AWSでのNetScaler ウェブアプリファイアウォールの展開

NetScaler Web App Firewallは、顧客サーバーと顧客ユーザーの間で、レイヤー3ネットワークデバイスまたはレイヤー2ネットワークブリッジとしてインストールできます。通常、顧客企業のルーターまたはファイアウォールの背後に配置されます。NetScaler Web App Firewallは、Webサーバーと、ユーザーがそれらのWebサーバーにアクセスするハブまたはスイッチの間でトラフィックを傍受できる場所にインストールする必要があります。その後、ユーザーは、リクエストをWebサーバーに直接送信する代わりにWeb Application Firewallに送信し、応答をユーザーに直接送信する代わりにWeb Application Firewallに送信するようにネットワークを設定します。Web Application Firewallは、内部ルールセットとユーザーによる追加および変更の両方を使用して、そのトラフィックを最終的な宛先に転送する前にフィルタリングします。有害であると検出したアクティビティをブロックまたは無害化し、残りのトラフィックをWebサーバーに転送します。前述の画像は、フィルタリングプロセスの概要を示しています。

詳細については、NetScaler Web App Firewallの仕組みを参照してください。

本番環境展開のためのAWS上のNetScaler Web App Firewallのアーキテクチャ

この画像は、AWSクラウドにNetScaler Web App Firewall環境を構築するデフォルトパラメータを持つ仮想プライベートクラウド (VPC) を示しています。

本番環境展開では、NetScaler Web App Firewall環境のために以下のパラメータが設定されます。

• このアーキテクチャは、AWS CloudFormationテンプレートの使用を前提としています。

• 2つのアベイラビリティゾーンにまたがり、AWSのベストプラクティスに従って2つのパブリックサブネットと4つのプライベートサブネットで構成されたVPC。これは、/16のクラスレスドメイン間ルーティング (CIDR) ブロック (65,536個のプライベートIPアドレスを持つネットワーク) を持つ独自の仮想ネットワークをAWS上に提供します。

• NetScaler Web App Firewallの2つのインスタンス (プライマリとセカンダリ) が、各アベイラビリティゾーンに1つずつ配置されます。

• 3つのセキュリティグループ。各ネットワークインターフェース (管理、クライアント、サーバー) ごとに1つずつあり、関連するインスタンスのトラフィックを制御する仮想ファイアウォールとして機能します。

• 3つのサブネット。各インスタンスに対して、管理用、クライアント用、バックエンドサーバー用にそれぞれ1つずつです。

• VPCにアタッチされたインターネットゲートウェイと、インターネットへのアクセスを許可するためにパブリックサブネットに関連付けられたパブリックサブネットルートテーブル。このゲートウェイは、Web App Firewallホストがトラフィックを送受信するために使用されます。インターネットゲートウェイの詳細については、インターネットゲートウェイを参照してください。

• 5つのルートテーブル。プライマリおよびセカンダリWeb App Firewallの両方のクライアントサブネットに関連付けられた1つのパブリックルートテーブル。残りの4つのルートテーブルは、4つのプライベートサブネット (プライマリおよびセカンダリWeb App Firewallの管理サブネットおよびサーバー側サブネット) のそれぞれにリンクします。

• ウェブアプリファイアウォールにおけるAWS Lambdaは、以下の処理を担当します:

  • HAモードの各アベイラビリティゾーンに2つのWeb App Firewallを設定する

  • サンプルのWeb App Firewallプロファイルを作成し、Web App Firewallに関するこの設定をプッシュする

• ユーザーがAWSサービスおよびリソースへのアクセスを安全に制御するためのAWS Identity and Access Management (IAM)。デフォルトでは、CloudFormationテンプレート (CFT) が必要なIAMロールを作成します。ただし、ユーザーはNetScaler ADCインスタンスに独自のIAMロールを提供できます。

• パブリックサブネットでは、パブリックサブネット内のリソースのアウトバウンドインターネットアクセスを許可するために、2つのマネージドネットワークアドレス変換 (NAT) ゲートウェイを使用します。

注:

既存のVPCにNetScaler Web App Firewallを展開するCFT Web App Firewallテンプレートは、アスタリスクでマークされたコンポーネントをスキップし、ユーザーに既存のVPC構成を求めます。

バックエンドサーバーはCFTによって展開されません。

コストとライセンス

ユーザーは、AWS展開の実行中に使用されるAWSサービスの費用に責任を負います。この展開に使用できるAWS CloudFormationテンプレートには、ユーザーが必要に応じてカスタマイズできる構成パラメータが含まれています。インスタンスタイプなど、それらの設定の一部は展開のコストに影響します。コストの見積もりについては、ユーザーは使用している各AWSサービスの料金ページを参照してください。価格は変更される場合があります。

AWS上のNetScaler Web App Firewallにはライセンスが必要です。NetScaler Web App Firewallをライセンスするには、ユーザーはライセンスキーをS3バケットに配置し、展開を起動するときにその場所を指定する必要があります。

注:

ユーザーがBring your own license (BYOL) ライセンスモデルを選択する場合、AppFlow機能が有効になっていることを確認する必要があります。BYOLライセンスの詳細については、AWS Marketplace/Citrix VPX - Customer Licensedを参照してください。

AWSで実行されているCitrix® ADC Web App Firewallには、次のライセンスオプションが利用可能です。ユーザーは、スループットなどの単一の要因に基づいてAMI (Amazon Machine Image) を選択できます。

• ライセンスモデル: 従量課金制 (PAYG、本番ライセンスの場合) またはブリング・ユア・オウン・ライセンス (BYOL、顧客ライセンスAMI - Citrix ADC Pooled Capacityの場合)。Citrix ADC Pooled Capacityの詳細については、Citrix ADC Pooled Capacityを参照してください。

  • BYOLには、3つのライセンスモードがあります。

    • ネットスケーラー プール容量の設定: シトリックス ADC プール容量の設定

    • NetScaler VPX チェックイン/チェックアウトライセンス (CICO): Citrix ADC VPX チェックイン/チェックアウトライセンス

    ヒント:

    ユーザーが VPX-200、VPX-1000、VPX-3000、VPX-5000、または VPX-8000 アプリケーションプラットフォームタイプで CICO ライセンスを選択する場合、NetScaler Console ライセンスサーバーに同じスループットライセンスが存在することを確認する必要があります。

    • ネットスケーラー 仮想 CPU ライセンス: ネットスケーラー 仮想 CPU ライセンス

注:

ユーザーが VPX インスタンスの帯域幅を動的に変更したい場合、BYOL オプション、例えば NetScaler pooled capacity を選択する必要があります。これにより、NetScaler Console からライセンスを割り当てたり、インスタンスの最小および最大容量に応じて、オンデマンドで再起動なしに NetScaler からライセンスをチェックアウトしたりできます。再起動が必要となるのは、ユーザーがライセンスエディションを変更したい場合のみです。

• スループット: 200 Mbps または 1 Gbps

• バンドル: プレミアム

展開オプション

この展開ガイドでは、2つの展開オプションを提供します。

• 最初のオプションは、クイックスタートガイド形式と以下のオプションを使用して展開することです。

  • 新しい VPC に NetScaler Web App Firewall を展開する (エンドツーエンド展開)。このオプションは、VPC、サブネット、セキュリティグループ、その他のインフラストラクチャコンポーネントで構成される新しい AWS 環境を構築し、その新しい VPC に NetScaler Web App Firewall を展開します。

  • 既存の VPC に NetScaler Web App Firewall を展開する。このオプションは、ユーザーの既存の AWS インフラストラクチャに NetScaler Web App Firewall をプロビジョニングします。

• 2番目のオプションは、NetScaler Console を使用して Web App Firewall スタイルブックを展開することです。

AWS クイックスタート

ステップ1：ユーザーのAWSアカウントにサインインする

• AWSでユーザーアカウントにサインインします: AWS。Amazonアカウントを作成する (必要に応じて) か、Amazonアカウントにサインインするために必要な権限を持つIAM (Identity and Access Management) ユーザーロールを使用します。

• ナビゲーションバーのリージョンセレクターを使用して、ユーザーがAWSアベイラビリティゾーン全体に高可用性をデプロイしたいAWSリージョンを選択します。

• ユーザーのAWSアカウントが正しく設定されていることを確認してください。詳細については、このドキュメントの「技術要件」セクションを参照してください。

ステップ2：NetScaler ウェブアプリファイアウォール AMI をサブスクライブする

• このデプロイには、AWS Marketplace で NetScaler ウェブアプリファイアウォール 用のAMIのサブスクリプションが必要です。

• ユーザーのAWSアカウントにサインインします。

• 次の表のいずれかのリンクを選択して、NetScaler Web App Firewallの提供ページを開きます。

  • ユーザーが以下のステップ3でNetScaler Web App Firewallをデプロイするためにクイックスタートガイドを起動するとき、彼らは NetScaler Web App Firewall Image パラメータを使用して、AMIサブスクリプションに一致するバンドルとスループットオプションを選択します。以下にAMIオプションと対応するパラメータ設定を示します。VPX AMIインスタンスには、最低2つの仮想CPUと2GBのメモリが必要です。

注:

To retrieve the AMI ID, refer to the NetScaler Products on AWS Marketplace page on GitHub: Citrix Products on AWS Marketplace.

• AWS マーケットプレイス AMI

  • NetScaler Webアプリケーションファイアウォール (Webアプリファイアウォール) - 200 Mbps: Citrix Webアプリファイアウォール (Webアプリファイアウォール) - 200 Mbps

  • NetScaler Webアプリケーションファイアウォール (Webアプリファイアウォール) - 1000 Mbps: Citrix Webアプリファイアウォール (Webアプリファイアウォール) - 1000 Mbps

• AMIページで、サブスクライブを続行を選択します。

  「NetScaler Webアプリケーションファイアウォール (Web App Firewall)」のAWSマーケットプレイスページ(/ja-jp/vpx/media/image-vpx-aws-appsecurity-deployment-03.png)

• ソフトウェア使用の利用規約を確認し、規約に同意するを選択します。

  NetScaler Web App Firewallユーザーライセンス契約の規約に同意する(/ja-jp/vpx/media/image-vpx-aws-appsecurity-deployment-04.png)

  注:

  ユーザーには確認ページが表示され、アカウント所有者にはメール確認が送信されます。詳細なサブスクリプション手順については、AWS Marketplaceドキュメントの「Getting Started」を参照してください: Getting Started。

• サブスクリプションプロセスが完了したら、それ以上の操作を行わずにAWS Marketplaceを終了します。AWS Marketplaceからソフトウェアをプロビジョニングしないでください。ユーザーはクイックスタートガイドを使用してAMIをデプロイします。

ステップ3: AWSクイックスタートを起動する

• ユーザーのAWSアカウントにサインインし、以下のいずれかのオプションを選択してAWS CloudFormationテンプレートを起動します。オプションの選択については、このガイドの前のデプロイオプションを参照してください。

  • ここにあるAWS CloudFormationテンプレートのいずれかを使用して、AWS上の新しいVPCにNetScaler VPXをデプロイします。

    • Citrix/Citrix-ADC-AWS-CloudFormation/Templates/High-Availability/Across-Availability-Zone

    • シトリックス/Citrix-ADC-AWS-CloudFormation/テンプレート/高可用性/同一アベイラビリティゾーン

重要:

ユーザーが既存のVPCにNetScaler Web App Firewallをデプロイする場合、VPCが2つのアベイラビリティゾーンにまたがり、各アベイラビリティゾーンにワークロードインスタンス用のパブリックサブネット1つとプライベートサブネット2つがあり、サブネットが共有されていないことを確認する必要があります。このデプロイガイドは共有サブネットをサポートしていません。「Working with Shared VPCs」を参照してください: Working with Shared VPCs。これらのサブネットには、インスタンスがインターネットに公開されることなくパッケージやソフトウェアをダウンロードできるように、ルーティングテーブルにNATゲートウェイが必要です。NATゲートウェイの詳細については、NAT Gatewaysを参照してください。サブネットが重複しないように設定してください。

また、ユーザーは、Amazon VPCドキュメントの「DHCP Options Sets」DHCP Options Setsで説明されているように、DHCPオプションのドメイン名オプションが設定されていることを確認する必要があります。クイックスタートガイドを起動すると、VPC設定の入力を求められます。

• 各デプロイには約15分かかります。

• ナビゲーションバーの右上隅に表示されているAWSリージョンを確認し、必要に応じて変更します。ここにCitrix Web App Firewallのネットワークインフラストラクチャが構築されます。テンプレートはデフォルトで米国東部 (オハイオ) リージョンで起動されます。

注:

このデプロイにはNetScaler Web App Firewallが含まれていますが、これは現在すべてのAWSリージョンでサポートされているわけではありません。サポートされているリージョンの最新リストについては、AWSサービスエンドポイント: AWSサービスエンドポイントを参照してください。

• [テンプレートの選択] ページで、テンプレートURLのデフォルト設定を維持し、[次へ] を選択します。

• [詳細の指定] ページで、ユーザーの都合に合わせてスタック名を指定します。テンプレートのパラメータを確認します。入力が必要なパラメータには値を指定します。その他のすべてのパラメータについては、デフォルト設定を確認し、必要に応じてカスタマイズします。

• 次の表では、パラメータはカテゴリ別にリストされ、デプロイオプションごとに個別に説明されています。

• 新規または既存のVPCにNetScaler Web App Firewallをデプロイするためのパラメータ (デプロイオプション1)

• ユーザーがパラメータの確認とカスタマイズを終えたら、[次へ] を選択します。

新しいVPCにNetScaler Web App Firewallをデプロイするためのパラメータ

VPCネットワーク構成

Bastionホストの設定

ネットスケーラー ウェブアプリケーションファイアウォール 設定

プールライセンス設定

AWS クイックスタートの設定

注:

ユーザーが自身のデプロイプロジェクトのためにQuick Startガイドテンプレートをカスタマイズする場合を除き、以下の2つのパラメータのデフォルト設定を維持することをお勧めします。これらのパラメータの設定を変更すると、コード参照が自動的に更新され、新しいQuick Startガイドの場所に向けられます。詳細については、こちらにあるAWS Quick Startガイドコントリビューターガイドを参照してください: AWS Quick Starts/Option 1 - Adopt a Quick Start。

• On the オプションページで、ユーザーはスタック内のリソースのリソースタグまたはキーと値のペアを指定し、詳細オプションを設定できます。リソースタグの詳細については、リソースタグを参照してください。AWS CloudFormation スタックオプションの設定の詳細については、AWS CloudFormation スタックオプションの設定を参照してください。完了したら、次へを選択します。

• レビューページで、テンプレート設定を確認します。機能の下で、テンプレートがIAMリソースを作成すること、およびマクロを自動展開する機能が必要になる場合があることを承認するために、2つのチェックボックスを選択します。

• スタックをデプロイするには、作成を選択します。

• スタックのステータスを監視します。ステータスがCREATE_COMPLETEになったら、NetScaler Web App Firewallインスタンスの準備が完了です。

• スタックの出力タブに表示されるURLを使用して、作成されたリソースを表示します。

NetScaler Web アプリケーション ファイアウォール デプロイ成功後の出力(/ja-jp/vpx/media/image-vpx-aws-appsecurity-deployment-05.png)

ステップ4：デプロイのテスト

このデプロイのインスタンスをプライマリとセカンダリと呼びます。各インスタンスには異なるIPアドレスが関連付けられています。クイックスタートが正常にデプロイされると、トラフィックはアベイラビリティゾーン1に構成されたプライマリNetScaler Web App Firewallインスタンスを経由します。フェールオーバー時には、プライマリインスタンスがクライアント要求に応答しない場合、セカンダリWeb App Firewallインスタンスが引き継ぎます。

プライマリインスタンスの仮想IPアドレスのElastic IPアドレスはセカンダリインスタンスに移行し、セカンダリインスタンスが新しいプライマリインスタンスとして引き継ぎます。

フェールオーバープロセスでは、NetScaler Web App Firewallは次のことを行います。

• NetScaler Web App Firewallは、IPセットがアタッチされている仮想サーバーをチェックします。

• NetScaler Web App Firewallは、仮想サーバーがリッスンしている2つのIPアドレス（1つは仮想サーバーに直接アタッチされ、もう1つはIPセットを介してアタッチされている）から、関連付けられたパブリックIPアドレスを持つIPアドレスを見つけます。

• NetScaler Web App Firewallは、パブリックElastic IPアドレスを、新しいプライマリ仮想IPアドレスに属するプライベートIPアドレスに再関連付けします。

デプロイを検証するには、次を実行します。

• プライマリインスタンスに接続する

例えば、プロキシサーバー、ジャンプホスト（AWSで実行されているLinux/Windows/FWインスタンス、または踏み台ホスト）、あるいはオンプレミス接続を扱う場合は、そのVPCまたはDirect Connectに到達可能な別のデバイスを使用します。

• フェールオーバーを強制するためのトリガーアクションを実行し、セカンダリインスタンスが引き継ぐかどうかを確認します。

ヒント：

NetScaler Web App Firewallに関する構成をさらに検証するには、プライマリNetScaler Web App Firewallインスタンスに接続した後、次のコマンドを実行します。

Sh appfw profile QS-Profile

踏み台ホストを使用してNetScaler Web App Firewall HAペアに接続する

ユーザーがサンドボックスデプロイメントを選択している場合（例えば、CFTの一部として、ユーザーが踏み台ホストの設定を選択する場合）、パブリックサブネットにデプロイされたLinux踏み台ホストがWebアプリケーションファイアウォールインターフェースにアクセスするように設定されます。

ここからサインインしてアクセスするAWS CloudFormationコンソールで、マスタースタックを選択し、「Outputs」タブで「LinuxBastionHostEIP1」の値を検索します。サインイン

• 後続のステップでADCにSSH接続する際に必要となる、PrivateManagementPrivateNSIP および PrimaryADCInstanceID のキーの値を控えておいてください。

• 「Services」を選択します。

• 「Compute」タブで、「EC2」を選択します。

  • Resources という項目が表示されますので、そこから Running Instances を選択してください。

  • プライマリWebアプリケーションファイアウォールインスタンスの「Description」タブで、「IPv4 public IP」アドレスをメモします。ユーザーはSSHコマンドを構築するためにそのIPアドレスが必要です。

• キーをユーザーのキーチェーンに保存するには、ssh-add -K [your-key-pair].pemコマンドを実行します。

Linuxでは、ユーザーは-Kフラグを省略する必要があるかもしれません。

• ステップ1でユーザーがメモした「LinuxBastionHostEIP1」の値を使用して、次のコマンドで踏み台ホストにログインします。

ssh -A ubuntu@[LinuxBastionHostEIP1]

• 踏み台ホストから、ユーザーはSSHを使用してプライマリWebアプリケーションファイアウォールインスタンスに接続できます。

ssh nsroot@[Primary Management Private NSIP]

パスワード: [Primary ADC Instance ID]

現在、ユーザーはプライマリNetScaler Web App Firewallインスタンスに接続されています。利用可能なコマンドを確認するには、helpコマンドを実行します。現在のHA構成を表示するには、show HA nodeコマンドを実行します。

ネットスケーラー コンソール

ネットスケーラー アプリケーション デリバリー マネジメント サービスは、オンプレミスまたはクラウドに展開されているネットスケーラー MPX、ネットスケーラー VPX、ネットスケーラー Gateway、ネットスケーラー Secure Web Gateway、ネットスケーラー SDX、ネットスケーラー ADC CPX、およびネットスケーラー SD-WAN アプライアンスを含むネットスケーラー展開を管理するための、簡単でスケーラブルなソリューションを提供します。

NetScaler Console Serviceのドキュメントには、サービスの開始方法、サービスでサポートされている機能のリスト、およびこのサービスソリューションに固有の構成に関する情報が含まれています。

詳細については、NetScaler Consoleの概要を参照してください。

ネットスケーラーコンソールを使用して AWS にネットスケーラー VPX インスタンスを展開する

顧客がアプリケーションをクラウドに移行すると、アプリケーションの一部であるコンポーネントが増加し、より分散され、動的に管理する必要が生じます。

詳細については、AWSでのNetScaler VPXインスタンスのプロビジョニングを参照してください。

ネットスケーラー ウェブアプリケーションファイアウォールと OWASP Top 10 – 2017

Open Web Application Security Project: OWASPは、Webアプリケーションセキュリティに関するOWASP Top 10 for 2017をリリースしました。このリストは、最も一般的なWebアプリケーションの脆弱性を文書化しており、Webセキュリティを評価するための優れた出発点となります。ここでは、これらの欠陥を軽減するためにNetScaler Web App Firewall (Web App Firewall) を構成する方法を詳しく説明します。Web App Firewallは、NetScaler (Premium Edition) の統合モジュールとして、またあらゆる種類のアプライアンスとして利用できます。

OWASP Top 10の完全なドキュメントは、OWASP Top Tenで入手できます。

シグネチャは、ユーザーアプリケーションの保護を最適化するために、以下の展開オプションを提供します。

• ネガティブセキュリティモデル: ネガティブセキュリティモデルでは、ユーザーは豊富な事前設定されたシグネチャルールを使用して、パターンマッチングの力を適用し、攻撃を検出し、アプリケーションの脆弱性から保護します。ユーザーは不要なものだけをブロックし、残りを許可します。ユーザーは、ユーザーアプリケーションの特定のセキュリティニーズに基づいて独自のシグネチャルールを追加し、独自のカスタマイズされたセキュリティソリューションを設計できます。

• ハイブリッドセキュリティモデル: シグネチャの使用に加えて、ユーザーはポジティブセキュリティチェックを使用して、ユーザーアプリケーションに最適な構成を作成できます。ユーザーが望まないものをブロックするにはシグネチャを使用し、許可されているものを強制するにはポジティブセキュリティチェックを使用します。

シグネチャを使用してユーザーアプリケーションを保護するには、ユーザーはシグネチャオブジェクトを使用するように1つ以上のプロファイルを構成する必要があります。ハイブリッドセキュリティ構成では、ユーザーシグネチャオブジェクト内のSQLインジェクションおよびクロスサイトスクリプティングパターン、およびSQL変換ルールは、シグネチャルールだけでなく、シグネチャオブジェクトを使用しているWebアプリケーションファイアウォールプロファイルで構成されたポジティブセキュリティチェックによっても使用されます。

Webアプリケーションファイアウォールは、ユーザーが保護するWebサイトおよびWebサービスへのトラフィックを検査し、シグネチャに一致するトラフィックを検出します。ルール内のすべてのパターンがトラフィックに一致した場合にのみ、一致がトリガーされます。一致が発生すると、ルールに指定されたアクションが呼び出されます。リクエストがブロックされた場合、ユーザーはエラーページまたはエラーオブジェクトを表示できます。ログメッセージは、ユーザーアプリケーションに対して開始された攻撃を特定するのに役立ちます。ユーザーが統計を有効にすると、Webアプリケーションファイアウォールは、Webアプリケーションファイアウォールシグネチャまたはセキュリティチェックに一致するリクエストに関するデータを維持します。

トラフィックがシグネチャとポジティブセキュリティチェックの両方に一致する場合、2つのアクションのうち、より制限の厳しい方が適用されます。たとえば、ブロックアクションが無効になっているシグネチャルールにリクエストが一致しても、そのリクエストがブロックアクションが有効になっているSQLインジェクションポジティブセキュリティチェックにも一致する場合、リクエストはブロックされます。この場合、リクエストはSQLインジェクションチェックによってブロックされますが、シグネチャ違反は[not blocked]としてログに記録される可能性があります。

カスタマイズ: 必要に応じて、ユーザーは独自のルールをシグネチャオブジェクトに追加できます。ユーザーはSQL/XSSパターンをカスタマイズすることもできます。ユーザーアプリケーションの特定のセキュリティニーズに基づいて独自のシグネチャルールを追加するオプションは、ユーザーに独自のカスタマイズされたセキュリティソリューションを設計する柔軟性を提供します。ユーザーは、望まないものだけをブロックし、残りを許可します。指定された場所の特定の高速一致パターンは、処理オーバーヘッドを大幅に削減し、パフォーマンスを最適化できます。ユーザーは、SQLインジェクションおよびクロスサイトスクリプティングパターンを追加、変更、または削除できます。組み込みの正規表現および式エディターは、ユーザーがユーザーパターンを構成し、その正確性を検証するのに役立ちます。

NetScaler ウェブアプリファイアウォール

Web App Firewallは、最新のアプリケーションに最先端の保護を提供するエンタープライズグレードのソリューションです。NetScaler Web App Firewallは、Webサイト、Webアプリケーション、APIなどの公開資産に対する脅威を軽減します。NetScaler Web App Firewallには、IPレピュテーションベースのフィルタリング、ボット軽減、OWASP Top 10アプリケーション脅威保護、レイヤー7 DDoS保護などが含まれています。また、認証、強力なSSL/TLS暗号、TLS 1.3、レート制限、書き換えポリシーを強制するオプションも含まれています。NetScaler Web App Firewallは、基本的なWeb App Firewall保護と高度なWeb App Firewall保護の両方を使用して、比類のない使いやすさでアプリケーションを包括的に保護します。セットアップは数分で完了します。さらに、動的プロファイリングと呼ばれる自動学習モデルを使用することで、NetScaler Web App Firewallはユーザーの貴重な時間を節約します。保護されたアプリケーションがどのように機能するかを自動的に学習することで、Web App Firewallは、開発者がアプリケーションを展開および変更しても、アプリケーションに適応します。NetScaler Web App Firewallは、PCI-DSS、HIPAAなど、すべての主要な規制基準および機関への準拠を支援します。当社のCloudFormationテンプレートを使用すると、これまでになく簡単に迅速に稼働できます。自動スケーリングにより、トラフィックが増加してもアプリケーションが保護されたままであることをユーザーは安心して確認できます。

ウェブアプリファイアウォール展開戦略

Webアプリケーションファイアウォールを展開する最初のステップは、どのアプリケーションまたは特定のデータが最大のセキュリティ保護を必要とし、どれが脆弱性が低く、セキュリティ検査を安全にバイパスできるかを評価することです。これにより、ユーザーは最適な構成を考案し、トラフィックを分離するための適切なポリシーとバインドポイントを設計するのに役立ちます。たとえば、ユーザーは、画像、MP3ファイル、ムービーなどの静的Webコンテンツに対するリクエストのセキュリティ検査をバイパスするポリシーを構成し、動的コンテンツに対するリクエストに高度なセキュリティチェックを適用する別のポリシーを構成したい場合があります。ユーザーは、同じアプリケーションの異なるコンテンツを保護するために、複数のポリシーとプロファイルを使用できます。

次のステップは、展開のベースラインを設定することです。仮想サーバーを作成し、テストトラフィックを流して、ユーザーシステムを流れるトラフィックのレートと量を把握することから始めます。

次に、Web App Firewallを展開します。NetScalerコンソールとWeb App Firewall StyleBookを使用して、Web App Firewallを構成します。詳細については、このガイドのStyleBookセクションを参照してください。

ウェブアプリファイアウォールが展開され、ウェブアプリファイアウォール StyleBook で構成された後、次の有用なステップは、NetScaler ADC ウェブアプリファイアウォールと OWASP Top 10 を実装することです。

最後に、Web App Firewallの保護機能のうち3つは、一般的な種類のWeb攻撃に対して特に効果的であり、他のどの機能よりも一般的に使用されています。したがって、これらは初期展開で実装する必要があります。

ネットスケーラー コンソール

ネットスケーラー コンソールは、オンプレミスまたはクラウドに展開されたネットスケーラー ADC MPX、ネットスケーラー ADC VPX、ネットスケーラー ゲートウェイ、ネットスケーラー セキュアウェブゲートウェイ、ネットスケーラー ADC SDX、ネットスケーラー ADC CPX、およびネットスケーラー SD-WAN アプライアンスを含むネットスケーラー ADC の展開を管理するためのスケーラブルなソリューションを提供します。

NetScaler Consoleのアプリケーション分析および管理機能

NetScaler Consoleでサポートされている機能は、アプリケーションセキュリティにおけるNetScaler Consoleの役割にとって重要です。

機能の詳細については、「機能とソリューション」を参照してください。

前提条件

AWSでVPXインスタンスを作成する前に、前提条件が満たされていることを確認してください。詳細については、「前提条件」を参照してください。

制限事項と使用ガイドライン

AWSにCitrix ADC VPXインスタンスを展開する場合、「制限事項と使用ガイドライン」に記載されている制限事項と使用ガイドラインが適用されます。

技術的な要件

ユーザーが展開を開始するためにクイックスタートガイドを起動する前に、ユーザーアカウントが以下のリソーステーブルに指定されているとおりに構成されている必要があります。そうしないと、展開が失敗する可能性があります。

リソース

必要に応じて、ユーザーのAmazonアカウントにサインインし、以下のリソースのサービス制限の引き上げをここでリクエストしてください: AWS/サインイン。これらのリソースを使用する既存の展開があり、今回の展開でデフォルトの制限を超える可能性があると思われる場合は、これを行う必要があるかもしれません。デフォルトの制限については、AWSドキュメントのAWS Service Quotasを参照してください: AWS Service Quotas。

AWS Trusted Advisor（こちらで確認できます: AWS/サインイン）は、一部のサービスの特定の側面における使用状況と制限を表示するサービス制限チェックを提供します。

リージョン

AWS 上の NetScaler Web App Firewall は現在、すべての AWS リージョンでサポートされているわけではありません。サポートされているリージョンの最新リストについては、AWS ドキュメントの「AWS サービスエンドポイント」を参照してください: AWS サービスエンドポイント。

AWS リージョンとクラウドインフラストラクチャが重要である理由の詳細については、以下を参照してください: グローバルインフラストラクチャ。

キーペア

ユーザーがクイックスタートガイドを使用してデプロイを計画しているリージョンのユーザー AWS アカウントに、少なくとも 1 つの Amazon EC2 キーペアが存在することを確認してください。キーペア名をメモしてください。デプロイ中にこの情報の入力を求められます。キーペアを作成するには、AWS ドキュメントの「Amazon EC2 キーペアと Linux インスタンス」の手順に従ってください: Amazon EC2 キーペアと Linux インスタンス。

ユーザーがテストまたは概念実証の目的でクイックスタートガイドをデプロイする場合、本番インスタンスで既に使用されているキーペアを指定するのではなく、新しいキーペアを作成することをお勧めします。

リファレンス

• HTML SQL インジェクションチェック

• XML SQL インジェクションチェック

• コマンドラインを使用して HTML クロスサイトスクリプティングチェックを設定する

• XML クロスサイトスクリプティングチェック

• コマンドラインを使用してバッファオーバーフローセキュリティチェックを設定する(/ja-jp/citrix-adc/current-release/application-firewall/top-level-protections/buffer-over-flow-check.html#using-the-command-line-to-configure-the-buffer-overflow-security-check)

• シグネチャオブジェクトの追加または削除(/ja-jp/citrix-adc/current-release/application-firewall/signatures/add-remove-signatures.html)

• シグネチャオブジェクトの設定または変更(/ja-jp/citrix-adc/current-release/application-firewall/signatures/modifying-signatures.html)

• シグネチャオブジェクトの更新(/ja-jp/citrix-adc/current-release/application-firewall/signatures/updating-signatures.html)

• Snortルールの統合(/ja-jp/citrix-adc/current-release/application-firewall/signatures/snort-rule-integration.html)

• ボット検出(/ja-jp/citrix-adc/current-release/bot-management/bot-detection.html#configure-bot-management)

• マイクロソフト Azure に NetScaler VPX インスタンスを展開する(/ja-jp/vpx/current-release/deploy-vpx-on-azure)