Citrix Application Delivery Managementサービス

セキュリティアドバイザリ

安全で耐障害性に優れたインフラストラクチャは、あらゆる組織のライフラインです。したがって、組織は、新しい共通脆弱性とエクスポージャス(CVE)を追跡し、CVEがインフラストラクチャに与える影響を評価し、緩和と修復を理解し、脆弱性を解決するための緩和と修復を計画する必要があります。

Citrix ADMセキュリティアドバイザリでは、ADCインスタンスが危険にさらされているCitrix CVEを強調し、緩和策と修復を推奨します。ADM サービスを使用して緩和策と是正を適用することにより、推奨事項を確認し、適切なアクションを実行できます。

セキュリティアドバイザリの機能

次のセキュリティアドバイザリ機能は、インフラストラクチャを保護するのに役立ちます。

  • スキャン:デフォルトのシステムスキャンとオンデマンドスキャンが含まれます。
    • システムスキャン:デフォルトで週に 1 回、すべての管理対象インスタンスをスキャンします。システムスキャンの日付と時刻はADMによって決定され、変更することはできません。
    • オンデマンドスキャン:必要に応じてインスタンスを手動でスキャンできます。最後のシステムスキャンの後に経過した時間が重要な場合は、オンデマンドスキャンを実行して、現在のセキュリティポスチャを評価できます。または、修正または緩和が適用された後にスキャンして、改訂された姿勢を評価します。
  • CVE 影響分析:インフラストラクチャに影響を与えているすべての CVE と、すべての ADC インスタンスが影響を受ける結果を表示し、修復と緩和を提案します。この情報を使用して、緩和と修復を適用してセキュリティリスクを修正します。

  • CVE レポート:最後の 5 つのスキャンのコピーを保存します。これらのレポートは CSV 形式でダウンロードして分析できます。

  • CVEリポジトリ:2019年12月以降にCitrixが発表したすべてのADC関連CVEの詳細ビューが表示されます。これはADCインフラストラクチャに影響を与える可能性があります。このビューを使用して、セキュリティアドバイザリースコープの CVE を理解し、CVE について詳しく知ることができます。

注意事項

セキュリティアドバイザリを使用するときは、次の点に注意してください。

  • CVE 検出でサポートされるインスタンス:すべての ADC (SDX、MPX、VPX、CPX、BLX) およびゲートウェイ
  • CVEがサポートされている:2019年12月以降のすべてのCVEです。
  • ADC、Gateway リリースの範囲:機能はメインビルドに限定されます。セキュリティアドバイザリには、その範囲に特別なビルドは含まれません。

    • セキュリティアドバイザリは、10.5 以降のバージョンを実行する ADC インスタンスでサポートされ、10.5 以降のバージョンを実行しているインスタンスではサポートされません。

    • セキュリティアドバイザリは、管理パーティション、SD-WAN デバイス、HAProxy、HAProxy ホストデバイスではサポートされていません。

  • スキャンの種類:セキュリティアドバイザリでバージョンスキャンと構成スキャンを実行します
    • バージョンスキャン:ADC バージョンが脆弱なバージョンかどうかをチェックします。使用するロジックは、CVE が ADC リリース xx.xx で修正されている場合、xx.xx ビルドよりも低いすべてのリリースとビルドは脆弱であると見なされます。
    • Config scan — ADC 設定をスキャンして、脆弱な特定の設定パターンが存在するかどうかを確認します。
  • スキャンは、ADC の本番トラフィックに影響を与えず、ADC の ADC の設定を変更しません。

セキュリティアドバイザリダッシュボードの使用方法

セキュリティアドバイザリダッシュボードにアクセスするには 、ADM GUI から、 [ネットワーク] > [インスタンスアドバイザリ] > [セキュリティアドバイザリ] に移動します。ダッシュボードには、ADM を通じて管理するすべての ADC インスタンスの脆弱性ステータスが表示されます。インスタンスは週に 1 回スキャンされますが、[Scan Now] をクリックすればいつでもスキャンできます

ダッシュボードには、次の 3 つのタブがあります。

  • 現在のCVE
  • ログをスキャン
  • CVE リポジトリ

セキュリティアドバイザリダッシュボード

重要

セキュリティアドバイザリ GUI またはレポートでは、すべての CVE が表示されず、CVE が 1 つだけ表示される場合があります。回避策として、[ 今すぐスキャン ] をクリックしてオンデマンドスキャンを実行します。スキャンが完了すると、スコープ内のすべてのCVE(約 15)が UI またはレポートに表示されます。

現在のCVE

このタブには、インスタンスに影響を与える CVE の数(この画面キャプチャでは 14 CVE)と、CVE の影響を受けるインスタンス(この画面キャプチャでは)が表示されます。タブはシーケンシャルではなく、管理者として、ユースケースに応じてこれらのタブを切り替えることができます。

ADCインスタンスに影響するCVEの数を示す表には、次の詳細が示されています。

CVE ID: インスタンスに影響を与える CVE の ID。

公開日: その CVE のセキュリティ情報が公開された日付。

重大度スコア:重大度タイプ(高/中/重大)およびスコア。スコアを表示するには、重要度のタイプにカーソルを合わせます。

脆弱性の種類:このCVEの脆弱性の種類。

影響を受ける ADC インスタンス: CVE ID が影響しているインスタンスカウント。マウスオーバーすると、ADC インスタンスのリストが表示されます。

修復: インスタンスのアップグレード(通常)または構成パックの適用である、利用可能な修復。

同じインスタンスは、複数の CVE によって影響を受ける可能性があります。この表では、1 つの特定の CVE または複数の選択した CVE が影響しているインスタンスの数を確認できます。影響を受けるインスタンスの IP アドレスを確認するには、[ 該当するADC インスタンス] の下の [ADC 詳細] にカーソルを合わせます。影響を受けるインスタンスの詳細を確認するには、テーブルの下部にある [ 影響を受けるインスタンスの表示 ] をクリックします。 プラス記号をクリックして、テーブルの列を追加または削除することもできます。

現在のCVE

<number of> ADC インスタンスには、[CVes の影響を受ける ] タブに、影響を受ける ADM 管理の ADC インスタンスがすべて表示されます。この表は、ADCのIPアドレス、ホスト名、ADCのモデル・ナンバー、ADCの状態、ソフトウェアのバージョンとビルド、およびADCに影響を与えるCVEのリストを示しています。

次の画面キャプチャでは、1 つの ADC インスタンスが影響を受けます。必要に応じて、+ 記号をクリックして、これらの列を追加または削除します。

CVE の影響を受けるインスタンス

脆弱性の問題を修正するには、ADC インスタンスを選択し、インスタンスのアップグレードである推奨事項の修正を適用します。

  • アップグレード: 脆弱な ADC インスタンスを、修正されたリリースおよびビルドにアップグレードできます。この詳細は、「是正」列に表示されます。アップグレードするには、インスタンスを選択し、[ Proceed to Upgrade] ワークフローをクリックします。アップグレードワークフローでは、脆弱なADCがターゲットADCとして自動的に入力されます。

12.0、11,0、10.5 以降のリリースは、すでにサポート終了 (EOL) です。ADC インスタンスがこれらのリリースのいずれかで実行されている場合は、サポートされているリリースにアップグレードしてください。

アップグレードワークフローが開始されます。ADM を使用して ADC インスタンスをアップグレードする方法の詳細については、「ADCアップグレード・ジョブの作成」を参照してください。

アップグレード先のリリースとビルドは、ユーザーの判断によります。[修復] 列の下のアドバイスを参照して、セキュリティ修正を適用しているリリースとビルドを確認し、それに応じて、サポート対象リリースとビルドを選択します (サポート対象リリースとビルドはまだ終了していません)。

アップグレードアドバイザリのワークフロー

ログをスキャン

タブには、デフォルトのシステムスキャンとオンデマンドユーザー開始スキャンの両方を含む、最後の 5 つのスキャンのレポートが表示されます。各スキャンのレポートはCSV形式でダウンロードできます。オンデマンドスキャンが進行中の場合は、ここで完了ステータスを確認できます。スキャンが失敗した場合、ステータスはそれを示します。

ログをスキャン

CVE リポジトリ

このタブには、2019 年 12 月以降のすべての CVE の最新情報、CVE ID、脆弱性の種類、公開日、重大度、修復、セキュリティ情報へのリンクが含まれます。

CVE リポジトリ

今すぐスキャン

セキュリティアドバイザリには、インスタンスが最後にスキャンされた日時と次のスケジュールの期限が表示されます。また、必要に応じていつでもインスタンスをスキャンできます。[Scan Now] をクリックして、インスタンスの最新のセキュリティレポートを取得します。ADMはスキャンを完了するのに数分かかります。

今すぐスキャン

スキャンが完了すると、改訂されたセキュリティの詳細がセキュリティアドバイザリ GUI に表示されます。また、スキャンログの下にレポートがあり、ダウンロードすることもできます。

スキャン後にログを記録する

スキャンログには、スケジュール済みまたはオンデマンドの両方で、最後の 5 つのスキャンのログのみが表示されます。

通知

管理者は、脆弱性のある ADC インスタンスの数を示すCitrix Cloud通知を受け取ります。通知を表示するには、ADM GUI の右上隅にあるベルアイコンをクリックします。

Citrix Cloud 通知

セキュリティアドバイザリ