Citrix Application Delivery Managementサービス

Security Insight

インターネットに接続しているWebアプリケーションやWebサービスアプリケーションの攻撃に対する脆弱性が高まってきています。アプリケーションを攻撃から保護するには、過去、現在の脅威、近い将来起こり得る脅威の性質と程度、攻撃発生時にすぐ利用できるリアルタイムデータ、対策に関する推奨事項を把握する必要があります。Security Insightは、アプリケーションのセキュリティ状況を判断し、是正処置を実施してアプリケーションを保護するための統一管理コンソールソリューションです。

Security Insight は、バージョン11.0ビルド65.31以降で実行されているすべてのADCアプライアンスで、Citrix Application Delivery Management(ADM)でサポートされています。

セキュリティインサイトの仕組み

Security Insightは、アプリケーションに関連するさまざまな脅威を把握できる直感的なダッシュボード型のセキュリティ分析ソリューションです。セキュリティインサイトはCitrix ADMに含まれており、アプリケーションファイアウォールとADCシステムのセキュリティ構成に基づいて定期的にレポートを生成します。このレポートには、アプリケーション別に次の情報が含まれています。

  • 脅威指数:アプリケーションがADCアプライアンスによって保護されているかどうかにかかわらず、アプリケーションに対する攻撃の重要度を示す1桁の定格システム。アプリケーションに対する攻撃の重大度が高いほど、そのアプリケーションの脅威指数は大きくなります。この指数の範囲は1~7です。

    脅威指数は攻撃情報に基づいています。違反の種類、攻撃のカテゴリ、場所、クライアントの詳細などの、攻撃に関連する情報により、アプリケーションに対する攻撃について正確かつ詳細に把握できます。違反情報は、違反または攻撃が発生した場合にのみCitrix ADM に送信されます。多くの侵害や脆弱性は、高い脅威指数の値につながります。

  • 安全性指数:外部の脅威や脆弱性からアプリケーションを保護するために、ADC インスタンスをどれだけ安全に設定したかを示す 1 桁の評価システム。アプリケーションのセキュリティリスクが小さいほど、安全性指数は高くなります。この指数の範囲は1~7です。

    安全指数は、アプリケーション・ファイアウォール構成と ADC システムのセキュリティ構成の両方を考慮します。高い安全性指数値を得るためには、両方の構成を堅牢にする必要があります。たとえば、厳密なアプリケーション・ファイアウォール・チェックが行われていて、nsrootユーザーの強力なパスワードなど、ADCシステムのセキュリティ対策が採用されていない場合、アプリケーションには低い安全指数の値が割り当てられます。

  • 実用的な情報。脅威指数を下げて安全指数を増やすために必要な情報。これにより、アプリケーションのセキュリティが大幅に向上します。たとえば、違反、アプリケーションファイアウォールおよびその他のセキュリティ機能の既存および存在しないセキュリティ構成、アプリケーションの攻撃率に関する情報を確認できます。

セキュリティインサイトの構成

Security Insight は、プレミアムライセンスの ADC インスタンス、または AppFirewall ライセンスのある ADC アドバンスドでのみサポートされます。

ADC インスタンスでセキュリティインサイトを設定するには、まずアプリケーションファイアウォールプロファイルとアプリケーションファイアウォールポリシーを構成してから、アプリケーションファイアウォールポリシーをグローバルにバインドします。

次に、AppFlow機能を有効化し、AppFlowコレクター、アクション、ポリシーを構成して、ポリシーをグローバルにバインドします。コレクタを構成するときは、レポートを監視するCitrix ADMサービスエージェントのIPアドレスを指定する必要があります。

ADC インスタンスでのセキュリティインサイトの設定

  1. 次のコマンドを実行して、アプリケーションファイアウォールのプロファイルとポリシーを構成し、アプリケーションファイアウォールポリシーをグローバルに、または負荷分散仮想サーバーにバインドします。

    **add appfw profile** \<name\> \[**-defaults** ( basic or advanced )\]
    
    **set appfw profile** \<name\> \[**-startURLAction** \<startURLAction\> ...\]
    
    **add appfw policy** \<name\> \<rule\> \<profileName\>
    
    **bind appfw global** \<policyName\> \<priority\>
    
    または
    
    **bind lb vserver** \<lb vserver\> **-policyName** \<policy\> **-priority** \<priority\>
    

    例:

    ```
    add appfw profile pr_appfw -defaults advanced
    set  appfw profile pr_appfw -startURLaction log stats learn
    add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw
    bind appfw global pr_appfw_pol 1
    または
    bind lb vserver outlook –policyName pr_appfw_pol –priority "20"
    <!--NeedCopy--> ```
    
  2. 次のコマンドを実行してAppFlow機能を有効化し、AppFlowコレクター、アクション、ポリシーを構成して、そのポリシーをグローバルに、または負荷分散仮想サーバーにバインドします。

    **add appflow collector** \<name\> **-IPAddress** \<ipaddress\>
    
    **set appflow param** \[**-SecurityInsightRecordInterval** \<secs\>\] \[**-SecurityInsightTraffic** ( ENABLED or DISABLED )\]
    
    **add appflow action** \<name\> **-collectors** \<string\>
    
    **add appflow policy** \<name\> \<rule\> \<action\>
    
    **bind appflow global** \<policyName\> \<priority\> \[\<gotoPriorityExpression\>\] \[**-type** \<type\>\]
    
    または
    
    **bind lb vserver** \<vserver\> **-policyName** \<policy\> **-priority** \<priority\>
    

    例:

    ```
    add appflow collector col -IPAddress 10.102.63.85
    set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
    add appflow action act1 -collectors col
    add appflow action af_action_Sap_10.102.63.85 -collectors col
    add appflow policy pol1 true act1
    add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
    bind appflow global pol1 1 END -type REQ_DEFAULT
    または
    bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"
    <!--NeedCopy--> ```
    

Citrix ADMからのセキュリティインサイトを有効にする

  1. [ ネットワーク ] > [ インスタンス ] > [ Citrix ADC ] に移動し、インスタンスタイプを選択します。たとえば、VPX です。

  2. インスタンスを選択し、[ アクションの選択 ] リストから [ Analytics を設定] を選択します。

  3. [ 仮想サーバーでの分析の設定 ] ウィンドウで、次の操作を行います。

    1. セキュリティインサイトを有効にする仮想サーバーを選択し、[ Analytics を有効にする] をクリックします。

      [ アナリティクスを有効にする ] ウィンドウが表示されます。

    2. Security Insightの選択

    3. [ 詳細オプション] で、トランスポートモードとして [ ログストリーム ] または [ IPFIX ] を選択します

      Citrix ADC 12.0以前の場合、 IPFIXはトランスポートモードのデフォルトのオプションです 。Citrix ADC 12.0以降では、トランスポートモードとして[ ログストリーム ]または[ IPFIX ]を選択できます。

      IPFIX および Logstreamの詳細については、「ログストリームの概要」を参照してください。

    4. 式はデフォルトでtrueです

    5. [OK]をクリックします。

      有効化

          -  ライセンスされていない仮想サーバーを選択した場合、まずCitrix ADM はこれらの仮想サーバーのライセンスを取得してから、分析を有効にします
      
          -  管理パーティションの場合、 **Web Insight** のみがサポートされます。
      

OK]をクリックすると、Citrix ADM は選択した仮想サーバー上で分析を有効にするために処理します。

分析を有効にする

注:

グループを作成するときに、グループに役割を割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てたりすることができます。Citrix ADM 分析では、仮想IPアドレスベースの認証がサポートされるようになりました。ユーザーは、権限のあるアプリケーション(仮想サーバー)のみのすべての Insightのレポートを表示できるようになりました。グループとグループへのユーザーの割り当てについて詳しくは、Citrix ADMでのグループの構成を参照してください。

セキュリティインサイトレポート用に地理的な場所を設定する

Citrix ADMで地理的な場所を構成する場合、Security Insight レポートには、クライアント要求の発信元となる正確な地理的場所が含まれます。位置情報を有効にするには、組織内の各位置情報について、プライベートIPブロックまたはIPアドレスの範囲を指定します。その情報を、市町村/都道府県/国名および各位置の経緯度と一緒にGeo Databaseファイルに追加します。Citrix の担当者に連絡して Geo データベースファイルを入手し、そのファイルを ADC インスタンスにアップロードします。

地理的位置を設定するには:

  1. 地理データベースファイル Citrix_Netscaler_InBuilt_GeoIP_DB.csv を ADC アプライアンス上の任意の場所にコピーします。

  2. viなどのテキストエディターを使ってGeo Databaseファイルを開き、組織内の各場所のエントリを追加します。

    エントリは、次の形式で指定する必要があります。

    <start IP\>,<end IP\>,,<country\>,<state\>,,<city\>,,longitude,latitude

    例:

    4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568

  3. 次のコマンドを実行して位置情報ログおよびCEF形式でのログを有効にします。

    • add locationFile
    • set appfw settings -geoLocationLogging ON
    • set appfw settings -CEFLogging ON

IPレピュテーション

NetScaler Insight Center を使用して、着信トラフィックのIPレピュテーションを監視および管理できます。悪意のあるIPを追加するよう各種ポリシーを構成して、カスタマイズされたブロックリストを作成できます。

IP レピュテーションの設定と使用については、IPレピュテーションを参照してください。

IP レピュテーションの監視

IPレピュテーション機能は、悪意のあるIPアドレスに関する攻撃関連情報を提供します。たとえば、IPレピュテーションスコア、IPレピュテーションカテゴリ、IPレピュテーション攻撃時間、デバイスIP、およびクライアントIPアドレスに関する詳細がレポートされます。

IP レピュテーションスコアは、IP アドレスに関連付けられたリスクを示します。スコアには、次の範囲があります。

IPレピュテーションスコア リスクの程度
1–20 高リスク
21–40 疑わしい
41–60 中程度のリスク
61–80 低リスク
81–100 信頼できる

IPレピュテーションを監視するには、次の手順に従います。

  1. [ 分析] > [セキュリティ] > [セキュリティ違反] に移動し、[ WAF] で監視するアプリケーションを選択します。

  2. 脅威インデックス安全指数のスコアが表示されます 。[ 詳細の表示] をクリックします。

  3. [アプリケーションファイアウォールの構成] で、IP レピュテーションの安全性インデックスのスコアを表示できます。

しきい値

Security Insightでアプリケーションの安全性指数と脅威指数のしきい値を設定および表示できます。

しきい値を設定するには、次の手順に従います。

  1. [ システム ] > [ 分析設定] > [ しきい値] に移動し、[ 追加] を選択します。

  2. [トラフィックタイプ] フィールドで [ セキュリティ ] としてトラフィックタイプを選択し、[名前]、[期間]、[エンティティ] などのその他の適切なフィールドに必要な情報を入力します。

  3. [ ルール ] セクションで、[メトリック]、[コンパレータ]、および [値] フィールドを使用してしきい値を設定します。

    入力例:”Threat Index” “>” “5”

  4. [作成] をクリックします。

しきい値違反を表示するには、次の手順を実行します。

  1. [ 分析 ] > [ Security Insight ] > [ デバイス] に移動し、ADC インスタンスを選択します。

  2. アプリケーション ]セクションでは、仮想サーバごとに発生したしきい値違反の数を[しきい値の違反]列に表示できます。

セキュリティインサイトの使用例

次のユースケースでは、Security Insightを使用して、アプリケーションの脅威環境を査定し、セキュリティ対策を向上する方法を説明します。

脅威環境の概要を取得する

このユースケースでは、攻撃にさらされる一連のアプリケーションがあり、脅威環境を監視するようにCitrix ADM を構成しています。脅威指数、安全指数、およびアプリケーションが経験した可能性のある攻撃の種類と重大度を確認して、まず重要なアプリケーションに焦点を当てる必要があります。セキュリティインサイトダッシュボードには、選択した期間および選択した ADC デバイスについて、アプリケーションが経験した脅威の概要が表示されます。アプリケーションの一覧、脅威指数と安全性指数、選択した期間の攻撃回数の合計が表示されます。

脅威環境の概要を取得するには、Citrix ADMにログオンし、[ 分析]>[セキュリティ]>[セキュリティ違反]の順に選択し 、[ WAF]の下に、影響を受ける違反の合計に基づいて上位 5 つのアプリケーションが表示されます。すべてのアプリケーションを表示するには、[ すべて表示] をクリックします。

WAF アプリケーション

アプリケーションの既存および存在しないセキュリティ構成を特定する

アプリケーションの脅威への露出度を確認したら、そのアプリケーションに設定されているセキュリティ構成と欠落しているセキュリティ構成を確認します。この情報は、アプリケーションの概要にドリルダウンすることで取得できます。

概要には、次のセキュリティ構成の有効性に関する情報が表示されます。

  • アプリケーションファイアウォール構成。構成されていないシグネチャおよびセキュリティエンティティの数を表示します。
  • Citrix ADMシステムセキュリティ。構成されていないシステムセキュリティ設定の数を表示します。

    セキュリティ構成

[ アプリケーションファイアウォールの構成 ] ノードで、セキュリティチェックとセキュリティ違反の情報を確認します。

アプリケーションファイアウォールの設定

Citrix ADMシステムセキュリティ ]ノードをクリックし、システムのセキュリティ設定とCitrixの推奨事項を確認し、アプリケーションの安全性指数を改善します。

即時の対応が必要なアプリケーションを特定

直ちに注意が必要なアプリケーションは、高い脅威指数と安全指数が低いアプリケーションです。

特定の時間内の攻撃数を決定する

特定のアプリケーションで特定の時間帯に発生した攻撃の数や、指定した期間の攻撃発生率を調べてみます。

[ WAF] で、アプリケーションをクリックして、選択した期間に検出された WAF 違反の合計を表示します。

期間を選択

[ Logs ] をクリックして、重大度と実行されたアクションに基づいて攻撃の詳細を表示します。ログページには、次の詳細が表示されます。

  • アタックタイム

  • 攻撃が発生したクライアントの IP アドレス

  • 重大度

  • 違反のカテゴリ

  • 攻撃の発信元の URL、およびその他の詳細。