NetScaler コンソールサービス

統合セキュリティダッシュボード

Unified Security ダッシュボードは、保護の設定、分析の有効化、およびアプリケーションへの保護の展開ができる単一ペインのダッシュボードです。このダッシュボードでは、さまざまなテンプレートオプションから選択して、構成プロセス全体を1つのワークフローで完了できます。開始するには、[セキュリティ] > [セキュリティダッシュボード ] に移動し、[ アプリケーションの管理] をクリックします。「アプリケーションの管理 」ページでは、セキュリティで保護されたアプリケーションとセキュリティで保護されていないアプリケーションの詳細を表示できます。

注:

  • 新規ユーザーの場合、またはStyleBooksまたはNetScalerインスタンスで直接保護を設定していない場合は、[セキュリティ] > [セキュリティダッシュボード] をクリックすると次のページが表示されます

セキュリティダッシュボード

  • 保護が必要な仮想サーバーの総数を表示できます。「 はじめに 」をクリックすると、「 セキュリティで保護されていないアプリケーション」の詳細が表示されます。

  • 保護を構成する対象となる仮想サーバーの種類は、負荷分散とコンテンツスイッチングです。

セキュリティで保護されたアプリケーション

統合セキュリティダッシュボードを使用して保護を設定すると、詳細を表示できます。詳細については、「 セキュリティで保護されていないアプリケーションの保護の設定」を参照してください。

NetScalerインスタンスで直接、またはStyleBookを通じて保護を既に設定している場合は、[プロファイル][その他]と表示されている[ セキュリティで保護されたアプリケーション ]タブにアプリケーションを表示できます。

セキュリティで保護されたアプリ

セキュリティで保護されていないアプリケーションの保護を設定

注:

ブロックリストでサポートされる構成エンティティ (ルール) の最大数は 32 です。

セキュリティで保護されていないアプリケーション 」タブでアプリケーションを選択し、「 セキュリティで保護されたアプリケーション」をクリックします。

セキュリティで保護されていないアプリケーション

アプリケーションを保護するには、次のオプションのいずれかを選択できます:

  • WAF レコメンデーションスキャナー -このオプションでは、アプリケーションのスキャンを実行できます。スキャンの特定のパラメータに基づいて、結果からアプリケーションの保護が提案されます。これらの推奨事項を適用することを検討してください。

  • 保護の選択とカスタマイズ -このオプションでは、さまざまなテンプレートオプションを選択したり、保護をカスタマイズして展開したりできます。

    保護をカスタマイズ

    • OWASPトップ10 -OWASPトップ10のセキュリティリスクに対する業界標準の保護機能を備えた事前定義されたテンプレート。詳しくは、https://owasp.org/www-project-top-ten/を参照してください。

    • CVE Protections -既知の脆弱性カテゴリに分類された事前設定されたシグニチャルールのリストからシグニチャセットを作成できます。シグニチャを選択して、シグニチャパターンが着信トラフィックと一致したときのログまたはブロックアクションを設定できます。ログメッセージには脆弱性の詳細が含まれます。

    • カスタム保護 -保護を選択し、要件に基づいて導入します。

  • 既存の保護を選択 -このオプションは、既存のアプリケーションにデプロイされている保護を複製します。同じ保護機能を別のアプリケーションに展開する場合は、このオプションを選択して、そのまま別のアプリケーションに展開できます。このオプションをテンプレートとして選択し、保護を変更してから展開することもできます。

WAF レコメンデーションスキャナー

注:

  • 1 つのアプリケーションに対して一度に実行できるスキャンは 1 つだけです。同じアプリケーションまたは別のアプリケーションに対して新しいスキャンを開始するには、前回のスキャンが完了するまで待つ必要があります。

  • [ 履歴を表示 ] をクリックすると、過去のスキャンの履歴とステータスを表示できます。[ レポートを表示 ] をクリックして、後で推奨事項を適用することもできます。

前提条件:

  • NetScalerインスタンスは13.0 41.28以降 (セキュリティチェック用) および13.0以降(署名用 )である必要があります。

  • プレミアムライセンスが必要です。

  • 負荷分散仮想サーバーでなければなりません。

WAF レコメンデーションスキャンを開始するには、次の情報を提供する必要があります:

  1. スキャンパラメータの下

    • ドメイン名 — アプリケーションに関連付けられている有効でアクセス可能なIPアドレスまたは一般にアクセス可能なドメイン名を指定します。例:www.example.com

    • HTTP/HTTPS プロトコル — アプリケーションのプロトコルを選択します。

    • トラフィックタイムアウト — スキャン中の 1 つのリクエストの待機時間 (秒単位)。値は 0 より大きくなければなりません。

    • スキャンを開始する URL — スキャンを開始するアプリケーションのホームページ。例:https://www.example.com/home。URL は有効な IPv4 アドレスでなければなりません。IPアドレスがプライベートの場合は、NetScaler Console管理IPからプライベートIPアドレスにアクセスできることを確認する必要があります。

    • ログイン URL — 認証のためにログインデータが送信される URL。HTML では、この URL は一般にアクション URL と呼ばれます。

    • 認証方法 — アプリケーションでサポートされている認証方法 (フォームベースまたはヘッダーベース) を選択します。

      • フォームベース認証では、ログイン認証情報を使用してログイン URL にフォームを送信する必要があります。これらの認証情報は、フォームフィールドとその値の形式である必要があります。次に、アプリケーションは、スキャン中にセッションを維持するために使用されるセッション Cookie を共有します。

      • ヘッダーベースの認証では、ヘッダーセクションに Authentication ヘッダーとその値が必要です。Authentication ヘッダーには有効な値が必要で、スキャン中のセッションを維持するために使用されます。ヘッダーベースの場合、フォームフィールドは空のままにしてください。

    • リクエストメソッド — フォームデータをログイン URL に送信するときに使用する HTTP メソッドを選択します。許可されているリクエストメソッドは、 POSTGET、および PUTです。

    • フォームフィールド — ログイン URL に送信するフォームデータを指定します。フォームフィールドは、フォームベース認証を選択した場合にのみ必須です。キーと値のペアで指定する必要があります。ここで、 フィールド名はキーフィールド値は値です 。パスワードを含め、ログインに必要なすべてのフォームフィールドが正しく追加されていることを確認してください。値は、データベースに保存される前に暗号化されます。 複数のフォームフィールドを追加するには 、「追加」をクリックします。たとえば、 フィールド名 — ユーザー名、 フィールド値 — admin などです。

    • ログアウト URL — アクセス後にセッションを終了する URL を指定します。例:https://www.example.com/customer/logout

  2. [ スキャン設定] で:

    • チェックする脆弱性 — スキャナーが検出する脆弱性を選択します。現在、これはSQLインジェクション違反とクロスサイトスクリプティング違反に対して行われています。デフォルトでは、すべての違反が選択されます。脆弱性を選択した後、アプリケーションに対するこれらの攻撃をシミュレートして潜在的な脆弱性を報告します。実稼働環境以外ではこの検出を有効にすることをお勧めします。アプリケーションに対するこれらの攻撃をシミュレートせずに、他のすべての脆弱性も報告されています。

    • レスポンスサイズの上限 — レスポンスサイズの上限です。上記の値を超える応答はスキャンされません。推奨制限は 10 MB (1000000 バイト) です。

    • 同時リクエスト数 — ウェブアプリケーションに並行して送信されたリクエストの総数。

  3. WAF スキャンの設定が完了しました。[ スキャンの開始] をクリックしてスキャン処理を開始し 、進行状況が完了するのを待つことができます。スキャンが完了したら、[ レポートを表示] をクリックします。

    スキャンレポート

  4. スキャン結果ページで、「 推奨内容を確認」をクリックします。

    レビュー勧告

  5. 保護を確認するか、他の保護を編集/追加して、「デプロイ」をクリックします。

    保護を導入

    セキュリティーチェックを正常に適用すると:

  • 構成は、バージョンに応じてStyleBooksを介してNetScalerインスタンスに適用されます。

    • NetScaler 13.0では、 unified-appsec-protection-130 StyleBook が使用されます。

    • NetScaler 13.1では、 unified-appsec-protection-131 StyleBook が使用されています。

    • NetScaler 14.1では、 unified-appsec-protection-141 StyleBook が使用されています。

  • AppfwプロファイルはNetScalerで作成され、policylabelを使用してアプリケーションにバインドされます。

  • 推奨シグニチャが既に適用されている場合、シグニチャは appfw プロファイルにバインドされます。

セキュリティチェックはNetScaler 13.0 41.28以降のバージョンでサポートされています。

WAFプロファイルと署名がデフォルトのStyleBooksで適用されていることを確認するには、「 アプリケーション」>「構成」>「構成パック」に移動します。

WAF StyleBook

保護機能の選択とカスタマイズ

OWASP トップ 10

OWASP トップ 10

1 -IPアドレス、仮想サーバーのタイプ、ライセンスの種類、アプリケーションが構成されているインスタンスなど、アプリケーションに関する情報を提供します。

2 -選択したテンプレートを表示します。必要に応じて名前を変更できます。

3 -保護を表示します。一部の保護には追加情報が必要です。

4 -詳細ログタイプを表示します。次のオプションを選択できます:

  • [パターン]。違反パターンのみをログに記録します。

  • パターンペイロード。違反パターンと 150 バイトの余分な JSON ペイロードをログに記録します。

  • パターン、ペイロード、ヘッダー。違反パターン、150 バイトの追加 JSON ペイロード、および HTTP ヘッダー情報をログに記録します。

5 -監視モードを有効にできます。監視モードを有効にすると、トラフィックは記録されるだけで、緩和策は有効になりません。

6 -保護機能をさらに追加できます。「 保護を追加 」をクリックし、内容を確認して追加してください。

7 -「テンプレートの変更」オプションを使用して新しいテンプレートを選択できます。

8 -保護を編集または削除できます。

9 -選択した保護の分析を有効にします。このオプションはデフォルトで選択されています。設定された保護の分析は、[セキュリティ] > [セキュリティ違反] で確認できます。

保護を設定したら、「 デプロイ」をクリックします。

CVE プロテクション

CVE 保護を展開するには、「CVE 保護の作成」をクリックします。「 署名セットの作成 」ページで、ログまたはブロックアクションを設定する署名をリストから選択し、「 保存」をクリックします。

CVE プロテクション

保存」をクリックすると、設定ページに追加された署名が表示されます。

[構成]ページ

保護を追加 」をクリックして、アプリケーションにさらに保護を追加することもできます。すべての保護を設定したら、「 デプロイ」をクリックします。

カスタム保護

要件に基づいて保護機能を導入するには、「 新しい保護を作成」をクリックします。「保護の追加 」ページで、導入する保護を選択し、「保存」をクリックします。

カスタム保護

保存」をクリックした後、構成ページで選択した保護を確認し、「 デプロイ」をクリックします。

既存の保護を選択

あるアプリケーションから別のアプリケーションに既存の保護を展開するには、リストから既存の保護を選択します。

既存の保護

保護を選択すると、既存の保護が複製され、構成ページに表示されます。要件に基づいて変更し、「 デプロイ」をクリックします。

統合セキュリティダッシュボード