Sicherheitsempfehlungen
Eine sichere und belastbare Infrastruktur ist die Lebensader jeder Organisation. Unternehmen müssen neue Common Vulnerabilities and Exposures (CVEs) verfolgen und die Auswirkungen von CVEs auf ihre Infrastruktur bewerten. Sie müssen auch die Abhilfemaßnahmen zur Behebung der Sicherheitslücken verstehen und planen. Mit der Funktion Security Advisory in NetScaler Console können Sie die CVEs identifizieren, die Ihre NetScaler-Instanzen gefährden, und Abhilfemaßnahmen empfehlen.
In NetScaler Console on-prem 25.x und späteren Builds ist Security Advisory standardmäßig automatisch aktiviert.
Zu beachtende Punkte:
-
Neue CVE-Updates werden automatisch über den automatisch aktivierten Kanal synchronisiert.
-
Dateiintegrität ist in der lokalen Konsole nicht verfügbar.
-
Optionale Telemetrie wird erfasst, wenn Sie Security Advisory aktivieren. Es wird empfohlen, Security Advisory zu aktivieren, um die neuesten CVE-Updates anzeigen zu können. Sie können die optionalen Parameter jedoch auch deaktivieren. Zum Deaktivieren müssen Sie zuerst die Sicherheitsempfehlung auf der NetScaler Telemetrieseite deaktivieren, dann zu Einstellungen > Administration > Die gemeinsame Nutzung der Konsolenfunktion aktivieren oder deaktivieren und das Kontrollkästchen Ich stimme zu, Nutzungsdatender Konsolenfunktion zu teilen deaktivieren.
-
Wenn Sie auf der Seite mit den Sicherheitshinweisen ein Banner sehen, in dem darauf hingewiesen wird, dass neue CVE-Updates nicht synchronisiert sind, überprüfen Sie die NetScaler-Telemetrie in der On-Prem-GUI der Konsole auf die folgenden Probleme:
- Der Sicherheitshinweis ist deaktiviert
- Der manuelle Modus der Telemetrieerfassung ist aktiviert
- Die Endpunkt-URLs sind nicht erreichbar
- Der Upload über den automatisch aktivierten Kanal ist fehlgeschlagen
Die folgende Tabelle enthält Details zur Verfügbarkeit der Security Advisory-Funktion in verschiedenen lokalen NetScaler Console-Builds:
Build | Verfügbarkeit der Security Advisory-Funktion | Aktion erforderlich | Datensammlung |
---|---|---|---|
14.1-25.x oder höher | Security Advisory ist standardmäßig aktiviert | Stellen Sie sicher, dass sich der Telemetrieerfassungsmodus im Modus Automatisiert befindet und die Sicherheitsempfehlung aktiviert ist und die erforderlichen URLs erreichbar sind. | Ja. Sowohl erforderliche als auch optionale Parameter werden über das NetScaler Telemetrieprogramm erfasst. |
Zwischen 14.1-8.x und 14.1-21.x | Security Advisory wird über Cloud Connect aktiviert. | Konfigurieren Sie Cloud Connect und aktivieren Sie Security Advisory. | Ja. Nach der Konfiguration von Cloud Connect. |
14.1-4.x oder früher | Die Sicherheitsempfehlung ist nur im Vorschaumodus verfügbar. | Keine Aktion erforderlich | Nein |
Als Administrator müssen Sie sicherstellen, dass Sie alle neuen Common Vulnerabilities and Exposures (CVEs) verfolgen, die Auswirkungen von CVEs bewerten, die Behebung verstehen und die Sicherheitslücken schließen.
Funktionen zur Sicherheitsberatung
Die folgenden Sicherheitsempfehlungen helfen Ihnen beim Schutz Ihrer Infrastruktur:
Features | Beschreibung |
---|---|
Systemscan | Scannt standardmäßig alle verwalteten Instanzen einmal pro Woche. NetScaler Console entscheidet über Datum und Uhrzeit von Systemscans, und Sie können sie nicht ändern. |
Scannen auf Anforderung | Sie können die Instanzen bei Bedarf manuell scannen. Wenn die nach dem letzten Systemscan verstrichene Zeit erheblich ist, können Sie einen Anforderungsscan ausführen, um die aktuelle Sicherheitslage zu bewerten. Oder scannen Sie, nachdem eine Korrektur vorgenommen wurde, um den geänderten Status zu beurteilen. |
CVE-Auswirkungsanalyse | Zeigt die Ergebnisse aller CVEs, die sich auf Ihre Infrastruktur auswirken, und aller NetScaler-Instanzen, die betroffen sind, und schlägt Gegenmaßnahmen vor. Verwenden Sie diese Informationen, um Abhilfemaßnahmen zur Behebung von Sicherheitsrisiken anzuwenden. |
Protokoll scannen | Speichert die Kopien der letzten fünf Scans. Sie können diese Berichte im CSV- und PDF-Format herunterladen und analysieren. |
CVE-Repositorium | Bietet einen detaillierten Überblick über alle NetScaler-bezogenen CVEs, die Citrix seit Dezember 2019 angekündigt hat und die sich auf Ihre NetScaler-Infrastruktur auswirken könnten. Sie können diese Ansicht verwenden, um die CVEs im Bereich der Sicherheitsberatung zu verstehen und mehr über den CVE zu erfahren. Informationen zu CVEs, die nicht unterstützt werden, finden Sie unter Nicht unterstützte CVEs in Security Advisory. |
Wichtige Hinweise
-
Die Sicherheitsempfehlung unterstützt keine NetScaler-Builds, die das Ende des Lebenszyklus (EOL) erreicht haben. Wir empfehlen Ihnen, auf die von NetScaler unterstützten Builds oder Versionen zu aktualisieren.
-
Für die CVE-Erkennung unterstützte Instanzen: alle NetScaler (SDX, MPX, VPX) und Gateway.
-
Unterstützte CVEs: Alle CVEs nach Dezember 2019.
Hinweis:
Die Erkennung und Behebung von Sicherheitslücken, die das NetScaler Gateway-Plug-in für Windows betreffen, wird von der NetScaler Console Security Advisory nicht unterstützt. Informationen zu CVEs, die nicht unterstützt werden, finden Sie unter Nicht unterstützte CVEs in Security Advisory.
-
Die Sicherheitsempfehlung von NetScaler Console berücksichtigt bei der Identifizierung der Sicherheitsanfälligkeit keinerlei Fehlkonfigurationen von Funktionen.
-
Die Sicherheitsempfehlung von NetScaler Console unterstützt nur die Identifizierung und Behebung der CVEs. Es unterstützt nicht die Identifizierung und Behebung der im Sicherheitsartikel hervorgehobenen Sicherheitsbedenken.
-
Umfang der NetScaler-, Gateway-Versionen: Die Funktion ist auf Haupt-Builds beschränkt. Die Sicherheitsempfehlung umfasst keine speziellen Builds in ihrem Geltungsbereich.
- Die Sicherheitsempfehlung wird in der Admin-Partition nicht unterstützt.
-
Die folgenden Scanarten sind für CVEs verfügbar:
-
Versionsscan : Für diesen Scan ist NetScaler Console erforderlich, um die Version einerNetScaler-Instanz mit den Versionen und Builds zu vergleichen, für die der Fix verfügbar ist. Dieser Versionsvergleich hilft der Sicherheitsempfehlung von NetScaler Console dabei, festzustellen, ob der NetScaler für das CVE anfällig ist. Wenn beispielsweise ein CVE in einer NetScaler-Version und Build xx.yy behoben ist, betrachtet die Sicherheitsempfehlung alle NetScaler-Instanzen auf Builds unter xx.yy als anfällig. Versionsscans werden heute in der Sicherheitsempfehlung unterstützt.
-
Konfigurationsscan: Für diesen Scan muss NetScaler Console ein für den CVE-Scan spezifisches Muster mit der NetScaler-Konfigurationsdatei (nsconf) abgleichen. Wenn das spezifische Konfigurationsmuster in der NetScaler ns.conf-Datei vorhanden ist, wird die Instanz als anfällig für diese CVE angesehen. Dieser Scan wird normalerweise beim Versions-Scan verwendet. Config Scan wird heute in der Sicherheitsempfehlung unterstützt.
-
Benutzerdefinierter Scan: Für diesen Scan benötigt NetScaler Console, um eine Verbindung mit der verwalteten NetScaler-Instanz herzustellen, ein Skript darauf zu übertragen und das Skript auszuführen. Anhand der Skriptausgabe kann NetScaler Console ermitteln, ob der NetScaler für das CVE anfällig ist. Beispiele hierfür sind eine spezifische Shell-Befehlsausgabe, eine spezifische CLI-Befehlsausgabe, bestimmte Protokolle und das Vorhandensein oder der Inhalt bestimmter Verzeichnisse oder Dateien. Security Advisory verwendet auch benutzerdefinierte Scans für Übereinstimmungen mit mehreren Konfigurationsmustern, wenn die Konfigurationssuche dabei nicht helfen kann. Bei CVEs, die benutzerdefinierte Scans erfordern, wird das Skript jedes Mal ausgeführt, wenn Ihr geplanter Scan oder ein Anforderungsscan Weitere Informationen zu den gesammelten Daten und Optionen für bestimmte benutzerdefinierte Scans finden Sie in der Sicherheitsempfehlung für dieses CVE.
-
-
Scans wirken sich nicht auf den Produktionsdatenverkehr auf NetScaler aus und ändern keine NetScaler-Konfiguration auf NetScaler.
-
Die NetScaler Console Security Advisory unterstützt keine CVE-Abwehr. Wenn Sie auf die NetScaler-Instanz eine Risikominderung (temporäre Problemumgehung) angewendet haben, identifiziert NetScaler Console den NetScaler weiterhin als anfälligen NetScaler, bis Sie die Wiederherstellung abgeschlossen haben.
-
Für die FIPS-Instanzen wird der CVE-Scan nicht unterstützt.
So verwenden Sie das Sicherheits-Advisory-Dashboard
Um auf das Security Advisory Dashboard zuzugreifen, navigieren Sie von der NetScaler Console aus zu Infrastructure > Instance Advisory > Security Advisory .
Das Dashboard enthält drei Registerkarten:
-
Aktuelle CVEs
-
Protokoll scannen
-
CVE-Repository
Wichtig:
In der Sicherheits-Advisory-GUI oder im Bericht werden möglicherweise nicht alle CVEs angezeigt, und Sie sehen möglicherweise nur eine CVE. Klicken Sie als Workaround auf Jetzt scannen, um einen Anforderungsscan auszuführen. Nachdem der Scan abgeschlossen ist, werden alle CVEs im Bereich (ungefähr 15) in der Benutzeroberfläche oder im Bericht angezeigt.
In der oberen rechten Ecke des Dashboards befindet sich das Einstellungssymbol, mit dem Sie:
-
Aktiviere und deaktiviere Benachrichtigungen.
Sie können die folgenden Benachrichtigungen über die Auswirkungen von CVE erhalten.
-
E-Mail-, Slack-, PagerDuty- und ServiceNow-Benachrichtigungen für Änderungen der CVE-Scanergebnisse und neue CVEs, die dem CVE-Repository hinzugefügt wurden.
-
Cloud-Benachrichtigung für Änderungen der CVE-Impact-Scanergebnisse.
-
-
Benutzerdefinierte Sucheinstellungen konfigurieren
Sie können auf die Liste Benutzerdefinierte Scaneinstellungen klicken, um das Kontrollkästchen für zusätzliche Einstellungen anzuzeigen. Sie haben die Möglichkeit, das Kontrollkästchen zu aktivieren und sich von diesen benutzerdefinierten CVE-Scans abzumelden. Die Auswirkungen der CVEs, die einen benutzerdefinierten Scan benötigen, werden in der Sicherheitsempfehlung für Ihre NetScaler-Instanzen nicht bewertet.
Aktuelle CVEs
Diese Registerkarte zeigt die Anzahl der CVEs, die sich auf Ihre Instanzen auswirken, sowie die Instanzen, die von CVEs betroffen sind. Die Registerkarten sind nicht sequenziell, und als Administrator können Sie je nach Anwendungsfall zwischen diesen Registerkarten wechseln.
Die Tabelle mit der Anzahl der CVEs, die sich auf die NetScaler-Instanzen auswirken, enthält die folgenden Details.
CVE-ID: Die ID des CVE, der sich auf die Instanzen auswirkt.
Veröffentlichungsdatum: Das Datum, an dem das Sicherheitsbulletin für dieses CVE veröffentlicht wurde.
Schweregrad: Art des Schweregrads (hoch/mittel/kritisch) und Score. Um die Punktzahl zu sehen, bewegen Sie den Mauszeiger über den Schweregradtyp.
Schwachstellentyp: Die Art der Sicherheitsanfälligkeit für dieses CVE.
Betroffene NetScaler-Instanzen: Die Anzahl der Instanzen, auf die sich die CVE-ID auswirkt. Wenn Sie mit der Maus darüber fahren, wird die Liste der NetScaler-Instanzen angezeigt.
Behebung: Die verfügbaren Abhilfemaßnahmen, bei denen die Instanz (normalerweise) aktualisiert oder Konfigurationspakete angewendet werden.
Die gleiche Instanz kann von mehreren CVEs betroffen sein. In dieser Tabelle können Sie sehen, wie viele Instanzen eine bestimmte CVE oder mehrere ausgewählte CVEs Auswirkungen haben. Um die IP-Adresse der betroffenen Instanz zu überprüfen, bewegen Sie den Mauszeiger über NetScaler-Details unter Betroffene NetScaler-Instanzen. Um die Details der betroffenen Instanz zu überprüfen, klicken Sie unten in der Tabelle auf Betroffene Instanzen anzeigen. Sie können auch Spalten in der Tabelle hinzufügen oder entfernen, indem Sie auf das Pluszeichen klicken.
In diesem Bildschirm beträgt die Anzahl der CVEs, die sich auf Ihre Instanzen auswirken, 3 CVEs, und die Instanzen, die von diesen CVEs betroffen sind, sind eins.
Auf der Registerkarte <number of>
NetScaler-Instanzen sind von CVEs betroffen werden alle betroffenen NetScaler Console NetScaler-Instanzen angezeigt. Die Tabelle zeigt die folgenden Details:
- NetScaler IP-Adresse
- Hostname
- NetScaler Modellnummer
- Status des NetScaler
- Softwareversion und Build
- Liste der CVEs, die sich auf den NetScaler auswirken.
Sie können jede dieser Spalten je nach Bedarf hinzufügen oder entfernen, indem Sie auf das Pluszeichen klicken.
Um das Sicherheitsproblem zu beheben, wählen Sie die NetScaler-Instanz aus und wenden Sie die empfohlene Behebung an. Die meisten CVEs benötigen ein Upgrade als Standardisierung, während andere ein Upgrade und einen zusätzlichen Schritt als Standardisierung benötigen.
-
Informationen zur Behebung von CVE-2020-8300 finden Sie unter Korrigieren von Sicherheitslücken für CVE-2020-8300.
-
Informationen zu CVE-2021-22927 und CVE-2021-22920 finden Sie unter Korrigieren von Sicherheitslücken für CVE-2021-22927 und CVE-2021-22920.
-
Informationen zu CVE-2021-22956 finden Sie unter Identifizieren und Beheben von Sicherheitslücken für CVE-2021-22956
-
Informationen zu CVE-2022-27509 finden Sie unter Korrigieren von Sicherheitslücken für CVE-2022-27509
Hinweis
Wenn Ihre NetScaler-Instanzen über Anpassungen verfügen, finden Sie weitere Informationen unter Überlegungen zum Upgrade für benutzerdefinierte NetScaler-Konfigurationen, bevor Sie ein NetScaler-Upgrade planen.
Upgrade: Sie können die anfälligen NetScaler-Instanzen auf eine Version und einen Build aktualisieren, die das Update enthalten. Dieses Detail ist in der Behebungsspalte zu sehen. Wählen Sie zum Upgrade die Instanz aus und klicken Sie dann auf Weiter zum Upgrade-Workflow. Im Upgrade-Workflow wird der anfällige NetScaler automatisch als Ziel-NetScaler aufgefüllt.
Hinweis
Die Releases 12.0, 11.0, 10.5 und niedriger sind bereits Ende des Lebenszyklus (EOL). Wenn Ihre NetScaler-Instanzen auf einer dieser Versionen ausgeführt werden, führen Sie ein Upgrade auf eine unterstützte Version durch.
Der Upgrade-Workflow beginnt. Weitere Informationen zur Verwendung von NetScaler Console zum Upgrade von NetScaler-Instanzen finden Sie unter Verwenden von Jobs zum Upgrade von NetScaler-Instanzen.
Hinweis
Die Version und der Build, auf die Sie upgraden möchten, liegt in Ihrem Ermessen. Lesen Sie die Hinweise in der Spalte “Behebung”, um zu erfahren, welche Version und welche Builds den Sicherheitsupdate enthalten. Wählen Sie dementsprechend ein unterstütztes Release und Build aus, das noch nicht das Ende der Lebensdauer erreicht hat.
Protokoll scannen
Auf der Registerkarte werden Berichte der letzten fünf CVE-Scans angezeigt, die sowohl Standardsystemscans als auch benutzerinitiierte On-Demand-Scans enthalten. Sie können den Bericht jedes Scans im CSV- und PDF-Format herunterladen. Wenn gerade ein Scan auf Anforderung ausgeführt wird, können Sie auch den Abschlussstatus sehen.
CVE-Repository
Diese Registerkarte enthält die neuesten Informationen aller CVEs ab Dezember 2019 sowie die folgenden Details:
- CVE-IDs
- Art der Sicherheitslücke
- Datum der Veröffentlichung
- Schweregrad
- Sanierung
-
Links zu Sicherheitsbulletins
Jetzt durchsuchen
Sie können die Instanzen jederzeit nach Ihren Bedürfnissen scannen.
Klicken Sie auf Jetzt scannen, um nach CVEs zu suchen, die sich auf Ihre NetScaler-Instanzen auswirken. Sobald der Scan abgeschlossen ist, werden die überarbeiteten Sicherheitsdetails in der Benutzeroberfläche für Sicherheitsempfehlungen angezeigt.
Die NetScaler Console benötigt einige Minuten, um den Scan abzuschließen.
Benachrichtigung
Als Administrator erhalten Sie Citrix Cloud-Benachrichtigungen, aus denen hervorgeht, wie viele NetScaler-Instanzen durch CVEs gefährdet sind. Um die Benachrichtigungen anzuzeigen, klicken Sie auf das Glockensymbol in der oberen rechten Ecke der NetScaler Console-GUI.