合計、失敗したログインの合計、そのIPアドレスからのリクエストの合計などの詳細が表示されます。

異常に高いアップロード量

ウェブトラフィックには、アップロードのために処理されるデータも含まれます。たとえば、ユーザーの1日あたりの平均アップロードデータが500 MBで、ユーザーが2 GBのデータをアップロードした場合、これは異常に高いアップロードデータ量と見なすことができます。ボットは人間よりもデータを迅速にアップロード処理することも可能です。

異常に高いアップロード量インジケーターを使用すると、ユーザーはボットを介したアプリケーションへのアップロードデータの異常なシナリオを分析できます。

イベントの詳細で、ユーザーは以下を表示できます。

• 影響を受けるアプリケーション。2つ以上のアプリケーションが違反の影響を受けている場合、ユーザーはリストからアプリケーションを選択することもできます。

• すべての違反を示すグラフ

• 違反が発生した時刻

• 違反の検出メッセージ。処理されたアップロードデータ総量を示します。

• アプリケーションへのアップロードデータの許容範囲

異常に高いダウンロード量

高いアップロード量と同様に、ボットは人間よりも迅速にダウンロードを実行できます。

「異常なダウンロード量」インジケーターを使用すると、ユーザーはボットを介したアプリケーションからのダウンロードデータの異常なシナリオを分析できます。

「イベントの詳細」で、ユーザーは以下を表示できます。

• 影響を受けるアプリケーション。2つ以上のアプリケーションが違反の影響を受けている場合、ユーザーはリストからアプリケーションを選択することもできます。

• すべての違反を示すグラフ

• 違反が発生した時刻

• 処理されたダウンロードデータ総量を示す違反の検出メッセージ

• アプリケーションからのダウンロードデータの許容範囲

異常なリクエストレート

ユーザーは、アプリケーションとの間で送受信されるトラフィックを制御できます。ボット攻撃は、異常に高いリクエストレートを実行する可能性があります。たとえば、ユーザーがアプリケーションを1分あたり100リクエストを許可するように設定し、350リクエストを観測した場合、それはボット攻撃である可能性があります。

「異常なリクエストレート」インジケーターを使用すると、ユーザーはアプリケーションに受信された異常なリクエストレートを分析できます。

「イベントの詳細」で、ユーザーは以下を表示できます。

• 影響を受けるアプリケーション。2つ以上のアプリケーションが違反の影響を受けている場合、ユーザーはリストからアプリケーションを選択することもできます。

• すべての違反を示すグラフ

• 違反が発生した時刻

• 違反の検出メッセージ。受信したリクエストの総数と、予想されるリクエストよりも過剰に受信したリクエストの割合を示します。

• アプリケーションからの予想されるリクエストレートの許容範囲

ユースケース

ボット

受信するWebトラフィックはボットで構成されていることがあり、ほとんどの組織はボット攻撃に苦しんでいます。Webおよびモバイルアプリケーションはビジネスにとって重要な収益源であり、ほとんどの企業はボットなどの高度なサイバー攻撃の脅威にさらされています。ボットとは、人間よりもはるかに速い速度で特定の動作を自動的に繰り返し実行するソフトウェアプログラムです。ボットは、Webページとの対話、フォームの送信、アクションの実行、テキストのスキャン、コンテンツのダウンロードを行うことができます。ビデオにアクセスしたり、コメントを投稿したり、ソーシャルメディアプラットフォームでツイートしたりできます。チャットボットとして知られる一部のボットは、人間のユーザーと基本的な会話をすることができます。カスタマーサービス、自動チャット、検索エンジンのクローラーなどの役立つサービスを実行するボットは、グッドボットです。同時に、Webサイトからコンテンツをスクレイピングまたはダウンロードしたり、ユーザー認証情報を盗んだり、コンテンツをスパムしたり、その他の種類のサイバー攻撃を実行したりできるボットは、バッドボットです。悪意のあるタスクを実行する多数のバッドボットが存在するため、ボットトラフィックを管理し、ユーザーのWebアプリケーションをボット攻撃から保護することが不可欠です。Citrixボット管理を使用することで、ユーザーは受信するボットトラフィックを検出し、ボット攻撃を軽減してユーザーのWebアプリケーションを保護できます。Citrixボット管理は、バッドボットを特定し、高度なセキュリティ攻撃からユーザーアプライアンスを保護するのに役立ちます。グッドボットとバッドボットを検出し、受信トラフィックがボット攻撃であるかどうかを識別します。ボット管理を使用することで、ユーザーは攻撃を軽減し、ユーザーのWebアプリケーションを保護できます。

Citrix ADCボット管理は、次の利点を提供します。

• ボット、スクリプト、ツールキットに対する防御。静的シグネチャベースの防御とデバイスフィンガープリントを使用して、リアルタイムの脅威軽減を提供します。

• 自動化された基本的および高度な攻撃を無力化。AppレイヤーDDoS、パスワードスプレー、パスワードスタッフィング、プライスクレーパー、コンテンツスクレーパーなどの攻撃を防ぎます。

• ユーザーAPIと投資を保護。ユーザーAPIを不当な悪用から保護し、インフラストラクチャへの投資を自動化されたトラフィックから保護します。

ユーザーがCitrixボット管理システムを使用することでメリットを得られるユースケースをいくつか示します。

• ブルートフォースログイン。政府のWebポータルは、ブルートフォースによるユーザーログインを試みるボットによって常に攻撃されています。組織は、Webログを調べて、特定のユーザーが辞書攻撃アプローチを使用して、高速なログイン試行とパスワードの増分で繰り返し攻撃されていることを確認することで、攻撃を発見します。法律により、彼らは自分自身とユーザーを保護しなければなりません。Citrixボット管理を導入することで、デバイスフィンガープリントとレート制限技術を使用してブルートフォースログインを停止できます。

• 悪意のあるボットをブロックし、未知のボットをデバイスフィンガープリントで識別する。あるWebエンティティには毎日10万人の訪問者があります。彼らは基盤となるフットプリントをアップグレードする必要があり、多額の費用を費やしています。最近の監査で、チームはトラフィックの40%がボットからのものであり、コンテンツのスクレイピング、ニュースの収集、ユーザープロファイルの確認などを行っていることを発見しました。彼らはユーザーを保護し、ホスティングコストを削減するためにこのトラフィックをブロックしたいと考えています。ボット管理を使用することで、既知の悪意のあるボットをブロックし、サイトを攻撃している未知のボットをデバイスフィンガープリントで識別できます。これらのボットをブロックすることで、ボットトラフィックを90%削減できます。

• グッドボットを許可する。「グッド」ボットは、企業や消費者を支援するように設計されています。これらは、最初の検索エンジンボットがインターネットをクロールするために開発された1990年代初頭から存在しています。Google、Yahoo、Bingは、これらなしでは存在しなかったでしょう。その他のグッドボットの例（主に消費者向け）は次のとおりです。

  • チャットボット（チャッターボット、スマートボット、トークボット、IMボット、ソーシャルボット、会話ボットとも呼ばれる）は、テキストまたは音声を通じて人間と対話します。最初のテキスト使用の1つは、オンラインカスタマーサービスやFacebook MessengerやiPhone Messagesなどのテキストメッセージングアプリでした。Siri、Cortana、Alexaはチャットボットですが、ユーザーがコーヒーを注文して準備ができたときに通知したり、映画の予告編を視聴して地元の劇場の上映時間を検索したり、配車サービスをリクエストしたときに車のモデルとナンバープレートの写真を送信したりできるモバイルアプリもチャットボットです。

  • ショップボットは、ユーザーが探している商品の最安値を求めてインターネットを検索します。

  • 監視ボットは、ウェブサイトの健全性（可用性と応答性）をチェックします。Downdetectorは、ウェブサイトやその他の種類のサービスの停止を含む、リアルタイムのステータス情報を提供する独立したサイトの一例です。Downdetectorの詳細については、以下を参照してください: Downdetector。

ボット検出

Citrix ADC GUI を使用したボット管理の構成

ユーザーは、まずアプライアンスで機能を有効にすることで、Citrix ADCボット管理を構成できます。有効にすると、ユーザーは受信トラフィックをボットとして評価し、そのトラフィックをボットプロファイルに送信するためのボットポリシーを作成できます。次に、ユーザーはボットプロファイルを作成し、そのプロファイルをボットシグネチャにバインドします。代替として、ユーザーはデフォルトのボットシグネチャファイルをクローンし、そのシグネチャファイルを使用して検出技術を構成することもできます。シグネチャファイルを作成した後、ユーザーはそれをボットプロファイルにインポートできます。これらすべての手順は、以下の順序で実行されます。

1. ボット管理機能を有効にする

2. ボット管理設定を構成する

3. Citrixボットのデフォルトシグネチャをクローンする

4. Citrixボットシグネチャをインポートする

5. ボットシグネチャ設定を構成する

6. ボットプロファイルを作成する

7. ボットポリシーを作成する

ボット管理機能を有効にする

ボット管理を有効にするには、以下の手順に従います。

1. ナビゲーションペインで、System を展開し、Settings をクリックします。

2. 「詳細機能の構成」ページで、「ボット管理」チェックボックスをオンにします。

3. OK をクリックし、次に Close をクリックします。

ボット署名ファイルのクローン作成

ボット署名ファイルをクローンするには、以下の手順に従います。

1. セキュリティ > Citrix ボット管理 > シグネチャ の順に移動します。

2. Citrix Bot Management Signatures ページで、デフォルトのボット署名レコードを選択し、Clone をクリックします。

3. Clone Bot Signature ページで、名前を入力し、署名データを編集します。

4. Create をクリックします。

ボット署名ファイルのインポート

ユーザーが独自の署名ファイルを持っている場合、ファイル、テキスト、またはURLとしてインポートできます。ボット署名ファイルをインポートするには、以下の手順を実行します。

• セキュリティ > Citrix ボット管理 > シグネチャ の順に移動します。

• Citrix Bot Management Signatures ページで、ファイルをURL、ファイル、またはテキストとしてインポートします。

• 「続行」をクリックします。

• 「Citrix Bot Management署名のインポート」ページで、次のパラメータを設定します。

  • 名前。ボット署名ファイルの名前。

  • コメント。インポートされたファイルに関する簡単な説明。

  • 上書き。ファイル更新時にデータの上書きを許可するには、チェックボックスを選択します。

  • 署名データ。署名パラメータを変更します。

• 「完了」をクリックします。

IPレピュテーション

Citrix ADC GUIを使用してIPレピュテーションを設定する

この設定は、ボットIPレピュテーション機能の前提条件です。この検出技術により、ユーザーは受信IPアドレスからの悪意のあるアクティビティがあるかどうかを特定できます。設定の一部として、さまざまな悪意のあるボットカテゴリを設定し、それぞれにボットアクションを関連付けます。IPレピュテーション技術を設定するには、以下の手順に従ってください。

• 「セキュリティ」>「Citrix Bot Management」>「プロファイル」に移動します。

• 「Citrix Bot Managementプロファイル」ページで、署名ファイルを選択し、「編集」をクリックします。

• 「Citrix Bot Managementプロファイル」ページで、「署名設定」セクションに移動し、「IPレピュテーション」をクリックします。

• 「IP Reputation」セクションで、次のパラメータを設定します。

  • Enabled。検出プロセスの一部として、受信ボットトラフィックを検証するには、このチェックボックスをオンにします。

  • カテゴリの設定。ユーザーは、さまざまなカテゴリの受信ボットトラフィックに対してIPレピュテーション技術を使用できます。設定されたカテゴリに基づいて、ユーザーはボットトラフィックをドロップまたはリダイレクトできます。「追加」をクリックして、悪意のあるボットカテゴリを設定します。

  • 「Citrix Bot Management プロファイル IP レピュテーション バインディングの構成」ページで、次のパラメータを設定します。

    • カテゴリ。リストから悪意のあるボットカテゴリを選択します。カテゴリに基づいてボットアクションを関連付けます。

    • Enabled。IPレピュテーション署名検出を検証するには、このチェックボックスをオンにします。

    • ボットアクション。設定されたカテゴリに基づいて、ユーザーはアクションなし、ドロップ、リダイレクト、またはCAPTCHAアクションを割り当てることができます。

    • ログ。ログエントリを保存するには、このチェックボックスをオンにします。

    • ログメッセージ。ログの簡単な説明。

    • コメント。ボットカテゴリに関する簡単な説明。

• OK をクリックします。

• 更新 をクリックします。

• 完了 をクリックします。

ボットシグネチャの自動更新

ボットの静的シグネチャ技術は、良性ボットと悪性ボットのリストを含むシグネチャルックアップテーブルを使用します。ボットは、ユーザーエージェント文字列とドメイン名に基づいて分類されます。受信ボットトラフィックのユーザーエージェント文字列とドメイン名がルックアップテーブルの値と一致する場合、設定されたボットアクションが適用されます。ボットシグネチャの更新はAWSクラウドでホストされており、シグネチャルックアップテーブルはシグネチャ更新のためにAWSデータベースと通信します。自動シグネチャ更新スケジューラは1時間ごとに実行され、AWSデータベースをチェックし、ADCアプライアンスのシグネチャテーブルを更新します。

シグネチャを設定するためのボットシグネチャマッピング自動更新URLは次のとおりです。 ボットシグネチャマッピング。

注: ユーザーはプロキシサーバーを設定し、プロキシを介してAWSクラウドからADCアプライアンスにシグネチャを定期的に更新することもできます。プロキシ設定の場合、ユーザーはボット設定でプロキシIPアドレスとポートアドレスを設定する必要があります。

ボットシグネチャの自動更新を設定する

ボットシグネチャの自動更新を設定するには、次の手順を実行します。

ボットシグネチャの自動更新を有効にする

ユーザーは、ADCアプライアンスのボット設定で自動更新オプションを有効にする必要があります。

コマンドプロンプトで、次のように入力します。

ボット設定の署名自動更新をONに設定します。

Citrix ADC GUIを使用してボットシグネチャの自動更新を設定する

ボットシグネチャの自動更新を設定するには、次の手順を実行します。

• セキュリティ > Citrix ボット管理 に移動します。

• 詳細ペインの 設定 で、Citrix Bot Management 設定の変更 をクリックします。

• Citrix Bot Management 設定の構成 で、シグネチャの自動更新 チェックボックスをオンにします。

• 「OK」と「閉じる」をクリックします。

CLI を使用した IP レピュテーションの設定の詳細については、「CLI を使用した IP レピュテーション機能の設定」を参照してください。

参照

SQL 細粒度緩和の使用方法の詳細については、「SQL 細粒度緩和」を参照してください。

コマンドラインを使用して SQL インジェクションチェックを設定する方法の詳細については、「HTML SQL インジェクションチェック」を参照してください。

GUI を使用して SQL インジェクションチェックを設定する方法の詳細については、「GUI を使用した SQL インジェクションセキュリティチェックの設定」を参照してください。

SQL インジェクションチェックで学習機能を使用する方法の詳細については、「SQL インジェクションチェックでの学習機能の使用」を参照してください。

SQL インジェクションチェックでログ機能を使用する方法の詳細については、 「SQL インジェクションチェックでのログ機能の使用」を参照してください。

SQL インジェクション違反の統計の詳細については、「SQL インジェクション違反の統計」を参照してください。

SQL インジェクションチェックのハイライトの詳細については、「ハイライト」を参照してください。

XML SQL インジェクションチェックの詳細については、「XML SQL インジェクションチェック」を参照してください。

クロスサイトスクリプティングの細粒度緩和の使用方法の詳細については、「SQL 細粒度緩和」を参照してください。

コマンドラインを使用して HTML クロスサイトスクリプティングを設定する方法の詳細については、「コマンドラインを使用した HTML クロスサイトスクリプティングチェックの設定」を参照してください。

GUI を使用して HTML クロスサイトスクリプティングを設定する方法の詳細については、「GUI を使用した HTML クロスサイトスクリプティングチェックの設定」を参照してください。

HTML クロスサイトスクリプティングチェックで学習機能を使用する方法の詳細については、「HTML クロスサイトスクリプティングチェックでの学習機能の使用」を参照してください。

HTMLクロスサイトスクリプティングチェックでログ機能を使用する方法については、以下を参照してください: Using the Log Feature with the HTML Cross-Site Scripting Check。

HTMLクロスサイトスクリプティング違反の統計情報については、以下を参照してください: HTMLクロスサイトスクリプティング違反の統計。

HTMLクロスサイトスクリプティングのハイライトについては、以下を参照してください: Highlights。

XMLクロスサイトスクリプティングについては、以下をご覧ください: XML Cross-Site Scripting Check。

コマンドラインを使用してバッファオーバーフローセキュリティチェックを設定する方法については、以下を参照してください: Using the Command Line to Configure the Buffer Overflow Security Check。

GUIを使用してバッファオーバーフローセキュリティチェックを設定する方法については、以下を参照してください: Configure Buffer Overflow Security Check by using the Citrix ADC GUI。

バッファオーバーフローセキュリティチェックでログ機能を使用する方法については、以下を参照してください: Using the Log Feature with the Buffer Overflow Security Check。

バッファオーバーフロー違反の統計については、以下を参照してください: Statistics for the Buffer Overflow Violations。

バッファオーバーフローセキュリティチェックのハイライトについては、以下を参照してください: Highlights。

署名オブジェクトの追加または削除については、以下を参照してください: Adding or Removing a Signature Object。

テンプレートから署名オブジェクトを作成する方法については、以下を参照してください: To Create a Signatures Object from a Template。

ファイルをインポートして署名オブジェクトを作成する方法については、以下を参照してください: To Create a Signatures Object by Importing a File。

コマンドラインを使用してファイルをインポートして署名オブジェクトを作成する方法については、以下を参照してください: To Create a Signatures Object by Importing a File using the Command Line。

GUIを使用して署名オブジェクトを削除する方法については、以下を参照してください: To Remove a Signatures Object by using the GUI。

コマンドラインを使用して署名オブジェクトを削除する方法については、以下を参照してください: To Remove a Signatures Object by using the Command Line。

署名オブジェクトの設定または変更については、以下を参照してください: Configuring or Modifying a Signatures Object。

署名オブジェクトの更新の詳細については、以下を参照してください: Updating a Signature Object。

コマンドラインを使用してソースからWeb Application Firewall署名を更新する方法については、以下を参照してください: コマンドラインを使用してソースからWeb Application Firewall署名を更新するには。

Citrix形式ファイルから署名オブジェクトを更新する方法については、以下を参照してください: Updating a Signatures Object from a Citrix Format File。

サポートされている脆弱性スキャンツールから署名オブジェクトを更新する方法については、以下を参照してください: Updating a Signatures Object from a Supported Vulnerability Scanning Tool。

Snortルール統合については、以下を参照してください: Snort Rule Integration。

Snortルールの設定については、以下を参照してください: Configure Snort Rules。

コマンドラインを使用してボット管理を設定する方法については、以下を参照してください: Configure Bot Management。

デバイスフィンガープリント技術のボット管理設定の構成については、以下を参照してください: デバイスフィンガープリント技術のボット管理設定を構成する。

Citrix ADC GUIを使用してボット許可リストを設定する方法については、以下を参照してください: Configure Bot White List by using Citrix ADC GUI。

Citrix ADC GUIを使用してボットブロックリストを設定する方法については、以下を参照してください: Configure Bot Black List by using Citrix ADC GUI。

ボット管理の設定の詳細については、以下を参照してください: Configure Bot Management。

前提条件

AzureにCitrix VPXインスタンスを展開する前に、ユーザーはいくつかの前提知識が必要です。

• Azureの用語とネットワークの詳細に精通していること。詳細については、上記のAzure用語を参照してください。

• Citrix ADCアプライアンスに関する知識。Citrix ADCアプライアンスの詳細については、次を参照してください: Citrix ADC 13.0。

• Citrix ADCのネットワークに関する知識。次を参照してください: Networking。

Azureの前提条件

このセクションでは、Citrix ADC VPXインスタンスをプロビジョニングする前に、ユーザーがMicrosoft AzureおよびCitrix ADMで完了する必要がある前提条件について説明します。

このドキュメントでは、以下のことを前提としています。

• ユーザーは、Azure Resource ManagerデプロイモデルをサポートするMicrosoft Azureアカウントを所有していること。

• ユーザーはMicrosoft Azureにリソースグループを持っていること。

アカウントの作成方法やその他のタスクの詳細については、Microsoft Azureのドキュメントを参照してください: Microsoft Azure Documentation。

制限事項

ARMでCitrix ADC VPXロードバランシングソリューションを実行すると、以下の制限が課されます。

• Azureアーキテクチャは、以下のCitrix ADC機能のサポートに対応していません。

  • クラスタリング

  • IPv6

  • 無償アープ (GARP)

  • L2モード（ブリッジング）。SNIPと同じサブネット内のサーバーの場合、L2（MAC書き換え）で透過仮想サーバーがサポートされます。

  • タグ付きVLAN

  • ダイナミックルーティング

  • 仮想MAC

  • ユーシップ

  • ジャンボフレーム

• Citrix ADC VPX仮想マシンをいつでもシャットダウンして一時的に割り当て解除する必要があるかもしれないとユーザーが考える場合、仮想マシンの作成時に静的内部IPアドレスを割り当てる必要があります。静的内部IPアドレスを割り当てない場合、Azureは再起動のたびに仮想マシンに異なるIPアドレスを割り当てる可能性があり、仮想マシンにアクセスできなくなる可能性があります。

• Azure展開では、以下のCitrix ADC VPXモデルのみがサポートされています: VPX 10、VPX 200、VPX 1000、およびVPX 3000。詳細については、Citrix ADC VPXデータシートを参照してください。

• VPX 3000より高いモデル番号のCitrix ADC VPXインスタンスを使用した場合、ネットワークスループットは、インスタンスのライセンスで指定されているものと同じではない可能性があります。ただし、SSLスループットや1秒あたりのSSLトランザクションなどの他の機能は向上する可能性があります。

• 仮想マシンのプロビジョニング中にAzureによって生成される「デプロイID」は、ARMではユーザーに表示されません。ユーザーはデプロイIDを使用してARMにCitrix ADC VPXアプライアンスをデプロイすることはできません。

• Citrix ADC VPXインスタンスは、初期化時に20 Mb/sのスループットとStandard Editionの機能をサポートします。

• XenAppおよびXenDesktop®展開の場合、VPXインスタンス上のVPN仮想サーバーは、以下のモードで構成できます。

  • 基本モード。ICAOnly VPN仮想サーバーパラメーターがONに設定されています。基本モードは、ライセンスのないCitrix ADC VPXインスタンスで完全に機能します。

  • スマートアクセスモード。ICAOnly VPN仮想サーバーパラメーターがOFFに設定されています。スマートアクセスモードは、ライセンスのないCitrix ADC VPXインスタンスで5人のNetScaler AAAセッションユーザーのみに機能します。

注：

Smart Control機能を構成するには、ユーザーはCitrix ADC VPXインスタンスにPremiumライセンスを適用する必要があります。

Azure-VPX サポートされているモデルとライセンス

Azureデプロイでは、以下のCitrix ADC VPXモデルのみがサポートされています: VPX 10、VPX 200、VPX 1000、VPX 3000。詳細については、Citrix ADC VPXデータシートを参照してください。

Azure上のCitrix ADC VPXインスタンスにはライセンスが必要です。Azureで実行されているCitrix ADC VPXインスタンスには、以下のライセンスオプションが利用可能です。ユーザーは、Citrix ADMによってプロビジョニングされたCitrix ADCにライセンスを付与するために、これらの方法のいずれかを選択できます。

• Citrix ADMに存在するADCライセンスを使用する: オートスケール™グループの作成時に、プールされた容量、VPXライセンス、または仮想CPUライセンスを設定します。これにより、オートスケールグループ用に新しいインスタンスがプロビジョニングされると、すでに設定されているライセンスタイプがプロビジョニングされたインスタンスに自動的に適用されます。

  • プールされた容量: オートスケールグループ内のプロビジョニングされたすべてのインスタンスに帯域幅を割り当てます。新しいインスタンスをプロビジョニングするために、Citrix ADMで必要な帯域幅が利用可能であることを確認してください。詳細については、「プールされた容量の構成」を参照してください。

  オートスケールグループ内の各ADCインスタンスは、プールから1つのインスタンスライセンスと指定された帯域幅をチェックアウトします。

  • VPXライセンス: 新しくプロビジョニングされたインスタンスにVPXライセンスを適用します。新しいインスタンスをプロビジョニングするために、Citrix ADMで必要な数のVPXライセンスが利用可能であることを確認してください。

  Citrix ADC VPXインスタンスがプロビジョニングされると、そのインスタンスはCitrix ADMからライセンスをチェックアウトします。詳細については、「Citrix ADC VPXのチェックインおよびチェックアウトライセンス」を参照してください。

  • 仮想CPUライセンス: 新しくプロビジョニングされたインスタンスに仮想CPUライセンスを適用します。このライセンスは、Citrix ADC VPXインスタンスに付与されるCPUの数を指定します。新しいインスタンスをプロビジョニングするために、Citrix ADMで必要な数の仮想CPUが利用可能であることを確認してください。

Citrix ADC VPXインスタンスがプロビジョニングされると、そのインスタンスはCitrix ADMから仮想CPUライセンスをチェックアウトします。詳細については、「Citrix ADC仮想CPUライセンス」を参照してください。

プロビジョニングされたインスタンスが破棄またはプロビジョニング解除されると、適用されたライセンスは自動的にCitrix ADMに返却されます。

消費されたライセンスを監視するには、ネットワーク > ライセンス ページに移動します。

Microsoft Azureサブスクリプションライセンスを使用する: オートスケールグループの作成時に、Azure Marketplaceで利用可能なCitrix ADCライセンスを設定します。これにより、オートスケールグループ用に新しいインスタンスがプロビジョニングされると、ライセンスはAzure Marketplaceから取得されます。

サポートされているCitrix ADC Azure仮想マシンイメージ

プロビジョニング用のサポートされているCitrix ADC Azure仮想マシンイメージ

Azure仮想マシンイメージは、最低3つのNICをサポートするものを使用してください。Citrix ADC VPXインスタンスのプロビジョニングは、PremiumおよびAdvancedエディションでのみサポートされています。Azure仮想マシンイメージの種類の詳細については、以下を参照してください: 汎用仮想マシンのサイズ。

プロビジョニングに推奨されるVMサイズは次のとおりです。

• Standard_DS3_v2

• Standard_B2ms

• スタンダード_DS4_v2

ポート使用ガイドライン

ユーザーは、NetScaler VPX™インスタンスの作成時または仮想マシンのプロビジョニング後に、NSGでより多くのインバウンドおよびアウトバウンドルールを設定できます。各インバウンドおよびアウトバウンドルールは、パブリックポートとプライベートポートに関連付けられています。

NSGルールを設定する前に、ユーザーが使用できるポート番号に関する以下のガイドラインに注意してください。

1. NetScaler VPXインスタンスは以下のポートを予約しています。インターネットからのリクエストにパブリックIPアドレスを使用する場合、ユーザーはこれらをプライベートポートとして定義できません。ポート21, 22, 80, 443, 8080, 67, 161, 179, 500, 520, 3003, 3008, 3009, 3010, 3011, 4001, 5061, 9000, 7000。ただし、ユーザーがVIPなどのインターネットに面したサービスで標準ポート（例：ポート443）を使用したい場合、NSGを使用してポートマッピングを作成する必要があります。標準ポートは、このVIPサービスのためにCitrix ADC VPXで設定された別のポートにマッピングされます。例えば、VIPサービスがVPXインスタンス上でポート8443で実行されているが、パブリックポート443にマッピングされている場合があります。この場合、ユーザーがパブリックIP経由でポート443にアクセスすると、リクエストはプライベートポート8443に転送されます。

2. パブリックIPアドレスは、パッシブFTPやALGなど、ポートマッピングが動的に開かれるプロトコルをサポートしていません。

3. 高可用性は、Azureロードバランサーで設定されたPIPではなく、VPXインスタンスに関連付けられたパブリックIPアドレス（PIP）を使用するトラフィックでは機能しません。詳細については、以下を参照してください: 単一IPアドレスと単一NICによる高可用性設定の構成。

4. NetScaler Gatewayの展開では、SNIPが設定されていない場合、NSIPをSNIPとして使用できるため、ユーザーはSNIPアドレスを設定する必要はありません。ユーザーは、NSIPアドレスと非標準ポート番号を使用してVIPアドレスを設定する必要があります。バックエンドサーバーでのコールバック設定には、VIP URL（例：url: port）とともにVIPポート番号を指定する必要があります。

   注:

   • Azure Resource Managerでは、Citrix ADC VPXインスタンスは2つのIPアドレス（パブリックIPアドレス（PIP）と内部IPアドレス）に関連付けられています。外部トラフィックはPIPに接続しますが、内部IPアドレスまたはNSIPはルーティングできません。VPXでVIPを設定するには、内部IPアドレス（NSIP）と利用可能な空きポートのいずれかを使用します。VIPを設定するためにPIPを使用しないでください。

   • 例えば、Citrix ADC VPXインスタンスのNSIPが10.1.0.3で、利用可能な空きポートが10022の場合、ユーザーは10.1.0.3:10022（NSIPアドレス + ポート）の組み合わせを提供することでVIPを設定できます。