Produktdokumentation
Application Delivery Management
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Sicherheitsempfehlungen

February 5, 2024
Beitrag von: 
C

Eine sichere und belastbare Infrastruktur ist die Lebensader jeder Organisation. Unternehmen müssen neue Common Vulnerabilities and Exposures (CVEs) verfolgen und die Auswirkungen von CVEs auf ihre Infrastruktur bewerten. Sie müssen auch die Abhilfemaßnahmen zur Behebung der Sicherheitslücken verstehen und planen. Die Sicherheitsempfehlung in NetScaler ADM ermöglicht es Ihnen, die CVEs zu identifizieren, die Ihre NetScaler-Instanzen gefährden, und empfiehlt Abhilfemaßnahmen.

Ab Build 14.1 8.x können Sie die Vollversion des Security Advisory verwenden, indem Sie ADM On-Prem Cloud Connector konfigurieren und Security Advisory aktivieren.

Wenn Sie ADM On-Prem Cloud Connector nicht konfiguriert haben, können Sie sich nur die Vorschauversion von Security Advisory ansehen. Sie können auf Cloud Connector aktivieren klicken und die Konfiguration abschließen, um die Vollversion der Sicherheitsempfehlung zu verwenden. Weitere Informationen finden Sie unter ADM On-Prem Cloud Connector.

Sicherheitsempfehlungen

Nachdem Sie ADM On-Prem Cloud Connector konfiguriert und Security Advisory aktiviert haben, können Sie die aktualisierte Seite mit der Sicherheitsempfehlung aufrufen.

Aktualisierte Sicherheitsempfehlung

Als Administrator müssen Sie sicherstellen, dass Sie alle neuen Common Vulnerabilities and Exposures (CVEs) verfolgen, die Auswirkungen von CVEs bewerten, die Behebung verstehen und die Sicherheitslücken schließen.

Funktionen zur Sicherheitsberatung

Die folgenden Sicherheitsempfehlungen helfen Ihnen beim Schutz Ihrer Infrastruktur:

Features Beschreibung
Systemscan Scannt standardmäßig alle verwalteten Instanzen einmal pro Woche. NetScaler ADM entscheidet über Datum und Uhrzeit der Systemscans, und Sie können sie nicht ändern.
Scannen auf Anforderung Sie können die Instanzen bei Bedarf manuell scannen. Wenn die nach dem letzten Systemscan verstrichene Zeit erheblich ist, können Sie einen Anforderungsscan ausführen, um die aktuelle Sicherheitslage zu bewerten. Oder scannen Sie, nachdem eine Korrektur vorgenommen wurde, um den geänderten Status zu beurteilen.
CVE-Auswirkungsanalyse Zeigt die Ergebnisse aller CVEs, die sich auf Ihre Infrastruktur auswirken, und aller NetScaler-Instanzen, die betroffen sind, und schlägt Gegenmaßnahmen vor. Verwenden Sie diese Informationen, um Abhilfemaßnahmen zur Behebung von Sicherheitsrisiken anzuwenden.
Protokoll scannen Speichert die Kopien der letzten fünf Scans. Sie können diese Berichte im CSV- und PDF-Format herunterladen und analysieren.
CVE-Repositorium Bietet einen detaillierten Überblick über alle NetScaler-bezogenen CVEs, die Citrix seit Dezember 2019 angekündigt hat und die sich auf Ihre NetScaler-Infrastruktur auswirken könnten. Sie können diese Ansicht verwenden, um die CVEs im Bereich der Sicherheitsberatung zu verstehen und mehr über den CVE zu erfahren. Informationen zu CVEs, die nicht unterstützt werden, finden Sie unter Nicht unterstützte CVEs in Security Advisory.

Wichtige Hinweise

  • Die Sicherheitsempfehlung unterstützt keine NetScaler-Builds, die das Ende des Lebenszyklus (EOL) erreicht haben. Wir empfehlen Ihnen, auf die von NetScaler unterstützten Builds oder Versionen zu aktualisieren.

  • Für die CVE-Erkennung unterstützte Instanzen: alle NetScaler (SDX, MPX, VPX) und Gateway.

  • Unterstützte CVEs: Alle CVEs nach Dezember 2019.

    Hinweis:

    Die Erkennung und Behebung von Sicherheitslücken, die sich auf das NetScaler Gateway-Plug-In für Windows auswirken, wird von der NetScaler ADM Security Advisory nicht unterstützt. Informationen zu CVEs, die nicht unterstützt werden, finden Sie unter Nicht unterstützte CVEs in Security Advisory.

  • Die NetScaler ADM-Sicherheitsempfehlung berücksichtigt bei der Identifizierung der Sicherheitsanfälligkeit keine Fehlkonfiguration von Funktionen.

  • Die NetScaler ADM-Sicherheitsempfehlung unterstützt nur die Identifizierung und Behebung der CVEs. Es unterstützt nicht die Identifizierung und Behebung der im Sicherheitsartikel hervorgehobenen Sicherheitsbedenken.

  • Umfang der NetScaler-, Gateway-Versionen: Die Funktion ist auf Haupt-Builds beschränkt. Die Sicherheitsempfehlung umfasst keine speziellen Builds in ihrem Geltungsbereich.

    • Die Sicherheitsempfehlung wird in der Admin-Partition nicht unterstützt.

  • Die folgenden Scanarten sind für CVEs verfügbar:

    • Versionsscan: Für diesen Scan wird NetScaler ADM benötigt, um die Version einer NetScaler-Instanz mit den Versionen und Builds zu vergleichen, für die der Fix verfügbar ist. Dieser Versionsvergleich hilft NetScaler ADM Security Advisory dabei, festzustellen, ob der NetScaler für das CVE anfällig ist. Wenn beispielsweise ein CVE in einer NetScaler-Version und Build xx.yy behoben ist, betrachtet die Sicherheitsempfehlung alle NetScaler-Instanzen auf Builds unter xx.yy als anfällig. Versionsscans werden heute in der Sicherheitsempfehlung unterstützt.

    • Konfigurationsscan: Für diesen Scan muss NetScaler ADM ein für den CVE-Scan spezifisches Muster mit der NetScaler-Konfigurationsdatei (nsconf) abgleichen. Wenn das spezifische Konfigurationsmuster in der NetScaler ns.conf-Datei vorhanden ist, wird die Instanz als anfällig für diese CVE angesehen. Dieser Scan wird normalerweise beim Versions-Scan verwendet. Config Scan wird heute in der Sicherheitsempfehlung unterstützt.

    • Benutzerdefinierter Scan: Für diesen Scan muss NetScaler ADM eine Verbindung mit der verwalteten NetScaler-Instanz herstellen, ein Skript an diese senden und das Skript ausführen. Anhand der Skriptausgabe kann NetScaler ADM ermitteln, ob der NetScaler für das CVE anfällig ist. Beispiele hierfür sind eine spezifische Shell-Befehlsausgabe, eine spezifische CLI-Befehlsausgabe, bestimmte Protokolle und das Vorhandensein oder der Inhalt bestimmter Verzeichnisse oder Dateien. Security Advisory verwendet auch benutzerdefinierte Scans für Übereinstimmungen mit mehreren Konfigurationsmustern, wenn die Konfigurationssuche dabei nicht helfen kann. Bei CVEs, die benutzerdefinierte Scans erfordern, wird das Skript jedes Mal ausgeführt, wenn Ihr geplanter Scan oder ein Anforderungsscan Weitere Informationen zu den gesammelten Daten und Optionen für bestimmte benutzerdefinierte Scans finden Sie in der Sicherheitsempfehlung für dieses CVE.

  • Scans wirken sich nicht auf den Produktionsdatenverkehr auf NetScaler aus und ändern keine NetScaler-Konfiguration auf NetScaler.

  • NetScaler ADM Security Advisory unterstützt keine CVE-Risikominderung. Wenn Sie eine Risikominderung (temporäre Problemumgehung) auf die NetScaler-Instanz angewendet haben, identifiziert ADM den NetScaler weiterhin als anfälligen NetScaler, bis Sie die Behebung abgeschlossen haben.

  • Für die FIPS-Instanzen wird der CVE-Scan nicht unterstützt.

So verwenden Sie das Sicherheits-Advisory-Dashboard

Um auf das Security Advisory-Dashboard zuzugreifen, navigieren Sie über die NetScaler ADM-GUI zu Infrastruktur > Instanzberatung > Security Advisory.

Das Dashboard enthält drei Registerkarten:

  • Aktuelle CVEs

  • Protokoll scannen

  • CVE-Repository

Dashboard mit Sicherheitshinweisen

Wichtig:

In der Sicherheits-Advisory-GUI oder im Bericht werden möglicherweise nicht alle CVEs angezeigt, und Sie sehen möglicherweise nur eine CVE. Klicken Sie als Workaround auf Jetzt scannen, um einen Anforderungsscan auszuführen. Nachdem der Scan abgeschlossen ist, werden alle CVEs im Bereich (ungefähr 15) in der Benutzeroberfläche oder im Bericht angezeigt.

In der oberen rechten Ecke des Dashboards befindet sich das Einstellungssymbol, mit dem Sie:

  • Aktiviere und deaktiviere Benachrichtigungen.

    Sie können die folgenden Benachrichtigungen über die Auswirkungen von CVE erhalten.

    • E-Mail-, Slack-, PagerDuty- und ServiceNow-Benachrichtigungen für Änderungen der CVE-Scanergebnisse und neue CVEs, die dem CVE-Repository hinzugefügt wurden.

    • Cloud-Benachrichtigung für Änderungen der CVE-Impact-Scanergebnisse.

      Einstellungen für Sicherheitshinweise

  • Benutzerdefinierte Sucheinstellungen konfigurieren

    Sie können auf die Liste Benutzerdefinierte Scaneinstellungen klicken, um das Kontrollkästchen für zusätzliche Einstellungen anzuzeigen. Sie haben die Möglichkeit, das Kontrollkästchen zu aktivieren und sich von diesen benutzerdefinierten CVE-Scans abzumelden. Die Auswirkungen der CVEs, die einen benutzerdefinierten Scan benötigen, werden in der Sicherheitsempfehlung für Ihre NetScaler-Instanzen nicht bewertet.

    Benutzerdefinierte Sucheinstellungen

Aktuelle CVEs

Diese Registerkarte zeigt die Anzahl der CVEs, die sich auf Ihre Instanzen auswirken, sowie die Instanzen, die von CVEs betroffen sind. Die Registerkarten sind nicht sequenziell, und als Administrator können Sie je nach Anwendungsfall zwischen diesen Registerkarten wechseln.

Die Tabelle mit der Anzahl der CVEs, die sich auf die NetScaler-Instanzen auswirken, enthält die folgenden Details.

CVE-ID: Die ID des CVE, der sich auf die Instanzen auswirkt.

Veröffentlichungsdatum: Das Datum, an dem das Sicherheitsbulletin für dieses CVE veröffentlicht wurde.

Schweregrad: Art des Schweregrads (hoch/mittel/kritisch) und Score. Um die Punktzahl zu sehen, bewegen Sie den Mauszeiger über den Schweregradtyp.

Schwachstellentyp: Die Art der Sicherheitsanfälligkeit für dieses CVE.

Betroffene NetScaler-Instanzen: Die Anzahl der Instanzen, auf die sich die CVE-ID auswirkt. Wenn Sie mit der Maus darüber fahren, wird die Liste der NetScaler-Instanzen angezeigt.

Behebung: Die verfügbaren Abhilfemaßnahmen, bei denen die Instanz (normalerweise) aktualisiert oder Konfigurationspakete angewendet werden.

Die gleiche Instanz kann von mehreren CVEs betroffen sein. In dieser Tabelle können Sie sehen, wie viele Instanzen eine bestimmte CVE oder mehrere ausgewählte CVEs Auswirkungen haben. Um die IP-Adresse der betroffenen Instanz zu überprüfen, bewegen Sie den Mauszeiger über NetScaler-Details unter Betroffene NetScaler-Instanzen. Um die Details der betroffenen Instanz zu überprüfen, klicken Sie unten in der Tabelle auf Betroffene Instanzen anzeigen. Sie können auch Spalten in der Tabelle hinzufügen oder entfernen, indem Sie auf das Pluszeichen klicken.

In diesem Bildschirm beträgt die Anzahl der CVEs, die sich auf Ihre Instanzen auswirken, 3 CVEs, und die Instanzen, die von diesen CVEs betroffen sind, sind eins.

Aktuelle CVEs

Auf der Registerkarte <number of>NetScaler-Instanzen sind von CVEs betroffen werden alle betroffenen NetScaler ADM-Instanzen angezeigt. Die Tabelle zeigt die folgenden Details:

  • NetScaler IP-Adresse
  • Hostname
  • NetScaler Modellnummer
  • Status des NetScaler
  • Softwareversion und Build
  • Liste der CVEs, die sich auf den NetScaler auswirken.

Sie können jede dieser Spalten je nach Bedarf hinzufügen oder entfernen, indem Sie auf das Pluszeichen klicken.

Instanzen, die von CVE betroffen sind

Um das Sicherheitsproblem zu beheben, wählen Sie die NetScaler-Instanz aus und wenden Sie die empfohlene Behebung an. Die meisten CVEs benötigen ein Upgrade als Standardisierung, während andere ein Upgrade und einen zusätzlichen Schritt als Standardisierung benötigen.

Upgrade: Sie können die anfälligen NetScaler-Instanzen auf eine Version und einen Build aktualisieren, die das Update enthalten. Dieses Detail ist in der Behebungsspalte zu sehen. Wählen Sie zum Upgrade die Instanz aus und klicken Sie dann auf Weiter zum Upgrade-Workflow. Im Upgrade-Workflow wird der anfällige NetScaler automatisch als Ziel-NetScaler aufgefüllt.

Hinweis

Die Releases 12.0, 11.0, 10.5 und niedriger sind bereits Ende des Lebenszyklus (EOL). Wenn Ihre NetScaler-Instanzen auf einer dieser Versionen ausgeführt werden, führen Sie ein Upgrade auf eine unterstützte Version durch.

Der Upgrade-Workflow beginnt. Weitere Informationen zur Verwendung von NetScaler ADM zum Upgrade von NetScaler-Instanzen finden Sie unter Verwenden von Jobszum Upgrade von NetScaler-Instanzen.

Hinweis

Die Version und der Build, auf die Sie upgraden möchten, liegt in Ihrem Ermessen. Lesen Sie die Hinweise in der Spalte “Behebung”, um zu erfahren, welche Version und welche Builds den Sicherheitsupdate enthalten. Wählen Sie dementsprechend ein unterstütztes Release und Build aus, das noch nicht das Ende der Lebensdauer erreicht hat.

Upgrade des Beratungs-Workflows

Protokoll scannen

Auf der Registerkarte werden Berichte der letzten fünf CVE-Scans angezeigt, die sowohl Standardsystemscans als auch benutzerinitiierte On-Demand-Scans enthalten. Sie können den Bericht jedes Scans im CSV- und PDF-Format herunterladen. Wenn gerade ein Scan auf Anforderung ausgeführt wird, können Sie auch den Abschlussstatus sehen.

Protokoll scannen

CVE-Repository

Diese Registerkarte enthält die neuesten Informationen aller CVEs ab Dezember 2019 sowie die folgenden Details:

  • CVE-IDs
  • Art der Sicherheitslücke
  • Datum der Veröffentlichung
  • Schweregrad
  • Sanierung

  • Links zu Sicherheitsbulletins

    CVE-Repositorium

Jetzt durchsuchen

Sie können die Instanzen jederzeit nach Ihren Bedürfnissen scannen.

Klicken Sie auf Jetzt scannen, um nach CVEs zu suchen, die sich auf Ihre NetScaler-Instanzen auswirken. Sobald der Scan abgeschlossen ist, werden die überarbeiteten Sicherheitsdetails in der Benutzeroberfläche für Sicherheitsempfehlungen angezeigt.

Jetzt scannen

NetScaler ADM benötigt einige Minuten, um den Scan abzuschließen.

Benachrichtigung

Als Administrator erhalten Sie Citrix Cloud-Benachrichtigungen, aus denen hervorgeht, wie viele NetScaler-Instanzen durch CVEs gefährdet sind. Um die Benachrichtigungen anzuzeigen, klicken Sie auf das Glockensymbol in der oberen rechten Ecke der NetScaler ADM GUI.

Citrix Cloud-Benachrichtigung

Sicherheitsempfehlung in 14.1 4.x oder früheren Builds

Wenn Sie frühere Builds verwenden, können Sie nur die Vorschauversion der Sicherheitsempfehlung verwenden. In der Vorschauversion werden nur die NetScaler CVEs und die ADC-Instanzen hervorgehoben, die in ADM Service integriert sind und die gefährdet sind. Wenn Sie die Vollversion der Security Advisory-Funktion verwenden möchten, müssen Sie ADM On-Prem Cloud Connector aktivieren.

WICHTIG

Eine detaillierte Analyse der Auswirkungen von CVE und aussagekräftige Informationen zu benutzerdefinierten Scans/Systemscans sowie zu Workflows zur Behebung und Abschwächung finden Sie unter NetScaler ADM Service.

Sicherheitsempfehlung anzeigen

Um auf die Sicherheitsempfehlung zuzugreifen, navigieren Sie zu Infrastruktur > Instanzberatung > Sicherheitsempfehlung. Sie können den Sicherheitsstatus aller ADC-Instanzen sehen, die Sie über NetScaler ADM verwalten.

Sicherheitsempfehlungsdashboard

Die On-Premises-Sicherheitsempfehlung von NetScaler ADM führt nur einen ADC-Versionsscan durch, um nach CVEs zu suchen. Die folgenden Informationen werden angezeigt.

  • CVE-ID: Die ID des CVE, der sich auf die Instanzen auswirkt.

  • Schwachstellentyp: Die Art der Sicherheitsanfälligkeit für dieses CVE.

  • Betroffene ADC-Instanzen: Die Anzahl der Instanzen, auf die sich die CVE-ID auswirkt.

Mit der On-Premises-Sicherheitsempfehlung von NetScaler ADM können Sie auch eine der ADC-Instanzen auswählen und die ADC-Instanz in den ADM Service integrieren. Klicken Sie auf ADM Service testen und binden Sie die ADC-Instanz in den ADM Service ein. Mit ADM Service Security Advisory können Sie den Schwachstellentyp eines bestimmten CVE überprüfen und Informationen zur Minderung und Behebung der Sicherheitsanfälligkeit abrufen.

Weitere Informationen zur ADM Service Security Advisory finden Sie in der GIF-Animation auf der Seite mit den Sicherheitshinweisen .

Sicherheitsempfehlungen
February 5, 2024
Beitrag von: 
C
February 5, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.