AWS へのNetScaler Web App Firewall デプロイ

NetScaler Web App Firewallは、レイヤー3ネットワークデバイスとして、または顧客サーバーと顧客ユーザー間のレイヤー2ネットワークブリッジとして、通常は顧客企業のルーターまたはファイアウォールの背後に設置できます。 NetScaler Web App Firewallは、Webサーバーとハブ間のトラフィックを傍受できる場所にインストールするか、ユーザーがそれらのWebサーバーにアクセスする際に経由するスイッチを使用する必要があります。 次に、ユーザーは、要求を Web サーバーに直接送信するのではなく Web アプリケーションファイアウォールに送信し、ユーザーに直接応答するのではなく Web アプリケーションファイアウォールに応答するようにネットワークを構成します。 Web アプリケーションファイアウォールは、内部ルールセットとユーザーの追加と変更の両方を使用して、トラフィックを最終的な宛先に転送する前にフィルタリングします。 有害であると検出したアクティビティをブロックまたはレンダリングし、残りのトラフィックを Web サーバに転送します。 上の図は、フィルタリングプロセスの概要を示しています。

詳細については、「 NetScaler Web App Firewall の仕組み」を参照してください。

本番環境への導入のための AWS 上の NetScaler Web App Firewall アーキテクチャ

この画像は、AWSクラウドにNetScaler Web App Firewall環境を構築するデフォルトパラメータ付きの仮想プライベートクラウド （VPC）を示しています。

実稼働環境では、NetScaler Web App Firewall環境用に次のパラメーターが設定されます：

• このアーキテクチャでは、AWS CloudFormation テンプレートの使用を前提としています。

• 2 つの可用性ゾーンにまたがる VPC。 AWS のベストプラクティスに従って、2 つのパブリックサブネットと 4 つのプライベートサブネットで構成され、/16 クラスレスドメイン間ルーティング (CIDR) ブロック (65,536 個のプライベート IP アドレスを持つネットワーク) を持つ AWS 上の独自の仮想ネットワークを提供します。。

• NetScaler Web App Firewall の 2 つのインスタンス (プライマリとセカンダリ)。 各可用性ゾーンに 1 つずつ。

• ネットワークインターフェイス (管理、クライアント、サーバー) ごとに 1 つずつ、関連付けられたインスタンスのトラフィックを制御する仮想ファイアウォールとして機能する3 つのセキュリティグループ。

• インスタンスごとに3 つのサブネット。 1 つは管理用、1 つはクライアント用、もう 1 つはバックエンドサーバー用です。

• VPC にアタッチされたインターネットゲートウェイ 、およびインターネットへのアクセスを許可するためにパブリックサブネットに関連付けられた Public Subnets ルートテーブル。 このゲートウェイは、Web App Firewall ホストがトラフィックを送受信するために使用されます。 インターネット・ゲートウェイの詳細は、「 インターネット・ゲートウェイ」を参照してください。

• 5 つのルートテーブル-プライマリとセカンダリ Web App Firewall の両方のクライアントサブネットに関連付けられた 1 つのパブリックルートテーブル。 残りの 4 つのルートテーブルは、4 つのプライベートサブネット (プライマリおよびセカンダリ Web App Firewall の管理サブネットとサーバー側サブネット) のそれぞれにリンクしています。

• Web App Firewall の AWS Lambda は次のことを処理します：

  • HA モードの各可用性ゾーンに 2 つの Web App Firewall を設定する

  • サンプルの Web アプリケーションファイアウォールプロファイルを作成し、この構成を Web App Firewall に関してプッシュします

• AWS Identity and Access Management (IAM) は、ユーザーの AWS サービスとリソースへのアクセスを安全に制御します。 デフォルトでは、CloudFormation テンプレート (CFT) によって必要な IAM ロールが作成されます。 ただし、ユーザーはNetScaler ADCインスタンスに独自のIAMロールを提供できます。

• パブリックサブネットでは、パブリックサブネット内のリソースへのアウトバウンドインターネットアクセスを許可する 2 つのマネージドネットワークアドレス変換 (NAT) ゲートウェイ。

注

NetScaler Web App Firewallを既存のVPCに展開するCFT Web App Firewallテンプレートは、アスタリスクでマークされたコンポーネントをスキップし、ユーザーに既存のVPC構成の入力を求めます。

バックエンドサーバーはCFTによって展開されません。

コストとライセンス

ユーザーは、AWS デプロイの実行中に使用される AWS サービスの費用を負担します。 このデプロイに使用できる AWS CloudFormation テンプレートには、ユーザーが必要に応じてカスタマイズできる設定パラメータが含まれています。 インスタンスタイプなど、これらの設定の一部は、デプロイのコストに影響します。 コストの見積もりについては、ユーザーが使用している各 AWS サービスの料金表ページを参照してください。 価格は変更される場合があります。

AWS上のNetScaler Web App Firewall にはライセンスが必要です。 NetScaler Web App Firewallのライセンスを取得するには、ユーザーはライセンスキーをS3バケットに配置し、展開を起動するときにその場所を指定する必要があります。

注

ユーザーが自分のライセンス使用 (BYOL) ライセンスモデルを選択するときは、AppFlow機能が有効になっていることを確認する必要があります。 BYOL ライセンスの詳細については、「 AWS Marketplace/CitrixVPX-カスタマーライセンス」を参照してください。

AWS で実行されている Citrix ADC Web App Firewall では、次のライセンスオプションを使用できます。 ユーザーは、スループットなどの 1 つの要素に基づいて AMI (Amazon マシンイメージ) を選択できます。

• ライセンスモデル：従量制（本番ライセンスの場合はPAYG）または自分のライセンスの使用（BYOL、カスタマーライセンスAMI-NetScaler ADC プール容量）。 NetScaler ADC プールキャパシティの詳細については、「 NetScaler ADC プールキャパシティ」を参照してください。

  • BYOL には、次の 3 つのライセンスモードがあります：

    • NetScaler プールキャパシティの構成： Citrix ADC プールキャパシティの構成

    • NetScaler VPX チェックインおよびチェックアウトライセンス (CICO): Citrix ADCVPX チェックインおよびチェックアウトライセンス

    ヒント：

    ユーザーがVPX-200、VPX-1000、VPX-3000、VPX-5000、またはVPX-8000のアプリケーションプラットフォームタイプでCICOライセンスを選択した場合は、NetScaler Consoleライセンスサーバーに同じスループットライセンスがあることを確認する必要があります。

    • NetScaler 仮想 CPU ライセンス: NetScaler 仮想 CPU ライセンス

注

ユーザーがVPXインスタンスの帯域幅を動的に変更したい場合は、BYOLオプションを選択する必要があります。 たとえば、 NetScaler Consoleからライセンスを割り当てることができるNetScalerプールキャパシティを選択するか、再起動せずにオンデマンドでインスタンスの最小容量と最大容量に従ってNetScalerからライセンスをチェックアウトできます 。 再起動は、ユーザーがライセンスエディションを変更する場合のみ必要です。

• スループット:200 Mbps または 1 Gbps

• バンドル:プレミアム

展開オプション

この導入ガイドには、次の 2 つの展開オプションがあります：

• 最初のオプションは、クイックスタートガイド形式と次のオプションを使用して展開することです：

  • NetScaler Web App Firewall を新しいVPCに展開します（エンドツーエンド展開）。 このオプションは、VPC、サブネット、セキュリティグループ、およびその他のインフラストラクチャコンポーネントで構成される新しいAWS環境を構築し、その新しいVPCにNetScaler Web App Firewallをデプロイします。

  • 既存のVPCにNetScaler Web App Firewall を展開します。 このオプションは、ユーザーの既存のAWSインフラストラクチャにNetScaler Web App Firewallをプロビジョニングします。

• 2つ目のオプションは、NetScaler Consoleを使用してWeb App Firewall StyleBookを使用して展開することです

AWS クイックスタート

ステップ 1: ユーザー AWS アカウントにサインインする

• AWS のユーザーアカウントにサインインする:Amazon アカウントの作成 (必要な場合) または Amazon アカウントにサインインするために必要なアクセス権限を持つ IAM (アイデンティティおよびアクセス管理) ユーザーロールを持つ AWS 。

• ナビゲーションバーのリージョンセレクターを使用して、ユーザーが AWS 可用性ゾーン全体に高可用性をデプロイする AWS リージョンを選択します。

• ユーザーAWSアカウントが正しく設定されていることを確認してください。 詳細については、このドキュメントの「技術要件」セクションを参照してください。

ステップ 2: NetScaler Web App Firewall AMI にサブスクライブする

• このデプロイには、AWS Marketplace にあるNetScaler Web App Firewall 用のAMIへのサブスクリプションが必要です。

• ユーザー AWS アカウントにサインインします。

• 次の表のいずれかのリンクを選択して、NetScaler Web App Firewallオファリングのページを開きます。

  • ユーザーは、以下のステップ3でクイックスタートガイドを起動してNetScaler Web App Firewallを展開するときに、 NetScaler Web App Firewallイメージパラメーターを使用して 、AMIサブスクリプションに一致するバンドルとスループットオプションを選択します。 次のリストは、AMI オプションと対応するパラメーター設定を示しています。 このVPX AMIインスタンスには2つ以上の仮想CPUと2GB以上のメモリが必要です。

注

AMI IDを取得するには、GitHubの「AWS Marketplace上のNetScaler製品： AWS Marketplace上のCitrix 製品」ページを参照してください。

• AWS Marketplace AMI

  • NetScaler Web App Firewall (Web App Firewall)-200 Mbps: Citrix Web App Firewall (Web アプリケーションファイアウォール)-200 Mbps

  • NetScaler Web App Firewall (Web App Firewall)-1000 Mbps: Citrix Web App Firewall (Web アプリケーションファイアウォール)-1000 Mbps

• AMI ページで、[ 購読を続ける] を選択します。

  

• ソフトウェアの使用に関する契約条件を確認し、[ AcceptTerms] を選択します。

  

  注

  ユーザーは確認ページを受け取り、アカウント所有者に確認メールが送信されます。 サブスクリプションの詳細な手順については、AWS Marketplace ドキュメントの「はじめに」の「 はじめに」を参照してください。

• サブスクリプションプロセスが完了したら、それ以上アクションを行わずに AWS Marketplace を終了します。 AWS Marketplace からソフトウェアをプロビジョニングしないでください。 ユーザーは、クイックスタートガイドを使用して AMI をデプロイします。

ステップ 3: AWS クイックスタートを起動する

• ユーザー AWS アカウントにサインインし、次のいずれかのオプションを選択して AWS CloudFormation テンプレートを起動します。 オプションの選択に関するヘルプについては、このガイドの前半の「展開オプション」を参照してください。

  • 以下のいずれかのAWS CloudFormation テンプレートを使用して、AWS上の新しいVPCにNetScaler VPXをデプロイします：

    • Citrix/Citrix-ADC-AWS-CloudFormation /テンプレート/高可用性/クロス可用性ゾーン

    • Citrix/Citrix-ADC-AWS-CloudFormation /テンプレート/高可用性/同一可用性ゾーン

重要:

ユーザーがNetScaler Web App Firewallを既存のVPCに展開する場合、VPCが2つの可用性ゾーンにまたがり、ワークロードインスタンスの各可用性ゾーンに1つのパブリックサブネットと2つのプライベートサブネットがあり、サブネットが共有されていないことを確認する必要があります。 このデプロイガイドは共有サブネットをサポートしていません。 共有 VPC の操作:共有 VPCの操作を参照してください。 これらのサブネットでは、インスタンスがインターネットに公開されずにパッケージやソフトウェアをダウンロードできるように、ルートテーブルに NAT Gatewayが必要です。 NAT ゲートウェイの詳細については、「 NAT ゲートウェイ」を参照してください。 サブネットが重複しないようにサブネットを構成します。

また、ユーザーは、DHCP オプションのドメイン名オプションが、次の Amazon VPC ドキュメントで説明されているとおりに設定されていることを確認する必要があります: DHCP オプション セット DHCP オプション セット。 </a> ユーザーは、クイックスタートガイドを起動したときに VPC 設定の入力を求められます。

• 各デプロイが完了するまでに約 15 分かかります。

• ナビゲーションバーの右上隅に表示される AWS リージョンを確認し、必要に応じて変更します。 ここで、Citrix Web App Firewall のネットワークインフラストラクチャが構築されます。 テンプレートは、デフォルトで米国東部 (オハイオ) リージョンで起動されます。

注

このデプロイにはNetScaler Web App Firewallが含まれていますが、これは現在すべてのAWSリージョンでサポートされているわけではありません。 サポートされているリージョンの最新リストについては、「AWS サービスエンドポイント: AWS サービスエンドポイント」を参照してください。

• [テンプレートの選択] ページで、テンプレート URL のデフォルト設定を保持し、[次へ] を選択します。

• [詳細の指定] ページで、ユーザーの都合に合わせてスタック名を指定します。 テンプレートのパラメータを確認します。 入力が必要なパラメータの値を指定します。 その他すべてのパラメータについては、デフォルト設定を確認し、必要に応じてカスタマイズします。

• 次の表では、パラメータがカテゴリ別にリストされ、デプロイオプションについて個別に説明されています：

• NetScaler Web App Firewallを新規または既存のVPCに展開するためのパラメータ（展開オプション1）

• パラメータのレビューとカスタマイズが完了したら、[次へ] を選択する必要があります。

NetScaler Web App Firewall を新しいVPCに展開するためのパラメーター

VPC ネットワーク設定

踏み台ホスト設定

NetScaler Web App Firewall 構成

プールライセンス設定

AWS クイックスタート設定

注

独自の配置プロジェクト用にクイックスタートガイドテンプレートをカスタマイズする場合を除き、次の 2 つのパラメータの既定の設定を維持することをお勧めします。 これらのパラメーターの設定を変更すると、コード参照が自動的に更新され、新しいクイックスタートガイドの場所が示されます。 詳細については、AWS クイックスタートガイド寄稿者ガイドを参照してください。 AWS Quick Starts/Option 1-クイックスタートを採用する。

• [オプション ] ページで、ユーザーはスタック内のリソースにリソースタグまたはキーと値のペアを指定し、詳細オプションを設定できます。 リソース タグの詳細については、「 リソース タグ」を参照してください。 AWS CloudFormation スタックオプションの設定の詳細については、「 AWS CloudFormation スタックオプションの設定」を参照してください。 完了したら、[ 次へ] を選択する必要があります。

• [ Review ] ページで、テンプレートの設定を確認して確認します。 [ Capabilities] で、2 つのチェックボックスをオンにして、テンプレートが IAM リソースを作成し、マクロを自動展開する機能が必要になる可能性があることを確認します。

• [ Create ] を選択してスタックをデプロイします。

• スタックのステータスを監視します。 ステータスが CREATE_COMPLETE の場合、NetScaler Web App Firewall インスタンスは準備完了です。

• スタックの [ 出力 ] タブに表示される URL を使用して、作成されたリソースを表示します。

ステップ 4: デプロイメントをテストする

このデプロイでは、 **インスタンスをプライマリとセカンダリと呼びます**。 各インスタンスには、それぞれ異なる IP アドレスが関連付けられています。 クイックスタートが正常に展開されると、トラフィックは可用性ゾーン1で構成されたプライマリNetScaler Web App Firewallインスタンスを経由します。 フェイルオーバー状態で、プライマリインスタンスがクライアントの要求に応答しない場合、セカンダリの Web App Firewall インスタンスが引き継ぎます。

プライマリインスタンスの仮想 IP アドレスの Elastic IP アドレスがセカンダリインスタンスに移行され、セカンダリインスタンスが新しいプライマリインスタンスとして引き継がれます。

フェイルオーバープロセスでは、NetScaler Web App Firewall は次の処理を行います：

• NetScaler Web App Firewallは、IPセットが接続されている仮想サーバーをチェックします。

• NetScaler Web App Firewallは、仮想サーバーがリッスンしている2つのIPアドレスから、関連するパブリックIPアドレスを持つIPアドレスを見つけます。 1 つは仮想サーバに直接接続され、もう 1 つは IP セットを介して接続されます。

• NetScaler Web App Firewall は、パブリックElastic IPアドレスを、新しいプライマリ仮想IPアドレスに属するプライベートIPアドレスに再関連付けます。

デプロイを検証するには、以下を実行します：

• プライマリインスタンスに接続する

たとえば、プロキシサーバー、ジャンプホスト（AWS で実行されている Linux/Windows/FW インスタンス、または踏み台ホスト）、またはその VPC に到達可能な別のデバイス、またはオンプレミス接続を扱う場合は直接接続などです。

• トリガーアクションを実行してフェイルオーバーを強制し、セカンダリインスタンスが引き継ぐかどうかを確認します。

ヒント：

NetScaler Web App Firewallに関する構成をさらに検証するには、 プライマリNetScalerWeb App Firewall インスタンスに接続した後に次のコマンドを実行します。

Sh appfw profile QS-Profile

踏み台ホストを使用してNetScaler Web App Firewall HAペアに接続

ユーザーがサンドボックス展開を選択している場合（たとえば、CFTの一部としてユーザーが踏み台ホストの設定を選択する場合）、パブリックサブネットにデプロイされたLinux踏み台ホストは、Web App Firewallインターフェイスにアクセスするように構成されます。

ここでサインインしてアクセスする AWS CloudFormation コンソールで、 サインインしてマスタースタックを選択し、[ 出力 ] タブで LinuxBastionHosteIP1の値を見つけます。

• PrivateManagementPrivatenSIP と primaryADCInstanceId キーの値は、ADC に SSH 接続するための後のステップで使用します。

• [ サービス] を選択します。

• [ コンピュート ] タブで [ EC2] を選択します。

  • リソースで、 実行中のインスタンスを選択します。

  • プライマリ Web App Firewall インスタンスの [ 説明 ] タブで、 IPv4 パブリック IP アドレスを書き留めます。 ユーザーは SSH コマンドを構築するためにその IP アドレスが必要です。

• キーをユーザーキーチェーンに保存するには、次のコマンドを実行します。 ssh-add -K [your-key-pair].pem

Linux では、ユーザーは-K フラグを省略する必要があるかもしれません。

• ユーザーがステップ 1 でメモした LinuxBastionHosteIP1 の値を使用して、次のコマンドを使用して踏み台ホストにログインします。

ssh -A ubuntu@[LinuxBastionHostEIP1]

• 踏み台ホストから、ユーザーは SSH を使用してプライマリ Web App Firewall インスタンスに接続できます。

ssh nsroot@[Primary Management Private NSIP]

パスワード:[プライマリ ADC インスタンス ID]

これで、ユーザーはNetScaler Web App Firewall プライマリインスタンスに接続されました。 使用可能なコマンドを確認するには、help コマンドを実行します。 現在の HA 設定を表示するには、show HA node コマンドを実行します。

NetScalerコンソール

NetScalerアプリケーション配信管理サービスは、 オンプレミスまたはクラウドに展開されているNetScaler MPX、NetScaler VPX、NetScaler Gateway、NetScaler Secure Web Gateway、NetScaler SDX、NetScaler ADC CPX、NetScaler SD-WANアプライアンスなどのNetScaler展開を管理するための簡単でスケーラブルなソリューションを提供します。

NetScaler Console Serviceドキュメントには、サービスの開始方法、サービスでサポートされている機能のリスト、およびこのサービスソリューションに固有の構成に関する情報が含まれています。

詳しくは、「 NetScaler コンソールの概要」を参照してください。

NetScalerコンソールを使用して AWS にNetScaler VPX インスタンスをデプロイする

顧客がアプリケーションをクラウドに移行すると、アプリケーションの一部であるコンポーネントが増え、分散性が高まり、動的に管理する必要があります。

詳細については、「 AWSでのNetScaler VPXインスタンスのProvisioning」を参照してください。

NetScaler Web App Firewall とOWASPトップ10 — 2017

オープンWebアプリケーションセキュリティプロジェクト： OWASPは 、Webアプリケーションセキュリティのための2017年のOWASPトップ10をリリースしました。 このリストは、最も一般的なWebアプリケーションの脆弱性を説明しており、Webセキュリティを評価するための優れた出発点です。 ここでは、これらの欠陥を軽減するためにNetScaler Web App Firewall（Web App Firewall）を構成する方法について詳しく説明します。 Web App Firewallは、NetScaler （プレミアムエディション）の統合モジュールとしてだけでなく、さまざまなアプライアンスでも利用できます。

OWASP Top 10 の完全なドキュメントは OWASP Top Tenで入手できます。

署名は、ユーザーがユーザーアプリケーションの保護を最適化するのに役立つ次の展開オプションを提供します：

• ネガティブセキュリティモデル：ネガティブセキュリティモデルでは、ユーザーは事前に構成された豊富なシグネチャルールを使用して、パターンマッチングの機能を適用して攻撃を検出し、アプリケーションの脆弱性から保護します。 ユーザーは望まないものだけをブロックし、残りを許可します。 ユーザーは、ユーザーアプリケーションの特定のセキュリティニーズに基づいて独自の署名ルールを追加して、独自のカスタマイズされたセキュリティソリューションを設計できます。

• ハイブリッドセキュリティモデル:署名の使用に加えて、ユーザーはポジティブセキュリティチェックを使用して、ユーザーアプリケーションに最適な構成を作成できます。 署名を使用してユーザーが望まないものをブロックし、肯定的なセキュリティチェックを使用して許可されているものを強制します。

署名を使用してユーザーアプリケーションを保護するには、ユーザーは署名オブジェクトを使用するように 1 つ以上のプロファイルを構成する必要があります。 ハイブリッドセキュリティ構成では、ユーザー署名オブジェクトの SQL インジェクションおよびクロスサイトスクリプティングパターン、および SQL 変換ルールは、シグニチャルールだけでなく、Web アプリケーションファイアウォールプロファイルで設定されたポジティブセキュリティチェックによっても使用されます。 署名オブジェクト。

Web アプリケーションファイアウォールは、ユーザ保護された Web サイトおよび Web サービスへのトラフィックを調べ、シグネチャと一致するトラフィックを検出します。 一致は、ルール内のすべてのパターンがトラフィックに一致する場合にのみトリガーされます。 一致が発生すると、ルールに対して指定されたアクションが呼び出されます。 要求がブロックされると、ユーザーはエラーページまたはエラーオブジェクトを表示できます。 ログメッセージは、ユーザーがユーザーアプリケーションに対して開始されている攻撃を特定するのに役立ちます。 ユーザーが統計を有効にすると、Web アプリケーションファイアウォールは、Web アプリケーションファイアウォールの署名またはセキュリティチェックに一致する要求に関するデータを保持します。

トラフィックがシグニチャとポジティブセキュリティチェックの両方に一致する場合、2 つのアクションのうち、より厳しい制限が適用されます。 たとえば、ブロックアクションが無効になっているシグネチャルールにリクエストが一致し、アクションがブロックされている SQL Injection ポジティブセキュリティチェックにも一致する場合、リクエストはブロックされます。 この場合、署名違反は [ブロックされていない] として記録される可能性がありますが、要求は SQL インジェクションチェックによってブロックされます。

カスタマイズ:必要に応じて、ユーザーは独自のルールを署名オブジェクトに追加できます。 ユーザーは SQL/XSS パターンをカスタマイズすることもできます。 ユーザーアプリケーションの特定のセキュリティニーズに基づいて独自の署名ルールを追加するオプションにより、ユーザーは独自のカスタマイズされたセキュリティソリューションを柔軟に設計できます。 ユーザーは望まないものだけをブロックし、残りを許可します。 特定の場所で特定の高速一致パターンを使用すると、処理オーバーヘッドを大幅に削減してパフォーマンスを最適化できます。 ユーザーは、SQL インジェクションおよびクロスサイトスクリプティングパターンを追加、変更、または削除できます。 組み込みの正規表現と式エディタは、ユーザーがユーザーパターンを構成し、その正確性を検証するのに役立ちます。

NetScaler Web App Firewall

Web App Firewall は、最新のアプリケーションに最先端の保護を提供するエンタープライズグレードのソリューションです。 NetScaler Web App Firewall は、Webサイト、Webアプリケーション、APIなどの一般公開資産に対する脅威を軽減します。 NetScaler Web App Firewallには、IPレピュテーションベースのフィルタリング、ボット対策、OWASPトップ10アプリケーション脅威対策、レイヤー7 DDoS保護などが含まれています。 また、認証を強制するオプション、強力なSSL/TLS暗号、TLS 1.3、レート制限、および書き換えポリシーも含まれています。 NetScaler Web App Firewallは、基本的な保護機能と高度なWeb App Firewall 保護の両方を使用して、比類のない使いやすさでアプリケーションを包括的に保護します。 起動して実行するのはほんの数分です。 さらに、NetScaler Web App Firewallは動的プロファイリングと呼ばれる自動学習モデルを使用することで、ユーザーの貴重な時間を節約できます。 Web App Firewall は、保護されたアプリケーションの仕組みを自動的に学習することで、開発者がアプリケーションをデプロイしたり変更したりしても、アプリケーションに適応します。 NetScaler Web App Firewall は、PCI-DSS、HIPAAなどを含むすべての主要な規制基準や機関へのコンプライアンスに役立ちます。 CloudFormation テンプレートを使えば、これまでになく簡単に立ち上げてすぐに実行できます。 Auto Scaling を使用すると、トラフィックが拡大しても、ユーザーはアプリケーションを保護したまま安心できます。

Web App Firewall 導入戦略

Web アプリケーションファイアウォールを展開するための最初のステップは、最大限のセキュリティ保護が必要なアプリケーションまたは特定のデータ、脆弱性の低いアプリケーション、およびセキュリティ検査を安全に回避できるものを評価することです。 これにより、ユーザーは最適な構成を考案し、トラフィックを分離するための適切なポリシーとバインドポイントを設計できます。 たとえば、ユーザーは、画像、MP3 ファイル、ムービーなどの静的な Web コンテンツに対する要求のセキュリティ検査をバイパスするポリシーを構成し、動的コンテンツのリクエストに高度なセキュリティチェックを適用する別のポリシーを構成することができます。 ユーザーは複数のポリシーとプロファイルを使用して、同じアプリケーションの異なるコンテンツを保護できます。

次のステップは、展開のベースラインを設定することです。 まず、仮想サーバーを作成し、そのサーバーを介してテストトラフィックを実行して、ユーザーシステムを通過するトラフィックの速度と量を把握します。

次に、Web App Firewall をデプロイします。 NetScalerコンソールとWeb App Firewall StyleBookを使用して、Web App Firewall を構成します。 詳細については、このガイドの下の「StyleBook」セクションを参照してください。

WebアプリファイアウォールをWeb App Firewall StyleBookで展開および構成したら、次のステップとして役立つ次のステップは、NetScaler ADC Web App Firewall とOWASPトップ10を実装することです。

最後に、Web App Firewall保護のうち3つは、一般的な種類のWeb攻撃に対して特に効果的であるため、他のどの保護よりも一般的に使用されています。 したがって、これらは初期展開時に実装する必要があります。

NetScalerコンソール

NetScalerコンソールは、オンプレミスまたはクラウドに展開されているNetScaler ADC MPX、NetScaler ADC VPX、NetScaler Gateway、NetScaler Secure Web Gateway、NetScaler ADC SDX、NetScaler ADC CPX、NetScaler SD-WANアプライアンスなどのNetScaler ADC展開を管理するためのスケーラブルなソリューションを提供します。

NetScalerコンソールのアプリケーション分析 および管理機能

NetScalerコンソールでサポートされている機能は、アプリセキュリティにおけるNetScaler Consoleの役割にとって重要です。

機能の詳細については、「機能と解決策」を参照してください。

前提条件

AWSでVPXインスタンスを作成する前に、ユーザーは前提条件が満たされていることを確認する必要があります。 詳細については、 前提条件を参照してください。

制限事項と使用ガイドライン

制限事項と使用ガイドライン に記載されている制限事項と使用ガイドラインは、Citrix ADC VPX インスタンスを AWS にデプロイする場合に適用されます。

技術的要件

ユーザーがクイックスタートガイドを起動してデプロイを開始する前に、次のリソーステーブルで指定されているようにユーザーアカウントを設定する必要があります。 そうしないと、デプロイが失敗する可能性があります。

リソース

必要に応じて、ユーザーAmazonアカウントにサインインし、次のリソースのサービス制限の引き上げをリクエストします。 AWS/Sign in。 これらのリソースを使用する既存の展開がすでにあり、この展開で既定の制限を超える可能性があると思われる場合は、これを実行する必要があります。 デフォルトの制限については、AWS ドキュメント「AWS サービスクォータ」の「 AWS サービスクォータ」を参照してください。

AWS Trusted Advisor ( こちらを参照): AWS/Sign inは、一部のサービスのいくつかの側面の使用状況と制限を表示するサービス制限チェックを提供します。

領域

AWS上のNetScaler Web App Firewall は、現在すべてのAWSリージョンでサポートされているわけではありません。 サポートされているリージョンの最新リストについては、AWS ドキュメント「AWS サービスエンドポイント」の「 AWS サービスエンドポイント」を参照してください。

AWS リージョンの詳細と、クラウドインフラストラクチャが重要な理由については、「 グローバルインフラストラクチャ」を参照してください。

キー ペア

クイックスタートガイドを使用して、ユーザーがデプロイする予定のリージョンのユーザー AWS アカウントに、少なくとも 1 つの Amazon EC2 キーペアが存在することを確認します。 キーペア名を書き留めます。 ユーザーは、展開中にこの情報の入力を求められます。 キーペアを作成するには、AWS ドキュメント「Amazon EC2 キーペアと Linux インスタンス」の Amazon EC2 キーペアと Linux インスタンスの指示に従います。

ユーザーがテストまたは概念実証の目的でクイックスタートガイドをデプロイする場合は、本番インスタンスですでに使用されているキーペアを指定する代わりに、新しいキーペアを作成することをお勧めします。

参照ドキュメント

• HTML SQL インジェクションチェック

• XML SQLインジェクションチェック

• コマンドラインを使用して HTML クロスサイトスクリプティングチェックを設定する

• XMLクロスサイトスクリプティングチェック

• コマンドラインによるバッファオーバーフローセキュリティチェックの設定

• 署名オブジェクトの追加または削除

• 署名オブジェクトの設定または変更

• 署名オブジェクトの更新

• Snort規則の統合

• ボットの検出

• Microsoft AzureでNetScaler VPXインスタンスを展開する