Citrix Application Delivery Management 服务

安全咨询

安全、可靠且具有弹性的基础设施是任何组织的生命线。因此,组织必须跟踪新的常见漏洞和风险 (CVE),评估 CVE 对其基础设施的影响,了解缓解和补救措施,并规划缓解和补救措施以解决这些漏洞。

Citrix ADM 安全公告重点介绍了 Citrix CVE 将 ADC 实例置于风险之中,并建议缓解和补救措施。通过使用 ADM 服务应用缓解措施和补救措施,您可以查看建议并采取适当的措施。

安全咨询功能

以下安全通告功能可帮助您保护基础架构。

  • 扫描:包括默认系统扫描和手动扫描。
    • 系统扫描:默认情况下,每周扫描一次所有托管实例。ADM 决定系统扫描的日期和时间,您无法更改它们。
    • 按需扫描:使您能够在需要时手动扫描实例。如果上次系统扫描后经过的时间很长,则可以运行按需扫描来评估当前的安全状况。或者在应用补救措施或缓解措施后进行扫描,以评估修改后的状态。
  • CVE 影响分析:显示影响基础设施的所有 CVE 以及所有 ADC 实例受到影响的结果,并建议补救和缓解措施。使用此信息可应用缓解和补救措施来修复安全风险。

  • CVE 报告:存储最近五次扫描的副本。您可以下载 CSV 格式的这些报告并对其进行分析。

  • CVE 存储库:提供 Citrix 自 2019 年 12 月以来宣布的所有 ADC 相关 CVE 的详细视图,这些 CVE 可能会对您的 ADC 基础架构产生影响。您可以使用此视图了解安全咨询范围内的 CVE,并了解有关 CVE 的更多信息。

注意事项

使用安全通告时,请记住以下几点:

  • 支持 CVE 检测的实例:所有 ADC(SDX、MPX、VPX、CPX、BLX)和网关。
  • 支持 CVE:2019 年 12 月以后的所有 CVE。
  • ADC 的范围,Gateway 版本:该功能仅限于主构建。安全通告在其范围内不包括任何特殊版本。

    • 在运行版本高于 10.5 且运行 10.5 及更低版本的实例中不支持安全通告。

    • 管理分区、SD-WAN 设备、HAProxy 或 HAProxy 主机设备不支持安全通告。

  • 扫描类型:安全通告运行版本扫描和配置扫描
    • 版本扫描:检查 ADC 版本是否为易受攻击的版本。使用的逻辑是,如果 CVE 固定在 ADC 版本 xx.xx 上,则所有低于 xx.xx 版本的版本和版本都被视为易受攻击。
    • 配置扫描 — 扫描 ADC 配置以查看是否存在使其易受攻击的特定配置模式。
  • 扫描不会影响 ADC 上的生产流量,也不会改变 ADC 上的任何 ADC 配置。

如何使用安全通告仪表板

要访问 安全咨询 控制面板,请从 ADM GUI 导航到 网络 > 实例咨询 > 安全通告。控制面板显示了您通过 ADM 管理的所有 ADC 实例的漏洞状态。实例每周扫描 一次;但是,您可以通过单击 立即扫描随时对其进行扫描

仪表板包括三个选项卡:

  • 当前 CVE
  • 扫描日志
  • CVE 存储库

安全咨询仪表板

重要

安全通告 GUI 或报告中,可能不会显示所有 CVE,您可能只能看到一个 CVE。解决方法是,单击 “ 立即扫描 ” 以运行按需扫描。扫描完成后,范围内的所有 CVE(大约 15 个)都将显示在 UI 或报告中。

当前 CVE

此选项卡显示影响实例的 CVE 数量(在此屏幕截图中为 14 个 CVE)以及受 CVE 影响的实例(在此屏幕截图中)。这些选项卡不是顺序的,作为管理员,您可以根据您的使用案例在这些选项卡之间切换。

显示影响 ADC 实例的 CVE 数量的表具有以下详细信息。

CVE ID:影响实例的 CVE 的 ID。

布日期:针对该 CVE 发布安全公告的日期。

严重性评分:严重性类型(高/中/严重)和分数。要查看分数,请将鼠标悬停在严重性类型上。

漏洞类型:此 CVE 的漏洞类型。

受影响的 ADC 实例:CVE ID 影响的实例计数。将鼠标悬停在上方时,将显示 ADC 实例列表。

修复:可用的修复,它们正在升级实例(通常)或应用配置包。

同一实例可能受到多个 CVE 的影响。此表可帮助您查看一个特定 CVE 或多个选定 CVE 正在影响多少个实例。要检查 受影响实例的 IP 地址,请将鼠标悬停在受影响的 ADC 实例下的 ADC详细信息上。要查看受影响实例的详细信息,请单击表底部的查 看受影响的实 例。 您还可以通过单击加号在表中添加或删除列。

当前 CVE

<number of> ADC 实例受 CVE 的影响 选项卡显示所有受影响的 ADM 管理的 ADC 实例。下表显示了 ADC IP 地址、主机名、ADC 型号、ADC 的状态、软件版本和内部版本以及影响 ADC 的 CVE 列表。

在以下屏幕截图中,一个 ADC 实例受到影响。您可以通过单击 + 符号,根据需要添加或删除这些列中的任何一列。

受 CVE 影响的实例

要修复漏洞问题,请选择 ADC 实例并应用建议补救措施,即升级实例。

  • 升级:您可以将易受攻击的 ADC 实例升级到具有修复程序的版本和版本。此详细信息可以在修复列中看到。要升级,请选择实例,然后单击 继续升级工作流程。在升级工作流程中,易受攻击的 ADC 会自动填充为目标 ADC。

注意

12.0、11,0、10.5 及更低版本已经结束了生命周期(EOL)。如果您的 ADC 实例在这些版本中的任何一个上运行,请升级到支持的版本。

升级工作流程启动。有关如何使用 ADM 升级 ADC 实例的更多信息,请参阅 创建 ADC 升级作业

注意

要升级到的版本和版本由您自行决定。请参阅修复列下的建议,了解哪些版本和版本具有安全修复程序,并相应地选择尚未到期的受支持的版本和版本。

升级咨询工作流

扫描日志

该选项卡显示最近五次扫描的报告,其中包括默认系统扫描和按需用户启动的扫描。您可以下载 CSV 格式的每次扫描报告。如果按需扫描正在进行中,您可以在此处看到完成状态。如果任何扫描失败,则状态表示失败。

扫描日志

CVE 存储库

此选项卡包含 2019 年 12 月以来所有 CVE 的最新信息,以及 CVE ID、漏洞类型、发布日期、严重性级别、补救措施和安全公告的链接。

CVE 存储库

立即扫描

安全通告会显示上次扫描实例的时间以及下一个计划到期的时间。您还可以根据自己的需要随时扫描实例。单击立即扫描以获取实例的最新安全报告。ADM 需要几分钟才能完成扫描。

现在扫描

扫描完成后,修订后的安全详细信息将显示在安全通告 GUI 中。您还可以在扫描日志下找到该报告,也可以下载该报告。

扫描后登录

注意

扫描日志只显示最近五次扫描的日志,这些扫描既可以是计划的,也可以按需进行。

通知

作为管理员,您会收到 Citrix Cloud 通知,其中告诉有多少 ADC 实例容易受到攻击。要查看通知,请单击 ADM GUI 右上角的铃铛图标。

Citrix Cloud 通知

安全咨询