Application Delivery Management

安全公告

安全、可靠且具有弹性的基础设施是任何组织的生命线。组织必须跟踪新的常见漏洞和暴露 (CVE),并评估 CVE 对其基础结构的影响。他们还必须了解并计划补救措施以解决漏洞。NetScaler 控制台中的安全公告功能使您能够识别使 NetScaler 实例面临风险的 CVE 并提出补救建议。

从 14.1 8.x 版本开始,您可以通过配置 Cloud Connect 和启用安全公告来使用完整版的安全公告

如果您尚未配置 Cloud Connect,则只能查看安全公告的预览版。您可以单击启用 Cloud Connect 并完成配置,以使用完整版的安全公告。有关更多信息,请参见 Cloud Connect

安全公告

配置 Cloud Connect 并启用安全公告后,您可以查看更新的安全公告页面。

更新了安全公告

作为管理员,您必须确保跟踪任何新的常见漏洞和暴露 (CVE),评估 CVE 的影响,了解补救措施并解决漏洞。

安全公告功能

以下安全公告功能可帮助您保护基础架构:

功能 说明
系统扫描 默认情况下,每周扫描一次所有托管实例。NetScaler 控制台决定系统扫描的日期和时间,您无法对其进行更改。
按需扫描 需要时,您可以手动扫描实例。如果上次系统扫描后经过的时间很长,则可以运行按需扫描以评估当前的安全状态。或者在应用补救措施后进行扫描,以评估修改后的状态。
CVE 影响分析 显示影响您的基础设施的所有 CVE 的结果以及所有 NetScaler 实例受到影响的结果,并提出补救建议。使用此信息应用补救措施来修复安全风险。
扫描日志 存储最近五次扫描的副本。您可以以 CSV 和 PDF 格式下载这些报告并进行分析。
CVE 存储库 详细介绍了 Citrix 自 2019 年 12 月以来宣布的所有与 NetScaler 相关的 CVE,这可能会影响您的 NetScaler 基础架构。您可以使用此视图来了解安全公告范围中的 CVE,并了解有关 CVE 的更多信息。有关不支持的 CVE 的信息,请参阅 安全公告中不支持的 CVE

注意事项

  • 安全公告不支持已到达生命周期已结束 (EOL) 状态的 NetScaler 版本。我们建议您升级到 NetScaler 支持的内部版本或版本。

  • CVE 检测支持的实例:所有 NetScaler(SDX、MPX、VPX)和 Gateway。

  • 支持的 CVE:2019 年 12 月之后的所有 CVE。

    注意:

    NetScaler 控制台安全公告不支持检测和修复影响Windows版NetScaler Gateway插件的漏洞。有关不支持的 CVE 的信息,请参阅 安全公告中不支持的 CVE

  • 在识别漏洞时,NetScaler 控制台安全公告不考虑任何类型的功能配置错误。

  • NetScaler 控制台安全公告仅支持识别和修复 CVE。它不支持识别和修复“安全”文章中强调的安全问题。

  • NetScaler、Gateway 版本的范围:该功能仅限于主版本。安全公告在其范围内不包括任何特殊版本。

    • 管理员分区不支持安全公告。
  • 以下类型的扫描可用于 CVE:

    • 版本扫描:此扫描需要 NetScaler 控制台将 NetScaler 实例的版本与可用修复程序的版本和内部版本进行比较。此版本比较有助于 NetScaler 控制台安全公告确定 NetScaler 是否容易受到 CVE 的攻击。例如,如果在 NetScaler 版本上修复 CVE 并构建 xx.yy,则安全公告会将版本低于 xx.yy 的所有 NetScaler 实例视为易受攻击。安全公告目前支持版本扫描。

    • 配置扫描:此扫描需要 NetScaler 控制台将特定于 CVE 扫描的模式与 NetScaler 配置文件 (nsconf) 进行匹配。如果 NetScaler ns.conf 文件中存在特定的配置模式,则认为该实例容易受到该 CVE 的影响。此扫描通常与版本扫描一起使用。 安全公告目前支持配置扫描。

    • 定制扫描:此扫描需要 NetScaler 控制台连接托管的 NetScaler 实例,向其推送脚本并运行脚本。脚本输出有助于 NetScaler 控制台识别 NetScaler 是否容易受到 CVE 的攻击。示例包括特定的 shell 命令输出、特定的 CLI 命令输出、某些日志以及某些目录或文件的存在或内容。如果配置扫描无法解决相同问题,安全公告还会使用自定义扫描来匹配多个配置模式。对于需要自定义扫描的 CVE,脚本会在每次运行预设或按需扫描时运行。有关收集的数据和特定自定义扫描选项的更多信息,请参阅该 CVE 的安全公告文档。

  • 扫描不会影响 NetScaler 上的生产流量,也不会更改 NetScaler 上的任何 NetScaler 配置。

  • NetScaler 控制台安全公告不支持 CVE 缓解措施。如果您已对 NetScaler 实例应用了缓解措施(临时变通方案),则在您完成修复之前,NetScaler 控制台仍会将 NetScaler 识别为易受攻击的 NetScaler。

  • 对于 FIPS 实例,不支持 CVE 扫描。

如何使用安全公告控制板

要访问 安全公告 控制面板,请从 NetScaler 控制台 GUI 中导航到基础架构 > 实例公告 > 安全公告

控制板包括三个选项卡:

  • 当前的 CVE

  • 扫描日志

  • CVE 存储库

安全公告控制板

重要:

安全公告 GUI 或报告中,可能不会显示所有 CVE,您可能只能看到一个 CVE。解决方法是,单击“立即扫描”以运行按需扫描。扫描完成后,范围内的所有 CVE(大约 15 个)都将显示在 UI 或报告中。

控制板右上角是设置图标,它允许您:

  • 启用和禁用通知。

    您可以收到以下有关 CVE 影响的通知。

    • 发送电子邮件、Slack、PagerDuty 和 ServiceNow 通知,了解 CVE 扫描结果变更以及 CVE 存储库中添加的新 CVE。

    • CVE 影响扫描结果变更的云端通知。

      安全公告设置

  • 配置自定义扫描设置

    您可以单击“自定义扫描设置”列表以查看其他设置复选框。您可以选择复选框并选择退出这些 CVE 自定义扫描。安全公告中不会评估需要自定义扫描的 CVE 对您的 NetScaler 实例的影响。

    自定义扫描设置

当前的 CVE

此选项卡显示影响您的实例的 CVE 数量以及受 CVE 影响的实例。这些选项卡不是顺序的,作为管理员,您可以根据您的使用案例在这些选项卡之间切换。

显示影响 NetScaler 实例的 CVE 数量的表格包含以下详细信息。

CVE ID:影响实例的 CVE 的 ID。

发布日期:该 CVE 发布安全公告的日期。

严重性得分:严重性类型(高/中/严重)和得分。要查看得分,请将鼠标悬停在严重性类型上。

漏洞类型:此 CVE 的漏洞类型。

受影响的 NetScaler 实例:CVE ID 所影响的实例数。将鼠标悬停在上方时,将显示 NetScaler 实例列表。

补救措施:可用的补救措施,即升级实例(通常)或应用配置包。

同一实例可能受到多个 CVE 的影响。此表可帮助您查看一个特定 CVE 或多个选定 CVE 正在影响多少个实例。 要查看受影响实例的 IP 地址,请将鼠标悬停在“受影响 NetScaler 实例”下的 NetScaler 详细信息上。要查看受影响实例的详细信息,请单击表底部的查 看受影响的实 例。 您还可以通过单击加号在表中添加或删除列。

在此屏幕中,影响您的实例的 CVE 数量为 3 个 CVE,受这些 CVE 影响的实例为一个 CVE。

当前的 CVE

<number of>NetScaler 实例受 CVE 影响标签向您显示所有受影响的 NetScaler 控制台 NetScaler 实例。该表显示了以下详细信息:

  • NetScaler IP 地址
  • 主机名
  • NetScaler 型号
  • NetScaler 的状态
  • 软件版本和构建
  • 影响 NetScaler 的 CVE 清单。

您可以根据需要通过单击 + 号来添加或删除这些列中的任何一列。

受 CVE 影响的实例

要修复漏洞问题,请选择 NetScaler 实例并应用建议的补救措施。大多数 CVE 需要升级作为补救措施,而其他的 CVE 则需要升级和额外的补救措施。

升级:您可以将易受攻击的 NetScaler 实例升级到具有修复程序的版本和版本。此详细信息可以在修复列中看到。要升级,请选择实例,然后单击 继续升级工作流程。在升级工作流程中,易受攻击的 NetScaler 会自动填充为目标 NetScaler。

注意

12.0、11,0、10.5 及更低版本已经结束了生命周期(EOL)。如果您的 NetScaler 实例正在这些版本中的任何一个版本上运行,请升级到支持的版本。

升级工作流程启动。 有关如何使用 NetScaler 控制台升级 NetScaler 实例的更多信息,请参阅使用作业升级 NetScaler 实例

注意

要升级到的版本和版本由您自行决定。请参阅“修复”栏下的建议,了解哪些版本和版本已修复安全问题。因此,选择支持的版本和版本,该版本尚未到生命周期结束。

升级公告工作流程

扫描日志

该选项卡显示最近五次 CVE 扫描的报告,其中包括默认系统扫描和用户启动的按需扫描。您可以以 CSV 和 PDF 格式下载每次扫描的报告。如果按需扫描正在进行中,您还可以查看完成状态。

扫描日志

CVE 存储库

此选项卡包含 2019 年 12 月以来所有 CVE 的最新信息,以及以下详细信息:

  • CVE ID
  • 漏洞类型
  • 发布日期
  • 严重性级别
  • 补救措施
  • 安全公告链接

    CVE 存储库

立即扫描

您可以根据需要随时扫描实例。

单击“立即扫描”以扫描影响您的 NetScaler 实例的 CVE。扫描完成后,修改后的安全详细信息将显示在安全公告 GUI 中。

立即扫描

NetScaler 控制台需要几分钟才能完成扫描。

通知

作为管理员,您会收到 Citrix Cloud 通知,这些通知会告知有多少 NetScaler 实例容易受到 CVE 的攻击。要查看通知,请单击 NetScaler 控制台 GUI 右上角的钟形图标。

Citrix Cloud 通知

14.1 4.x 或更早版本中的安全建议

如果您使用的是早期版本,则只能使用安全公告功能的预览版。预览版仅重点介绍了 NetScaler CVE 和载入 NetScaler 控制台服务的存在风险的 NetScaler 实例。如果您想使用完整版的安全公告功能,则必须启用 Cloud Connect。

重要

要详细分析 CVE 的影响、有关定制扫描/系统扫描、修复和缓解工作流程的确凿信息,请试用 NetScaler 控制台服务

查看安全公告

要访问安全公告,请导航到基础结构 > 实例公告 > 安全公告。您可以查看通过 NetScaler 控制台管理的所有 NetScaler 实例的漏洞状态。

安全公告控制板

NetScaler 控制台本地安全公告仅执行 NetScaler 版本扫描以检查 CVE 并显示以下信息。

  • CVE ID:影响实例的 CVE 的 ID。

  • 漏洞类型:此 CVE 的漏洞类型。

  • 受影响的 NetScaler 实例:CVE ID 所影响的实例数。

NetScaler 控制台本地安全公告还允许您选择一个 NetScaler 实例,然后将 NetScaler 实例载入 NetScaler 控制台服务。单击“试用 NetScaler 控制台服务”,然后将 NetScaler 实例载入 NetScaler 控制台服务。NetScaler 控制台服务“安全公告”允许您检查特定 CVE 的漏洞类型,并获取有关缓解和补救措施以解决漏洞的信息。

有关 NetScaler 控制台服务安全公告的更多信息,请查看安全公告页面上的 GIF 动画。

安全公告