Citrix ADC VPX on Azure導入ガイド
概要
Citrix ADCは、ホストされている場所に関係なく、Web、従来型、およびクラウドネイティブのアプリケーションに高品質のユーザーエクスペリエンスを提供するアプリケーション配信および負荷分散ソリューションです。ユーザーを単一の構成やクラウドに閉じ込めることなく、さまざまなフォームファクターと展開オプションで提供されます。プール容量ライセンスにより、クラウド展開間で容量を移動できます。
サービスとアプリケーションデリバリのリーダーとして、Citrix ADCは世界中の何千ものネットワークに展開され、エンタープライズおよびクラウドサービスの提供を最適化し、セキュリティで保護し、制御しています。Citrix ADCは、Webサーバーとデータベースサーバーの前に直接配置され、高速負荷分散とコンテンツスイッチ、HTTP圧縮、コンテンツキャッシュ、SSLアクセラレーション、アプリケーションフローの可視性、強力なアプリケーションファイアウォールを統合し、使いやすい統合プラットフォームに統合します。ネットワークデータを実用的なビジネスインテリジェンスに変換するエンドツーエンドの監視により、SLA への対応が大幅に簡素化されます。Citrix ADCでは、プログラミングの専門知識を必要とせずに、シンプルな宣言型ポリシーエンジンを使用してポリシーを定義および管理できます。
Citrix ADC VPX
Citrix ADC VPX製品は、さまざまな仮想化およびクラウドプラットフォームでホストできる仮想アプライアンスです。
この導入ガイドは、Azure上のCitrix ADC VPXに焦点を当てています。
Microsoft Azure
-
Microsoft Azureは、組織がビジネス上の課題に対処するのを支援する、拡大し続けるクラウドコンピューティングサービスのセットです。Azure を使用すると、ユーザーは好みのツールやフレームワークを使用して、大規模なグローバルネットワーク上でアプリケーションを自由に構築、管理、デプロイできます。Azure では、ユーザーは次のことができます。
-
Microsoftの継続的なイノベーションで将来に備え、今日の開発と将来の製品ビジョンをサポートします。
-
オンプレミス、クラウド、エッジでハイブリッドクラウドをシームレスに運用することで、Azure はユーザーがいる場所で出会います。
-
すべての言語とフレームワークに対するオープンソースとサポートに対する Azure のコミットメントにより、条件に基づいて構築し、ユーザーが自由に好きな方法で構築し、希望する場所にデプロイできるようにします。
-
企業、政府、新興企業から信頼されている専門家チームと、業界をリードするプロアクティブなコンプライアンスのチームに支えられて、最初からセキュリティを備えたクラウドを信頼してください。
Azure 用語集
ここでは、このドキュメントで使用されている、ユーザーがよく理解している必要のある主要な用語の簡単な説明を示します。
-
Azure ロードバランサー — Azure ロードバランサーは、ネットワーク内のコンピューター間で着信トラフィックを分散するリソースです。トラフィックは、ロードバランサーセット内に定義された仮想マシンに分配されます。ロードバランサーには、外部ロードバランサー、インターネットに接続するロードバランサー、または内部ロードバランサーがあります。
-
Azure Resource Manager (ARM) — ARM は、Azure のサービスの新しい管理フレームワークです。Azure Load Balancerは、ARMベースのAPIおよびツールを使用して管理されます。
-
バックエンドアドレスプール — 負荷が分散される仮想マシンの NIC に関連付けられた IP アドレスです。
-
BLOB-バイナリラージオブジェクト — Azure ストレージに格納できるファイルまたはイメージのようなバイナリオブジェクト。
-
フロントエンド IP 構成 — Azure ロードバランサーには、仮想 IP (VIP) とも呼ばれる 1 つ以上のフロントエンド IP アドレスを含めることができます。これらのIPアドレスがトラフィックの入口として使用されます。
-
インスタンスレベルのパブリック IP (ILPIP) — ILPIP は、ユーザーが仮想マシンまたはロールインスタンスが存在するクラウドサービスではなく、仮想マシンまたはロールインスタンスに直接割り当てることができるパブリック IP アドレスです。これは、クラウドサービスに割り当てられているVIP (仮想IP) の代わりにはなりません。むしろ、仮想マシンまたはロールインスタンスに直接接続するために使用できる追加の IP アドレスです。
注:
以前は、ILPIPはパブリックIPを意味するPIPと呼ばれていました。
-
インバウンド NAT ルール — ロードバランサーのパブリックポートをバックエンドアドレスプール内の特定の仮想マシンのポートにマッピングするルールが含まれます。
-
IP-Config:個々のNICに関連付けられたIPアドレスのペア(パブリックIPとプライベートIP)として定義できます。IP-Configでは、パブリックIPアドレスがNULLの場合があります。各 NIC には、最大 255 の IP 構成を関連付けることができます。
-
負荷分散ルール — 特定のフロントエンドIPとポートの組み合わせを一連のバックエンドIPアドレスとポートの組み合わせにマップするルールプロパティ。ロードバランサリソースの単一の定義により、ユーザーは複数の負荷分散ルールを定義できます。各ルールは、仮想マシンに関連付けられたフロントエンド IP とポート、およびバックエンド IP とポートの組み合わせを反映します。
-
ネットワークセキュリティグループ (NSG) — NSGには、仮想ネットワーク内の仮想マシンインスタンスへのネットワークトラフィックを許可または拒否するアクセス制御リスト (ACL) ルールのリストが含まれています。NSGは、サブネット、またはそのサブネット内の個々の仮想マシンインスタンスに関連付けることができます。NSGがサブネットに関連付けられている場合、ACLルールはそのサブネット内のすべての仮想マシンインスタンスに適用されます。さらに、NSGをその仮想マシンに直接関連付けることで、個々の仮想マシンへのトラフィックをさらに制限できます。
-
プライベート IP アドレス — Azure 仮想ネットワーク、および VPN ゲートウェイを使用してユーザーネットワークを Azure に拡張する場合のユーザーのオンプレミスネットワーク内の通信に使用されます。プライベートIPアドレスを使用すると、Azureリソースは、VPNゲートウェイまたはExpressRoute回路を経由して、インターネットで到達できるIPアドレスを使用せずに、仮想ネットワークまたはオンプレミスネットワーク内の他のリソースと通信できます。Azure Resource Manager展開モデルでは、プライベートIPアドレスは次の種類のAzureリソースに関連付けられます - 仮想マシン、内部ロードバランサー(ILB)、およびアプリケーションゲートウェイ。
-
プローブ — バックエンドアドレスプール内の仮想マシンインスタンスの可用性をチェックするために使用されるヘルスプローブが含まれます。個別の仮想マシンが一定時間ヘルスプローブに応答しない場合、それはトラフィック供用から除外されます。プローブにより、ユーザーは仮想インスタンスの状態を追跡できます。ヘルスプローブが失敗すると、仮想インスタンスは自動的にローテーションから除外されます。
-
パブリック IP アドレス (PIP) — PIP は、Azure のパブリック向けサービスを含むインターネットとの通信に使用され、仮想マシン、インターネット向けロードバランサー、VPN ゲートウェイ、およびアプリケーションゲートウェイに関連付けられます。
-
リージョン-国境を越えず、1 つ以上のデータセンターを含む地理内のエリア。価格設定、地域サービスおよびタイプは、リージョンレベルで公開されます。リージョンは通常、(最大で数百マイル離れた)別のリージョンと対にされ、リージョンペアを形成します。障害回復シナリオおよび高可用性シナリオでは、リージョンペアをメカニズムとして使用できます。また、一般に場所とも呼ばれます。
-
リソースグループ-アプリケーションに関連するリソースを保持するリソースマネージャのコンテナです。リソースグループには、アプリケーションのすべてのリソースを含めることも、論理的にグループ化されたリソースのみを含めることもできます。
-
ストレージアカウント — Azure ストレージアカウントにより、ユーザーは Azure Storage の Azure BLOB、キュー、テーブル、ファイルサービスにアクセスできます。ユーザーストレージアカウントは、ユーザーの Azure ストレージデータオブジェクトに一意の名前空間を提供します。
-
仮想マシン — オペレーティングシステムを実行する物理コンピュータのソフトウェア実装。同じハードウェア上で複数の仮想マシンを同時に実行できます。Azure では、仮想マシンはさまざまなサイズで利用できます。
-
仮想ネットワーク-Azure 仮想ネットワークは、クラウド内のユーザーネットワークを表します。これは、ユーザーサブスクリプション専用の Azure クラウドを論理的に分離したものです。ユーザーは、このネットワーク内のIPアドレスブロック、DNS設定、セキュリティポリシー、およびルートテーブルを完全に制御できます。ユーザーは、VNet をさらにサブネットに分割し、Azure IaaS 仮想マシンとクラウドサービス (PaaS ロールインスタンス) を起動することもできます。また、ユーザーは Azure で利用可能な接続オプションのいずれかを使用して、仮想ネットワークをオンプレミスネットワークに接続できます。本質的に、ユーザーはネットワークを Azure に拡張でき、Azure が提供するエンタープライズ規模のメリットを活用して IP アドレスブロックを完全に制御できます。
Azure における Citrix WAF の論理フロー
図1:Azure上のCitrix WAFの論理図
論理フロー
Web アプリケーションファイアウォールは、レイヤ 3 ネットワークデバイス、または顧客サーバと顧客ユーザ間のレイヤ 2 ネットワークブリッジとして、通常は顧客の会社のルーターまたはファイアウォールの背後にインストールできます。これは、ユーザーが保護する Web サーバーと、ユーザーがそれらの Web サーバーにアクセスするためのハブまたはスイッチとの間のトラフィックを傍受できる場所にインストールする必要があります。次に、ユーザーは、要求を Web サーバーに直接送信するのではなく Web アプリケーションファイアウォールに送信し、ユーザーに直接応答するのではなく Web アプリケーションファイアウォールに応答するようにネットワークを構成します。Web アプリケーションファイアウォールは、内部ルールセットとユーザーの追加と変更の両方を使用して、トラフィックを最終的な宛先に転送する前にフィルタリングします。有害であると検出したアクティビティをブロックまたはレンダリングし、残りのトラフィックを Web サーバに転送します。上の図 (図1) は、フィルタリングプロセスの概要を示しています。
注: この図は、着信トラフィックへのポリシーの適用を省略しています。このスライドは、ポリシーがすべての要求を処理するセキュリティ設定を示しています。また、この設定では、シグニチャオブジェクトが設定され、プロファイルに関連付けられ、セキュリティチェックが設定されています。図に示すように、ユーザーが保護された Web サイトで URL を要求すると、Web アプリケーションファイアウォールはまずその要求を調べ、署名と一致しないことを確認します。要求が署名と一致する場合、Web アプリケーションファイアウォールはエラーオブジェクト(Web アプリケーションファイアウォールアプライアンス上にあり、ユーザがインポート機能を使用して設定できる Web ページ)を表示するか、指定されたエラー URL(エラーページ)に要求を転送します。
要求が署名検査に合格すると、Web アプリケーションファイアウォールは有効になっている要求セキュリティチェックを適用します。リクエストのセキュリティチェックは、リクエストがユーザーの Web サイトまたは Web サービスに適しており、脅威となる可能性のある内容が含まれていないことを確認します。たとえば、セキュリティー検査では、リクエストが予期せぬタイプであるか、予期しないコンテンツをリクエストするか、予期せぬ悪意のある Web フォームデータ、SQL コマンド、またはスクリプトが含まれている可能性があることを示す標識がないか調べます。要求がセキュリティチェックに失敗した場合、Webアプリケーションファイアウォールは要求をサニタイズしてCitrix ADCアプライアンス(またはCitrix ADC仮想アプライアンス)に送り返すか、エラーオブジェクトを表示します。要求がセキュリティチェックに合格すると、Citrix ADCアプライアンスに返送され、他の処理が完了し、保護されたWebサーバーに要求が転送されます。
WebサイトまたはWebサービスがユーザーに応答を送信すると、Webアプリケーションファイアウォールは有効になっている応答セキュリティチェックを適用します。応答セキュリティチェックは、機密性の高い個人情報の漏洩、ウェブサイトの改ざんの兆候、または存在してはならないその他のコンテンツがないか応答を検査します。応答がセキュリティチェックに失敗した場合、Web アプリケーションファイアウォールは、存在してはならないコンテンツを削除するか、応答をブロックします。応答がセキュリティチェックに合格すると、Citrix ADCアプライアンスに返信され、ユーザーに転送されます。
使用例
各サービスを個別の仮想アプライアンスとして展開する必要がある代替ソリューションと比較して、Citrix ADC on Azureは、L4負荷分散、L7トラフィック管理、サーバーオフロード、アプリケーションアクセラレーション、アプリケーションセキュリティ、およびその他の重要なアプリケーション配信機能を単一のVPXに組み合わせていますインスタンス、Azure Marketplace から便利に入手できます。さらに、すべてが単一のポリシーフレームワークによって管理され、オンプレミスのCitrix ADC展開を管理するのと同じ強力なツールセットで管理されます。その結果、Citrix ADC on Azureは、今日の企業の差し迫ったニーズだけでなく、レガシーコンピューティングインフラストラクチャからエンタープライズクラウドデータセンターへの継続的な進化をサポートするいくつかの説得力のあるユースケースを可能にします。
展開の種類
マルチ NIC マルチ IP 展開 (3 NIC 配置)
-
一般的な展開
-
スタイルブック主導
-
ADMと
-
GSLB (ドメイン登録なしの Azure トラフィック管理 (TM))
-
ライセンス-プール/マーケットプレイス
-
-
-
使用例
-
マルチ NIC マルチ IP (3 NIC) 展開は、データと管理トラフィックの実際の分離を実現するために使用されます。
-
マルチ NIC マルチ IP (3 NIC) 配備により、ADC の規模とパフォーマンスも向上します。
-
マルチ NIC マルチ IP (3 NIC) 展開は、スループットが通常 1 Gbps 以上で、3 つの NIC 展開が推奨されるネットワークアプリケーションで使用されます。
-
高可用性 (HA) のためのマルチ NIC マルチ IP (3 NIC) 展開
お客様は、セキュリティ、冗長性、可用性、容量、およびスケーラビリティが重要な本番環境に導入する場合、3 つの NIC 導入を使用して導入する可能性があります。この展開方法では、複雑さと管理の容易さはユーザーにとって重大な問題ではありません。
Azure Resource Manager テンプレートの展開
お客様は、デプロイをカスタマイズする場合や、デプロイを自動化する場合、ARM (Azure Resource Manager) テンプレートを使用してデプロイします。
ARM (Azure Resource Manager) テンプレート
Citrix ADC ARM (Azure Resource Manager) テンプレートのGitHub リポジトリは、Microsoft Azure クラウドサービスで Citrix ADC を展開するための Citrix ADC カスタムテンプレートをホストします 。このリポジトリ内のすべてのテンプレートは、Citrix ADCエンジニアリングチームによって開発および保守されています。
このリポジトリ内の各テンプレートには、テンプレートの使用法とアーキテクチャを説明するドキュメントが共存しています。テンプレートは、Citrix ADC VPX 推奨展開アーキテクチャを体系化したり、ユーザーにCitrix ADCを紹介したり、特定の機能/エディション/オプションを示したりしようとします。ユーザーは、特定の生産およびテストのニーズに合わせてテンプレートを再利用/変更または拡張できます。ほとんどのテンプレートでは、リソースを作成してテンプレートをデプロイするために、portal.azure.com への十分なサブスクリプションが必要です。 Citrix ADC VPX Azure Resource Manager(ARM)テンプレートは、スタンドアロンのCitrix ADC VPXを簡単かつ一貫性のある方法で展開できるように設計されています。これらのテンプレートは、組み込みの冗長性により、信頼性とシステムの可用性を高めます。これらの ARM テンプレートは、ライセンス使用 (BYOL) または時間単位の選択をサポートしています。選択肢は、テンプレートの説明に記載されているか、テンプレートの展開時に提供されます。 ARM(AzureAzure Resource Manager)テンプレートを使用してMicrosoft AzureでCitrix ADC VPXインスタンスをプロビジョニングする方法の詳細については、次のサイトを参照してください。 Citrix ADC Azureテンプレート。
Microsoft AzureにCitrix ADC VPXインスタンスを展開する方法の詳細については、「Microsoft AzureにCitrix ADC VPXインスタンスを展開する」を参照してください。
Citrix ADC VPXインスタンスがAzureでどのように機能するかについて詳しくは、「 AzureでのCitrix ADC VPXインスタンスの仕組み」を参照してください。
展開手順
ユーザーがMicrosoft Azure Resource Manager(ARM)にCitrix ADC VPXインスタンスを展開すると、Azureクラウドコンピューティング機能を使用し、ビジネスニーズに合わせてCitrix ADC負荷分散およびトラフィック管理機能を使用できます。ユーザーは、Citrix ADC VPXインスタンスをAzure Resource Manager にスタンドアロンインスタンスとして、またはアクティブ/スタンバイモードの高可用性ペアとして展開できます。
ユーザーは、次の2つの方法のいずれかでMicrosoft AzureにCitrix ADC VPXインスタンスを展開できます。
-
Azure Marketplace スを通じて。Citrix ADC VPX仮想アプライアンスは、Microsoft Azure Marketplaceでイメージとして使用することができます。Azure Resource Manager テンプレートはAzure Marketplace で公開され、Citrix ADCをスタンドアロン展開およびHAペア展開に展開するために使用できます。
-
GitHub で利用可能な Citrix ADC Azure Resource Manager (ARM) の json テンプレートを使用します。詳細については、 Citrix ADC ソリューションテンプレートのGitHubリポジトリを参照してください。
適切な Azure インスタンスを選択する
Azure上のVPX仮想アプライアンスは、2つ以上のコアと2 GBを超えるメモリを持つ任意のインスタンスタイプに展開できます。次の表に、ADC VPXライセンスに推奨されるインスタンスタイプを示します。
VPXモデル | Azure インスタンス (推奨) |
---|---|
VPX10 | スタンダード D2s v3 |
VPX200 | スタンダード D2s v3 |
VPX1000 | スタンダード D4s v3 |
VPX3000 | スタンダード D8s v3 |
展開に使用する必要のあるライセンスとインスタンスタイプがわかったら、ユーザーは推奨されるマルチNICマルチIPアーキテクチャを使用してAzureでCitrix ADC VPXインスタンスをプロビジョニングできます。
マルチNICマルチIPアーキテクチャ (3つのNIC)
この展開タイプでは、ユーザーはVPXインスタンスに複数のネットワークインターフェイス (NIC) を接続できます。NICには、静的または動的パブリック IP アドレスとプライベート IP アドレスを 1 つ以上割り当てることができます。マルチ NIC アーキテクチャは、スタンドアロンと HA ペアの両方の導入に使用できます。以下の ARM テンプレートを使用できます。
-
Citrix ADC スタンドアロン:ARM テンプレート-スタンドアロン 3-NIC
-
Citrix ADC HAペア:ARMテンプレート-HAペア 3-NIC
次のユースケースを参照してください。
Citrix ADM展開アーキテクチャ
次の画像は、Microsoft AzureでCitrix ADMとAzureを接続してCitrix ADC VPXインスタンスをプロビジョニングする方法の概要を示しています。
Microsoft AzureでCitrix ADC VPXインスタンスをプロビジョニングおよび管理するには、3つのサブネットが必要です。サブネットごとにセキュリティグループを作成する必要があります。ネットワーク・セキュリティ・グループ (NSG) で指定されたルールは、サブネット間の通信を管理します。
Citrix ADMサービスエージェントは、ユーザーがCitrix ADC VPXインスタンスをプロビジョニングおよび管理するのに役立ちます。
複数の IP アドレスと NIC を使用した高可用性セットアップの構成
Microsoft Azureデプロイメントでは、Azureロードバランサー(ALB)を使用して、2つのCitrix ADC VPXインスタンスの高可用性構成を実現します。これは、ALBでヘルスプローブを構成することによって実現されます。ALBは、プライマリインスタンスとセカンダリインスタンスの両方に5秒ごとにヘルスプローブを送信することにより、各VPXインスタンスを監視します。
この設定では、プライマリノードだけがヘルスプローブに応答し、セカンダリノードは応答しません。プライマリがヘルスプローブに応答を送信すると、ALB はインスタンスへのデータトラフィックの送信を開始します。プライマリインスタンスで連続した 2 つのヘルスプローブが見つからない場合、ALB はそのインスタンスにトラフィックをリダイレクトしません。フェイルオーバー時は、新しいプライマリがヘルスプローブへの応答を開始し、ALBはそのプライマリにトラフィックをリダイレクトします。標準のVPX高可用性フェイルオーバー時間は3秒です。トラフィックスイッチングで発生する可能性のあるフェールオーバー時間の合計は、最大 13 秒です。
ユーザーは、Azureのアクティブ/パッシブ高可用性(HA)セットアップで、複数のNICを持つCitrix ADC VPXインスタンスのペアを展開できます。各NICに複数のIPアドレスを設定できます。
マルチ NIC 高可用性展開では、次のオプションを使用できます。
-
Azure 可用性セットを使用した高可用性
-
Azure アベイラビリティーゾーンを使用した高可用性
Azure アベイラビリティセットとアベイラビリティーゾーンの詳細については、Azure ドキュメント「 Linux 仮想マシンの可用性を管理する」を参照してください。
可用性セットを使用した高可用性
可用性セットを使用した高可用性セットアップは、次の要件を満たす必要があります。
-
HA Independent Network Configuration(INC)構成
-
Direct Server Return(DSR)モードのAzure Load Balancer(ALB)
すべてのトラフィックはプライマリノードを通過します。セカンダリノードは、プライマリノードが失敗するまでスタンバイモードを維持します。
注:
AzureクラウドでのCitrix VPX高可用性展開を機能させるには、2つのVPXノード間で移動できるフローティングパブリックIP (PIP) が必要です。Azure ロードバランサー (ALB) は、フローティング PIP を提供します。このフローティング PIP は、フェールオーバーが発生した場合に自動的に第 2 ノードに移動されます。
アクティブ/パッシブ展開では、ALBフロントエンドパブリックIP (PIP) アドレスが各VPXノードのVIPアドレスとして追加されます。HA-INC 構成では、VIP アドレスはフローティングで、SNIP アドレスはインスタンス固有です。
ユーザーは、次の2つの方法でアクティブ/パッシブ高可用性モードでVPXペアを展開できます。
-
Citrix ADC VPX標準の高可用性テンプレート:3つのサブネットと6つのNICのデフォルトオプションを使用してHAペアを構成するには、このオプションを使用します。
-
Windows PowerShellコマンド:独自のサブネットおよびNIC要件に応じてHAペアを構成する場合にこのオプションを使用します。
このセクションでは、Citrix テンプレートを使用して、アクティブ/パッシブHAセットアップでVPXペアを展開する方法について説明します。ユーザーがPowerShellコマンドを使用して展開する場合は、「 PowerShellコマンドを使用した複数のIPアドレスとNICによる高可用性セットアップの構成」を参照してください。
Citrix 高可用性テンプレートを使用してHA-INCノードを構成する
ユーザーは、標準テンプレートを使用して、HA-INCモードでVPXインスタンスのペアを迅速かつ効率的に展開できます。このテンプレートでは、3 つのサブネットと 6 つの NIC を持つ 2 つのノードが作成されます。 サブネットは管理、クライアント、サーバー側のトラフィック用で、各サブネットには両方のVPXインスタンス用の2つのNICがあります。
Azure可用性セットを使用してテンプレートを起動し、高可用性VPXペアをデプロイするには、次の手順を実行します。
-
Azure Marketplaceから、Citrixソリューションテンプレートを選択して開始します。テンプレートが表示されます。
-
デプロイメントの種類が「リソースマネージャー」であることを確認し、「 作成」を選択します。
-
[ 基本 ] ページが表示されます。リソースグループを作成し、「 OK」を選択します。
-
[一般設定] ページが表示されます。詳細を入力し、[OK]を選択します。
-
[ネットワーク設定] ページが表示されます。VNetとサブネットの構成を確認し、必要な設定を編集して、[ OK]を選択します。
-
[概要] ページが開きます。構成を確認し、適宜編集します。[OK] を選択して確定します。
-
「 購入 」ページが表示されます。[購入] を選択して、展開を完了します。
必要な構成でAzureリソースグループが作成されるまで時間がかかることがあります。完了後、Azure Portal でリソースグループを選択して 、LB ルール、バックエンドプール、ヘルスプローブなどの構成の詳細を表示します。高可用性ペアは、ns-vpx0 および ns-vpx1 と表示されます。
セキュリティルールやポートの追加など、HA セットアップにさらに変更が必要な場合、ユーザーは Azure Portal からそれを行うことができます。
次に、ユーザーは、プライマリノードで、 ALBのフロントエンドパブリックIP (PIP) アドレスを使用して負荷分散仮想サーバーを構成する必要があります。ALB PIP を検索するには、[ALB] > [フロントエンド IP 構成] を選択します。
負荷分散仮想サーバーの構成方法の詳細については、「 Resources 」セクションを参照してください。
リソース:
次のリンクには、HA の導入と仮想サーバの設定に関する追加情報が表示されます。
関連リソース:
可用性ゾーンを使用した高可用性
Azure アベイラビリティーゾーンは、Azure リージョン内の障害分離された場所であり、冗長な電源、冷却、ネットワーキングを提供し、回復力を高めます。特定の Azure リージョンだけがアベイラビリティーゾーンをサポートします。詳細については、Azure のドキュメント「Azure のアベイラビリティーゾーン: アクティブ/スタンバイ高可用性セットアップで GSLB を構成する」を参照してください。
ユーザーは、Azure Marketplaceで利用できる「アベイラビリティーゾーンを使用したNetScaler 13.0 HA」というテンプレートを使用して、VPXペアを高可用性モードで展開できます。
Azureアベイラビリティーゾーンを使用してテンプレートを起動し、高可用性VPXペアをデプロイするには、次の手順を実行します。
-
Azure Marketplaceから、Citrixソリューションテンプレートを選択して開始します。
-
デプロイメントの種類が「リソースマネージャー」であることを確認し、「 作成」を選択します。
-
[ 基本 ] ページが表示されます。詳細を入力し、[OK] をクリックします。
注: アベイラビリティーゾーンをサポートする Azure リージョンが選択されていることを確認します。アベイラビリティーゾーンをサポートするリージョンの詳細については、「Azure ドキュメント Azure のアベイラビリティーゾーン:Azure のリージョンとアベイラビリティ」を参照してください。
-
[一般設定] ページが表示されます。詳細を入力し、[OK]を選択します。
-
[ネットワーク設定] ページが表示されます。VNetとサブネットの構成を確認し、必要な設定を編集して、[ OK]を選択します。
-
[概要] ページが開きます。構成を確認し、適宜編集します。[OK] を選択して確定します。
-
「 購入 」ページが表示されます。[購入] を選択して、展開を完了します。
必要な構成でAzureリソースグループが作成されるまで時間がかかることがあります。完了後、 リソースグループ を選択して、LB ルール、バックエンドプール、正常性プローブなどの構成の詳細を Azure Portal に表示します。高可用性ペアは、ns-vpx0 および ns-vpx1 と表示されます。また、ユーザーは [場所] 列で場所を確認できます 。
セキュリティルールやポートの追加など、HA セットアップにさらに変更が必要な場合、ユーザーは Azure Portal からそれを行うことができます。
Microsoft AzureでのCitrix ADC VPXインスタンスのプロビジョニングの詳細については、「Microsoft AzureでのCitrix ADC VPXインスタンスのプロビジョニング」を参照してください。
Citrix Application Delivery Management
Citrix Application Delivery Management サービス(Citrix ADM)は、オンプレミスまたはクラウド上のCitrix ADC MPX、Citrix ADC VPX、Citrix Gateway、Citrix Secure Web Gateway、Citrix ADC SDX、Citrix ADC CPX、Citrix SD-WANなどのCitrix ADC展開を管理する簡単dえスケーラブルなソリューションを提供します。
ユーザーはこのクラウドソリューションを使用して、単一の統合された一元化されたクラウドベースのコンソールから、グローバルなアプリケーション配信インフラストラクチャ全体を管理、監視、トラブルシューティングできます。Citrix ADM Serviceは、Citrix ADC 展開環境でのアプリケーションの配信を迅速に設定、展開、管理するために必要なすべての機能を提供し、アプリケーションの正常性、パフォーマンス、セキュリティを豊富に分析します。
Citrix ADM サービスには次の利点があります。
-
アジャイル— 操作、更新、消費が簡単です。Citrix ADM Serviceのサービスモデルはクラウド経由で利用できるため、Citrix ADM Serviceが提供する機能の操作、更新、使用が簡単になります。更新の頻度と自動更新機能を組み合わせることで、ユーザーのCitrix ADC展開が迅速に強化されます。
-
タイムトゥバリューの短縮— ビジネス目標の達成を迅速化します。従来のオンプレミス展開とは異なり、ユーザーは数回クリックするだけでCitrix ADMサービスを使用できます。ユーザーはインストールと構成の時間を節約できるだけでなく、潜在的なエラーに時間とリソースを浪費することも防ぎます。
-
マルチサイト管理— マルチサイトデータセンター全体のインスタンスを一元管理。Citrix ADMサービスを使用すると、ユーザーはさまざまなタイプの展開にあるCitrix ADCを管理および監視できます。ユーザーは、オンプレミスとクラウドに展開されたCitrix ADCをワンストップで管理できます。
-
運用効率— 運用生産性の向上を実現するための最適化および自動化された方法。Citrix ADM Serviceを使用すると、従来のハードウェア展開の保守とアップグレードにかかるユーザーの時間、費用、およびリソースを節約できるため、ユーザーの運用コストが削減されます。
Citrix ADM サービスの仕組み
Citrix ADM サービスは、Citrix Cloud上でサービスとして利用できます。ユーザーがCitrix Cloud にサインアップしてサービスの使用を開始したら、ユーザーネットワーク環境にエージェントをインストールするか、インスタンスで組み込みエージェントを開始します。次に、ユーザーが管理するインスタンスをサービスに追加します。
エージェントは、Citrix ADM Serviceとユーザーデータセンター内の管理対象インスタンス間の通信を可能にします。エージェントは、ユーザーネットワーク内の管理対象インスタンスからデータを収集し、Citrix ADM Serviceに送信します。
ユーザーがCitrix ADM Serviceにインスタンスを追加すると、それ自体がトラップの宛先として暗黙的に追加され、インスタンスのインベントリが収集されます。
サービスでは、次のようなインスタンスの詳細が収集されます。
-
ホスト名
-
ソフトウェアのバージョン
-
実行構成と保存済み
-
証明書
-
インスタンス上で構成されたエンティティ、など。
Citrix ADM Servicesは定期的に管理対象インスタンスをポーリングして情報を収集します。
次の画像は、サービス、エージェント、およびインスタンス間の通信を示しています。
ドキュメンテーションガイド
Citrix ADM Serviceのドキュメントには、サービスの開始方法、サービスでサポートされる機能のリスト、およびこのサービスソリューションに固有の構成に関する情報が含まれています。
Citrix ADC WAF と OWASP トップ10 — 2017
オープンWebアプリケーションセキュリティプロジェクト: OWASP (Webアプリケーションセキュリティのための2017年のOWASPトップ10をリリース。このリストは、最も一般的なWebアプリケーションの脆弱性を説明しており、Webセキュリティを評価するための優れた出発点です。ここでは、これらの欠陥を軽減するためにCitrix ADC Webアプリケーションファイアウォール(WAF)を構成する方法について詳しく説明します。WAFは、Citrix ADC(プレミアムエディション)およびさまざまなアプライアンスの統合モジュールとして利用できます。
OWASP Top 10 の完全なドキュメントは OWASP Top Tenで入手できます。
OWASP トップ10 2017 | Citrix ADC WAF 機能 |
---|---|
A 1:2017-インジェクション | インジェクション攻撃防止 (SQL または OS コマンドインジェクション、XPath インジェクション、LDAP インジェクションなどの他のカスタムインジェクション)、自動更新シグネチャ機能 |
A 2:2017-認証が壊れています | AAA、クッキー改ざん防止、クッキープロキシ、クッキー暗号化、CSRF タグ付け、SSL の使用 |
A 3:2017-機密データの漏えい | クレジットカード保護、安全な商取引、クッキープロキシ、クッキー暗号化 |
A 4:2017 XML 外部エンティティ (XXE) | WSIチェック、XMLメッセージ検証、XML SOAP障害フィルタリングチェックを含むXML保護 |
A 5:2017 壊れたアクセス制御 | AAA、NetScalerのAAAモジュール内の認証セキュリティ機能、フォーム保護、およびCookie改ざん保護、startURL、およびclosureURL |
A 6:2017-セキュリティの設定ミス | PCIレポート、SSL機能、Cenzic、Qualys、AppScan、WebInspect、Whitehatなどの脆弱性スキャンレポートからの署名生成。また、Cookieの暗号化、プロキシ、改ざんなどの特定の保護機能 |
A 7:2017-クロスサイトスクリプティング (XSS) | XSS攻撃防止、OWASP XSSチートシート攻撃をすべてブロック |
A 8:2017 — 安全でないデシリアライゼーション | XML セキュリティチェック、GWT コンテンツタイプ、カスタム署名、JSON および XML の Xpath |
A 9:2017-既知の脆弱性を持つコンポーネントを使用する | 脆弱性スキャンレポート、アプリケーションファイアウォールテンプレート、およびカスタム署名 |
A 10:2017 — ロギングとモニタリングが不十分 | ユーザー設定可能なカスタムロギング、Citrix ADC 管理および分析システム |
A 1:2017-インジェクション
SQL、NoSQL、OS、LDAP インジェクションなどのインジェクションの欠陥は、信頼できないデータがコマンドまたはクエリの一部としてインタープリターに送信されるときに発生します。攻撃者の敵対的なデータは、通訳者を騙して意図しないコマンドを実行させたり、適切な許可なしにデータにアクセスさせたりする可能性があります。
ADC WAF 保護
-
SQL インジェクション防止機能は、一般的なインジェクション攻撃から保護します。カスタムインジェクションパターンをアップロードして、XPathやLDAPを含むあらゆる種類のインジェクション攻撃から保護できます。これは HTML ペイロードと XML ペイロードの両方に適用されます。
-
シグネチャの自動更新機能は、インジェクションシグネチャを最新の状態に保ちます。
-
フィールド形式保護機能により、管理者は任意のユーザーパラメータを正規表現に制限できます。たとえば、郵便番号フィールドには整数のみを含めることも、5 桁の整数を含めることもできます。
-
フォームフィールドの一貫性:送信された各ユーザーフォームをユーザーセッションフォームの署名と照合して検証し、すべてのフォーム要素の有効性を確認します。
-
バッファオーバーフローチェックは、URL、ヘッダー、および Cookie が適切な制限内にあることを確認し、大きなスクリプトやコードを挿入する試みをブロックします。
A 2:2017 — 認証が壊れた
認証とセッション管理に関連するアプリケーション機能は正しく実装されていないことが多く、攻撃者はパスワード、キー、またはセッショントークンを侵害したり、他の実装の欠陥を悪用して他のユーザーのIDを一時的または永続的に引き継ぐことができます。
ADC WAF 保護
-
Citrix ADC AAAモジュールは、ユーザー認証を実行し、バックエンドアプリケーションにシングルサインオン機能を提供します。これはCitrix ADC AppExpertポリシーエンジンに統合され、ユーザーおよびグループの情報に基づくカスタムポリシーを許可します。
-
ファイアウォールは、SSLオフロードとURL変換機能を使用して、サイトが安全なトランスポート層プロトコルを使用して、ネットワークスニッフィングによるセッショントークンの盗用を防ぐこともできます。
-
Cookie のプロキシとクッキーの暗号化は、クッキーの盗用を完全に軽減するために使用できます。
A 3:2017-機密データの漏えい
多くのWebアプリケーションとAPIは、財務、医療、PIIなどの機密データを適切に保護していません。攻撃者は、クレジットカード詐欺、個人情報の盗難、またはその他の犯罪を行うために、そのような保護が不十分なデータを盗んだり変更したりする可能性があります。機密データは、保存中または転送中の暗号化など、追加の保護なしで侵害される可能性があり、ブラウザと交換する場合は特別な予防措置が必要です。
ADC WAF 保護
-
アプリケーションファイアウォールは、クレジットカード情報などの機密データの漏洩からアプリケーションを保護します。
-
機密データは、露出を防ぐためにセーフコマース保護でセーフオブジェクトとして構成できます。
-
クッキーに含まれる機密データは、クッキープロキシとクッキー暗号化によって保護できます。
A 4:2017 XML 外部エンティティ (XXE)
古いまたは構成が不十分な XML プロセッサの多くは、XML ドキュメント内の外部エンティティ参照を評価します。外部エンティティは、ファイルURIハンドラー、内部ファイル共有、内部ポートスキャン、リモートコード実行、およびサービス拒否攻撃を使用して内部ファイルを開示するために使用できます。
ADC WAF 保護
-
XMLベースのアプリケーション (クロスサイトスクリプティング、コマンドインジェクションなど) への攻撃に適応できる一般的なアプリケーションの脅威を検出してブロックすることに加えて。
-
ADCアプリケーションファイアウォールには、XML固有のセキュリティ保護が豊富に含まれています。これには、SOAP メッセージと XML ペイロードを徹底的に検証するスキーマ検証や、悪意のある実行可能ファイルまたはウイルスを含む添付ファイルをブロックする強力な XML 添付ファイルチェックが含まれます。
-
自動トラフィック検査方法は、アクセスを獲得することを目的とした URL やフォームに対する XPath インジェクション攻撃をブロックします。
-
また、ADCアプリケーションファイアウォールは、外部エンティティ参照、再帰的拡張、過剰なネスト、長いまたは多数の属性や要素を含む悪意のあるメッセージなど、さまざまなDoS攻撃を阻止します。
A 5:2017 壊れたアクセス制御
認証されたユーザーに許可される内容の制限は、多くの場合、適切に適用されません。攻撃者はこれらの欠陥を悪用して、他のユーザーのアカウントへのアクセス、機密ファイルの表示、他のユーザーのデータの変更、アクセス権の変更など、不正な機能やデータにアクセスする可能性があります。
ADC WAF 保護
-
すべてのアプリケーショントラフィックの認証、認可、および監査をサポートする AAA 機能により、サイト管理者は ADC アプライアンスでアクセス制御を管理できます。
-
ADCアプライアンスのAAAモジュール内の認証セキュリティ機能により、アプライアンスは、保護されているサーバ上のどのコンテンツに各ユーザにアクセスを許可するかを検証できます。
-
フォームフィールドの一貫性:オブジェクト参照がフォームに非表示フィールドとして保存されている場合、フォームフィールドの一貫性を使用して、これらのフィールドが以降のリクエストで改ざんされていないことを検証できます。
-
Cookie プロキシとクッキーの一貫性:クッキー値に格納されているオブジェクト参照は、これらの保護によって検証できます。
-
URL クロージャで URL チェックを開始:事前定義された URL の許可リストへのユーザーアクセスを許可します。URLクロージャは、ユーザーセッション中に有効な応答に表示されるすべてのURLのリストを作成し、そのセッション中に自動的にアクセスを許可します。
A 6:2017-セキュリティの設定ミス
セキュリティの設定ミスは、最もよく見られる問題です。これは通常、安全でないデフォルト設定、不完全または即興の構成、オープンクラウドストレージ、誤って構成されたHTTPヘッダー、機密情報を含む詳細なエラーメッセージの結果です。すべてのオペレーティングシステム、フレームワーク、ライブラリ、アプリケーションを安全に構成する必要があるだけでなく、パッチを適用してタイムリーにアップグレードする必要があります。
ADC WAF 保護
-
アプリケーションファイアウォールによって生成される PCI-DSS レポートには、ファイアウォールデバイスのセキュリティ設定が記録されます。
-
スキャンツールからのレポートは、セキュリティの設定ミスを処理するために ADC WAF シグネチャに変換されます。
-
ADC WAFは、Cenzic、IBM AppScan (エンタープライズおよびスタンダード)、Qualys、TrendMicro、WhiteHat、およびカスタム脆弱性スキャンレポートをサポートしています。
A 7:2017-クロスサイトスクリプティング (XSS)
XSSの欠陥は、アプリケーションが適切な検証やエスケープを行わずに信頼できないデータを新しいWebページに含めたり、HTMLまたはJavaScriptを作成できるブラウザAPIを使用してユーザー提供のデータで既存のWebページを更新したりする場合に発生します。XSSを使用すると、攻撃者は被害者のブラウザでスクリプトを実行し、ユーザーセッションを乗っ取ったり、Webサイトを改ざんしたり、ユーザーを悪意のあるサイトにリダイレクトしたりすることができます。
ADC WAF 保護
-
XSS 保護は、一般的な XSS 攻撃から保護します。カスタム XSS パターンをアップロードして、許可されているタグと属性のデフォルトリストを変更できます。ADC WAFは、許可されたHTML属性とタグのホワイトリストを使用して、XSS攻撃を検出します。これは HTML ペイロードと XML ペイロードの両方に適用されます。
-
ADC WAFは、OWASP XSSフィルター評価チートシートに記載されているすべての攻撃をブロックします。
-
フィールド形式チェックは、攻撃者が XSS 攻撃の可能性がある不適切な Web フォームデータを送信するのを防ぎます。
-
フォームフィールドの一貫性。
A 8:2017-安全でないデシリアライゼーション
安全でないデシリアライゼーションは、多くの場合、リモートでコードが実行される原因になります。デシリアライゼーションの欠陥によってリモートコードが実行されない場合でも、リプレイ攻撃、インジェクション攻撃、権限昇格攻撃などの攻撃を実行するために使用できます。
ADC WAF 保護
-
カスタム署名付きの JSON ペイロード検査。
-
XMLセキュリティ:XMLサービス拒否(XDoS)、XML SQLおよびXpathインジェクション、クロスサイトスクリプティング、フォーマットチェック、WS-I基本プロファイルコンプライアンス、XML添付ファイルチェックから保護します。
-
フィールド形式チェックと Cookie の一貫性とフィールドの一貫性を使用できます。
A 9:2017-既知の脆弱性を持つコンポーネントの使用
ライブラリ、フレームワーク、その他のソフトウェアモジュールなどのコンポーネントは、アプリケーションと同じ権限で実行されます。脆弱なコンポーネントが悪用された場合、そのような攻撃は重大なデータ損失またはサーバーの乗っ取りを助長する可能性があります。既知の脆弱性を持つコンポーネントを使用するアプリケーションと API は、アプリケーションの防御を弱体化させ、さまざまな攻撃や影響を引き起こす可能性があります。
ADC WAF 保護
-
Citrix では、サードパーティのコンポーネントを最新の状態にすることをお勧めします。
-
ADCシグネチャに変換された脆弱性スキャンレポートは、これらのコンポーネントに仮想的にパッチを適用するために使用できます。
-
これらの脆弱なコンポーネントに使用できるアプリケーションファイアウォールテンプレートを使用できます。
-
カスタム署名は、これらのコンポーネントを保護するためにファイアウォールにバインドできます。
A 10:2017-ロギングとモニタリングが不十分
不十分なロギングと監視、およびインシデント対応との統合の欠落または非効率的な統合により、攻撃者はシステムをさらに攻撃し、永続性を維持し、より多くのシステムにピボットし、データを改ざん、抽出、または破壊することができます。ほとんどの侵害調査では、侵害を検出する時間は200日を超え、通常は内部のプロセスや監視ではなく外部の関係者によって検出されることが示されています。
ADC WAF 保護
-
セキュリティチェックまたは署名に対してログアクションが有効になっている場合、生成されるログメッセージには、アプリケーションファイアウォールがWebサイトとアプリケーションを保護している間に監視した要求と応答に関する情報が提供されます。
-
アプリケーションファイアウォールは、組み込みのADCデータベースを使用して、悪意のある要求の発信元であるIPアドレスに対応する場所を識別する便利さを提供します。
-
デフォルト形式(PI)式を使用すると、アプリケーションファイアウォールで生成されたログメッセージにキャプチャする特定のデータを追加するオプションを使用して、ログに含まれる情報を柔軟にカスタマイズできます。
-
アプリケーションファイアウォールは CEF ログをサポートしています。
アプリケーションセキュリティ保護
Citrix ADM
Citrix Application Delivery Management サービス(Citrix ADM)は、Citrix ADC MPX、Citrix ADC VPX、Citrix Gateway、Citrix Secure Web Gateway、Citrix ADC SDX、Citrix ADC CPX、およびオンプレミスまたはクラウドに展開されているCitrix SD-WANアプライアンスを含むCitrix ADC展開を管理するためのスケーラブルなソリューションを提供します。
Citrix ADM アプリケーション分析および管理機能
以下は、App SecurityにおけるADMの役割にとって重要な重要な機能をリストし、要約したものです。
アプリケーションの分析と管理
Citrix ADM アプリケーション分析と管理機能は、アプリケーション中心のアプローチを強化し、ユーザーがさまざまなアプリケーション配信の課題に対処できるようにします。このアプローチにより、ユーザーはアプリケーションのヘルススコアを可視化し、セキュリティリスクを判断し、アプリケーショントラフィックフローの異常を検出して修正措置を講じることができます。App Securityのこれらの役割の中で最も重要なのは、アプリケーションセキュリティ分析です。
- アプリケーションセキュリティ分析: アプリケーションセキュリティ分析。App Security Dashboardは、ユーザーアプリケーションのセキュリティステータスの全体像を提供します。たとえば、セキュリティ違反、シグネチャ違反、脅威指数などの、セキュリティの主要な測定基準が表示されます。App Securityダッシュボードには、検出されたCitrix ADCインスタンスのSYN攻撃、スモールウィンドウ攻撃、DNSフラッド攻撃などの攻撃関連情報も表示されます。
「StyleBook」を参照してください
StyleBooksは、ユーザーアプリケーションの複雑なCitrix ADC構成を管理するタスクを簡素化します。StyleBookは、ユーザーがCitrix ADC構成を作成および管理するために使用できるテンプレートです。ここでは、ユーザーは主に、Webアプリケーションファイアウォールの展開に使用されるStyleBookに関心があります。StyleBooksについて詳しくは、 StyleBooksを参照してください。
分析
Citrix ADCインスタンスのデータのさまざまな洞察を調べて、アプリケーションのパフォーマンスを記述、予測、改善するための簡単でスケーラブルな方法を提供します。ユーザーは 1 つ以上の分析機能を同時に使用できます。App Securityのこれらの役割の中で最も重要なのは次のとおりです。
-
Security Insight: Security Insight。ユーザーがユーザーアプリケーションのセキュリティ状態を評価し、ユーザーアプリケーションを保護するための是正措置を講じるのに役立つ、単一ペインのソリューションを提供します。
-
ボットのインサイト
-
アナリティクスの詳細については、アナリティクス: アナリティクスをご覧ください。
ADM機能にとって重要なその他の機能は次のとおりです。
イベント管理
イベントは、管理対象Citrix ADCインスタンスでのイベントまたはエラーの発生を表します。たとえば、システム障害や構成が変更された場合、イベントが生成され、Citrix ADMに記録されます。以下は、ユーザーがCitrix ADMを使用して構成または表示できる関連機能です。
-
イベントルールの作成: イベントルールの作成
-
syslog メッセージの表示とエクスポート: Syslog メッセージの表示とエクスポート
イベント管理の詳細については、「 イベント」を参照してください。
インスタンス管理
ユーザーは、Citrix ADC、Citrix Gateway、Citrix SCitrix Secure Web Gateway、および Citrix SD-WAN インスタンスを管理できます。インスタンス管理の詳細については、「 インスタンスの追加」を参照してください。
ライセンス管理
Citrix ADMをライセンスマネージャーとして構成することにより、ユーザーがCitrix ADCライセンスを管理できるようにします。
-
Citrix ADC プール容量: プール容量。ユーザーのCitrix ADCインスタンスが1つのインスタンスライセンスと必要なだけの帯域幅をチェックアウトできる共通のライセンスプール。インスタンスでこれらのリソースが不要になった場合、インスタンスはリソースを共通プールにチェックインし、このリソースを必要とする他のインスタンスが利用できるようになります。
-
Citrix ADC VPXチェックインおよびチェックアウトライセンス: Citrix ADC VPXチェックインおよびチェックアウトライセンス。Citrix ADM は、オンデマンドでライセンスをCitrix ADC VPXインスタンスに割り当てます。Citrix ADC VPXインスタンスは、Citrix ADC VPXインスタンスがプロビジョニングされたときにCitrix ADMからライセンスをチェックアウトしたり、インスタンスが削除または破棄されたときにCitrix ADMにライセンスをチェックインし直すことができます。
-
ライセンス管理の詳細については、「 プール容量」を参照してください。
構成管理
Citrix ADMを使用すると、エンティティの作成、機能の構成、構成変更のレプリケーション、システムアップグレード、およびその他のメンテナンスアクティビティなどの構成タスクを複数のインスタンスで簡単に実行できる構成ジョブを作成できます。構成ジョブとテンプレートは、Citrix ADM 上で最も反復的な管理タスクを単一のタスクに簡素化します。構成管理の詳細については、「構成ジョブ: 構成ジョブ」を参照してください。
構成監査
ユーザーは、ユーザーインスタンス全体の設定の異常を監視および特定できます。
-
設定アドバイス: ネットワーク設定に関する設定アドバイスを入手します。ユーザーは構成の異常を特定できます。
-
監査テンプレート: 監査テンプレートを作成します。特定の構成における変更を監視できます。
-
構成監査の詳細については、「 構成監査」を参照してください。
署名は、ユーザーがユーザーアプリケーションの保護を最適化するのに役立つ次の展開オプションを提供します。
-
ネガティブセキュリティモデル:ネガティブセキュリティモデルでは、ユーザーは事前に構成された豊富なシグネチャルールを使用して、パターンマッチングの機能を適用して攻撃を検出し、アプリケーションの脆弱性から保護します。ユーザーは望まないものだけをブロックし、残りを許可します。ユーザーは、ユーザーアプリケーションの特定のセキュリティニーズに基づいて独自の署名ルールを追加して、独自のカスタマイズされたセキュリティソリューションを設計できます。
-
ハイブリッドセキュリティモデル:署名の使用に加えて、ユーザーはポジティブセキュリティチェックを使用して、ユーザーアプリケーションに最適な構成を作成できます。署名を使用してユーザーが望まないものをブロックし、肯定的なセキュリティチェックを使用して許可されているものを強制します。
署名を使用してユーザーアプリケーションを保護するには、ユーザーは署名オブジェクトを使用するように 1 つ以上のプロファイルを構成する必要があります。ハイブリッドセキュリティ構成では、ユーザー署名オブジェクトの SQL インジェクションおよびクロスサイトスクリプティングパターン、および SQL 変換ルールは、シグニチャルールだけでなく、Web アプリケーションファイアウォールプロファイルで設定されたポジティブセキュリティチェックによっても使用されます。署名オブジェクト。
Web アプリケーションファイアウォールは、ユーザ保護された Web サイトおよび Web サービスへのトラフィックを調べ、シグネチャと一致するトラフィックを検出します。一致は、ルール内のすべてのパターンがトラフィックに一致する場合にのみトリガーされます。一致が発生すると、ルールに対して指定されたアクションが呼び出されます。要求がブロックされると、ユーザーはエラーページまたはエラーオブジェクトを表示できます。ログメッセージは、ユーザーがユーザーアプリケーションに対して開始されている攻撃を特定するのに役立ちます。ユーザーが統計を有効にすると、Web アプリケーションファイアウォールは、Web アプリケーションファイアウォールの署名またはセキュリティチェックに一致する要求に関するデータを保持します。
トラフィックがシグニチャとポジティブセキュリティチェックの両方に一致する場合、2 つのアクションのうち、より厳しい制限が適用されます。たとえば、ブロックアクションが無効になっているシグネチャルールにリクエストが一致し、アクションがブロックされている SQL Injection ポジティブセキュリティチェックにも一致する場合、リクエストはブロックされます。この場合、<not blocked>要求は SQL インジェクションチェックによってブロックされますが、署名違反はとしてログに記録される可能性があります。
カスタマイズ:必要に応じて、ユーザーは独自のルールを署名オブジェクトに追加できます。ユーザーは SQL/XSS パターンをカスタマイズすることもできます。ユーザーアプリケーションの特定のセキュリティニーズに基づいて独自の署名ルールを追加するオプションにより、ユーザーは独自のカスタマイズされたセキュリティソリューションを柔軟に設計できます。ユーザーは望まないものだけをブロックし、残りを許可します。特定の高速一致パターンを指定の場所に配置すると、処理オーバーヘッドを大幅に削減してパフォーマンスを最適化できます。ユーザーは、SQL インジェクションおよびクロスサイトスクリプティングパターンを追加、変更、または削除できます。組み込みの正規表現と式エディタは、ユーザーがユーザーパターンを構成し、その正確性を検証するのに役立ちます。
使用例
各サービスを個別の仮想アプライアンスとしてデプロイする必要がある代替ソリューションと比較して、Citrix ADC on AWSは、L4負荷分散、L7トラフィック管理、サーバーオフロード、アプリケーションアクセラレーション、アプリケーションセキュリティ、柔軟なライセンス、およびその他の重要なアプリケーション配信機能を組み合わせています単一のVPXインスタンスで、AWS Marketplaceから便利に入手できます。さらに、すべてが単一のポリシーフレームワークによって管理され、オンプレミスのCitrix ADC展開を管理するのと同じ強力なツールセットで管理されます。その結果、Citrix ADC on AWS では、今日の企業の即時ニーズをサポートするだけでなく、レガシーコンピューティングインフラストラクチャからエンタープライズクラウドデータセンターへの継続的な進化をサポートするいくつかの魅力的なユースケースが可能になります。
Citrix Webアプリケーションファイアウォール (WAF)
Citrix Webアプリケーションファイアウォール(WAF)は、最新のアプリケーションに最先端の保護を提供するエンタープライズグレードのソリューションです。Citrix WAFは、Webサイト、Webアプリケーション、APIなど、公開されている資産に対する脅威を軽減します。Citrix WAFには、IPレピュテーションベースのフィルタリング、ボット緩和、OWASPトップ10のアプリケーション脅威保護、レイヤー7 DDoS保護などが含まれます。また、認証を強制するオプション、強力なSSL/TLS暗号、TLS 1.3、レート制限、および書き換えポリシーも含まれています。基本的なWAF保護と高度なWAF保護の両方を使用して、Citrix WAFは比類のない使いやすさでアプリケーションに包括的な保護を提供します。起動して実行するのはほんの数分です。さらに、動的プロファイリングと呼ばれる自動学習モデルを使用することで、Citrix WAFはユーザーの貴重な時間を節約します。Citrix WAFは、保護されたアプリケーションがどのように機能するかを自動的に学習することにより、開発者がアプリケーションを展開および変更してもアプリケーションに適応します。Citrix WAFは、PCI-DSS、HIPAAなど、すべての主要な規制基準および機関のコンプライアンスを支援します。CloudFormation テンプレートを使えば、これまでになく簡単に立ち上げてすぐに実行できます。Auto Scaling を使用すると、トラフィックが拡大しても、ユーザーはアプリケーションを保護したまま安心できます。
Web アプリケーションファイアウォールの配備戦略
Web アプリケーションファイアウォールを展開するための最初のステップは、最大限のセキュリティ保護が必要なアプリケーションまたは特定のデータ、脆弱性の低いアプリケーション、およびセキュリティ検査を安全に回避できるものを評価することです。これにより、ユーザーは最適な構成を考案し、トラフィックを分離するための適切なポリシーとバインドポイントを設計できます。たとえば、ユーザーは、画像、MP3 ファイル、ムービーなどの静的な Web コンテンツに対する要求のセキュリティ検査をバイパスするポリシーを構成し、動的コンテンツのリクエストに高度なセキュリティチェックを適用する別のポリシーを構成することができます。ユーザーは複数のポリシーとプロファイルを使用して、同じアプリケーションの異なるコンテンツを保護できます。
次のステップは、展開のベースラインを設定することです。まず、仮想サーバーを作成し、そのサーバーを介してテストトラフィックを実行して、ユーザーシステムを通過するトラフィックの速度と量を把握します。
次に、Web アプリケーションファイアウォールを展開します。Citrix ADMとWebアプリケーションファイアウォールStyleBookを使用して、Webアプリケーションファイアウォールを構成します。詳細については、このガイドの下の「StyleBook」セクションを参照してください。
WebアプリケーションファイアウォールをWebアプリケーションファイアウォールStyleBookで展開および構成した後、有用な次のステップは、Citrix ADC WAFとOWASPトップテンを実装することです。
最後に、3つのWebアプリケーションファイアウォール保護は、一般的な種類のWeb攻撃に対して特に効果的であり、他のどれよりも一般的に使用されています。したがって、これらは初期展開時に実装する必要があります。これには、次の種類のアカウントがあります。
-
HTML クロスサイトスクリプティング。スクリプトが配置されている Web サイトとは異なる Web サイトのコンテンツにアクセスまたは変更しようとするスクリプトのリクエストとレスポンスを調べます。このチェックは、このようなスクリプトを検出すると、要求または応答を宛先に転送する前にスクリプトを無害にするか、接続をブロックします。
-
HTML SQL インジェクション。SQL データベースに SQL コマンドを挿入する試みについて、フォームフィールドデータを含む要求を調べます。このチェックは、挿入された SQL コードを検出すると、要求をブロックするか、または Web サーバーに要求を転送する前に、挿入された SQL コードを無害にします。
注: 次の両方の条件がユーザー構成に当てはまる場合、ユーザーは Web アプリケーションファイアウォールが正しく構成されていることを確認する必要があります。
ユーザーが HTML クロスサイトスクリプティングチェックまたは HTML SQL インジェクションチェック (あるいはその両方) を有効にした場合
ユーザー保護された Web サイトは、ファイルのアップロードを受け入れるか、大きな POST 本文データを含む Web フォームを含んでいます。
このケースを処理するためのWebアプリケーションファイアウォールの構成の詳細については、「 アプリケーションファイアウォールの構成:Web App Firewallの構成」を参照してください。
- バッファオーバーフロー。要求を調べて、Web サーバー上でバッファオーバーフローを引き起こす試みを検出します。
Web アプリケーションファイアウォール (WAF) の設定
以下の手順は、WAF がすでに有効になっていて、正しく機能していることを前提としています。
Citrix では、WebアプリケーションファイアウォールStyleBookを使用してWAFを構成することをお勧めします。ほとんどのユーザーは、これがWebアプリケーションファイアウォールを構成する最も簡単な方法であり、間違いを防ぐように設計されています。GUIとコマンド・ライン・インタフェースはいずれも、経験豊かなユーザーを対象としています。主に、既存の構成を変更したり、詳細オプションを使用したりします。
SQLインジェクション
アプリケーションファイアウォールのHTML SQLインジェクションチェックは、ユーザーアプリケーションのセキュリティを侵害する可能性のある不正なSQLコードの挿入に対する特別な防御を提供します。Citrix Web Application Firewallは、注入されたSQLコードの要求ペイロードを、1)POST本文、2)ヘッダー、3)Cookieの3つの場所で検査します。
キーワードと特殊文字のデフォルトのセットは、SQL 攻撃の起動に一般的に使用される既知のキーワードと特殊文字を提供します。ユーザーは、新しいパターンを追加したり、デフォルトセットを編集して SQL チェックインスペクションをカスタマイズしたりすることもできます。
SQL インジェクション処理用に構成できるパラメーターがいくつかあります。ユーザーは SQL ワイルドカード文字をチェックできます。ユーザーは SQL インジェクションタイプを変更し 、4 つのオプション (SQLKeyword、sqlSplChar、sqlSplCharandKeyword、sqlSplcharorKeyword) のいずれかを選択して、ペイロードの処理時に SQL キーワードと SQL 特殊文字を評価する方法を指定できます。[SQL Comments Handling] パラメーターでは、SQL インジェクションの検出中に検査または除外する必要のあるコメントのタイプを指定するオプションをユーザーに提供します。
ユーザーは、誤検知を避けるためにリラクゼーションを展開できます。学習エンジンは、緩和ルールを設定するための推奨事項を提供できます。
ユーザーアプリケーションの最適化された SQL インジェクション保護を構成するには、次のオプションを使用できます。
ブロック — ユーザーがブロックを有効にすると、入力が SQL インジェクションタイプの指定と一致する場合にのみブロックアクションがトリガーされます。たとえば、SQLSPLCharandKeyword が SQL インジェクションタイプとして構成されている場合、入力で SQL 特殊文字が検出された場合でも、キーワードが含まれていない要求はブロックされません。SQL インジェクションタイプがsqlSplChar またはsqlSplCharorKeyword**に設定されている場合、このような要求はブロックされます。
ログ — ユーザーがログ機能を有効にすると、SQL インジェクションチェックは、実行するアクションを示すログメッセージを生成します。ブロックが無効になっている場合は、SQL 違反が検出された各入力フィールドに対して個別のログメッセージが生成されます。ただし、要求がブロックされると、1 つのメッセージだけが生成されます。同様に、SQL 特殊文字が複数のフィールドで変換された場合でも、変換操作に対してリクエストごとに 1 つのログメッセージが生成されます。ユーザーはログを監視して、正当な要求への応答がブロックされているかどうかを判断できます。ログメッセージの数が大幅に増加すると、攻撃を開始しようとしたことを示している可能性があります。
Stats — 有効にすると、統計機能は違反とログに関する統計を収集します。統計カウンターの予期しない急増は、ユーザーアプリケーションが攻撃を受けていることを示している可能性があります。正当なリクエストがブロックされている場合、ユーザーは構成を再確認して、新しい緩和ルールを構成する必要があるか、既存の緩和ルールを変更する必要があるかどうかを確認する必要があります。
学習 — どの SQL 緩和ルールがアプリケーションに適しているかわからない場合は、学習機能を使用して、学習したデータに基づいて推奨事項を生成できます。Web アプリケーションファイアウォールの学習エンジンは、トラフィックを監視し、観測された値に基づいて SQL 学習の推奨事項を提供します。パフォーマンスを損なうことなく最適なメリットを得るには、学習オプションを短時間有効にしてルールの代表的なサンプルを入手し、ルールを展開して学習を無効にすることができます。
SQL特殊文字の変換-Webアプリケーションファイアウォールは、SQLセキュリティチェック処理の特殊文字として、一重引用符 (‘)、バックスラッシュ ()、およびセミコロン (;) の3つの文字を考慮します。SQL 変換機能は、HTML リクエストの SQL インジェクションコードを変更して、リクエストが無害になるようにします。変更された HTML リクエストはサーバーに送信されます。デフォルトの変換ルールはすべて /netscaler/default_custom_settings.xml ファイルに指定されています。
-
変換操作では、リクエストに以下の変更を加えることで、SQL コードが非アクティブになります。
-
一重引用符 (‘) から二重引用符 (「)
-
バックスラッシュ () を 2 つバックスラッシュ () にします。
-
セミコロン (;) は完全に削除されます。
これら 3 つの文字 (特殊文字列) は、SQL Server にコマンドを発行するために必要です。SQL コマンドの前に特別な文字列が付いていない限り、ほとんどの SQL サーバーはそのコマンドを無視します。したがって、変換が有効なときに Web アプリケーションファイアウォールが実行する変更により、攻撃者はアクティブな SQL を注入できなくなります。これらの変更が行われた後、リクエストはユーザー保護ウェブサイトに安全に転送できます。ユーザー保護された Web サイトの Web フォームに SQL 特殊文字列を正当に含めることができるが、Web フォームが正しく動作するために特別な文字列に依存しない場合、ユーザーは、Web の保護を低下させることなく、ブロックを無効にして変換を有効にして、正当な Web フォームデータのブロックを防ぐことができます。アプリケーションファイアウォールは、ユーザー保護ウェブサイトに提供します。
変換操作は、 SQL インジェクションタイプ設定とは独立して機能します 。変換が有効で、SQL インジェクションタイプが SQL キーワードとして指定されている場合、要求にキーワードが含まれていなくても SQL の特殊文字が変換されます。
ヒント: ユーザーは通常、変換またはブロックのいずれかを有効にしますが、両方は有効にしません。ブロックアクションが有効になっている場合は、変換アクションよりも優先されます。ユーザーがブロックを有効にしている場合、変換を有効にすることは冗長です。
SQL ワイルドカード文字のチェック-ワイルドカード文字を使用して、SQL SELECT
ステートメントの選択肢を広げることができます。これらのワイルドカード演算子は、LIKE演算子とNOT LIKE演算子とともに使用して、値を類似する値と比較できます。パーセント (%) およびアンダースコア (_) 文字は、ワイルドカードとしてよく使用されます。パーセント記号は、MS-DOS で使用されるアスタリスク (*) ワイルドカード文字に似ており、フィールド内の 0、1、または複数の文字に一致します。アンダースコアは、MS-DOS の疑問符 (?) に似ています。 ワイルドカード文字。これは、式の 1 つの数字または文字に一致します。
たとえば、ユーザーは次のクエリを使用して文字列検索を実行し、名前に D 文字を含むすべての顧客を検索できます。
顧客から* を選択 WHERE 名前「%D%」:
次の例では、演算子を組み合わせて、2 番目と 3 番目に 0 がある給与値をすべて検索します。
顧客から*を選択 WHERE 給与 ‘_ 00% ‘:
DBMS ベンダーによっては、演算子を追加してワイルドカード文字を拡張しています。Citrix Web Application Firewallは、これらのワイルドカード文字を挿入することによって開始される攻撃から保護できます。デフォルトの 5 つのワイルドカード文字は、パーセント (%)、アンダースコア (_)、キャレット (^)、開き角かっこ ([)、閉じ角かっこ (]) です。この保護は、HTML プロファイルと XML プロファイルの両方に適用されます。
デフォルトのワイルドカード文字は、*Default Signatures で指定されているリテラルのリストです。
-
<wildchar type=” LITERAL”>%</wildchar>
-
<wildchar type=」LITERAL」>_</wildchar>
-
<wildchar type=”LITERAL”>^</wildchar>
-
<wildchar type=”LITERAL”>[</wildchar>
-
<wildchar type=”LITERAL”>]</wildchar>
攻撃のワイルドカード文字は [^A-F] のように PCRE になります。Web アプリケーションファイアウォールは PCRE ワイルドカードもサポートしていますが、ほとんどの攻撃をブロックするには、上記のリテラルワイルドカード文字で十分です。
注: SQL ワイルドカード文字チェックは、SQL 特殊文字チェックとは異なります。誤検出を避けるため、このオプションは注意して使用する必要があります。
SQL インジェクションタイプを含むチェックリクエスト — Web アプリケーションファイアウォールには、アプリケーションの個々のニーズに基づいて、SQL インジェクションインスペクションに必要なレベルの厳密性を実装するための 4 つのオプションが用意されています。SQL 違反を検出するために、リクエストはインジェクションタイプの指定と照合されます。SQL インジェクションタイプには、次の 4 つのオプションがあります。
-
SQL特殊文字とキーワード-SQL違反をトリガーするには、SQLキーワードとSQL特殊文字の両方が入力に含まれている必要があります。この最も制限の少ない設定もデフォルト設定です。
-
SQL 特殊文字-SQL 違反をトリガーするには、少なくとも 1 つの特殊文字が入力に含まれている必要があります。
-
SQL キーワード-SQL 違反をトリガーするには、指定した SQL キーワードの少なくとも 1 つが入力に含まれている必要があります。このオプションは十分に考慮せずに選択しないでください。誤検出を避けるため、入力にキーワードが含まれていないことを確認します。
-
SQL 特殊文字またはキーワード:セキュリティチェック違反をトリガーするには、入力にキーワードまたは特殊文字列が含まれている必要があります。
ヒント: ユーザーが SQL 特殊文字を含む入力をチェックするように Web アプリケーションファイアウォールを構成すると、Web アプリケーションファイアウォールは特殊文字を含まない Web フォームフィールドをスキップします。ほとんどのSQLサーバーは、特殊文字が前に付いていないSQLコマンドを処理しないため、このオプションを有効にすると、ユーザーが保護するWebサイトを危険にさらすことなく、Webアプリケーションファイアウォールの負荷を大幅に軽減し、処理を高速化できます。
SQL コメント処理 — デフォルトでは、Web アプリケーションファイアウォールは、挿入された SQL コマンドのすべての SQL コメントをチェックします。ただし、多くの SQL サーバーでは、SQL 特殊文字が前に付いていても、コメント内の内容は無視されます。処理を高速化するために、SQL サーバーがコメントを無視する場合、注入された SQL の要求を調べるときにコメントをスキップするように Web アプリケーションファイアウォールを設定できます。SQL コメント処理オプションは次のとおりです。
-
ANSI—UNIX ベースの SQL データベースで通常使用される ANSI 形式の SQL コメントをスキップします。たとえば、次のようになります:
-
/— (2 つのハイフン)-これは、2 つのハイフンで始まり、行末で終わるコメントです。
-
{}-中カッコ(中カッコはコメントを囲みます。{はコメントの前にあり、} はその後に続きます。中括弧は 1 行または複数行のコメントを区切ることができますが、コメントはネストできません)
-
/**/: C スタイルのコメント (コメントの入れ子は許可されません)。/*!<comment that begins with a slash followed by an asterisk and an exclamation mark is not a comment >*/
-
MySQL Server は C スタイルのコメントのいくつかのバリアントをサポートしています。これらにより、ユーザは次の形式のコメントを使用して、MySQL 拡張を含むが移植可能なコードを書くことができます:[/*! MySQL 固有のコード */]
-
.#: MySQL comments: これは # 文字で始まり、行の終わりで終わるコメントです
-
-
[ネスト ] — Microsoft SQL Server で通常使用される、ネストされた SQL コメントをスキップします。たとえば、; — (2 つのハイフン)、/**/(ネストされたコメントを許可します)
-
ANSI/nested — ANSI とネストされた SQL コメント標準の両方に準拠するコメントをスキップします。ANSI 標準のみ、またはネストされた標準のみに一致するコメントは、インジェクトされた SQL について引き続きチェックされます。
-
すべてのコメントをチェック — 何もスキップせずに、注入された SQL のリクエスト全体をチェックします。これがデフォルトの設定です。
ヒント: 通常、ユーザーは、バックエンドデータベースが Microsoft SQL Server で実行されていない限り、[ネスト] または [ANSI/ネスト] オプションを選択しないでください。他のほとんどの種類の SQL Server ソフトウェアは、ネストされたコメントを認識しません。ネストされたコメントが、別の種類の SQL Server 宛ての要求に表示される場合は、そのサーバーのセキュリティ侵害の試みを示している可能性があります。
リクエストヘッダーの確認 — フォームフィールドへの入力を調べるだけでなく、HTML SQL インジェクション攻撃のリクエストヘッダーを調べる場合は、このオプションを有効にします。ユーザーが GUI を使用する場合、Web アプリケーションファイアウォールプロファイルの [詳細設定]-> [プロファイル設定] ペインでこのパラメーターを有効にできます。
注: ユーザーが [Check Request] ヘッダーフラグを有効にした場合、User-Agentヘッダーの緩和ルールを構成する必要がある場合があります。SQL キーワードlikeと SQL 特殊文字のセミコロン (;) が存在すると、誤検出がトリガーされ、このヘッダーを含むリクエストがブロックされる可能性があります。 警告: ユーザーが要求ヘッダーのチェックと変換の両方を有効にすると、ヘッダーに含まれるすべての SQL 特殊文字も変換されます。受け入れ、受け入れ文字セット、受け入れエンコーディング、受け入れ言語、期待、およびユーザーエージェントヘッダーは、通常、セミコロン(;)が含まれています。Request ヘッダーのチェックと変換を同時に有効にすると、エラーが発生する場合があります。
inspectQueryContentTypes — 特定のコンテンツタイプに対するSQL インジェクション攻撃のリクエストクエリ部分を調べる場合は、このオプションを設定します。ユーザーが GUI を使用する場合、アプリケーションファイアウォールプロファイルの [詳細設定]-> [プロファイル設定] ペインでこのパラメーターを設定できます。
クロスサイトスクリプティング
HTML クロスサイトスクリプティング (クロスサイトスクリプティング) チェックでは、クロスサイトスクリプティング攻撃の可能性について、ユーザーリクエストのヘッダーと POST 本文の両方を調べます。クロスサイトスクリプトが見つかった場合は、リクエストを変更 (変換) して攻撃を無害にするか、リクエストをブロックします。
注: HTML クロスサイトスクリプティング (クロスサイトスクリプティング) チェックは、コンテンツタイプ、コンテンツの長さなどに対してのみ機能します。Cookie には効きません。また、ユーザーのWebアプリケーションファイアウォールプロファイルで「checkRequestHeaders」オプションが有効になっていることを確認してください。
ユーザー保護された Web サイト上のスクリプトの悪用がユーザー Web サイトのセキュリティを侵害するのを防ぐため、HTML クロスサイトスクリプティングチェックは、同じ生成元ルールに違反するスクリプトをブロックします。これは、スクリプトが配置されているサーバー以外のサーバー上のコンテンツにアクセスしたり、コンテンツを変更したりしてはならないことを示しています。同一生成元ルールに違反するスクリプトはクロスサイトスクリプトと呼ばれ、スクリプトを使用して別のサーバー上のコンテンツにアクセスしたり変更したりすることをクロスサイトスクリプティングと呼びます。クロスサイトスクリプティングがセキュリティ上の問題である理由は、クロスサイトスクリプティングを許可する Web サーバーが、その Web サーバー上ではなく、攻撃者が所有および制御している別の Web サーバー上のスクリプトで攻撃される可能性があるためです。
残念ながら多くの企業では、同じオリジンルールに違反する JavaScript 拡張 Web コンテンツの大規模なインストールベースがあります。ユーザーがそのようなサイトで HTML クロスサイトスクリプティングチェックを有効にした場合、チェックが正当なアクティビティをブロックしないように、適切な例外を生成する必要があります。
Web アプリケーションファイアウォールは、HTML クロスサイトスクリプティング保護を実装するためのさまざまなアクションオプションを提供します。ブロック、ログ、統計、学習の各アクションに加えて、送信されたリクエストのスクリプトタグをエンティティがエンコードすることにより、クロスサイトスクリプトを変換して攻撃を無害にするオプションもあります。ユーザーは、クロスサイトスクリプティングパラメーターの [完全な URL をチェック] を構成して、クエリパラメーターだけでなく URL 全体を検査してクロスサイトスクリプティング攻撃を検出するかどうかを指定できます。ユーザーは、 inspectQueryContentTypes パラメーターを構成して、特定のコンテンツタイプに対するクロスサイトスクリプティング攻撃のリクエストクエリ部分を検査できます。
ユーザーは、誤検知を避けるためにリラクゼーションを展開できます。Web アプリケーションファイアウォールの学習エンジンは、緩和ルールを構成するための推奨事項を提供できます。
ユーザーアプリケーション用に最適化された HTML クロスサイトスクリプティング保護を構成するには、次のオプションを使用できます。
-
ブロック — ユーザーがブロックを有効にすると、リクエストでクロスサイトスクリプティングタグが検出されると、ブロックアクションがトリガーされます。
-
ログ — ユーザーがログ機能を有効にすると、HTML クロスサイトスクリプティングチェックは、実行するアクションを示すログメッセージを生成します。ブロックを無効にすると、クロスサイトスクリプティング違反が検出されたヘッダーまたはフォームフィールドごとに個別のログメッセージが生成されます。ただし、要求がブロックされると、1 つのメッセージだけが生成されます。同様に、クロスサイトスクリプティングタグが複数のフィールドで変換されている場合でも、変換操作に対して要求ごとに 1 つのログメッセージが生成されます。ユーザーはログを監視して、正当な要求への応答がブロックされているかどうかを判断できます。ログメッセージの数が大幅に増加すると、攻撃を開始しようとしたことを示している可能性があります。
-
Stats — 有効にすると、統計機能は違反とログに関する統計を収集します。統計カウンターの予期しない急増は、ユーザーアプリケーションが攻撃を受けていることを示している可能性があります。正当なリクエストがブロックされている場合、ユーザーは構成を再確認して、新しい緩和ルールを構成する必要があるか、既存の緩和ルールを変更する必要があるかどうかを確認する必要があります。
-
学習 — どの緩和ルールが自分のアプリケーションに適しているかわからない場合は、学習機能を使用して、学習したデータに基づいて HTML クロスサイトスクリプティングルールの推奨事項を生成できます。Web Application Firewall の学習エンジンはトラフィックを監視し、観測された値に基づいて推奨される学習を提供します。パフォーマンスを損なうことなく最適なメリットを得るには、学習オプションを短時間有効にしてルールの代表的なサンプルを入手し、ルールを展開して学習を無効にすることができます。
-
クロスサイトスクリプトの変換 — 有効にすると、Web アプリケーションファイアウォールは HTML クロスサイトスクリプティングチェックに一致する要求に次の変更を加えます。
-
左山かっこ (<) から HTML 文字エンティティに相当する (<)
-
右山括弧 (>) を HTML 文字エンティティに相当 (>)
-
これにより、ブラウザが次のような安全でないHTMLタグを解釈しないことが保証されます。<script>, and thereby run malicious code. If users enable both request-header checking and transformation, any special characters found in request headers are also modified as described above. If scripts on the user protected website contain cross-site scripting features, but the user website does not rely upon those scripts to operate correctly, users can safely disable blocking and enable transformation. This configuration ensures that no legitimate web traffic is blocked, while stopping any potential cross-site scripting attacks.
-
クロスサイトスクリプティングの完全な URL を確認する — 完全な URL のチェックが有効になっている場合、Web アプリケーションファイアウォールは URL のクエリ部分だけをチェックするのではなく、URL 全体の HTML クロスサイトスクリプティング攻撃を検査します。
-
リクエストヘッダーのチェック — リクエストヘッダーのチェックが有効な場合、Web アプリケーションファイアウォールは URL だけでなく、HTML クロスサイトスクリプティング攻撃のリクエストのヘッダーを検査します。ユーザーが GUI を使用する場合、Web アプリケーションファイアウォールプロファイルの [設定] タブでこのパラメーターを有効にできます。
-
inspectQueryContentTypes— リクエストクエリインスペクションが設定されている場合、アプリケーションファイアウォールは、特定のコンテンツタイプに対するクロスサイトスクリプティング攻撃のリクエリのクエリを検査します。ユーザーが GUI を使用する場合、アプリケーションファイアウォールプロファイルの [設定] タブでこのパラメーターを設定できます。
重要: ストリーミングの変更の一環として、クロスサイトスクリプティングタグの Web アプリケーションファイアウォールの処理が変更されました。以前のリリースでは、開き括弧 (<), or close bracket (>) または開き括弧と閉じ括弧の両方 (<>) が存在すると、クロスサイトスクリプティング違反としてフラグが立てられていました。この動作は、リクエストサイドストリーミングのサポートを含むビルドで変更されました。閉じ括弧文字 (>) だけが攻撃と見なされなくなりました。開き括弧 (<) があってもリクエストはブロックされ、攻撃とみなされます。クロスサイトスクリプティング攻撃にはフラグが立てられます。
バッファオーバーフローチェック
バッファオーバーフローチェックは、Web サーバ上でバッファオーバーフローを引き起こす試みを検出します。Web アプリケーションファイアウォールが URL、Cookie、またはヘッダーが設定された長さよりも長いことを検出すると、バッファオーバーフローを引き起こす可能性があるため、要求をブロックします。
バッファオーバーフローチェックは、処理できるよりも大きいデータ文字列を受信すると、クラッシュまたは予期せぬ動作をする、安全でないオペレーティングシステムまたは Web サーバソフトウェアに対する攻撃を防止します。適切なプログラミング技術は、入ってくるデータをチェックし、長すぎる文字列を拒否または切り捨てることによって、バッファオーバーフローを防止します。しかし、多くのプログラムは、すべての受信データをチェックしないため、バッファオーバーフローに対して脆弱です。この問題は特に、古いバージョンの Web サーバーソフトウェアとオペレーティングシステムに影響しますが、その多くは引き続き使用されています。
バッファオーバーフローセキュリティチェックでは、[ブロック]、[ログ]、および [統計] アクションを設定できます。さらに、ユーザーは次のパラメータを設定することもできます。
-
URL の最大長。Web アプリケーションファイアウォールが要求された URL で許可する最大長。より長い URL を持つリクエストはブロックされます。設定可能な値:0—65535。デフォルト:1024
-
クッキーの最大長。Web アプリケーションファイアウォールが要求内のすべての Cookie に許可する最大長。より長いクッキーを使用したリクエストは、違反をトリガーします。設定可能な値:0—65535。デフォルト:4096
-
ヘッダーの最大長。Web アプリケーションファイアウォールが HTTP ヘッダーに許可する最大長。長いヘッダーを持つリクエストはブロックされます。設定可能な値:0—65535。デフォルト:4096
-
クエリ文字列の長さ。受信リクエストで許可されるクエリ文字列の最大長。クエリが長くなるリクエストはブロックされます。可能な値: 0〜65535。デフォルト: 1024
-
要求の長さの合計です。着信要求に許可される最大要求長。より長いリクエストはブロックされます。可能な値: 0〜65535。デフォルト:24820
仮想パッチ/署名
シグネチャは、既知の攻撃からユーザーの Web サイトを保護するタスクを簡略化するために、特定の設定可能なルールを提供します。シグニチャは、オペレーティングシステム、Web サーバー、Web サイト、XML ベースの Web サービス、またはその他のリソースに対する既知の攻撃のコンポーネントであるパターンを表します。事前設定された組み込みルールまたはネイティブルールの豊富なセットは、パターンマッチングの力を適用して攻撃を検出し、アプリケーションの脆弱性から保護する、使いやすいセキュリティソリューションを提供します。
ユーザーは独自の署名を作成するか、組み込みテンプレートで署名を使用できます。Web アプリケーションファイアウォールには 2 つの組み込みテンプレートがあります。
- デフォルトシグネチャ:このテンプレートには、SQL インジェクションキーワード、SQL 特殊文字列、SQL 変換ルール、および SQL ワイルドカード文字の完全なリストに加えて、1,300 を超えるシグネチャの構成済みリストが含まれています。また、クロスサイトスクリプティングの拒否パターン、クロスサイトスクリプティングの許可された属性とタグも含まれています。これは読み取り専用テンプレートです。ユーザーはコンテンツを表示できますが、このテンプレートの追加、編集、削除はできません。これを使用するには、ユーザーはコピーを作成する必要があります。ユーザは独自のコピーで、トラフィックに適用するシグニチャルールを有効にし、シグニチャルールがトラフィックと一致したときに実行するアクションを指定できます。
シグニチャは、SNORT: SNORTによって公開されたルールから派生しています。SNORTは、リアルタイムのトラフィック分析を実行してさまざまな攻撃やプローブを検出できるオープンソースの侵入防止システムです。
- *Xpath インジェクションパターン:このテンプレートには、XPath (XML Path Language) インジェクション攻撃を検出するために使用されるリテラルおよび PCRE キーワードと特殊文字列の事前設定されたセットが含まれています。
空白の署名:組み込みのデフォルト署名テンプレートのコピーを作成する以外に、ユーザーは空白の署名テンプレートを使用して署名オブジェクトを作成できます。空白の署名オプションを使用してユーザーが作成する署名オブジェクトには、ネイティブの署名規則はありませんが、*Default テンプレートと同様に、すべての SQL/XSS 組み込みエンティティが含まれます。
外部形式の署名:Web アプリケーションファイアウォールは、外部形式の署名もサポートしています。ユーザーは、Citrix Web Application FirewallでサポートされているXSLTファイルを使用して、サードパーティのスキャンレポートをインポートできます。外部フォーマットファイルをネイティブフォーマットに変換するために、選択したスキャンツールで一連のビルトイン XSLT ファイルを使用できます (このセクションで後述するビルトイン XSLT ファイルのリストを参照してください)。
署名は、ユーザーが脆弱性のリスクを軽減し、有効性を目指しながらユーザーのミッションクリティカルなWebサーバーを保護するのに役立ちますが、 署名には追加のCPU処理コストがかかります。
ユーザーアプリケーションのニーズに合った適切な署名を選択することが重要です。お客様のアプリケーション/環境に関連する署名のみを有効にします。
Citrix は、プラットフォーム/OS/テクノロジー全体で10種類以上の異なるカテゴリの署名を提供しています。
攻撃情報が長年にわたって蓄積されてきたため、シグネチャルールデータベースは充実しています。 そのため、ソフトウェア開発者がすでにパッチを当てているか、顧客がOSのより新しいバージョンを実行している可能性があるため、古いルールのほとんどはすべてのネットワークに関連しているわけではありません。
署名の更新
Citrix Webアプリケーションファイアウォールは、 署名の自動更新と手動更新の両方をサポートしています 。 また、 署名の自動更新を有効にして最新の状態に保つことをお勧めします 。
これらの署名ファイルはAWS環境でホストされており、 ネットワークファイアウォールからNetScaler IPへのアウトバウンドアクセスを許可して最新の署名ファイルを取得することが重要です。リアルタイムトラフィックの処理中にADCのシグネチャを更新しても影響はありません。
アプリケーションのセキュリティ分析
アプリケーションセキュリティダッシュボードは、ユーザーアプリケーションのセキュリティ状態の全体像を提供します。たとえば、セキュリティ違反、署名違反、脅威インデックスなどの主要なセキュリティメトリックが表示されます。アプリケーションセキュリティダッシュボードには、検出されたCitrix ADCインスタンスのsyn攻撃、スモールウィンドウ攻撃、DNSフラッド攻撃などの攻撃関連情報も表示されます。
注: アプリケーションセキュリティダッシュボードのメトリックを表示するには、ユーザーが監視するCitrix ADCインスタンスでAppFlow for Securityインサイトを有効にする必要があります。
アプリケーションセキュリティダッシュボードでCitrix ADCインスタンスのセキュリティメトリックを表示するには:
-
管理者の資格情報を使用してCitrix ADM にログオンします。
-
[アプリケーション] > [App Security Dashboard] に移動し、[デバイス] リストからインスタンスの IP アドレスを選択します。
ユーザーは、グラフにプロットされたバブルをクリックすることで、Application Security Investigator で報告された不一致をさらに掘り下げることができます。
ADMでの集中型学習
Citrix Webアプリケーションファイアウォール(WAF)は、SQLインジェクションやクロスサイトスクリプティング(XSS)などの悪意のある攻撃からユーザーのWebアプリケーションを保護します。データ侵害を防ぎ、適切なセキュリティ保護を提供するために、ユーザーはトラフィックの脅威を監視し、攻撃に関する実用的なデータをリアルタイムで監視する必要があります。報告された攻撃は誤検知であり、例外として提供する必要がある場合があります。
Citrix ADM 集中学習は、WAFがユーザーWebアプリケーションの動作(通常のアクティビティ)を学習できるようにする反復パターンフィルターです。エンジンは、モニタリングに基づいて、HTTP トラフィックに適用されるセキュリティチェックごとに推奨されるルールまたは例外のリストを生成します。
必要な緩和として手動で展開するよりも、学習エンジンを使用して緩和ルールを展開する方がはるかに簡単です。
学習機能を展開するには、ユーザーはまずユーザーのCitrix ADCアプライアンスでWebアプリケーションファイアウォールプロファイル(セキュリティ設定のセット)を構成する必要があります。詳細については、「Web アプリケーションファイアウォールプロファイルの作成: Web App Firewall プロファイルの作成」を参照してください。
Citrix ADMは、セキュリティチェックごとに例外(緩和)のリストを生成します。管理者として、ユーザーはCitrix ADM 例外リストを確認し、展開するかスキップするかを決定できます。
Citrix ADM WAF学習機能を使用すると、ユーザーは次のことができます。
-
次のセキュリティチェックを使用して学習プロファイルを設定します。
-
バッファオーバーフロー
- HTML クロスサイトスクリプティング
注: 場所に関するクロスサイトスクリプトの制限は FormField のみです。
- HTML SQLインジェクション
注:
HTML SQLインジェクションチェックでは、ユーザーはCitrix ADCインスタンスで
set -sqlinjectionTransformSpecialChars ON
およびset -sqlinjectiontype sqlspclcharorkeywords
を構成する必要があります。
-
-
Citrix ADMで緩和ルールを確認し、必要なアクション(展開またはスキップ)を実行することを決定する
-
メール、slack、ServiceNow で通知を受け取る
-
ダッシュボードを使用して緩和の詳細を表示する
Citrix ADMでWAFラーニングを使用するには:
-
WAF ラーニングダッシュボードを使用する: WAF ラーニングダッシュボードを表示する
StyleBook
Citrix Web Application Firewallは、すべてのアプリケーション層およびゼロデイ脅威を含む、既知および未知の攻撃からWebアプリケーションとサイトを保護するWebアプリケーションファイアウォール(WAF)です。
Citrix ADMは、ユーザーがCitrix ADCインスタンスでアプリケーションファイアウォール構成をより便利に作成できるデフォルトのStyleBookを提供するようになりました。
アプリケーションファイアウォール設定の展開
以下のタスクは、ビジネスネットワーク内のCitrix ADCインスタンスで、アプリケーションファイアウォールとIPレピュテーションポリシーとともに負荷分散構成を展開するのに役立ちます。
アプリケーションファイアウォール設定で LB 設定を作成するには
Citrix ADM で、アプリケーション>構成>StyleBooksに移動します。[StyleBooks]ページには、Citrix でユーザーが使用できるすべてのStyleBookが表示されます。
- ADM。下にスクロールして、アプリケーションファイアウォールポリシーと IP レピュテーションポリシーを使用した HTTP/SSL 負荷分散 StyleBook を見つけます。ユーザーは、名前を
lb-appfw.
と入力してStyleBookを検索することもできます。[構成の作成]をクリックします。
StyleBookは、このStyleBookで定義されているすべてのパラメータの値を入力できるユーザー・インタフェース・ページとして開きます。
-
次のパラメーターの値を入力します。
-
負荷分散されたアプリケーション名。ユーザーネットワークに展開するアプリケーションファイアウォールを含む負荷分散構成の名前です。
-
負荷分散されたアプリケーションの仮想 IP アドレス。Citrix ADCインスタンスがクライアント要求を受信する仮想IPアドレス。
-
負荷分散されたアプリケーション仮想ポート。負荷分散されたアプリケーションにアクセスする際にユーザーが使用する TCP ポート。
-
負荷分散されたアプリケーションプロトコル。リストからフロントエンドプロトコルを選択します。
-
アプリケーションサーバープロトコル。アプリケーションサーバーのプロトコルを選択します。
-
- オプションとして、ユーザーは高度なロードバランサー設定を有効にして構成できます。
- オプションで、ユーザーは負荷分散仮想サーバーのトラフィックを認証するための認証サーバーを設定することもできます。
- サーバーIPとポートセクションの「+」をクリックして、アプリケーションサーバーとそれらにアクセスできるポートを作成します。
- ユーザーは、アプリケーションサーバーの FQDN 名を作成することもできます。
- ユーザーは SSL 証明書の詳細を指定することもできます。
- ユーザーは、ターゲットのCitrix ADCインスタンスにモニターを作成することもできます。
- 仮想サーバでアプリケーションファイアウォールを設定するには、WAF 設定を有効にします。
ユーザーがアプリケーションファイアウォール設定をその VIP 上のすべてのトラフィックに適用する場合は、アプリケーションファイアウォールポリシールールが true であることを確認します。それ以外の場合は、Citrix ADCポリシールールを指定して、アプリケーションファイアウォール設定を適用する要求のサブセットを選択します。次に、適用する必要があるプロファイルのタイプ (HTML または XML) を選択します。
-
オプションで、ユーザーは [アプリケーションファイアウォールのプロファイル設定] チェックボックスをオンにして、詳細なアプリケーションファイアウォールプロファイル設定を構成できます。
-
オプションで、ユーザーがアプリケーションファイアウォールの署名を構成する場合は、仮想サーバーを展開するCitrix ADCインスタンスで作成される署名オブジェクトの名前を入力します。
注:
ユーザーは、この StyleBook を使用して署名オブジェクトを作成することはできません。
- 次に、ユーザーは、startURL設定、denyURL設定など、他のアプリケーションファイアウォールプロファイル設定も構成できます。
アプリケーションファイアウォールと構成設定の詳細については、「アプリケーションファイアウォール」を参照してください。
- [ターゲットインスタンス]セクションで、アプリケーションファイアウォールを使用して負荷分散仮想サーバーを展開するCitrix ADCインスタンスを選択します。
注: ユーザーは、更新アイコンをクリックして、Citrix ADMで最近検出されたCitrix ADCインスタンスを、このウィンドウの使用可能なインスタンスのリストに追加することもできます。
- また、IP レピュテーションチェックを有効にして、不要な要求を送信している IP アドレスを特定することもできます。ユーザは IP レピュテーションリストを使用して、レピュテーションの悪い IP からのリクエストをプリエンプティブに拒否できます。
ヒント: Citrix では、インスタンスで実際の構成を実行する前に、ターゲットインスタンスで作成する必要がある構成オブジェクトを確認するために、[ドライラン]を選択することをお勧めします。
構成が正常に作成されると、StyleBookは必要な負荷分散仮想サーバー、アプリケーションサーバー、サービス、サービスグループ、アプリケーションファイアウォールラベル、アプリケーションファイアウォールポリシーを作成し、負荷分散仮想サーバーにバインドします。
次の図は、各サーバーで作成されるオブジェクトを示しています。
- Citrix ADMで作成されたConfigPackを表示するには、[ アプリケーション ]>[ 構成]に移動します。
Security Insight 分析
インターネットに接続しているWebアプリケーションやWebサービスアプリケーションの攻撃に対する脆弱性が高まってきています。アプリケーションを攻撃から保護するために、ユーザーは過去、現在、差し迫った脅威の性質と範囲、攻撃に関するリアルタイムの実用的なデータ、および対策に関する推奨事項を可視化する必要があります。Security Insight は、ユーザーがユーザーアプリケーションのセキュリティ状態を評価し、ユーザーアプリケーションを保護するための是正措置を講じるのに役立つ、単一ペインのソリューションを提供します。
Security Insightの動作の仕組み
Security Insight は、ユーザーアプリケーションに関連する脅威環境を完全に可視化する、直感的なダッシュボードベースのセキュリティ分析ソリューションです。セキュリティインサイトはCitrix ADMに含まれており、ユーザーのアプリケーションファイアウォールとADCシステムのセキュリティ構成に基づいてレポートを定期的に生成します。このレポートには、アプリケーション別に次の情報が含まれています。
- 脅威インデックス。アプリケーションがADCアプライアンスによって保護されているかどうかに関係なく、アプリケーションに対する攻撃の重要度を示す1桁の評価システム。アプリケーションに対する攻撃の重大度が高いほど、そのアプリケーションの脅威指数は大きくなります。この指数の範囲は1~7です。
脅威指数は攻撃情報に基づいています。違反タイプ、攻撃カテゴリ、場所、クライアントの詳細などの攻撃関連の情報により、ユーザーはアプリケーションに対する攻撃を把握できます。違反情報は、違反または攻撃が発生した場合にのみCitrix ADM に送信されます。多くの侵害や脆弱性は、高い脅威指数の値につながります。
- 安全指数。外部の脅威や脆弱性からアプリケーションを保護するために、ユーザーがADCインスタンスをどの程度安全に構成したかを示す一桁の評価システム。アプリケーションのセキュリティリスクが小さいほど、安全性指数は高くなります。この指数の範囲は1~7です。
安全指数は、アプリケーション・ファイアウォール構成と ADC システムのセキュリティ構成の両方を考慮します。高い安全性指数値を得るためには、両方の構成を堅牢にする必要があります。たとえば、厳密なアプリケーション・ファイアウォール・チェックが行われていて、nsroot
ユーザーの強力なパスワードなど、ADCシステムのセキュリティ対策が採用されていない場合、アプリケーションには低い安全指数の値が割り当てられます。
- 実用的な情報。脅威指数を下げて安全性指数を上げるためにユーザーが必要とする情報。これにより、アプリケーションのセキュリティが大幅に向上します。たとえば、ユーザーは、違反、アプリケーションファイアウォールおよびその他のセキュリティ機能の既存のセキュリティ構成と欠落しているセキュリティ構成、アプリケーションが攻撃されている割合などに関する情報を確認できます。
Security Insightの構成
注: Security Insight は、プレミアムライセンスを持つ ADC インスタンス、または AppFirewall ライセンスの ADC Advanced でのみサポートされます。
ADC インスタンスでセキュリティインサイトを設定するには、まずアプリケーションファイアウォールプロファイルとアプリケーションファイアウォールポリシーを構成してから、アプリケーションファイアウォールポリシーをグローバルにバインドします。
次に、AppFlow機能を有効化し、AppFlowコレクター、アクション、ポリシーを構成して、ポリシーをグローバルにバインドします。ユーザーはコレクターを構成するときに、レポートを監視するCitrix ADMサービスエージェントのIPアドレスを指定する必要があります。
ADC インスタンスでSecurity Insight を設定する
- 次のコマンドを実行して、アプリケーションファイアウォールのプロファイルとポリシーを構成し、アプリケーションファイアウォールポリシーをグローバルに、または負荷分散仮想サーバーにバインドします。
appfw プロファイルを追加 \ <name\ >\ [-defaults (基本または詳細)]
set appfw profile \<名前\> \[-startURLAction \<開始URLアクション\> …\]
add appfw policy \<名前\> \<規則\> \<プロファイル名\>
bind appfw global \<ポリシー名\> \<優先度\>
または
bind lb vserver \<lb仮想サーバー\> -policyName \<ポリシー\> -priority \<優先度\>
サンプル:
add appfw profile pr_appfw -defaults advanced
set appfw profile pr_appfw -startURLaction log stats learn
add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw
bind appfw global pr_appfw_pol 1
or,
bind lb vserver outlook –policyName pr_appfw_pol –priority "20"
<!--NeedCopy-->
- 次のコマンドを実行してAppFlow機能を有効化し、AppFlowコレクター、アクション、ポリシーを構成して、そのポリシーをグローバルに、または負荷分散仮想サーバーにバインドします。
add appflow collector \<名前\> -IPAddress \<IPアドレス\>
アプリフローパラメータを設定 [-SecurityInsightRecordInterval <secs\ >\\]\ [-セキュリティインサイトトラフィック (有効または無効)]
add appflow action \<名前\> -collectors \<文字列\>
add appflow policy \<名前\> \<規則\> \<アクション\>
bind appflow global \<ポリシー名\> \<優先度\> \[\<goto優先度式\>\] \[-type \<タイプ\>\]
または
bind lb vserver \<仮想サーバー\> -policyName \<ポリシー\> -priority \<優先度\>
サンプル:
add appflow collector col -IPAddress 10.102.63.85
set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
add appflow action act1 -collectors col
add appflow action af_action_Sap_10.102.63.85 -collectors col
add appflow policy pol1 true act1
add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
bind appflow global pol1 1 END -type REQ_DEFAULT
or,
bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"
<!--NeedCopy-->
Citrix ADM からのセキュリティインサイトを有効にする
-
[ネットワーク] > [インスタンス] > [Citrix ADC] に移動し、インスタンスタイプを選択します。たとえば、VPX です。
-
インスタンスを選択し、[アクションの選択]リストから [分析の設定] を選択します。
-
[仮想サーバーの分析を設定] ウィンドウで、次の操作を行います。
- セキュリティインサイトを有効にする仮想サーバーを選択し、[分析を有効にする] をクリックします。
[分析を有効にする] ウィンドウが表示されます。
-
Security Insightを選択
-
[詳細オプション] で、転送モードとして [Logstream] または [IPFIX]
-
式はデフォルトでtrueです
-
「OK」をクリックします
注:
ライセンスされていない仮想サーバーをユーザーが選択した場合、Citrix ADMは最初にそれらの仮想サーバーのライセンスを取得し、次に分析を有効にします。
管理パーティションでは、Web Insight のみがサポートされます
ユーザーが[OK]をクリックすると、Citrix ADM は選択した仮想サーバーで分析を有効にする処理を行います。
注: ユーザーは、グループを作成するときに、グループにロールを割り当て、そのグループにアプリケーションレベルのアクセス権を付与し、ユーザーをグループに割り当てることができます。Citrix ADM 分析では、仮想 IP アドレスベースの認証がサポートされるようになりました。顧客ユーザーは、承認されたアプリケーション (仮想サーバー) のみに関するすべての Insights のレポートを表示できるようになりました。グループおよびグループへのユーザーの割り当てについて詳しくは、「Citrix ADM でのグループの構成:Citrix ADM でのグループの構成」を参照してください。
しきい値
ユーザーは、Security Insight でアプリケーションの安全性インデックスと脅威インデックスのしきい値を設定および表示できます。
しきい値を設定するには、次の手順を実行します。
-
[システム] > [分析設定] > [しきい値] に移動し、[追加] を選択します。
-
[トラフィックタイプ] フィールドで [セキュリティ] としてトラフィックタイプを選択し、[名前]、[期間]、[エンティティ] などの他の適切なフィールドに必要な情報を入力します。
-
[ルール] セクションで、[メトリック]、[コンパレータ]、および [値] フィールドを使用してしきい値を設定します。 たとえば、「脅威インデックス」「>」「5」
-
[Create] をクリックします。
しきい値違反を表示するには、次の手順を実行します。
-
[分析] > [Security Insight] > [デバイス] に移動し、ADC インスタンスを選択します。
-
[アプリケーション] セクションでは、各仮想サーバーで発生したしきい値違反の数を [しきい値違反] 列に表示できます。
Security Insight ユースケース
次のユースケースは、ユーザーがセキュリティインサイトを使用してアプリケーションの脅威にさらされる可能性を評価し、セキュリティ対策を向上させる方法を説明しています。
脅威環境の概要の取得
このユースケースでは、ユーザーは攻撃にさらされる一連のアプリケーションを持ち、脅威環境を監視するようにCitrix ADMを構成しています。ユーザーは、脅威指数、安全性指数、およびアプリケーションが経験した可能性のある攻撃の種類と重大度を頻繁に確認して、最も注意が必要なアプリケーションに最初に集中できるようにする必要があります。セキュリティインサイトダッシュボードには、ユーザーが選択した期間にわたってユーザーアプリケーションが経験した脅威の概要と、選択したADCデバイスに関する脅威の概要が表示されます。アプリケーションの一覧、脅威指数と安全性指数、選択した期間の攻撃回数の合計が表示されます。
たとえば、ユーザーが Microsoft Outlook、Microsoft Lync、SharePoint、および SAP アプリケーションを監視していて、これらのアプリケーションの脅威環境の概要を確認する必要がある場合があります。
脅威環境の概要を取得するには、Citrix ADM にログオンし、[分析 ] > [ Security Insight] に移動します。
各アプリケーションの主要情報が表示されます。デフォルトの期間は1時間です。
異なる期間の情報を表示するには、左上のリストから期間を選択します。
別の ADC インスタンスの概要を表示するには、[デバイス] で ADC インスタンスの IP アドレスをクリックします。特定の列でアプリケーションの一覧を並べ替えるには、その列の見出しをクリックします。
アプリケーションの脅威への露出度の確認
Security Insight ダッシュボードで脅威環境の概要を確認して、脅威指数が高く、安全性指数が低いアプリケーションを特定した後、セキュリティ保護方法を決定する前に、脅威の危険性を判断する必要があります。つまり、ユーザーは、インデックス値を低下させた攻撃の種類と重大度を判断したいと考えています。ユーザーは、アプリケーションの概要を確認することで、アプリケーションの脅威にさらされる可能性を判断できます。
この例では、Microsoft Outlook の脅威インデックスの値は 6 で、ユーザーはこの高い脅威インデックスの原因となっている要因を知りたがっています。
Microsoft Outlook の脅威にさらされているかどうかを判断するには、[Security Insight ] ダッシュボードで [Outlook] をクリックします。アプリケーション概要に、サーバーの位置情報を特定する地図が含まれています。
脅威インデックス > セキュリティチェック違反をクリックし、表示される違反情報を確認します。
[署名違反] をクリックし、表示される違反情報を確認します。
アプリケーションの既存のセキュリティ構成および欠落しているセキュリティ構成の確認
アプリケーションの脅威エクスポージャーを確認した後、ユーザーはどのアプリケーションセキュリティ構成が実施され、どの構成がそのアプリケーションに欠けているかを判断する必要があります。ユーザーは、アプリケーションの安全性指数サマリーにドリルダウンすることで、この情報を取得できます。
安全性指数の概要は、次のセキュリティ構成の有効性に関する情報をユーザーに提供します。
-
アプリケーションファイアウォールの設定。設定されていない署名とセキュリティエンティティの数を示します。
-
Citrix ADM システムセキュリティ。構成されていないシステムセキュリティ設定の数を示します。
前のユースケースでは、脅威インデックスの値が 6 の Microsoft Outlook の脅威の露出をユーザーが確認しました。今、ユーザーは Outlook にどのようなセキュリティ構成が設定されているか、脅威インデックスを改善するためにどのような構成を追加できるかを知りたいと考えています。
Security Insight ダッシュボードで、[Outlook] をクリックし、[安全性指数] タブをクリックします。[安全性指数の概要] 領域に表示される情報を確認します。
[アプリケーションファイアウォールの構成] ノードで、[Outlook_Profile] をクリックし、円グラフでセキュリティチェックと署名違反の情報を確認します。
アプリケーションファイアウォール概要表で各保護タイプの構成ステータスを確認します。特定の列で表を並べ替えるには、列見出しをクリックします。
[Citrix ADM System Security]ノードをクリックし、システムのセキュリティ設定とCitrix itrixの推奨事項を確認して、アプリケーションの安全性指数を向上させます。
直ちに対処する必要があるアプリケーションの特定
直ちに対処する必要があるアプリケーションとは、脅威指数が高く安全性指数が低いアプリケーションです。
この例では、Microsoft OutlookとMicrosoft Lyncが高い脅威指数値(6)を示していますが、安全性指数はLyncのほうが低くなっています。したがって、ユーザーは Outlook の脅威環境を改善する前に、Lync に注意を向ける必要があります。
一定期間内の攻撃数の確認
ユーザーは、特定の時点で特定のアプリケーションに対して発生した攻撃の数を調べたり、特定の期間の攻撃率を調べたりすることができます。
[Security Insight] ページで、任意のアプリケーションをクリックし、[ アプリケーションの概要] で違反の数をクリックします。違反合計ページには、1時間、1日、1週間および1ヶ月の攻撃がグラフィカルに表示されます。
アプリケーションサマリーの表には、攻撃に関する詳細が表示されます。それらのいくつかは以下のとおりです。
-
アタックタイム
-
攻撃が発生したクライアントの IP アドレス
-
重大度
-
違反のカテゴリ
-
攻撃の発信元の URL、およびその他の詳細。
ユーザーは、上の画像に示すように、攻撃の時間を時間単位のレポートでいつでも表示できますが、日次または週次レポートでも、集約レポートの攻撃時間範囲を表示できます。ユーザーが期間リストから「1日」を選択した場合、Security Insight レポートには集計されたすべての攻撃が表示され、攻撃時間は1時間の範囲で表示されます。ユーザーが「1週間」または「1か月」を選択すると、すべての攻撃が集計され、攻撃時間は1日の範囲で表示されます。
セキュリティ侵害に関する詳細情報の取得
ユーザーは、アプリケーションに対する攻撃のリストを表示し、攻撃の種類と重大度、ADCインスタンスによって実行されたアクション、要求されたリソース、および攻撃元に関する洞察を得ることができます。
たとえば、ユーザーは、ブロックされた Microsoft Lync に対する攻撃の数、要求されたリソース、および送信元の IP アドレスを特定したい場合があります。
Security Insight ダッシュボードで、[Lync ] > [ 合計違反数] をクリックします。テーブルで、[実行されたアクション] 列見出しのフィルタアイコンをクリックし、[ブロック] を選択します。
要求されたリソースについては、[URL] 列を確認してください。攻撃のソースについては、[Client IP] 列を確認してください。
ログ式の詳細の表示
Citrix ADCインスタンスは、アプリケーションファイアウォールプロファイルで構成されたログ式を使用して、ユーザー企業内のアプリケーションに対する攻撃に対するアクションを実行します。Security Insight では、ユーザーは ADC インスタンスによって使用されるログ式に対して返された値を表示できます。これらの値には、要求ヘッダー、要求本文などがあります。ログ式の値に加えて、ユーザーは、ADCインスタンスが攻撃のアクションを実行するために使用したアプリケーションファイアウォールプロファイルで定義されたログ式の名前とコメントを表示することもできます。
前提条件:
ユーザーが以下を行うことを確認します。
-
アプリケーションファイアウォールプロファイルでログ式を設定します。詳しくは、「アプリケーションファイアウォール」を参照してください。
-
Citrix ADM でログ式ベースのセキュリティインサイト設定を有効にします。以下を実行します:
-
[分析 ] > [ 設定] に移動し、[分析の機能を有効にする] をクリックします。
-
「分析の機能を有効にする」ページで、「**ログ式ベースのSecurity Insight 設定」セクションで「Security Insight を有効にする」を選択し、「OK」**をクリックします。
-
たとえば、ユーザーは、ユーザー企業の Microsoft Lync への攻撃に対して実行したアクションについて、ADC インスタンスによって返されたログ式の値を表示することができます。
Security Insight ダッシュボードで、[Lync ] > [ 合計違反数] に移動します。[アプリケーションサマリ] テーブルで、URL をクリックして、[違反情報] ページに、ログ式の名前、コメント、アクションの ADC インスタンスによって返された値など、違反の完全な詳細を表示します。
構成を展開する前の安全性指数の確認
セキュリティ違反は、ユーザーがセキュリティ構成をADCインスタンスに展開した後に発生しますが、ユーザーはセキュリティ構成を展開する前にその有効性を評価したい場合があります。
たとえば、ユーザーは、IPアドレスが10.102.60.27のADCインスタンス上のSAPアプリケーションの構成の安全性指標を評価したい場合があります。
Security Insight ダッシュボードの[デバイス] で、ユーザーが設定した ADC インスタンスの IP アドレスをクリックします。ユーザーは、脅威インデックスと攻撃の総数の両方が 0 であることがわかります。脅威インデックスは、アプリケーションに対する攻撃の数と種類を直接反映しています。攻撃回数がゼロということは、アプリケーションがまったく脅威にさらされていないことを示しています。
Sap >安全性指数>SAP_Profile**をクリックし、表示される安全性指標情報を評価します。
アプリケーションファイアウォールの概要では、ユーザーはさまざまな保護設定の構成ステータスを表示できます。ログを記録する設定になっている場合や、構成されていない設定がある場合は、アプリケーションに割り当てられる安全性指数は低くなります。
セキュリティ違反
アプリケーションセキュリティ違反の詳細を表示する
インターネットにさらされているウェブアプリケーションは、攻撃に対して非常に脆弱になっています。Citrix ADMを使用すると、ユーザーはアクション可能な違反の詳細を視覚化して、アプリケーションを攻撃から保護できます。単一ペインのソリューションの [セキュリティ] > [セキュリティ違反] に移動し、次の操作を行います。
-
ネットワーク、ボット、WAFなどのカテゴリに基づいてアプリケーションセキュリティ違反にアクセスする
-
アプリケーションを保護するための是正措置を講じる
Citrix ADMでセキュリティ違反を表示するには、次のことを確認します。
-
ユーザーは、Citrix ADC インスタンス(WAF および BOT 違反)のプレミアムライセンスを持っています。
-
ユーザーは、負荷分散またはコンテンツスイッチング仮想サーバー(WAFおよびBOT用)にライセンスを適用しています。詳細については、「 仮想サーバーでのライセンスの管理」を参照してください。
-
ユーザーはさらに多くの設定を有効にします。 詳しくは、Citrix 製品ドキュメントの「セットアップ」セクションにある手順を参照してください。
違反カテゴリー
Citrix ADM では、ユーザーは次の違反を表示できます。
通信網 | ボット | WAF |
---|---|---|
HTTPスローロリス | 過度のクライアント接続 | 異常に高いアップロードトランザクション |
DNSスローロリス | アカウント乗っ取り** | ダウンロードトランザクションが異常に高い |
HTTP スローポスト | アップロード量が異常に高い | 過度なユニークIP |
NxDomain フラッド攻撃 | 異常に高い要求率 | 地域ごとのユニークIPの過剰 |
HTTP desync 攻撃 | 異常に高いダウンロード音量 | |
ブライヘンバッハーアタック | ||
セグメントスマックアタック | ||
シンフラッドアタック |
** -ユーザーは、Citrix ADM でアカウントテイクオーバー設定を構成する必要があります。アカウントの乗っ取り: アカウントの乗っ取りに記載されている前提条件を参照してください。
これらの違反とは別に、ユーザーは以下のSecurity Insight 違反とボットインサイト違反をそれぞれ WAF および Bot カテゴリの下に表示することもできます。
WAF | ボット |
---|---|
バッファオーバーフロー | 昇降補助具 |
コンテンツタイプ | フィードフェッチャー |
クッキーの一貫性 | リンクチェッカー |
CSRF フォームタグ付け | マーケティング |
URL を拒否する | スクレーパー |
フォームフィールドの一貫性 | スクリーンショットクリエーター |
フィールドの書式 | 検索エンジン |
最大アップロード数 | サービスエージェント |
リファラーヘッダー | サイトモニター |
安全な商取引 | スピードテスター |
セーフオブジェクト | ツール |
HTML SQL注入 | 未分類 |
開始URL | ウイルススキャナー |
XSSか | 脆弱性スキャナ |
XML DoS | DeviceFP 待ち時間を超えました |
XML 形式 | 無効なデバイスEFP |
XML WSI | キャプチャ応答が無効です |
XML SSL | キャプチャの試行回数を超えました |
XML 添付ファイル | 有効なキャプチャ応答 |
XML SOAP 障害 | キャプチャクライアントミュート |
XMLバリデーション | キャプチャ待ち時間を超えました |
その他 | リクエストサイズの制限を超えました |
IPレピュテーション | レート制限を超えました |
HTTP DOS | ブラックリスト (IP、サブネット、ポリシー式) |
TCP スモールウィンドウ | ホワイトリスト (IP、サブネット、ポリシー式) |
署名違反 | ゼロピクセルリクエスト |
ファイルのアップロードタイプ | 接続元IP |
JSON XSS | ホスト |
JSON SQL | ジオロケーション |
JSON DOS | URL |
コマンドインジェクション | |
コンテンツタイプ XML を推論する | |
クッキーハイジャック |
セットアップする
Citrix ADMで次の違反を表示するには、高度なセキュリティ分析を有効にして[Webトランザクション設定]を[すべて]に設定する必要があります。
-
異常に高いアップロードトランザクション (WAF)
-
異常に高いダウンロードトランザクション (WAF)
-
過度なユニークIP(WAF)
-
アカウント乗っ取り (BOT)
その他の違反については、Metrics Collectorが有効になっているかどうかを確認してください。デフォルトでは、メトリックコレクターはCitrixADCインスタンスで有効になっています。詳細については、「インテリジェントアプリ分析の設定」を参照してください。
高度なセキュリティ分析を有効にする
-
[ネットワーク] > [インスタンス] > [Citrix ADC] に移動し、インスタンスタイプを選択します。たとえば、MPX。
-
Citrix ADC インスタンスを選択し、[アクションの選択]リストから [分析の構成] を選択します。
-
仮想サーバーを選択し、[分析を有効にする] をクリックします。
-
[アナリティクスを有効にする] ウィンドウで
- Web Insightを選択します。ユーザーが Web Insight を選択すると、読み取り専用の [高度なセキュリティ分析] オプションが自動的に有効になります。
注: [高度なセキュリティ分析] オプションは、プレミアムライセンスの ADC インスタンスに対してのみ表示されます。
-
トランスポートモードとしてLogstreamを選択
-
式はデフォルトでtrueです
-
「OK」をクリックします
Webトランザクション設定を有効にする
- [分析] >[設定]に移動します。
[設定]ページが表示されます。
-
[分析の機能を有効にする] をクリックします。
-
[Web トランザクション設定]で、[すべて] を選択します。
- [OK] をクリックします。
セキュリティ違反ダッシュボード
セキュリティ違反ダッシュボードでは、ユーザーは以下を表示できます。
- すべてのADCインスタンスおよびアプリケーションで発生した違反の合計数。違反の合計は、選択した期間に基づいて表示されます。
- 各カテゴリの下での違反の合計数。
- 影響を受けたADCの合計、影響を受けたアプリケーションの合計、および影響を受けたアプリケーションの合計数に基づいて、上位レベルの違反数が表示されます。
違反の詳細
各違反について、Citrix ADM は特定の期間動作を監視し、異常な動作の違反を検出します。各タブをクリックして、違反の詳細を表示します。ユーザーは次のような詳細を表示できます。
-
オカレンスの合計、最後に発生した、影響を受けたアプリケーションの合計
-
[イベント詳細] で、ユーザーは以下を表示できます。
-
影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受ける場合、ユーザーはリストからアプリケーションを選択することもできます。
-
違反を示すグラフ。
違反をリストしたグラフ上でドラッグして選択し、違反検索を絞り込みます。
ズーム結果をリセットするには、[ズームをリセット] をクリックします
-
ユーザーに問題のトラブルシューティングを提案する推奨アクション
-
暴力発生時間や検出メッセージなど、その他の違反の詳細
-
ボットインサイト
Citrix ADM でのBot Insightの使用
ユーザーがCitrix ADCでボット管理を構成した後、CitrixADMでインサイトを表示するには、仮想サーバーでボットインサイトを有効にする必要があります。
ボットインサイトを有効にするには:
-
[ネットワーク] > [インスタンス] > [Citrix ADC] に移動し、インスタンスタイプを選択します。たとえば、VPX です。
-
インスタンスを選択し、[アクションの選択]リストから [分析の設定] を選択します。
-
仮想サーバーを選択し、[分析を有効にする] をクリックします。
-
[アナリティクスを有効にする] ウィンドウで
-
ボットインサイトを選択
-
[詳細オプション] で [Logstream] を選択します。
- [OK] をクリックします。
-
ボットインサイトを有効にした後、Analytics>セキュリティ>ボットインサイトに移動します。
-
ボットの詳細を表示する時間リスト
-
スライダーをドラッグして特定の時間範囲を選択し、[Go] をクリックしてカスタマイズされた結果を表示します
-
ボットの影響を受けたインスタンスの総数
-
選択したインスタンスの仮想サーバーで、合計ボット攻撃が発生した
-
Total Bots— 仮想サーバーで検出されたボット攻撃の総数 (すべてのボットカテゴリを含む) を示します。
-
Total HumanBrowser — 仮想サーバーにアクセスしている人間のユーザーの総数を示します
-
Bot HumanRatio — 仮想サーバーにアクセスする人間ユーザーとボットの比率を示します。
-
署名ボット、フィンガープリントボット、レートベースボット、IPレピュテーションボット、許可リストボット、ブロックリストボット— 設定されたボットカテゴリに基づいて、発生したボット攻撃の合計数を示します。ボットカテゴリについて詳しくは、「Citrix ADC でのボット検出手法の構成」を参照してください。
-
-
をクリックして、ボットの詳細をグラフ形式で表示します。
イベント履歴の表示
ユーザーは、次の場合に、イベント履歴でボット署名の更新を表示できます。
-
新しいボットシグネチャがCitrix ADC インスタンスに追加されます。
-
既存のボットシグネチャは、Citrix ADC インスタンスで更新されます。
ユーザーは、ボットインサイトページで期間を選択して、イベント履歴を表示できます。
次の図は、AWS クラウドからボット署名を取得し、Citrix ADC で更新し、Citrix ADM で署名更新の概要を表示する方法を示しています。
-
ボット署名の自動更新スケジューラは、AWS URI からマッピングファイルを取得します。
-
マッピングファイル内の最新のシグニチャと、ADC アプライアンスの既存のシグニチャをチェックします。
-
AWS から新しい署名をダウンロードし、署名の整合性を検証します。
-
既存のボット署名を、ボット署名ファイル内の新しい署名で更新します。
-
SNMPアラートを生成し、署名の更新の概要をCitrix ADM に送信します。
ボットを見る
仮想サーバーをクリックして、アプリケーションの概要を表示します
-
次のようなアプリケーション概要の詳細を提供します。
-
Average RPS— 仮想サーバーで受信した 1 秒あたりの平均ボットトランザクション要求 (RPS) を示します。
-
重要度別のボット — 重大度に基づいて発生したボットトランザクションの最高値を示します。重大度は、重大、高、中、低に基づいて分類されます。
たとえば、仮想サーバーに11770個の重大度高ボットと1550個の重大度ボットがある場合、Citrix ADMでは、[重大度別のボット] に [重大度1.55K] と表示されます。
- 最大のボットカテゴリ— ボットカテゴリに基づいて、発生したボット攻撃が最も多いことを示します。
たとえば、仮想サーバーに8000個のブロックリストボット、5000個の許可リストボット、10000レート制限超過ボットがある場合、Citrix ADMでは、[最大ボットカテゴリ]に[レート制限が10Kを超えました]と表示されます。
- Largest Geo Source— 地域に基づいて発生したボット攻撃の最大数を示します。
たとえば、仮想サーバーでサンタクララで5000件のボット攻撃、ロンドンで7000件のボット攻撃、バンガロールで9000件のボット攻撃があった場合、Citrix**ADMでは最大の地理的ソースの下にバンガロール9Kと表示されます**。
- 平均% ボットトラフィック— 人間のボット比率を示します。
-
-
マップビュー内の場所に基づいてボット攻撃の重大度を表示します
-
ボット攻撃の種類 (良い、悪い、すべて) を表示します
-
ボット攻撃の合計数と、対応する構成されたアクションを表示します。たとえば、次の設定があるとします。
-
IP アドレスの範囲 (192.140.14.9 ~ 192.140.14.254) をブロックリストボットとして選択し、これらの IP アドレス範囲のアクションとして [ドロップ] を選択します。
-
IP範囲(192.140.15.4から192.140.15.254)をブロックリストボットとして指定し、これらのIP範囲のアクションとしてログメッセージを作成するように選択されました
このシナリオでは、Citrix ADM には次の情報が表示されます。
-
ブロックリストされたボットの総数
-
ドロップされたボットの総数
-
ログの下にあるボットの総数
-
-
CAPTCHA ボットを表示する
ウェブページでは、CaptCha は、着信トラフィックが人間か自動化されたボットからのものかを識別するように設計されています。Citrix ADMでCAPTCHAアクティビティを表示するには、ユーザーはCitrix ADCインスタンスのIPレピュテーションおよびデバイスフィンガープリント検出技術のボットアクションとしてCAPTCHAを構成する必要があります。詳細については、「ボット管理の設定」を参照してください。
以下は、Citrix ADM がボットインサイトに表示する CAPTCHA アクティビティです。
-
キャプチャ試行超過— ログイン失敗後に行われたCAPTCHAの最大試行回数を示します
-
Captcha client muted— CAPTCHA チャレンジで以前に不正なボットとして検出されたためにドロップまたはリダイレクトされたクライアント要求の数を示します。
-
人間 — 人間のユーザーから実行されたキャプチャエントリを示します
-
無効なキャプチャ応答-Citrix ADCがCAPTCHAチャレンジを送信したときに、ボットまたは人間から受信した不正なCAPTCHA応答の数を示します
ボットトラップを見る
Citrix ADM でボットトラップを表示するには、Citrix ADC インスタンスでボットトラップを構成する必要があります。詳細については、「ボット管理の設定」を参照してください。
ボットトラップを識別するために、スクリプトはウェブページで有効になっており、このスクリプトは人間には見えませんが、ボットには見えません。このスクリプトがボットによってアクセスされると、Citrix ADMはボットトラップを識別してレポートします。
仮想サーバーをクリックし、[ゼロピクセル要求] を選択します
ボットの詳細の表示
詳細については、[ボットカテゴリ] の [ボット攻撃タイプ] をクリックします。
選択したキャプチャカテゴリの攻撃時間やボット攻撃の総数などの詳細が表示されます。
ユーザーは棒グラフをドラッグして、ボット攻撃で表示する特定の時間範囲を選択することもできます。
ボット攻撃の追加情報を取得するには、をクリックして展開します。
-
インスタンス IP— Citrix ADC インスタンスの IP アドレスを示します。
-
Total Bots— その特定の時間に発生したボット攻撃の総数を示します
-
HTTP 要求 URL— キャプチャレポート用に設定されている URL を示します。
-
国コード— ボット攻撃が発生した国を示します
-
地域— ボット攻撃が発生した地域を示します
-
[プロファイル名] — 構成中にユーザーが指定したプロファイル名を示します。
高度な検索
ユーザーは、検索テキストボックスと期間リストを使用して、ユーザーの要件に従ってボットの詳細を表示することもできます。ユーザーが検索ボックスをクリックすると、検索ボックスに次の検索候補のリストが表示されます。
-
インスタンス IP— Citrix ADC インスタンスの IP アドレス
-
client-IP— クライアントIPアドレス
-
ボットタイプ— 良いか悪いかなどのボットタイプ
-
Severity— ボット攻撃の重大度
-
Action-Taken— ボットの攻撃後に実行されたアクション (ドロップ、アクションなし、リダイレクトなど)
-
Bot-Category— ブロックリスト、許可リスト、フィンガープリントなど、ボット攻撃のカテゴリ。カテゴリに基づいて、ユーザーはボットアクションをそのカテゴリに関連付けることができます
-
ボット検出— ユーザーがCitrix ADCインスタンスで構成したボット検出の種類(ブロックリスト、許可リストなど)
-
場所— ボット攻撃が発生した地域/国
-
request-url— ボット攻撃の可能性があるURL
ユーザーは、ユーザー検索クエリで演算子を使用して、ユーザー検索の焦点を絞り込むこともできます。たとえば、ユーザーがすべての不良ボットを閲覧したい場合は次のようにします。
-
検索ボックスをクリックし、[ボットタイプ] を選択します
-
検索ボックスをもう一度クリックし、演算子=を選択します
-
検索ボックスをもう一度クリックし、[Bad] を選択します
-
[検索] をクリックして結果を表示します
ボット違反の詳細
過剰なクライアント接続
クライアントがWebアプリケーションにアクセスしようとすると、クライアント要求はサーバーに直接接続するのではなく、Citrix ADCアプライアンスで処理されます。Webトラフィックはボットで構成されており、ボットは人間よりも速い速度でさまざまなアクションを実行できます。
過剰なクライアント接続インジケーターを使用すると、アプリケーションがボットを通じて異常に高いクライアント接続を受信するシナリオを分析できます。
[イベントの詳細] で、ユーザーは以下を表示できます。
-
影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受ける場合、ユーザーはリストからアプリケーションを選択することもできます。
-
すべての違反を示すグラフ
-
違反の発生時刻
-
違反の検出メッセージ。アプリケーションをトランザクションしている IP アドレスの合計
-
アプリケーションが受信できる、受け入れられた IP アドレス範囲
アカウント乗っ取り
注: ユーザーが高度なセキュリティ分析とウェブトランザクションオプションを有効にしていることを確認してください。 詳細については、「セットアップ:セットアップ」を参照してください。
一部の悪意のあるボットは、ユーザーの資格情報を盗み、さまざまな種類のサイバー攻撃を実行する可能性があります。これらの悪意のあるボットは、悪いボットとして知られています。悪質なボットを特定し、あらゆる形態の高度なセキュリティ攻撃からユーザーアプライアンスを保護することが不可欠です。
前提要件
ユーザーは、Citrix ADM で[アカウントの引き継ぎ]設定を構成する必要があります。
-
Analytics>設定>セキュリティ違反に移動します
-
[追加] をクリックします
-
[ アプリケーションの追加 ] ページで、次のパラメータを指定します。
-
アプリケーション-リストから仮想サーバーを選択します。
-
メソッド-リストから HTTP メソッドタイプを選択します。使用可能なオプションは、GET、PUSH、POST、および更新です。
-
ログインURLと成功応答コード-WebアプリケーションのURLを指定し、Citrix ADMが不正ボットからのアカウント乗っ取り違反を報告するHTTPステータスコード(200など)を指定します。
-
[追加] をクリックします。
-
ユーザーが設定を構成した後、アカウントテイクオーバーインジケーターを使用して、悪意のあるボットがユーザーアカウントを乗っ取ろうとしたかどうかを分析し、資格情報とともに複数のリクエストを送信できます。
[イベントの詳細] で、ユーザーは以下を表示できます。
-
影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受ける場合、ユーザーはリストからアプリケーションを選択することもできます。
-
すべての違反を示すグラフ
-
違反の発生時刻
-
違反の検出メッセージ。異常なログインアクティビティ、成功したログイン、失敗したログインの合計を示します。
-
不正なボットの IP アドレス。クリックすると、時刻、IP アドレス、成功したログインの合計数、失敗したログインの合計数、その IP アドレスから行われた要求の合計などの詳細が表示されます。
異常に高いアップロードボリューム
Web トラフィックは、アップロード用に処理されるデータも含まれます。たとえば、ユーザーの 1 日あたりの平均アップロードデータが 500 MB で、ユーザーが 2 GB のデータをアップロードする場合、これはアップロードデータ量が異常に多いと見なすことができます。ボットは、人間よりも迅速にデータのアップロードを処理することもできます。
アップロード量が異常に多いインジケーターを使用すると、ユーザーはボットを介してアプリケーションにデータをアップロードする異常なシナリオを分析できます。
[イベントの詳細] で、ユーザーは以下を表示できます。
-
影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受ける場合、ユーザーはリストからアプリケーションを選択することもできます。
-
すべての違反を示すグラフ
-
違反の発生時刻
-
違反の検出メッセージ。処理されたアップロードデータ量の合計を示します。
-
アプリケーションへのアップロードデータの受け入れ範囲
ダウンロードボリュームが異常に高い
大量のアップロードと同様に、ボットは人間よりも迅速にダウンロードを実行することもできます。
ダウンロード量が異常に多いインジケーターを使用して、ユーザーはボットを介してアプリケーションからダウンロードデータの異常なシナリオを分析できます。
[イベントの詳細] で、ユーザーは以下を表示できます。
-
影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受ける場合、ユーザーはリストからアプリケーションを選択することもできます。
-
すべての違反を示すグラフ
-
違反の発生時刻
-
違反の検出メッセージ。処理されたダウンロードデータ量の合計を示します。
-
アプリケーションからのダウンロードデータの受け入れ範囲
異常に高いリクエスト率
ユーザーは、アプリケーションとの間で送受信されるトラフィックを制御できます。ボット攻撃は、異常に高い要求率を実行する可能性があります。たとえば、ユーザーがアプリケーションを 100 リクエスト/分を許可するように設定し、ユーザーが 350 リクエストを監視した場合、ボット攻撃である可能性があります。
異常に高い要求率インジケーターを使用して、ユーザーはアプリケーションに受け取った異常な要求率を分析できます。
[イベントの詳細] で、ユーザーは以下を表示できます。
-
影響を受けるアプリケーション。複数のアプリケーションが違反の影響を受ける場合、ユーザーはリストからアプリケーションを選択することもできます。
-
すべての違反を示すグラフ
-
違反の発生時刻
-
違反の検出メッセージ。受信した要求の合計と、予想された要求よりも受信した過剰な要求の割合を示します。
-
アプリケーションからの期待リクエストレートの範囲の受け入れ範囲
使用例
ボット
着信ウェブトラフィックはボットで構成され、ほとんどの組織はボット攻撃に苦しむことがあります。Webおよびモバイルアプリケーションはビジネスの重要な収益ドライバーであり、ほとんどの企業はボットなどの高度なサイバー攻撃の脅威にさらされています。ボットは、人間よりもはるかに速い速度で特定のアクションを繰り返し自動的に実行するソフトウェアプログラムです。ボットは、ウェブページの操作、フォームの送信、アクションの実行、テキストのスキャン、コンテンツのダウンロードを行うことができます。ソーシャルメディアプラットフォームで動画にアクセスしたり、コメントを投稿したり、ツイートしたりできます。チャットボットと呼ばれるいくつかのボットは、人間のユーザーとの基本的な会話を保持することができます。カスタマーサービス、自動チャット、検索エンジンクローラなどの便利なサービスを実行するボットは良いボットです。同時に、ウェブサイトからコンテンツをスクラップまたはダウンロードしたり、ユーザーの資格情報、スパムコンテンツを盗んだり、他の種類のサイバー攻撃を実行したりできるボットは、悪いボットです。悪意のあるタスクを実行する悪質なボットが多数存在するため、ボットトラフィックを管理し、ユーザーのウェブアプリケーションをボット攻撃から保護することが不可欠です。Citrix ボット管理を使用することで、ユーザーは着信ボットトラフィックを検出し、ボット攻撃を軽減してユーザーのWebアプリケーションを保護できます。Citrix ボット管理は、不良ボットを特定し、高度なセキュリティ攻撃からユーザーアプライアンスを保護するのに役立ちます。良いボットと悪いボットを検出し、着信トラフィックがボット攻撃であるかどうかを識別します。ボット管理を使用することで、ユーザーは攻撃を軽減し、ユーザーのWebアプリケーションを保護できます。
Citrix ADC ボット管理には、次のような利点があります。
-
ボット、スクリプト、ツールキットから防御します。静的なシグネチャベースの防御とデバイスフィンガープリントを使用して、リアルタイムの脅威緩和を提供します。
-
自動化された基本攻撃と高度な攻撃を中和します。アプリ層 DDoS、パスワードスプレー、パスワードスタッフィング、価格スクレーパー、コンテンツスクレーパーなどの攻撃を防ぎます。
-
ユーザーAPIと投資を保護します。ユーザーAPIを不当な誤用から保護し、インフラストラクチャへの投資を自動化されたトラフィックから保護します。
Citrix ボット管理システムを使用することでユーザーがメリットを得られるユースケースには、次のようなものがあります。
-
ブルートフォースログイン。政府のWebポータルは、ブルートフォースユーザーログインを試みるボットによって常に攻撃されています。組織は、Webログを調べて、辞書攻撃アプローチを使用して迅速なログイン試行とパスワードの増加により、特定のユーザーが繰り返し攻撃されていることを確認することにより、攻撃を発見します。法律により、彼らは彼ら自身と彼らのユーザーを保護しなければなりません。Citrix ボット管理を展開することで、デバイスのフィンガープリントとレート制限技術を使用して、ブルートフォースログインを停止できます。
-
不良ボットとデバイスフィンガープリント不明ボットをブロックします。1 つの Web エンティティは、1 日あたり 100,000 人の訪問者を取得します。彼らは基礎となるフットプリントをアップグレードする必要があり、彼らは大金を費やしています。最近の監査では、トラフィックの 40% がボット、コンテンツのスクレイピング、ニュースの選択、ユーザープロファイルのチェックなどから来ていることが判明しました。このトラフィックをブロックして、ユーザーを保護し、ホスティングコストを削減したいと考えています。ボット管理を使用すると、既知の悪いボットをブロックし、サイトを叩いている未知のボットを指紋することができます。これらのボットをブロックすることで、ボットのトラフィックを 90% 削減できます。
-
良いボットを許可します。「良い」ボットは、企業や消費者を支援するように設計されています。それらは、インターネットをクロールするために最初の検索エンジンボットが開発された1990年代初頭から存在しています。グーグル、ヤフー、そしてビングはそれらなしでは存在しなかったでしょう。優れたボット(主に消費者重視)のその他の例には、次のものがあります。
-
チャットボット(別名チャットボット、スマートボット、トークボット、IMボット、ソーシャルボット、会話ボット)は、テキストまたは音声を通じて人間と対話します。最初のテキスト使用の1つは、オンラインカスタマーサービスと、Facebook MessengerやiPhoneメッセージなどのテキストメッセージングアプリでした。Siri、Cortana、Alexaはチャットボットです。しかし、ユーザーがコーヒーを注文して準備ができたら通知したり、映画の予告編を見たり、地元の劇場の上映時間を見つけたり、乗車サービスをリクエストしたときに車のモデルとナンバープレートの写真をユーザーに送信したりできるモバイルアプリもそうです。
-
ショップボットは、ユーザーが検索している商品の最低価格を探してインターネットを精査します。
-
監視ボットは、ウェブサイトの健全性(可用性と応答性)をチェックします。ダウンディテクタは、ウェブサイトやその他の種類のサービスの停止を含むリアルタイムのステータス情報を提供する独立したサイトの例です。ダウンディテクタの詳細については、「 ダウンディテクタ」を参照してください。
-
ボット検出
Citrix ADC GUIを使用したボット管理の構成
ユーザーは、最初にアプライアンスで機能を有効にすることで、Citrix ADCボット管理を構成できます。ユーザーが有効にすると、ボットポリシーを作成して着信トラフィックをボットとして評価し、トラフィックをボットプロファイルに送信できます。次に、ユーザーはボットプロファイルを作成し、そのプロファイルをボット署名にバインドします。別の方法として、ユーザーはデフォルトのボット署名ファイルを複製し、署名ファイルを使用して検出技術を構成することもできます。署名ファイルを作成したら、ユーザーはそれをボットプロファイルにインポートできます。これらの手順はすべて、以下の順序で実行されます。
-
ボット管理機能を有効にする
-
ボット管理設定を構成する
-
Citrix ボットのデフォルト署名のクローン作成
-
Citrix ボット署名をインポートする
-
ボット署名設定を構成する
-
ボットプロファイルの作成
-
ボットポリシーの作成
ボット管理機能を有効にする
ボット管理を有効にするには、以下の手順に従ってください。
-
ナビゲーションペインで、[システム] を展開し、[設定] をクリックします。
-
[高度な機能の設定] ページで、[ボット管理] チェックボックスをオンにします。
-
「OK」をクリックし、「閉じる」をクリックします。
ボット署名ファイルのクローンを作成
ボット署名ファイルのクローンを作成するには、以下の手順に従ってください。
-
[セキュリティ][CitrixBotの管理と署名**]に移動します。
-
[Citrix Bot Management の署名]ページで、デフォルトのボット署名レコードを選択し、[複製]をクリックします。
-
[ボット署名の複製] ページで、名前を入力し、署名データを編集します。
-
[Create] をクリックします。
ボット署名ファイルのインポート
ユーザーが独自の署名ファイルを持っている場合は、ファイル、テキスト、または URL としてインポートできます。次の手順を実行して、ボット署名ファイルをインポートします。
-
[セキュリティ][CitrixBotの管理と署名**]に移動します。
-
Citrix Bot管理の[署名]ページで、ファイルを URL、ファイル、またはテキストとしてインポートします。
-
[続行] をクリックします。
-
[Citrix Bot 管理署名のインポート ]ページで、次のパラメーターを設定します。
-
Name:ボット署名ファイルの名前。
-
[コメント]。インポートしたファイルに関する簡単な説明。
-
上書き。ファイルの更新中にデータの上書きを許可するには、このチェックボックスをオンにします。
-
署名データ。シグニチャパラメータの変更
-
-
[完了] をクリックします。
IPレピュテーション
Citrix ADC GUIを使用してIPレピュテーションを構成する
この設定は、ボット IP レピュテーション機能の前提条件です。この検出技術により、ユーザは着信 IP アドレスから悪意のあるアクティビティがあるかどうかを識別できます。構成の一部として、さまざまな悪意のあるボットカテゴリを設定し、それぞれにボットアクションを関連付けます。IP レピュテーション手法を設定するには、次の手順に従います。
-
[セキュリティ][CitrixBot管理とプロファイル**]に移動します。
-
[Citrix Bot管理プロファイル]ページで、署名ファイルを選択し、[編集]をクリックします。
-
[Citrix Bot管理プロファイル]ページで、[署名の設定]セクションに移動し、[IPレピュテーション]をクリックします。
-
[IP レピュテーション] セクションで、次のパラメータを設定します。
-
有効。検出プロセスの一環として受信ボットトラフィックを検証するには、このチェックボックスをオンにします。
-
カテゴリを設定します。ユーザーは、さまざまなカテゴリの受信ボットトラフィックにIPレピュテーション手法を使用できます。設定されたカテゴリに基づいて、ユーザーはボットトラフィックをドロップまたはリダイレクトできます。悪意のある Bot カテゴリを設定するには、[追加] をクリックします。
-
[Citrix Bot管理プロファイルのIPレピュテーションバインドの構成]ページで、次のパラメーターを設定します。
-
カテゴリー。リストから悪意のあるボットのカテゴリを選択します。カテゴリに基づいてボットアクションを関連付けます。
-
有効。IP レピュテーションシグニチャ検出を検証するには、このチェックボックスをオンにします。
-
ボットアクション。設定されたカテゴリに基づいて、ユーザーはアクションを割り当てない、ドロップ、リダイレクト、または CAPTCHA アクションを割り当てることができます。
-
ログ。ログエントリを保存するには、このチェックボックスをオンにします。
-
メッセージをログに記録します。ログの簡単な説明。
-
コメント。ボットカテゴリに関する簡単な説明。
-
-
-
[OK] をクリックします。
-
[更新] をクリックします。
-
[完了] をクリックします。
ボット署名の自動更新
ボット静的シグニチャ手法では、シグニチャルックアップテーブルと良いボットと不良ボットのリストを使用します。ボットは、ユーザーエージェント文字列とドメイン名に基づいて分類されます。着信ボットトラフィックのユーザーエージェント文字列とドメイン名がルックアップテーブルの値と一致する場合、設定されたボットアクションが適用されます。ボット署名の更新は AWS クラウドでホストされ、署名ルックアップテーブルは、署名の更新のために AWS データベースと通信します。自動署名更新スケジューラは1時間ごとに実行され、AWSデータベースをチェックし、ADCアプライアンスの署名テーブルを更新します。
署名を設定するための Bot 署名マッピング自動更新 URL は、ボット署名マッピングです。
注: ユーザーは、プロキシサーバーを設定し、プロキシを介して AWS クラウドから ADC アプライアンスに署名を定期的に更新することもできます。プロキシ設定の場合、ユーザーはボット設定でプロキシIPアドレスとポートアドレスを設定する必要があります。
ボット署名の自動更新を設定する
ボット署名の自動更新を設定するには、次の手順を実行します。
ボット署名の自動更新を有効にする
ユーザーは、ADCアプライアンスのボット設定で自動更新オプションを有効にする必要があります。
コマンドプロンプトで入力します。
ボット設定を設定する —signatureAutoUpdate ON
Citrix ADC GUIを使用してボット署名の自動更新を構成する
ボット署名の自動更新を設定するには、次の手順を実行します。
-
[セキュリティ ] > [ Citrix ボット管理] に移動します。
-
詳細ペインの[設定]で、[Citrix Bot 管理設定の変更]をクリックします。
-
[Citrix Bot管理設定の構成]で、[署名の自動更新]チェックボックスをオンにします。
- OKをクリックし、閉じる。
CLI を使用した IP レピュテーションの設定の詳細については、「CLI を使用した IP レピュテーション機能の設定」を参照してください。
参照ドキュメント
SQL ファイングレイン緩和の使用方法については、「 SQL ファイングレインリラクゼーション」を参照してください。
コマンドラインを使用して SQL インジェクションチェックを設定する方法については、「 HTML SQL インジェクションチェック」を参照してください。
GUIを使用してSQLインジェクション・チェックを構成する方法については、「 GUIを使用したSQLインジェクション・セキュリティ・チェックの構成」を参照してください。
SQLインジェクションチェックでLearn機能を使用する方法については、「SQLインジェクションチェックでのLearn機能の使用」を参照してください。
SQL インジェクションチェックでログ機能を使用する方法については、「SQL インジェクションチェックでのログ機能の使用」を参照してください。
SQL インジェクション違反の統計については、「SQL インジェクション違反の統計」を参照してください。
SQL インジェクションチェックのハイライトについては、「 ハイライト」を参照してください。
XML SQL インジェクションチェックの詳細については、「 XML SQL インジェクションチェック」を参照してください。
クロスサイトスクリプティングのきめ細かな緩和の使用方法については、「 SQL の細粒度緩和機能」を参照してください。
コマンドラインを使用した HTML クロスサイトスクリプティングの設定については、「 コマンドラインを使用した HTML クロスサイトスクリプティングチェックの構成」を参照してください。
GUI を使用した HTML クロスサイトスクリプティングの設定については、「 GUI を使用した HTML クロスサイトスクリプティングチェックの構成」を参照してください。
HTMLクロスサイトスクリプティングチェックでLearn機能を使用する方法については、「HTMLクロスサイトスクリプティングチェックでのLearn機能の使用」を参照してください。
HTML クロスサイトスクリプティングチェックでログ機能を使用する方法については、「HTML クロスサイトスクリプティングチェックでのログ機能の使用」を参照してください。
HTML クロスサイトスクリプティング違反の統計については、「 HTML クロスサイトスクリプティング違反の統計」を参照してください。
HTML クロスサイトスクリプティングのハイライトについては、「 ハイライト」を参照してください。
XML クロスサイトスクリプティングの詳細については、「 XML クロスサイトスクリプティングチェック」を参照してください。
コマンドラインを使用してバッファオーバーフローセキュリティチェックを構成する方法については、「 コマンドラインを使用したバッファオーバーフローセキュリティチェックの構成」を参照してください。
GUIを使用してバッファオーバーフローセキュリティチェックを構成する方法については、「 Citrix ADC GUIを使用してバッファオーバーフローセキュリティチェックを構成する」を参照してください。
バッファオーバーフローセキュリティチェックでログ機能を使用する方法については、「バッファオーバーフローセキュリティチェックでのログ機能の使用」を参照してください。
バッファオーバーフロー違反の統計については、「 バッファオーバーフロー違反の統計」を参照してください。
バッファオーバーフローのセキュリティチェックの強調表示については、「 強調表示」を参照してください。
署名オブジェクトの追加または削除については、「 署名オブジェクトの追加または削除」を参照してください。
テンプレートから署名オブジェクトを作成する方法については、「 テンプレートから署名オブジェクトを作成するには」を参照してください。
ファイルをインポートして署名オブジェクトを作成する方法については、「 ファイルをインポートして署名オブジェクトを作成するには」を参照してください。
コマンドラインを使用してファイルをインポートして署名オブジェクトを作成する方法については、「コマンドラインを使用してファイルをインポートして署名オブジェクトを作成するには」を参照してください。
GUI を使用して署名オブジェクトを削除する方法については、「GUI を使用して署名オブジェクトを削除するには」を参照してください。
コマンドラインを使用して署名オブジェクトを削除する方法については、「 コマンドラインを使用して署名オブジェクトを削除するには」を参照してください。
署名オブジェクトの設定または変更については、「 署名オブジェクトの設定または変更」を参照してください。
署名オブジェクトの更新の詳細については、「 署名オブジェクトの更新」を参照してください。
コマンドラインを使用してソースからWebアプリケーションファイアウォールの署名を更新する方法については、「 コマンドラインを使用してソースからWebアプリケーションファイアウォールの署名を更新するには」を参照してください。
Citrix形式ファイルから署名オブジェクトを更新する方法については、「Citrix 形式ファイルからの署名オブジェクトの更新」を参照してください。
サポートされている脆弱性スキャンツールからシグネチャオブジェクトを更新する方法については、サポートされる脆弱性スキャンツールからのシグネチャオブジェクトの更新を参照してください。
Snort ルール統合の詳細については、 Snort ルール統合を参照してください。
Snort ルールの設定については、「 Snort ルールの設定」を参照してください。
コマンドラインを使用してボット管理を設定する方法については、「 ボット管理の設定」を参照してください。
デバイスフィンガープリント技術のボット管理設定を構成する方法については、「デバイスフィンガープリントテクニックのボット管理設定の構成」を参照してください。
Citrix ADC GUIを使用してボット許可リストを構成する方法については、「Citrix ADC GUIを使用してボットホワイトリストを構成する」を参照してください。
Citrix ADC GUIを使用してボットブロックリストを構成する方法については、「Citrix ADC GUIを使用したボットブラックリストの構成」を参照してください。
ボット管理の設定に関する詳細は、「ボット管理の設定」を参照してください。
前提条件
ユーザーは、AzureにCitrix VPXインスタンスを展開する前に、いくつかの前提知識が必要です。
-
Azure の用語とネットワークの詳細に精通しています。詳細については、上記の Azure の用語を参照してください。
-
Citrix ADCアプライアンスの知識。Citrix ADCアプライアンスの詳細については、以下を参照してください。Citrix ADC 13.0。
-
Citrix ADC ネットワークに関する知識。参照先: ネットワーキング。
Azure の前提条件
このセクションでは、ユーザーがCitrix ADC VPXインスタンスをプロビジョニングする前に、Microsoft AzureおよびCitrix ADMで完了する必要がある前提条件について説明します。
このドキュメントでは、次のことを前提としています。
-
ユーザーは、AAzure Resource Managerのデプロイモデルをサポートする Microsoft Azure アカウントを所有しています。
-
ユーザーは Microsoft Azure にリソースグループを持っています。
アカウントの作成方法やその他のタスクの詳細については、Microsoft Azure のドキュメント:Microsoft Azure のドキュメントを参照してください。
制限事項
ARMでCitrix ADC VPX負荷分散ソリューションを実行すると、次の制限が課されます。
-
Azure アーキテクチャは、次の Citrix ADC 機能のサポートに対応していません。
-
クラスタリング
-
IPv6
-
Gratuitous ARP (GARP)
-
L2 モード (ブリッジ) 透過仮想サーバーは、SNIPと同じサブネット内のサーバーに対してL2(MAC書き換え)でサポートされます。
-
タグ付きVLAN
-
動的ルーティング
-
仮想 MAC
-
USIP
-
ジャンボフレーム
-
-
ユーザーがCitrix ADC VPX仮想マシンをいつでもシャットダウンして一時的に割り当て解除する必要があると思われる場合は、仮想マシンの作成時に静的内部IPアドレスを割り当てる必要があります。静的な内部 IP アドレスを割り当てない場合、Azure は再起動するたびに異なる IP アドレスを仮想マシンに割り当てる可能性があり、仮想マシンにアクセスできなくなる可能性があります。
-
Azure展開では、次のCitrix ADC VPXモデルのみがサポートされています:VPX 10、VPX 200、VPX 1000、およびVPX 3000。詳細については、Citrix ADC VPXデータシートを参照してください。
-
VPX 3000よりも大きいモデル番号のCitrix ADC VPXインスタンスを使用すると、ネットワークスループットがインスタンスのライセンスで指定されているものと同じにならない可能性があります。ただし、SSLスループットや1秒あたりのSSLトランザクションといった他の機能は改善されている場合があります。
-
仮想マシンのプロビジョニング中に Azure によって生成される「デプロイ ID」は、ARM のユーザーには表示されません。ユーザーは、展開IDを使用してCitrix ADC VPXアプライアンスをARMに展開することはできません。
-
Citrix ADC VPXインスタンスは、初期化時に20 MB/秒のスループットと標準エディションの機能をサポートします。
-
XenAppおよびXenDesktop 展開の場合、VPXインスタンス上のVPN仮想サーバーは次のモードで構成できます。
-
基本モード。
ICAOnly
VPN 仮想サーバーパラメーターが ON に設定されます。基本モードは、ライセンスされていないCitrix ADC VPXインスタンスで完全に機能します。 -
スマートアクセスモード。
ICAOnly
VPN 仮想サーバーパラメーターが OFF に設定されています。スマートアクセスモードは、ライセンスされていないCitrix ADC VPXインスタンスで5人のNetScaler AAAセッションユーザーに対してのみ機能します。
-
注:
スマートコントロール機能を構成するには、ユーザーはCitrix ADC VPXインスタンスにプレミアムライセンスを適用する必要があります。
Azure-VPXがサポートするモデルとライセンス
Azure展開では、次のCitrix ADC VPXモデルのみがサポートされています:VPX 10、VPX 200、VPX 1000、およびVPX 3000。詳細については、Citrix ADC VPXデータシートを参照してください。
Azure上のCitrix ADC VPXインスタンスにはライセンスが必要です。Azureで実行されているCitrix ADC VPXインスタンスでは、次のライセンスオプションを使用できます。ユーザーは、次のいずれかの方法を選択して、Citrix ADMによってプロビジョニングされたCitrix ADCのライセンスを取得できます。
-
Citrix ADMに存在するADCライセンスを使用する:自動スケールグループの作成時に、プール容量、VPXライセンス、または仮想CPUライセンスを構成します。そのため、新しいインスタンスが自動スケールグループにプロビジョニングされると、すでに構成されているライセンスタイプが、プロビジョニングされたインスタンスに自動的に適用されます。
- プールされたキャパシティ: Autoscaleグループ内のすべてのプロビジョニングされたインスタンスに帯域幅を割り当てます。ユーザーが新しいインスタンスをプロビジョニングするために必要な帯域幅をCitrix ADMで使用できるようにします。詳細については、「 プールキャパシティの設定」を参照してください。
autoscale グループの各 ADC インスタンスは、1 つのインスタンス・ライセンスと指定された帯域幅をプールからチェックアウトします。
- VPXライセンス:VPXライセンスを新しくプロビジョニングされたインスタンスに適用します。新しいインスタンスをプロビジョニングするために必要な数のVPXライセンスが、Citrix ADMで利用可能であることを確認します。
Citrix ADC VPX インスタンスがプロビジョニングされると、インスタンスはCitrix ADM からライセンスをチェックアウトします。詳しくは、「 Citrix ADC VPXチェックインおよびチェックアウトライセンス」を参照してください。
- 仮想 CPU ライセンス:新しくプロビジョニングされたインスタンスに仮想 CPU ライセンスを適用します。このライセンスでは、Citrix ADC VPX インスタンスの資格を持つCPUの数を指定します。新しいインスタンスをプロビジョニングするために必要な数の仮想CPUがCitrix ADMにあることを確認します。
Citrix ADC VPX インスタンスがプロビジョニングされると、インスタンスはCitrix ADM から仮想CPUライセンスをチェックアウトします。詳細については、「Citrix ADC 仮想CPUライセンス」を参照してください。
プロビジョニングされたインスタンスが破棄またはプロビジョニング解除されると、適用されたライセンスは自動的にCitrix ADM に返されます。
消費されたライセンスを監視するには、[ネットワーク] > [ライセンス] ページに移動します。
Microsoft Azure サブスクリプションライセンスを使用する:自動スケールグループを作成するときに、Azure Marketplace で使用可能な Citrix ADC ライセンスを構成します。したがって、Autoscaleグループ用に新しいインスタンスがプロビジョニングされると、ライセンスは Azure Marketplace から取得されます。
サポートされているCitrix ADC Azure 仮想マシンイメージ
プロビジョニングでサポートされている Citrix ADC Azure 仮想マシンイメージ
最低 3 つの NIC をサポートする Azure 仮想マシンイメージを使用します。Citrix ADC VPX インスタンスのプロビジョニングは、PremiumおよびAdvancedエディションでのみサポートされます。Azure 仮想マシンのイメージタイプの詳細については、「汎用仮想マシンのサイズ」を参照してください。
プロビジョニングに推奨される仮想マシンサイズは次のとおりです。
-
Standard_DS3_v2
-
Standard_B2ms
-
Standard_DS4_v2
ポート使用のガイドライン
ユーザーは、NetScaler VPXインスタンスの作成中または仮想マシンのプロビジョニング後に、NSGでより多くのインバウンドルールとアウトバウンドルールを構成できます。各受信および送信規則は、パブリックポートおよびプライベートポートに関連付けられています。
NSGルールを構成する前に、ユーザーが使用できるポート番号に関する次のガイドラインに注意してください。
-
NetScaler VPXインスタンスは次のポートを予約します。インターネットからの要求にパブリック IP アドレスを使用する場合、ユーザーはこれらをプライベートポートとして定義できません。ポート21, 22, 80, 443, 8080, 67, 161, 179, 500, 520, 3003, 3008, 3009, 3010, 3011, 4001, 5061, 9000, 7000. ただし、VIPなどのインターネットに接続するサービスで標準ポート(ポート443など)を使用する場合は、NSGを使用してポートマッピングを作成する必要があります。次に、標準ポートは、このVIPサービス用にCitrix ADC VPXで構成されている別のポートにマップされます。たとえば、VIPサービスがVPXインスタンスのポート8443で実行されているが、パブリックポート443にマッピングされているとします。したがって、ユーザーがパブリック IP を介してポート 443 にアクセスすると、要求はプライベートポート 8443 に送信されます。
-
パブリックIPアドレスは、パッシブFTPやALGなど、ポートマッピングが動的に開かれるプロトコルをサポートしていません。
-
高可用性は、Azureロードバランサーで構成されたPIPではなく、VPXインスタンスに関連付けられたパブリックIPアドレス(PIP)を使用するトラフィックでは機能しません。詳細については、「単一の IP アドレスと 1 つの NIC を使用した高可用性セットアップの構成」を参照してください。
-
NetScaler Gateway展開では、SNIPが構成されていない場合にNSIPをSNIPとして使用できるため、ユーザーはSNIPアドレスを構成する必要はありません。ユーザーは、NSIPアドレスといくつかの非標準ポート番号を使用してVIPアドレスを構成する必要があります。バックエンドサーバーでのコールバック設定の場合、VIP ポート番号を VIP URL とともに指定する必要があります (例:url: port)。
注:
-
Azure Resource Manager では、Citrix ADC VPXインスタンスは、パブリックIPアドレス(PIP)と内部IPアドレスの2つのIPアドレスに関連付けられます。外部トラフィックはPIPに接続しますが、内部IPアドレスまたはNSIPはルーティング不可能です。VPXでVIPを構成するには、内部IPアドレス (NSIP) と使用可能な空きポートのいずれかを使用します。VIP の設定に PIP を使用しないでください。
-
たとえば、Citrix ADC VPXインスタンスのNSIPが10.1.0.3で、使用可能な空きポートが10022の場合、ユーザーは10.1.0. 3:10022(NSIPアドレス+ポート)の組み合わせを提供することでVIPを構成できます。
-
この記事の概要
- 概要
- Citrix ADC VPX
- Microsoft Azure
- Azure 用語集
- Azure における Citrix WAF の論理フロー
- 使用例
- 展開の種類
- 高可用性 (HA) のためのマルチ NIC マルチ IP (3 NIC) 展開
- Azure Resource Manager テンプレートの展開
- ARM (Azure Resource Manager) テンプレート
- 展開手順
- マルチNICマルチIPアーキテクチャ (3つのNIC)
- Citrix ADM展開アーキテクチャ
- Citrix Application Delivery Management
- Citrix ADC WAF と OWASP トップ10 — 2017
- A 1:2017-インジェクション
- A 2:2017 — 認証が壊れた
- A 3:2017-機密データの漏えい
- A 4:2017 XML 外部エンティティ (XXE)
- A 5:2017 壊れたアクセス制御
- A 6:2017-セキュリティの設定ミス
- A 7:2017-クロスサイトスクリプティング (XSS)
- A 8:2017-安全でないデシリアライゼーション
- A 9:2017-既知の脆弱性を持つコンポーネントの使用
- A 10:2017-ロギングとモニタリングが不十分
- アプリケーションセキュリティ保護
- Citrix ADM
- 使用例
- Citrix Webアプリケーションファイアウォール (WAF)
- Web アプリケーションファイアウォールの配備戦略
- Web アプリケーションファイアウォール (WAF) の設定
- SQLインジェクション
- クロスサイトスクリプティング
- バッファオーバーフローチェック
- 仮想パッチ/署名
- アプリケーションのセキュリティ分析
- ADMでの集中型学習
- StyleBook
- アプリケーションファイアウォール設定の展開
- Security Insight 分析
- Security Insightの構成
- しきい値
- Security Insight ユースケース
- セキュリティ違反
- アプリケーションセキュリティ違反の詳細を表示する
- 違反カテゴリー
- セットアップする
- セキュリティ違反ダッシュボード
- 違反の詳細
- ボットインサイト
- Citrix ADM でのBot Insightの使用
- イベント履歴の表示
- ボットを見る
- ボットの詳細の表示
- 高度な検索
- ボット違反の詳細
- 過剰なクライアント接続
- アカウント乗っ取り
- 異常に高いアップロードボリューム
- ダウンロードボリュームが異常に高い
- 異常に高いリクエスト率
- 使用例
- ボット検出
- IPレピュテーション
- 参照ドキュメント
- 前提条件
- Azure の前提条件
- 制限事項
- Azure-VPXがサポートするモデルとライセンス
- サポートされているCitrix ADC Azure 仮想マシンイメージ
- プロビジョニングでサポートされている Citrix ADC Azure 仮想マシンイメージ
- ポート使用のガイドライン