Application Delivery Management

Avis de sécurité

Une infrastructure sûre, sécurisée et résiliente est la ligne de vie de toute organisation. Les entreprises doivent suivre les nouvelles vulnérabilités et expositions courantes (CVE) et évaluer l’impact des CVE sur leur infrastructure. Ils doivent également comprendre et planifier les mesures correctives pour résoudre les vulnérabilités. La fonctionnalité d’avis de sécurité de NetScaler Console vous permet d’identifier les CVE mettant en danger vos instances NetScaler et de recommander des mesures correctives.

Dans la version 25.x et les versions ultérieures de la console NetScaler sur site, l’avis de sécurité est automatiquement activé par défaut.

Points à noter :

  • Les nouvelles mises à jour CVE sont synchronisées automatiquement via le canal activé automatiquement.

  • L’intégrité des fichiers n’est pas disponible dans Console on-prem.

  • La télémétrie facultative est collectée lorsque vous activez l’avis de sécurité. Il est recommandé de permettre à Security Advisory de consulter les dernières mises à jour de CVE. Cependant, vous pouvez également désactiver les paramètres facultatifs. Pour le désactiver, vous devez d’abord désactiver l’avis de sécurité sur la page de télémétrie NetScaler, puis accéder à Paramètres > Administration > Activer ou désactiver le partage des données relatives aux fonctionnalités de la console et décocher la case J’accepte de partager les données d’utilisation des fonctionnalités de la console.

  • Si vous remarquez qu’une bannière sur la page d’avis de sécurité indique que les nouvelles mises à jour de CVE ne sont pas synchronisées, vérifiez les problèmes suivants dans la télémétrie NetScaler dans l’interface graphique locale de la console :

    • L’avis de sécurité est désactivé
    • Le mode manuel de collecte de données télémétriques est activé
    • Les URL des points de terminaison ne sont pas accessibles
    • Le téléchargement a échoué via un canal activé automatiquement

Le tableau suivant fournit des informations sur la disponibilité de la fonctionnalité d’avis de sécurité dans les différentes versions locales de NetScaler Console :

Créer Disponibilité de la fonctionnalité d’avis de sécurité Action requise Collecte des données
14.1-25.x ou version ultérieure L’avis de sécurité est activé par défaut Assurez-vous que le mode de collecte de données télémétriques est en mode automatique, que l’avis de sécurité est activé et que les URL requises sont accessibles. Oui. Les paramètres obligatoires et facultatifs sont collectés via le programme de télémétrie NetScaler.
Entre 14,1-8,x et 14,1-21,x L’avis de sécurité est activé via Cloud Connect. Configurez Cloud Connect et activez Security Advisory. Oui. Après avoir configuré Cloud Connect.
14.1-4.x ou version antérieure L’avis de sécurité n’est disponible qu’en mode Aperçu. Aucune action requise Non

En tant qu’administrateur, vous devez vous assurer de suivre toutes les nouvelles vulnérabilités et expositions courantes (CVE), d’évaluer l’impact des CVE, de comprendre les mesures correctives et de résoudre les vulnérabilités.

Fonctions d’avis de sécurité

Les fonctionnalités de conseil de sécurité suivantes vous aident à protéger votre infrastructure :

Fonctionnalités Description
Analyse du système Analyse toutes les instances gérées par défaut une fois par semaine. La console NetScaler décide de la date et de l’heure des analyses du système, mais vous ne pouvez pas les modifier.
Scan à la demande Vous pouvez scanner manuellement les instances si nécessaire. Si le temps écoulé depuis la dernière analyse du système est important, vous pouvez exécuter une analyse à la demande pour évaluer le niveau de sécurité actuel. Ou scannez après l’application d’une correction, pour évaluer la posture révisée.
Analyse d’impact CVE Affiche les résultats de tous les CVE ayant un impact sur votre infrastructure et de toutes les instances NetScaler touchées et suggère des mesures correctives. Utilisez ces informations pour appliquer des mesures correctives afin de corriger les risques de sécurité.
Journal d’analyse Stocke les copies des cinq derniers scans. Vous pouvez télécharger ces rapports aux formats CSV et PDF et les analyser.
Référentiel CVE Fournit une vue détaillée de tous les CVE liés à NetScaler annoncés par Citrix depuis décembre 2019 et susceptibles d’avoir un impact sur votre infrastructure NetScaler. Vous pouvez utiliser cette vue pour comprendre les CVE dans le cadre des avis de sécurité et pour en savoir plus sur les CVE. Pour plus d’informations sur les CVE non pris en charge, consultez la section CVE non pris en charge dans l’avis de sécurité.

Points à noter

  • L’avis de sécurité ne prend pas en charge les versions de NetScaler qui ont atteint la fin de vie (EOL). Nous vous recommandons de passer aux versions ou versions prises en charge par NetScaler.

  • Instances prises en charge pour la détection CVE : toutes les instances NetScaler (SDX, MPX, VPX) et Gateway.

  • CVE pris en charge : tous les CVE après décembre 2019.

    Remarque :

    La détection et la correction des vulnérabilités affectant le plug-in NetScaler Gateway pour Windows ne sont pas prises en charge par l’avis de sécurité de la console NetScaler. Pour plus d’informations sur les CVE non pris en charge, consultez la section CVE non pris en charge dans l’avis de sécurité.

  • L’avis de sécurité de NetScaler Console ne prend en compte aucun type de mauvaise configuration des fonctionnalités lors de l’identification de la vulnérabilité.

  • L’avis de sécurité de la console NetScaler ne prend en charge que l’identification et la correction des CVE. Il ne prend pas en charge l’identification et la résolution des problèmes de sécurité mis en évidence dans l’article sur la sécurité.

  • Portée de NetScaler, versions Gateway : cette fonctionnalité est limitée aux versions principales. L’avis de sécurité n’inclut aucune construction spéciale dans son champ d’application.

    • Les conseils de sécurité ne sont pas pris en charge dans la partition Admin.
  • Les types de scan suivants sont disponibles pour les CVE :

    • Analyse de version :cette analyse nécessite la console NetScaler pour comparer la version d’une instance NetScaler avec les versions et les versions sur lesquelles le correctif est disponible. Cette comparaison de versions permet à l’avis de sécurité de NetScaler Console d’identifier si le NetScaler est vulnérable au CVE. Par exemple, si un CVE est corrigé sur une version et une version xx.yy de NetScaler, l’avis de sécurité considère que toutes les instances de NetScaler situées sur des versions inférieures à xx.yy sont vulnérables. L’analyse de version est prise en charge aujourd’hui dans un avis de sécurité

    • Analyse de configuration :cette analyse nécessite que la console NetScaler corresponde à un modèle spécifique à l’analyse CVE avec le fichier de configuration NetScaler (nsconf). Si le modèle de configuration spécifique est présent dans le fichier NetScaler ns.conf, l’instance est considérée comme vulnérable à ce CVE. Ce scan est généralement utilisé avec le scan de version. L’analyse de configuration est prise en charge aujourd’hui dans un avis de sécurité

    • Analyse personnalisée :cette analyse nécessite la console NetScaler pour se connecter à l’instance NetScaler gérée, y envoyer un script et exécuter le script. La sortie du script permet à NetScaler Console d’identifier si le NetScaler est vulnérable au CVE. Les exemples incluent une sortie de commande shell spécifique, une sortie de commande CLI spécifique, certains journaux et l’existence ou le contenu de certains répertoires ou fichiers. Security Advisory utilise également des scans personnalisés pour détecter les correspondances entre plusieurs modèles de configuration, si le scan de configuration ne peut pas résoudre le problème. Pour les CVE qui nécessitent des analyses personnalisées, le script s’exécute à chaque fois que votre analyse planifiée ou à la demande est exécutée. Pour en savoir plus sur les données collectées et les options disponibles pour réaliser des analyses personnalisées spécifiques, consultez le document Avis de sécurité relatif à ces vulnérabilités et expositions courantes (CVE).

  • Les scans n’ont aucune incidence sur le trafic de production sur NetScaler et ne modifient aucune configuration NetScaler sur NetScaler.

  • L’avis de sécurité de la console NetScaler ne prend pas en charge l’atténuation des CVE. Si vous avez appliqué des mesures d’atténuation (solution temporaire) à l’instance NetScaler, la console NetScaler continuera à identifier le NetScaler comme étant un NetScaler vulnérable jusqu’à ce que vous ayez terminé la correction.

  • Pour les instances FIPS, le scan CVE n’est pas pris en charge.

Comment utiliser le tableau de bord des conseils de sécurité

Pour accéder au tableau de bord Security Advisory , depuis l’interface graphique de la console NetScaler, accédez à Infrastructure > Instance Advisory > Security Advisory .

Le tableau de bord comprend trois onglets :

  • CVE actuels

  • Journal d’analyse

  • Référentiel CVE

Tableau de bord des conseils de sécurité

Important :

Dans l’interface graphique ou le rapport Security Advisory, tous les CVE peuvent ne pas apparaître, et vous ne voyez peut-être qu’un seul CVE. Pour contourner le problème, cliquez sur Analyser maintenant pour exécuter une analyse à la demande. Une fois l’analyse terminée, tous les CVE dans la portée (environ 15) apparaissent dans l’interface utilisateur ou le rapport.

Dans le coin supérieur droit du tableau de bord se trouve l’icône des paramètres, qui vous permet de :

  • Activez et désactivez les notifications.

    Vous pouvez recevoir les notifications suivantes concernant l’impact du CV.

    • Notifications par e-mail, Slack, PagerDuty et ServiceNow concernant les modifications apportées aux résultats de l’analyse CVE et les nouveaux CVE ajoutés au référentiel CVE.

    • Notification dans le cloud pour les modifications apportées aux résultats de l’analyse d’impact CVE.

      Paramètres des avis de sécurité

  • Configuration des paramètres de numérisation personnalisés

    Vous pouvez cliquer sur la liste des paramètres de numérisation personnalisés pour afficher la case à cocher des paramètres supplémentaires. Vous avez la possibilité de cocher la case et de vous désinscrire de ces scans CVE Custom. L’impact des CVE nécessitant une analyse personnalisée ne sera pas évalué pour vos instances NetScaler dans l’avis de sécurité.

    Paramètres de numérisation personnalisés

CVE actuels

Cet onglet indique le nombre de CVE ayant un impact sur vos instances ainsi que les instances affectées par les CVE. Les onglets ne sont pas séquentiels, et en tant qu’administrateur, vous pouvez basculer entre ces onglets en fonction de votre cas d’utilisation.

Le tableau indiquant le nombre de CVE ayant un impact sur les instances de NetScaler contient les informations suivantes.

ID CVE : ID du CVE impactant les instances.

Date de publication : date à laquelle le bulletin de sécurité a été publié pour ce CVE.

Scorede gravité : type de gravité (élevé/moyen/critique) et score. Pour voir le score, passez la souris sur le type de gravité.

Type de vulnérabilité : type de vulnérabilité pour ce CVE.

InstancesNetScaler concernées : nombre d’instances sur lesquelles l’ID CVE a un impact. Lorsque vous survolez, la liste des instances de NetScaler s’affiche.

Remédiation: les correctifs disponibles, qui consistent à mettre à niveau l’instance (généralement) ou à appliquer des packs de configuration.

La même instance peut être affectée par plusieurs CVE. Ce tableau vous aide à voir combien d’instances un CVE particulier ou plusieurs CVE sélectionnés ont un impact. Pour vérifier l’adresse IP de l’instance concernée, passez le curseur sur NetScaler Details sous Instances NetScaler concernées. Pour vérifier les détails de l’instance affectée, cliquez sur Afficher les instances affectées en bas du tableau. Vous pouvez également ajouter ou supprimer des colonnes dans le tableau en cliquant sur le signe plus.

Dans cet écran, le nombre de CVE impactant vos instances est de 3 CVE et les instances concernées par ces CVE sont une.

CVE actuels

L’onglet <number of>Les instances NetScaler sont touchées par les CVE affiche toutes les instances NetScaler Console NetScaler concernées. Le tableau présente les informations suivantes :

  • Adresse IP NetScaler
  • Nom d’hôte
  • Numéro de modèle NetScaler
  • État du NetScaler
  • Version et build du logiciel
  • Liste des CVE ayant un impact sur NetScaler.

Vous pouvez ajouter ou supprimer n’importe laquelle de ces colonnes selon vos besoins, en cliquant sur le signe +.

Instances concernées par le CVE

Pour résoudre le problème de vulnérabilité, sélectionnez l’instance NetScaler et appliquez la correction recommandée. La plupart des CVE ont besoin d’une mise à niveau en tant que mesure corrective, tandis que d’autres nécessitent une mise à niveau et une étape supplémentaire.

Mise à niveau : vous pouvez mettre à niveau les instances vulnérables de NetScaler vers une version et une version contenant le correctif. Ce détail peut être vu dans la colonne Correction. Pour mettre à niveau, sélectionnez l’instance, puis cliquez sur Continuer à mettre à niveau le flux de travail. Dans le processus de mise à niveau, le NetScaler vulnérable est automatiquement renseigné en tant que NetScaler cible.

Remarque

Les versions 12.0, 11,0, 10.5 et inférieures sont déjà en fin de vie (EOL). Si vos instances NetScaler s’exécutent sur l’une de ces versions, effectuez une mise à niveau vers une version prise en charge.

Le workflow de mise à niveau démarre. Pour plus d’informations sur la mise à niveau des instances NetScaler à l’aide de NetScaler Console, consultez la section Utiliser les tâches pour mettre à niveau les instances NetScaler.

Remarque

La version et la version vers laquelle vous souhaitez mettre à niveau sont à votre discrétion. Consultez les conseils figurant dans la colonne « Corrections » pour savoir quelles versions et quelles versions contiennent le correctif de sécurité. Et en conséquence, sélectionnez une version et une version prises en charge, qui n’ont pas encore atteint la fin de vie.

Améliorez le flux de travail de conseil

Journal d’analyse

L’onglet affiche les rapports des cinq dernières analyses CVE, qui incluent à la fois les analyses du système par défaut et les analyses à la demande initiées par l’utilisateur. Vous pouvez télécharger le rapport de chaque numérisation aux formats CSV et PDF. Si une analyse à la demande est en cours, vous pouvez également voir l’état d’achèvement.

Journal d'analyse

Référentiel CVE

Cet onglet inclut les dernières informations sur tous les CVE de décembre 2019, ainsi que les informations suivantes :

  • Identifiants CVE
  • Type de vulnérabilité
  • Date de publication
  • Niveau de gravité
  • Correction
  • Liens vers les bulletins de sécurité

    Référentiel CVE

Scanner maintenant

Vous pouvez scanner les instances à tout moment, selon vos besoins.

Cliquez sur Analyser maintenant pour rechercher les CVE qui ont un impact sur vos instances NetScaler. Une fois l’analyse terminée, les informations de sécurité révisées apparaissent dans l’interface graphique de l’avis de sécurité.

Scanner maintenant

L’analyse de la console NetScaler prend quelques minutes.

Notification

En tant qu’administrateur, vous recevez des notifications Citrix Cloud, qui indiquent le nombre d’instances NetScaler vulnérables aux CVE. Pour voir les notifications, cliquez sur l’icône en forme de cloche en haut à droite de l’interface graphique de la console NetScaler.

Notification Citrix Cloud

Avis de sécurité