NetScaler VPX

Implementar NetScaler Web App Firewall en AWS

El NetScaler Web App Firewall se puede instalar como un dispositivo de red de capa 3 o como un puente de red de capa 2 entre los servidores y los usuarios del cliente, generalmente detrás del router o firewall de la empresa del cliente. NetScaler Web App Firewall debe instalarse en una ubicación donde pueda interceptar el tráfico entre los servidores web y el concentrador o conmutador a través del cual los usuarios acceden a esos servidores web. Luego, los usuarios configuran la red para enviar solicitudes al firewall de aplicaciones web en lugar de directamente a sus servidores web, y las respuestas al firewall de aplicaciones web en lugar de directamente a sus usuarios. El firewall de aplicaciones web filtra ese tráfico antes de reenviarlo a su destino final, utilizando tanto su conjunto de reglas internas como las adiciones y modificaciones del usuario. Bloquea o neutraliza cualquier actividad que detecte como dañina, y luego reenvía el tráfico restante al servidor web. La imagen anterior proporciona una descripción general del proceso de filtrado.

Para obtener más información, consulte Cómo funciona NetScaler Web App Firewall.

Arquitectura de NetScaler Web App Firewall en AWS para implementación en producción

La imagen muestra una nube privada virtual (VPC) con parámetros predeterminados que construye un entorno de NetScaler Web App Firewall en la nube de AWS.

Arquitectura de NetScaler Web App Firewall en AWS para implementación en producción

En una implementación de producción, se configuran los siguientes parámetros para el entorno de NetScaler Web App Firewall:

  • Esta arquitectura asume el uso de una plantilla de AWS CloudFormation.

  • Una VPC que abarca dos zonas de disponibilidad, configurada con dos subredes públicas y cuatro privadas, de acuerdo con las mejores prácticas de AWS, para proporcionarle su propia red virtual en AWS con un bloque de enrutamiento entre dominios sin clases (CIDR) /16 (una red con 65.536 direcciones IP privadas). *

  • Dos instancias de NetScaler Web App Firewall (primaria y secundaria), una en cada zona de disponibilidad.

  • Tres grupos de seguridad, uno para cada interfaz de red (administración, cliente, servidor), que actúan como firewalls virtuales para controlar el tráfico de sus instancias asociadas.

  • Tres subredes, para cada instancia: una para administración, una para cliente y otra para el servidor de back-end.

  • Una pasarela de Internet conectada a la VPC y una tabla de rutas de subredes públicas asociada a las subredes públicas para permitir el acceso a Internet. Esta pasarela es utilizada por el host de Web App Firewall para enviar y recibir tráfico. Para obtener más información sobre las pasarelas de Internet, consulte: Pasarelas de Internet. *

  • 5 tablas de rutas: una tabla de rutas pública asociada a las subredes de cliente de los Web App Firewall primario y secundario. Las 4 tablas de rutas restantes se vinculan a cada una de las 4 subredes privadas (subredes de administración y del lado del servidor de los Web App Firewall primario y secundario). *

  • AWS Lambda en Web App Firewall se encarga de lo siguiente:

    • Configuración de dos Web App Firewall en cada zona de disponibilidad en modo HA

    • Creación de un perfil de Web App Firewall de ejemplo y, por lo tanto, aplicando esta configuración con respecto a Web App Firewall

  • AWS Identity and Access Management (IAM) para controlar de forma segura el acceso a los servicios y recursos de AWS para sus usuarios. Por defecto, la plantilla de CloudFormation (CFT) crea el rol de IAM necesario. Sin embargo, los usuarios pueden proporcionar su propio rol de IAM para las instancias de NetScaler ADC.

  • En las subredes públicas, dos puertas de enlace de traducción de direcciones de red (NAT) administradas para permitir el acceso saliente a Internet para los recursos en subredes públicas.

Nota:

La plantilla de CFT Web App Firewall que implementa el NetScaler Web App Firewall en una VPC existente omite los componentes marcados con asteriscos y solicita a los usuarios su configuración de VPC existente.

Los servidores backend no son implementados por la CFT.

Coste y licencias

Los usuarios son responsables del coste de los servicios de AWS utilizados al ejecutar implementaciones de AWS. Las plantillas de AWS CloudFormation que se pueden utilizar para esta implementación incluyen parámetros de configuración que los usuarios pueden personalizar según sea necesario. Algunas de esas configuraciones, como el tipo de instancia, afectan al coste de la implementación. Para estimaciones de costes, los usuarios deben consultar las páginas de precios de cada servicio de AWS que estén utilizando. Los precios están sujetos a cambios.

Un NetScaler Web App Firewall en AWS requiere una licencia. Para licenciar NetScaler Web App Firewall, los usuarios deben colocar la clave de licencia en un bucket de S3 y especificar su ubicación al iniciar la implementación.

Nota:

Cuando los usuarios eligen el modelo de licencia Bring your own license (BYOL), deben asegurarse de tener habilitada la función AppFlow. Para obtener más información sobre las licencias BYOL, consulte: AWS Marketplace/Citrix VPX - Customer Licensed.

Las siguientes opciones de licencia están disponibles para Citrix® ADC Web App Firewall que se ejecuta en AWS. Los usuarios pueden elegir una AMI (Amazon Machine Image) basada en un único factor, como el rendimiento.

  • Modelo de licencia: Pago por uso (PAYG, para las licencias de producción) o Traiga su propia licencia (BYOL, para la AMI con licencia de cliente - Citrix ADC Pooled Capacity). Para obtener más información sobre Citrix ADC Pooled Capacity, consulte: Citrix ADC Pooled Capacity.

Nota:

Si los usuarios desean modificar dinámicamente el ancho de banda de una instancia VPX, deben elegir una opción BYOL, por ejemplo, la capacidad agrupada de NetScaler, donde pueden asignar las licencias desde NetScaler Console, o pueden retirar las licencias de NetScaler según la capacidad mínima y máxima de la instancia bajo demanda y sin reiniciar. Solo se requiere un reinicio si los usuarios desean cambiar la edición de la licencia.

  • Rendimiento: 200 Mbps o 1 Gbps

  • Paquete: Premium

Opciones de implementación

Esta guía de implementación ofrece dos opciones de implementación:

  • La primera opción es implementar utilizando un formato de Guía de inicio rápido y las siguientes opciones:

    • Implementar NetScaler Web App Firewall en una nueva VPC (implementación de extremo a extremo). Esta opción crea un nuevo entorno de AWS que consta de la VPC, subredes, grupos de seguridad y otros componentes de infraestructura, y luego implementa NetScaler Web App Firewall en esta nueva VPC.

    • Implementar NetScaler Web App Firewall en una VPC existente. Esta opción aprovisiona NetScaler Web App Firewall en la infraestructura de AWS existente del usuario.

  • La segunda opción es implementar utilizando StyleBooks de Web App Firewall con NetScaler Console

Inicio rápido de AWS

Paso 1: Inicie sesión en la cuenta de AWS del usuario

  • Inicie sesión en la cuenta de usuario en AWS: AWS con un rol de usuario de IAM (Identity and Access Management) que tenga los permisos necesarios para crear una cuenta de Amazon (si es necesario) o iniciar sesión en una cuenta de Amazon.

  • Utilice el selector de región en la barra de navegación para elegir la región de AWS donde los usuarios desean implementar alta disponibilidad en todas las zonas de disponibilidad de AWS.

  • Asegúrese de que la cuenta de AWS del usuario esté configurada correctamente; consulte la sección Requisitos técnicos de este documento para obtener más información.

Paso 2: Suscribirse a la AMI de NetScaler Web App Firewall

  • Esta implementación requiere una suscripción a la AMI de NetScaler Web App Firewall en AWS Marketplace.

  • Inicie sesión en la cuenta de AWS del usuario.

  • Abra la página de la oferta de NetScaler Web App Firewall eligiendo uno de los enlaces de la siguiente tabla.

    • Cuando los usuarios inicien la Guía de inicio rápido para implementar NetScaler Web App Firewall en el Paso 3 a continuación, utilizan el parámetro NetScaler Web App Firewall Image para seleccionar el paquete y la opción de rendimiento que coincidan con su suscripción a la AMI. La siguiente lista muestra las opciones de AMI y la configuración de parámetros correspondiente. La instancia de AMI de VPX requiere un mínimo de 2 CPU virtuales y 2 GB de memoria.

Nota:

Para recuperar el ID de AMI, consulte la página de Productos de NetScaler en AWS Marketplace en GitHub: Citrix Products on AWS Marketplace.

Página de AWS Marketplace para un NetScaler Web Application Firewall (Web App Firewall)

  • Revise los términos y condiciones de uso del software y, a continuación, elija Aceptar términos.

Aceptación de los términos del Contrato de licencia de usuario de NetScaler Web App Firewall

Nota:

Los usuarios reciben una página de confirmación y se envía una confirmación por correo electrónico al propietario de la cuenta. Para obtener instrucciones detalladas sobre la suscripción, consulte Introducción en la documentación de AWS Marketplace: Introducción.

  • Cuando el proceso de suscripción esté completo, salga de AWS Marketplace sin realizar ninguna otra acción. No aprovisione el software desde AWS Marketplace; los usuarios implementarán la AMI con la Guía de inicio rápido.

Paso 3: Iniciar el inicio rápido de AWS

Importante:

Si los usuarios están implementando NetScaler Web App Firewall en una VPC existente, deben asegurarse de que su VPC abarque dos zonas de disponibilidad, con una subred pública y dos privadas en cada zona de disponibilidad para las instancias de carga de trabajo, y que las subredes no estén compartidas. Esta guía de implementación no admite subredes compartidas; consulte Trabajar con VPC compartidas: Trabajar con VPC compartidas. Estas subredes requieren puertas de enlace NAT en sus tablas de enrutamiento para permitir que las instancias descarguen paquetes y software sin exponerlos a Internet. Para obtener más información sobre las puertas de enlace NAT, consulte Puertas de enlace NAT. Configure las subredes para que no haya superposición de subredes.

Además, los usuarios deben asegurarse de que la opción de nombre de dominio en las opciones de DHCP esté configurada como se explica en la documentación de Amazon VPC que se encuentra aquí: Conjuntos de opciones de DHCP Conjuntos de opciones de DHCP. Se solicitarán a los usuarios sus configuraciones de VPC cuando inicien la Guía de inicio rápido.

  • Cada implementación tarda unos 15 minutos en completarse.

  • Compruebe la Región de AWS que se muestra en la esquina superior derecha de la barra de navegación y cámbiela si es necesario. Aquí es donde se construirá la infraestructura de red para Citrix Web App Firewall. La plantilla se inicia en la Región Este de EE. UU. (Ohio) por defecto.

Nota:

Esta implementación incluye NetScaler Web App Firewall, que actualmente no es compatible con todas las Regiones de AWS. Para obtener una lista actual de las Regiones compatibles, consulte los Puntos de conexión de servicio de AWS: Puntos de conexión de servicio de AWS.

  • En la página Seleccionar plantilla, mantenga la configuración predeterminada para la URL de la plantilla y, a continuación, elija Siguiente.

  • En la página Especificar detalles, especifique el nombre de la pila según la conveniencia del usuario. Revise los parámetros de la plantilla. Proporcione valores para los parámetros que requieren entrada. Para todos los demás parámetros, revise la configuración predeterminada y personalícela según sea necesario.

  • En la siguiente tabla, los parámetros se enumeran por categoría y se describen por separado para la opción de implementación:

  • Parámetros para implementar NetScaler Web App Firewall en una VPC nueva o existente (Opción de implementación 1)

  • Cuando los usuarios terminen de revisar y personalizar los parámetros, deben seleccionar Siguiente.

Parámetros para implementar NetScaler Web App Firewall en una nueva VPC

Configuración de red de VPC

Etiqueta del parámetro (nombre) Predeterminado Descripción
Zona de disponibilidad principal (PrimaryAvailabilityZone) Requiere entrada La zona de disponibilidad para la implementación principal de NetScaler Web App Firewall
Zona de disponibilidad secundaria (SecondaryAvailabilityZone) Requiere entrada La zona de disponibilidad para la implementación secundaria de NetScaler Web App Firewall
CIDR de VPC (VPCCIDR) 10.0.0.0/16 El bloque CIDR para la VPC. Debe ser un rango CIDR IP válido con el formato x.x.x.x/x.
IP CIDR SSH remota (Administración) (RestrictedSSHCIDR) Requiere entrada El rango de direcciones IP que puede SSH a la instancia EC2 (puerto: 22).
IP CIDR HTTP remota (Cliente) (RestrictedWebAppCIDR) 0.0.0.0/0 El rango de direcciones IP que puede HTTP a la instancia EC2 (puerto: 80)
IP CIDR HTTP remota (cliente) (RestrictedWebAppCIDR) 0.0.0.0/0 El rango de direcciones IP que puede acceder por HTTP a la instancia EC2 (puerto: 80)
CIDR de subred privada de administración principal (PrimaryManagementPrivateSubnetCIDR) 10.0.1.0/24 El bloque CIDR para la subred de administración principal ubicado en la Zona de disponibilidad 1.
IP privada de administración principal (PrimaryManagementPrivateIP) IP privada asignada a la ENI de administración principal (el último octeto debe estar entre 5 y 254) del CIDR de la subred de administración principal.
CIDR de subred pública de cliente principal (PrimaryClientPublicSubnetCIDR) 10.0.2.0/24 El bloque CIDR para la subred de cliente principal ubicado en la Zona de disponibilidad 1.
IP privada de cliente principal (PrimaryClientPrivateIP) IP privada asignada a la ENI de cliente principal (el último octeto debe estar entre 5 y 254) de la IP de cliente principal del CIDR de la subred de cliente principal.
CIDR de subred privada del servidor principal (PrimaryServerPrivateSubnetCIDR) 10.0.3.0/24 El bloque CIDR para el servidor principal ubicado en la Zona de disponibilidad 1.
IP privada del servidor principal (PrimaryServerPrivateIP) IP privada asignada a la ENI del servidor principal (el último octeto debe estar entre 5 y 254) desde el CIDR de la subred del servidor principal.
CIDR de subred privada de administración secundaria (SecondaryManagementPrivateSubnetCIDR) 10.0.4.0/24 El bloque CIDR para la subred de administración secundaria ubicado en la Zona de disponibilidad 2.
IP privada de administración secundaria (SecondaryManagementPrivateIP) IP privada asignada a la ENI de administración secundaria (el último octeto debe estar entre 5 y 254). Asignaría la IP de administración secundaria desde el CIDR de la subred de administración secundaria.
CIDR de subred pública de cliente secundaria (SecondaryClientPublicSubnetCIDR) 10.0.5.0/24 El bloque CIDR para la subred de cliente secundaria ubicado en la Zona de disponibilidad 2.
IP privada del cliente secundario (SecondaryClientPrivateIP) IP privada asignada a la ENI del cliente secundario (el último octeto debe estar entre 5 y 254). Asignaría la IP del cliente secundario desde el CIDR de la subred del cliente secundario.
CIDR de subred privada del servidor secundario (SecondaryServerPrivateSubnetCIDR) 10.0.6.0/24 El bloque CIDR para la subred del servidor secundario ubicada en la zona de disponibilidad 2.
IP privada del servidor secundario (SecondaryServerPrivateIP) IP privada asignada a la ENI del servidor secundario (el último octeto debe estar entre 5 y 254). Asignaría la IP del servidor secundario desde el CIDR de la subred del servidor secundario.
Atributo de tenencia de VPC (VPCTenancy) predeterminado La tenencia permitida de las instancias lanzadas en la VPC. Elija la tenencia Dedicada para lanzar instancias EC2 dedicadas a un solo cliente.

Configuración del host bastión

Etiqueta de parámetro (nombre) Predeterminado Descripción
Host bastión requerido (LinuxBastionHostEIP) No De forma predeterminada, no se configurará ningún host bastión. Pero si los usuarios desean optar por la implementación de sandbox, seleccionen «sí» en el menú, lo que implementaría un host bastión de Linux en la subred pública con una EIP que daría a los usuarios acceso a los componentes de la subred privada y pública.

Configuración del firewall de aplicaciones web de NetScaler

Etiqueta de parámetro (nombre) Predeterminado Descripción
Nombre del par de claves (KeyPairName) Requiere entrada Un par de claves pública/privada, que permite a los usuarios conectarse de forma segura a la instancia de usuario después de su lanzamiento. Este es el par de claves que los usuarios crearon en su región de AWS preferida; consulte la sección Requisitos técnicos.
Tipo de instancia de NetScaler (CitrixADCInstanceType) m4.xlarge El tipo de instancia EC2 que se utilizará para las instancias de ADC. Asegúrese de que el tipo de instancia elegido se alinee con los tipos de instancia disponibles en el mercado de AWS, de lo contrario, el CFT podría fallar.
ID de AMI de NetScaler ADC (CitrixADCImageID) La AMI de AWS Marketplace que se utilizará para la implementación de NetScaler Web App Firewall. Debe coincidir con la AMI a la que los usuarios se suscribieron en el paso 2.
Rol de IAM de NetScaler ADC VPX (iam:GetRole) Esta plantilla: AWS-Quickstart/Quickstart-Citrix-ADC-VPX/Templates crea el rol de IAM y el perfil de instancia necesarios para NetScaler VPX. Si se deja vacío, CFT crea el rol de IAM necesario.
IP pública del cliente (EIP) (ClientPublicEIP) No Seleccione “Sí” si los usuarios desean asignar una EIP pública a la interfaz de red del cliente. De lo contrario, incluso después de la implementación, los usuarios aún tienen la opción de asignarla más tarde si es necesario.

Configuración de licencias agrupadas

Etiqueta (nombre) del parámetro Predeterminado Descripción
Licencias agrupadas de NetScaler Console No Si elige la opción BYOL para las licencias, seleccione de la lista. Esto permite a los usuarios cargar sus licencias ya adquiridas. Antes de empezar, deben configurar la capacidad agrupada de NetScaler ADC para asegurarse de que las licencias agrupadas de NetScaler Console estén disponibles; consulte Configurar la capacidad agrupada de NetScaler
IP de NetScaler Console / Agente de NetScaler Console accesible Requiere entrada Para la opción de Licencia de cliente, ya sea que los usuarios implementen NetScaler Console en las instalaciones o un agente en la nube, asegúrese de tener una IP de NetScaler Console accesible que luego se utilizaría como parámetro de entrada.
Modo de licencias


Opcional


Los usuarios pueden elegir entre los 3 modos de licencias:
  • Configurar la capacidad agrupada de NetScaler. Para obtener más información, consulte Configurar la capacidad agrupada de Citrix ADC
  • Licencias de entrada y salida (CICO) de NetScaler VPX. Para obtener más información, consulte Licencias de entrada y salida de Citrix ADC VPX
  • Licencias de CPU virtual de NetScaler. Para obtener más información, consulte Licencias de CPU virtual de Citrix ADC
  • Ancho de banda de la licencia en Mbps 0 Mbps Este campo solo entra en juego si el modo de licencia es Licencias agrupadas. Asigna un ancho de banda inicial de la licencia en Mbps que se asignará después de crear los ADC BYOL. Debe ser un múltiplo de 10 Mbps.
    Edición de la licencia Premium La edición de la licencia para el modo de licencias de capacidad agrupada es Premium.
    Tipo de plataforma del dispositivo Opcional Elija el tipo de plataforma de dispositivo requerido, solo si los usuarios optan por el modo de licencia CICO. Los usuarios obtienen las opciones enumeradas: VPX-200, VPX-1000, VPX-3000, VPX-5000, VPX-8000.
    Edición de la licencia Premium La edición de la licencia basada en vCPU es Premium.

    Configuración de AWS Quick Start

    Nota:

    Recomendamos que los usuarios mantengan la configuración predeterminada para los dos parámetros siguientes, a menos que estén personalizando las plantillas de la Guía de inicio rápido para sus propios proyectos de implementación. Cambiar la configuración de estos parámetros actualizará automáticamente las referencias de código para que apunten a una nueva ubicación de la Guía de inicio rápido. Para obtener más detalles, consulte la Guía del colaborador de AWS Quick Start Guide, que se encuentra aquí: AWS Quick Starts/Option 1 - Adopt a Quick Start.

    Etiqueta de parámetro (nombre) Predeterminado Descripción
    Nombre del bucket S3 de la Guía de inicio rápido (QSS3BucketName) aws-quickstart El bucket S3 que los usuarios crearon para su copia de los activos de la Guía de inicio rápido, si los usuarios deciden personalizar o ampliar la Guía de inicio rápido para su propio uso. El nombre del bucket puede incluir números, letras minúsculas, letras mayúsculas y guiones, pero no debe empezar ni terminar con un guion.
    Prefijo de clave S3 de la Guía de inicio rápido (QSS3KeyPrefix) quickstart-citrix-adc-vpx/ El prefijo del nombre de clave S3, de la clave de objeto y metadatos: Clave de objeto y metadatos, se utiliza para simular una carpeta para la copia de usuario de los activos de la Guía de inicio rápido, si los usuarios deciden personalizar o ampliar la Guía de inicio rápido para su propio uso. Este prefijo puede incluir números, letras minúsculas, letras mayúsculas, guiones y barras diagonales.
    • En la página de Opciones, los usuarios pueden especificar una etiqueta de recurso o un par clave-valor para los recursos de su pila y establecer opciones avanzadas. Para obtener más información sobre las etiquetas de recursos, consulte: Etiqueta de recurso. Para obtener más información sobre cómo configurar las opciones de pila de AWS CloudFormation, consulte: Configuración de las opciones de pila de AWS CloudFormation. Cuando los usuarios hayan terminado, deben elegir Siguiente.

    • En la página de Revisión, revise y confirme la configuración de la plantilla. En Capacidades, seleccione las dos casillas de verificación para reconocer que la plantilla crea recursos de IAM y que podría requerir la capacidad de expandir macros automáticamente.

    • Elija Crear para implementar la pila.

    • Supervise el estado de la pila. Cuando el estado sea CREATE_COMPLETE, la instancia de NetScaler Web App Firewall estará lista.

    • Utilice las URL que se muestran en la pestaña Salidas de la pila para ver los recursos que se crearon.

    Salidas de NetScaler Web App Firewall después de una implementación correcta

    Paso 4: Probar la implementación

    Nos referimos a las instancias de esta implementación como principal y secundaria. Cada instancia tiene diferentes direcciones IP asociadas. Cuando el inicio rápido se ha implementado correctamente, el tráfico pasa a través de la instancia principal de NetScaler Web App Firewall configurada en la Zona de disponibilidad 1. Durante las condiciones de conmutación por error, cuando la instancia principal no responde a las solicitudes del cliente, la instancia secundaria de Web App Firewall toma el control.

    La dirección IP elástica de la dirección IP virtual de la instancia principal migra a la instancia secundaria, que asume el rol de nueva instancia principal.

    En el proceso de conmutación por error, NetScaler Web App Firewall realiza lo siguiente:

    • NetScaler Web App Firewall comprueba los servidores virtuales que tienen conjuntos de IP asociados.

    • NetScaler Web App Firewall encuentra la dirección IP que tiene una dirección IP pública asociada de las dos direcciones IP en las que el servidor virtual está escuchando. Una que está directamente asociada al servidor virtual y otra que está asociada a través del conjunto de IP.

    • NetScaler Web App Firewall reasocia la dirección IP elástica pública a la dirección IP privada que pertenece a la nueva dirección IP virtual principal.

    Para validar la implementación, realice lo siguiente:

    • Conéctese a la instancia principal

    Por ejemplo, con un servidor proxy, un jump host (una instancia de Linux/Windows/FW que se ejecuta en AWS, o el host bastión), u otro dispositivo accesible a esa VPC o una conexión Direct Connect si se trata de conectividad local.

    • Realice una acción de activación para forzar la conmutación por error y compruebe si la instancia secundaria toma el control.

    Sugerencia:

    Para validar aún más la configuración con respecto a NetScaler Web App Firewall, ejecute el siguiente comando después de conectarse a la instancia principal de NetScaler Web App Firewall:

    Sh appfw profile QS-Profile

    Conectarse al par HA de NetScaler Web App Firewall mediante un host bastión

    Si los usuarios optan por una implementación de Sandbox (por ejemplo, como parte de CFT, los usuarios optan por configurar un Bastion Host), se configurará un host bastión de Linux implementado en una subred pública para acceder a las interfaces del firewall de aplicaciones web.

    En la consola de AWS CloudFormation, a la que se accede iniciando sesión aquí: Iniciar sesión, elija la pila maestra y, en la pestaña Salidas, busque el valor de LinuxBastionHostEIP1.

    Recursos de implementación del par HA de NetScaler Web App Firewall

    • Valor de la clave PrivateManagementPrivateNSIP y PrimaryADCInstanceID que se utilizará en los pasos posteriores para SSH en el ADC.

    • Elija Servicios.

    • En la pestaña Compute, seleccione EC2.

      • En Recursos, elija Instancias en ejecución.

      • En la pestaña Descripción de la instancia principal de Web App Firewall, anote la dirección IP pública IPv4. Los usuarios necesitan esa dirección IP para construir el comando SSH.

    Consola de Amazon EC2 con descripción de la instancia principal

    • Para almacenar la clave en el llavero del usuario, ejecute el comando ssh-add -K [your-key-pair].pem

    En Linux, es posible que los usuarios deban omitir el indicador -K.

    • Inicie sesión en el host bastión utilizando el siguiente comando, usando el valor de LinuxBastionHostEIP1 que los usuarios anotaron en el paso 1.

    ssh -A ubuntu@[LinuxBastionHostEIP1]

    • Desde el host bastión, los usuarios pueden conectarse a la instancia principal de Web App Firewall mediante SSH.

    ssh nsroot@[Primary Management Private NSIP]

    Contraseña: [Primary ADC Instance ID]

    Conectando a la instancia principal de NetScaler Web App Firewall

    Ahora los usuarios están conectados a la instancia principal de NetScaler Web App Firewall. Para ver los comandos disponibles, los usuarios pueden ejecutar el comando help. Para ver la configuración de HA actual, los usuarios pueden ejecutar el comando show HA node.

    NetScaler Console

    El servicio NetScaler Application Delivery Management proporciona una solución fácil y escalable para gestionar las implementaciones de NetScaler que incluyen dispositivos NetScaler MPX, NetScaler VPX, NetScaler Gateway, NetScaler Secure Web Gateway, NetScaler SDX, NetScaler ADC CPX y NetScaler SD-WAN que se implementan en las instalaciones o en la nube.

    La documentación del servicio NetScaler Console incluye información sobre cómo empezar a usar el servicio, una lista de las características compatibles con el servicio y la configuración específica de esta solución de servicio.

    Para obtener más información, consulte Descripción general de NetScaler Console.

    Implementación de instancias de NetScaler VPX en AWS mediante NetScaler Console

    Cuando los clientes trasladan sus aplicaciones a la nube, los componentes que forman parte de su aplicación aumentan, se distribuyen más y deben gestionarse dinámicamente.

    Para obtener más información, consulte Aprovisionamiento de instancias de NetScaler VPX en AWS.

    NetScaler Web App Firewall y OWASP Top 10 – 2017

    El Proyecto Abierto de Seguridad de Aplicaciones Web: OWASP publicó el OWASP Top 10 de 2017 para la seguridad de las aplicaciones web. Esta lista documenta las vulnerabilidades más comunes de las aplicaciones web y es un excelente punto de partida para evaluar la seguridad web. Aquí detallamos cómo configurar el NetScaler Web App Firewall (Web App Firewall) para mitigar estos fallos. Web App Firewall está disponible como un módulo integrado en NetScaler (Premium Edition), así como en una gama completa de dispositivos.

    El documento completo de OWASP Top 10 está disponible en OWASP Top Ten.

    Las firmas ofrecen las siguientes opciones de implementación para ayudar a los usuarios a optimizar la protección de sus aplicaciones:

    • Modelo de seguridad negativo: Con el modelo de seguridad negativo, los usuarios emplean un amplio conjunto de reglas de firma preconfiguradas para aplicar el poder de la coincidencia de patrones para detectar ataques y proteger contra vulnerabilidades de aplicaciones. Los usuarios bloquean solo lo que no quieren y permiten el resto. Los usuarios pueden añadir sus propias reglas de firma, basadas en las necesidades de seguridad específicas de las aplicaciones de los usuarios, para diseñar sus propias soluciones de seguridad personalizadas.

    • Modelo de seguridad híbrido: Además de usar firmas, los usuarios pueden usar comprobaciones de seguridad positivas para crear una configuración idealmente adecuada para las aplicaciones de usuario. Use firmas para bloquear lo que los usuarios no quieren y use comprobaciones de seguridad positivas para aplicar lo que está permitido.

    Para proteger las aplicaciones de usuario mediante firmas, los usuarios deben configurar uno o varios perfiles para usar su objeto de firmas. En una configuración de seguridad híbrida, los patrones de inyección SQL y de scripts entre sitios, y las reglas de transformación SQL, en el objeto de firmas de usuario se utilizan no solo por las reglas de firma, sino también por las comprobaciones de seguridad positivas configuradas en el perfil de Web Application Firewall que utiliza el objeto de firmas.

    El Web Application Firewall examina el tráfico a los sitios web y servicios web protegidos por el usuario para detectar el tráfico que coincide con una firma. Una coincidencia se activa solo cuando cada patrón de la regla coincide con el tráfico. Cuando se produce una coincidencia, se invocan las acciones especificadas para la regla. Los usuarios pueden mostrar una página de error o un objeto de error cuando se bloquea una solicitud. Los mensajes de registro pueden ayudar a los usuarios a identificar los ataques que se lanzan contra las aplicaciones de usuario. Si los usuarios habilitan las estadísticas, el Web Application Firewall mantiene datos sobre las solicitudes que coinciden con una firma o comprobación de seguridad de Web Application Firewall.

    Si el tráfico coincide con una firma y una comprobación de seguridad positiva, se aplica la más restrictiva de las dos acciones. Por ejemplo, si una solicitud coincide con una regla de firma para la que la acción de bloqueo está deshabilitada, pero la solicitud también coincide con una comprobación de seguridad positiva de inyección SQL para la que la acción es bloquear, la solicitud se bloquea. En este caso, la infracción de firma podría registrarse como [not blocked], aunque la solicitud sea bloqueada por la comprobación de inyección SQL.

    Personalización: Si es necesario, los usuarios pueden añadir sus propias reglas a un objeto de firmas. Los usuarios también pueden personalizar los patrones SQL/XSS. La opción de añadir sus propias reglas de firma, basadas en las necesidades de seguridad específicas de las aplicaciones de usuario, ofrece a los usuarios la flexibilidad de diseñar sus propias soluciones de seguridad personalizadas. Los usuarios bloquean solo lo que no quieren y permiten el resto. Un patrón de coincidencia rápida específico en una ubicación determinada puede reducir significativamente la sobrecarga de procesamiento para optimizar el rendimiento. Los usuarios pueden añadir, modificar o eliminar patrones de inyección SQL y de scripts entre sitios. Los editores de expresiones y RegEx integrados ayudan a los usuarios a configurar patrones de usuario y verificar su precisión.

    NetScaler Web App Firewall

    El Firewall de aplicaciones web es una solución de nivel empresarial que ofrece protecciones de vanguardia para aplicaciones modernas. NetScaler Web App Firewall mitiga las amenazas contra los activos expuestos al público, incluidos sitios web, aplicaciones web y API. Este incluye filtrado basado en la reputación de IP, mitigación de bots, protecciones contra las 10 principales amenazas de aplicaciones de OWASP, protección DDoS de capa 7 y mucho más. También se incluyen opciones para aplicar autenticación, cifrados SSL/TLS robustos, TLS 1.3, limitación de velocidad y políticas de reescritura. Utilizando protecciones básicas y avanzadas del Firewall de aplicaciones web, esta solución proporciona una protección integral para sus aplicaciones con una facilidad de uso inigualable. Ponerlo en marcha es cuestión de minutos. Además, utilizando un modelo de aprendizaje automatizado, llamado perfilado dinámico, el sistema ahorra un tiempo valioso a los usuarios. Al aprender automáticamente cómo funciona una aplicación protegida, el Firewall de aplicaciones web se adapta a la aplicación incluso cuando los desarrolladores implementan y modifican las aplicaciones. NetScaler Web App Firewall ayuda con el cumplimiento de todas las principales normas y organismos reguladores, incluidos PCI-DSS, HIPAA y más. Con nuestras plantillas de CloudFormation, nunca ha sido tan fácil empezar a trabajar rápidamente. Con el escalado automático, los usuarios pueden estar seguros de que sus aplicaciones permanecen protegidas incluso cuando su tráfico aumenta.

    Estrategia de implementación de Web App Firewall

    El primer paso para implementar el firewall de aplicaciones web es evaluar qué aplicaciones o datos específicos necesitan la máxima protección de seguridad, cuáles son menos vulnerables y cuáles pueden omitir la inspección de seguridad de forma segura. Esto ayuda a los usuarios a elaborar una configuración óptima y a diseñar políticas y puntos de enlace adecuados para segregar el tráfico. Por ejemplo, los usuarios podrían querer configurar una política para omitir la inspección de seguridad de las solicitudes de contenido web estático, como imágenes, archivos MP3 y películas, y configurar otra política para aplicar comprobaciones de seguridad avanzadas a las solicitudes de contenido dinámico. Los usuarios pueden usar múltiples políticas y perfiles para proteger diferentes contenidos de la misma aplicación.

    El siguiente paso es establecer la línea base de la implementación. Comience creando un servidor virtual y ejecute tráfico de prueba a través de él para hacerse una idea de la tasa y la cantidad de tráfico que fluye a través del sistema del usuario.

    Luego, implemente el Web App Firewall. Utilice la consola de NetScaler y el StyleBook de Web App Firewall para configurar el Web App Firewall. Consulte la sección StyleBook a continuación en esta guía para obtener más detalles.

    Una vez que el Web App Firewall esté implementado y configurado con el StyleBook de Web App Firewall, un siguiente paso útil sería implementar el NetScaler ADC Web App Firewall y OWASP Top 10.

    Finalmente, tres de las protecciones de Web App Firewall son especialmente eficaces contra los tipos comunes de ataques web y, por lo tanto, se utilizan con más frecuencia que cualquier otra. Por lo tanto, deben implementarse en la implementación inicial.

    NetScaler Console

    La consola de NetScaler proporciona una solución escalable para gestionar implementaciones de NetScaler ADC que incluyen dispositivos NetScaler ADC MPX, NetScaler ADC VPX, NetScaler Gateway, NetScaler Secure Web Gateway, NetScaler ADC SDX, NetScaler ADC CPX y NetScaler SD-WAN que se implementan en las instalaciones o en la nube.

    Funciones de análisis y gestión de aplicaciones de la consola NetScaler

    Las funciones compatibles con la consola de NetScaler son clave para el papel de la consola de NetScaler en la seguridad de las aplicaciones.

    Para obtener más información sobre las funciones, consulte Funciones y soluciones.

    Requisitos previos

    Antes de intentar crear una instancia VPX en AWS, los usuarios deben asegurarse de que se cumplen los requisitos previos. Para obtener más información, consulte Requisitos previos:

    Limitaciones y directrices de uso

    Las limitaciones y directrices de uso disponibles en Limitaciones y directrices de uso se aplican al implementar una instancia de Citrix ADC VPX en AWS.

    Requisitos técnicos

    Antes de que los usuarios inicien la Guía de inicio rápido para comenzar una implementación, la cuenta de usuario debe configurarse como se especifica en la siguiente tabla de recursos. De lo contrario, la implementación podría fallar.

    Recursos

    Si es necesario, inicie sesión en la cuenta de usuario de Amazon y solicite aumentos de límite de servicio para los siguientes recursos aquí: AWS/Iniciar sesión. Es posible que deba hacerlo si ya tiene una implementación existente que utiliza estos recursos y cree que podría exceder los límites predeterminados con esta implementación. Para conocer los límites predeterminados, consulte las Cuotas de servicio de AWS en la documentación de AWS: Cuotas de servicio de AWS.

    AWS Trusted Advisor, que se encuentra aquí: AWS/Iniciar sesión, ofrece una comprobación de límites de servicio que muestra el uso y los límites para algunos aspectos de algunos servicios.

    Recurso Esta implementación utiliza
    VPC 1
    Direcciones IP elásticas 0/1 (para host Bastion)
    Grupos de seguridad de IAM 3
    Roles de IAM 1
    Subredes 6 (3/Zona de disponibilidad)
    Gateway de Internet 1
    Tablas de rutas 5
    Instancias VPX de Web App Firewall 2
    Host bastión 0/1
    Pasarela NAT 2

    Regiones

    NetScaler Web App Firewall en AWS no es compatible actualmente con todas las regiones de AWS. Para obtener una lista actual de las regiones compatibles, consulte Puntos de conexión de servicio de AWS en la documentación de AWS: Puntos de conexión de servicio de AWS.

    Para obtener más información sobre las regiones de AWS y por qué la infraestructura en la nube es importante, consulte: Infraestructura global.

    Par de claves

    Asegúrese de que exista al menos un par de claves de Amazon EC2 en la cuenta de AWS del usuario en la región donde los usuarios planean implementarlo mediante la Guía de inicio rápido. Anote el nombre del par de claves. Se solicitará esta información a los usuarios durante la implementación. Para crear un par de claves, siga las instrucciones de Pares de claves de Amazon EC2 e instancias de Linux en la documentación de AWS: Pares de claves de Amazon EC2 e instancias de Linux.

    Si los usuarios están implementando la Guía de inicio rápido con fines de prueba o de prueba de concepto, recomendamos que creen un nuevo par de claves en lugar de especificar un par de claves que ya esté siendo utilizado por una instancia de producción.

    Referencias