Tableau de bord de sécurité unifié
Le tableau de bord Unified Security est un tableau de bord à panneau unique dans lequel vous pouvez configurer les protections, activer les analyses et déployer les protections sur votre application. Dans ce tableau de bord, vous pouvez choisir parmi différentes options de modèle et effectuer l’ensemble du processus de configuration dans un flux de travail unique. Pour commencer, accédez à Sécurité > Tableau de bord de sécurité, puis cliquez sur Gérer l’application. Sur la page Gérer l’application, vous pouvez consulter les détails de vos applications sécurisées et non sécurisées.
Remarque :
- Si vous êtes un nouvel utilisateur ou si vous n’avez configuré aucune protection via StyleBooks ou directement sur les instances NetScaler, la page suivante apparaît lorsque vous cliquezsur Sécurité > Tableau de bord de sécurité.
Vous pouvez consulter le nombre total de serveurs virtuels nécessitant une protection. Cliquez sur Commencer pour afficher les détails de la section Applications non sécurisées.
Les types de serveurs virtuels éligibles pour configurer les protections sont l’équilibrage de charge et la commutation de contenu.
Applications sécurisées
Vous pouvez consulter les détails après avoir configuré les protections à l’aide du tableau de bord de sécurité unifié. Pour plus d’informations, voir Configuration des protections pour les applications non sécurisées.
Si vous avez déjà configuré les protections directement sur les instances NetScaler ou via StyleBooks, vous pouvez consulter les applications dans l’onglet Applications sécurisées marqué comme Autres sous Profil.
Configurer les protections pour les applications non sécurisées
Remarque :
Le nombre maximum d’entités de configuration (règles) prises en charge dans la liste de blocage est de 32.
Dans l’onglet Applications non sécurisées, sélectionnez une application, puis cliquez sur Application sécurisée.
Vous pouvez sélectionner l’une des options suivantes pour protéger votre application :
-
Scanner de recommandations WAF : cette option vous permet d’exécuter un scan sur votre application. Sur la base de certains paramètres de l’analyse, le résultat vous suggère les protections pour votre application. Vous pourriez envisager d’appliquer ces recommandations.
-
Sélectionnez et personnalisez les protections : cette option vous permet de choisir parmi différentes options de modèle ou de personnaliser vos protections et de les déployer.
-
Top 10 de l’OWASP - Un modèle prédéfini qui possède les protections standard de l’industrie contre les 10 principaux risques de sécurité de l’OWASP. Pour plus d’informations, consultez
https://owasp.org/www-project-top-ten/. -
Protections CVE : vous pouvez créer le jeu de signatures à partir de la liste des règles de signature préconfigurées classées dans les catégories de vulnérabilités connues. Vous pouvez sélectionner des signatures pour configurer l’action de journalisation ou de blocage lorsqu’un modèle de signature correspond au trafic entrant. Le message du journal contient les détails de la vulnérabilité.
-
Protections personnalisées : sélectionnez les protections et déployez-les en fonction de vos besoins.
-
-
Choisissez les protections existantes : cette option clone les protections déployées dans une application existante. Si vous souhaitez déployer ces mêmes protections sur une autre application, vous pouvez sélectionner cette option et la déployer telle quelle sur une autre application. Vous pouvez également sélectionner cette option comme modèle, modifier les protections, puis déployer.
Scanner de recommandations WAF
Remarque :
Vous ne pouvez exécuter qu’une seule analyse à la fois pour une application. Pour lancer une nouvelle analyse pour la même application ou une autre application, vous devez attendre que l’analyse précédente soit terminée.
Vous pouvez cliquer sur Afficher l’historique pour consulter l’historique et l’état des analyses précédentes. Vous pouvez également cliquer sur Afficher le rapport, puis appliquer les recommandations ultérieurement.
Pré-requis :
-
L’instance NetScaler doit être 13.0 41.28 ou version ultérieure (pour les contrôles de sécurité) et 13.0 ou version ultérieure (pour les signatures).
-
Doit avoir la licence premium.
-
Doit être le serveur virtuel d’équilibrage de charge.
Pour commencer à utiliser l’analyse des recommandations WAF, vous devez fournir les informations suivantes :
-
Sous Paramètres de numérisation :
-
Nom de domaine — Spécifiez une adresse IP accessible valide ou le nom de domaine accessible au public qui est associé à l’application. Par exemple :
www.example.com. -
Protocole HTTP/HTTPS — Sélectionnez le protocole de l’application.
-
Délai d’expiration du trafic : temps d’attente (en secondes) pour une seule demande pendant l’analyse. La valeur doit être supérieure à 0.
-
URL à partir de laquelle lancer le scan : page d’accueil de l’application à partir de laquelle lancer le scan. Par exemple,
https://www.example.com/home. L’URL doit être une adresse IPv4 valide. Si les adresses IP sont privées, vous devez vous assurer qu’elles sont accessibles depuis l’adresse IP de gestion NetScaler ADM. -
URL de connexion : URL à laquelle les données de connexion sont envoyées à des fins d’authentification. En HTML, cette URL est communément appelée URL d’action.
-
Méthode d’authentification : sélectionnez la méthode d’authentification prise en charge (par formulaire ou par en-tête) pour votre application.
-
L’authentification par formulaire nécessite l’envoi d’un formulaire à l’URL de connexion avec les informations de connexion. Ces informations d’identification doivent se présenter sous la forme de champs de formulaire et de leurs valeurs. L’application partage ensuite le cookie de session qui est utilisé pour maintenir les sessions pendant l’analyse.
-
L’authentification basée sur l’en-tête nécessite l’en-tête d’authentification et sa valeur dans la section des en-têtes. L’en-tête d’authentification doit avoir une valeur valide et est utilisé pour maintenir les sessions pendant l’analyse. Les champs du formulaire doivent rester vides pour les champs basés sur l’en-tête.
-
-
Méthode de demande — Sélectionnez la méthode HTTP utilisée lors de l’envoi des données du formulaire à l’URL de connexion. Les méthodes de requête autorisées sont POST, GETet PUT.
-
Champs de formulaire — Spécifiez les données du formulaire à envoyer à l’URL de connexion. Les champs de formulaire ne sont obligatoires que si vous sélectionnez l’authentification par formulaire. Vous devez spécifier dans les paires clé-valeur, où le nom du champ est la clé et la valeur du champ est la valeur . Assurez-vous que tous les champs de formulaire nécessaires au fonctionnement de la connexion sont correctement ajoutés, y compris les mots de passe. Les valeurs sont cryptées avant d’être stockées dans la base de données. Vous pouvez cliquer sur Ajouter pour ajouter plusieurs champs de formulaire. Par exemple, Nom du champ — nom d’utilisateur et Valeur du champ — admin.
-
URL de déconnexion — Spécifiez l’URL qui met fin à la session après l’accès. Par exemple :
https://www.example.com/customer/logout.
-
-
Sous Configurations de numérisation :
-
Vulnérabilités à vérifier : sélectionnez les vulnérabilités que le scanner doit détecter. Actuellement, cela est fait pour les violations de scripts intersites et d’injection SQL. Par défaut, toutes les violations sont sélectionnées. Après avoir sélectionné les vulnérabilités, il simule ces attaques sur l’application pour signaler la vulnérabilité potentielle. Il est recommandé d’activer cette détection qui ne se trouve pas dans l’environnement de production. Toutes les autres vulnérabilités sont également signalées, sans simuler ces attaques sur l’application.
-
Limite de taille de réponse : limite maximale de la taille de réponse. Toutes les réponses dépassant la valeur mentionnée ne sont pas scannées. La limite recommandée est de 10 Mo (1 000 000 octets).
-
Simultanéité des demandes : nombre total de demandes envoyées à l’application Web en parallèle.
-
-
La configuration des paramètres de numérisation WAF est terminée. Vous pouvez cliquer sur Démarrer le scan pour lancer le processus de numérisation et attendre la fin de la progression. Une fois l’analyse terminée, cliquez sur Afficher le rapport.
-
Sur la page des résultats de l’analyse, cliquez sur Réviser la recommandation.
-
Passez en revue les protections ou modifiez/ajoutez d’autres protections, puis cliquez sur Déployer.
Lorsque vous appliquez les contrôles de sécurité avec succès :
-
La configuration est appliquée à l’instance NetScaler via StyleBooks, en fonction de la version.
-
Pour NetScaler 13.0, le StyleBook
unified-appsec-protection-130est utilisé. -
Pour NetScaler 13.1, le StyleBook
unified-appsec-protection-131est utilisé. -
Pour NetScaler 14.1, le StyleBook
unified-appsec-protection-141est utilisé.
-
-
Le profil
Appfwest créé sur votre NetScaler et lié à l’application à l’aide depolicylabel. -
Les signatures sont liées au profil appfw, si les signatures recommandées sont déjà appliquées.
Remarque
Les contrôles de sécurité sont pris en charge dans NetScaler 13.0 41.28 ou version ultérieure.
Vous pouvez vérifier que les profils et les signatures WAF sont appliqués via les StyleBooks par défaut en accédant à Applications > Configuration > Packs de configuration.
Sélectionnez et personnalisez les protections
Top 10 de OWASP
1 - Fournit des informations sur l’application, telles que l’adresse IP, le type de serveur virtuel, le type de licence, l’instance à partir de laquelle l’application est configurée, etc.
2 - Affiche le modèle sélectionné. Vous pouvez le renommer selon votre choix.
3 - Affiche les protections. Certaines protections nécessitent des informations supplémentaires.
4 - Affiche le type de journal détaillé. Vous pouvez sélectionner les options suivantes :
-
Modèle. Consigne uniquement le modèle de violation.
-
Charge utile du modèle. Modèle de violation des journaux et 150 octets de charge utile JSON supplémentaire.
-
Modèle, charge utile, en-tête. Enregistre le schéma de violation, 150 octets de charge utile JSON supplémentaire et les informations d’en-tête HTTP.
5 - Permet d’activer le mode Moniteur. Si vous activez le mode Moniteur, le trafic est uniquement enregistré et les mesures d’atténuation ne sont pas activées.
6 - Permet d’ajouter des protections supplémentaires. Cliquez sur Ajouter des protections et consultez-les pour les ajouter.
7 - Vous permet de choisir un nouveau modèle à l’aide de l’option Modifier le modèle.
8 - Permet de modifier ou de supprimer la protection.
9 - Active l’analyse des protections que vous sélectionnez. Cette option est sélectionnée par défaut. Vous pouvez consulter les analyses relatives aux protections configurées dans Sécurité > Violations de sécurité.
Après avoir configuré les protections, cliquez sur Déployer.
Protections contre les CVE
Pour déployer les protections CVE, cliquez sur Créer une protection CVE. Sur la page Créer un ensemble de signatures, sélectionnez les signatures dans la liste pour configurer le journal ou bloquer l’action, puis cliquez sur Enregistrer.
Après avoir cliqué sur Enregistrer, vous pouvez consulter les signatures ajoutées à la page de configuration.
Vous pouvez également cliquer sur Ajouter une protection pour ajouter des protections supplémentaires à l’application. Après avoir configuré toutes les protections, cliquez sur Déployer.
Protection personnalisée
Pour déployer avec des protections adaptées à vos besoins, cliquez sur Créer une nouvelle protection. Sur la page Ajouter des protections, sélectionnez les protections que vous souhaitez déployer et cliquez sur Enregistrer.
Après avoir cliqué sur Enregistrer, passez en revue les protections sélectionnées sur la page de configuration, puis cliquez sur Déployer.
Choisissez les protections existantes
Pour déployer les protections existantes d’une application vers une autre, sélectionnez une protection existante dans la liste.
Une fois que vous avez sélectionné une protection, les protections existantes sont clonées et affichées sur la page de configuration. Vous pouvez modifier en fonction de vos besoins, puis cliquer sur Déployer.