Sécurité Edge
Les fonctionnalités de sécurité Citrix SD-WAN Edge permettent une sécurité avancée sur les appliances de succursale Citrix SD-WAN. Il simplifie la gestion de la sécurité des informations pour protéger le réseau des succursales contre les menaces Internet en fournissant un volet de gestion et de reporting unique pour diverses fonctionnalités de sécurité ainsi que le SD-WAN. Il élimine le besoin de plusieurs solutions de succursale en consolidant les capacités de routage, de SD-WAN et de sécurité sur une seule appliance et réduit la complexité et les coûts du réseau. La pile de sécurité Edge inclut les fonctionnalités de sécurité suivantes :
- Filtrage Web
- Anti-Malware
- Prévention des intrusions
La fonctionnalité de sécurité Edge est disponible sur les appliances Citrix SD-WAN Advanced Edition. Pour plus d’informations sur les éditions, consultez le support logiciel [Citrix SD-WAN Platform Editions](/fr-fr/citrix-sd-wan/11-2.html#citrix-sd-wan-platform-editions) et Citrix SD-WAN Platform. Pour plus d’informations sur les appliances prises en charge, consultez la fiche technique Citrix SD-WAN.
Remarque
Citrix SD-WAN Advanced Edition est pris en charge uniquement sur l’appliance Citrix SD-WAN 1100.
Étant donné que la fonctionnalité de sécurité Edge est sensible au calcul, Citrix conseille d’utiliser l’appliance Advanced Edition uniquement sur les sites de succursales qui n’ont pas encore de solution de pare-feu de nouvelle génération.
Lors de la configuration d’un site de succursale doté de fonctionnalités Edge Security, assurez-vous qu’un modèle d’appareil prenant en charge l’édition avancée est sélectionné et que l’ édition de l’appareil est AE. Pour plus de détails sur l’ajout et la configuration d’un site, consultez la section Configuration du site.
Le service Citrix SD-WAN Orchestrator vous permet de définir des profils de sécurité pour les fonctionnalités de sécurité Edge et d’associer ces profils de sécurité à des politiques de pare-feu. Les stratégies de pare-feu sont améliorées pour accepter les paramètres des profils de sécurité qui spécifient les fonctionnalités de sécurité avancées.
Remarque
Vous pouvez créer des profils de sécurité et configurer les fonctionnalités de sécurité Edge via le service Citrix SD-WAN Orchestrator uniquement.
Profils de sécurité
Un profil de sécurité est un ensemble d’options de sécurité de périphérie spécifiques qui est appliqué à un segment spécifique de trafic défini par une stratégie de pare-feu. L’intention est de protéger le trafic contre les menaces à la sécurité. Par exemple, vous pouvez définir des profils de sécurité avec différents niveaux de sécurité et droits d’accès pour différents segments de votre réseau. Vous pouvez activer et configurer les paramètres de filtrage Web, de lutte contre les programmes malveillants et de prévention des intrusions pour chaque profil de sécurité.
Les profils de sécurité sont ensuite associés aux stratégies de pare-feu pour définir les critères du trafic à inspecter. Par exemple, dans une organisation, vous pouvez créer différents profils de sécurité pour les sous-réseaux d’employés et les zones de pare-feu invité. Vous pouvez ensuite affecter le profil de sécurité à une stratégie de pare-feu appropriée qui correspond respectivement au trafic des employés et des invités.
Pour créer un profil de sécurité, au niveau du réseau, accédez à Configuration > Sécurité > Profil de sécurité et cliquez sur Nouveau profil de sécurité.
Fournissez un nom et une description pour le profil de sécurité. Activez et configurez les paramètres de filtrage Web, de lutte contre les programmes malveillants et de prévention des intrusions selon les besoins.
Filtrage Web
Le filtrage Web vous permet de filtrer les sites Web auxquels vos utilisateurs du réseau accèdent via une base de données de catégorisation qui comprend environ 32 milliards d’URL et 750 millions de domaines. Il peut empêcher l’exposition à des sites inappropriés, aux logiciels espions, au phishing, au pharming, à la redirection de sites Web et à d’autres menaces Internet. Il peut également appliquer des politiques Internet, empêchant l’accès aux médias sociaux, la communication entre pairs, les jeux de hasard et d’autres sites fréquemment interdits par les politiques de l’entreprise. Web Filter surveille le trafic Internet sur votre réseau et le filtre en enregistrant les activités Web et en signalant ou bloquant également le contenu inapproprié.
Lorsque vous visitez un site Web et que le filtrage Web est activé, l’URL est envoyée à une base de données cloud pour la catégorisation.
Remarque
Configurez un serveur DNS valide et activez l’accès Internet HTTPS via l’interface de gestion SD-WAN. Cela rend la base de données cloud accessible pour que le filtrage Web puisse fonctionner.
Le résultat de catégorisation est ensuite mis en cache sur l’appliance SD-WAN afin d’augmenter la vitesse de traitement des demandes futures. Le résultat est ensuite utilisé pour marquer, bloquer ou autoriser les sites Web sans augmenter le temps de chargement. Vous pouvez ajouter des règles pour bloquer ou contourner les sites non catégorisés ou mal classés, ou pour configurer des exceptions. Vous pouvez également contourner le filtrage Web pour des adresses IP ou des sous-réseaux utilisateur spécifiques.
Catégorie de bloc/drapeau
Vous pouvez marquer ou bloquer différentes catégories de sites Web. Le filtrage Web classe les URL en six catégories : ressources informatiques, Divers, Confidentialité, Productivité, Sécurité et Sensible. Chacun de ces groupes a des catégories d’URL différentes. Lorsque vous choisissez l’option de bloc, il signale implicitement le site Web aussi. Lorsque vous essayez d’accéder à un site Web d’une catégorie bloquée, il est marqué comme une violation et le site Web est bloqué. Les catégories marquées vous permettent d’accéder aux sites Web, mais l’événement est marqué comme une violation. Vous pouvez consulter les détails dans les journaux ou les [rapports](/fr-fr/citrix-sd-wan-orchestrator/reporting/customer-network-reports.html#web-filtering) de sécurité.
Bloc/Signaler les sites
Vous pouvez ajouter des règles pour bloquer ou marquer des sites spécifiques autorisés par les paramètres de la section Catégories. Vous pouvez également bloquer ou marquer les sites non catégorisés ou non catégorisés. Entrez le nom de domaine, fournissez une description et sélectionnez Bloquer ou Signaler. Les décisions relatives aux URL figurant dans la liste Bloquer/Signaler des sites ont priorité sur les décisions basées sur la catégorie de sites.
Remarque
- Vous ne pouvez ajouter que des noms de domaine complets (FQDN), par exemple : somedomain.com. Vous ne pouvez pas ajouter de chemins d’URL, par exemple : somedomain.com/path/to/file.
- Tout domaine ajouté aux sites de blocage/d’indicateur inclut également ses sous-domaines. Par exemple, l’ajout de domaine.com bloquera ou signalera sous-domain1.domain.com, sous-domain2.domain.comet sous-domainlevel2.subdomainlevel1.domain.com.
Ignorer les URL
Vous pouvez ajouter des règles pour autoriser des sites spécifiques dans des catégories bloquées. Tout domaine ajouté à la liste des URL de contournement est autorisé, même s’il est bloqué par catégorie ou par URL individuelle. Entrez le nom de domaine et fournissez une description. Sélectionnez Actif pour autoriser l’URL.
Remarque
- Vous ne pouvez ajouter que des noms de domaine complets (FQDN), par exemple : somedomain.com. Vous ne pouvez pas ajouter de chemins d’URL, par exemple : somedomain.com/path/to/file.
- Tout domaine ajouté pour contourner les URL inclut également ses sous-domaines. Par exemple, l’ajout de domaine.com contourne subdomain1.domain.com, subdomain2.domain.comet subdomainlevel2.subdomainlevel1.domain.com.
Contourner les adresses IP du client
Vous pouvez ajouter des règles pour contourner le filtrage Web pour des adresses IP ou des sous-réseaux spécifiques. Vous pouvez fournir une adresse IP ou une notation CIDR de sous-réseau et une description significative. Le filtre Web ne bloque aucun trafic, quels que soient les catégories ou les sites bloqués. Sélectionnez Actif pour autoriser le trafic en provenance de ces adresses IP.
Remarque
Étant donné que les adresses IP DHCP peuvent changer, utilisez cette fonctionnalité uniquement pour les clients disposant d’adresses IP statiques ou de sous-réseaux.
Options avancées
Traiter le trafic HTTPS par SNI (indication du nom du serveur)
SNI est une extension du protocole TLS (Transport Layer Security) par lequel un client indique le nom du site Web auquel l’utilisateur tente de se connecter au début du processus de connexion sécurisée. Cela permet non seulement au serveur de fournir le bon certificat, mais également à l’appliance SD-WAN d’identifier le site Web cible et de déterminer sa catégorie d’URL, même si la communication de bout en bout est chiffrée. Si cette option est activée, le trafic HTTPS est catégorisé à l’aide du SNI dans le flux de données HTTPS, le cas échéant.
Remarque
L’option Traiter le trafic HTTPS par SNI est activée par défaut.
Options de blocage
-
Bloquer QUIC (port UDP 443) : le pare-feu bloque toute communication sortante sur le port UDP 443, généralement utilisé pour le protocole QUIC, qui ne peut pas être traitée par le module de filtrage Web. Le blocage de QUIC entraîne le retour du navigateur à la communication HTTP (S) basée sur TCP.
-
Ignorer si le référent correspond à un site de contournement : si une page contenant du contenu externe est autorisée via une URL de contournement, le contenu externe est transmis indépendamment des autres politiques de blocage.
Remarque
Bien que cette option vous permet d’accéder aux sites Web externes, elle expose un risque de sécurité. L’option de référence dans l’en-tête HTTP peut être remplacée par des modules complémentaires et des plug-ins de navigateur. Citrix vous conseille d’utiliser cette option judicieusement.
-
Fermer la connexion pour les sessions HTTPS bloquées sans rediriger vers la page de blocage : L’appliance SD-WAN émet une redirection HTTP vers une page de blocage personnalisée au cas où l’URL serait bloquée. Toutefois, cette redirection n’est pas possible pour les sessions HTTPS sans entraîner une fin de session Mi-in-the-Middle (MiTM), affichant une page d’avertissement du navigateur de certificats non valide. Cette option entraîne la fin de la session HTTPS à la place, afin d’éviter un faux avertissement concernant une attaque potentielle sur le site Web cible.
Remarque
Cette option est activée par défaut.
-
URL personnalisée pour le blocage : définissez un emplacement de serveur externe pour rediriger les utilisateurs lorsque l’accès à un site Web leur est refusé par un filtre Web. Si une URL personnalisée est configurée, les variables de chaîne de requête suivantes sont transmises afin que le système de réception puisse personnaliser son contenu.
-
raison : raisonpour laquelle l’accès a été refusé à l’utilisateur. Il s’agit du nom de la catégorie WebBase+e-mailet d’une description plus longue de la catégorie. Par exemple, Sites+offre+Web+Basé+Email+et+Email+Clients (les caractères « espace » sont remplacés par « + ») au cas où le site serait bloqué en raison de sa catégorie. Sinon, si bloqué en raison de « blocs URL », il est vide.
-
appname : application responsable du refus (filtrage Web).
-
appid : identifiant de l’application, identifiant interne pour le filtrage Web (qui peut être ignoré).
-
host : le nom de domaine de l’URL à laquelle l’utilisateur final s’est vu refuser l’accès.
-
ClientAddress : adresse IP de l’utilisateur final à qui l’accès a été refusé.
-
url : URLdemandée à laquelle l’accès a été refusé.
-
Remarque
Si vous n’utilisez pas votre propre page Web pour traiter le déni, le déni intégré émet une redirection vers une adresse IP non routable.
Vous pouvez consulter des rapports de filtrage Web détaillés sur le service Citrix SD-WAN Orchestrator. Pour plus de détails, voir Rapports — Filtrage Web
Prévention des intrusions
La prévention des intrusions détecte et empêche les activités malveillantes sur votre réseau. Il comprend une base de données de plus de 34 000 détections de signatures et signatures heuristiques pour les analyses de ports, ce qui vous permet de surveiller et de bloquer efficacement la plupart des demandes suspectes. Vous pouvez choisir d’activer ou de désactiver la prévention des intrusions lorsque vous définissez un profil de sécurité, mais les règles de prévention des intrusions sont communes à tous les profils de sécurité. Vous pouvez créer et gérer des règles depuis Configuration > Sécurité > Prévention des intrusions. Pour plus d’informations, consultez la section Prévention des intrusions.
Remarque
La prévention des intrusions détecte uniquement le trafic malveillant sur le trafic capturé par les stratégies de pare-feu respectives.
Vous pouvez consulter des rapports détaillés de prévention des intrusions sur le service Citrix SD-WAN Orchestrator. Pour plus de détails, voir Rapports — Prévention des intrusions.
Anti-Malware
Edge Security Anti-Malware analyse et élimine les virus, chevaux de Troie et autres logiciels malveillants. Anti-Malware peut analyser le trafic HTTP, FTP et SMTP sur votre réseau et l’examiner par rapport à une base de données de signatures et de modèles de fichiers connus pour détecter l’infection. Si aucune infection n’est détectée, le trafic est envoyé au destinataire. Si une infection est détectée, Anti-Malware supprime ou met en quarantaine le fichier infecté et en informe l’utilisateur.
Anti-Malware utilise le moteur de Bitdefender pour analyser les fichiers téléchargés à l’aide d’une combinaison de base de données de signatures, d’heuristiques pour les modèles suspects et d’analyse dynamique d’émulateurs. Les fichiers de téléchargement sont bloqués si l’un de ces tests échoue.
Contourner les URL sans numérisation
Vous pouvez contourner l’analyse Anti-Malware pour les sites internes de confiance ou les sites externes qui sont utilisés pour des mises à jour régulières, génèrent plus de trafic et sont considérés comme sûrs. En autorisant les sites de confiance à passer sans analyse, vous pouvez réduire les ressources consacrées à l’analyse de ces sites.
Entrez l’URL, fournissez une brève description et ajoutez l’URL à la liste des URL de contournement.
Analyse par type de fichier
Anti-Malware prend en charge par défaut l’analyse de 41 extensions de type fichier dans le trafic HTTP. L’analyse anti-programme malveillant implique une analyse approfondie à l’aide de signatures, d’heuristiques et d’émulations, ce qui en fait un processus sensible au calcul. Vous pouvez choisir d’exclure certaines extensions de nom de fichier de l’analyse Anti-Malware. Désactivez les types de fichiers qui n’ont pas besoin d’être analysés.
Remarque
Les types de fichiers sélectionnés par défaut établisse un équilibre entre l’efficacité de la lutte contre les programmes malveillants et les performances du système. L’activation d’un plus grand nombre de types de fichiers augmente la charge de traitement de la sécurité Edge et compromet la capacité globale du système.
Analyse par types MIME
Un type MIME (Multipurpose Internet Mail Extension) est une norme Internet qui décrit le contenu d’un fichier Internet en fonction de la nature et du format. Comme pour les types de fichiers, vous pouvez choisir d’exclure certains types MIME de l’analyse Anti-Malware. Vous pouvez choisir d’exclure certains types MIME de l’analyse en les effacant.
Remarque
Les types MIME sélectionnés par défaut sont choisis pour trouver un équilibre entre l’efficacité de la protection contre les programmes malveillants et la capacité du système. L’activation d’un plus grand nombre de types de fichiers augmente la charge de traitement de la sécurité Edge et compromet la capacité globale du système.
Autres options d’analyse
Vous pouvez choisir d’activer ou de désactiver les analyses anti-programme malveillant sur les protocoles Internet suivants :
-
Scan HTTP : Activez l’analyse anti-malware sur le trafic HTTP.
-
Scan FTP : activez l’analyse anti-malware sur les téléchargements FTP.
-
Scan SMTP : Activez le scan anti-malware sur les pièces jointes des messages SMTP et choisissez l’action à effectuer.
-
Supprimer l’infection : La pièce jointe infectée est supprimée et l’e-mail est remis au destinataire.
-
Messagede transfert : L’e-mail est remis au destinataire avec la pièce jointe intacte.
Remarque
Pour les actions Supprimer l’infection et Transmettre le message, la ligne d’objet de l’e-mail est précédée de « [VIRUS] ».
-
Bloquer le message : L’e-mail est bloqué et n’est pas remis au destinataire.
-
Vous pouvez consulter des rapports d’analyse anti-malware détaillés sur le service Citrix SD-WAN Orchestrator. Pour plus de détails, voir Rapports — Anti-Malware.
Stratégie de pare-feu de sécurité Edge
Les fonctionnalités de sécurité Edge sont déclenchées à l’aide de stratégies de pare-feu. Vous pouvez définir une politique de pare-feu pour le protocole IP de type correspondant et y associer un profil de sécurité. Si le trafic entrant correspond aux critères de filtrage, une action d’inspection est déclenchée et les capacités de sécurité, configurées selon le profil de sécurité sélectionné, sont appliquées.
Citrix SD-WAN évalue les stratégies de pare-feu d’une manière « première correspondance », où la première stratégie correspondante détermine l’action. Les stratégies de pare-feu doivent être configurées dans l’ordre suivant :
- Protocole IP, Office 365 et stratégies de pare-feu d’application DNS avec action non inspectée
- Stratégies de pare-feu de sécurité Edge (stratégies de pare-feu de protocole IP avec action d’inspection)
- Stratégies de pare-feu application
Pour configurer une politique de pare-feu et activer la sécurité périphérique, accédez à Configuration > Sécurité > Stratégies de pare-feu et cliquez sur Créer une nouvelle règle.
Sélectionnez le type de correspondance en tant que protocole IP et configurez les critères de filtrage. Pour plus d’informations, consultez la section Stratégies de pare-feu. Sélectionnez l’action Inspecter (pour le protocole IP) et sélectionnez un profil de sécurité.
Remarque
Bien qu’il n’y ait aucune limite au nombre de profils de sécurité que vous pouvez créer, vous ne pouvez attribuer que 32 politiques de pare-feu Inspect à un site.