Documentation Produit
NetScaler Application Delivery Management Service
Voir PDF

Security Insight

May 15, 2023
Contributeur: 
C

Les applications Web et de services Web exposées à Internet sont devenues de plus en plus vulnérables aux attaques. Pour protéger les applications contre les attaques, vous avez besoin d’une visibilité sur la nature et l’étendue des menaces passées, présentes et imminentes, de données exploitables en temps réel sur les attaques et de recommandations en matière de contre-mesures. Security Insight fournit une solution sur un seul écran pour vous aider à évaluer l’état de sécurité de votre application et à prendre des mesures correctives pour sécuriser vos applications.

Remarque

Security Insight est pris en charge par NetScaler ADM avec toutes les appliances ADC exécutées sur la version 11.0 Build 65.31 et versions ultérieures.

Fonctionnement des informations de sécurité

Security Insight est une solution intuitive d’analyse de la sécurité basée sur un tableau de bord qui vous donne une visibilité totale sur l’environnement de menace associé à vos applications. Les informations de sécurité sont incluses dans NetScaler ADM et génèrent régulièrement des rapports en fonction des configurations de sécurité de votre pare-feu d’applications et de votre système ADC. Les rapports contiennent les renseignements suivants pour chaque application :

  • Indice des menaces. Système d’évaluation à un chiffre qui indique la criticité des attaques contre l’application, que l’application soit protégée ou non par une appliance ADC. Plus les attaques sur une application sont critiques, plus l’indice de menace pour cette application est élevé. Les valeurs varient de 1 à 7.

    L’indice des menaces est basé sur les informations d’attaque. Les informations relatives à l’attaque, telles que le type de violation, la catégorie d’attaque, l’emplacement et les détails du client, vous donnent un aperçu des attaques visant l’application. Les informations de violation sont envoyées à NetScaler ADM uniquement lorsqu’une violation ou une attaque se produit. De nombreuses failles et vulnérabilités conduisent à un indice de menace élevé.

  • Indice de sécurité. Un système d’évaluation à un chiffre qui indique le niveau de sécurité avec lequel vous avez configuré les instances ADC pour protéger les applications contre les menaces et les vulnérabilités externes. Plus les risques pour la sécurité d’une application sont faibles, plus l’indice de sécurité est élevé. Les valeurs varient de 1 à 7.

    L’indice de sécurité tient compte à la fois de la configuration du pare-feu d’application et de la configuration de sécurité du système ADC. Pour un indice de sécurité élevé, les deux configurations doivent être solides. Par exemple, si des contrôles rigoureux du pare-feu des applications sont en place mais que les mesures de sécurité du système ADC, telles qu’un mot de passe fort pour l’utilisateur nsroot, n’ont pas été adoptées, les applications se voient attribuer une valeur d’indice de sécurité faible.

  • Informations exploitables. Informations dont vous avez besoin pour abaisser l’indice de menace et augmenter l’indice de sécurité, ce qui améliore considérablement la sécurité des applications. Par exemple, vous pouvez consulter des informations sur les violations, les configurations de sécurité existantes et manquantes pour le pare-feu d’application et d’autres fonctionnalités de sécurité, le taux d’attaque des applications.

Configurer les informations de sécurité

Remarque

Security Insight est pris en charge sur les instances ADC avec licence Premium ou ADC Advanced avec licence AppFirewall uniquement.

Pour configurer les informations de sécurité sur une instance ADC, configurez d’abord un profil de pare-feu d’application et une stratégie de pare-feu d’application, puis liez la stratégie de pare-feu d’application globalement.

Ensuite, activez la fonctionnalité AppFlow, configurez un collecteur, une action et une stratégie AppFlow, puis liez la stratégie globalement. Lorsque vous configurez le collecteur, vous devez spécifier l’adresse IP de l’agent NetScaler ADM sur lequel vous souhaitez surveiller les rapports.

Configuration des informations de sécurité sur une instance ADC

  1. Exécutez les commandes suivantes pour configurer un profil et une stratégie de pare-feu d’application et lier la stratégie de pare-feu d’application globalement ou au serveur virtuel d’équilibrage de charge.

     **add appfw profile** \<name\> \[**-defaults** ( basic or advanced )\]

 **set appfw profile** \<name\> \[**-startURLAction** \<startURLAction\> ...\]

 **add appfw policy** \<name\> \<rule\> \<profileName\>

 **bind appfw global** \<policyName\> \<priority\>

 or,

 **bind lb vserver** \<lb vserver\> **-policyName** \<policy\> **-priority** \<priority\>

    Échantillon :

    ```
add appfw profile pr_appfw -defaults advanced
set  appfw profile pr_appfw -startURLaction log stats learn
add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw
bind appfw global pr_appfw_pol 1
or,
bind lb vserver outlook –policyName pr_appfw_pol –priority "20"
<!--NeedCopy--> ```

  2. Exécutez les commandes suivantes pour activer la fonctionnalité AppFlow, configurer un collecteur, une action et une stratégie AppFlow et lier la stratégie globalement ou au serveur virtuel d’équilibrage de charge :

     **add appflow collector** \<name\> **-IPAddress** \<ipaddress\>

**set appflow param** \[**-SecurityInsightRecordInterval** \<secs\>\] \[**-SecurityInsightTraffic** ( ENABLED or DISABLED )\]

 **add appflow action** \<name\> **-collectors** \<string\>

 **add appflow policy** \<name\> \<rule\> \<action\>

**bind appflow global** \<policyName\> \<priority\> \[\<gotoPriorityExpression\>\] \[**-type** \<type\>\]

 or,

 **bind lb vserver** \<vserver\> **-policyName** \<policy\> **-priority** \<priority\>

    Échantillon :

    ```
add appflow collector col -IPAddress 10.102.63.85
set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
add appflow action act1 -collectors col
add appflow action af_action_Sap_10.102.63.85 -collectors col
add appflow policy pol1 true act1
add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
bind appflow global pol1 1 END -type REQ_DEFAULT
or,
bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"
<!--NeedCopy--> ```

Tirez parti des informations de sécurité de NetScaler ADM

  1. Accédez à Infrastructure > Instances > NetScaler et sélectionnez le type d’instance. Par exemple, VPX.

  2. Sélectionnez l’instance et, dans la liste Sélectionner une action, sélectionnez Configurer Analytics.

  3. Dans la fenêtre Configurer Analytics sur un serveur virtuel  :

    1. Sélectionnez les serveurs virtuels sur lesquels vous souhaitez activer les informations de sécurité, puis cliquez sur Activer les analyses.

      La fenêtre Activer les analyses s’affiche.

    2. Sélectionnez WAF Security Violations

    3. Sous Options avancées, sélectionnez Logstream ou IPFIX comme mode de transport

      Remarque

      Pour NetScaler 12.0 ou version antérieure, IPFIX est l’option par défaut pour le mode transport. Pour NetScaler 12.0 ou version ultérieure, vous pouvez sélectionner Logstream ou IPFIX comme mode de transport.

      Pour plus d’informations sur IPFIX et Logstream, consultez la section Présentation de Logstream.

    4. L’expression est true par défaut

    5. Cliquez sur OK.

      Activer

      Remarque

      • Si vous sélectionnez des serveurs virtuels sans licence, NetScaler ADM octroie d’abord une licence à ces serveurs virtuels, puis active les analyses

      • Pour les partitions d’administration, seul Web Insight est pris en charge

Une fois que vous avez cliqué sur OK, NetScaler ADM procède pour activer les analyses sur les serveurs virtuels sélectionnés.

Activer les analyses

Remarque

Lorsque vous créez un groupe, vous pouvez affecter des rôles au groupe, fournir un accès au niveau de l’application au groupe et affecter des utilisateurs au groupe. NetScaler ADM Analytics prend désormais en charge l’autorisation basée sur l’adresse IP virtuelle. Vos utilisateurs peuvent désormais voir des rapports pour tous les Insights uniquement pour les applications (serveurs virtuels) pour lesquelles ils sont autorisés. Pour plus d’informations sur les groupes et l’affectation d’utilisateurs au groupe, consultez la section Configuration des groupes sur NetScalerADM.

Configurer des emplacements géographiques pour les rapports d’informations sur la sécurité

Si vous configurez des emplacements géographiques dans NetScaler ADM, les rapports Security Insight incluent les emplacements géographiques exacts d’où proviennent les demandes des clients. Pour activer les géolocalisations, spécifiez un bloc IP privé ou une plage d’adresses IP pour chaque emplacement géographique de votre organisation. Ajoutez ces informations dans le fichier de base de données géographiques, ainsi que le nom de la ville/de l’état/du pays et les coordonnées de latitude et de longitude de chaque emplacement. Contactez votre représentant NetScaler pour obtenir le fichier de base de données géographiques, puis chargez le fichier sur l’instance ADC.

Pour configurer des géolocalisations :

  1. Copiez le fichier de base de données géographique, Citrix_Netscaler_InBuilt_GeoIP_DB.csv, vers n’importe quel emplacement de l’appliance ADC.

  2. Ouvrez le fichier de base de données géographique dans un éditeur de texte, tel que l’éditeur vi, et ajoutez une entrée pour chaque emplacement de votre organisation.

    L’entrée doit être dans le format suivant :

    <start IP\>,<end IP\>,,<country\>,<state\>,,<city\>,,longitude,latitude

    Par exemple,

    4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568

  3. Exécutez les commandes suivantes pour activer la journalisation géographique et la journalisation au format CEF :

    • add locationFile <Complete path with DB file>
    • set appfw settings -geoLocationLogging ON
    • set appfw settings -CEFLogging ON

Réputation IP

Vous pouvez utiliser NetScaler Insight Center pour surveiller et gérer la réputation IP de votre trafic entrant. Vous pouvez configurer des stratégies pour ajouter d’autres adresses IP comme étant malveillantes et créer une liste de blocs personnalisée.

Pour en savoir plus sur la configuration et l’utilisation de la réputation IP, voir Réputation IP.

Surveillance de la réputation IP

La fonctionnalité Réputation IP fournit des informations relatives aux attaques sur les adresses IP malveillantes. Par exemple, il signale le score de réputation IP, la catégorie de réputation IP, le temps d’attaque de réputation IP, l’adresse IP du périphérique et des détails sur l’adresse IP du client.

Le score de réputation IP indique le risque associé à une adresse IP. Le score a les gammes suivantes :

Score de réputation IP Niveau de risque
1–20 Risque élevé
21–40 Suspect
41–60 Risque modéré
61–80 Risque faible
81–100 Fiable

Pour surveiller la réputation d’IP :

  1. Accédez à Sécurité > Violations de sécurité, puis sous WAF, sélectionnez l’application que vous souhaitez surveiller.

  2. L’ indice des menaces et les scores de l’indice de sécurité sont affichés. Cliquez sur Afficher les détails.

  3. Sous Configuration du pare-feu d’application, vous pouvez afficher le score de l’indice de sécurité de réputation IP.

Seuils

Vous pouvez définir et consulter les seuils relatifs à l’indice de sécurité et à l’indice de menace des applications dans Security Insight.

Pour définir un seuil :

  1. Accédez à Paramètres > Paramètres d’analyse > Seuils, puis sélectionnez Ajouter.

  2. Sélectionnez le type de trafic comme Sécurité dans le champ Type de trafic et entrez les informations requises dans les autres champs appropriés tels que Nom, Durée et entité.

  3. Dans la section Règle, utilisez les champs Métrique, Comparateur et Valeur pour définir un seuil.

    Par exemple, “Threat Index” “>” “5”

  4. Cliquez sur Create.

Cas d’utilisation des informations de sécurité

Les cas d’utilisation suivants décrivent comment utiliser les informations de sécurité pour évaluer l’exposition aux menaces des applications et améliorer les mesures de sécurité.

Obtenez une vue d’ensemble de l’environnement des menaces

Dans ce cas d’utilisation, vous disposez d’un ensemble d’applications exposées à des attaques et vous avez configuré NetScaler ADM pour surveiller l’environnement de menaces. Vous devez examiner l’indice de menace, l’indice de sécurité, ainsi que le type et la gravité des attaques que les applications ont pu rencontrer pour vous concentrer d’abord sur les applications critiques. Le tableau de bord d’Security Insight fournit un résumé des menaces rencontrées par vos applications sur une période de temps de votre choix et pour un périphérique ADC sélectionné. Il affiche la liste des applications, leurs indices de menace et de sécurité, ainsi que le nombre total d’attaques pour la période choisie.

Pour obtenir un résumé de l’environnement de menaces, connectez-vous à NetScaler ADM, puis accédez à Sécurité > Violation de sécurité. Sous WAF, les cinq principales applications s’affichent en fonction du nombre total de violations touchées. Pour afficher toutes les applications, vous pouvez cliquer sur Afficher tout.

Applications WAF

Déterminer la configuration de sécurité existante et manquante pour une application

Après avoir examiné l’exposition aux menaces d’une application, vous souhaitez déterminer quelles configurations de sécurité des applications sont en place et quelles configurations sont manquantes pour cette application. Vous pouvez obtenir ces informations en effectuant une exploration vers le bas dans le résumé de l’application.

Le résumé fournit des informations sur l’efficacité des configurations de sécurité suivantes :

  • Configuration du pare-feu d’application. Indique le nombre d’entités de signature et de sécurité qui ne sont pas configurées.

  • Sécurité du système NetScaler ADM. Indique combien de paramètres de sécurité système ne sont pas configurés.

    Configuration de la sécurité

Sur le nœud Configuration du pare-feu d’application, passez en revue les informations de vérification de sécurité et de violation de sécurité.

Configuration du pare-feu des applications

Cliquez sur le nœud NetScaler ADM System Security et passez en revue les paramètres de sécurité du système et les recommandations de Citrix pour améliorer l’indice de sécurité des applications.

Identifier les applications nécessitant une attention immédiate

Les applications qui nécessitent une attention immédiate sont les applications ayant un indice de menace élevé et un indice de sécurité faible.

Déterminer le nombre d’attaques dans un temps donné

Vous pouvez déterminer le nombre d’attaques survenues sur une application donnée à un moment donné ou étudier le taux d’attaque pour une période donnée.

Sous WAF, cliquez sur n’importe quelle application pour afficher le nombre total de violations WAF détectées pour la durée sélectionnée.

Sélectionner la durée

Cliquez sur Journaux pour afficher les détails des attaques en fonction de la gravité et de l’action entreprise. La page journaux fournit les détails suivants :

  • Temps d’attaque

  • Adresse IP du client à partir duquel l’attaque s’est produite

  • Gravité

  • Catégorie de violation

  • URL d’origine de l’attaque, et d’autres détails.

Security Insight
May 15, 2023
Contributeur: 
C
May 15, 2023
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.