Produktdokumentation
Citrix Application Delivery Management-Service
PDF anzeigen

Sicherheitsempfehlungen

December 5, 2022
Beitrag von: 
C

Eine sichere und belastbare Infrastruktur ist die Lebensader jeder Organisation. Daher muss das Unternehmen neue Common Vulnerabilities and Exposures (CVEs) verfolgen und die Auswirkungen von CVEs auf ihre Infrastruktur bewerten. Verstehen Sie die Minderung und Behebung. Außerdem muss die Organisation die Minderung und Behebung der Sicherheitslücken planen.

Citrix ADM Security Advisory hebt Citrix CVEs hervor, Ihre ADC-Instanzen einem Risiko auszusetzen, und empfiehlt Abgrenzungen und Korrekturen. Sie können die Empfehlungen überprüfen und geeignete Maßnahmen ergreifen, indem Sie Citrix ADM verwenden, um die Risikominderungen und Korrekturen anzuwenden.

Funktionen zur Sicherheitsberatung

Die folgenden Sicherheitsfunktionen helfen Ihnen beim Schutz Ihrer Infrastruktur.

  • Scan: enthält den standardmäßigen Systemscan und den Scannen auf Anforderung.

    • Systemscan: scannt alle verwalteten Instanzen standardmäßig einmal pro Woche. Citrix ADM entscheidet über Datum und Uhrzeit der Systemscans, und Sie können sie nicht ändern.
    • Anforderungsscan: ermöglicht es Ihnen, die Instanzen bei Bedarf manuell zu scannen. Wenn die nach dem letzten Systemscan verstrichene Zeit erheblich ist, können Sie einen Anforderungsscan ausführen, um die aktuelle Sicherheitslage zu bewerten. Oder scannen Sie, nachdem eine Behebung oder Minderung durchgeführt wurde, um die überarbeitete Haltung zu beurteilen.

  • CVE-Auswirkungsanalyse: Zeigt die Ergebnisse aller CVEs, die sich auf Ihre Infrastruktur auswirken, sowie alle betroffenen ADC-Instanzen an und schlägt Korrekturen und Abhilfemaßnahmen vor. Verwenden Sie diese Informationen, um Minderung und Abhilfe zu beantragen, um Sicherheitsrisiken zu beheben.

  • CVE berichtet: speichert Kopien der letzten fünf Scans. Sie können diese Berichte im CSV-Format herunterladen und analysieren.

  • CVE-Repository: Bietet eine detaillierte Ansicht aller ADC-bezogenen CVEs, die Citrix seit Dezember 2019 angekündigt hat und die sich auf Ihre ADC-Infrastruktur auswirken könnten. Sie können diese Ansicht verwenden, um die CVEs im Bereich der Sicherheitsberatung zu verstehen und mehr über den CVE zu erfahren. Informationen zu CVEs, die nicht unterstützt werden, finden Sie unter Nicht unterstützte CVEs in Security Advisory.

Wichtige Hinweise

Beachten Sie bei der Verwendung von Security Advisory die folgenden Punkte:

  • Für die CVE-Erkennung unterstützte Instanzen: alle ADC (SDX, MPX, VPX) und Gateway.

  • Unterstützte CVEs: Alle CVEs nach Dezember 2019.

    Hinweis

    Die Erkennung und Behebung von Sicherheitslücken, die sich auf das Citrix Gateway-Plug-In für Windows auswirken, wird von der Citrix ADM Security Advisory nicht unterstützt. Informationen zu CVEs, die nicht unterstützt werden, finden Sie unter Nicht unterstützte CVEs in Security Advisory.

  • Die Citrix ADM-Sicherheitsempfehlung berücksichtigt bei der Identifizierung der Sicherheitsanfälligkeit keine Fehlkonfiguration von Funktionen.

  • Die Citrix ADM-Sicherheitsempfehlung unterstützt nur die Identifizierung und Behebung der CVEs. Es unterstützt nicht die Identifizierung und Behebung der im Sicherheitsartikel hervorgehobenen Sicherheitsbedenken.

  • Umfang der ADC, Gateway-Releases: Die Funktion ist auf Haupt-Builds beschränkt. Die Sicherheitsempfehlung umfasst keine speziellen Builds in ihrem Geltungsbereich.

    • Security Advisory wird in ADC-Instanzen unterstützt, in denen Versionen höher als 10.5 ausgeführt werden, und nicht in Instanzen, in denen 10.5 und niedrigere Versionen ausgeführt werden.

    • Die Sicherheitsempfehlung wird in der Admin-Partition nicht unterstützt.

  • Arten des Scans:

    • Versionsscan: Für diesen Scan wird Citrix ADM benötigt, um die Version einer ADC-Instanz mit den Versionen und Builds zu vergleichen, auf denen das Update verfügbar ist. Dieser Versionsvergleich hilft der Citrix ADM-Sicherheitsempfehlung festzustellen, ob der ADC für den CVE anfällig ist. Wenn beispielsweise ein CVE auf ADC-Version und Build xx.yy repariert ist, betrachtet Security Advisory alle ADC-Instanzen auf Builds, die kleiner als xx.yy sind, als anfällig. Versionsscans werden heute in der Sicherheitsempfehlung unterstützt.

    • Konfigurationsscan: Für diesen Scan muss Citrix ADM ein für den CVE-Scan spezifisches Muster mit der ADC-Konfigurationsdatei (nsconf) abgleichen. Wenn das spezifische Konfigurationsmuster in der ADC ns.conf-Datei vorhanden ist, wird die Instanz als anfällig für diesen CVE angesehen. Dieser Scan wird normalerweise beim Versions-Scan verwendet. Config Scan wird heute in der Sicherheitsempfehlung unterstützt.

    • Benutzerdefinierter Scan: Für diesen Scan muss Citrix ADM eine Verbindung mit der verwalteten ADC-Instanz herstellen, ein Skript an diese senden und das Skript ausführen. Die Skriptausgabe hilft Citrix ADM zu identifizieren, ob der ADC für den CVE anfällig ist. Beispiele hierfür sind eine spezifische Shell-Befehlsausgabe, eine spezifische CLI-Befehlsausgabe, bestimmte Protokolle und das Vorhandensein oder der Inhalt bestimmter Verzeichnisse oder Dateien. Security Advisory verwendet auch benutzerdefinierte Scans für Übereinstimmungen mit mehreren Konfigurationsmustern, wenn die Konfigurationssuche dabei nicht helfen kann. Bei CVEs, die benutzerdefinierte Scans erfordern, wird das Skript jedes Mal ausgeführt, wenn Ihr geplanter Scan oder ein Anforderungsscan Weitere Informationen zu den gesammelten Daten und Optionen für bestimmte benutzerdefinierte Scans finden Sie in der Security Advisory-Dokumentation für diesen CVE.

  • Scans haben keinen Einfluss auf den Produktionsverkehr auf ADC und verändern keine ADC-Konfiguration unter ADC.

  • ADM Security Advisory unterstützt keine Risikominderung. Wenn Sie die Schadensbegrenzung (temporäre Problemumgehung) auf die ADC-Instanz angewendet haben, identifiziert ADM den ADC weiterhin als anfälligen ADC, bis Sie die Standardisierung abgeschlossen haben.

So verwenden Sie das Sicherheits-Advisory-Dashboard

Um auf das Security Advisory-Dashboard zuzugreifen, navigieren Sie über die Citrix ADM-GUI zu Infrastruktur > Instanzberatung > Security Advisory. Das Dashboard zeigt den Schwachstellenstatus aller ADC-Instanzen an, die Sie über Citrix ADM verwalten. Die Instanzen werden einmal pro Woche gescannt. Sie können sie jedoch jederzeit scannen, indem Sie auf Jetzt scannenklicken.

Das Dashboard enthält drei Registerkarten:

  • Aktuelle CVEs
  • Protokoll scannen
  • CVE-Repository

Sicherheitsempfehlungsdashboard

Wichtig

In der Sicherheits-Advisory-GUI oder im Bericht werden möglicherweise nicht alle CVEs angezeigt, und Sie sehen möglicherweise nur eine CVE. Klicken Sie als Workaround auf Jetzt scannen, um einen Anforderungsscan auszuführen. Nachdem der Scan abgeschlossen ist, werden alle CVEs im Bereich (ungefähr 15) in der Benutzeroberfläche oder im Bericht angezeigt.

In der oberen rechten Ecke des Dashboards befindet sich das Einstellungssymbol, mit dem Sie:

  • Benachrichtigungen aktivieren und deaktivieren

    Sie können die folgenden Benachrichtigungen für Citrix ADM Security Advisory-Aktivitäten erhalten:

    • E-Mail-, Slack-, PagerDuty- und ServiceNow-Benachrichtigungen für Änderungen der Scan-Ergebnisse und neue CVEs, die im Security Advisory Repository hinzugefügt wurden

    • Cloud-Benachrichtigung bei Änderungen der Scan-Ergebnisse

    Einstellungen für Sicherheitshinweise

  • Benutzerdefinierte Sucheinstellungen konfigurieren

    Sie können auf die Dropdown-Liste Benutzerdefinierte Scaneinstellungen klicken, um das Kontrollkästchen für zusätzliche Einstellungen anzuzeigen. Sie haben die Möglichkeit, das Kontrollkästchen zu aktivieren und diese benutzerdefinierten Scans von Security Advisory zu deaktivieren. Die Auswirkungen der CVEs, die einen benutzerdefinierten Scan benötigen, werden für Ihre ADC-Instanzen im Security Advisory nicht bewertet.

    Benutzerdefinierte Sucheinstellungen

Aktuelle CVEs

Diese Registerkarte zeigt die Anzahl der CVEs, die sich auf Ihre Instanzen auswirken, sowie die Instanzen, die von CVEs betroffen sind. Die Registerkarten sind nicht sequenziell, und als Administrator können Sie je nach Anwendungsfall zwischen diesen Registerkarten wechseln.

Die Tabelle mit der Anzahl der CVEs, die sich auf die ADC-Instanzen auswirken, enthält die folgenden Details.

CVE-ID: Die ID des CVE, der sich auf die Instanzen auswirkt.

Veröffentlichungsdatum: Das Datum, an dem das Sicherheitsbulletin für dieses CVE veröffentlicht wurde.

Schweregrad: Art des Schweregrads (hoch/mittel/kritisch) und Score. Um die Punktzahl zu sehen, bewegen Sie den Mauszeiger über den Schweregradtyp.

Schwachstellentyp: Die Art der Sicherheitsanfälligkeit für dieses CVE.

Betroffene ADC-Instanzen: Die Anzahl der Instanzen, auf die sich die CVE-ID auswirkt. Wenn Sie den Mauszeiger darüber bewegen, wird die Liste der ADC-Instanzen angezeigt.

Standardisierung: Die verfügbaren Standardisierungen, bei denen die Instanz (normalerweise) aktualisiert oder Konfigurationspakete angewendet werden.

Die gleiche Instanz kann von mehreren CVEs betroffen sein. In dieser Tabelle können Sie sehen, wie viele Instanzen eine bestimmte CVE oder mehrere ausgewählte CVEs Auswirkungen haben. Um die IP-Adresse der betroffenen Instanz zu überprüfen, bewegen Sie den Mauszeiger über ADC-Details unter Betroffene ADC-Instanzen. Um die Details der betroffenen Instanz zu überprüfen, klicken Sie unten in der Tabelle auf Betroffene Instanzen anzeigen. Sie können auch Spalten in der Tabelle hinzufügen oder entfernen, indem Sie auf das Pluszeichen klicken.

In diesem Bildschirm beträgt die Anzahl der CVEs, die sich auf Ihre Instanzen auswirken, 14 CVEs, und die Instanzen, die von diesen CVEs betroffen sind, sind eins.

Aktuelle CVEs

Die Registerkarte <number of> ADC instances are impacted by CVEs zeigt Ihnen alle betroffenen Citrix ADM ADC-Instanzen. Die Tabelle zeigt die folgenden Details:

  • ADC-IP-Adresse
  • Hostname
  • ADC-Modellnummer
  • Stand des ADC
  • Softwareversion und Build
  • Liste der CVEs, die sich auf den ADC auswirken.

Bei der folgenden Bildschirmaufnahme ist eine ADC-Instanz betroffen. Sie fügen eine dieser Spalten nach Bedarf hinzu oder entfernen sie, indem Sie auf das Zeichen + klicken.

Instanzen, die von CVE betroffen sind

Um das Schwachstellenproblem zu beheben, wählen Sie die ADC-Instanz aus und wenden Sie die empfohlene Behebung an. Die meisten CVEs benötigen ein Upgrade als Standardisierung, während andere ein Upgrade und einen zusätzlichen Schritt als Standardisierung benötigen.

Upgrade: Sie können die anfälligen ADC-Instanzen auf eine Version und einen Build mit dem Fix aktualisieren. Dieses Detail ist in der Behebungsspalte zu sehen. Wählen Sie zum Upgrade die Instanz aus und klicken Sie dann auf Weiter zum Upgrade-Workflow. Im Upgrade-Workflow wird der anfällige ADC automatisch als Ziel-ADC ausgefüllt.

Hinweis

Die Releases 12.0, 11.0, 10.5 und niedriger sind bereits Ende des Lebenszyklus (EOL). Wenn Ihre ADC-Instanzen auf einer dieser Versionen ausgeführt werden, führen Sie ein Upgrade auf eine unterstützte Version durch.

Der Upgrade-Workflow beginnt. Weitere Informationen zur Verwendung von Citrix ADM zum Aktualisieren von ADC-Instanzen finden Sie unter Erstellen eines ADC-Upgrade-Auftrags.

Hinweis

Die Version und der Build, auf die Sie upgraden möchten, liegt in Ihrem Ermessen. Lesen Sie die Hinweise in der Spalte “Behebung”, um zu erfahren, welche Version und welche Builds den Sicherheitsupdate enthalten. Wählen Sie dementsprechend ein unterstütztes Release und Build aus, das noch nicht das Ende der Lebensdauer erreicht hat.

Upgrade des Beratungs-Workflows

Protokoll scannen

Die Registerkarte zeigt Berichte der letzten fünf Scans, die sowohl Standardsystem-Scans als auch benutzerinitiierte Scans auf Anforderung enthalten. Sie können den Bericht jedes Scans im CSV-Format herunterladen. Wenn ein Anforderungsscan läuft, können Sie den Abschlussstatus hier einsehen. Wenn ein Scan fehlgeschlagen ist, zeigt der Status dies an.

Protokoll scannen

CVE-Repository

Diese Registerkarte enthält die neuesten Informationen aller CVEs ab Dezember 2019 sowie die folgenden Details:

  • CVE-IDs
  • Art der Sicherheitslücke
  • Datum der Veröffentlichung
  • Schweregrad
  • Sanierung
  • Links zu Sicherheitsbulletins

CVE-Repositorium

Jetzt durchsuchen

Die Sicherheitsberatung zeigt an, wann die Instanzen zuletzt gescannt wurden und wann der nächste Zeitplan fällig ist. Sie können die Instanzen auch jederzeit scannen, je nach Bedarf. Klicken Sie auf Jetzt durchsuchen, um den neuesten Sicherheitsbericht Ihrer Instanz abzurufen. Citrix ADM benötigt einige Minuten, um den Scan abzuschließen.

Jetzt scannen

Sobald der Scanvorgang abgeschlossen ist, werden die überarbeiteten Sicherheitsdetails in der Sicherheitsempfehlungen-GUI angezeigt. Sie finden den Bericht auch unter Scan-Protokoll, das Sie auch herunterladen können.

Nach dem Scannen anmelden

Hinweis

Das Scan-Log zeigt nur die Protokolle der letzten fünf Scans an, die sowohl geplant als auch bei Bedarf erfolgen können.

Benachrichtigung

Als Administrator erhalten Sie Citrix Cloud-Benachrichtigungen, die zeigen, wie viele ADC-Instanzen anfällig sind. Um die Benachrichtigungen anzuzeigen, klicken Sie auf das Glockensymbol in der oberen rechten Ecke der Citrix ADM GUI.

Citrix Cloud-Benachrichtigung

Sicherheitsempfehlungen
December 5, 2022
Beitrag von: 
C
December 5, 2022
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung
© 1999- Cloud Software Group, Inc. All rights reserved.