Application Delivery Management

セキュリティアドバイザリ

安全で耐障害性に優れたインフラストラクチャは、あらゆる組織のライフラインです。組織は、新たな共通脆弱性と危険性 (CVE) を追跡し、CVE が自社のインフラストラクチャに与える影響を評価する必要があります。また、脆弱性を解決するための修正方法を理解し、計画する必要があります。NetScaler Consoleのセキュリティアドバイザリ機能を使用すると、NetScalerインスタンスを危険にさらしているCVEを特定し、修正方法を推奨できます。

NetScaler Consoleオンプレミス25.x以降のビルドでは、セキュリティアドバイザリはデフォルトで自動的に有効になります。

注意事項:

  • 新しい CVE アップデートは、自動有効化されたチャネルを介して自動的に同期されます。

  • ファイルの整合性は、オンプレミスのコンソールでは使用できません。

  • セキュリティアドバイザリを有効にすると、オプションのテレメトリが収集されます。セキュリティアドバイザリが最新の CVE 更新を表示できるようにすることをお勧めします。ただし、オプションパラメータを無効にすることもできます。無効にするには、まずNetScaler Telemetryページでセキュリティアドバイザリを無効にし、次に [ 設定] > [管理] > [コンソール機能のデータ共有を有効または無効にする] に移動し、[ **コンソール機能の使用状況データを共有することに同意する** ] チェックボックスをオフにする必要があります。

  • セキュリティアドバイザリページに、新しいCVEアップデートに関するバナーが同期されていない場合は、コンソールのオンプレミスGUIのNetScalerテレメトリで次の問題を確認してください。

    • セキュリティアドバイザリは無効です
    • テレメトリ収集の手動モードが有効になっています
    • エンドポイント URL にアクセスできない
    • 自動有効チャンネルからのアップロードが失敗しました

次の表は、さまざまなNetScaler Consoleオンプレミスビルドで利用できるセキュリティアドバイザリ機能の詳細を示しています。

構築 セキュリティアドバイザリ機能の可用性 アクションが必要です データ収集
14.1-25.x またはそれ以降 セキュリティアドバイザリはデフォルトで有効になっています テレメトリ収集モードが自動モードで、セキュリティアドバイザリが有効になっていて、前提条件の URL にアクセスできることを確認します。 はい。必須パラメーターとオプションパラメーターの両方が、 NetScalerテレメトリプログラムを通じて収集されます。
14.1-8.x と 14.1-21.x の間 セキュリティアドバイザリは Cloud Connect を通じて有効になります。 Cloud Connect を設定し、セキュリティアドバイザリを有効にします。 はい。Cloud Connectの設定後。
14.1-4.x またはそれ以前のバージョン セキュリティアドバイザリはプレビューモードでのみ使用できます。 アクションは不要 いいえ

管理者は、新しい一般的な脆弱性と暴露 (CVE) を追跡し、CVE の影響を評価し、修復方法を理解し、脆弱性を解決する必要があります。

セキュリティアドバイザリの機能

以下のセキュリティアドバイザリ機能は、インフラストラクチャの保護に役立ちます。

機能 説明
システムスキャン デフォルトでは、すべてのマネージドインスタンスを週に 1 回スキャンします。システムスキャンの日付と時刻はNetScaler Consoleによって決定され、ユーザーは変更できません。
オンデマンドスキャン 必要に応じてインスタンスを手動でスキャンできます。最後のシステムスキャンからの経過時間が長い場合は、オンデマンドスキャンを実行して現在のセキュリティ状況を評価できます。または、修正を適用した後にスキャンして、修正後の状態を評価します。
CVE インパクト分析 インフラストラクチャに影響を及ぼすすべてのCVEと影響を受けたすべてのNetScalerインスタンスの結果を表示し、修正を提案します。この情報を使用して、セキュリティリスクを修正するための修正を適用します。
ログをスキャン 直近の 5 回のスキャンのコピーを保存します。これらのレポートは CSV および PDF 形式でダウンロードして分析できます。
CVE リポジトリ Citrix が2019年12月以降に発表した、NetScalerインフラストラクチャに影響を与える可能性のある、すべてのNetScaler関連のCVEを詳細に表示します。このビューを使用すると、セキュリティアドバイザリスコープの CVE を理解し、CVE について詳しく知ることができます。サポートされていない CVE については、 セキュリティアドバイザリの「サポートされていない CVE」を参照してください。

注意事項

  • セキュリティアドバイザリは、製造終了(EOL)に達したNetScalerビルドをサポートしていません。NetScalerがサポートするビルドまたはバージョンにアップグレードすることをお勧めします。

  • CVE検出がサポートされているインスタンス:すべてのNetScaler(SDX、MPX、VPX)とゲートウェイ。

  • サポートされている CVE: 2019 年 12 月以降のすべてのCVE。

    注:

    Windows向けNetScaler Gatewayプラグインに影響する脆弱性の検出と修復は、NetScalerコンソールセキュリティアドバイザリではサポートされていません。サポートされていない CVE については、 セキュリティアドバイザリの「サポートされていない CVE」を参照してください。

  • NetScaler Consoleのセキュリティアドバイザリでは、脆弱性を特定する際にどのような機能構成ミスも考慮されていません。

  • NetScaler Consoleのセキュリティアドバイザリは、CVEの識別と修正のみをサポートします。セキュリティに関する記事で取り上げられているセキュリティ上の問題の特定と修正はサポートしていません。

  • NetScaler、Gatewayリリースの範囲:この機能はメインビルドに限定されています。セキュリティアドバイザリには、その範囲に特別なビルドは含まれていません。

    • セキュリティアドバイザリは Admin パーティションではサポートされていません。
  • CVE では次の種類のスキャンが可能です。

    • バージョンスキャン:このスキャンでは、NetScaler ConsoleがNetScalerインスタンスのバージョンと、修正が可能なバージョンおよびビルドを比較する必要があります。このバージョン比較は、NetScaler ConsoleのセキュリティアドバイザリがNetScalerがCVEに対して脆弱であるかどうかを特定するのに役立ちます。たとえば、NetScalerリリースとビルドxx.yyでCVEが修正された場合、セキュリティアドバイザリでは、xx.yyより前のビルドのすべてのNetScalerインスタンスが脆弱であると見なされます。バージョンスキャンは現在、セキュリティアドバイザリでサポートされています。

    • 構成スキャン:このスキャンでは、NetScaler ConsoleがCVEスキャン固有のパターンをNetScaler構成ファイル(nsconf)と一致させる必要があります。NetScaler ns.confファイルに特定の構成パターンが存在する場合、そのインスタンスはそのCVEに対して脆弱であると見なされます。このスキャンは通常、バージョンスキャンと共に使用されます。 設定スキャンは現在、セキュリティアドバイザリでサポートされています。

    • カスタムスキャン:このスキャンでは、NetScaler Consoleが管理対象NetScalerインスタンスに接続し、スクリプトをプッシュしてスクリプトを実行する必要があります。スクリプト出力は、NetScalerコンソールがNetScalerがCVEに対して脆弱であるかどうかを識別するのに役立ちます。例としては、特定のシェルコマンド出力、特定の CLI コマンド出力、特定のログ、特定のディレクトリまたはファイルの存在または内容が含まれます。セキュリティアドバイザリでは、設定スキャンで同じ結果が得られない場合は、複数の設定パターンに一致するカスタムスキャンも使用します。カスタムスキャンを必要とするCVEの場合、スクリプトはスケジュールスキャンまたはオンデマンドスキャンが実行されるたびに実行されます。収集されたデータと特定のカスタムスキャンのオプションの詳細については、該当の CVE のセキュリティアドバイザリドキュメントをご覧ください 。

  • スキャンによってNetScalerの本番トラフィックに影響が及ぶことはなく、NetScaler上のNetScaler構成が変更されることもありません。

  • NetScalerコンソールセキュリティアドバイザリはCVE緩和をサポートしていません。NetScalerインスタンスに緩和策(一時的な回避策)を適用した場合、修正が完了するまで、NetScalerコンソールは引き続きNetScalerを脆弱なNetScalerとして識別します。

  • FIPS インスタンスでは、CVE スキャンはサポートされていません。

セキュリティアドバイザリダッシュボードの使用方法

セキュリティアドバイザリダッシュボードにアクセスするには 、NetScaler Console GUIから、[ インフラストラクチャ]>[インスタンスアドバイザリ]>[セキュリティアドバイザリ]に移動します。

ダッシュボードには、次の 3 つのタブがあります。

  • 現在の CVE

  • ログをスキャン

  • CVE リポジトリ

セキュリティアドバイザリダッシュボード

重要:

セキュリティアドバイザリ GUI またはレポートでは、すべての CVE が表示されず、CVE が 1 つだけ表示される場合があります。回避策として、[ 今すぐスキャン ] をクリックしてオンデマンドスキャンを実行します。スキャンが完了すると、スコープ内のすべてのCVE(約 15)が UI またはレポートに表示されます。

ダッシュボードの右上隅には設定アイコンがあり、次のことができます。

  • 通知を有効または無効にする。

    CVE の影響に関する次の通知を受け取ることができます。

    • CVE スキャン結果の変更や CVE リポジトリに追加された新しい CVE に関する電子メール、Slack、PagerDuty、ServiceNow の通知。

    • CVE 影響スキャン結果の変更に関するクラウド通知。

      セキュリティアドバイザリ設定

  • カスタムスキャンの設定

    カスタムスキャン設定 」リストをクリックすると、追加設定のチェックボックスが表示されます。チェックボックスを選択して、これらの CVE カスタムスキャンをオプトアウトすることもできます。カスタムスキャンが必要なCVEの影響は、セキュリティアドバイザリではNetScalerインスタンスでは評価されません。

    カスタムスキャン設定

現在の CVE

このタブには、インスタンスに影響を与える CVE の数と、CVE の影響を受けるインスタンスが表示されます。タブはシーケンシャルではなく、管理者として、ユースケースに応じてこれらのタブを切り替えることができます。

NetScalerインスタンスに影響を与えるCVEの数を示す表には、以下の詳細があります。

CVE ID: インスタンスに影響する CVE の ID。

発行日:その CVE のセキュリティ情報が公開された日付。

重要度スコア:重要度タイプ (高/中/重大) とスコア。スコアを確認するには、重要度タイプにカーソルを合わせます。

脆弱性タイプ:この CVE の脆弱性のタイプ。

影響を受けるNetScalerインスタンス:CVE IDが影響しているインスタンス数。カーソルを合わせると、NetScalerインスタンスのリストが表示されます。

修復:利用可能な是正。インスタンスのアップグレード (通常は) または構成パックの適用です。

同じインスタンスは、複数の CVE によって影響を受ける可能性があります。この表では、1 つの特定の CVE または複数の選択した CVE が影響しているインスタンスの数を確認できます。 影響を受けるインスタンスのIPアドレスを確認するには、「影響を受けるNetScalerインスタンス」の「NetScaler詳細」にカーソルを合わせます。影響を受けるインスタンスの詳細を確認するには、テーブルの下部にある [ 影響を受けるインスタンスの表示 ] をクリックします。 プラス記号をクリックして、テーブルの列を追加または削除することもできます。

この画面では、インスタンスに影響を与える CVE の数は 3 つの CVE で、これらの CVE の影響を受けるインスタンスは 1 つです。

現在の CVE

<number of>NetScalerインスタンスはCVEの影響を受けます 」タブには、影響を受けるすべてのNetScalerコンソールNetScalerインスタンスが表示されます。表には次の詳細が表示されます。

  • NetScaler IPアドレス
  • ホスト名
  • NetScaler モデル番号
  • NetScaler 状態
  • ソフトウェアバージョンとビルド
  • NetScaler に影響を及ぼす脆弱性データの一覧です。

+ 記号をクリックすると、必要に応じてこれらの列を追加または削除できます。

CVE の影響を受けるインスタンス

脆弱性の問題を解決するには、NetScalerインスタンスを選択し、推奨される修正を適用します。ほとんどのCVEは修復としてアップグレードが必要ですが、他のCVEは修復としてアップグレードと追加の手順が必要です。

アップグレード:脆弱なNetScalerインスタンスを、修正されたリリースとビルドにアップグレードできます。この詳細は、「是正」列に表示されます。アップグレードするには、インスタンスを選択し、[ Proceed to Upgrade] ワークフローをクリックします。アップグレードワークフローでは、脆弱なNetScalerがターゲットのNetScalerとして自動的に入力されます。

12.0、11,0、10.5 以降のリリースは、すでにサポート終了 (EOL) です。NetScalerインスタンスがこれらのリリースのいずれかで実行されている場合は、サポートされているリリースにアップグレードしてください。

アップグレードワークフローが開始されます。NetScaler Consoleを使用してNetScalerインスタンスをアップグレードする方法について詳しくは、「 ジョブを使用してNetScalerインスタンスをアップグレードする」を参照してください。

アップグレード先のリリースとビルドは、ユーザーの判断によります。どのリリースとビルドにセキュリティ修正が適用されているかを確認するには、修復列の下のアドバイスを参照してください。それに応じて、サポート対象のリリースとビルドを選択しますが、まだサポートが終了していません。

アドバイザリワークフローをアップグレード

ログをスキャン

このタブには、デフォルトのシステムスキャンとオンデマンドのユーザー開始スキャンの両方を含む、過去 5 回の CVE スキャンのレポートが表示されます。各スキャンのレポートは CSV および PDF 形式でダウンロードできます。オンデマンドスキャンが進行中の場合は、完了状況も確認できます。

ログをスキャン

CVE リポジトリ

このタブには、2019年12月のすべてのCVEの最新情報と、以下の詳細が含まれています。

  • CVE ID
  • 脆弱性タイプ
  • 発行日
  • 重大度レベル
  • 修復
  • セキュリティ情報へのリンク

    CVE リポジトリ

今すぐスキャン

必要に応じて、いつでもインスタンスをスキャンできます。

今すぐスキャン 」をクリックして、NetScalerインスタンスに影響を与えているCVEをスキャンします。スキャンが完了すると、改訂されたセキュリティの詳細がセキュリティアドバイザリ GUI に表示されます。

今すぐスキャン

NetScaler コンソールがスキャンを完了するまで数分かかります。

通知

管理者には、CVEによって脆弱なNetScalerインスタンスがいくつあるかを示すCitrix Cloud通知が届きます。通知を確認するには、NetScalerコンソールGUIの右上隅にあるベルのアイコンをクリックします。

Citrix Cloud 通知

セキュリティアドバイザリ