Citrix Application Delivery Management

Security Insight

インターネットに接続しているWebアプリケーションやWebサービスアプリケーションの攻撃に対する脆弱性が高まってきています。アプリケーションを攻撃から保護するには、脅威の可視性、攻撃に関するリアルタイムの実用データ、および対策に関する推奨事項が必要です。Security Insightは、アプリケーションのセキュリティ状況を判断し、是正処置を実施してアプリケーションを保護するための統一管理コンソールソリューションです。

Security Insightは、バージョン11.0 Build 65.31以降で実行されているCitrix ADCアプライアンスを使用したCitrix Application Delivery Management(ADM)でサポートされています。

Security Insightの仕組み

Security Insightは、アプリケーションに関連するさまざまな脅威を把握できる直感的なダッシュボード型のセキュリティ分析ソリューションです。セキュリティに関する洞察はCitrix ADM に含まれており、アプリケーションファイアウォールとCitrix ADC システムのセキュリティ構成に基づいてレポートを定期的に生成します。このレポートには、アプリケーション別に次の情報が含まれています。

  • 脅威指数:アプリケーションがCitrix ADC アプライアンスで保護されているか保護されていないかにかかわらず、アプリケーションに対する攻撃の重要度を示す1桁の評価システム。アプリケーションに対する攻撃の重大度が高いほど、そのアプリケーションの脅威指数は大きくなります。この指数の範囲は1~7です。

    脅威指数は攻撃情報に基づいています。違反の種類、攻撃のカテゴリ、場所、クライアントの詳細などの、攻撃に関連する情報により、アプリケーションに対する攻撃について正確かつ詳細に把握できます。違反情報は、違反または攻撃が発生した場合にのみCitrix ADM に送信されます。侵害や脆弱性が多いと、脅威指数の値が高くなります。

  • 安全性指数:外部からの脅威や脆弱性からアプリケーションを保護するために、Citrix ADC インスタンスをどのように安全に構成したかを示す1桁の評価システム。アプリケーションのセキュリティリスクが小さいほど、安全性指数は高くなります。この指数の範囲は1~7です。

    安全指標では、アプリケーションファイアウォール構成とCitrix ADC システムセキュリティ構成の両方が考慮されます。高い安全性指数値を得るためには、両方の構成を堅牢にする必要があります。たとえば、厳しいアプリケーション・ファイアウォール・チェックが行われていても、nsrootユーザーに対する強力なパスワードなど、Citrix ADC システムのセキュリティ対策が採用されていない場合、アプリケーションには低い安全性インデックス値が割り当てられます。

  • アクショナブルインフォメーション:脅威指数を低くし、安全性指数を高くするために必要な情報。これにより、アプリケーションのセキュリティは大幅に改善されます。たとえば、違反に関する情報、アプリケーションファイアウォールやその他のセキュリティ機能に関する既存の、または欠落しているセキュリティ構成、アプリケーションが攻撃されている割合を確認できます。

Security Insightの構成

Citrix ADM は、アプリケーションファイアウォールが構成されているすべてのCitrix ADC インスタンスからSecurity Insightをサポートします。

ADC インスタンスでSecurity Insightを設定するには、まずアプリケーションファイアウォールプロファイルとアプリケーションファイアウォールポリシーを設定します。アプリケーションファイアウォールポリシーをグローバルにバインドできますが、仮想サーバーにバインドCitrix。

Citrix ADM 分析を表示するには、インスタンスでAppFlow 機能を有効にし、AppFlowコレクター、アクション、およびポリシーを構成し、ポリシーをグローバルにバインドします。また、アプリケーションファイアウォールポリシーをグローバルにバインドすることもできますが、仮想サーバーにバインドすることをお勧めします。また、Citrix ADMを使用してADCインスタンスにAppFlow 構成を展開することもお勧めします。コレクタを構成するときは、レポートを監視するCitrix ADM サーバーのIPアドレスを指定する必要があります。

Citrix ADC インスタンスのSecurity Insightを構成するには:

  1. 次のコマンドを実行して、アプリケーションファイアウォールのプロファイルとポリシーを構成し、アプリケーションファイアウォールポリシーをグローバルに、または負荷分散仮想サーバーにバインドします。

    add appfw profile <name> [-defaults ( basic | advanced )]

    set appfw profile <name> [-startURLAction <startURLAction> …]

    add appfw policy <name> <rule> <profileName>

    bind appfw global <policyName> <priority>

    または、

    bind lb vserver <lb vserver> -policyName <policy> -priority <priority>

    add appfw profile pr_appfw -defaults advanced
    set  appfw profile pr_appfw -startURLaction log stats learn
    add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw
    bind appfw global pr_appfw_pol 1
    or,
    bind lb vserver outlook –policyName pr_appfw_pol –priority “20”
    <!--NeedCopy-->
    
  2. 次のコマンドを実行してAppFlow機能を有効化し、AppFlowコレクター、アクション、ポリシーを構成して、そのポリシーをグローバルに、または負荷分散仮想サーバーにバインドします。

    add appflow collector <name> -IPAddress <ipaddress>

    set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ENABLED | DISABLED )]

    add appflow action <name> -collectors <string>

    add appflow policy <name> <rule> <action>

    bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

    または

    bind lb vserver <vserver> -policyName <policy> -priority <priority>

    add appflow collector col -IPAddress 10.102.63.85
    set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
    add appflow action act1 -collectors col
    add appflow action af_action_Sap_10.102.63.85 -collectors col
    add appflow policy pol1 true act1
    add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
    bind appflow global pol1 1 END -type REQ_DEFAULT
    or,
    bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority “20”
    <!--NeedCopy-->
    

Citrix ADMからAppFlow を有効にするには:

  1. Webブラウザで、 Citrix ADM IPアドレスを入力します(例: http://192.168.100.1)。

  2. [User Name][Password] に管理者の資格情報を入力します。

  3. [ ネットワーク ] > [ インスタンス] に移動し、AppFlow を有効にするCitrix ADC インスタンスを選択します。

  4. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  5. 仮想サーバーを選択し、[ AppFlow を有効にする] をクリックします。

  6. AppFlow を有効にする 」フィールドに「 true」と入力し、「 Security Insight」を選択します。

  7. [ OK] をクリックします

    AppFlow を有効にする

Security Insightレポートの地理的な場所を表示する

Security Insight レポートには、クライアント要求の発信元の正確な地理的位置が含まれます。Citrix ADM では、地理的な位置を表示できます。Citrix ADC に組み込まれている地理データベースファイルには、ほとんどのパブリックIPアドレスが含まれています。このファイルは、Citrix ADC /var/netscaler/inbuit_db の場所で利用できます。

地理的位置を有効にするには:

次のコマンドを実行して位置情報ログおよびCEF形式でのログを有効にします。

  • add locationFile <Complete path with the DB filename>

  • set appfw settings -geoLocationLogging ON

  • set appfw settings -CEFLogging ON

地理データベースファイルで使用できない IP アドレスがある場合は、地理的位置の IP アドレスを追加できます。IP アドレスに加えて、市/州/国名、および各場所の緯度と経度座標を追加することもできます。

vi エディタなどのテキストエディタで geo データベースファイルを開き、すべての場所のエントリを追加します。

エントリは、次の形式で指定する必要があります。

\<start IP\>,\<end IP\>,,\<country\>,\<state\>,,\<city\>,,longitude,latitude

例:

4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568
<!--NeedCopy-->

IPレピュテーション

NetScaler Insight Centerを使用して着信トラフィックのIPレピュテーションを監視および管理できます。悪意のあるIPを追加するよう各種ポリシーを構成して、カスタマイズされたブロックリストを作成できます。

IP レピュテーションの設定と使用については、IPレピュテーションを参照してください。

IP レピュテーションの監視

IPレピュテーション機能は、悪意のあるIPアドレスに関する攻撃関連情報を提供します。たとえば、IPレピュテーションスコア、IPレピュテーションカテゴリ、IPレピュテーション攻撃時間、デバイスIP、およびクライアントIPアドレスに関する詳細がレポートされます。

IPレピュテーションスコアは、IPアドレスに関連付けられたリスクを示します。このスコアの範囲は次のとおりです。

IPレピュテーションスコア リスクの程度
1–20 高リスク
21–40 疑わしい
41–60 中程度のリスク
61–80 低リスク
81–100 信頼できる

IPレピュテーションを監視するには、次の手順に従います。

  1. [ Analytics] > [ Security Insight] に移動し、監視するアプリケーションを選択します。

  2. [ 脅威インデックス ] タブで、[ IP レピュテーション] を選択します。

    IPレピュテーション

  3. 重大度を選択して、そのレベルの攻撃の詳細を表示します。棒グラフをクリックするか、グラフの下のテーブルをクリックします。

  4. 詳細を表示する期間を選択します。時間スライダーを使用して選択する期間をカスタマイズできます。次に[Go]をクリックします。

    IPレピュテーション1

  5. 表示をカスタマイズするには、[Settings]をクリックします。

    IPレピュテーション2

しきい値

Security Insightでアプリケーションの安全性指数と脅威指数のしきい値を設定および表示できます。

しきい値を設定するには、次の手順に従います。

  1. [ Analytics ] > [ 設定] > [ しきい値] に移動し、[ 追加] を選択します。

  2. [Traffic Type] フィールドで トラフィックタイプ を [ Security ] として選択し、[Name]、[Duration]、[Entity] などのその他の適切なフィールドに必要な情報を入力します。

  3. [ ルールの構成 ] セクションで、[メトリック]、[コンパレータ]、および [値] フィールドを使用してしきい値を設定します。

    入力例:”Threat Index” “>” “5”

  4. [ 通知設定] で、通知の種類を選択します。

  5. [作成] をクリックします。

しきい値違反を表示するには、次の手順を実行します。

  1. Analytics ]>[ Security Insight ]>[ デバイス]に移動し、Citrix ADC インスタンスを選択します。

  2. [ アプリケーション ] セクションで、各仮想サーバに対して発生したしきい値違反の数を [ しきい値違反 ] 列に表示できます。

Security Insightのユースケース

次のユースケースでは、Security Insightを使用して、アプリケーションの脅威環境を査定し、セキュリティ対策を向上する方法を説明します。

脅威環境の概要を取得する

このユースケースでは、攻撃にさらされる一連のアプリケーションがあり、脅威環境を監視するようにCitrix ADM を構成しています。脅威指数、安全指数、およびアプリケーションが経験した可能性のある攻撃の種類と重大度を頻繁に確認する必要があります。このレビューでは、最初に最も注意が必要なアプリケーションに焦点を当てることができます。Security Insightダッシュボードには、選択した期間および選択したCitrix ADC デバイスについて、アプリケーションが経験した脅威の概要が表示されます。アプリケーションの一覧、脅威指数と安全性指数、選択した期間の攻撃回数の合計が表示されます。

たとえば、Microsoft Outlook、Microsoft Lync、SharePoint、およびSAPアプリケーションを監視しており、これらのアプリケーションの脅威環境の概要を確認するとします。

脅威環境の概要を取得するには、 Citrix ADMにログオンし、[ Analytics]>[Security Insight]に移動します。

各アプリケーションの主要情報が表示されます。デフォルトの期間は1時間です。

脅威環境

異なる期間の情報を表示するには、左上のリストから期間を選択します。

差値

別のCitrix ADC インスタンスの概要を表示するには、[ デバイス]で、Citrix ADCインスタンスのIPアドレスをクリックします。特定の列でアプリケーションの一覧を並べ替えるには、その列の見出しをクリックします。

アプリケーションの脅威エクスポージャーの判断

Security Insight ダッシュボードで高い脅威インデックスと低い安全性インデックスを持つアプリケーションを特定するには、脅威の危険性を確認してから保護する必要があります。つまり、指数値を下げている攻撃の種類と重大度を確認します。アプリケーションの脅威への露出度を判断するには、アプリケーションの概要を表示します。

この例では、Microsoft Outlookの脅威指数値が6になっており、この高い脅威指数の原因となっている要因を調べる必要があります。

Microsoft Outlookの脅威への露出度を調べるには、[Security Insight]ダッシュボードで、[Outlook]をクリックします。アプリケーション概要に、サーバーの位置情報を特定する地図が含まれています。

アプリケーションの暴露

[Threat Index]>[Security Check Violations]をクリックして、表示される違反情報を確認します。

セキュリティチェック

[ 署名 ] [違反] をクリックし、表示される違反情報を確認します。

署名違反

アプリケーションの既存のセキュリティ構成と欠落しているセキュリティ構成を判別する

アプリケーションの脅威への露出度を確認したら、そのアプリケーションに設定されているセキュリティ構成と欠落しているセキュリティ構成を確認します。この情報は、アプリケーションの安全性指数概要にドリルダウンすると表示されます。

安全性指数概要には、次のセキュリティ構成の有効性に関する情報が表示されます。

  • アプリケーションファイアウォール構成。構成されていないシグネチャおよびセキュリティエンティティの数を表示します。
  • NetScalerシステムセキュリティ。構成されていないシステムセキュリティ設定の数を表示します。

システムセキュリティ

前出のユースケースでは、Microsoft Outlookの脅威への露出度(脅威指数値は6)について調査しました。次に、Outlookに設定されているセキュリティ構成と、どのような構成を追加すれば脅威指数を改善できるのかを調べる必要があります。

[Security Insight]ダッシュボードで、[Outlook]をクリックし、[Safety Index]タブをクリックします。[Safety Index Summary]領域に表示された情報を確認します。

安全指数

[ アプリケーションファイアウォールの構成 ] ノードで、[ Outlook_Profile ] をクリックし、セキュリティチェックと署名違反の情報を円グラフで確認します。

Outlook プロファイル

構成チャート

アプリケーションファイアウォール概要表で各保護タイプの構成ステータスを確認します。特定の列で表を並べ替えるには、列見出しをクリックします。

構成ステータス

[NetScaler System Security]ノードをクリックして、システムセキュリティ設定とCitrixの推奨事項を確認し、アプリケーションの安全性指数を改善します。

即時の対応が必要なアプリケーションを特定

直ちに対処する必要があるアプリケーションとは、脅威指数が高く安全性指数が低いアプリケーションです。

この例では、Microsoft OutlookとMicrosoft Lyncが高い脅威指数値(6)を示していますが、安全性指数はLyncのほうが低くなっています。したがって、最初にLyncに注意を払い、その後でOutlookの脅威環境を改善します。

注意:

一定期間における攻撃数を特定する

特定のアプリケーションで特定の時間帯に発生した攻撃の数や、指定した期間の攻撃発生率を調べてみます。

[Security Insight] ページで任意のアプリケーションをクリックし、[ アプリケーションの概要] で違反数をクリックします。≪違反合計|Total Violations|emdw≫ページには、1時間、1日、1週間および1ヶ月の攻撃がグラフィカルに表示されます。

攻撃

[アプリケーションの概要] テーブルには、攻撃の詳細が表示されます。それらのいくつかは以下のとおりです。

  • アタックタイム

  • 攻撃が発生したクライアントの IP アドレス

  • 重大度

  • 違反のカテゴリ

  • 攻撃の発信元の URL、およびその他の詳細。

Attacks1

攻撃時間は、画像のように時間ごとのレポートでいつでも表示できますが、日次レポートや週次レポートでも、集計レポートの攻撃時間範囲を表示できるようになりました。期間リストから [1 日] を選択すると、Security Insightレポートに集約されたすべての攻撃が表示され、攻撃時間が 1 時間の範囲で表示されます。「1週間」または「1ヶ月」を選択すると、すべての攻撃が集計され、攻撃時間が1日の範囲で表示されます。

Attacks2

セキュリティ侵害に関する詳細情報の取得

アプリケーションに対する攻撃のリストを表示して、攻撃の種類と重大度、Citrix ADC インスタンスによって実行されたアクション、要求されたリソース、および攻撃の原因について洞察を得たい場合があります。

たとえば、Microsoft Lyncに対する攻撃がブロックされた数、要求されたリソース、発信元のIPアドレスを調べます。

Security Insightダッシュボードで、[ Lync] > [違反の合計] をクリックします。表の[Action Taken]列の見出しにあるフィルターアイコンをクリックし、[Blocked]を選択します。

セキュリティ侵害

要求されたリソースについて詳しくは、[ URL ] 列を参照してください。攻撃の発信元に関する情報を知りたい場合は、[Client IP]列を確認します。

ログ式の詳細の表示

Citrix ADC インスタンスは、アプリケーションファイアウォールプロファイルで構成されたログ式を使用して、企業内のアプリケーションに対する攻撃に対処します。Security Insightでは、Citrix ADC インスタンスで使用されるログ式に対して返される値を表示できます。これらの値には、要求ヘッダー、要求本文などが含まれます。ログ式の値とは別に、Citrix ADC インスタンスが攻撃に対してアクションを実行するために使用した Application Firewall プロファイルに定義されているログ式の名前とコメントを表示することもできます。

前提条件

次のことを確実にします。

  • アプリケーションファイアウォールプロファイルでログ式を設定します。詳しくは、「アプリケーションファイアウォール」を参照してください。

  • Citrix ADM でログ式ベースのSecurity Insight設定を有効にします。以下を実行します:

    1. [ アナリティクス] > [設定] に移動し、[ アナリティクスの機能を有効にする] をクリックします。

    2. [Analytics の機能を有効にする] ページで、[ ログ式ベースのSecurity Insight設定] セクションの [Security Insightを有効にする ] を選択し、[ OK] をクリックします。

    ログ式

たとえば、企業内のMicrosoft Lyncに対する攻撃に対して実行したアクションについて、Citrix ADC インスタンスによって返されるログ式の値を表示できます。

[Security Insight] ダッシュボードで、[ Lync] > [違反の合計]に移動します。[アプリケーションの概要]表でURLをクリックすると、[違反情報 ]ページで違反の完全な詳細が表示されます。ログ式名、コメント、およびCitrix ADC インスタンスがアクションに対して返す値が含まれます。

ログ式の値

構成を展開する前に安全指数を特定する

セキュリティ侵害は、Citrix ADC インスタンスにセキュリティ構成を展開した後に発生しますが、展開する前にセキュリティ構成の有効性を評価することをお勧めします。

たとえば、IPアドレスが10.102.60.27のCitrix ADC インスタンスで、SAPアプリケーションの構成の安全性インデックスを評価できます。

Security Insight ]ダッシュボードの[ デバイス]で、構成したCitrix ADC インスタンスのIPアドレスをクリックします。脅威指数と攻撃総数はどちらも0になっています。脅威指数には、アプリケーションに対する攻撃の数と種類が直接反映されます。攻撃回数がゼロということは、アプリケーションがまったく脅威にさらされていないことを示しています。

構成を展開する

[Sap]>[Safety Index]>[SAP_Profile]の順に選択して、表示される安全性指数情報を評価します。

SAP

アプリケーションファイアウォールの概要では、さまざまな保護設定の構成ステータスを確認できます。ログを記録する設定になっている場合や、構成されていない設定がある場合は、アプリケーションに割り当てられる安全性指数は低くなります。

ファイアウォール

Security Insight