セキュリティアドバイザリ
安全で耐障害性に優れたインフラストラクチャは、あらゆる組織のライフラインです。そのため、組織は新しい共通脆弱性と暴露(CVE)を追跡し、CVEがインフラストラクチャに与える影響を評価する必要があります。緩和策と改善方法について理解しましょう。また、組織は脆弱性を解決するための緩和と修復を計画する必要があります。
NetScaler ADMのセキュリティアドバイザリでは、ADCインスタンスを危険にさらしているNetScaler CVEに焦点を当て、緩和策と修正方法を推奨します。NetScaler ADM を使用して緩和策と修正を適用することで、推奨事項を確認して適切なアクションを実行できます。
セキュリティアドバイザリの機能
次のセキュリティアドバイザリ機能は、インフラストラクチャを保護するのに役立ちます。
-
スキャン:デフォルトのシステムスキャンとオンデマンドスキャンが含まれます。
- システムスキャン:デフォルトで週に 1 回、すべての管理対象インスタンスをスキャンします。NetScaler ADM がシステムスキャンの日付と時刻を決定し、ユーザーが変更することはできません。
- オンデマンドスキャン:必要に応じてインスタンスを手動でスキャンできます。最後のシステムスキャンからの経過時間が長い場合は、オンデマンドスキャンを実行して現在のセキュリティ状況を評価できます。または、修正または緩和が適用された後にスキャンして、改訂された姿勢を評価します。
-
CVE 影響分析:インフラストラクチャに影響を与えるすべての CVE と、影響を受けるすべての ADC インスタンスの結果を表示し、修正と緩和を提案します。この情報を使用して、緩和と修復を適用してセキュリティリスクを修正します。
-
CVE レポート:最後の 5 つのスキャンのコピーを保存します。これらのレポートは CSV 形式でダウンロードして分析できます。
-
CVEリポジトリ:Citrix が2019年12月以降に発表した、ADCインフラストラクチャに影響を与える可能性のあるすべてのADC関連CVEの詳細を表示します。このビューを使用すると、セキュリティアドバイザリスコープの CVE を理解し、CVE について詳しく知ることができます。サポートされていない CVE については、 セキュリティアドバイザリの「サポートされていない CVE」を参照してください。
注意事項
セキュリティアドバイザリを使用するときは、次の点に注意してください。
-
CVE検出がサポートされているインスタンス:すべてのADC (SDX、MPX、VPX) とゲートウェイ。
-
サポートされている CVE: 2019 年 12 月以降のすべてのCVE。
注
Windows用Citrix Gateway プラグインに影響する脆弱性の検出と修復は、NetScaler ADM セキュリティアドバイザリではサポートされていません。サポートされていない CVE については、 セキュリティアドバイザリの「サポートされていない CVE」を参照してください。
-
NetScaler ADM セキュリティアドバイザリは、脆弱性を特定する際に、機能の構成ミスを一切考慮していません。
-
NetScaler ADM セキュリティアドバイザリは、CVE の識別と修復のみをサポートします。セキュリティに関する記事で取り上げられているセキュリティ上の問題の特定と修正はサポートしていません。
-
ADC、ゲートウェイリリースの範囲:この機能はメインビルドに限定されます。セキュリティアドバイザリには、その範囲に特別なビルドは含まれていません。
-
セキュリティアドバイザリは、10.5 以降のバージョンを実行する ADC インスタンスでサポートされ、10.5 以降のバージョンを実行しているインスタンスではサポートされません。
-
セキュリティアドバイザリは Admin パーティションではサポートされていません。
-
-
スキャンの種類:
-
バージョンスキャン:このスキャンでは、NetScaler ADM がADCインスタンスのバージョンと、修正が可能なバージョンやビルドを比較する必要があります。このバージョン比較は、Citrix ADMセキュリティアドバイザリがADCがCVEに対して脆弱かどうかを特定するのに役立ちます。たとえば、CVEがADCリリースで修正され、xx.yyをビルドした場合、セキュリティ勧告では、xx.yy未満のビルドにあるすべてのADCインスタンスが脆弱であると見なされます。バージョンスキャンは現在、セキュリティアドバイザリでサポートされています。
-
構成スキャン:このスキャンでは、NetScaler ADM がCVEスキャン固有のパターンとADC構成ファイル(nsconf)を一致させる必要があります。特定の設定パターンが ADC ns.conf ファイルに存在する場合、インスタンスはその CVE に対して脆弱であると見なされます。このスキャンは通常、バージョンスキャンと共に使用されます。 設定スキャンは現在、セキュリティアドバイザリでサポートされています。
-
カスタムスキャン:このスキャンでは、NetScaler ADM がマネージドADCインスタンスに接続し、スクリプトをプッシュしてスクリプトを実行する必要があります。スクリプト出力は、Citrix ADMがADCがCVEに対して脆弱かどうかを識別するのに役立ちます。例としては、特定のシェルコマンド出力、特定の CLI コマンド出力、特定のログ、特定のディレクトリまたはファイルの存在または内容が含まれます。セキュリティアドバイザリでは、設定スキャンで同じ結果が得られない場合は、複数の設定パターンに一致するカスタムスキャンも使用します。カスタムスキャンを必要とするCVEの場合、スクリプトはスケジュールスキャンまたはオンデマンドスキャンが実行されるたびに実行されます。収集されたデータや特定のカスタムスキャンのオプションの詳細については、そのCVEのセキュリティアドバイザリドキュメントをご覧ください。
-
-
スキャンは、ADC の本番トラフィックに影響を与えず、ADC の ADC の設定を変更しません。
-
ADM セキュリティアドバイザリは緩和をサポートしていません。ADC インスタンスに緩和策 (一時的な回避策) を適用した場合、修正が完了するまで ADM は ADC を脆弱な ADC として認識します。
セキュリティアドバイザリダッシュボードの使用方法
セキュリティアドバイザリダッシュボードにアクセスするには 、NetScaler ADM GUIから[ インフラストラクチャ]>[インスタンスアドバイザリ]>[セキュリティアドバイザリ]に移動します。ダッシュボードには、NetScaler ADM を介して管理するすべてのADCインスタンスの脆弱性ステータスが表示されます。インスタンスは週に 1 回スキャンされますが、[Scan Now] をクリックしていつでもスキャンできます。
ダッシュボードには、次の 3 つのタブがあります。
- 現在の CVE
- ログをスキャン
- CVE リポジトリ
重要
セキュリティアドバイザリ GUI またはレポートでは、すべての CVE が表示されず、CVE が 1 つだけ表示される場合があります。回避策として、[ 今すぐスキャン ] をクリックしてオンデマンドスキャンを実行します。スキャンが完了すると、スコープ内のすべてのCVE(約 15)が UI またはレポートに表示されます。
ダッシュボードの右上隅には設定アイコンがあり、次のことができます。
-
通知を有効または無効にする
NetScaler ADM セキュリティアドバイザリアクティビティについては、次の通知を受け取ることができます。
-
セキュリティアドバイザリリポジトリに追加されたスキャン結果の変更や新しい CVE に関する電子メール、Slack、PagerDuty、ServiceNow 通知
-
スキャン結果の変更に関するクラウド通知
-
-
カスタムスキャンの設定
「 カスタムスキャン設定 」ドロップダウンをクリックすると、追加設定のチェックボックスが表示されます。チェックボックスを選択して、これらのセキュリティアドバイザリカスタムスキャンをオプトアウトすることができます。カスタムスキャンを必要とする CVE の影響は、セキュリティアドバイザリでは ADC インスタンスについて評価されません。
現在の CVE
このタブには、インスタンスに影響を与える CVE の数と、CVE の影響を受けるインスタンスが表示されます。タブはシーケンシャルではなく、管理者として、ユースケースに応じてこれらのタブを切り替えることができます。
ADCインスタンスに影響するCVEの数を示す表には、次の詳細が示されています。
CVE ID: インスタンスに影響する CVE の ID。
発行日:その CVE のセキュリティ情報が公開された日付。
重要度スコア:重要度タイプ (高/中/重大) とスコア。スコアを確認するには、重要度タイプにカーソルを合わせます。
脆弱性タイプ:この CVE の脆弱性のタイプ。
影響を受けるADCインスタンス:CVE IDが影響しているインスタンス数。マウスオーバーすると、ADC インスタンスのリストが表示されます。
修復:利用可能な修正。インスタンスのアップグレード (通常は) または構成パックの適用です。
同じインスタンスは、複数の CVE によって影響を受ける可能性があります。この表では、1 つの特定の CVE または複数の選択した CVE が影響しているインスタンスの数を確認できます。影響を受けるインスタンスの IP アドレスを確認するには、[ 該当するADC インスタンス] の下の [ADC 詳細] にカーソルを合わせます。影響を受けるインスタンスの詳細を確認するには、テーブルの下部にある [ 影響を受けるインスタンスの表示 ] をクリックします。 プラス記号をクリックして、テーブルの列を追加または削除することもできます。
この画面では、インスタンスに影響を与えるCVEの数は14で、これらのCVEの影響を受けるインスタンスは1つです。
<number of> ADCインスタンスはCVEの影響を受けますタブには 、影響を受けるすべてのCitrix ADM ADC インスタンスが表示されます。表には次の詳細が表示されます。
- ADC IP アドレス
- ホスト名
- ADC モデル番号
- ADCの状態
- ソフトウェアバージョンとビルド
- ADCに影響するCVEのリスト。
次の画面キャプチャでは、1 つの ADC インスタンスが影響を受けます。必要に応じて、+ 記号をクリックして、これらの列を追加または削除します。
脆弱性の問題を修正するには、ADC インスタンスを選択し、推奨される修復を適用します。ほとんどのCVEは修復としてアップグレードが必要ですが、他のCVEは修復としてアップグレードと追加の手順が必要です。
-
CVE-2021-22927 と CVE-2021-22920 については、 CVE-2021-22927 と CVE-2021-22920 の脆弱性の修復を参照してください。
-
CVE CVE-2021-22956 については、「 CVE-2021-22956 の脆弱性の特定と修正」を参照してください
-
CVE CVE-2022-27509 については、 CVE-2022-27509 の脆弱性の修復を参照してください
注
ADC インスタンスにカスタマイズがある場合は、ADC のアップグレードを計画する前に、「カスタマイズされた ADC 構成のアップグレードに関する考慮事項 」を参照してください。
アップグレード: 脆弱な ADC インスタンスを、修正されたリリースおよびビルドにアップグレードできます。この詳細は、「是正」列に表示されます。アップグレードするには、インスタンスを選択し、[ Proceed to Upgrade] ワークフローをクリックします。アップグレードワークフローでは、脆弱なADCがターゲットADCとして自動的に入力されます。
注
12.0、11,0、10.5 以降のリリースは、すでにサポート終了 (EOL) です。ADC インスタンスがこれらのリリースのいずれかで実行されている場合は、サポートされているリリースにアップグレードしてください。
アップグレードワークフローが開始されます。NetScaler ADM を使用してADCインスタンスをアップグレードする方法について詳しくは、「 ADCアップグレードジョブの作成」を参照してください。
注
アップグレード先のリリースとビルドは、ユーザーの判断によります。どのリリースとビルドにセキュリティ修正が適用されているかを確認するには、修復列の下のアドバイスを参照してください。それに応じて、サポート対象のリリースとビルドを選択しますが、まだサポートが終了していません。
ログをスキャン
タブには、デフォルトのシステムスキャンとオンデマンドユーザー開始スキャンの両方を含む、最後の 5 つのスキャンのレポートが表示されます。各スキャンのレポートはCSV形式でダウンロードできます。オンデマンドスキャンが進行中の場合は、ここで完了ステータスを確認できます。スキャンが失敗した場合、ステータスはそれを示します。
CVE リポジトリ
このタブには、2019年12月のすべてのCVEの最新情報と、以下の詳細が含まれています。
- CVE ID
- 脆弱性タイプ
- 発行日
- 重大度レベル
- 修復
- セキュリティ情報へのリンク
今すぐスキャン
セキュリティアドバイザリには、インスタンスが最後にスキャンされた日時と次のスケジュールの期限が表示されます。また、必要に応じていつでもインスタンスをスキャンできます。[ Scan Now ] をクリックして、インスタンスの最新のセキュリティレポートを取得します。NetScaler ADM はスキャンを完了するまでに数分かかります。
スキャンが完了すると、改訂されたセキュリティの詳細がセキュリティアドバイザリ GUI に表示されます。レポートは [ スキャンログ] にも表示され、ダウンロードすることもできます。
注
スキャンログには、スケジュール済みまたはオンデマンドの両方で、最後の 5 つのスキャンのログのみが表示されます。
通知
管理者は、脆弱性のある ADC インスタンスの数を示すCitrix Cloud通知を受け取ります。通知を確認するには、NetScaler ADM GUIの右上隅にあるベルのアイコンをクリックします。
