Déployez NetScaler Web App Firewall sur AWS
Le NetScaler Web App Firewall peut être installé en tant que périphérique réseau de couche 3 ou en tant que pont réseau de couche 2 entre les serveurs du client et les utilisateurs du client, généralement derrière le routeur ou le pare-feu de l’entreprise cliente. NetScaler Web App Firewall doit être installé à un endroit où il peut intercepter le trafic entre les serveurs Web et le hub ou le commutateur via lequel les utilisateurs accèdent à ces serveurs Web. Les utilisateurs configurent ensuite le réseau pour envoyer des requêtes au Web Application Firewall plutôt que directement à leurs serveurs Web, et des réponses au Web Application Firewall plutôt que directement à leurs utilisateurs. Le Web Application Firewall filtre ce trafic avant de le transférer vers sa destination finale, en utilisant à la fois son ensemble de règles internes et les ajouts et modifications de l’utilisateur. Il bloque ou rend inoffensif toute activité qu’il détecte comme nuisible, puis transfère le trafic restant au serveur Web. L’image précédente donne un aperçu du processus de filtrage.
Pour plus d’informations, consultez Comment fonctionne NetScaler Web App Firewall.
Architecture pour NetScaler Web App Firewall sur AWS pour le déploiement en production
L’image montre un cloud privé virtuel (VPC) avec des paramètres par défaut qui crée un environnement NetScaler Web App Firewall dans le cloud AWS.
Dans un déploiement de production, les paramètres suivants sont configurés pour l’environnement NetScaler Web App Firewall :
-
Cette architecture suppose l’utilisation d’un modèle AWS CloudFormation.
-
Un VPC qui couvre deux zones de disponibilité, configuré avec deux sous-réseaux publics et quatre sous-réseaux privés, conformément aux bonnes pratiques AWS, afin de vous fournir votre propre réseau virtuel sur AWS avec un bloc de routage inter-domaine sans classe (CIDR) /16 (un réseau avec 65 536 adresses IP privées) .
-
Deux instances de NetScaler Web App Firewall (principale et secondaire), une dans chaque zone de disponibilité.
-
Trois groupes de sécurité, un pour chaque interface réseau (gestion, client, serveur), qui agissent comme des pare-feu virtuels pour contrôler le trafic pour leurs instances associées.
-
Trois sous-réseaux, pour chaque instance : un pour la gestion, un pour le client et un pour le serveur principal.
-
Une passerelle Internet connectée au VPC et une table de routage de sous-réseaux publics qui est associée à des sous-réseaux publics afin de permettre l’accès à Internet. Cette passerelle est utilisée par l’hôte du Web App Firewall pour envoyer et recevoir du trafic. Pour plus d’informations sur les passerelles Internet, voir : Passerelles Internet.
-
5 tables de routage : une table de routage publique associée aux sous-réseaux clients du Web App Firewall principal et secondaire. Les 4 tables de routage restantes sont liées à chacun des 4 sous-réseaux privés (sous-réseaux de gestion et côté serveur du Web App Firewall principal et secondaire).
-
AWS Lambda in Web App Firewall prend en charge les tâches suivantes :
-
Configuration de deux Web App Firewall dans chaque zone de disponibilité du mode HA
-
Création d’un exemple de profil de Web App Firewall et extension de cette configuration par rapport au Web App Firewall
-
-
AWS Identity and Access Management (IAM) pour contrôler en toute sécurité l’accès aux services et ressources AWS pour vos utilisateurs. Par défaut, le modèle CloudFormation (CFT) crée le rôle IAM requis. Les utilisateurs peuvent toutefois fournir leur propre rôle IAM pour les instances NetScaler ADC.
-
Dans les sous-réseaux publics, deux passerelles de traduction d’adresses réseau (NAT) gérées permettent l’accès Internet sortant aux ressources des sous-réseaux publics.
Remarque :
Le modèle CFT Web App Firewall qui déploie le NetScaler Web App Firewall dans un VPC existant ignore les composants marqués par des astérisques et invite les utilisateurs à indiquer leur configuration VPC existante.
Les serveurs principaux ne sont pas déployés par le CFT.
Coûts et licences
Les utilisateurs sont responsables du coût des services AWS utilisés lors de l’exécution des déploiements AWS. Les modèles AWS CloudFormation qui peuvent être utilisés pour ce déploiement incluent des paramètres de configuration que les utilisateurs peuvent personnaliser selon les besoins. Certains de ces paramètres, tels que le type d’instance, ont une incidence sur le coût du déploiement. Pour les estimations de coûts, les utilisateurs doivent consulter les pages de tarification de chaque service AWS qu’ils utilisent. Les prix sont sujets à changement.
Un NetScaler Web App Firewall sur AWS nécessite une licence. Pour obtenir une licence NetScaler Web App Firewall, les utilisateurs doivent placer la clé de licence dans un compartiment S3 et spécifier son emplacement lorsqu’ils lancent le déploiement.
Remarque :
Lorsque les utilisateurs choisissent le modèle de licence BYOL (Bring your own license), ils doivent s’assurer qu’une fonctionnalité AppFlow est activée. Pour plus d’informations sur les licences BYOL, consultez : AWS Marketplace/Citrix VPX - Licence client.
Les options de licence suivantes sont disponibles pour Citrix ADC Web App Firewall exécuté sur AWS. Les utilisateurs peuvent choisir une AMI (Amazon Machine Image) en fonction d’un seul facteur, tel que le débit.
-
Modèle de licence : Pay as You Go (PAYG, pour les licences de production) ou Bring Your Own License (BYOL, pour l’AMI sous licence client - NetScaler ADC Pooled Capacity). Pour plus d’informations sur NetScaler ADC Pooled Capacity, voir : NetScaler ADC Pooled Capacity.
-
Pour BYOL, il existe 3 modes de licence :
-
Configurer la capacité groupée NetScaler : Configurer la capacité groupée Citrix ADC
-
Licences d’enregistrement et de retrait NetScaler VPX (CICO) : Licences d’enregistrement et de retrait Citrix ADC VPX
Conseil :
Si les utilisateurs choisissent la licence CICO avec le type de plate-forme d’application VPX-200, VPX-1000, VPX-3000, VPX-5000 ou VPX-8000, ils doivent s’assurer que la licence de débit est la même sur leur serveur de licences NetScaler Console.
- Licence de processeur virtuel NetScaler : Licences de processeur virtuel NetScaler
-
-
Remarque :
Si les utilisateurs souhaitent modifier dynamiquement la bande passante d’une instance VPX, ils doivent sélectionner une option BYOL, par exemple la capacité groupée NetScaler où ils peuvent allouer les licences depuis NetScaler Console, ou ils peuvent extraire les licences auprès de NetScaler en fonction de la capacité minimale et maximale de l’instance à la demande et sans redémarrage. Un redémarrage n’est requis que si les utilisateurs souhaitent modifier l’édition de la licence.
-
Débit : 200 Mbits/s ou 1 Gbit/s
-
Offre groupée : Premium
Options de déploiement
Ce guide de déploiement propose deux options de déploiement :
-
La première option consiste à déployer à l’aide du format Guide de démarrage rapide et des options suivantes :
-
Déployez NetScaler Web App Firewall dans un nouveau VPC (déploiement de bout en bout). Cette option crée un nouvel environnement AWS composé du VPC, des sous-réseaux, des groupes de sécurité et d’autres composants d’infrastructure, puis déploie NetScaler Web App Firewall dans ce nouveau VPC.
-
Déployez NetScaler Web App Firewall dans un VPC existant. Cette option permet de configurer NetScaler Web App Firewall dans l’infrastructure AWS existante de l’utilisateur.
-
-
La deuxième option consiste à déployer à l’aide de Web App Firewall StyleBooks à l’aide de la console NetScaler.
Démarrage rapide AWS
Étape 1 : connectez-vous au compte AWS de l’utilisateur
-
Connectez-vous au compte utilisateur sur AWS : AWS avec un rôle utilisateur IAM (Identity and Access Management) qui possède les autorisations nécessaires pour créer un compte Amazon (si nécessaire) ou se connecter à un compte Amazon.
-
Utilisez le sélecteur de région dans la barre de navigation pour choisir la région AWS dans laquelle les utilisateurs souhaitent déployer la haute disponibilité dans les zones de disponibilité AWS.
-
Assurez-vous que le compte AWS de l’utilisateur est correctement configuré. Reportez-vous à la section Exigences techniques de ce document pour plus d’informations.
Étape 2 : abonnez-vous à l’AMI NetScaler Web App Firewall
-
Ce déploiement nécessite un abonnement à l’AMI pour NetScaler Web App Firewall sur AWS Marketplace.
-
Connectez-vous au compte AWS de l’utilisateur.
-
Ouvrez la page de l’offre NetScaler Web App Firewall en choisissant l’un des liens du tableau suivant.
- Lorsque les utilisateurs lancent le Guide de démarrage rapide pour déployer NetScaler Web App Firewall à l’étape 3 ci-dessous, ils utilisent le paramètre NetScaler Web App Firewall Image pour sélectionner l’option de bundle et de débit correspondant à leur abonnement AMI. La liste suivante répertorie les options de l’AMI et les paramètres correspondants. L’instance AMI VPX nécessite au moins 2 processeurs virtuels et 2 Go de mémoire.
Remarque :
Pour récupérer l’ID AMI, consultez la page Produits NetScaler sur AWS Marketplace sur GitHub : Produits Citrix sur AWS Marketplace.
-
AMI AWS Marketplace
-
NetScaler Web App Firewall (Web App Firewall) - 200 Mbit/s : Citrix Web App Firewall (Web App Firewall) - 200 Mbit/s
-
NetScaler Web App Firewall (Web App Firewall) - 1 000 Mbit/s : Citrix Web App Firewall (Web App Firewall) - 1 000 Mbit/s
-
-
Sur la page AMI, choisissez Continue to Subscribe.
-
Passez en revue les termes et conditions d’utilisation du logiciel, puis choisissez Accepter les termes.
Remarque :
Les utilisateurs reçoivent une page de confirmation et un e-mail de confirmation est envoyé au propriétaire du compte. Pour obtenir des instructions d’abonnement détaillées, consultez Getting Started dans la documentation AWS Marketplace : Getting Started.
-
Lorsque le processus d’abonnement est terminé, quittez AWS Marketplace sans autre action. Ne mettez pas en service le logiciel depuis AWS Marketplace. Les utilisateurs déploieront l’AMI à l’aide du guide de démarrage rapide.
Étape 3 : Lancez AWS Quick Start
-
Connectez-vous au compte AWS de l’utilisateur et choisissez l’une des options suivantes pour lancer le modèle AWS CloudFormation. Pour obtenir de l’aide sur le choix d’une option, consultez les options de déploiement plus haut dans ce guide.
-
Déployez NetScaler VPX dans un nouveau VPC sur AWS à l’aide de l’un des modèles AWS CloudFormation disponibles ici :
-
Important :
Si les utilisateurs déploient NetScaler Web App Firewall sur un VPC existant, ils doivent s’assurer que leur VPC couvre deux zones de disponibilité, avec un sous-réseau public et deux sous-réseaux privés dans chaque zone de disponibilité pour les instances de charge de travail, et que les sous-réseaux ne sont pas partagés. Ce guide de déploiement ne prend pas en charge les sous-réseaux partagés, voir Working with Shared VPC : Working with Shared VPC. Ces sous-réseaux nécessitent des passerelles NAT dans leurs tables de routage pour permettre aux instances de télécharger des packages et des logiciels sans les exposer à Internet. Pour plus d’informations sur les passerelles NAT, voir Passerelles NAT. Configurez les sous-réseaux afin qu’il n’y ait pas de chevauchement de sous-réseaux.
De plus, les utilisateurs doivent s’assurer que l’option de nom de domaine dans les options DHCP est configurée comme expliqué dans la documentation Amazon VPC disponible ici : Ensembles d’options DHCP Ensembles d’options DHCP. Les utilisateurs sont invités à entrer leurs paramètres VPC lorsqu’ils lancent le guide de démarrage rapide.
-
Chaque déploiement prend environ 15 minutes.
-
Vérifiez la région AWS qui s’affiche dans le coin supérieur droit de la barre de navigation et modifiez-la si nécessaire. C’est là que l’infrastructure réseau du Citrix Web App Firewall sera construite. Le modèle est lancé par défaut dans la région USA Est (Ohio).
Remarque :
Ce déploiement inclut NetScaler Web App Firewall, qui n’est actuellement pas pris en charge dans toutes les régions AWS. Pour obtenir la liste actuelle des régions prises en charge, consultez le document AWS Service Endpoints : AWS Service Endpoints.
-
Sur la page Select Template, conservez le paramètre par défaut pour l’URL du modèle, puis choisissez Next.
-
Sur la page Spécifier les détails, spécifiez le nom de la pile selon la commodité de l’utilisateur. Passez en revue les paramètres du modèle. Fournissez des valeurs pour les paramètres qui nécessitent une entrée. Pour tous les autres paramètres, passez en revue les paramètres par défaut et personnalisez-les si nécessaire.
-
Dans le tableau suivant, les paramètres sont répertoriés par catégorie et décrits séparément pour l’option de déploiement :
-
Paramètres permettant de déployer NetScaler Web App Firewall sur un VPC nouveau ou existant (option de déploiement 1)
-
Lorsque les utilisateurs ont fini de vérifier et de personnaliser les paramètres, ils doivent choisir Suivant.
Paramètres pour déployer NetScaler Web App Firewall dans un nouveau VPC
Configuration du réseau VPC
Libellé du paramètre (nom) | Valeur par défaut | Description |
---|---|---|
Zone de disponibilité principale (PrimaryAvailabilityZone) | Nécessite une saisie | La zone de disponibilité pour le déploiement principal de NetScaler Web App Firewall |
Zone de disponibilité secondaire (SecondaryAvailabilityZone) | Nécessite une saisie | La zone de disponibilité pour le déploiement secondaire de NetScaler Web App Firewall |
CIDR VPC (VPCCIDR) | 10.0.0.0/16 | Bloc d’adresse CIDR pour le VPC. Il doit s’agir d’une plage d’adresses CIDR IP valide de la forme x.x.x.x/x. |
IP CIDR SSH distante (gestion) (RestrictedSSHCIDR) | Nécessite une saisie | Plage d’adresses IP qui peut établir une connexion SSH avec l’instance EC2 (port : 22). |
Par exemple, l’utilisation de 0.0.0.0/0 permet à toutes les adresses IP d’accéder à l’instance utilisateur via SSH ou RDP. Remarque : Autorisez uniquement une adresse IP ou une plage d’adresses spécifiques pour accéder à l’instance utilisateur, car son utilisation en production n’est pas sûre. | ||
IP CIDR HTTP distante (client) (RestrictedWebAppCidr) | 0.0.0.0/0 | La plage d’adresses IP qui peut accéder via HTTP à l’instance EC2 (port : 80) |
IP CIDR HTTP distante (client) (RestrictedWebAppCidr) | 0.0.0.0/0 | La plage d’adresses IP qui peut accéder via HTTP à l’instance EC2 (port : 80) |
CIDR de sous-réseau privé de gestion primaire (PrimaryManagementPrivateSubnetCIDR) | 10.0.1.0/24 | Bloc CIDR pour le sous-réseau de gestion principal situé dans la zone de disponibilité 1. |
IP privée de gestion principale (PrimaryManagementPrivateIP) | — | IP privée attribuée à l’ENI de gestion principale (le dernier octet doit être compris entre 5 et 254) à partir du CIDR du sous-réseau de gestion principal. |
CIDR de sous-réseau public du client principal (PrimaryClientPublicSubnetCIDR) | 10.0.2.0/24 | Bloc d’adresse CIDR pour le sous-réseau du client principal situé dans la zone de disponibilité 1. |
IP privée du client principal (PrimaryClientPrivateIP) | — | IP privée attribuée à l’ENI du client principal (le dernier octet doit être compris entre 5 et 254) à partir de l’adresse IP du client principal à partir de l’adresse CIDR du sous-réseau du client principal. |
CIDR de sous-réseau privé du serveur principal (PrimaryServerPrivateSubnetCIDR) | 10.0.3.0/24 | Bloc d’adresse CIDR pour le serveur principal situé dans la zone de disponibilité 1. |
IP privée du serveur principal (PrimaryServerPrivateIP) | — | IP privée attribuée à l’ENI du serveur primaire (le dernier octet doit être compris entre 5 et 254) à partir de l’adresse CIDR du sous-réseau du serveur primaire. |
CIDR de sous-réseau privé de gestion secondaire (SecondaryManagementPrivateSubnetCIDR) | 10.0.4.0/24 | Bloc CIDR pour le sous-réseau de gestion secondaire situé dans la zone de disponibilité 2. |
IP privée de gestion secondaire (SecondaryManagementPrivateIP) | — | IP privée attribuée à l’ENI de gestion secondaire (le dernier octet doit être compris entre 5 et 254). Il allouerait une adresse IP de gestion secondaire à partir du CIDR du sous-réseau de gestion secondaire. |
CIDR de sous-réseau public du client secondaire (SecondaryClientPublicSubnetCIDR) | 10.0.5.0/24 | Bloc d’adresse CIDR pour le sous-réseau client secondaire situé dans la zone de disponibilité 2. |
IP privée du client secondaire (SecondaryClientPrivateIP) | — | IP privée attribuée à l’ENI du client secondaire (le dernier octet doit être compris entre 5 et 254). Il allouerait l’adresse IP du client secondaire à partir du CIDR du sous-réseau du client secondaire. |
CIDR de sous-réseau privé du serveur secondaire (SecondaryServerPrivateSubnetCIDR) | 10.0.6.0/24 | Bloc CIDR pour le sous-réseau du serveur secondaire situé dans la zone de disponibilité 2. |
IP privée du serveur secondaire (SecondaryServerPrivateIP) | — | IP privée attribuée à l’ENI du serveur secondaire (le dernier octet doit être compris entre 5 et 254). Il allouerait l’adresse IP du serveur secondaire à partir du CIDR du sous-réseau du serveur secondaire. |
Attribut de location de VPC (VPCTenancy ) |
default | Location autorisée des instances lancées dans le VPC. Choisissez Dedicated tenancy pour lancer des instances EC2 dédiées à un seul client. |
Configuration de l’hôte Bastion
Libellé du paramètre (nom) | Valeur par défaut | Description |
---|---|---|
Hôte Bastion requis (LinuxBastionHosteIP) | Non | Par défaut, aucun hôte bastion n’est configuré. Mais si les utilisateurs souhaitent opter pour le déploiement en sandbox, sélectionnez oui dans le menu, ce qui permettrait de déployer un hôte bastion Linux dans le sous-réseau public avec une EIP qui permettrait aux utilisateurs d’accéder aux composants du sous-réseau privé et public. |
Configuration de NetScaler Web App Firewall
Libellé du paramètre (nom) | Valeur par défaut | Description |
---|---|---|
Nom de la paire de clés (KeyPairName) | Nécessite une saisie | Une paire de clés publique/privée, qui permet aux utilisateurs de se connecter en toute sécurité à l’instance utilisateur après son lancement. Il s’agit de la paire de clés créée par les utilisateurs dans leur région AWS préférée ; consultez la section Exigences techniques. |
Type d’instance NetScaler (CitrixADCInstanceType) | m4.xlarge | Type d’instance EC2 à utiliser pour les instances ADC. Assurez-vous que le type d’instance choisi correspond aux types d’instances disponibles sur AWS Marketplace, sinon le CFT risque d’échouer. |
ID d’AMI NetScaler ADC (CitrixADCImageID) | — | L’AMI AWS Marketplace à utiliser pour le déploiement de NetScaler Web App Firewall. Cela doit correspondre aux utilisateurs de l’AMI auxquels ils sont abonnés à l’étape 2. |
Rôle IAM NetScaler ADC VPX (iam:GetRole ) |
— | Ce modèle : AWS-QuickStart/QuickStart-Citrix-ADC-VPX/Templates crée le rôle IAM et le profil d’instance requis pour NetScaler VPX . S’il est laissé vide, CFT crée le rôle IAM requis. |
IPpublique du client (EIP) (ClientPublicEIP) | Non | Sélectionnez « Oui » si les utilisateurs souhaitent attribuer une adresse IP publique à l’interface réseau client utilisateur. Sinon, même après le déploiement, les utilisateurs ont toujours la possibilité de l’attribuer ultérieurement si nécessaire. |
Configuration des licences groupées
Libellé du paramètre (nom) | Valeur par défaut | Description |
---|---|---|
Licences groupées de la console NetScaler | Non | Si vous choisissez l’option BYOL pour les licences, sélectionnez Oui dans la liste. Cela permet aux utilisateurs de télécharger leurs licences déjà achetées. Avant de commencer, les utilisateurs doivent configurer la capacité groupée NetScaler ADC pour garantir la disponibilité des licences groupées NetScaler Console. Reportez-vous à la section Configurer la capacité groupée NetScaler ADC |
Adresse IP de la console NetScaler ou de l’agent de la console NetScaler accessible | Nécessite une saisie | Pour l’option Licence client, que les utilisateurs déploient NetScaler Console sur site ou un agent dans le cloud, assurez-vous de disposer d’une adresse IP de la console NetScaler accessible qui sera ensuite utilisée comme paramètre d’entrée. |
Mode de licence
|
Facultatif
|
Les utilisateurs peuvent choisir parmi les 3 modes de licence
|
Bande passante de licence en Mbps | 0 Mbits/s | Ce champ apparaît uniquement si le mode de licence est Pooled-Licensing. Il alloue une bande passante initiale de la licence en Mbps à allouer après la création des ADC BYOL. Il doit être un multiple de 10 Mbps. |
Édition de licence | Premium | L’édition de licence pour le mode de licence à capacité groupée est Premium. |
Type de plate-forme d’appliance | Facultatif | Choisissez le type de plate-forme d’appliance requis, uniquement si les utilisateurs optent pour le mode de licence CICO. Les utilisateurs obtiennent les options répertoriées : VPX-200, VPX-1000, VPX-3000, VPX-5000, VPX-8000. |
Édition de licence | Premium | L’édition de licence pour les licences basées sur un processeur virtuel est Premium. |
Configuration d’AWS Quick Start
Remarque :
Nous recommandons aux utilisateurs de conserver les paramètres par défaut pour les deux paramètres suivants, sauf s’ils personnalisent les modèles du Guide de démarrage rapide pour leurs propres projets de déploiement. La modification des paramètres de ces paramètres met automatiquement à jour les références de code pour pointer vers un nouvel emplacement du guide de démarrage rapide. Pour plus de détails, consultez le guide de démarrage rapide AWS Contributor’s Guide situé ici : AWS Quick Starts/Option 1 - Adopt a Quick Start.
Libellé du paramètre (nom) | Valeur par défaut | Description |
---|---|---|
Guide de démarrage rapideNom du compartimentS3 (QSS3BucketName) | aws-quickstart |
Les utilisateurs du compartiment S3 créés pour leur copie des ressources du guide de démarrage rapide, si les utilisateurs décident de personnaliser ou d’étendre le guide de démarrage rapide pour leur propre usage. Le nom du compartiment peut inclure des chiffres, des lettres minuscules, des lettres majuscules et des traits d’union, mais ne doit pas commencer ni se terminer par un trait d’union. |
Guide de démarrage rapide Préfixe de clé S3 (QSS3KeyPrefix) | démarrage rapide citrix-adc-vpx/ | Le préfixe de nom de clé S3, issu de la clé d’objet et métadonnées : clé d’objet et métadonnées, est utilisé pour simuler un dossier pour la copie utilisateur des ressources du Guide de démarrage rapide, si les utilisateurs décident de personnaliser ou d’étendre le guide de démarrage rapide pour leur propre usage. Ce préfixe peut inclure des chiffres, des lettres minuscules, des lettres majuscules, des traits d’union et des barres obliques. |
-
Sur la page Options, les utilisateurs peuvent spécifier une balise de ressource ou une paire clé-valeur pour les ressources de votre pile et définir des options avancées. Pour plus d’informations sur les balises de ressources, voir Balise de ressource. Pour plus d’informations sur la définition des options de la pile AWS CloudFormation, consultez Définition des options de la pile AWS CloudFormation. Lorsque les utilisateurs ont terminé, ils doivent choisir Next.
-
Sur la page Révision, vérifiez et confirmez les paramètres du modèle. Sous Capabilities, cochez les deux cases pour confirmer que le modèle crée des ressources IAM et qu’il peut nécessiter la capacité de développer automatiquement des macros.
-
Choisissez Create pour déployer la pile.
-
Surveillez l’état de la pile. Lorsque l’état est CREATE_COMPLETE, l’instance de NetScaler Web App Firewall est prête.
-
Utilisez les URL affichées dans l’onglet Sorties de la pile pour afficher les ressources qui ont été créées.
Étape 4 : tester le déploiement
Dans ce déploiement, nous appelons les instances principales et secondaires. Chaque instance possède des adresses IP différentes qui lui sont associées. Une fois le Quick Start déployé avec succès, le trafic passe par l’instance principale de NetScaler Web App Firewall configurée dans la zone de disponibilité 1. En cas de basculement, lorsque l’instance principale ne répond pas aux demandes des clients, l’instance secondaire du Web App Firewall prend le relais.
L’adresse IP Elastic de l’adresse IP virtuelle de l’instance principale migre vers l’instance secondaire, qui prend le relais en tant que nouvelle instance principale.
Lors du processus de basculement, NetScaler Web App Firewall effectue les opérations suivantes :
-
NetScaler Web App Firewall vérifie les serveurs virtuels auxquels sont associés des ensembles d’adresses IP.
-
NetScaler Web App Firewall trouve l’adresse IP à laquelle est associée une adresse IP publique parmi les deux adresses IP écoutées par le serveur virtuel. L’un qui est directement connecté au serveur virtuel et l’autre qui est connecté via l’ensemble d’adresses IP.
-
NetScaler Web App Firewall associe l’adresse IP Elastic publique à l’adresse IP privée qui appartient à la nouvelle adresse IP virtuelle principale.
Pour valider le déploiement, effectuez les opérations suivantes :
- Connectez-vous à l’instance principale
Par exemple, avec un serveur proxy, un hôte de saut (une instance Linux/Windows/FW exécutée dans AWS, ou l’hôte Bastion), ou un autre appareil accessible à ce VPC ou Direct Connect s’il s’agit d’une connectivité sur site.
- Exécutez une action de déclenchement pour forcer le basculement et vérifier si l’instance secondaire prend le relais.
Conseil :
Pour valider davantage la configuration par rapport à NetScaler Web App Firewall, exécutez la commande suivante après vous être connecté à l’instance principale de NetScaler Web App Firewall :
Sh appfw profile QS-Profile
Connectez-vous à la paire NetScaler Web App Firewall HA à l’aide de l’hôte Bastion
Si les utilisateurs optent pour le déploiement Sandbox (par exemple, dans le cadre de CFT, les utilisateurs choisissent de configurer un hôte Bastion), un hôte Bastion Linux déployé dans un sous-réseau public sera configuré pour accéder aux interfaces du Web App Firewall.
Dans la console AWS CloudFormation, accessible en vous connectant ici : Connectez-vous, choisissez la pile principale et, dansl’onglet Outputs, recherchez la valeur de LinuxBastionHosteIP1.
-
Valeur des clésPrivateManagementPrivateNSIPet PrimaryADCINstanceID à utiliser dans les étapes ultérieures pour SSH dans l’ADC.
-
Choisissez Services.
-
Dans l’onglet Calcul, sélectionnez EC2.
-
Sous Resources, choisissez Running Instances.
-
Dans l’onglet Description de l’instance principale du Web App Firewall, notez l’adresse IP publique IPv4. Les utilisateurs ont besoin de cette adresse IP pour créer la commande SSH.
-
- Pour enregistrer la clé dans le trousseau de l’utilisateur, exécutez la commande
ssh-add -K [your-key-pair].pem
Sous Linux, les utilisateurs peuvent avoir besoin d’omettre l’indicateur -K.
- Connectez-vous à l’hôte bastion à l’aide de la commande suivante, en utilisant la valeur pour LinuxBastionHosteIP1 que les utilisateurs ont notée à l’étape 1.
ssh -A ubuntu@[LinuxBastionHostEIP1]
- À partir de l’hôte bastion, les utilisateurs peuvent se connecter à l’instance principale du Web App Firewall à l’aide de SSH.
ssh nsroot@[Primary Management Private NSIP]
Mot de passe : [ID de l’instance ADC principale]
Les utilisateurs sont désormais connectés à l’instance principale de NetScaler Web App Firewall. Pour voir les commandes disponibles, les utilisateurs peuvent exécuter la commande help. Pour afficher la configuration HA actuelle, les utilisateurs peuvent exécuter la commande show HA node.
Console NetScaler
NetScaler Application Delivery Management Service fournit une solution simple et évolutive pour gérer les déploiements NetScaler, notamment NetScaler MPX, NetScaler VPX, NetScaler Gateway, NetScaler Secure Web Gateway, NetScaler SDX, NetScaler ADC CPX et appliances NetScaler SD-WAN déployées sur site ou dans le cloud.
La documentation du service NetScaler Console inclut des informations sur la façon de démarrer avec le service, une liste des fonctionnalités prises en charge par le service et la configuration spécifique à cette solution de service.
Pour plus d’informations, consultez la section Présentation de la console NetScaler.
Déploiement d’instances NetScaler VPX sur AWS à l’aide de NetScaler Console
Lorsque les clients déplacent leurs applications vers le cloud, les composants qui font partie de leur application augmentent, sont plus distribués et doivent être gérés de manière dynamique.
Pour plus d’informations, consultez Provisioning d’instances NetScaler VPX sur AWS.
Top 10 de NetScaler Web App Firewall et OWASP — 2017
L’Open Web Application Security Project : OWASP a publié le Top 10 OWASP pour 2017 en matière de sécurité des applications Web. Cette liste répertorie les vulnérabilités les plus courantes des applications Web et constitue un excellent point de départ pour évaluer la sécurité Web. Nous expliquons ici comment configurer le NetScaler Web App Firewall (Web App Firewall) pour atténuer ces failles. Le Web App Firewall est disponible en tant que module intégré dans NetScaler (Premium Edition) ainsi que dans une gamme complète d’appliances.
L’intégralité du document OWASP Top 10 est disponible à l’adresse suivante : OWASP Top Ten.
Les signatures fournissent les options de déploiement suivantes pour aider les utilisateurs à optimiser la protection des applications utilisateur :
-
Modèle de sécurité négatif : avec le modèle de sécurité négatif, les utilisateurs utilisent un ensemble complet de règles de signature préconfigurées pour appliquer la puissance de la correspondance de modèles afin de détecter les attaques et de se protéger contre les vulnérabilités des applications. Les utilisateurs bloquent uniquement ce qu’ils ne veulent pas et autorisent le reste. Les utilisateurs peuvent ajouter leurs propres règles de signature, en fonction des besoins de sécurité spécifiques des applications utilisateur, afin de concevoir leurs propres solutions de sécurité personnalisées.
-
Modèle de sécurité hybride : Outre l’utilisation de signatures, les utilisateurs peuvent utiliser des contrôles de sécurité positifs pour créer une configuration parfaitement adaptée aux applications utilisateur. Utilisez des signatures pour bloquer ce que les utilisateurs ne veulent pas, et utilisez des contrôles de sécurité positifs pour appliquer ce qui est autorisé.
Pour protéger les applications utilisateur à l’aide de signatures, les utilisateurs doivent configurer un ou plusieurs profils afin d’utiliser leur objet de signatures. Dans une configuration de sécurité hybride, les modèles d’injection SQL et de script intersite, ainsi que les règles de transformation SQL, dans l’objet signatures utilisateur sont utilisés non seulement par les règles de signature, mais également par les contrôles de sécurité positifs configurés dans le profil Web Application Firewall qui utilise le objet signatures.
Le Web Application Firewall examine le trafic vers les sites Web et les services Web protégés par l’utilisateur afin de détecter le trafic correspondant à une signature. Une correspondance n’est déclenchée que lorsque chaque motif de la règle correspond au trafic. Lorsqu’une correspondance se produit, les actions spécifiées pour la règle sont appelées. Les utilisateurs peuvent afficher une page d’erreur ou un objet d’erreur lorsqu’une demande est bloquée. Les messages de journal peuvent aider les utilisateurs à identifier les attaques lancées contre les applications des utilisateurs. Si les utilisateurs activent les statistiques, le Web Application Firewall conserve les données relatives aux demandes qui correspondent à une signature ou à un contrôle de sécurité du Web Application Firewall.
Si le trafic correspond à la fois à une signature et à un contrôle de sécurité positif, la plus restrictive des deux actions est appliquée. Par exemple, si une demande correspond à une règle de signature pour laquelle l’action de blocage est désactivée, mais que la demande correspond également à une vérification de sécurité positive SQL Injection pour laquelle l’action est bloquée, la demande est bloquée. Dans ce cas, la violation de signature peut être enregistrée comme [non bloquée], bien que la demande soit bloquée par le contrôle d’injection SQL.
Personnalisation : si nécessaire, les utilisateurs peuvent ajouter leurs propres règles à un objet de signatures. Les utilisateurs peuvent également personnaliser les modèles SQL/XSS. La possibilité d’ajouter leurs propres règles de signature, en fonction des besoins de sécurité spécifiques des applications utilisateur, permet aux utilisateurs de concevoir leurs propres solutions de sécurité personnalisées. Les utilisateurs bloquent uniquement ce qu’ils ne veulent pas et autorisent le reste. Un modèle de correspondance rapide spécifique à un emplacement spécifique peut réduire considérablement les frais de traitement afin d’optimiser les performances. Les utilisateurs peuvent ajouter, modifier ou supprimer des modèles d’injection SQL et de script intersite. Les éditeurs d’expressions régulières et d’expressions intégrés aident les utilisateurs à configurer des modèles utilisateur et à vérifier leur exactitude.
Web App Firewall NetScaler
Web App Firewall est une solution destinée aux entreprises qui offre des protections de pointe pour les applications modernes. NetScaler Web App Firewall atténue les menaces qui pèsent sur les actifs destinés au public, notamment les sites Web, les applications Web et les API. NetScaler Web App Firewall inclut le filtrage basé sur la réputation IP, l’atténuation des bots, la protection contre les 10 principales menaces applicatives de l’OWASP, la protection DDoS de couche 7 et bien plus encore. Sont également incluses des options pour appliquer l’authentification, des chiffrements SSL/TLS forts, TLS 1.3, la limitation du débit et des stratégies de réécriture. En utilisant à la fois des protections de base et avancées du Web App Firewall, NetScaler Web App Firewall fournit une protection complète à vos applications avec une facilité d’utilisation inégalée. Se lever et courir ne prend que quelques minutes. En outre, grâce à un modèle d’apprentissage automatisé, appelé profilage dynamique, NetScaler Web App Firewall permet aux utilisateurs de gagner un temps précieux. En apprenant automatiquement le fonctionnement d’une application protégée, le Web App Firewall s’adapte à l’application même lorsque les développeurs déploient et modifient les applications. NetScaler Web App Firewall contribue à la conformité à toutes les principales normes et organismes réglementaires, notamment les normes PCI-DSS, HIPAA, etc. Avec nos modèles CloudFormation, il n’a jamais été aussi facile d’être rapidement opérationnel. Grâce à la mise à l’échelle automatique, les utilisateurs peuvent être assurés que leurs applications restent protégées même lorsque leur trafic augmente.
Stratégie de déploiement du Web App Firewall
La première étape du déploiement du pare-feu d’application Web consiste à évaluer quelles applications ou données spécifiques nécessitent une protection de sécurité maximale, celles qui sont moins vulnérables et celles pour lesquelles l’inspection de sécurité peut être contournée en toute sécurité. Cela aide les utilisateurs à établir une configuration optimale et à concevoir des stratégies et des points de liaison appropriés pour séparer le trafic. Par exemple, les utilisateurs peuvent vouloir configurer une stratégie pour contourner l’inspection de sécurité des demandes de contenu Web statique, tels que des images, des fichiers MP3 et des films, et configurer une autre stratégie pour appliquer des contrôles de sécurité avancés aux demandes de contenu dynamique. Les utilisateurs peuvent utiliser plusieurs stratégies et profils pour protéger différents contenus d’une même application.
L’étape suivante consiste à référencer le déploiement. Commencez par créer un serveur virtuel et testez le trafic via celui-ci pour avoir une idée du débit et de la quantité de trafic circulant dans le système utilisateur.
Déployez ensuite le Web App Firewall. Utilisez la console NetScaler et Web App Firewall StyleBook pour configurer Web App Firewall. Consultez la section StyleBook ci-dessous dans ce guide pour plus de détails.
Une fois le Web App Firewall déployé et configuré à l’aide de Web App Firewall StyleBook, une prochaine étape utile serait d’implémenter NetScaler ADC Web App Firewall et l’OWASP Top 10.
Enfin, trois des protections du Web App Firewall sont particulièrement efficaces contre les types courants d’attaques Web et sont donc plus couramment utilisées que toutes les autres. Ils doivent donc être mis en œuvre lors du déploiement initial.
Console NetScaler
La console NetScaler fournit une solution évolutive pour gérer les déploiements NetScaler ADC, notamment NetScaler ADC MPX, NetScaler ADC VPX, NetScaler Gateway, NetScaler Secure Web Gateway, NetScaler ADC SDX, NetScaler ADC SDX Appliances ADC CPX et NetScaler SD-WAN déployées sur site ou dans le cloud.
Fonctionnalités d’analyse et de gestion des applications de la console NetScaler
Les fonctionnalités prises en charge sur la console NetScaler sont essentielles au rôle de la console NetScaler dans App Security.
Pour plus d’informations sur les fonctionnalités, consultez la section Fonctionnalités et solutions.
Conditions préalables
Avant de tenter de créer une instance VPX dans AWS, les utilisateurs doivent s’assurer que les prérequis sont remplis. Pour plus d’informations, voir Prérequis:
Limitations et directives d’utilisation
Les limitations et les directives d’utilisation disponibles sur Les limitations et les directives d’utilisation s’appliquent lors du déploiement d’une instance Citrix ADC VPX sur AWS.
Exigences techniques
Avant que les utilisateurs ne lancent le Guide de démarrage rapide pour commencer un déploiement, le compte utilisateur doit être configuré comme indiqué dans le tableau de ressources suivant. Dans le cas contraire, le déploiement peut échouer.
Ressources
Si nécessaire, connectez-vous au compte utilisateur Amazon et demandez une augmentation de la limite de service pour les ressources suivantes ici : AWS/Sign in. Cela peut être nécessaire si vous disposez déjà d’un déploiement utilisant ces ressources et que vous pensez que vous pourriez dépasser les limites par défaut avec ce déploiement. Pour connaître les limites par défaut, consultez les quotas de service AWS dans la documentation AWS : AWS Service Quotas.
AWS Trusted Advisor, disponible ici : AWS/Sign in, propose une vérification des limites de service qui affiche l’utilisation et les limites pour certains aspects de certains services.
Ressource | Ce déploiement utilise |
---|---|
VPC | 1 |
Adresses IP Elastic | 0/1 (pour l’hôte Bastion) |
Groupes de sécurité IAM | 3 |
Rôles IAM | 1 |
Sous-réseaux | 6 (3/zone de disponibilité) |
Passerelle Internet | 1 |
Tables de routage | 5 |
Instances VPX du Web App Firewall | 2 |
Hôte Bastion | 0/1 |
Passerelle NAT | 2 |
Régions
NetScaler Web App Firewall sur AWS n’est actuellement pas pris en charge dans toutes les régions AWS. Pour obtenir la liste actuelle des régions prises en charge, consultez AWS Service Endpoints dans la documentation AWS : AWS Service Endpoints.
Pour plus d’informations sur les régions AWS et l’importance de l’infrastructure cloud, consultez : Global Infrastructure.
Paire de clés
Assurez-vous qu’au moins une paire de clés Amazon EC2 existe dans le compte AWS de l’utilisateur dans la région où les utilisateurs prévoient de déployer à l’aide du guide de démarrage rapide. Notez le nom de la paire de clés. Les utilisateurs sont invités à fournir ces informations lors du déploiement. Pour créer une paire de clés, suivez les instructions relatives aux paires de clés Amazon EC2 et aux instances Linux dans la documentation AWS : Amazon EC2 Key Pairs and Linux Instances.
Si les utilisateurs déploient le guide de démarrage rapide à des fins de test ou de validation de principe, nous leur recommandons de créer une nouvelle paire de clés au lieu de spécifier une paire de clés déjà utilisée par une instance de production.
Références
Dans cet article
- Architecture pour NetScaler Web App Firewall sur AWS pour le déploiement en production
- Coûts et licences
- Options de déploiement
- Démarrage rapide AWS
- Console NetScaler
- Déploiement d’instances NetScaler VPX sur AWS à l’aide de NetScaler Console
- Top 10 de NetScaler Web App Firewall et OWASP — 2017
- Web App Firewall NetScaler
- Stratégie de déploiement du Web App Firewall
- Console NetScaler
- Conditions préalables
- Limitations et directives d’utilisation
- Exigences techniques
- Références