Application Delivery Management

Sicherheitsempfehlungen

Eine sichere und belastbare Infrastruktur ist die Lebensader jeder Organisation. Unternehmen müssen neue Common Vulnerabilities and Exposures (CVEs) verfolgen und die Auswirkungen von CVEs auf ihre Infrastruktur bewerten. Sie müssen auch die Abhilfemaßnahmen zur Behebung der Sicherheitslücken verstehen und planen. Mit der Funktion Security Advisory in NetScaler Console können Sie die CVEs identifizieren, die Ihre NetScaler-Instanzen gefährden, und Abhilfemaßnahmen empfehlen.

Ab 14.1 8.x Build können Sie die Vollversion des Security Advisory verwenden, indem SieCloud Connectkonfigurieren und Security Advisory aktivieren.

Wenn Sie Cloud Connect nicht konfiguriert haben, können Sie nur die Vorschauversion von Security Advisory ansehen. Sie können auf Cloud Connect aktivieren klicken und die Konfiguration abschließen, um die Vollversion der Sicherheitsempfehlung zu verwenden. Weitere Informationen finden Sie unter Cloud Connect.

Sicherheitsempfehlungen

Nachdem Sie Cloud Connect konfiguriert und Security Advisory aktiviert haben, können Sie die aktualisierte Seite mit den Sicherheitshinweisen aufrufen.

Aktualisierte Sicherheitsempfehlung

Als Administrator müssen Sie sicherstellen, dass Sie alle neuen Common Vulnerabilities and Exposures (CVEs) verfolgen, die Auswirkungen von CVEs bewerten, die Behebung verstehen und die Sicherheitslücken schließen.

Funktionen zur Sicherheitsberatung

Die folgenden Sicherheitsempfehlungen helfen Ihnen beim Schutz Ihrer Infrastruktur:

Features Beschreibung
Systemscan Scannt standardmäßig alle verwalteten Instanzen einmal pro Woche. NetScaler Console entscheidet über Datum und Uhrzeit von Systemscans, und Sie können sie nicht ändern.
Scannen auf Anforderung Sie können die Instanzen bei Bedarf manuell scannen. Wenn die nach dem letzten Systemscan verstrichene Zeit erheblich ist, können Sie einen Anforderungsscan ausführen, um die aktuelle Sicherheitslage zu bewerten. Oder scannen Sie, nachdem eine Korrektur vorgenommen wurde, um den geänderten Status zu beurteilen.
CVE-Auswirkungsanalyse Zeigt die Ergebnisse aller CVEs, die sich auf Ihre Infrastruktur auswirken, und aller NetScaler-Instanzen, die betroffen sind, und schlägt Gegenmaßnahmen vor. Verwenden Sie diese Informationen, um Abhilfemaßnahmen zur Behebung von Sicherheitsrisiken anzuwenden.
Protokoll scannen Speichert die Kopien der letzten fünf Scans. Sie können diese Berichte im CSV- und PDF-Format herunterladen und analysieren.
CVE-Repositorium Bietet einen detaillierten Überblick über alle NetScaler-bezogenen CVEs, die Citrix seit Dezember 2019 angekündigt hat und die sich auf Ihre NetScaler-Infrastruktur auswirken könnten. Sie können diese Ansicht verwenden, um die CVEs im Bereich der Sicherheitsberatung zu verstehen und mehr über den CVE zu erfahren. Informationen zu CVEs, die nicht unterstützt werden, finden Sie unter Nicht unterstützte CVEs in Security Advisory.

Wichtige Hinweise

  • Die Sicherheitsempfehlung unterstützt keine NetScaler-Builds, die das Ende des Lebenszyklus (EOL) erreicht haben. Wir empfehlen Ihnen, auf die von NetScaler unterstützten Builds oder Versionen zu aktualisieren.

  • Für die CVE-Erkennung unterstützte Instanzen: alle NetScaler (SDX, MPX, VPX) und Gateway.

  • Unterstützte CVEs: Alle CVEs nach Dezember 2019.

    Hinweis:

    Die Erkennung und Behebung von Sicherheitslücken, die das NetScaler Gateway-Plug-in für Windows betreffen, wird von der NetScaler Console Security Advisory nicht unterstützt. Informationen zu CVEs, die nicht unterstützt werden, finden Sie unter Nicht unterstützte CVEs in Security Advisory.

  • Die Sicherheitsempfehlung von NetScaler Console berücksichtigt bei der Identifizierung der Sicherheitsanfälligkeit keinerlei Fehlkonfigurationen von Funktionen.

  • Die Sicherheitsempfehlung von NetScaler Console unterstützt nur die Identifizierung und Behebung der CVEs. Es unterstützt nicht die Identifizierung und Behebung der im Sicherheitsartikel hervorgehobenen Sicherheitsbedenken.

  • Umfang der NetScaler-, Gateway-Versionen: Die Funktion ist auf Haupt-Builds beschränkt. Die Sicherheitsempfehlung umfasst keine speziellen Builds in ihrem Geltungsbereich.

    • Die Sicherheitsempfehlung wird in der Admin-Partition nicht unterstützt.
  • Die folgenden Scanarten sind für CVEs verfügbar:

    • Versionsscan : Für diesen Scan ist NetScaler Console erforderlich, um die Version einerNetScaler-Instanz mit den Versionen und Builds zu vergleichen, für die der Fix verfügbar ist. Dieser Versionsvergleich hilft der Sicherheitsempfehlung von NetScaler Console dabei, festzustellen, ob der NetScaler für das CVE anfällig ist. Wenn beispielsweise ein CVE in einer NetScaler-Version und Build xx.yy behoben ist, betrachtet die Sicherheitsempfehlung alle NetScaler-Instanzen auf Builds unter xx.yy als anfällig. Versionsscans werden heute in der Sicherheitsempfehlung unterstützt.

    • Konfigurationsscan: Für diesen Scan muss NetScaler Console ein für den CVE-Scan spezifisches Muster mit der NetScaler-Konfigurationsdatei (nsconf) abgleichen. Wenn das spezifische Konfigurationsmuster in der NetScaler ns.conf-Datei vorhanden ist, wird die Instanz als anfällig für diese CVE angesehen. Dieser Scan wird normalerweise beim Versions-Scan verwendet. Config Scan wird heute in der Sicherheitsempfehlung unterstützt.

    • Benutzerdefinierter Scan: Für diesen Scan benötigt NetScaler Console, um eine Verbindung mit der verwalteten NetScaler-Instanz herzustellen, ein Skript darauf zu übertragen und das Skript auszuführen. Anhand der Skriptausgabe kann NetScaler Console ermitteln, ob der NetScaler für das CVE anfällig ist. Beispiele hierfür sind eine spezifische Shell-Befehlsausgabe, eine spezifische CLI-Befehlsausgabe, bestimmte Protokolle und das Vorhandensein oder der Inhalt bestimmter Verzeichnisse oder Dateien. Security Advisory verwendet auch benutzerdefinierte Scans für Übereinstimmungen mit mehreren Konfigurationsmustern, wenn die Konfigurationssuche dabei nicht helfen kann. Bei CVEs, die benutzerdefinierte Scans erfordern, wird das Skript jedes Mal ausgeführt, wenn Ihr geplanter Scan oder ein Anforderungsscan Weitere Informationen zu den gesammelten Daten und Optionen für bestimmte benutzerdefinierte Scans finden Sie in der Sicherheitsempfehlung für dieses CVE.

  • Scans wirken sich nicht auf den Produktionsdatenverkehr auf NetScaler aus und ändern keine NetScaler-Konfiguration auf NetScaler.

  • Die NetScaler Console Security Advisory unterstützt keine CVE-Abwehr. Wenn Sie auf die NetScaler-Instanz eine Risikominderung (temporäre Problemumgehung) angewendet haben, identifiziert NetScaler Console den NetScaler weiterhin als anfälligen NetScaler, bis Sie die Wiederherstellung abgeschlossen haben.

  • Für die FIPS-Instanzen wird der CVE-Scan nicht unterstützt.

So verwenden Sie das Sicherheits-Advisory-Dashboard

Um auf das Security Advisory Dashboard zuzugreifen, navigieren Sie von der NetScaler Console aus zu Infrastructure > Instance Advisory > Security Advisory .

Das Dashboard enthält drei Registerkarten:

  • Aktuelle CVEs

  • Protokoll scannen

  • CVE-Repository

Dashboard mit Sicherheitshinweisen

Wichtig:

In der Sicherheits-Advisory-GUI oder im Bericht werden möglicherweise nicht alle CVEs angezeigt, und Sie sehen möglicherweise nur eine CVE. Klicken Sie als Workaround auf Jetzt scannen, um einen Anforderungsscan auszuführen. Nachdem der Scan abgeschlossen ist, werden alle CVEs im Bereich (ungefähr 15) in der Benutzeroberfläche oder im Bericht angezeigt.

In der oberen rechten Ecke des Dashboards befindet sich das Einstellungssymbol, mit dem Sie:

  • Aktiviere und deaktiviere Benachrichtigungen.

    Sie können die folgenden Benachrichtigungen über die Auswirkungen von CVE erhalten.

    • E-Mail-, Slack-, PagerDuty- und ServiceNow-Benachrichtigungen für Änderungen der CVE-Scanergebnisse und neue CVEs, die dem CVE-Repository hinzugefügt wurden.

    • Cloud-Benachrichtigung für Änderungen der CVE-Impact-Scanergebnisse.

      Einstellungen für Sicherheitshinweise

  • Benutzerdefinierte Sucheinstellungen konfigurieren

    Sie können auf die Liste Benutzerdefinierte Scaneinstellungen klicken, um das Kontrollkästchen für zusätzliche Einstellungen anzuzeigen. Sie haben die Möglichkeit, das Kontrollkästchen zu aktivieren und sich von diesen benutzerdefinierten CVE-Scans abzumelden. Die Auswirkungen der CVEs, die einen benutzerdefinierten Scan benötigen, werden in der Sicherheitsempfehlung für Ihre NetScaler-Instanzen nicht bewertet.

    Benutzerdefinierte Sucheinstellungen

Aktuelle CVEs

Diese Registerkarte zeigt die Anzahl der CVEs, die sich auf Ihre Instanzen auswirken, sowie die Instanzen, die von CVEs betroffen sind. Die Registerkarten sind nicht sequenziell, und als Administrator können Sie je nach Anwendungsfall zwischen diesen Registerkarten wechseln.

Die Tabelle mit der Anzahl der CVEs, die sich auf die NetScaler-Instanzen auswirken, enthält die folgenden Details.

CVE-ID: Die ID des CVE, der sich auf die Instanzen auswirkt.

Veröffentlichungsdatum: Das Datum, an dem das Sicherheitsbulletin für dieses CVE veröffentlicht wurde.

Schweregrad: Art des Schweregrads (hoch/mittel/kritisch) und Score. Um die Punktzahl zu sehen, bewegen Sie den Mauszeiger über den Schweregradtyp.

Schwachstellentyp: Die Art der Sicherheitsanfälligkeit für dieses CVE.

Betroffene NetScaler-Instanzen: Die Anzahl der Instanzen, auf die sich die CVE-ID auswirkt. Wenn Sie mit der Maus darüber fahren, wird die Liste der NetScaler-Instanzen angezeigt.

Behebung: Die verfügbaren Abhilfemaßnahmen, bei denen die Instanz (normalerweise) aktualisiert oder Konfigurationspakete angewendet werden.

Die gleiche Instanz kann von mehreren CVEs betroffen sein. In dieser Tabelle können Sie sehen, wie viele Instanzen eine bestimmte CVE oder mehrere ausgewählte CVEs Auswirkungen haben. Um die IP-Adresse der betroffenen Instanz zu überprüfen, bewegen Sie den Mauszeiger über NetScaler-Details unter Betroffene NetScaler-Instanzen. Um die Details der betroffenen Instanz zu überprüfen, klicken Sie unten in der Tabelle auf Betroffene Instanzen anzeigen. Sie können auch Spalten in der Tabelle hinzufügen oder entfernen, indem Sie auf das Pluszeichen klicken.

In diesem Bildschirm beträgt die Anzahl der CVEs, die sich auf Ihre Instanzen auswirken, 3 CVEs, und die Instanzen, die von diesen CVEs betroffen sind, sind eins.

Aktuelle CVEs

Auf der Registerkarte <number of>NetScaler-Instanzen sind von CVEs betroffen werden alle betroffenen NetScaler Console NetScaler-Instanzen angezeigt. Die Tabelle zeigt die folgenden Details:

  • NetScaler IP-Adresse
  • Hostname
  • NetScaler Modellnummer
  • Status des NetScaler
  • Softwareversion und Build
  • Liste der CVEs, die sich auf den NetScaler auswirken.

Sie können jede dieser Spalten je nach Bedarf hinzufügen oder entfernen, indem Sie auf das Pluszeichen klicken.

Instanzen, die von CVE betroffen sind

Um das Sicherheitsproblem zu beheben, wählen Sie die NetScaler-Instanz aus und wenden Sie die empfohlene Behebung an. Die meisten CVEs benötigen ein Upgrade als Standardisierung, während andere ein Upgrade und einen zusätzlichen Schritt als Standardisierung benötigen.

Upgrade: Sie können die anfälligen NetScaler-Instanzen auf eine Version und einen Build aktualisieren, die das Update enthalten. Dieses Detail ist in der Behebungsspalte zu sehen. Wählen Sie zum Upgrade die Instanz aus und klicken Sie dann auf Weiter zum Upgrade-Workflow. Im Upgrade-Workflow wird der anfällige NetScaler automatisch als Ziel-NetScaler aufgefüllt.

Hinweis

Die Releases 12.0, 11.0, 10.5 und niedriger sind bereits Ende des Lebenszyklus (EOL). Wenn Ihre NetScaler-Instanzen auf einer dieser Versionen ausgeführt werden, führen Sie ein Upgrade auf eine unterstützte Version durch.

Der Upgrade-Workflow beginnt. Weitere Informationen zur Verwendung von NetScaler Console zum Upgrade von NetScaler-Instanzen finden Sie unter Verwenden von Jobs zum Upgrade von NetScaler-Instanzen.

Hinweis

Die Version und der Build, auf die Sie upgraden möchten, liegt in Ihrem Ermessen. Lesen Sie die Hinweise in der Spalte “Behebung”, um zu erfahren, welche Version und welche Builds den Sicherheitsupdate enthalten. Wählen Sie dementsprechend ein unterstütztes Release und Build aus, das noch nicht das Ende der Lebensdauer erreicht hat.

Upgrade des Beratungs-Workflows

Protokoll scannen

Auf der Registerkarte werden Berichte der letzten fünf CVE-Scans angezeigt, die sowohl Standardsystemscans als auch benutzerinitiierte On-Demand-Scans enthalten. Sie können den Bericht jedes Scans im CSV- und PDF-Format herunterladen. Wenn gerade ein Scan auf Anforderung ausgeführt wird, können Sie auch den Abschlussstatus sehen.

Protokoll scannen

CVE-Repository

Diese Registerkarte enthält die neuesten Informationen aller CVEs ab Dezember 2019 sowie die folgenden Details:

  • CVE-IDs
  • Art der Sicherheitslücke
  • Datum der Veröffentlichung
  • Schweregrad
  • Sanierung
  • Links zu Sicherheitsbulletins

    CVE-Repositorium

Jetzt durchsuchen

Sie können die Instanzen jederzeit nach Ihren Bedürfnissen scannen.

Klicken Sie auf Jetzt scannen, um nach CVEs zu suchen, die sich auf Ihre NetScaler-Instanzen auswirken. Sobald der Scan abgeschlossen ist, werden die überarbeiteten Sicherheitsdetails in der Benutzeroberfläche für Sicherheitsempfehlungen angezeigt.

Jetzt scannen

Die NetScaler Console benötigt einige Minuten, um den Scan abzuschließen.

Benachrichtigung

Als Administrator erhalten Sie Citrix Cloud-Benachrichtigungen, aus denen hervorgeht, wie viele NetScaler-Instanzen durch CVEs gefährdet sind. Um die Benachrichtigungen anzuzeigen, klicken Sie auf das Glockensymbol in der oberen rechten Ecke der NetScaler Console-GUI.

Citrix Cloud-Benachrichtigung

Sicherheitsempfehlung in 14.1 4.x oder früheren Builds

Wenn Sie frühere Builds verwenden, können Sie nur die Vorschauversion der Sicherheitsempfehlung verwenden. In der Vorschauversion werden nur die NetScaler CVEs und die NetScaler-Instanzen hervorgehoben, die in den NetScaler Console-Dienst integriert sind und die gefährdet sind. Wenn Sie die Vollversion der Security Advisory-Funktion verwenden möchten, müssen Sie Cloud Connect aktivieren.

WICHTIG

Testen Sie NetScaler Console Service, um eine detaillierte Analyse der Auswirkungen von CVE, aussagekräftige Informationen zu benutzerdefinierten Scans/Systemscans sowie Abhilfemaßnahmen und Abhilfemaßnahmen zu erhalten.

Sicherheitsempfehlung anzeigen

Um auf die Sicherheitsempfehlung zuzugreifen, navigieren Sie zu Infrastruktur > Instanzberatung > Sicherheitsempfehlung. Sie können den Schwachstellenstatus aller NetScaler-Instanzen einsehen, die Sie über die NetScaler Console verwalten.

Sicherheitsempfehlungsdashboard

Die on-premises NetScaler Console Security Advisory führt nur einen NetScaler-Versionsscan durch, um nach CVEs zu suchen. Die folgenden Informationen werden angezeigt.

  • CVE-ID: Die ID des CVE, der sich auf die Instanzen auswirkt.

  • Schwachstellentyp: Die Art der Sicherheitsanfälligkeit für dieses CVE.

  • Betroffene NetScaler-Instanzen: Die Anzahl der Instanzen, auf die sich die CVE-ID auswirkt.

Mit der on-premises Sicherheitsempfehlung von NetScaler Console können Sie auch eine der NetScaler-Instanzen auswählen und die NetScaler-Instanz in den NetScaler Console-Dienst einbinden. Klicken Sie auf NetScaler Console Service testen und binden Sie die NetScaler-Instanz in den NetScaler Console Service ein. Mit der Sicherheitsberatung für den NetScaler Console Service können Sie den Schwachstellentyp einer bestimmten CVE überprüfen und Informationen zur Abwehr und Behebung der Sicherheitsanfälligkeit abrufen.

Weitere Informationen zur Sicherheitsempfehlung für den NetScaler Console Service finden Sie in der GIF-Animation auf der Seite mit den Sicherheitshinweisen.

Sicherheitsempfehlungen