Citrix Application Delivery Management 13.0

Security Insight

インターネットに接続しているWebアプリケーションやWebサービスアプリケーションの攻撃に対する脆弱性が高まってきています。アプリケーションを攻撃から保護するには、過去、現在の脅威、近い将来起こり得る脅威の性質と程度、攻撃発生時にすぐ利用できるリアルタイムデータ、対策に関する推奨事項を把握する必要があります。Security Insightは、アプリケーションのセキュリティ状況を判断し、是正処置を実施してアプリケーションを保護するための統一管理コンソールソリューションです。

Security Insightは、バージョン11.0 Build 65.31以降で実行されているCitrix ADCアプライアンスを使用したCitrix Application Delivery Management(ADM)でサポートされています。

Security Insightの仕組み

Security Insightは、アプリケーションに関連するさまざまな脅威を把握できる直感的なダッシュボード型のセキュリティ分析ソリューションです。セキュリティに関する洞察はCitrix ADM に含まれており、アプリケーションファイアウォールとCitrix ADC システムのセキュリティ構成に基づいてレポートを定期的に生成します。このレポートには、アプリケーション別に次の情報が含まれています。

  • 脅威指数:アプリケーションがCitrix ADC アプライアンスで保護されているか保護されていないかにかかわらず、アプリケーションに対する攻撃の重要度を示す1桁の評価システム。アプリケーションに対する攻撃の重大度が高いほど、そのアプリケーションの脅威指数は大きくなります。この指数の範囲は1~7です。

    脅威指数は攻撃情報に基づいています。違反の種類、攻撃のカテゴリ、場所、クライアントの詳細などの、攻撃に関連する情報により、アプリケーションに対する攻撃について正確かつ詳細に把握できます。違反情報は、違反または攻撃が発生した場合にのみCitrix ADM に送信されます。侵害や脆弱性が多いと、脅威指数の値が高くなります。

  • 安全性指数:外部からの脅威や脆弱性からアプリケーションを保護するために、Citrix ADC インスタンスをどのように安全に構成したかを示す1桁の評価システム。アプリケーションのセキュリティリスクが小さいほど、安全性指数は高くなります。この指数の範囲は1~7です。

    安全指標では、アプリケーションファイアウォール構成とCitrix ADC システムセキュリティ構成の両方が考慮されます。高い安全性指数値を得るためには、両方の構成を堅牢にする必要があります。たとえば、厳しいアプリケーション・ファイアウォール・チェックが行われていても、nsrootユーザーに対する強力なパスワードなど、Citrix ADC システムのセキュリティ対策が採用されていない場合、アプリケーションには低い安全性インデックス値が割り当てられます。

  • アクショナブルインフォメーション:脅威指数を低くし、安全性指数を高くするために必要な情報。これにより、アプリケーションのセキュリティは大幅に改善されます。たとえば、違反に関する情報、アプリケーションファイアウォールやその他のセキュリティ機能に関する既存の、または欠落しているセキュリティ構成、アプリケーションが攻撃されている割合を確認できます。

Security Insightの構成

Citrix ADM は、アプリケーションファイアウォールが構成されているすべてのCitrix ADC インスタンスからSecurity Insightをサポートします。

ADC インスタンスでSecurity Insightを設定するには、まずアプリケーションファイアウォールプロファイルとアプリケーションファイアウォールポリシーを設定します。アプリケーションファイアウォールポリシーをグローバルにバインドできますが、仮想サーバーにバインドCitrix。

Citrix ADM 分析を表示するには、インスタンスでAppFlow 機能を有効にし、AppFlowコレクター、アクション、およびポリシーを構成し、ポリシーをグローバルにバインドします。また、アプリケーションファイアウォールポリシーをグローバルにバインドすることもできますが、仮想サーバーにバインドすることをお勧めします。また、Citrix ADMを使用してADCインスタンスにAppFlow 構成を展開することもお勧めします。コレクタを構成するときは、レポートを監視するCitrix ADM サーバーのIPアドレスを指定する必要があります。

Citrix ADC インスタンスのSecurity Insightを構成するには:

  1. 次のコマンドを実行して、アプリケーションファイアウォールのプロファイルとポリシーを構成し、アプリケーションファイアウォールポリシーをグローバルに、または負荷分散仮想サーバーにバインドします。

    add appfw profile <name> [-defaults ( basic | advanced )]

    set appfw profile <name> [-startURLAction <startURLAction> …]

    add appfw policy <name> <rule> <profileName>

    bind appfw global <policyName> <priority>

    または、

    bind lb vserver <lb vserver> -policyName <policy> -priority <priority>

    add appfw profile pr_appfw -defaults advanced
    set  appfw profile pr_appfw -startURLaction log stats learn
    add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw
    bind appfw global pr_appfw_pol 1
    or,
    bind lb vserver outlook –policyName pr_appfw_pol –priority “20”
    
  2. 次のコマンドを実行してAppFlow機能を有効化し、AppFlowコレクター、アクション、ポリシーを構成して、そのポリシーをグローバルに、または負荷分散仮想サーバーにバインドします。

    add appflow collector <name> -IPAddress <ipaddress>

    set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ENABLED | DISABLED )]

    add appflow action <name> -collectors <string>

    add appflow policy <name> <rule> <action>

    bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

    または

    bind lb vserver <vserver> -policyName <policy> -priority <priority>

    add appflow collector col -IPAddress 10.102.63.85
    set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
    add appflow action act1 -collectors col
    add appflow action af_action_Sap_10.102.63.85 -collectors col
    add appflow policy pol1 true act1
    add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
    bind appflow global pol1 1 END -type REQ_DEFAULT
    or,
    bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority “20”
    

Citrix ADM からSecurity Insightを有効にするには:

Citrix ADMが 13.0ビルド41.xの場合:

  1. [ ネットワーク ] > [ インスタンス ] > [ Citrix ADC] に移動し、インスタンスタイプを選択します。たとえば、VPX です。

  2. インスタンスを選択し、[ アクションの選択] リストから [ Analytics の設定] をクリックします。

  3. [ 仮想サーバーでのAnalyticsの構成 ] ページで、仮想サーバーを選択し、[ Analyticsの有効化] をクリックします。

  4. [ Analyticsの有効化 ] ウィンドウで、次の操作を行います。

    1. Security Insightの選択

    2. 転送モードとして ログストリーム を選択

      Citrix ADC 12.0以前の場合、 IPFIX はトランスポートモードのデフォルトオプションです。Citrix ADC 12.0以降では、トランスポートモードとして[ ログストリーム ]または[ IPFIX ]を選択できます。

      IPFIX とログストリームについて詳しくは、ログストリームの概要を参照してください。

    3. 式はデフォルトでtrueです

    4. [OK]をクリックします。

      分析の有効化

      • ライセンスされていない仮想サーバーを選択した場合、まずCitrix ADM はこれらの仮想サーバーのライセンスを取得してから、分析を有効にします。

      • 管理パーティションの場合、 Web Insight のみがサポートされます。

      • キャッシュリダイレクト、認証、GSLB などの仮想サーバーでは、分析を有効にできません。エラーメッセージが表示されます。

OK]をクリックすると、Citrix ADM は選択した仮想サーバー上で分析を有効にするために処理します。

処理分析

Citrix ADMが 13.0ビルド36.27の場合:

  1. [ ネットワーク ] > [ インスタンス] に移動し、AppFlow を有効にするCitrix ADC インスタンスを選択します。

  2. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  3. 仮想サーバーを選択し、[ AppFlow を有効にする] をクリックします。

  4. AppFlow を有効にする 」フィールドに「 true」と入力し、「 Security Insight」を選択します。

  5. [ OK] をクリックします

    ローカライズされた画像

    注:

    グループを作成するときに、グループに役割を割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てたりすることができます。Citrix ADM 分析では、仮想IPアドレスベースの認証がサポートされるようになりました。ユーザーは、権限のあるアプリケーション(仮想サーバー)のみのすべての Insightのレポートを表示できるようになりました。グループとグループへのユーザーの割り当てについて詳しくは、グループの構成を参照してください。

Security Insightレポートの地理的な場所を表示する

Security Insight レポートには、クライアント要求の発信元の正確な地理的位置が含まれます。Citrix ADM では、地理的な位置を表示できます。Citrix ADC に組み込まれている地理データベースファイルには、ほとんどのパブリックIPアドレスが含まれています。このファイルは、Citrix ADC /var/netscaler/inbuit_db の場所で利用できます。

地理的位置を有効にするには:

次のコマンドを実行して位置情報ログおよびCEF形式でのログを有効にします。

  • add locationFile <Complete path with the DB filename>

  • set appfw settings -geoLocationLogging ON

  • set appfw settings -CEFLogging ON

地理データベースファイルで使用できない IP アドレスがある場合は、地理的位置の IP アドレスを追加できます。IP アドレスに加えて、都市/州/国名、各場所の緯度と経度の座標を追加することもできます。

vi エディタなどのテキストエディタで geo データベースファイルを開き、すべての場所のエントリを追加します。

エントリは、次の形式で指定する必要があります。

\<start IP\>,\<end IP\>,,\<country\>,\<state\>,,\<city\>,,longitude,latitude

例:

4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568

IPレピュテーション

NetScaler Insight Centerを使用して着信トラフィックのIPレピュテーションを監視および管理できます。悪意のあるIPを追加するよう各種ポリシーを構成して、カスタマイズされたブロックリストを作成できます。

IP レピュテーションの設定と使用については、IPレピュテーションを参照してください。

IP レピュテーションの監視

IPレピュテーション機能は、悪意のあるIPアドレスに関する攻撃関連情報を提供します。たとえば、IPレピュテーションスコア、IPレピュテーションカテゴリ、IPレピュテーション攻撃時間、デバイスIP、およびクライアントIPアドレスに関する詳細がレポートされます。

IPレピュテーションスコアは、IPアドレスに関連付けられたリスクを示します。このスコアの範囲は次のとおりです。

IPレピュテーションスコア リスクの程度
1–20 高リスク
21–40 疑わしい
41–60 中程度のリスク
61–80 低リスク
81–100 信頼できる

IPレピュテーションを監視するには、次の手順に従います。

  1. [ Analytics] > [ Security Insight] に移動し、監視するアプリケーションを選択します。

  2. [ 脅威インデックス ] タブで、[ IP レピュテーション] を選択します。

    ローカライズされた画像

  3. 重大度を選択して、そのレベルの攻撃の詳細を表示します。棒グラフをクリックするか、グラフの下のテーブルをクリックします。

  4. 詳細を表示する期間を選択します。時間スライダーを使用して選択する期間をカスタマイズできます。次に[Go]をクリックします。

    ローカライズされた画像

  5. 表示をカスタマイズするには、[Settings]をクリックします。

    ローカライズされた画像

しきい値

Security Insightでアプリケーションの安全性指数と脅威指数のしきい値を設定および表示できます。

しきい値を設定するには、次の手順に従います。

  1. [ Analytics ] > [ 設定] > [ しきい値] に移動し、[ 追加] を選択します。

  2. [Traffic Type] フィールドで トラフィックタイプ を [ Security ] として選択し、[Name]、[Duration]、[Entity] などのその他の適切なフィールドに必要な情報を入力します。

  3. [ ルールの構成 ] セクションで、[メトリック]、[コンパレータ]、および [値] フィールドを使用してしきい値を設定します。

    入力例:”Threat Index” “>” “5”

  4. [ 通知設定] で、通知の種類を選択します。

  5. [作成] をクリックします。

しきい値違反を表示するには、次の手順を実行します。

  1. Analytics ]>[ Security Insight ]>[ デバイス]に移動し、Citrix ADC インスタンスを選択します。

  2. [ アプリケーション ] セクションで、各仮想サーバに対して発生したしきい値違反の数を [ しきい値違反 ] 列に表示できます。

Security Insightのユースケース

次のユースケースでは、Security Insightを使用して、アプリケーションの脅威環境を査定し、セキュリティ対策を向上する方法を説明します。

脅威環境の概要を取得する

このユースケースでは、攻撃にさらされる一連のアプリケーションがあり、脅威環境を監視するようにCitrix ADM を構成しています。脅威指数、安全性指数、およびアプリケーションで発生した可能性のある攻撃の種類と重大度を頻繁に確認して、最も注意が必要なアプリケーションに特に注意を払うようにします。Security Insightダッシュボードには、選択した期間および選択したCitrix ADC デバイスについて、アプリケーションが経験した脅威の概要が表示されます。アプリケーションの一覧、脅威指数と安全性指数、選択した期間の攻撃回数の合計が表示されます。

たとえば、Microsoft Outlook、Microsoft Lync、SharePoint、およびSAPアプリケーションを監視しており、これらのアプリケーションの脅威環境の概要を確認するとします。

脅威環境の概要を取得するには、 Citrix ADMにログオンし、[ Analytics]>[Security Insight]に移動します。

各アプリケーションの主要情報が表示されます。デフォルトの期間は1時間です。

ローカライズされた画像

異なる期間の情報を表示するには、左上のリストから期間を選択します。

ローカライズされた画像

別のCitrix ADC インスタンスの概要を表示するには、[ デバイス]で、Citrix ADCインスタンスのIPアドレスをクリックします。特定の列でアプリケーションの一覧を並べ替えるには、その列の見出しをクリックします。

アプリケーションの脅威エクスポージャーの判断

Security Insight ダッシュボードで高い脅威インデックスと低い安全性インデックスを持つアプリケーションを特定するには、脅威の危険性を確認してから保護する必要があります。つまり、指数値を下げている攻撃の種類と重大度を確認します。アプリケーションの脅威への露出度を判断するには、アプリケーションの概要を表示します。

この例では、Microsoft Outlookの脅威指数値が6になっており、この高い脅威指数の原因となっている要因を調べる必要があります。

Microsoft Outlookの脅威への露出度を調べるには、[Security Insight]ダッシュボードで、[Outlook]をクリックします。アプリケーション概要に、サーバーの位置情報を特定する地図が含まれています。

ローカライズされた画像

[Threat Index]>[Security Check Violations]をクリックして、表示される違反情報を確認します。

ローカライズされた画像

[ 署名 ] [違反] をクリックし、表示される違反情報を確認します。

ローカライズされた画像

アプリケーションの既存のセキュリティ構成と欠落しているセキュリティ構成を判別する

アプリケーションの脅威への露出度を確認したら、そのアプリケーションに設定されているセキュリティ構成と欠落しているセキュリティ構成を確認します。この情報は、アプリケーションの安全性指数概要にドリルダウンすると表示されます。

安全性指数概要には、次のセキュリティ構成の有効性に関する情報が表示されます。

  • アプリケーションファイアウォール構成。構成されていないシグネチャおよびセキュリティエンティティの数を表示します。
  • NetScalerシステムセキュリティ。構成されていないシステムセキュリティ設定の数を表示します。

ローカライズされた画像

前出のユースケースでは、Microsoft Outlookの脅威への露出度(脅威指数値は6)について調査しました。次に、Outlookに設定されているセキュリティ構成と、どのような構成を追加すれば脅威指数を改善できるのかを調べる必要があります。

[Security Insight]ダッシュボードで、[Outlook]をクリックし、[Safety Index]タブをクリックします。[Safety Index Summary]領域に表示された情報を確認します。

ローカライズされた画像

[ アプリケーションファイアウォールの構成 ] ノードで、[ Outlook_Profile ] をクリックし、セキュリティチェックと署名違反の情報を円グラフで確認します。

ローカライズされた画像

ローカライズされた画像

アプリケーションファイアウォール概要表で各保護タイプの構成ステータスを確認します。特定の列で表を並べ替えるには、列見出しをクリックします。

ローカライズされた画像

[NetScaler System Security]ノードをクリックして、システムセキュリティ設定とCitrixの推奨事項を確認し、アプリケーションの安全性指数を改善します。

即時の対応が必要なアプリケーションを特定

直ちに対処する必要があるアプリケーションとは、脅威指数が高く安全性指数が低いアプリケーションです。

この例では、Microsoft OutlookとMicrosoft Lyncが高い脅威指数値(6)を示していますが、安全性指数はLyncのほうが低くなっています。したがって、最初にLyncに注意を払い、その後でOutlookの脅威環境を改善します。

ローカライズされた画像

特定の時間内の攻撃数を決定する

特定のアプリケーションで特定の時間帯に発生した攻撃の数や、指定した期間の攻撃発生率を調べてみます。

[Security Insight] ページで任意のアプリケーションをクリックし、[ アプリケーションの概要] で違反数をクリックします。≪違反合計|Total Violations|emdw≫ページには、1時間、1日、1週間および1ヶ月の攻撃がグラフィカルに表示されます。

ローカライズされた画像

[アプリケーションの概要] テーブルには、攻撃の詳細が表示されます。それらのいくつかは以下のとおりです。

  • アタックタイム

  • 攻撃が発生したクライアントの IP アドレス

  • 重大度

  • 違反のカテゴリ

  • 攻撃の発信元の URL、およびその他の詳細。

ローカライズされた画像

攻撃時間は、画像のように時間ごとのレポートでいつでも表示できますが、日次レポートや週次レポートでも、集計レポートの攻撃時間範囲を表示できるようになりました。期間リストから [1 日] を選択すると、Security Insightレポートに集約されたすべての攻撃が表示され、攻撃時間が 1 時間の範囲で表示されます。「1週間」または「1ヶ月」を選択すると、すべての攻撃が集計され、攻撃時間が1日の範囲で表示されます。

ローカライズされた画像

セキュリティ侵害に関する詳細情報の取得

アプリケーションに対する攻撃のリストを表示して、攻撃の種類と重大度、Citrix ADC インスタンスによって実行されたアクション、要求されたリソース、および攻撃の原因について洞察を得たい場合があります。

たとえば、Microsoft Lyncに対する攻撃がブロックされた数、要求されたリソース、発信元のIPアドレスを調べます。

Security Insightダッシュボードで、[ Lync] > [違反の合計] をクリックします。表の[Action Taken]列の見出しにあるフィルターアイコンをクリックし、[Blocked]を選択します。

ローカライズされた画像

要求されたリソースについて詳しくは、[ URL ] 列を参照してください。攻撃の発信元に関する情報を知りたい場合は、[Client IP]列を確認します。

ログ式の詳細の表示

Citrix ADC インスタンスは、アプリケーションファイアウォールプロファイルで構成されたログ式を使用して、企業内のアプリケーションに対する攻撃に対処します。Security Insightでは、Citrix ADC インスタンスで使用されるログ式に対して返される値を表示できます。これらの値には、要求ヘッダー、要求本文などが含まれます。ログ式の値とは別に、Citrix ADC インスタンスが攻撃に対してアクションを実行するために使用した Application Firewall プロファイルに定義されているログ式の名前とコメントを表示することもできます。

前提条件

次のことを確実にします。

  • アプリケーションファイアウォールプロファイルでログ式を設定します。詳しくは、「アプリケーションファイアウォール」を参照してください。

  • Citrix ADM でログ式ベースのSecurity Insight設定を有効にします。以下を実行します:

    1. [ Analytics] > [設定] に移動し、[ Analyticsの機能を有効にする] をクリックします。

    2. [Analytics の機能を有効にする] ページで、[ ログ式ベースのSecurity Insight設定] セクションの [Security Insightを有効にする ] を選択し、[ OK] をクリックします。

    ローカライズされた画像

たとえば、企業内のMicrosoft Lyncに対する攻撃に対して実行したアクションについて、Citrix ADC インスタンスによって返されるログ式の値を表示できます。

[Security Insight] ダッシュボードで、[ Lync] > [違反の合計]に移動します。[ アプリケーションの概要]表でURLをクリックすると、[違反 情報 ]ページで違反の完全な詳細が表示されます。ログ式名、コメント、およびCitrix ADC インスタンスがアクションに対して返す値が含まれます。

ローカライズされた画像

Web アプリケーションファイアウォール (WAF) の違反パターンを強調表示

http ヘッダーや http ペイロードなどの攻撃の詳細を取得して、攻撃のトラブルシューティングや分析を行うことができるようになりました。攻撃の詳細を取得するには、次のコマンドを使用して、アプリケーションファイアウォールプロファイルの「VerbosELogLevel」を更新する必要があります。

Set appfw profile <profile_name> -VerboseLogLevel (pattern|patternPayload|patternPayloadHdr)

  • pattern -違反パターンのみがログに記録されます

  • patternPayload -違反パターン+攻撃パターンの前のフィールド要素値の150バイトが記録される

  • patternPayloadHdr -違反パターン+ 攻撃パターンより前のフィールド要素値の150バイト+ httpリクエストヘッダがログに記録される

「VerboseLogLevel」構成に基づいて、Citrix ADM は詳細なログ式レコードを表示します。

次の図は、GETリクエストの攻撃パターンを強調した例です。

詳細ログ式

次の図は、POST リクエストの攻撃パターンを強調した例です。

詳細ログ-式-ポスト

これら 2 つの例では、次のようになります。

  • FIELDNAME は、攻撃パターンの対応するフィールド名を表します。

  • PAYLOAD_OFFSET は、実際のペイロードにおける攻撃オフセットを表します。

  • ATTACK_PATTERN は攻撃パターンを強調表示し、値に 150 バイトのプレフィクスペイロードを含めます。

Citrix ADCでの詳細ログレベルの構成について詳しくは、Web アプリケーションファイアウォールログによるトラブルシューティングの容易さを参照してください。

構成を展開する前に安全指数を決定する

セキュリティ侵害は、Citrix ADC インスタンスにセキュリティ構成を展開した後に発生しますが、展開する前にセキュリティ構成の有効性を評価することをお勧めします。

たとえば、IPアドレスが10.102.60.27のCitrix ADC インスタンスで、SAPアプリケーションの構成の安全性インデックスを評価できます。

Security Insight ]ダッシュボードの[ デバイス]で、構成したCitrix ADC インスタンスのIPアドレスをクリックします。脅威指数と攻撃総数はどちらも0になっています。脅威指数には、アプリケーションに対する攻撃の数と種類が直接反映されます。攻撃回数がゼロということは、アプリケーションがまったく脅威にさらされていないことを示しています。

ローカライズされた画像

[Sap]>[Safety Index]>[SAP_Profile]の順に選択して、表示される安全性指数情報を評価します。

ローカライズされた画像

アプリケーションファイアウォールの概要では、さまざまな保護設定の構成ステータスを確認できます。ログを記録する設定になっている場合や、構成されていない設定がある場合は、アプリケーションに割り当てられる安全性指数は低くなります。

ローカライズされた画像