Guide de déploiement de Citrix ADC VPX sur Azure

Présentation

Citrix ADC est une solution de livraison d’applications et d’équilibrage de charge qui offre une expérience utilisateur de haute qualité pour les applications web, traditionnelles et natives du cloud, quel que soit leur hébergement. Il est disponible dans une grande variété de facteurs de forme et d’options de déploiement, sans contraindre les utilisateurs à une configuration ou un cloud unique. La licence de capacité mutualisée permet le déplacement de la capacité entre les déploiements cloud.

En tant que leader incontesté de la livraison de services et d’applications, Citrix ADC est déployé dans des milliers de réseaux à travers le monde pour optimiser, sécuriser et contrôler la livraison de tous les services d’entreprise et cloud. Déployé directement devant les serveurs web et de base de données, Citrix ADC combine l’équilibrage de charge haute vitesse et la commutation de contenu, la compression HTTP, la mise en cache de contenu, l’accélération SSL, la visibilité du flux d’applications et un puissant pare-feu d’applications dans une plateforme intégrée et facile à utiliser. Le respect des SLA est grandement simplifié grâce à une surveillance de bout en bout qui transforme les données réseau en informations commerciales exploitables. Citrix ADC permet de définir et de gérer des politiques à l’aide d’un moteur de politique déclaratif simple, sans aucune expertise en programmation requise.

Citrix ADC VPX

Le produit Citrix ADC VPX est une appliance virtuelle qui peut être hébergée sur une grande variété de plateformes de virtualisation et de cloud.

Ce guide de déploiement se concentre sur Citrix ADC VPX sur Azure.

Microsoft Azure

• Microsoft Azure est un ensemble de services de cloud computing en constante expansion pour aider les organisations à relever leurs défis commerciaux. Azure offre aux utilisateurs la liberté de créer, gérer et déployer des applications sur un réseau mondial massif en utilisant leurs outils et frameworks préférés. Avec Azure, les utilisateurs peuvent :

• Être prêts pour l’avenir grâce à l’innovation continue de Microsoft pour soutenir leur développement aujourd’hui et leurs visions de produits pour demain.

• Opérer un cloud hybride de manière transparente sur site, dans le cloud et en périphérie — Azure répond aux besoins des utilisateurs où qu’ils se trouvent.

• Construire selon leurs propres termes grâce à l’engagement d’Azure envers l’open source et le support de tous les langages et frameworks, permettant aux utilisateurs d’être libres de construire comme ils le souhaitent et de déployer où ils le souhaitent.

• Faire confiance à leur cloud avec une sécurité intégrée dès le départ — soutenue par une équipe d’experts et une conformité proactive, leader de l’industrie, à laquelle font confiance les entreprises, les gouvernements et les startups.

Terminologie Azure

Voici une brève description des termes clés utilisés dans ce document que les utilisateurs doivent connaître :

• Azure Load Balancer – L’équilibreur de charge Azure est une ressource qui distribue le trafic entrant entre les ordinateurs d’un réseau. Le trafic est distribué entre les machines virtuelles définies dans un ensemble d’équilibrage de charge. Un équilibreur de charge peut être externe ou accessible sur Internet, ou il peut être interne.

• Azure Resource Manager (ARM) – ARM est le nouveau cadre de gestion des services dans Azure. L’équilibreur de charge Azure est géré à l’aide d’API et d’outils basés sur ARM.

• Pool d’adresses de back-end – Ce sont des adresses IP associées à la carte réseau de la machine virtuelle vers laquelle la charge sera distribuée.

• BLOB - Objet binaire volumineux – Tout objet binaire comme un fichier ou une image pouvant être stocké dans le stockage Azure.

• Configuration IP front-end – Un équilibreur de charge Azure peut inclure une ou plusieurs adresses IP front-end, également appelées adresses IP virtuelles (VIP). Ces adresses IP servent de point d’entrée pour le trafic.

• Adresse IP publique au niveau de l’instance (ILPIP) – Une ILPIP est une adresse IP publique que les utilisateurs peuvent attribuer directement à une machine virtuelle ou à une instance de rôle, plutôt qu’au service cloud dans lequel réside la machine virtuelle ou l’instance de rôle. Cela ne remplace pas l’adresse IP virtuelle (VIP) attribuée à leur service cloud. Il s’agit plutôt d’une adresse IP supplémentaire qui peut être utilisée pour se connecter directement à une machine virtuelle ou à une instance de rôle.

Remarque :

Par le passé, une ILPIP était appelée PIP, qui signifie IP publique.

• Règles NAT entrantes – Ceci contient des règles mappant un port public sur l’équilibreur de charge à un port pour une machine virtuelle spécifique dans le pool d’adresses de back-end.

• Configuration IP - Elle peut être définie comme une paire d’adresses IP (IP publique et IP privée) associée à une carte réseau individuelle. Dans une configuration IP, l’adresse IP publique peut être NULL. Chaque carte réseau peut avoir plusieurs configurations IP associées, jusqu’à 255.

• Règles d’équilibrage de charge – Une propriété de règle qui mappe une combinaison donnée d’IP et de port front-end à un ensemble d’adresses IP et de combinaisons de ports back-end. Avec une seule définition d’une ressource d’équilibreur de charge, les utilisateurs peuvent définir plusieurs règles d’équilibrage de charge, chaque règle reflétant une combinaison d’une IP et d’un port front-end et d’une IP et d’un port back-end associés aux machines virtuelles.

• Groupe de sécurité réseau (NSG) – Un NSG contient une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers les instances de machines virtuelles dans un réseau virtuel. Les NSG peuvent être associés à des sous-réseaux ou à des instances de machines virtuelles individuelles au sein de ce sous-réseau. Lorsqu’un NSG est associé à un sous-réseau, les règles ACL s’appliquent à toutes les instances de machines virtuelles de ce sous-réseau. De plus, le trafic vers une machine virtuelle individuelle peut être restreint davantage en associant un NSG directement à cette machine virtuelle.

• Adresses IP privées – Utilisées pour la communication au sein d’un réseau virtuel Azure et du réseau local de l’utilisateur lorsqu’une passerelle VPN est utilisée pour étendre un réseau utilisateur à Azure. Les adresses IP privées permettent aux ressources Azure de communiquer avec d’autres ressources dans un réseau virtuel ou un réseau local via une passerelle VPN ou un circuit ExpressRoute, sans utiliser d’adresse IP accessible via Internet. Dans le modèle de déploiement Azure Resource Manager, une adresse IP privée est associée aux types de ressources Azure suivants : machines virtuelles, équilibreurs de charge internes (ILB) et passerelles d’application.

• Sondes – Ceci contient des sondes d’intégrité utilisées pour vérifier la disponibilité des instances de machines virtuelles dans le pool d’adresses de back-end. Si une machine virtuelle particulière ne répond pas aux sondes d’intégrité pendant un certain temps, elle est retirée du service de trafic. Les sondes permettent aux utilisateurs de suivre l’état de santé des instances virtuelles. Si une sonde d’intégrité échoue, l’instance virtuelle est automatiquement retirée de la rotation.

• Adresses IP publiques (PIP) – La PIP est utilisée pour la communication avec Internet, y compris les services Azure accessibles au public, et est associée aux machines virtuelles, aux équilibreurs de charge accessibles sur Internet, aux passerelles VPN et aux passerelles d’application.

• Région - Une zone géographique qui ne traverse pas les frontières nationales et qui contient un ou plusieurs centres de données. La tarification, les services régionaux et les types d’offres sont exposés au niveau de la région. Une région est généralement associée à une autre région, qui peut se trouver à plusieurs centaines de kilomètres, pour former une paire régionale. Les paires régionales peuvent être utilisées comme mécanisme de reprise après sinistre et de haute disponibilité. Également appelée généralement emplacement.

• Groupe de ressources - Un conteneur dans Resource Manager qui contient les ressources associées à une application. Le groupe de ressources peut inclure toutes les ressources d’une application, ou seulement celles qui sont regroupées logiquement.

• Compte de stockage – Un compte de stockage Azure donne aux utilisateurs l’accès aux services de blob, de file d’attente, de table et de fichier Azure dans Azure Storage. Un compte de stockage utilisateur fournit l’espace de noms unique pour les objets de données de stockage Azure de l’utilisateur.

• Machine virtuelle – L’implémentation logicielle d’un ordinateur physique qui exécute un système d’exploitation. Plusieurs machines virtuelles peuvent s’exécuter simultanément sur le même matériel. Dans Azure, les machines virtuelles sont disponibles en différentes tailles.

• Réseau virtuel - Un réseau virtuel Azure est une représentation du réseau d’un utilisateur dans le cloud. C’est une isolation logique du cloud Azure dédiée à un abonnement utilisateur. Les utilisateurs peuvent contrôler entièrement les blocs d’adresses IP, les paramètres DNS, les politiques de sécurité et les tables de routage au sein de ce réseau. Les utilisateurs peuvent également segmenter davantage leur VNet en sous-réseaux et lancer des machines virtuelles Azure IaaS et des services cloud (instances de rôle PaaS). De plus, les utilisateurs peuvent connecter le réseau virtuel à leur réseau sur site en utilisant l’une des options de connectivité disponibles dans Azure. En substance, les utilisateurs peuvent étendre leur réseau à Azure, avec un contrôle complet sur les blocs d’adresses IP et le bénéfice de l’échelle d’entreprise qu’Azure offre.

Flux logique de Citrix WAF sur Azure

Figure 1 : Diagramme logique de Citrix WAF sur Azure

Flux logique

Le pare-feu d’applications Web peut être installé soit comme un périphérique réseau de couche 3, soit comme un pont réseau de couche 2 entre les serveurs des clients et les utilisateurs des clients, généralement derrière le routeur ou le pare-feu de l’entreprise cliente. Il doit être installé à un emplacement où il peut intercepter le trafic entre les serveurs Web que les utilisateurs souhaitent protéger et le concentrateur ou le commutateur par lequel les utilisateurs accèdent à ces serveurs Web. Les utilisateurs configurent ensuite le réseau pour envoyer les requêtes au pare-feu d’applications Web au lieu de les envoyer directement à leurs serveurs Web, et les réponses au pare-feu d’applications Web au lieu de les envoyer directement à leurs utilisateurs. Le pare-feu d’applications Web filtre ce trafic avant de le transmettre à sa destination finale, en utilisant à la fois son ensemble de règles internes et les ajouts et modifications de l’utilisateur. Il bloque ou neutralise toute activité qu’il détecte comme étant nuisible, puis transmet le trafic restant au serveur Web. La figure ci-dessus (Figure 1) fournit un aperçu du processus de filtrage.

Remarque : La figure omet l’application d’une politique au trafic entrant. Elle illustre une configuration de sécurité dans laquelle la politique consiste à traiter toutes les requêtes. De plus, dans cette configuration, un objet de signatures a été configuré et associé au profil, et des contrôles de sécurité ont été configurés dans le profil. Comme le montre la figure, lorsqu’un utilisateur demande une URL sur un site Web protégé, le pare-feu d’applications Web examine d’abord la requête pour s’assurer qu’elle ne correspond pas à une signature. Si la requête correspond à une signature, le pare-feu d’applications Web affiche l’objet d’erreur (une page Web située sur l’appliance du pare-feu d’applications Web et que les utilisateurs peuvent configurer à l’aide de la fonction d’importation) ou transmet la requête à l’URL d’erreur désignée (la page d’erreur).

Si une requête passe l’inspection des signatures, le pare-feu d’applications Web applique les contrôles de sécurité des requêtes qui ont été activés. Les contrôles de sécurité des requêtes vérifient que la requête est appropriée pour le site Web ou le service Web de l’utilisateur et ne contient pas de matériel susceptible de constituer une menace. Par exemple, les contrôles de sécurité examinent la requête pour détecter des signes indiquant qu’elle pourrait être d’un type inattendu, demander un contenu inattendu ou contenir des données de formulaire Web, des commandes SQL ou des scripts inattendus et potentiellement malveillants. Si la requête échoue à un contrôle de sécurité, le pare-feu d’applications Web soit nettoie la requête et la renvoie à l’appliance Citrix ADC (ou à l’appliance virtuelle Citrix ADC), soit affiche l’objet d’erreur. Si la requête passe les contrôles de sécurité, elle est renvoyée à l’appliance Citrix ADC, qui termine tout autre traitement et transmet la requête au serveur Web protégé.

Lorsque le site Web ou le service Web envoie une réponse à l’utilisateur, le pare-feu d’applications Web applique les contrôles de sécurité des réponses qui ont été activés. Les contrôles de sécurité des réponses examinent la réponse pour détecter les fuites d’informations privées sensibles, les signes de défiguration de site Web ou tout autre contenu qui ne devrait pas être présent. Si la réponse échoue à un contrôle de sécurité, le pare-feu d’applications Web supprime le contenu qui ne devrait pas être présent ou bloque la réponse. Si la réponse passe les contrôles de sécurité, elle est renvoyée à l’appliance Citrix ADC, qui la transmet à l’utilisateur.

Cas d’utilisation

Comparé aux solutions alternatives qui exigent que chaque service soit déployé comme une appliance virtuelle distincte, Citrix ADC sur Azure combine l’équilibrage de charge L4, la gestion du trafic L7, le déchargement de serveur, l’accélération d’applications, la sécurité d’applications et d’autres capacités essentielles de livraison d’applications dans une seule instance VPX, facilement disponible via Azure Marketplace. De plus, tout est régi par un cadre de politique unique et géré avec le même ensemble d’outils puissants utilisés pour administrer les déploiements Citrix ADC sur site. Le résultat net est que Citrix ADC sur Azure permet plusieurs cas d’utilisation convaincants qui non seulement répondent aux besoins immédiats des entreprises d’aujourd’hui, mais aussi à l’évolution continue des infrastructures informatiques héritées vers les centres de données cloud d’entreprise.

Types de déploiement

Déploiement multi-NIC multi-IP (déploiement à trois NIC)

• Déploiements typiques

  • Piloté par StyleBook

  • Avec ADM

    • Avec GSLB (Azure Traffic Management (TM) sans enregistrement de domaine)

    • Licences - En pool/Marketplace

• Cas d’utilisation

  • Les déploiements multi-NIC multi-IP (trois NIC) sont utilisés pour obtenir une isolation réelle du trafic de données et de gestion.

  • Les déploiements multi-NIC multi-IP (trois NIC) améliorent également l’échelle et les performances de l’ADC.

  • Les déploiements multi-NIC multi-IP (trois NIC) sont utilisés dans les applications réseau où le débit est généralement de 1 Gbit/s ou plus, et un déploiement à trois NIC est recommandé.

Déploiement multi-NIC multi-IP (trois NIC) pour la haute disponibilité (HA)

Les clients déploieraient potentiellement un déploiement à trois NIC s’ils déploient dans un environnement de production où la sécurité, la redondance, la disponibilité, la capacité et l’évolutivité sont essentielles. Avec cette méthode de déploiement, la complexité et la facilité de gestion ne sont pas des préoccupations critiques pour les utilisateurs.

Déploiement de modèle Azure Resource Manager

Les clients déploieraient à l’aide de modèles ARM (Azure Resource Manager) s’ils personnalisent leurs déploiements ou s’ils automatisent leurs déploiements.

Modèles ARM (Azure Resource Manager)

Le référentiel GitHub pour les modèles ARM (Azure Resource Manager) de Citrix ADC héberge modèles personnalisés Citrix ADC pour le déploiement de Citrix ADC dans les services cloud Microsoft Azure. Tous les modèles de ce référentiel ont été développés et maintenus par l’équipe d’ingénierie de Citrix ADC.

Chaque modèle de ce référentiel dispose d’une documentation co-localisée décrivant l’utilisation et l’architecture du modèle. Les modèles tentent de codifier l’architecture de déploiement recommandée du Citrix ADC VPX, ou d’initier l’utilisateur au Citrix ADC, ou de démontrer une fonctionnalité, une édition ou une option particulière. Les utilisateurs peuvent réutiliser, modifier ou améliorer les modèles pour répondre à leurs besoins spécifiques de production et de test. La plupart des modèles nécessitent des abonnements suffisants à portal.azure.com pour créer des ressources et déployer des modèles. Les modèles Citrix ADC VPX Azure Resource Manager (ARM) sont conçus pour assurer un moyen simple et cohérent de déployer des Citrix ADC VPX autonomes. Ces modèles augmentent la fiabilité et la disponibilité du système grâce à une redondance intégrée. Ces modèles ARM prennent en charge les sélections « Apportez votre propre licence » (BYOL) ou basées sur l’heure. Le choix de la sélection est soit mentionné dans la description du modèle, soit proposé lors du déploiement du modèle. Pour plus d’informations sur la façon de provisionner une instance Citrix ADC VPX sur Microsoft Azure à l’aide de modèles ARM (Azure Resource Manager), visitez : Modèles Azure Citrix ADC.

Pour plus d’informations sur la façon de déployer une instance Citrix ADC VPX sur Microsoft Azure, veuillez consulter : Déployer une instance Citrix ADC VPX sur Microsoft Azure.

Pour plus d’informations sur le fonctionnement d’une instance Citrix ADC VPX sur Azure, veuillez consulter : Fonctionnement d’une instance Citrix ADC VPX sur Azure.

Étapes de déploiement

Lorsque les utilisateurs déploient une instance Citrix ADC VPX sur Microsoft Azure Resource Manager (ARM), ils peuvent utiliser les capacités de cloud computing d’Azure et les fonctionnalités d’équilibrage de charge et de gestion du trafic de Citrix ADC pour leurs besoins métier. Les utilisateurs peuvent déployer des instances Citrix ADC VPX sur Azure Resource Manager soit en tant qu’instances autonomes, soit en tant que paires haute disponibilité en modes actif-veille.

Les utilisateurs peuvent déployer une instance Citrix ADC VPX sur Microsoft Azure de deux manières :

• Via la Place de marché Azure. L’appliance virtuelle Citrix ADC VPX est disponible sous forme d’image dans la Place de marché Microsoft Azure. Le modèle Azure Resource Manager est publié dans la Place de marché Azure et peut être utilisé pour déployer Citrix ADC en mode autonome et en déploiement de paire HA.

• En utilisant le modèle JSON Citrix ADC Azure Resource Manager (ARM) disponible sur GitHub. Pour plus d’informations, consultez le référentiel GitHub pour les modèles de solution Citrix ADC.

Choisir la bonne instance Azure

Les appliances virtuelles VPX sur Azure peuvent être déployées sur tout type d’instance disposant de deux cœurs ou plus et de plus de 2 Go de mémoire. Le tableau suivant répertorie les types d’instances recommandés pour la licence ADC VPX :

Une fois que la licence et le type d’instance à utiliser pour le déploiement sont connus, les utilisateurs peuvent provisionner une instance Citrix ADC VPX sur Azure en utilisant l’architecture multi-NIC multi-IP recommandée.

Architecture multi-NIC multi-IP (trois NIC)

Dans ce type de déploiement, les utilisateurs peuvent avoir plusieurs interfaces réseau (NIC) attachées à une instance VPX. Chaque NIC peut avoir une ou plusieurs configurations IP - adresses IP publiques et privées statiques ou dynamiques qui lui sont attribuées. L’architecture multi-NIC peut être utilisée pour les déploiements autonomes et les paires HA. Les modèles ARM suivants peuvent être utilisés :

• Citrix ADC autonome : Modèle ARM - Autonome 3 NIC

• Paire HA Citrix ADC : Modèle ARM - Paire HA 3 NIC

Reportez-vous aux cas d’utilisation suivants :

• Configurer une configuration haute disponibilité avec plusieurs adresses IP et NIC

• Configurer une configuration haute disponibilité avec plusieurs adresses IP et NIC à l’aide de commandes PowerShell

Architecture de déploiement de Citrix ADM

L’image suivante donne un aperçu de la façon dont Citrix ADM se connecte à Azure pour provisionner des instances Citrix ADC VPX dans Microsoft Azure.

Les utilisateurs doivent disposer de trois sous-réseaux pour provisionner et gérer les instances Citrix ADC VPX dans Microsoft Azure. Un groupe de sécurité doit être créé pour chaque sous-réseau. Les règles spécifiées dans le groupe de sécurité réseau (NSG) régissent la communication entre les sous-réseaux.

L’agent de service Citrix ADM aide les utilisateurs à provisionner et à gérer les instances Citrix ADC VPX.

Configurer une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau

Dans un déploiement Microsoft Azure, une configuration haute disponibilité de deux instances Citrix ADC VPX est réalisée à l’aide de l’Azure Load Balancer (ALB). Ceci est réalisé en configurant une sonde d’intégrité sur l’ALB, qui surveille chaque instance VPX en envoyant des sondes d’intégrité toutes les 5 secondes aux instances principales et secondaires.

Dans cette configuration, seul le nœud principal répond aux sondes d’intégrité et le secondaire ne le fait pas. Une fois que le nœud principal envoie la réponse à la sonde d’intégrité, l’ALB commence à envoyer le trafic de données à l’instance. Si l’instance principale manque deux sondes d’intégrité consécutives, l’ALB ne redirige pas le trafic vers cette instance. En cas de basculement, le nouveau nœud principal commence à répondre aux sondes d’intégrité et l’ALB y redirige le trafic. Le temps de basculement standard de haute disponibilité VPX est de trois secondes. Le temps de basculement total qui peut se produire pour la commutation de trafic peut être d’un maximum de 13 secondes.

Les utilisateurs peuvent déployer une paire d’instances Citrix ADC VPX avec plusieurs cartes réseau dans une configuration de haute disponibilité (HA) active-passive sur Azure. Chaque carte réseau peut contenir plusieurs adresses IP.

Les options suivantes sont disponibles pour un déploiement haute disponibilité multi-cartes réseau :

• Haute disponibilité à l’aide d’un groupe à haute disponibilité Azure

• Haute disponibilité à l’aide de zones de disponibilité Azure

Pour plus d’informations sur les groupes à haute disponibilité Azure et les zones de disponibilité, consultez la documentation Azure Gérer la disponibilité des machines virtuelles Linux.

Haute disponibilité à l’aide d’un groupe à haute disponibilité

Une configuration haute disponibilité utilisant un groupe à haute disponibilité doit répondre aux exigences suivantes :

• Une configuration HA Independent Network Configuration (INC)

• L’équilibreur de charge Azure (ALB) en mode Direct Server Return (DSR)

Tout le trafic passe par le nœud principal. Le nœud secondaire reste en mode veille jusqu’à la défaillance du nœud principal.

Remarque :

Pour qu’un déploiement haute disponibilité Citrix VPX fonctionne sur le cloud Azure, les utilisateurs ont besoin d’une adresse IP publique flottante (PIP) qui peut être déplacée entre les deux nœuds VPX. L’équilibreur de charge Azure (ALB) fournit cette adresse IP publique flottante, qui est automatiquement déplacée vers le deuxième nœud en cas de basculement.

Dans un déploiement actif-passif, les adresses IP publiques frontales (PIP) de l’ALB sont ajoutées en tant qu’adresses VIP dans chaque nœud VPX. Dans une configuration HA-INC, les adresses VIP sont flottantes et les adresses SNIP sont spécifiques à l’instance.

Les utilisateurs peuvent déployer une paire VPX en mode haute disponibilité actif-passif de deux manières en utilisant :

• Modèle de haute disponibilité standard Citrix ADC VPX : utilisez cette option pour configurer une paire HA avec l’option par défaut de trois sous-réseaux et six cartes réseau.

• Commandes Windows PowerShell : utilisez cette option pour configurer une paire HA en fonction de vos exigences en matière de sous-réseau et de carte réseau.

Cette section décrit comment déployer une paire VPX dans une configuration HA actif-passif à l’aide du modèle Citrix. Si les utilisateurs souhaitent déployer avec des commandes PowerShell, consultez Configurer une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau à l’aide de commandes PowerShell.

Configurer les nœuds HA-INC à l’aide du modèle de haute disponibilité Citrix

Les utilisateurs peuvent déployer rapidement et efficacement une paire d’instances VPX en mode HA-INC à l’aide du modèle standard. Le modèle crée deux nœuds, avec trois sous-réseaux et six cartes réseau. Les sous-réseaux sont destinés au trafic de gestion, client et côté serveur, et chaque sous-réseau dispose de deux cartes réseau pour chacune des instances VPX.

Suivez les étapes ci-dessous pour lancer le modèle et déployer une paire VPX haute disponibilité, en utilisant les groupes à haute disponibilité Azure.

1. Depuis Azure Marketplace, sélectionnez et lancez le modèle de solution Citrix. Le modèle apparaît.

2. Assurez-vous que le type de déploiement est Resource Manager et sélectionnez Créer.

3. La page Informations de base s’affiche. Créez un groupe de ressources et sélectionnez OK.

4. La page Paramètres généraux s’affiche. Saisissez les détails et sélectionnez OK.

5. La page Paramètres réseau s’affiche. Vérifiez les configurations de VNet et de sous-réseau, modifiez les paramètres requis et sélectionnez OK.

6. La page Résumé s’affiche. Vérifiez la configuration et modifiez-la si nécessaire. Sélectionnez OK pour confirmer.

7. La page Acheter s’affiche. Sélectionnez Acheter pour terminer le déploiement.

La création du groupe de ressources Azure avec les configurations requises peut prendre un certain temps. Une fois l’opération terminée, sélectionnez le Groupe de ressources dans le portail Azure pour afficher les détails de la configuration, tels que les règles d’équilibrage de charge, les pools de back-end, les sondes d’intégrité, etc. La paire haute disponibilité apparaît sous la forme ns-vpx0 et ns-vpx1.

Si d’autres modifications sont nécessaires pour la configuration HA, telles que la création de règles de sécurité et de ports supplémentaires, les utilisateurs peuvent le faire à partir du portail Azure.

Ensuite, les utilisateurs doivent configurer le serveur virtuel d’équilibrage de charge avec l’adresse IP publique frontale (PIP) de l’ALB, sur le nœud principal. Pour trouver l’adresse IP publique frontale de l’ALB, sélectionnez ALB > Configuration IP frontale.

Consultez la section Ressources pour plus d’informations sur la configuration du serveur virtuel d’équilibrage de charge.

Ressources :

Les liens suivants fournissent des informations supplémentaires relatives au déploiement HA et à la configuration du serveur virtuel :

• Configuration des nœuds haute disponibilité dans différents sous-réseaux

• Configuration de l’équilibrage de charge de base

Ressources associées :

• Configurer une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau à l’aide de commandes PowerShell

• Configurer GSLB sur une configuration de haute disponibilité active-veille

Haute disponibilité à l’aide des zones de disponibilité

Les zones de disponibilité Azure sont des emplacements isolés des pannes au sein d’une région Azure, offrant une alimentation, un refroidissement et une mise en réseau redondants, et augmentant la résilience. Seules certaines régions Azure prennent en charge les zones de disponibilité. Pour plus d’informations, consultez la documentation Azure Zones de disponibilité dans Azure : Configurer GSLB sur une configuration de haute disponibilité active-veille.

Les utilisateurs peuvent déployer une paire VPX en mode haute disponibilité en utilisant le modèle appelé « NetScaler 13.0 HA using Availability Zones », disponible sur Azure Marketplace.

Suivez les étapes suivantes pour lancer le modèle et déployer une paire VPX en haute disponibilité, en utilisant les zones de disponibilité Azure.

1. Depuis Azure Marketplace, sélectionnez et lancez le modèle de solution Citrix.

2. Assurez-vous que le type de déploiement est Resource Manager et sélectionnez Créer.

3. La page Notions de base s’affiche. Saisissez les détails et cliquez sur OK.

Remarque : Assurez-vous qu’une région Azure prenant en charge les zones de disponibilité est sélectionnée. Pour plus d’informations sur les régions qui prennent en charge les zones de disponibilité, consultez la documentation Azure Zones de disponibilité dans Azure : Régions et zones de disponibilité dans Azure.

1. La page Paramètres généraux s’affiche. Saisissez les détails et sélectionnez OK.

2. La page Paramètres réseau s’affiche. Vérifiez les configurations VNet et de sous-réseau, modifiez les paramètres requis et sélectionnez OK.

3. La page Résumé s’affiche. Vérifiez la configuration et modifiez-la si nécessaire. Sélectionnez OK pour confirmer.

4. La page Acheter s’affiche. Sélectionnez Acheter pour terminer le déploiement.

La création du groupe de ressources Azure avec les configurations requises peut prendre un certain temps. Une fois l’opération terminée, sélectionnez le Groupe de ressources pour afficher les détails de la configuration, tels que les règles d’équilibrage de charge (LB), les pools de back-end, les sondes d’intégrité, etc., dans le portail Azure. La paire haute disponibilité apparaît sous les noms ns-vpx0 et ns-vpx1. De plus, les utilisateurs peuvent voir l’emplacement sous la colonne Emplacement.

Si d’autres modifications sont nécessaires pour la configuration HA, telles que la création de règles de sécurité et de ports supplémentaires, les utilisateurs peuvent les effectuer depuis le portail Azure.

Pour des informations plus détaillées sur le provisionnement des instances Citrix ADC VPX sur Microsoft Azure, veuillez consulter : Provisioning Citrix ADC VPX Instances on Microsoft Azure.

Citrix Application Delivery Management

Le service Citrix Application Delivery Management (Citrix ADM) offre une solution simple et évolutive pour gérer les déploiements Citrix ADC qui incluent les appliances Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway™, Citrix ADC SDX, Citrix ADC CPX et Citrix SD-WAN déployées sur site ou dans le cloud.

Les utilisateurs peuvent utiliser cette solution cloud pour gérer, surveiller et dépanner l’ensemble de l’infrastructure globale de diffusion d’applications à partir d’une console cloud unique, unifiée et centralisée. Le service Citrix ADM offre toutes les fonctionnalités nécessaires pour configurer, déployer et gérer rapidement la diffusion d’applications dans les déploiements Citrix ADC, avec des analyses riches sur la santé, les performances et la sécurité des applications.

Le service Citrix ADM offre les avantages suivants :

• Agile – Facile à utiliser, à mettre à jour et à consommer. Le modèle de service de Citrix ADM Service est disponible via le cloud, ce qui facilite l’utilisation, la mise à jour et l’exploitation des fonctionnalités fournies par Citrix ADM Service. La fréquence des mises à jour, combinée à la fonction de mise à jour automatisée, améliore rapidement le déploiement Citrix ADC de l’utilisateur.

• Délai de rentabilisation plus rapide – Atteinte plus rapide des objectifs commerciaux. Contrairement au déploiement traditionnel sur site, les utilisateurs peuvent utiliser leur service Citrix ADM en quelques clics. Les utilisateurs économisent non seulement du temps d’installation et de configuration, mais évitent également de gaspiller du temps et des ressources sur des erreurs potentielles.

• Gestion multi-site – Une console unique pour les instances réparties sur plusieurs centres de données multi-sites. Avec le service Citrix ADM, les utilisateurs peuvent gérer et surveiller les Citrix ADC qui se trouvent dans divers types de déploiements. Les utilisateurs disposent d’une gestion centralisée pour les Citrix ADC déployés sur site et dans le cloud.

• Efficacité opérationnelle – Un moyen optimisé et automatisé d’atteindre une productivité opérationnelle plus élevée. Avec le service Citrix ADM, les coûts opérationnels des utilisateurs sont réduits en économisant leur temps, leur argent et leurs ressources consacrés à la maintenance et à la mise à niveau des déploiements matériels traditionnels.

Fonctionnement du service Citrix ADM

Le service Citrix ADM est disponible en tant que service sur Citrix Cloud. Une fois que les utilisateurs se sont inscrits à Citrix Cloud et ont commencé à utiliser le service, ils installent des agents dans leur environnement réseau ou initialisent l’agent intégré dans les instances. Ensuite, ils ajoutent les instances qu’ils souhaitent gérer au service.

Un agent permet la communication entre le service Citrix ADM et les instances gérées dans le centre de données de l’utilisateur. L’agent collecte les données des instances gérées dans le réseau de l’utilisateur et les envoie au service Citrix ADM.

Lorsque les utilisateurs ajoutent une instance au service Citrix ADM, celui-ci s’ajoute implicitement comme destination de trap et collecte un inventaire de l’instance.

Le service collecte les détails de l’instance, tels que :

• Nom d’hôte

• Version du logiciel

• Configuration en cours d’exécution et enregistrée

• Certificats

• Entités configurées sur l’instance, et ainsi de suite.

Le service Citrix ADM interroge périodiquement les instances gérées pour collecter des informations.

L’image suivante illustre la communication entre le service, les agents et les instances :

Guide de documentation

La documentation du service Citrix ADM comprend des informations sur la façon de démarrer avec le service, une liste des fonctionnalités prises en charge par le service et la configuration spécifique à cette solution de service.

Citrix ADC WAF et OWASP Top Ten – 2017

L’Open Web Application Security Project : OWASP (a publié l’OWASP Top 10 pour 2017 concernant la sécurité des applications web. Cette liste documente les vulnérabilités les plus courantes des applications web et constitue un excellent point de départ pour évaluer la sécurité web. Nous détaillons ici comment configurer le pare-feu d’application web (WAF) Citrix ADC pour atténuer ces failles. Le WAF est disponible en tant que module intégré dans le Citrix ADC (édition Premium) et une gamme complète d’appliances.

Le document complet de l’OWASP Top 10 est disponible à l’adresse OWASP Top Ten.

A1:2017- Injection

Les failles d’injection, telles que l’injection SQL, NoSQL, OS et LDAP, se produisent lorsque des données non fiables sont envoyées à un interpréteur dans le cadre d’une commande ou d’une requête. Les données hostiles de l’attaquant peuvent tromper l’interpréteur pour qu’il exécute des commandes non intentionnelles ou accède à des données sans autorisation appropriée.

Protections WAF ADC

• La fonction de prévention des injections SQL protège contre les attaques par injection courantes. Des modèles d’injection personnalisés peuvent être téléchargés pour protéger contre tout type d’attaque par injection, y compris XPath et LDAP. Cela s’applique aux charges utiles HTML et XML.

• La fonction de mise à jour automatique des signatures maintient les signatures d’injection à jour.

• La fonction de protection du format de champ permet à l’administrateur de restreindre tout paramètre utilisateur à une expression régulière. Par exemple, vous pouvez imposer qu’un champ de code postal ne contienne que des entiers ou même des entiers à 5 chiffres.

• Cohérence des champs de formulaire : Validez chaque formulaire utilisateur soumis par rapport à la signature du formulaire de session utilisateur pour garantir la validité de tous les éléments du formulaire.

• Les vérifications de dépassement de tampon garantissent que l’URL, les en-têtes et les cookies respectent les limites appropriées, bloquant ainsi toute tentative d’injection de scripts ou de code volumineux.

A2:2017 – Authentification rompue

Les fonctions d’application liées à l’authentification et à la gestion de session sont souvent implémentées de manière incorrecte, ce qui permet aux attaquants de compromettre des mots de passe, des clés ou des jetons de session, ou d’exploiter d’autres failles d’implémentation pour usurper temporairement ou définitivement l’identité d’autres utilisateurs.

Protections WAF ADC

• Le module AAA de Citrix ADC effectue l’authentification des utilisateurs et fournit une fonctionnalité d’authentification unique (Single Sign-On) aux applications back-end. Il est intégré au moteur de stratégie Citrix ADC AppExpert pour permettre des stratégies personnalisées basées sur les informations d’utilisateur et de groupe.

• Grâce aux capacités de déchargement SSL et de transformation d’URL, le pare-feu peut également aider les sites à utiliser des protocoles de couche de transport sécurisés pour empêcher le vol de jetons de session par l’interception de réseau.

• Le proxy de cookies et le chiffrement de cookies peuvent être utilisés pour atténuer complètement le vol de cookies.

A3:2017 - Exposition de données sensibles

De nombreuses applications web et API ne protègent pas correctement les données sensibles, telles que les données financières, de santé et les informations personnelles identifiables (PII). Les attaquants peuvent voler ou modifier ces données mal protégées pour commettre des fraudes par carte de crédit, des vols d’identité ou d’autres crimes. Les données sensibles peuvent être compromises sans protection supplémentaire, telle que le chiffrement au repos ou en transit, et nécessitent des précautions particulières lors de leur échange avec le navigateur.

Protections WAF ADC

• Le pare-feu d’application protège les applications contre la fuite de données sensibles comme les détails de carte de crédit.

• Les données sensibles peuvent être configurées comme des objets sécurisés dans la protection Safe Commerce pour éviter l’exposition.

• Toutes les données sensibles contenues dans les cookies peuvent être protégées par le proxy de cookies et le chiffrement de cookies.

A4:2017 Entités externes XML (XXE)

De nombreux processeurs XML plus anciens ou mal configurés évaluent les références d’entités externes au sein des documents XML. Les entités externes peuvent être utilisées pour divulguer des fichiers internes à l’aide du gestionnaire d’URI de fichier, des partages de fichiers internes, de l’analyse de ports internes, de l’exécution de code à distance et des attaques par déni de service.

Protections WAF ADC

• En plus de détecter et de bloquer les menaces d’application courantes qui peuvent être adaptées pour attaquer les applications basées sur XML (c’est-à-dire, le script intersite, l’injection de commandes, etc.).

• Le pare-feu d’application ADC comprend un riche ensemble de protections de sécurité spécifiques à XML. Celles-ci incluent la validation de schéma pour vérifier minutieusement les messages SOAP et les charges utiles XML, ainsi qu’une puissante vérification des pièces jointes XML pour bloquer les pièces jointes contenant des exécutables malveillants ou des virus.

• Les méthodes d’inspection automatique du trafic bloquent les attaques par injection XPath sur les URL et les formulaires visant à obtenir un accès.

• Le pare-feu d’application ADC déjoue également diverses attaques DoS, y compris les références d’entités externes, l’expansion récursive, l’imbrication excessive et les messages malveillants contenant des attributs et des éléments longs ou nombreux.

A5:2017 Contrôle d’accès défaillant

Les restrictions sur ce que les utilisateurs authentifiés sont autorisés à faire ne sont souvent pas correctement appliquées. Les attaquants peuvent exploiter ces failles pour accéder à des fonctionnalités et des données non autorisées, telles que l’accès aux comptes d’autres utilisateurs, la consultation de fichiers sensibles, la modification des données d’autres utilisateurs, la modification des droits d’accès, etc.

Protections WAF ADC

• La fonctionnalité AAA qui prend en charge l’authentification, l’autorisation et l’audit pour tout le trafic d’application permet à un administrateur de site de gérer les contrôles d’accès avec l’appliance ADC.

• La fonctionnalité de sécurité d’autorisation au sein du module AAA de l’appliance ADC permet à l’appliance de vérifier quel contenu sur un serveur protégé elle doit autoriser chaque utilisateur à accéder.

• Cohérence des champs de formulaire : Si les références d’objets sont stockées en tant que champs masqués dans les formulaires, alors en utilisant la cohérence des champs de formulaire, vous pouvez valider que ces champs ne sont pas altérés lors des requêtes ultérieures.

• Proxy de cookies et cohérence des cookies : Les références d’objets stockées dans les valeurs de cookies peuvent être validées avec ces protections.

• Vérification de l’URL de démarrage avec fermeture d’URL : Permet à l’utilisateur d’accéder à une liste blanche d’URL prédéfinie. La fermeture d’URL construit une liste de toutes les URL vues dans les réponses valides pendant la session utilisateur et autorise automatiquement l’accès à celles-ci pendant cette session.

A6:2017 - Mauvaise configuration de sécurité

La mauvaise configuration de sécurité est le problème le plus fréquemment rencontré. Cela résulte généralement de configurations par défaut non sécurisées, de configurations incomplètes ou improvisées, de stockage cloud ouvert, d’en-têtes HTTP mal configurés et de messages d’erreur détaillés contenant des informations sensibles. Non seulement tous les systèmes d’exploitation, frameworks, bibliothèques et applications doivent être configurés de manière sécurisée, mais ils doivent également être patchés et mis à jour en temps opportun.

Protections WAF ADC

• Le rapport PCI-DSS généré par le pare-feu d’application documente les paramètres de sécurité sur le périphérique de pare-feu.

• Les rapports des outils d’analyse sont convertis en signatures WAF ADC pour gérer les mauvaises configurations de sécurité.

• ADC WAF prend en charge Cenzic, IBM AppScan (Enterprise et Standard), Qualys, TrendMicro, WhiteHat et les rapports d’analyse de vulnérabilité personnalisés.

A7:2017 - Scripting intersites (XSS)

Les failles XSS se produisent chaque fois qu’une application inclut des données non fiables dans une nouvelle page web sans validation ou échappement approprié, ou met à jour une page web existante avec des données fournies par l’utilisateur à l’aide d’une API de navigateur capable de créer du HTML ou du JavaScript. Le XSS permet aux attaquants d’exécuter des scripts dans le navigateur de la victime, ce qui peut détourner des sessions utilisateur, défigurer des sites web ou rediriger l’utilisateur vers des sites malveillants.

Protections ADC WAF

• La protection XSS protège contre les attaques XSS courantes. Des modèles XSS personnalisés peuvent être téléchargés pour modifier la liste par défaut des balises et attributs autorisés. L’ADC WAF utilise une liste blanche d’attributs et de balises HTML autorisés pour détecter les attaques XSS. Ceci est applicable aux charges utiles HTML et XML.

• L’ADC WAF bloque toutes les attaques répertoriées dans la feuille de triche d’évaluation du filtre XSS de l’OWASP.

• La vérification du format des champs empêche un attaquant d’envoyer des données de formulaire web inappropriées, ce qui peut constituer une attaque XSS potentielle.

• Cohérence des champs de formulaire.

A8:2017 - Désérialisation non sécurisée

La désérialisation non sécurisée conduit souvent à l’exécution de code à distance. Même si les failles de désérialisation n’entraînent pas l’exécution de code à distance, elles peuvent être utilisées pour effectuer des attaques, notamment des attaques par rejeu, des attaques par injection et des attaques par élévation de privilèges.

Protections ADC WAF

• Inspection de la charge utile JSON avec des signatures personnalisées.

• Sécurité XML : protège contre le déni de service XML (xDoS), l’injection SQL et Xpath XML et le scripting intersites, les vérifications de format, la conformité au profil de base WS-I, la vérification des pièces jointes XML.

• Les vérifications du format des champs, la cohérence des cookies et la cohérence des champs peuvent être utilisées.

A9:2017 - Utilisation de composants avec des vulnérabilités connues

Les composants, tels que les bibliothèques, les frameworks et autres modules logiciels, s’exécutent avec les mêmes privilèges que l’application. Si un composant vulnérable est exploité, une telle attaque peut faciliter une perte de données grave ou une prise de contrôle du serveur. Les applications et les API utilisant des composants avec des vulnérabilités connues peuvent compromettre les défenses de l’application et permettre diverses attaques et impacts.

Protections WAF ADC

• Citrix recommande de maintenir les composants tiers à jour.

• Les rapports d’analyse de vulnérabilité convertis en signatures ADC peuvent être utilisés pour corriger virtuellement ces composants.

• Les modèles de pare-feu d’application disponibles pour ces composants vulnérables peuvent être utilisés.

• Des signatures personnalisées peuvent être liées au pare-feu pour protéger ces composants.

A10:2017 - Journalisation et surveillance insuffisantes

Une journalisation et une surveillance insuffisantes, associées à une intégration manquante ou inefficace avec la réponse aux incidents, permettent aux attaquants de poursuivre leurs attaques sur les systèmes, de maintenir leur persistance, de pivoter vers d’autres systèmes et de falsifier, extraire ou détruire des données. La plupart des études sur les violations de données montrent que le temps de détection d’une violation est supérieur à 200 jours, généralement détectée par des parties externes plutôt que par des processus ou une surveillance internes.

Protections WAF ADC

• Lorsque l’action de journalisation est activée pour les contrôles de sécurité ou les signatures, les messages de journalisation résultants fournissent des informations sur les requêtes et les réponses que le pare-feu d’application a observées tout en protégeant vos sites web et applications.

• Le pare-feu d’application offre la commodité d’utiliser la base de données ADC intégrée pour identifier les emplacements correspondant aux adresses IP d’où proviennent les requêtes malveillantes.

• Les expressions de format par défaut (PI) offrent la flexibilité de personnaliser les informations incluses dans les journaux, avec la possibilité d’ajouter les données spécifiques à capturer dans les messages de journal générés par le pare-feu d’application.

• Le pare-feu d’application prend en charge les journaux CEF.

Protection de la sécurité des applications

Citrix ADM

Le service Citrix Application Delivery Management (Citrix ADM) fournit une solution évolutive pour gérer les déploiements Citrix ADC, y compris les appliances Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web™ Gateway, Citrix ADC SDX, Citrix ADC CPX et Citrix SD-WAN déployées sur site ou dans le cloud.

Fonctionnalités d’analyse et de gestion des applications Citrix ADM

Vous trouverez ci-dessous la liste et le résumé des principales fonctionnalités essentielles au rôle d’ADM dans la sécurité des applications.

Analyse et gestion des applications

La fonctionnalité d’analyse et de gestion des applications de Citrix ADM renforce l’approche centrée sur l’application pour aider les utilisateurs à relever divers défis de livraison d’applications. Cette approche offre aux utilisateurs une visibilité sur les scores de santé des applications, les aide à déterminer les risques de sécurité et à détecter les anomalies dans les flux de trafic des applications et à prendre des mesures correctives. Le plus important parmi ces rôles pour la sécurité des applications est l’analyse de la sécurité des applications :

• Analyse de la sécurité des applications : Analyse de la sécurité des applications. Le tableau de bord de sécurité des applications offre une vue d’ensemble de l’état de sécurité des applications utilisateur. Par exemple, il affiche des métriques de sécurité clés telles que les violations de sécurité, les violations de signature, les indices de menace. Le tableau de bord de sécurité des applications affiche également des informations relatives aux attaques telles que les attaques SYN, les attaques par petite fenêtre et les attaques par inondation DNS pour les instances Citrix ADC découvertes.

StyleBooks

Les StyleBooks simplifient la tâche de gestion des configurations Citrix ADC complexes pour les applications utilisateur. Un StyleBook est un modèle que les utilisateurs peuvent utiliser pour créer et gérer des configurations Citrix ADC. Ici, les utilisateurs sont principalement concernés par le StyleBook utilisé pour déployer le pare-feu d’application Web. Pour plus d’informations sur les StyleBooks, consultez : StyleBooks.

Analyses

Offre un moyen simple et évolutif d’examiner les diverses informations des données des instances Citrix ADC pour décrire, prédire et améliorer les performances des applications. Les utilisateurs peuvent utiliser une ou plusieurs fonctionnalités d’analyse simultanément. Les plus importants parmi ces rôles pour la sécurité des applications sont :

• Security Insight : Security Insight. Fournit une solution à panneau unique pour aider les utilisateurs à évaluer l’état de sécurité des applications utilisateur et à prendre des mesures correctives pour sécuriser les applications utilisateur.

• Bot Insight

• Pour plus d’informations sur les analyses, consultez Analyses : Analyses.

Les autres fonctionnalités importantes pour la fonctionnalité d’ADM sont :

Gestion des événements

Les événements représentent des occurrences d’événements ou d’erreurs sur une instance Citrix ADC gérée. Par exemple, en cas de défaillance du système ou de modification de la configuration, un événement est généré et enregistré sur Citrix ADM. Voici les fonctionnalités associées que les utilisateurs peuvent configurer ou afficher à l’aide de Citrix ADM :

• Création de règles d’événement : Create Event Rules

• Afficher et exporter les messages syslog : View and Export Syslog Messages

Pour plus d’informations sur la gestion des événements, consultez : Events.

Gestion des instances

Permet aux utilisateurs de gérer les instances Citrix ADC, Citrix Gateway, Citrix Secure Web Gateway et Citrix SD-WAN. Pour plus d’informations sur la gestion des instances, consultez : Adding Instances.

Gestion des licences

Permet aux utilisateurs de gérer les licences Citrix ADC en configurant Citrix ADM comme gestionnaire de licences.

• Capacité groupée Citrix ADC : Pooled Capacity. Un pool de licences commun à partir duquel une instance Citrix ADC utilisateur peut extraire une licence d’instance et uniquement la bande passante dont elle a besoin. Lorsque l’instance n’a plus besoin de ces ressources, elle les restitue au pool commun, rendant les ressources disponibles pour d’autres instances qui en ont besoin.

• Licences d’enregistrement et de retrait Citrix ADC VPX : Citrix ADC VPX Check-in and Check-out Licensing. Citrix ADM alloue des licences aux instances Citrix ADC VPX à la demande. Une instance Citrix ADC VPX peut extraire la licence de Citrix ADM lorsqu’une instance Citrix ADC VPX est provisionnée, ou restituer sa licence à Citrix ADM lorsqu’une instance est supprimée ou détruite.

• Pour plus d’informations sur la gestion des licences, consultez : Pooled Capacity.

Gestion de la configuration

Citrix ADM permet aux utilisateurs de créer des tâches de configuration qui les aident à effectuer des tâches de configuration, telles que la création d’entités, la configuration de fonctionnalités, la réplication des modifications de configuration, les mises à niveau du système et d’autres activités de maintenance en toute simplicité sur plusieurs instances. Les tâches et les modèles de configuration simplifient les tâches administratives les plus répétitives en une seule tâche sur Citrix ADM. Pour plus d’informations sur la gestion de la configuration, consultez Tâches de configuration : Configuration Jobs.

Audit de configuration

Permet aux utilisateurs de surveiller et d’identifier les anomalies dans les configurations des instances utilisateur.

• Conseils de configuration : Get Configuration Advice on Network Configuration. Permet aux utilisateurs d’identifier toute anomalie de configuration.

• Modèle d’audit : Créer des modèles d’audit. Permet aux utilisateurs de surveiller les modifications apportées à une configuration spécifique.

• Pour plus d’informations sur l’audit de configuration, consultez : Audit de configuration.

Les signatures offrent les options de déploiement suivantes pour aider les utilisateurs à optimiser la protection des applications utilisateur :

• Modèle de sécurité négatif : Avec le modèle de sécurité négatif, les utilisateurs emploient un ensemble riche de règles de signature préconfigurées pour appliquer la puissance de la correspondance de motifs afin de détecter les attaques et de protéger contre les vulnérabilités des applications. Les utilisateurs bloquent uniquement ce qu’ils ne veulent pas et autorisent le reste. Les utilisateurs peuvent ajouter leurs propres règles de signature, basées sur les besoins de sécurité spécifiques des applications utilisateur, pour concevoir leurs propres solutions de sécurité personnalisées.

• Modèle de sécurité hybride : En plus d’utiliser des signatures, les utilisateurs peuvent utiliser des contrôles de sécurité positifs pour créer une configuration idéalement adaptée aux applications utilisateur. Utilisez les signatures pour bloquer ce que les utilisateurs ne veulent pas, et utilisez les contrôles de sécurité positifs pour appliquer ce qui est autorisé.

Pour protéger les applications utilisateur à l’aide de signatures, les utilisateurs doivent configurer un ou plusieurs profils pour utiliser leur objet de signatures. Dans une configuration de sécurité hybride, les modèles d’injection SQL et de script intersite, ainsi que les règles de transformation SQL, dans l’objet de signatures utilisateur sont utilisés non seulement par les règles de signature, mais aussi par les contrôles de sécurité positifs configurés dans le profil du pare-feu d’applications Web qui utilise l’objet de signatures.

Le pare-feu d’applications Web examine le trafic vers les sites Web et services Web protégés par l’utilisateur pour détecter le trafic qui correspond à une signature. Une correspondance n’est déclenchée que lorsque chaque modèle de la règle correspond au trafic. Lorsqu’une correspondance se produit, les actions spécifiées pour la règle sont invoquées. Les utilisateurs peuvent afficher une page d’erreur ou un objet d’erreur lorsqu’une requête est bloquée. Les messages de journalisation peuvent aider les utilisateurs à identifier les attaques lancées contre les applications utilisateur. Si les utilisateurs activent les statistiques, le pare-feu d’applications Web conserve les données sur les requêtes qui correspondent à une signature ou à un contrôle de sécurité du pare-feu d’applications Web.

Si le trafic correspond à la fois à une signature et à un contrôle de sécurité positif, l’action la plus restrictive des deux est appliquée. Par exemple, si une requête correspond à une règle de signature pour laquelle l’action de blocage est désactivée, mais que la requête correspond également à un contrôle de sécurité positif d’injection SQL pour lequel l’action est de bloquer, la requête est bloquée. Dans ce cas, la violation de signature peut être enregistrée comme <non bloquée>, bien que la requête soit bloquée par le contrôle d’injection SQL.

Personnalisation : Si nécessaire, les utilisateurs peuvent ajouter leurs propres règles à un objet de signatures. Les utilisateurs peuvent également personnaliser les modèles SQL/XSS. L’option d’ajouter leurs propres règles de signature, basées sur les besoins de sécurité spécifiques des applications utilisateur, donne aux utilisateurs la flexibilité de concevoir leurs propres solutions de sécurité personnalisées. Les utilisateurs bloquent uniquement ce qu’ils ne veulent pas et autorisent le reste. Un modèle de correspondance rapide spécifique à un emplacement donné peut réduire considérablement la surcharge de traitement pour optimiser les performances. Les utilisateurs peuvent ajouter, modifier ou supprimer des modèles d’injection SQL et de script intersite. Les éditeurs d’expressions et de RegEx intégrés aident les utilisateurs à configurer les modèles utilisateur et à vérifier leur exactitude.

Cas d’utilisation

Comparé aux solutions alternatives qui nécessitent le déploiement de chaque service en tant qu’appliance virtuelle distincte, Citrix ADC sur AWS combine l’équilibrage de charge L4, la gestion du trafic L7, le déchargement de serveur, l’accélération d’applications, la sécurité des applications, la licence flexible et d’autres capacités essentielles de livraison d’applications dans une seule instance VPX, facilement disponible via l’AWS Marketplace. De plus, tout est régi par un cadre de politique unique et géré avec le même ensemble d’outils puissants utilisés pour administrer les déploiements Citrix ADC sur site. Le résultat net est que Citrix ADC sur AWS permet plusieurs cas d’utilisation convaincants qui non seulement répondent aux besoins immédiats des entreprises d’aujourd’hui, mais aussi à l’évolution continue des infrastructures informatiques héritées vers les centres de données cloud d’entreprise.

Pare-feu d’applications Web Citrix (WAF)

Le pare-feu d’applications Web Citrix (WAF) est une solution de qualité professionnelle offrant des protections de pointe pour les applications modernes. Citrix WAF atténue les menaces contre les actifs exposés au public, y compris les sites Web, les applications Web et les API. Citrix WAF inclut le filtrage basé sur la réputation IP, l’atténuation des bots, les protections contre les 10 principales menaces d’applications OWASP, la protection DDoS de couche 7 et plus encore. Sont également incluses des options pour appliquer l’authentification, des chiffrements SSL/TLS robustes, TLS 1.3, la limitation de débit et les politiques de réécriture. En utilisant des protections WAF de base et avancées, Citrix WAF offre une protection complète pour vos applications avec une facilité d’utilisation inégalée. La mise en œuvre ne prend que quelques minutes. De plus, en utilisant un modèle d’apprentissage automatisé, appelé profilage dynamique, Citrix WAF fait gagner un temps précieux aux utilisateurs. En apprenant automatiquement comment fonctionne une application protégée, Citrix WAF s’adapte à l’application même lorsque les développeurs déploient et modifient les applications. Citrix WAF aide à la conformité avec toutes les principales normes et organismes réglementaires, y compris PCI-DSS, HIPAA, et plus encore. Avec nos modèles CloudFormation, il n’a jamais été aussi facile de démarrer rapidement. Avec la mise à l’échelle automatique, les utilisateurs peuvent être assurés que leurs applications restent protégées même lorsque leur trafic augmente.

Stratégie de déploiement du pare-feu d’applications Web

La première étape du déploiement du pare-feu d’applications Web consiste à évaluer quelles applications ou données spécifiques nécessitent une protection de sécurité maximale, lesquelles sont moins vulnérables et celles pour lesquelles l’inspection de sécurité peut être contournée en toute sécurité. Cela aide les utilisateurs à élaborer une configuration optimale et à concevoir des politiques et des points de liaison appropriés pour séparer le trafic. Par exemple, les utilisateurs peuvent vouloir configurer une politique pour contourner l’inspection de sécurité des requêtes de contenu Web statique, tels que les images, les fichiers MP3 et les films, et configurer une autre politique pour appliquer des contrôles de sécurité avancés aux requêtes de contenu dynamique. Les utilisateurs peuvent utiliser plusieurs politiques et profils pour protéger différents contenus de la même application.

L’étape suivante consiste à établir la base de référence du déploiement. Commencez par créer un serveur virtuel et faites-y passer du trafic de test pour avoir une idée du débit et du volume de trafic circulant dans le système utilisateur.

Ensuite, déployez le pare-feu d’applications Web. Utilisez Citrix ADM et le StyleBook du pare-feu d’applications Web pour configurer le pare-feu d’applications Web. Consultez la section StyleBook ci-dessous dans ce guide pour plus de détails.

Une fois le pare-feu d’applications Web déployé et configuré avec le StyleBook du pare-feu d’applications Web, une étape utile consisterait à implémenter le WAF Citrix ADC et l’OWASP Top Ten.

Enfin, trois des protections du pare-feu d’applications Web sont particulièrement efficaces contre les types courants d’attaques Web et sont donc plus couramment utilisées que les autres. Elles doivent donc être implémentées lors du déploiement initial. Ce sont :

• Script intersite HTML. Examine les requêtes et les réponses à la recherche de scripts qui tentent d’accéder ou de modifier du contenu sur un site Web différent de celui sur lequel le script est situé. Lorsque cette vérification trouve un tel script, elle le rend inoffensif avant de transmettre la requête ou la réponse à sa destination, ou elle bloque la connexion.

• Injection SQL HTML. Examine les requêtes qui contiennent des données de champ de formulaire pour détecter les tentatives d’injection de commandes SQL dans une base de données SQL. Lorsque cette vérification détecte du code SQL injecté, elle bloque la requête ou rend le code SQL injecté inoffensif avant de transmettre la requête au serveur Web.

Remarque : Si les deux conditions suivantes s’appliquent à la configuration utilisateur, les utilisateurs doivent s’assurer que votre pare-feu d’applications Web est correctement configuré :

• Si les utilisateurs activent la vérification de script intersite HTML ou la vérification d’injection SQL HTML (ou les deux), et

• Les sites Web protégés par l’utilisateur acceptent les téléchargements de fichiers ou contiennent des formulaires Web pouvant contenir de grandes quantités de données de corps POST.

Pour plus d’informations sur la configuration du pare-feu d’applications Web pour gérer ce cas, consultez Configuration du pare-feu d’applications : Configuration du pare-feu d’applications Web.

• Dépassement de tampon. Examine les requêtes pour détecter les tentatives de provoquer un dépassement de tampon sur le serveur Web.

Configuration du pare-feu d’applications Web (WAF)

Les étapes suivantes supposent que le WAF est déjà activé et fonctionne correctement.

Citrix recommande aux utilisateurs de configurer le WAF à l’aide du StyleBook du pare-feu d’applications Web. La plupart des utilisateurs trouvent que c’est la méthode la plus simple pour configurer le pare-feu d’applications Web, et elle est conçue pour éviter les erreurs. L’interface graphique et l’interface de ligne de commande sont destinées aux utilisateurs expérimentés, principalement pour modifier une configuration existante ou utiliser des options avancées.

Injection SQL

Le contrôle d’injection SQL HTML du pare-feu d’application offre des défenses spéciales contre l’injection de code SQL non autorisé qui pourrait compromettre la sécurité de l’application utilisateur. Citrix Web Application Firewall examine la charge utile de la requête pour le code SQL injecté à trois endroits : 1) corps POST, 2) en-têtes et 3) cookies.

Un ensemble par défaut de mots-clés et de caractères spéciaux fournit des mots-clés et des caractères spéciaux connus qui sont couramment utilisés pour lancer des attaques SQL. Les utilisateurs peuvent également ajouter de nouveaux modèles et modifier l’ensemble par défaut pour personnaliser l’inspection du contrôle SQL.

Plusieurs paramètres peuvent être configurés pour le traitement de l’injection SQL. Les utilisateurs peuvent vérifier les caractères génériques SQL. Les utilisateurs peuvent modifier le type d’injection SQL et sélectionner l’une des 4 options (SQLKeyword, SQLSplChar, SQLSplCharANDKeyword, SQLSplCharORKeyword) pour indiquer comment évaluer les mots-clés SQL et les caractères spéciaux SQL lors du traitement de la charge utile. Le paramètre de gestion des commentaires SQL offre aux utilisateurs une option pour spécifier le type de commentaires à inspecter ou à exempter lors de la détection d’injection SQL.

Les utilisateurs peuvent déployer des relaxations pour éviter les faux positifs. Le moteur d’apprentissage peut fournir des recommandations pour la configuration des règles de relaxation.

Les options suivantes sont disponibles pour configurer une protection optimisée contre l’injection SQL pour l’application utilisateur :

Bloquer — Si les utilisateurs activent le blocage, l’action de blocage est déclenchée uniquement si l’entrée correspond à la spécification du type d’injection SQL. Par exemple, si SQLSplCharANDKeyword est configuré comme type d’injection SQL, une requête n’est pas bloquée si elle ne contient aucun mot-clé, même si des caractères spéciaux SQL sont détectés dans l’entrée. Une telle requête est bloquée si le type d’injection SQL est défini sur SQLSplChar ou SQLSplCharORKeyword.

Journaliser — Si les utilisateurs activent la fonction de journalisation, le contrôle d’injection SQL génère des messages de journal indiquant les actions qu’il entreprend. Si le blocage est désactivé, un message de journal distinct est généré pour chaque champ d’entrée dans lequel la violation SQL a été détectée. Cependant, un seul message est généré lorsque la requête est bloquée. De même, un message de journal par requête est généré pour l’opération de transformation, même lorsque des caractères spéciaux SQL sont transformés dans plusieurs champs. Les utilisateurs peuvent surveiller les journaux pour déterminer si les réponses aux requêtes légitimes sont bloquées. Une forte augmentation du nombre de messages de journal peut indiquer des tentatives de lancement d’une attaque.

Statistiques — Si elle est activée, la fonction de statistiques collecte des statistiques sur les violations et les journaux. Une augmentation inattendue du compteur de statistiques peut indiquer que l’application utilisateur est attaquée. Si des requêtes légitimes sont bloquées, les utilisateurs devront peut-être revoir la configuration pour voir s’ils doivent configurer de nouvelles règles de relaxation ou modifier celles existantes.

Apprendre — Si les utilisateurs ne sont pas sûrs des règles de relaxation SQL qui pourraient être idéalement adaptées à leurs applications, ils peuvent utiliser la fonction d’apprentissage pour générer des recommandations basées sur les données apprises. Le moteur d’apprentissage du pare-feu d’application Web surveille le trafic et fournit des recommandations d’apprentissage SQL basées sur les valeurs observées. Pour obtenir un bénéfice optimal sans compromettre les performances, les utilisateurs peuvent vouloir activer l’option d’apprentissage pendant une courte période pour obtenir un échantillon représentatif des règles, puis déployer les règles et désactiver l’apprentissage.

Transformer les caractères spéciaux SQL — Le pare-feu d’application Web considère trois caractères, la guillemet simple droite (‘), la barre oblique inverse () et le point-virgule (;) comme des caractères spéciaux pour le traitement du contrôle de sécurité SQL. La fonction de transformation SQL modifie le code d’injection SQL dans une requête HTML pour s’assurer que la requête est rendue inoffensive. La requête HTML modifiée est ensuite envoyée au serveur. Toutes les règles de transformation par défaut sont spécifiées dans le fichier /netscaler/default_custom_settings.xml.

• L’opération de transformation rend le code SQL inactif en apportant les modifications suivantes à la requête :

• Guillemet simple droite (‘) en guillemet double droite (“).

• Barre oblique inverse () en double barre oblique inverse (\).

• Le point-virgule (;) est complètement supprimé.

Ces trois caractères (chaînes spéciales) sont nécessaires pour émettre des commandes à un serveur SQL. À moins qu’une commande SQL ne soit précédée d’une chaîne spéciale, la plupart des serveurs SQL ignorent cette commande. Par conséquent, les modifications que le pare-feu d’application Web effectue lorsque la transformation est activée empêchent un attaquant d’injecter du SQL actif. Une fois ces modifications effectuées, la requête peut être transmise en toute sécurité au site Web protégé par l’utilisateur. Lorsque les formulaires Web sur le site Web protégé par l’utilisateur peuvent légitimement contenir des chaînes spéciales SQL, mais que les formulaires Web ne dépendent pas des chaînes spéciales pour fonctionner correctement, les utilisateurs peuvent désactiver le blocage et activer la transformation pour empêcher le blocage des données de formulaire Web légitimes sans réduire la protection que le pare-feu d’application Web offre aux sites Web protégés par l’utilisateur.

L’opération de transformation fonctionne indépendamment du paramètre Type d’injection SQL. Si la transformation est activée et que le type d’injection SQL est spécifié comme mot-clé SQL, les caractères spéciaux SQL sont transformés même si la requête ne contient aucun mot-clé.

Conseil : Les utilisateurs activent normalement soit la transformation, soit le blocage, mais pas les deux. Si l’action de blocage est activée, elle a priorité sur l’action de transformation. Si les utilisateurs ont activé le blocage, l’activation de la transformation est redondante.

Vérifier les caractères génériques SQL — Les caractères génériques peuvent être utilisés pour élargir les sélections d’une instruction SQL SELECT. Ces opérateurs de caractères génériques peuvent être utilisés avec les opérateurs LIKE et NOT LIKE pour comparer une valeur à des valeurs similaires. Les caractères pourcentage (%), et underscore (_) sont fréquemment utilisés comme caractères génériques. Le signe pourcentage est analogue au caractère générique astérisque (*) utilisé avec MS-DOS et pour faire correspondre zéro, un ou plusieurs caractères dans un champ. L’underscore est similaire au caractère générique point d’interrogation (?) de MS-DOS. Il correspond à un seul nombre ou caractère dans une expression.

Par exemple, les utilisateurs peuvent utiliser la requête suivante pour effectuer une recherche de chaîne afin de trouver tous les clients dont les noms contiennent le caractère D.

SELECT * from customer WHERE name like “%D%” :

L’exemple suivant combine les opérateurs pour trouver toutes les valeurs de salaire qui ont 0 en deuxième et troisième position.

SELECT * from customer WHERE salary like ‘_00%’ :

Différents fournisseurs de SGBD ont étendu les caractères génériques en ajoutant des opérateurs supplémentaires. Le pare-feu d’applications Web Citrix peut protéger contre les attaques lancées en injectant ces caractères génériques. Les 5 caractères génériques par défaut sont le pourcentage (%), l’underscore (_), l’accent circonflexe (^), le crochet ouvrant ([), and closing bracket (]). Cette protection s’applique aux profils HTML et XML.

Les caractères génériques par défaut sont une liste de littéraux spécifiés dans les Signatures par défaut :

• <wildchar type=” LITTÉRAL”>%</wildchar>

• <wildchar type=”LITTÉRAL”>_</wildchar>

• <wildchar type=”LITTÉRAL”>^</wildchar>

• <wildchar type=”LITTÉRAL”>[</wildchar>

• <wildchar type=”LITTÉRAL”>]</wildchar>

Les caractères génériques dans une attaque peuvent être des expressions régulières compatibles Perl (PCRE), comme [^A-F]. Le pare-feu d’applications Web prend également en charge les caractères génériques PCRE, mais les caractères génériques littéraux ci-dessus sont suffisants pour bloquer la plupart des attaques.

Remarque : La vérification des caractères génériques SQL est différente de la vérification des caractères spéciaux SQL. Cette option doit être utilisée avec prudence pour éviter les faux positifs.

Vérifier la requête contenant le type d’injection SQL — Le pare-feu d’applications Web offre 4 options pour implémenter le niveau de rigueur souhaité pour l’inspection des injections SQL, en fonction des besoins individuels de l’application. La requête est vérifiée par rapport à la spécification du type d’injection pour détecter les violations SQL. Les 4 options de type d’injection SQL sont :

• Caractère spécial et mot-clé SQL — Un mot-clé SQL et un caractère spécial SQL doivent tous deux être présents dans l’entrée pour déclencher une violation SQL. Ce paramètre le moins restrictif est également le paramètre par défaut.

• Caractère spécial SQL — Au moins un des caractères spéciaux doit être présent dans l’entrée pour déclencher une violation SQL.

• Mot-clé SQL — Au moins un des mots-clés SQL spécifiés doit être présent dans l’entrée pour déclencher une violation SQL. Ne sélectionnez pas cette option sans mûre réflexion. Pour éviter les faux positifs, assurez-vous qu’aucun des mots-clés n’est attendu dans les entrées.

• Caractère spécial ou mot-clé SQL — Soit le mot-clé, soit la chaîne de caractères spéciaux doit être présente dans l’entrée pour déclencher la violation de la vérification de sécurité.

Conseil : Si les utilisateurs configurent le pare-feu d’applications Web pour vérifier les entrées qui contiennent un caractère spécial SQL, le pare-feu d’applications Web ignore les champs de formulaire Web qui ne contiennent aucun caractère spécial. Étant donné que la plupart des serveurs SQL ne traitent pas les commandes SQL qui ne sont pas précédées d’un caractère spécial, l’activation de cette option peut réduire considérablement la charge sur le pare-feu d’applications Web et accélérer le traitement sans mettre en danger les sites Web protégés par l’utilisateur.

Gestion des commentaires SQL — Par défaut, le pare-feu d’applications Web vérifie tous les commentaires SQL pour les commandes SQL injectées. De nombreux serveurs SQL ignorent tout ce qui se trouve dans un commentaire, même s’il est précédé d’un caractère spécial SQL. Pour un traitement plus rapide, si votre serveur SQL ignore les commentaires, vous pouvez configurer le pare-feu d’applications Web pour ignorer les commentaires lors de l’examen des requêtes pour les injections SQL. Les options de gestion des commentaires SQL sont :

• ANSI — Ignore les commentaires SQL au format ANSI, qui sont normalement utilisés par les bases de données SQL basées sur UNIX. Par exemple :

  • /– (Deux tirets) - Il s’agit d’un commentaire qui commence par deux tirets et se termine par la fin de la ligne.

  • {} - Accolades (Les accolades encadrent le commentaire. Le { précède le commentaire, et le } le suit. Les accolades peuvent délimiter des commentaires sur une ou plusieurs lignes, mais les commentaires ne peuvent pas être imbriqués)

  • /*/ : Commentaires de style C (Ne permet pas les commentaires imbriqués). Veuillez noter que /! <un commentaire qui commence par une barre oblique suivie d’un astérisque et d’un point d’exclamation n’est pas un commentaire > */

  • MySQL Server prend en charge certaines variantes de commentaires de style C. Celles-ci permettent aux utilisateurs d’écrire du code qui inclut des extensions MySQL, mais qui reste portable, en utilisant des commentaires de la forme suivante : [/*! MySQL-specific code */]

  • .#: Commentaires Mysql : Il s’agit d’un commentaire qui commence par le caractère # et se termine par la fin de la ligne.

• Imbriqués — Ignore les commentaires SQL imbriqués, qui sont normalement utilisés par Microsoft SQL Server. Par exemple ; – (Deux tirets), et /**/ (Permet les commentaires imbriqués)

• ANSI/Imbriqués — Ignore les commentaires qui respectent à la fois les normes de commentaires SQL ANSI et imbriqués. Les commentaires qui ne correspondent qu’à la norme ANSI, ou qu’à la norme imbriquée, sont toujours vérifiés pour le SQL injecté.

• Vérifier tous les commentaires — Vérifie l’intégralité de la requête pour le SQL injecté sans rien ignorer. C’est le paramètre par défaut.

Conseil : Généralement, les utilisateurs ne devraient pas choisir l’option Imbriqués ou ANSI/Imbriqués à moins que leur base de données back-end ne fonctionne sur Microsoft SQL Server. La plupart des autres types de logiciels de serveur SQL ne reconnaissent pas les commentaires imbriqués. Si des commentaires imbriqués apparaissent dans une requête dirigée vers un autre type de serveur SQL, ils pourraient indiquer une tentative de compromettre la sécurité sur ce serveur.

Vérifier les en-têtes de requête — Activez cette option si, en plus d’examiner l’entrée dans les champs de formulaire, les utilisateurs souhaitent examiner les en-têtes de requête pour les attaques par injection SQL HTML. Si les utilisateurs utilisent l’interface graphique, ils peuvent activer ce paramètre dans le volet Advanced Settings -> Profile Settings du profil du pare-feu d’applications web.

Remarque : Si les utilisateurs activent l’indicateur de vérification des en-têtes de requête, ils pourraient devoir configurer une règle de relaxation pour l’en-tête User-Agent. La présence du mot-clé SQL like et d’un caractère spécial SQL point-virgule (;) pourrait déclencher un faux positif et bloquer les requêtes contenant cet en-tête. Avertissement : Si les utilisateurs activent à la fois la vérification et la transformation des en-têtes de requête, tous les caractères spéciaux SQL trouvés dans les en-têtes sont également transformés. Les en-têtes Accept, Accept-Charset, Accept-Encoding, Accept-Language, Expect et User-Agent contiennent normalement des points-virgules (;). L’activation simultanée de la vérification et de la transformation des en-têtes de requête pourrait entraîner des erreurs.

InspectQueryContentTypes — Configurez cette option si les utilisateurs souhaitent examiner la partie de la requête pour les attaques par injection SQL pour les types de contenu spécifiques. Si les utilisateurs utilisent l’interface graphique, ils peuvent configurer ce paramètre dans le volet Advanced Settings -> Profile Settings du profil du pare-feu d’applications.

Script intersite

La vérification du script intersite HTML (cross-site scripting) examine à la fois les en-têtes et les corps POST des requêtes utilisateur pour détecter d’éventuelles attaques par script intersite. Si elle détecte un script intersite, elle modifie (transforme) la requête pour rendre l’attaque inoffensive, ou bloque la requête.

Remarque : La vérification du script intersite HTML (cross-site scripting) ne fonctionne que pour le type de contenu, la longueur du contenu, etc. Elle ne fonctionne pas pour les cookies. Assurez-vous également que l’option « checkRequestHeaders » est activée dans le profil du pare-feu d’applications web de l’utilisateur.

Pour empêcher l’utilisation abusive des scripts sur les sites web protégés par l’utilisateur afin de compromettre la sécurité sur les sites web de l’utilisateur, la vérification du script intersite HTML bloque les scripts qui violent la règle de la même origine, qui stipule que les scripts ne doivent pas accéder ou modifier le contenu sur un serveur autre que celui sur lequel ils sont situés. Tout script qui viole la règle de la même origine est appelé un script intersite, et la pratique consistant à utiliser des scripts pour accéder ou modifier du contenu sur un autre serveur est appelée script intersite. La raison pour laquelle le script intersite est un problème de sécurité est qu’un serveur web qui autorise le script intersite peut être attaqué avec un script qui ne se trouve pas sur ce serveur web, mais sur un serveur web différent, tel qu’un serveur détenu et contrôlé par l’attaquant.

Malheureusement, de nombreuses entreprises disposent d’une large base installée de contenu web amélioré par JavaScript qui viole la règle de la même origine. Si les utilisateurs activent la vérification du script intersite HTML sur un tel site, ils doivent générer les exceptions appropriées afin que la vérification ne bloque pas les activités légitimes.

Le pare-feu d’applications web offre diverses options d’action pour la mise en œuvre de la protection contre les scripts intersites HTML. En plus des actions Bloquer, Journaliser, Statistiques et Apprendre, les utilisateurs ont également la possibilité de Transformer les scripts intersites pour rendre une attaque inoffensive en encodant les balises de script dans la requête soumise. Les utilisateurs peuvent configurer la vérification des URL complètes pour le paramètre de script intersite afin de spécifier s’ils souhaitent inspecter non seulement les paramètres de requête, mais l’URL entière pour détecter une attaque par script intersite. Les utilisateurs peuvent configurer le paramètre InspectQueryContentTypes pour inspecter la partie de la requête pour une attaque par script intersite pour les types de contenu spécifiques.

Les utilisateurs peuvent déployer des relaxations pour éviter les faux positifs. Le moteur d’apprentissage du pare-feu d’applications web peut fournir des recommandations pour la configuration des règles de relaxation.

Les options suivantes sont disponibles pour configurer une protection optimisée contre les scripts intersites HTML pour l’application utilisateur :

• Bloquer — Si les utilisateurs activent le blocage, l’action de blocage est déclenchée si les balises de script intersite sont détectées dans la requête.

• Journal — Si les utilisateurs activent la fonction de journalisation, la vérification de script intersite HTML génère des messages de journal indiquant les actions qu’elle entreprend. Si le blocage est désactivé, un message de journal distinct est généré pour chaque en-tête ou champ de formulaire dans lequel la violation de script intersite a été détectée. Cependant, un seul message est généré lorsque la requête est bloquée. De même, un message de journal par requête est généré pour l’opération de transformation, même lorsque les balises de script intersite sont transformées dans plusieurs champs. Les utilisateurs peuvent surveiller les journaux pour déterminer si les réponses aux requêtes légitimes sont bloquées. Une forte augmentation du nombre de messages de journal peut indiquer des tentatives de lancement d’une attaque.

• Statistiques — Si elle est activée, la fonction de statistiques recueille des statistiques sur les violations et les journaux. Une augmentation inattendue du compteur de statistiques peut indiquer que l’application utilisateur est attaquée. Si des requêtes légitimes sont bloquées, les utilisateurs devront peut-être revoir la configuration pour voir s’ils doivent configurer de nouvelles règles de relaxation ou modifier celles existantes.

• Apprentissage — Si les utilisateurs ne sont pas sûrs des règles de relaxation qui pourraient être idéalement adaptées à leur application, ils peuvent utiliser la fonction d’apprentissage pour générer des recommandations de règles de script intersite HTML basées sur les données apprises. Le moteur d’apprentissage du pare-feu d’application Web surveille le trafic et fournit des recommandations d’apprentissage basées sur les valeurs observées. Pour obtenir un bénéfice optimal sans compromettre les performances, les utilisateurs peuvent souhaiter activer l’option d’apprentissage pendant une courte période pour obtenir un échantillon représentatif des règles, puis déployer les règles et désactiver l’apprentissage.

• Transformer les scripts intersites — Si elle est activée, le pare-feu d’application Web apporte les modifications suivantes aux requêtes qui correspondent à la vérification de script intersite HTML :

  • Crochet angulaire gauche (<) en entité de caractère HTML équivalente (<)

  • Crochet angulaire droit (>) en entité de caractère HTML équivalente (>)

Cela garantit que les navigateurs n’interprètent pas les balises HTML non sécurisées, telles que <script>, et n’exécutent pas de code malveillant. Si les utilisateurs activent à la fois la vérification des en-têtes de requête et la transformation, tous les caractères spéciaux trouvés dans les en-têtes de requête sont également modifiés comme décrit ci-dessus. Si les scripts du site Web protégé par l’utilisateur contiennent des fonctionnalités de script intersite, mais que le site Web de l’utilisateur ne dépend pas de ces scripts pour fonctionner correctement, les utilisateurs peuvent désactiver le blocage en toute sécurité et activer la transformation. Cette configuration garantit qu’aucun trafic Web légitime n’est bloqué, tout en arrêtant toute attaque potentielle de script intersite.

• Vérifier les URL complètes pour les scripts intersites — Si la vérification des URL complètes est activée, le pare-feu d’application Web examine les URL entières pour les attaques de script intersite HTML au lieu de vérifier uniquement les parties de requête des URL.

• Vérifier les en-têtes de requête — Si la vérification des en-têtes de requête est activée, le pare-feu d’application Web examine les en-têtes des requêtes pour les attaques de script intersite HTML, au lieu de simplement les URL. Si les utilisateurs utilisent l’interface graphique, ils peuvent activer ce paramètre dans l’onglet Paramètres du profil du pare-feu d’application Web.

• InspectQueryContentTypes — Si l’inspection des requêtes est configurée, le pare-feu d’application examine la requête des demandes d’attaques de script intersite pour les types de contenu spécifiques. Si les utilisateurs utilisent l’interface graphique, ils peuvent configurer ce paramètre dans l’onglet Paramètres du profil du pare-feu d’application.

Important : Dans le cadre des modifications de streaming, le traitement des balises de script intersite par le pare-feu d’application Web a changé. Dans les versions précédentes, la présence d’un crochet ouvrant (<), d’un crochet fermant (>), ou des deux crochets ouvrant et fermant (<>) était signalée comme une violation de script intersite. Le comportement a changé dans les versions qui incluent la prise en charge du streaming côté requête. Seul le caractère de crochet fermant (>) n’est plus considéré comme une attaque. Les requêtes sont bloquées même lorsqu’un caractère de crochet ouvrant (<) est présent et est considéré comme une attaque. L’attaque de script intersite est signalée.

Vérification du dépassement de tampon

La vérification du dépassement de tampon détecte les tentatives de provoquer un dépassement de tampon sur le serveur Web. Si le pare-feu d’application Web détecte que l’URL, les cookies ou l’en-tête sont plus longs que la longueur configurée, il bloque la requête car cela peut provoquer un dépassement de tampon.

La vérification du dépassement de tampon empêche les attaques contre les logiciels de système d’exploitation ou de serveur Web non sécurisés qui peuvent planter ou se comporter de manière imprévisible lorsqu’ils reçoivent une chaîne de données plus grande qu’ils ne peuvent gérer. Les techniques de programmation appropriées empêchent les dépassements de tampon en vérifiant les données entrantes et en rejetant ou en tronquant les chaînes trop longues. De nombreux programmes, cependant, ne vérifient pas toutes les données entrantes et sont donc vulnérables aux dépassements de tampon. Ce problème affecte particulièrement les anciennes versions de logiciels de serveur Web et de systèmes d’exploitation, dont beaucoup sont encore utilisés.

La vérification de sécurité du dépassement de tampon permet aux utilisateurs de configurer les actions Bloquer, Journaliser et Statistiques. De plus, les utilisateurs peuvent également configurer les paramètres suivants :

• Longueur maximale de l’URL. La longueur maximale que le pare-feu d’applications Web autorise dans une URL demandée. Les requêtes avec des URL plus longues sont bloquées. Valeurs possibles : 0–65535. Par défaut : 1024

• Longueur maximale des cookies. La longueur maximale que le pare-feu d’applications Web autorise pour tous les cookies dans une requête. Les requêtes avec des cookies plus longs déclenchent les violations. Valeurs possibles : 0–65535. Par défaut : 4096

• Longueur maximale de l’en-tête. La longueur maximale que le pare-feu d’applications Web autorise pour les en-têtes HTTP. Les requêtes avec des en-têtes plus longs sont bloquées. Valeurs possibles : 0–65535. Par défaut : 4096

• Longueur de la chaîne de requête. Longueur maximale autorisée pour une chaîne de requête dans une requête entrante. Les requêtes avec des chaînes de requête plus longues sont bloquées. Valeurs possibles : 0–65535. Par défaut : 1024

• Longueur totale de la requête. Longueur maximale de requête autorisée pour une requête entrante. Les requêtes d’une longueur supérieure sont bloquées. Valeurs possibles : 0–65535. Par défaut : 24820

Correction virtuelle/Signatures

Les signatures fournissent des règles spécifiques et configurables pour simplifier la tâche de protection des sites Web des utilisateurs contre les attaques connues. Une signature représente un modèle qui est un composant d’une attaque connue sur un système d’exploitation, un serveur Web, un site Web, un service Web basé sur XML ou une autre ressource. Un riche ensemble de règles intégrées ou natives préconfigurées offre une solution de sécurité facile à utiliser, appliquant la puissance de la mise en correspondance de modèles pour détecter les attaques et protéger contre les vulnérabilités des applications.

Les utilisateurs peuvent créer leurs propres signatures ou utiliser des signatures dans les modèles intégrés. Le pare-feu d’applications Web dispose de deux modèles intégrés :

• Signatures par défaut : Ce modèle contient une liste préconfigurée de plus de 1 300 signatures, en plus d’une liste complète de mots-clés d’injection SQL, de chaînes spéciales SQL, de règles de transformation SQL et de caractères génériques SQL. Il contient également des modèles refusés pour le script intersite, ainsi que des attributs et des balises autorisés pour le script intersite. Il s’agit d’un modèle en lecture seule. Les utilisateurs peuvent en afficher le contenu, mais ils ne peuvent rien ajouter, modifier ou supprimer dans ce modèle. Pour l’utiliser, les utilisateurs doivent en faire une copie. Dans leur propre copie, les utilisateurs peuvent activer les règles de signature qu’ils souhaitent appliquer à leur trafic et spécifier les actions à entreprendre lorsque les règles de signature correspondent au trafic.

Les signatures sont dérivées des règles publiées par SNORT : SNORT, qui est un système de prévention des intrusions open source capable d’effectuer une analyse du trafic en temps réel pour détecter diverses attaques et sondes.

• *Modèles d’injection Xpath : Ce modèle contient un ensemble préconfiguré de mots-clés littéraux et PCRE et de chaînes spéciales qui sont utilisés pour détecter les attaques par injection XPath (XML Path Language).

Signatures vierges : En plus de faire une copie du modèle de signatures par défaut intégré, les utilisateurs peuvent utiliser un modèle de signatures vierges pour créer un objet de signature. L’objet de signature que les utilisateurs créent avec l’option de signatures vierges ne contient aucune règle de signature native, mais, tout comme le modèle *Default, il contient toutes les entités SQL/XSS intégrées.

Signatures au format externe : Le pare-feu d’applications Web prend également en charge les signatures au format externe. Les utilisateurs peuvent importer le rapport d’analyse tiers en utilisant les fichiers XSLT pris en charge par le pare-feu d’applications Web Citrix. Un ensemble de fichiers XSLT intégrés est disponible pour certains outils d’analyse afin de traduire les fichiers au format externe vers le format natif (voir la liste des fichiers XSLT intégrés plus loin dans cette section).

Bien que les signatures aident les utilisateurs à réduire le risque de vulnérabilités exposées et à protéger les serveurs Web critiques pour la mission de l’utilisateur tout en visant l’efficacité, les signatures ont un coût en termes de traitement CPU supplémentaire.

Il est important de choisir les bonnes signatures pour les besoins de l’application de l’utilisateur. N’activez que les signatures pertinentes pour l’application/l’environnement du client.

Citrix propose des signatures dans plus de 10 catégories différentes, couvrant diverses plateformes/OS/Technologies.

La base de données des règles de signature est substantielle, car les informations sur les attaques se sont accumulées au fil des ans. Ainsi, la plupart des anciennes règles peuvent ne pas être pertinentes pour tous les réseaux, car les développeurs de logiciels les ont peut-être déjà corrigées ou les clients utilisent une version plus récente du système d’exploitation.

Mises à jour des signatures

Citrix Web Application Firewall prend en charge la mise à jour automatique et manuelle des signatures. Nous suggérons également d’activer la mise à jour automatique des signatures pour rester à jour.

Ces fichiers de signatures sont hébergés sur l’environnement AWS et il est important d’autoriser l’accès sortant aux adresses IP de NetScaler® depuis les pare-feu réseau pour récupérer les derniers fichiers de signature. La mise à jour des signatures n’a aucun effet sur l’ADC lors du traitement du trafic en temps réel.

Analyse de la sécurité des applications

Le tableau de bord de sécurité des applications offre une vue d’ensemble de l’état de sécurité des applications utilisateur. Par exemple, il affiche des métriques de sécurité clés telles que les violations de sécurité, les violations de signature et les indices de menace. Le tableau de bord de sécurité des applications affiche également des informations relatives aux attaques, telles que les attaques SYN, les attaques de petite fenêtre et les attaques par inondation DNS pour les instances Citrix ADC découvertes.

Remarque : Pour afficher les métriques du tableau de bord de sécurité des applications, AppFlow® pour l’analyse de la sécurité doit être activé sur les instances Citrix ADC que les utilisateurs souhaitent surveiller.

Pour afficher les métriques de sécurité d’une instance Citrix ADC sur le tableau de bord de sécurité des applications :

1. Connectez-vous à Citrix ADM à l’aide des informations d’identification de l’administrateur.

2. Accédez à Applications > Tableau de bord de sécurité des applications, et sélectionnez l’adresse IP de l’instance dans la liste Périphériques.

Les utilisateurs peuvent approfondir les anomalies signalées dans l’Application Security Investigator en cliquant sur les bulles tracées sur le graphique.

Apprentissage centralisé sur ADM

Le pare-feu d’applications Web (WAF) Citrix protège les applications Web des utilisateurs contre les attaques malveillantes telles que l’injection SQL et le script intersites (XSS). Pour éviter les violations de données et fournir la bonne protection de sécurité, les utilisateurs doivent surveiller leur trafic pour détecter les menaces et les données exploitables en temps réel sur les attaques. Parfois, les attaques signalées peuvent être de faux positifs et doivent être fournies comme une exception.

L’apprentissage centralisé sur Citrix ADM est un filtre de modèles répétitifs qui permet au WAF d’apprendre le comportement (les activités normales) des applications Web des utilisateurs. Basé sur la surveillance, le moteur génère une liste de règles suggérées ou d’exceptions pour chaque contrôle de sécurité appliqué au trafic HTTP.

Il est beaucoup plus facile de déployer des règles de relaxation à l’aide du moteur d’apprentissage que de les déployer manuellement en tant que relaxations nécessaires.

Pour déployer la fonction d’apprentissage, les utilisateurs doivent d’abord configurer un profil de pare-feu d’applications Web (ensemble de paramètres de sécurité) sur l’appliance Citrix ADC de l’utilisateur. Pour plus d’informations, consultez la section Création de profils de pare-feu d’applications Web : Création de profils de pare-feu d’applications Web.

Citrix ADM génère une liste d’exceptions (relaxations) pour chaque contrôle de sécurité. En tant qu’administrateur, les utilisateurs peuvent examiner la liste des exceptions dans Citrix ADM et décider de les déployer ou de les ignorer.

À l’aide de la fonction d’apprentissage WAF dans Citrix ADM, les utilisateurs peuvent :

• Configurer un profil d’apprentissage avec les contrôles de sécurité suivants

  • Débordement de tampon

  • Script intersites HTML

    Remarque : La limitation de script intersites de l’emplacement est uniquement FormField.

  • Injection SQL HTML

    Remarque :

    Pour le contrôle d’injection SQL HTML, les utilisateurs doivent configurer set -sqlinjectionTransformSpecialChars ON et set -sqlinjectiontype sqlspclcharorkeywords dans l’instance Citrix ADC.

• Vérifier les règles de relaxation dans Citrix ADM et décider de prendre les mesures nécessaires (déployer ou ignorer)

• Recevoir les notifications par e-mail, Slack et ServiceNow

• Utilisez le tableau de bord pour afficher les détails de la relaxation

Pour utiliser l’apprentissage WAF dans Citrix ADM :

1. Configurez le profil d’apprentissage : Configurer le profil d’apprentissage

2. Consultez les règles de relaxation : Afficher les règles de relaxation et les règles d’inactivité

3. Utilisez le tableau de bord d’apprentissage WAF : Afficher le tableau de bord d’apprentissage WAF

StyleBook

Citrix Web Application Firewall est un pare-feu d’applications Web (WAF) qui protège les applications et les sites Web contre les attaques connues et inconnues, y compris toutes les menaces de la couche application et les menaces zero-day.

Citrix ADM fournit désormais un StyleBook par défaut avec lequel les utilisateurs peuvent créer plus facilement une configuration de pare-feu d’applications sur les instances Citrix ADC.

Déploiement des configurations de pare-feu d’applications

La tâche suivante vous aide à déployer une configuration d’équilibrage de charge ainsi que le pare-feu d’applications et la politique de réputation IP sur les instances Citrix ADC de votre réseau d’entreprise.

Pour créer une configuration LB avec les paramètres du pare-feu d’applications

Dans Citrix ADM, accédez à Applications > Configurations > StyleBooks. La page StyleBooks affiche tous les StyleBooks disponibles pour les clients dans Citrix

• ADM. Faites défiler vers le bas et recherchez le StyleBook d’équilibrage de charge HTTP/SSL avec la politique de pare-feu d’applications et la politique de réputation IP. Les utilisateurs peuvent également rechercher le StyleBook en tapant le nom comme lb-appfw. Cliquez sur Créer une configuration.

Le StyleBook s’ouvre sous la forme d’une page d’interface utilisateur sur laquelle les utilisateurs peuvent saisir les valeurs de tous les paramètres définis dans ce StyleBook.

• Saisissez les valeurs des paramètres suivants :

  • Nom de l’application à charge équilibrée. Nom de la configuration à charge équilibrée avec un pare-feu d’application à déployer dans le réseau utilisateur.

  • Adresse IP virtuelle de l’application à charge équilibrée. Adresse IP virtuelle à laquelle l’instance Citrix ADC reçoit les requêtes des clients.

  • Port virtuel de l’application à charge équilibrée. Le port TCP à utiliser par les utilisateurs pour accéder à l’application à charge équilibrée.

  • Protocole de l’application à charge équilibrée. Sélectionnez le protocole frontal dans la liste.

  • Protocole du serveur d’applications. Sélectionnez le protocole du serveur d’applications.

• En option, les utilisateurs peuvent activer et configurer les Paramètres avancés de l’équilibreur de charge.

• En option, les utilisateurs peuvent également configurer un serveur d’authentification pour authentifier le trafic du serveur virtuel d’équilibrage de charge.

• Cliquez sur « + » dans la section Adresses IP et ports du serveur pour créer des serveurs d’applications et les ports sur lesquels ils peuvent être accédés.

• Les utilisateurs peuvent également créer des noms de domaine complets (FQDN) pour les serveurs d’applications.

• Les utilisateurs peuvent également spécifier les détails du certificat SSL.

• Les utilisateurs peuvent également créer des moniteurs dans l’instance Citrix ADC cible.

• Pour configurer un pare-feu d’applications sur le serveur virtuel, activez les paramètres WAF.

Assurez-vous que la règle de stratégie du pare-feu d’applications est vraie si les utilisateurs souhaitent appliquer les paramètres du pare-feu d’applications à tout le trafic sur ce VIP. Sinon, spécifiez la règle de stratégie Citrix ADC pour sélectionner un sous-ensemble de requêtes auxquelles appliquer les paramètres du pare-feu d’applications. Ensuite, sélectionnez le type de profil à appliquer - HTML ou XML.

• En option, les utilisateurs peuvent configurer des paramètres détaillés de profil de pare-feu d’applications en activant la case à cocher Paramètres de profil du pare-feu d’applications.

• En option, si les utilisateurs souhaitent configurer des signatures de pare-feu d’applications, saisissez le nom de l’objet de signature créé sur l’instance Citrix ADC où le serveur virtuel doit être déployé.

Remarque :

Les utilisateurs ne peuvent pas créer d’objets de signature à l’aide de ce StyleBook.

• Ensuite, les utilisateurs peuvent également configurer d’autres paramètres de profil de pare-feu d’applications tels que les paramètres StartURL, les paramètres DenyURL et autres.

Pour plus d’informations sur le pare-feu d’applications et les paramètres de configuration, consultez Pare-feu d’applications.

• Dans la section Instances cibles, sélectionnez l’instance Citrix ADC sur laquelle déployer le serveur virtuel d’équilibrage de charge avec le pare-feu d’applications.

Remarque : Les utilisateurs peuvent également cliquer sur l’icône d’actualisation pour ajouter les instances Citrix ADC récemment découvertes dans Citrix ADM à la liste des instances disponibles dans cette fenêtre.

• Les utilisateurs peuvent également activer la vérification de la réputation IP pour identifier l’adresse IP qui envoie des requêtes indésirables. Les utilisateurs peuvent utiliser la liste de réputation IP pour rejeter préventivement les requêtes provenant d’une IP ayant une mauvaise réputation.

Conseil : Citrix recommande aux utilisateurs de sélectionner l’option Exécution à blanc pour vérifier les objets de configuration qui doivent être créés sur l’instance cible avant d’exécuter la configuration réelle sur l’instance.

Lorsque la configuration est créée avec succès, le StyleBook crée le serveur virtuel d’équilibrage de charge, le serveur d’applications, les services, les groupes de services, les étiquettes de pare-feu d’applications et les stratégies de pare-feu d’applications requis, et les lie au serveur virtuel d’équilibrage de charge.

La figure suivante montre les objets créés dans chaque serveur :

• Pour voir le ConfigPack créé sur Citrix ADM, accédez à Applications > Configurations.

Analyse de Security Insight

Les applications web et de services web exposées à Internet sont devenues de plus en plus vulnérables aux attaques. Pour protéger les applications contre les attaques, les utilisateurs ont besoin d’une visibilité sur la nature et l’étendue des menaces passées, présentes et imminentes, de données exploitables en temps réel sur les attaques et de recommandations sur les contre-mesures. Security Insight offre une solution unique pour aider les utilisateurs à évaluer l’état de sécurité de leurs applications et à prendre des mesures correctives pour les sécuriser.

Fonctionnement de Security Insight

Security Insight est une solution d’analyse de sécurité intuitive basée sur un tableau de bord qui offre aux utilisateurs une visibilité complète sur l’environnement de menaces associé aux applications utilisateur. Security Insight est inclus dans Citrix ADM et génère périodiquement des rapports basés sur les configurations de sécurité du pare-feu d’applications utilisateur et du système ADC. Les rapports incluent les informations suivantes pour chaque application :

• Indice de menace. Un système de notation à un chiffre qui indique la criticité des attaques sur l’application, que l’application soit protégée ou non par une appliance ADC. Plus les attaques sur une application sont critiques, plus l’indice de menace pour cette application est élevé. Les valeurs vont de 1 à 7.

L’indice de menace est basé sur les informations d’attaque. Les informations relatives aux attaques, telles que le type de violation, la catégorie d’attaque, l’emplacement et les détails du client, donnent aux utilisateurs un aperçu des attaques sur l’application. Les informations de violation ne sont envoyées à Citrix ADM que lorsqu’une violation ou une attaque se produit. De nombreuses violations et vulnérabilités entraînent une valeur d’indice de menace élevée.

• Indice de sécurité. Un système de notation à un chiffre qui indique le degré de sécurité avec lequel les utilisateurs ont configuré les instances ADC pour protéger les applications contre les menaces et les vulnérabilités externes. Plus les risques de sécurité pour une application sont faibles, plus l’indice de sécurité est élevé. Les valeurs vont de 1 à 7.

L’indice de sécurité prend en compte à la fois la configuration du pare-feu d’application et la configuration de sécurité du système ADC. Pour une valeur d’indice de sécurité élevée, les deux configurations doivent être robustes. Par exemple, si des contrôles rigoureux du pare-feu d’application sont en place mais que les mesures de sécurité du système ADC, telles qu’un mot de passe fort pour l’utilisateur nsroot, n’ont pas été adoptées, les applications se voient attribuer une faible valeur d’indice de sécurité.

• Informations exploitables. Informations dont les utilisateurs ont besoin pour réduire l’indice de menace et augmenter l’indice de sécurité, ce qui améliore considérablement la sécurité des applications. Par exemple, les utilisateurs peuvent consulter des informations sur les violations, les configurations de sécurité existantes et manquantes pour le pare-feu d’application et d’autres fonctionnalités de sécurité, le taux d’attaques subies par les applications, etc.

Configuration de Security Insight

Remarque : Security Insight est pris en charge uniquement sur les instances ADC avec une licence Premium ou ADC Advanced avec une licence AppFirewall.

Pour configurer Security Insight sur une instance ADC, configurez d’abord un profil de pare-feu d’application et une stratégie de pare-feu d’application, puis liez la stratégie de pare-feu d’application globalement.

Ensuite, activez la fonctionnalité AppFlow, configurez un collecteur, une action et une stratégie AppFlow, puis liez la stratégie globalement. Lorsque les utilisateurs configurent le collecteur, ils doivent spécifier l’adresse IP de l’agent de service Citrix ADM sur lequel ils souhaitent surveiller les rapports.

Configurer Security Insight sur une instance ADC

• Exécutez les commandes suivantes pour configurer un profil et une stratégie de pare-feu d’application, et liez la stratégie de pare-feu d’application globalement ou au serveur virtuel d’équilibrage de charge.

add appfw profile <name> [-defaults ( de base ou avancé )]

Définir le profil appfw <name> [-startURLAction <startURLAction> …]

Ajouter une politique appfw <name> <rule> <profileName>

lier appfw global <policyName> <priority>

ou,

lier lb vserver <lb vserver> -policyName <policy> -priority <priority>

Exemple :

add appfw profile pr_appfw -defaults advanced

set appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority "20"

<!--NeedCopy-->

• Exécutez les commandes suivantes pour activer la fonctionnalité AppFlow, configurer un collecteur, une action et une politique AppFlow, et lier la politique globalement ou au serveur virtuel d’équilibrage de charge :

ajouter un collecteur appflow <name> -IPAddress <ipaddress>

configurer le paramètre appflow [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ACTIVÉ ou DÉSACTIVÉ )]

Ajouter une action appflow <name> -collectors <string>

Ajouter une politique appflow <name> <rule> <action>

lier appflow général <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

ou,

lier lb vserver <vserver> -policyName <policy> -priority <priority>

Exemple :

add appflow collector col -IPAddress 10.102.63.85

set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"

<!--NeedCopy-->

Activer Security Insight depuis Citrix ADM

1. Accédez à Réseaux > Instances > Citrix ADC et sélectionnez le type d’instance. Par exemple, VPX.

2. Sélectionnez l’instance et dans la liste Sélectionner une action, sélectionnez Configurer l’analyse.

3. Dans la fenêtre Configurer l’analyse sur le serveur virtuel :

   • Sélectionnez les serveurs virtuels pour lesquels vous souhaitez activer Security Insight et cliquez sur Activer l’analyse.

   La fenêtre Activer l’analyse s’affiche.

   • Sélectionnez Security Insight

   • Sous Options avancées, sélectionnez Logstream ou IPFIX comme mode de transport

   • L’expression est vraie par défaut

   • Cliquez sur OK

Remarque :

• Si les utilisateurs sélectionnent des serveurs virtuels qui ne sont pas sous licence, Citrix ADM attribue d’abord des licences à ces serveurs virtuels, puis active l’analyse

• Pour les partitions d’administration, seul Web Insight est pris en charge

Une fois que les utilisateurs ont cliqué sur OK, Citrix ADM procède à l’activation de l’analyse sur les serveurs virtuels sélectionnés.

Remarque : Lorsque les utilisateurs créent un groupe, ils peuvent attribuer des rôles au groupe, fournir un accès au niveau de l’application au groupe et attribuer des utilisateurs au groupe. L’analyse Citrix ADM prend désormais en charge l’autorisation basée sur l’adresse IP virtuelle. Les utilisateurs clients peuvent désormais consulter les rapports de tous les Insights uniquement pour les applications (serveurs virtuels) pour lesquelles ils sont autorisés. Pour plus d’informations sur les groupes et l’attribution d’utilisateurs au groupe, consultez Configurer les groupes sur Citrix ADM : Configurer les groupes sur Citrix ADM.

Seuils

Les utilisateurs peuvent définir et afficher des seuils sur l’indice de sécurité et l’indice de menace des applications dans Security Insight.

Pour définir un seuil :

• Accédez à Système > Paramètres d’analyse > Seuils, et sélectionnez Ajouter.

• Sélectionnez le type de trafic comme Sécurité dans le champ Type de trafic, et entrez les informations requises dans les autres champs appropriés tels que Nom, Durée et entité.

• Dans la section Règle, utilisez les champs Métrique, Comparateur et Valeur pour définir un seuil. Par exemple, « Indice de menace » « > » « 5 »

• Cliquez sur Créer.

Pour afficher les dépassements de seuil :

• Accédez à Analytics > Security Insight > Devices, et sélectionnez l’instance ADC.

• Dans la section Application, les utilisateurs peuvent afficher le nombre de dépassements de seuil qui se sont produits pour chaque serveur virtuel dans la colonne Dépassement de seuil.

Cas d’utilisation de Security Insight

Les cas d’utilisation suivants décrivent comment les utilisateurs peuvent utiliser Security Insight pour évaluer l’exposition aux menaces des applications et améliorer les mesures de sécurité.

Obtenir un aperçu de l’environnement de menace

Dans ce cas d’utilisation, les utilisateurs disposent d’un ensemble d’applications exposées aux attaques, et ils ont configuré Citrix ADM pour surveiller l’environnement de menace. Les utilisateurs doivent fréquemment examiner l’indice de menace, l’indice de sécurité, ainsi que le type et la gravité des attaques que les applications ont pu subir, afin de pouvoir se concentrer d’abord sur les applications qui nécessitent le plus d’attention. Le tableau de bord Security Insight fournit un résumé des menaces subies par les applications utilisateur sur une période choisie par l’utilisateur, et pour un périphérique ADC sélectionné. Il affiche la liste des applications, leurs indices de menace et de sécurité, et le nombre total d’attaques pour la période choisie.

Par exemple, les utilisateurs peuvent surveiller Microsoft Outlook, Microsoft Lync, SharePoint et une application SAP, et ils peuvent vouloir examiner un résumé de l’environnement de menace pour ces applications.

Pour obtenir un résumé de l’environnement de menace, connectez-vous à Citrix ADM, puis accédez à Analytics > Security Insight.

Les informations clés sont affichées pour chaque application. La période par défaut est de 1 heure.

Pour afficher les informations pour une période différente, dans la liste en haut à gauche, sélectionnez une période.

Pour afficher un résumé pour une autre instance ADC, sous Appareils, cliquez sur l’adresse IP de l’instance ADC. Pour trier la liste des applications par une colonne donnée, cliquez sur l’en-tête de colonne.

Déterminer l’exposition aux menaces d’une application

Après avoir examiné un résumé de l’environnement de menaces sur le tableau de bord Security Insight pour identifier les applications qui ont un indice de menace élevé et un indice de sécurité faible, les utilisateurs veulent déterminer leur exposition aux menaces avant de décider comment les sécuriser. Autrement dit, les utilisateurs veulent déterminer le type et la gravité des attaques qui ont dégradé leurs valeurs d’indice. Les utilisateurs peuvent déterminer l’exposition aux menaces d’une application en examinant le résumé de l’application.

Dans cet exemple, Microsoft Outlook a une valeur d’indice de menace de 6, et les utilisateurs veulent savoir quels facteurs contribuent à cet indice de menace élevé.

Pour déterminer l’exposition aux menaces de Microsoft Outlook, sur le tableau de bord Security Insight, cliquez sur Outlook. Le résumé de l’application comprend une carte qui identifie l’emplacement géographique du serveur.

Cliquez sur Indice de menace > Violations de contrôle de sécurité et examinez les informations de violation qui apparaissent.

Cliquez sur Violations de signature et examinez les informations de violation qui apparaissent.

Déterminer la configuration de sécurité existante et manquante pour une application

Après avoir examiné l’exposition aux menaces d’une application, les utilisateurs veulent déterminer quelles configurations de sécurité d’application sont en place et quelles configurations sont manquantes pour cette application. Les utilisateurs peuvent obtenir ces informations en explorant le résumé de l’indice de sécurité de l’application.

Le résumé de l’indice de sécurité fournit aux utilisateurs des informations sur l’efficacité des configurations de sécurité suivantes :

• Configuration du pare-feu d’application. Indique le nombre d’entités de signature et de sécurité non configurées.

• Sécurité du système Citrix ADM. Indique le nombre de paramètres de sécurité du système non configurés.

Dans le cas d’utilisation précédent, les utilisateurs ont examiné l’exposition aux menaces de Microsoft Outlook, qui a une valeur d’indice de menace de 6. Maintenant, les utilisateurs veulent savoir quelles configurations de sécurité sont en place pour Outlook et quelles configurations peuvent être ajoutées pour améliorer son indice de menace.

Sur le tableau de bord Security Insight, cliquez sur Outlook, puis sur l’onglet Indice de sécurité. Examinez les informations fournies dans la zone Résumé de l’indice de sécurité.

Sur le nœud Configuration du pare-feu d’application, cliquez sur Outlook_Profile et examinez les informations de vérification de sécurité et de violation de signature dans les graphiques circulaires.

Examinez l’état de la configuration de chaque type de protection dans le tableau récapitulatif du pare-feu d’application. Pour trier le tableau sur une colonne, cliquez sur l’en-tête de colonne.

Cliquez sur le nœud Sécurité du système Citrix ADM et examinez les paramètres de sécurité du système et les recommandations Citrix pour améliorer l’indice de sécurité de l’application.

Identifier les applications nécessitant une attention immédiate

Les applications qui nécessitent une attention immédiate sont celles qui ont un indice de menace élevé et un indice de sécurité faible.

Dans cet exemple, Microsoft Outlook et Microsoft Lync ont tous deux une valeur d’indice de menace élevée de 6, mais Lync a l’indice de sécurité le plus bas des deux. Par conséquent, les utilisateurs pourraient devoir concentrer leur attention sur Lync avant d’améliorer l’environnement de menace pour Outlook.

Déterminer le nombre d’attaques sur une période donnée

Les utilisateurs peuvent vouloir déterminer combien d’attaques se sont produites sur une application donnée à un moment donné, ou ils peuvent vouloir étudier le taux d’attaque pour une période spécifique.

Sur la page Security Insight, cliquez sur n’importe quelle application et, dans le Résumé de l’application, cliquez sur le nombre de violations. La page Total Violations affiche les attaques sous forme graphique pour une heure, un jour, une semaine et un mois.

Le tableau Résumé de l’application fournit les détails sur les attaques. Certains d’entre eux sont les suivants :

• Heure de l’attaque

• Adresse IP du client d’où provient l’attaque

• Gravité

• Catégorie de violation

• URL d’où provient l’attaque, et d’autres détails.

Alors que les utilisateurs peuvent toujours consulter l’heure de l’attaque dans un rapport horaire, comme le montre l’image ci-dessus, ils peuvent désormais consulter la plage horaire de l’attaque pour les rapports agrégés, même pour les rapports quotidiens ou hebdomadaires. Si les utilisateurs sélectionnent « 1 jour » dans la liste des périodes, le rapport Security Insight affiche toutes les attaques agrégées et l’heure de l’attaque est affichée dans une plage d’une heure. Si les utilisateurs choisissent « 1 semaine » ou « 1 mois », toutes les attaques sont agrégées et l’heure de l’attaque est affichée dans une plage d’un jour.

Obtenir des informations détaillées sur les failles de sécurité

Les utilisateurs peuvent vouloir consulter une liste des attaques sur une application et obtenir des informations sur le type et la gravité des attaques, les actions entreprises par l’instance ADC, les ressources demandées et la source des attaques.

Par exemple, les utilisateurs peuvent vouloir déterminer combien d’attaques sur Microsoft Lync ont été bloquées, quelles ressources ont été demandées et les adresses IP des sources.

Sur le tableau de bord Security Insight, cliquez sur Lync > Total Violations. Dans le tableau, cliquez sur l’icône de filtre dans l’en-tête de colonne Action Taken, puis sélectionnez Blocked.

Pour obtenir des informations sur les ressources demandées, consultez la colonne URL. Pour obtenir des informations sur les sources des attaques, consultez la colonne Client IP.

Afficher les détails de l’expression de journal

Les instances Citrix ADC utilisent des expressions de journal configurées avec le profil de pare-feu d’application pour agir contre les attaques sur une application dans l’entreprise de l’utilisateur. Dans Security Insight, les utilisateurs peuvent afficher les valeurs renvoyées pour les expressions de journal utilisées par l’instance ADC. Ces valeurs incluent l’en-tête de requête, le corps de requête, etc. En plus des valeurs d’expression de journal, les utilisateurs peuvent également afficher le nom de l’expression de journal et le commentaire de l’expression de journal définie dans le profil de pare-feu d’application que l’instance ADC a utilisé pour agir contre l’attaque.

Prérequis :

Assurez-vous que les utilisateurs :

• Configurez les expressions de journal dans le profil de pare-feu d’application. Pour plus d’informations, consultez Pare-feu d’application.

• Activez les paramètres Security Insights basés sur les expressions de journal dans Citrix ADM. Procédez comme suit :

  • Accédez à Analytics > Settings, puis cliquez sur Enable Features for Analytics.

  • Dans la page Enable Features for Analytics, sélectionnez Enable Security Insight sous la section Log Expression Based Security Insight Setting et cliquez sur OK.

Par exemple, les utilisateurs peuvent vouloir afficher les valeurs de l’expression de journal renvoyées par l’instance ADC pour l’action qu’elle a entreprise suite à une attaque sur Microsoft Lync dans l’entreprise de l’utilisateur.

Sur le tableau de bord Security Insight, accédez à Lync > Total Violations. Dans le tableau Récapitulatif de l’application, cliquez sur l’URL pour afficher les détails complets de la violation dans la page Violation Information, y compris le nom de l’expression de journal, le commentaire et les valeurs renvoyées par l’instance ADC pour l’action.

Déterminer l’indice de sécurité avant de déployer la configuration

Des failles de sécurité surviennent après que les utilisateurs ont déployé la configuration de sécurité sur une instance ADC, mais les utilisateurs peuvent vouloir évaluer l’efficacité de la configuration de sécurité avant de la déployer.

Par exemple, les utilisateurs peuvent vouloir évaluer l’indice de sécurité de la configuration pour l’application SAP sur l’instance ADC avec l’adresse IP 10.102.60.27.

Sur le tableau de bord Security Insight, sous Devices, cliquez sur l’adresse IP de l’instance ADC que les utilisateurs ont configurée. Les utilisateurs peuvent voir que l’indice de menace et le nombre total d’attaques sont tous deux de 0. L’indice de menace est un reflet direct du nombre et du type d’attaques sur l’application. Zéro attaque indique que l’application n’est sous aucune menace.

Cliquez sur Sap > Safety Index > SAP_Profile et évaluez les informations d’indice de sécurité qui apparaissent.

Dans le résumé du pare-feu d’application, les utilisateurs peuvent afficher l’état de configuration des différents paramètres de protection. Si un paramètre est défini pour la journalisation ou si un paramètre n’est pas configuré, l’application se voit attribuer un indice de sécurité inférieur.

Violations de sécurité

Afficher les détails des violations de sécurité des applications

Les applications web exposées à Internet sont devenues considérablement plus vulnérables aux attaques. Citrix ADM permet aux utilisateurs de visualiser les détails des violations exploitables pour protéger les applications contre les attaques. Accédez à Security > Security Violations pour une solution à panneau unique afin de :

• Accéder aux violations de sécurité des applications en fonction de leurs catégories telles que Network, Bot et WAF

• Prendre des mesures correctives pour sécuriser les applications

Pour afficher les violations de sécurité dans Citrix ADM, assurez-vous que :

• Les utilisateurs disposent d’une licence premium pour l’instance Citrix ADC (pour les violations WAF et BOT).

• Les utilisateurs ont appliqué une licence sur les serveurs virtuels d’équilibrage de charge ou de commutation de contenu (pour WAF et BOT). Pour plus d’informations, reportez-vous à : Gérer les licences sur les serveurs virtuels.

• Les utilisateurs activent davantage de paramètres. Pour plus d’informations, consultez la procédure disponible dans la section Configuration de la documentation produit Citrix : Configuration.

Catégories de violations

Citrix ADM permet aux utilisateurs d’afficher les violations suivantes :

** - Les utilisateurs doivent configurer le paramètre de prise de contrôle de compte dans Citrix ADM. Voir le prérequis mentionné dans Prise de contrôle de compte : Prise de contrôle de compte.

Outre ces violations, les utilisateurs peuvent également consulter les violations Security Insight et Bot Insight suivantes, respectivement dans les catégories WAF et Bot :

Configuration

Les utilisateurs doivent activer Advanced Security Analytics et définir Web Transaction Settings sur All pour afficher les violations suivantes dans Citrix ADM :

• Transactions de téléchargement inhabituellement élevées (WAF)

• Transactions de téléchargement inhabituellement élevées (WAF)

• Adresses IP uniques excessives (WAF)

• Prise de contrôle de compte (BOT)

Pour les autres violations, assurez-vous que Metrics Collector est activé. Par défaut, Metrics Collector est activé sur l’instance Citrix ADC. Pour plus d’informations, consultez : Configurer Intelligent App Analytics.

Activer Advanced Security Analytics

• Accédez à Networks > Instances > Citrix ADC, et sélectionnez le type d’instance. Par exemple, MPX.

• Sélectionnez l’instance Citrix ADC et, dans la liste Select Action, sélectionnez Configure Analytics.

• Sélectionnez le serveur virtuel et cliquez sur Enable Analytics.

• Dans la fenêtre Enable Analytics :

  • Sélectionnez Web Insight. Une fois que les utilisateurs ont sélectionné Web Insight, l’option en lecture seule Advanced Security Analytics est automatiquement activée.

  Remarque : L’option Analyse de sécurité avancée s’affiche uniquement pour les instances ADC sous licence premium.

  • Sélectionnez Logstream comme mode de transport

  • L’expression est vraie par défaut

  • Cliquez sur OK

Activer les paramètres de transaction Web

• Accédez à Analytics > Settings.

La page Paramètres s’affiche.

• Cliquez sur Activer les fonctionnalités pour l’analyse.

• Sous Paramètres de transaction Web, sélectionnez Tout.

• Cliquez sur Ok.

Tableau de bord des violations de sécurité

Dans le tableau de bord des violations de sécurité, les utilisateurs peuvent afficher :

• Nombre total de violations sur toutes les instances et applications ADC. Le nombre total de violations est affiché en fonction de la durée sélectionnée.

• Nombre total de violations par catégorie.

• Nombre total d’ADC affectés, nombre total d’applications affectées et principales violations basées sur le nombre total d’occurrences et les applications affectées.

Détails des violations

Pour chaque violation, Citrix ADM surveille le comportement pendant une durée spécifique et détecte les violations pour les comportements inhabituels. Cliquez sur chaque onglet pour afficher les détails de la violation. Les utilisateurs peuvent afficher des détails tels que :

• Le nombre total d’occurrences, la dernière occurrence et le nombre total d’applications affectées

• Sous les détails de l’événement, les utilisateurs peuvent afficher :

  • L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Le graphique indiquant les violations.

  Faites glisser et sélectionnez sur le graphique qui liste les violations pour affiner la recherche de violations.

  

  Cliquez sur Réinitialiser le zoom pour réinitialiser le résultat du zoom

  • Actions recommandées qui suggèrent aux utilisateurs de résoudre le problème

  • Autres détails de violation tels que l’heure de l’incident de violence et le message de détection

Bot Insight

Utilisation de Bot Insight dans Citrix ADM

Une fois que les utilisateurs ont configuré la gestion des bots dans Citrix ADC, ils doivent activer Bot Insight sur les serveurs virtuels pour afficher les informations dans Citrix ADM.

Pour activer Bot Insight :

• Accédez à Réseaux > Instances > Citrix ADC et sélectionnez le type d’instance. Par exemple, VPX.

• Sélectionnez l’instance et, dans la liste Sélectionner une action, sélectionnez Configurer l’analyse.

• Sélectionnez le serveur virtuel et cliquez sur Activer l’analyse.

• Dans la fenêtre Activer l’analyse :

  • Sélectionnez Bot Insight

  • Sous Option avancée, sélectionnez Logstream.

  

  • Cliquez sur OK.

Après avoir activé Bot Insight, accédez à Analyse > Sécurité > Bot Insight.

1. Liste temporelle pour afficher les détails des bots

2. Faites glisser le curseur pour sélectionner une plage horaire spécifique et cliquez sur Go pour afficher les résultats personnalisés

3. Nombre total d’instances affectées par les bots

4. Serveur virtuel pour l’instance sélectionnée avec le nombre total d’attaques de bots

   • Bots totaux – Indique le nombre total d’attaques de bots (incluant toutes les catégories de bots) détectées pour le serveur virtuel.

   • Utilisateurs humains totaux – Indique le nombre total d’utilisateurs humains accédant au serveur virtuel.

   • Ratio Bots/Humains – Indique le ratio entre les utilisateurs humains et les bots accédant au serveur virtuel.

   • Bots de signature, Bots par empreinte digitale, Bots basés sur le débit, Bots de réputation IP, Bots de liste d’autorisation et Bots de liste de blocage – Indique le nombre total d’attaques de bots survenues en fonction de la catégorie de bot configurée. Pour plus d’informations sur la catégorie de bot, consultez : Configurer les techniques de détection de bots dans Citrix ADC.

5. Cliquez sur > pour afficher les détails des bots sous forme de graphique.

Afficher l’historique des événements

Les utilisateurs peuvent consulter les mises à jour des signatures de bots dans l’Historique des événements, lorsque :

• De nouvelles signatures de bots sont ajoutées dans les instances Citrix ADC.

• Les signatures de bots existantes sont mises à jour dans les instances Citrix ADC.

Les utilisateurs peuvent sélectionner la durée dans la page d’analyse des bots pour consulter l’historique des événements.

Le diagramme suivant montre comment les signatures de bot sont récupérées depuis le cloud AWS, mises à jour sur Citrix ADC et comment afficher le résumé de la mise à jour des signatures sur Citrix ADM.

1. Le planificateur de mise à jour automatique des signatures de bot récupère le fichier de mappage depuis l’URI AWS.

2. Vérifie les dernières signatures dans le fichier de mappage avec les signatures existantes dans l’appliance ADC.

3. Télécharge les nouvelles signatures depuis AWS et vérifie l’intégrité des signatures.

4. Met à jour les signatures de bot existantes avec les nouvelles signatures dans le fichier de signatures de bot.

5. Génère une alerte SNMP et envoie le résumé de la mise à jour des signatures à Citrix ADM.

Afficher les bots

Cliquez sur le serveur virtuel pour afficher le Résumé de l’application

1. Fournit les détails du Résumé de l’application, tels que :

   • RPS moyen – Indique le nombre moyen de requêtes de transaction de bot par seconde (RPS) reçues sur les serveurs virtuels.

   • Bots par gravité – Indique les transactions de bot les plus élevées survenues en fonction de la gravité. La gravité est classée en fonction de Critique, Élevée, Moyenne et Faible.

   Par exemple, si les serveurs virtuels ont 11770 bots de gravité élevée et 1550 bots de gravité critique, alors Citrix ADM affiche Critique 1,55 K sous Bots par gravité.

   • Catégorie de bot la plus importante – Indique les attaques de bot les plus élevées en fonction de la catégorie de bot.

   Par exemple, si les serveurs virtuels ont 8000 bots bloqués, 5000 bots autorisés et 10000 bots ayant dépassé la limite de débit, Citrix ADM affiche Limite de débit dépassée 10 K sous Catégorie de bot la plus importante.

   • Source géographique la plus importante – Indique les attaques de bot les plus élevées en fonction d’une région.

   Par exemple, si les serveurs virtuels ont 5000 attaques de bot à Santa Clara, 7000 attaques de bot à Londres et 9000 attaques de bot à Bangalore, Citrix ADM affiche Bangalore 9 K sous Source géographique la plus importante.

   • Trafic de bot moyen en % – Indique le rapport bot humain.

2. Affiche la gravité des attaques de bot en fonction des emplacements dans la vue cartographique

3. Affiche les types d’attaques de bot (bonnes, mauvaises et toutes)

4. Affiche le total des attaques de bot ainsi que les actions configurées correspondantes. Par exemple, si vous avez configuré :

   • Plage d’adresses IP (192.140.14.9 à 192.140.14.254) comme bots de liste de blocage et sélectionné Supprimer comme action pour ces plages d’adresses IP

   • Plage d’adresses IP (192.140.15.4 à 192.140.15.254) comme bots de liste de blocage et sélectionné de créer un message de journal comme action pour ces plages d’adresses IP

     Dans ce scénario, Citrix ADM affiche :

     • Total des bots bloqués

     • Total des bots sous Supprimé

     • Total des bots sous Journal

Afficher les bots CAPTCHA

Sur les pages web, les CAPTCHA sont conçus pour identifier si le trafic entrant provient d’un humain ou d’un bot automatisé. Pour afficher les activités CAPTCHA dans Citrix ADM, les utilisateurs doivent configurer CAPTCHA comme une action de bot pour les techniques de détection de réputation IP et d’empreinte digitale de l’appareil dans une instance Citrix ADC. Pour plus d’informations, consultez : Configurer la gestion des bots.

Voici les activités CAPTCHA que Citrix ADM affiche dans Bot insight :

• Tentatives de CAPTCHA dépassées – Indique le nombre maximal de tentatives de CAPTCHA effectuées après des échecs de connexion

• Client CAPTCHA mis en sourdine – Indique le nombre de requêtes client qui sont abandonnées ou redirigées parce que ces requêtes ont été détectées comme de mauvais bots plus tôt avec le défi CAPTCHA

• Humain – Indique les entrées CAPTCHA effectuées par les utilisateurs humains

• Réponse CAPTCHA invalide – Indique le nombre de réponses CAPTCHA incorrectes reçues du bot ou de l’humain, lorsque Citrix ADC envoie un défi CAPTCHA

Afficher les pièges à bots

Pour afficher les pièges à bots dans Citrix ADM, vous devez configurer le piège à bots dans l’instance Citrix ADC. Pour plus d’informations, consultez : Configurer la gestion des bots.

Pour identifier le piège à bots, un script est activé sur la page web et ce script est caché aux humains, mais pas aux bots. Citrix ADM identifie et signale les pièges à bots lorsque ce script est accédé par des bots.

Cliquez sur le serveur virtuel et sélectionnez Zero Pixel Request

Afficher les détails du bot

Pour plus de détails, cliquez sur le type d’attaque de bot sous Catégorie de bot.

Les détails tels que l’heure de l’attaque et le nombre total d’attaques de bots pour la catégorie de captcha sélectionnée sont affichés.

Les utilisateurs peuvent également faire glisser le graphique à barres pour sélectionner la plage horaire spécifique à afficher avec les attaques de bots.

Pour obtenir des informations supplémentaires sur l’attaque de bot, cliquez pour développer.

• Adresse IP de l’instance – Indique l’adresse IP de l’instance Citrix ADC

• Bots totaux – Indique le nombre total d’attaques de bots survenues pour cette période spécifique

• URL de la requête HTTP – Indique l’URL configurée pour le rapport de captcha

• Code pays – Indique le pays où l’attaque de bot a eu lieu

• Région – Indique la région où l’attaque de bot a eu lieu

• Nom du profil – Indique le nom du profil que les utilisateurs ont fourni lors de la configuration

Recherche avancée

Les utilisateurs peuvent également utiliser la zone de texte de recherche et la liste de durée, où ils peuvent afficher les détails des bots selon leurs besoins. Lorsque les utilisateurs cliquent sur la zone de recherche, celle-ci leur propose la liste de suggestions de recherche suivante.

• Adresse IP de l’instance – Adresse IP de l’instance Citrix ADC

• Client-IP – Adresse IP du client

• Bot-Type – Type de bot tel que Bon ou Mauvais

• Severity – Gravité de l’attaque de bot

• Action-Taken – Action entreprise après l’attaque de bot, telle que Supprimer, Aucune action, Rediriger

• Bot-Category – Catégorie de l’attaque de bot, telle que liste de blocage, liste d’autorisation, empreinte digitale, et ainsi de suite. En fonction d’une catégorie, les utilisateurs peuvent y associer une action de bot.

• Bot-Detection – Types de détection de bot (liste de blocage, liste d’autorisation, et ainsi de suite) que les utilisateurs ont configurés sur l’instance Citrix ADC

• Location – Région/pays où l’attaque de bot s’est produite

• Request-URL – URL qui contient les attaques de bot possibles

Les utilisateurs peuvent également utiliser des opérateurs dans les requêtes de recherche utilisateur pour affiner la portée de la recherche. Par exemple, si les utilisateurs souhaitent afficher tous les bots malveillants :

• Cliquez sur la zone de recherche et sélectionnez Bot-Type

• Cliquez à nouveau sur la zone de recherche et sélectionnez l’opérateur =

• Cliquez à nouveau sur la zone de recherche et sélectionnez Mauvais

• Cliquez sur Rechercher pour afficher les résultats

Détails de la violation de bot

Connexions client excessives

Lorsqu’un client tente d’accéder à l’application web, la requête du client est traitée dans l’appliance Citrix ADC, au lieu de se connecter directement au serveur. Le trafic web comprend des bots, et les bots peuvent effectuer diverses actions à un rythme plus rapide qu’un humain.

À l’aide de l’indicateur Connexions client excessives, les utilisateurs peuvent analyser les scénarios où une application reçoit un nombre anormalement élevé de connexions client via des bots.

Sous Détails de l’événement, les utilisateurs peuvent afficher :

• L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

• Le graphique indiquant toutes les violations

• L’heure de survenance de la violation

• Le message de détection de la violation, indiquant le nombre total d’adresses IP effectuant des transactions avec l’application

• La plage d’adresses IP acceptée que l’application peut recevoir

Prise de contrôle de compte

Remarque : Assurez-vous que les utilisateurs activent les options d’analyse de sécurité avancée et de transactions web. Pour plus d’informations, consultez Configuration : Configuration.

Certains bots malveillants peuvent voler les identifiants des utilisateurs et effectuer divers types de cyberattaques. Ces bots malveillants sont connus sous le nom de mauvais bots. Il est essentiel d’identifier les mauvais bots et de protéger l’appliance utilisateur contre toute forme d’attaques de sécurité avancées.

Prérequis

Les utilisateurs doivent configurer les paramètres de prise de contrôle de compte dans Citrix ADM.

• Accédez à Analyse > Paramètres > Violations de sécurité

• Cliquez sur Ajouter

• Sur la page Ajouter une application, spécifiez les paramètres suivants :

  • Application - Sélectionnez le serveur virtuel dans la liste.

  • Méthode - Sélectionnez le type de méthode HTTP dans la liste. Les options disponibles sont GET, PUSH, POST et UPDATE.

  • URL de connexion et code de réponse de succès - Spécifiez l’URL de l’application web et le code d’état HTTP (par exemple, 200) pour lequel les utilisateurs souhaitent que Citrix ADM signale la violation de prise de contrôle de compte par des robots malveillants.

  • Cliquez sur Ajouter.

Une fois que les utilisateurs ont configuré les paramètres, à l’aide de l’indicateur Prise de contrôle de compte, ils peuvent analyser si des robots malveillants ont tenté de prendre le contrôle du compte utilisateur, en effectuant plusieurs requêtes avec des informations d’identification.

Sous Détails de l’événement, les utilisateurs peuvent afficher :

• L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

• Le graphique indiquant toutes les violations

• L’heure de survenance de la violation

• Le message de détection de la violation, indiquant l’activité totale de connexion échouée inhabituelle, les connexions réussies et les connexions échouées

• L’adresse IP du bot malveillant. Cliquez pour afficher les détails tels que l’heure, l’adresse IP, le nombre total de connexions réussies, le nombre total de connexions échouées et le nombre total de requêtes effectuées à partir de cette adresse IP.

Volume de téléversement inhabituellement élevé

Le trafic web comprend également des données traitées pour le téléversement. Par exemple, si la moyenne des données téléversées par jour par un utilisateur est de 500 Mo et que les utilisateurs téléversent 2 Go de données, cela peut être considéré comme un volume de données téléversées inhabituellement élevé. Les bots sont également capables de traiter le téléversement de données plus rapidement que les humains.

À l’aide de l’indicateur Volume de téléversement inhabituellement élevé, les utilisateurs peuvent analyser les scénarios anormaux de téléversement de données vers l’application par le biais de bots.

Sous Détails de l’événement, les utilisateurs peuvent afficher :

• L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

• Le graphique indiquant toutes les violations

• L’heure de survenance de la violation

• Le message de détection de la violation, indiquant le volume total de données téléversées traitées

• La plage acceptée de données de téléversement vers l’application

Volume de téléchargement inhabituellement élevé

De manière similaire à un volume de téléversement élevé, les bots peuvent également effectuer des téléchargements plus rapidement que les humains.

À l’aide de l’indicateur Volume de téléchargement anormalement élevé, les utilisateurs peuvent analyser les scénarios anormaux de données de téléchargement depuis l’application via des bots.

Sous Détails de l’événement, les utilisateurs peuvent afficher :

• L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

• Le graphique indiquant toutes les violations

• L’heure de survenance de la violation

• Le message de détection de la violation, indiquant le volume total de données de téléchargement traitées

• La plage acceptée de données de téléchargement depuis l’application

Taux de requêtes anormalement élevé

Les utilisateurs peuvent contrôler le trafic entrant et sortant d’une application. Une attaque de bot peut entraîner un taux de requêtes anormalement élevé. Par exemple, si les utilisateurs configurent une application pour autoriser 100 requêtes/minute et qu’ils observent 350 requêtes, il pourrait s’agir d’une attaque de bot.

À l’aide de l’indicateur Taux de requêtes anormalement élevé, les utilisateurs peuvent analyser le taux de requêtes inhabituel reçu par l’application.

Sous Détails de l’événement, les utilisateurs peuvent afficher :

• L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

• Le graphique indiquant toutes les violations

• L’heure de l’occurrence de la violation

• Le message de détection de la violation, indiquant le nombre total de requêtes reçues et le pourcentage de requêtes excessives reçues par rapport aux requêtes attendues

• La plage acceptée du taux de requêtes attendu de l’application

Cas d’utilisation

Bot

Parfois, le trafic web entrant est composé de bots et la plupart des organisations subissent des attaques de bots. Les applications web et mobiles sont des moteurs de revenus importants pour les entreprises, et la plupart d’entre elles sont menacées par des cyberattaques avancées, telles que les bots. Un bot est un programme logiciel qui exécute automatiquement certaines actions de manière répétée et à un rythme beaucoup plus rapide qu’un humain. Les bots peuvent interagir avec des pages web, soumettre des formulaires, exécuter des actions, analyser des textes ou télécharger du contenu. Ils peuvent accéder à des vidéos, publier des commentaires et tweeter sur les plateformes de médias sociaux. Certains bots, connus sous le nom de chatbots, peuvent tenir des conversations de base avec des utilisateurs humains. Un bot qui fournit un service utile, tel que le service client, le chat automatisé et les robots d’exploration de moteurs de recherche, est un bon bot. En même temps, un bot qui peut extraire ou télécharger du contenu d’un site web, voler des identifiants d’utilisateur, spammer du contenu et effectuer d’autres types de cyberattaques est un mauvais bot. Avec un grand nombre de mauvais bots effectuant des tâches malveillantes, il est essentiel de gérer le trafic de bots et de protéger les applications web des utilisateurs contre les attaques de bots. En utilisant la gestion des bots Citrix, les utilisateurs peuvent détecter le trafic de bots entrant et atténuer les attaques de bots pour protéger les applications web des utilisateurs. La gestion des bots Citrix aide à identifier les mauvais bots et à protéger l’appliance de l’utilisateur contre les attaques de sécurité avancées. Elle détecte les bons et les mauvais bots et identifie si le trafic entrant est une attaque de bot. En utilisant la gestion des bots, les utilisateurs peuvent atténuer les attaques et protéger les applications web des utilisateurs.

La gestion des bots Citrix ADC offre les avantages suivants :

• Défend contre les bots, les scripts et les kits d’outils. Fournit une atténuation des menaces en temps réel à l’aide d’une défense basée sur des signatures statiques et de l’empreinte numérique des appareils.

• Neutralise les attaques automatisées de base et avancées. Prévient les attaques, telles que les DDoS de couche application, le password spraying, le password stuffing, les extracteurs de prix et les extracteurs de contenu.

• Protège les API et les investissements des utilisateurs. Protège les API des utilisateurs contre les utilisations abusives non justifiées et protège les investissements d’infrastructure contre le trafic automatisé.

Voici quelques cas d’utilisation où les utilisateurs peuvent bénéficier du système de gestion des bots Citrix :

• Attaque par force brute lors de la connexion. Un portail web gouvernemental est constamment attaqué par des bots tentant des connexions par force brute. L’organisation découvre l’attaque en examinant les journaux web et en constatant que des utilisateurs spécifiques sont attaqués à plusieurs reprises avec des tentatives de connexion rapides et des mots de passe incrémentés à l’aide d’une approche d’attaque par dictionnaire. La loi les oblige à se protéger et à protéger leurs utilisateurs. En déployant la gestion des bots Citrix, ils peuvent arrêter les connexions par force brute en utilisant l’empreinte numérique des appareils et les techniques de limitation de débit.

• Bloquer les mauvais bots et identifier les bots inconnus par empreinte numérique. Une entité web reçoit 100 000 visiteurs chaque jour. Elle doit mettre à niveau l’infrastructure sous-jacente et dépense une fortune. Lors d’un audit récent, l’équipe a découvert que 40 % du trafic provenait de bots, qui extrayaient du contenu, collectaient des actualités, vérifiaient des profils d’utilisateurs, et bien plus encore. Ils veulent bloquer ce trafic pour protéger leurs utilisateurs et réduire leurs coûts d’hébergement. En utilisant la gestion des bots, ils peuvent bloquer les mauvais bots connus et identifier par empreinte numérique les bots inconnus qui assaillent leur site. En bloquant ces bots, ils peuvent réduire le trafic de bots de 90 %.

• Autoriser les bons bots. Les « bons » bots sont conçus pour aider les entreprises et les consommateurs. Ils existent depuis le début des années 1990, lorsque les premiers bots de moteurs de recherche ont été développés pour explorer Internet. Google, Yahoo et Bing n’existeraient pas sans eux. D’autres exemples de bons bots, principalement axés sur le consommateur, incluent :

  • Les chatbots (également appelés chatterbots, bots intelligents, talk bots, bots de messagerie instantanée, bots sociaux, bots conversationnels) interagissent avec les humains par le texte ou le son. L’une des premières utilisations textuelles a été pour le service client en ligne et les applications de messagerie texte comme Facebook Messenger et iPhone Messages. Siri, Cortana et Alexa sont des chatbots ; mais aussi les applications mobiles qui permettent aux utilisateurs de commander un café et de leur indiquer quand il sera prêt, de regarder des bandes-annonces de films et de trouver les horaires des cinémas locaux, ou d’envoyer aux utilisateurs une photo du modèle de voiture et de la plaque d’immatriculation lorsqu’ils demandent un service de transport.

  • Les robots d’achat parcourent Internet à la recherche des prix les plus bas pour les articles recherchés par les utilisateurs.

  • Les robots de surveillance vérifient la santé (disponibilité et réactivité) des sites web. Downdetector est un exemple de site indépendant qui fournit des informations d’état en temps réel, y compris les pannes, des sites web et d’autres types de services. Pour plus d’informations sur Downdetector, consultez : Downdetector.

Détection des bots

Configuration de la gestion des bots à l’aide de l’interface graphique de Citrix ADC

Les utilisateurs peuvent configurer la gestion des bots Citrix ADC en activant d’abord la fonctionnalité sur l’appliance. Une fois activée, les utilisateurs peuvent créer une politique de bot pour évaluer le trafic entrant comme étant un bot et envoyer le trafic au profil de bot. Ensuite, les utilisateurs créent un profil de bot, puis lient le profil à une signature de bot. Alternativement, les utilisateurs peuvent également cloner le fichier de signature de bot par défaut et utiliser ce fichier de signature pour configurer les techniques de détection. Après avoir créé le fichier de signature, les utilisateurs peuvent l’importer dans le profil de bot. Toutes ces étapes sont effectuées dans la séquence ci-dessous :

1. Activer la fonctionnalité de gestion des bots

2. Configurer les paramètres de gestion des bots

3. Cloner la signature de bot par défaut de Citrix

4. Importer la signature de bot Citrix

5. Configurer les paramètres de signature de bot

6. Créer un profil de bot

7. Créer une politique de bot

Activer la fonctionnalité de gestion des bots

Suivez les étapes ci-dessous pour activer la gestion des bots :

1. Dans le volet de navigation, développez Système, puis cliquez sur Paramètres.

2. Sur la page Configurer les fonctionnalités avancées, cochez la case Gestion des bots.

3. Cliquez sur OK, puis cliquez sur Fermer.

Cloner le fichier de signature de bot

Suivez les étapes ci-dessous pour cloner le fichier de signature de bot :

1. Accédez à Sécurité > Gestion des bots Citrix et Signatures.

2. Sur la page Signatures de gestion des bots Citrix, sélectionnez l’enregistrement des signatures de bot par défaut et cliquez sur Cloner.

3. Sur la page Cloner la signature de bot, saisissez un nom et modifiez les données de signature.

4. Cliquez sur Créer.

Importer le fichier de signature de bot

Si les utilisateurs ont leur propre fichier de signature, ils peuvent l’importer en tant que fichier, texte ou URL. Suivez les étapes suivantes pour importer le fichier de signature de bot :

• Accédez à Sécurité > Gestion des bots Citrix et Signatures.

• Sur la page Signatures de gestion des bots Citrix, importez le fichier en tant qu’URL, fichier ou texte.

• Cliquez sur Continuer.

• Sur la page Importer la signature de gestion des bots Citrix, définissez les paramètres suivants.

  • Nom. Nom du fichier de signature de bot.

  • Commentaire. Brève description du fichier importé.

  • Écraser. Cochez la case pour permettre l’écrasement des données lors de la mise à jour du fichier.

  • Données de signature. Modifier les paramètres de signature

• Cliquez sur Terminé.

Réputation IP

Configurer la réputation IP à l’aide de l’interface graphique de Citrix ADC

Cette configuration est un prérequis pour la fonctionnalité de réputation IP des bots. La technique de détection permet aux utilisateurs d’identifier toute activité malveillante provenant d’une adresse IP entrante. Dans le cadre de la configuration, nous définissons différentes catégories de bots malveillants et associons une action de bot à chacune d’elles. Suivez les étapes ci-dessous pour configurer la technique de réputation IP.

• Accédez à Sécurité > Gestion des bots Citrix > Profils.

• Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier de signature et cliquez sur Modifier.

• Sur la page Profil de gestion des bots Citrix, accédez à la section Paramètres de signature et cliquez sur Réputation IP.

• Dans la section Réputation IP, définissez les paramètres suivants :

  • Activé. Cochez la case pour valider le trafic de bots entrant dans le cadre du processus de détection.

  • Configurer les catégories. Les utilisateurs peuvent utiliser la technique de réputation IP pour le trafic de bots entrant sous différentes catégories. En fonction de la catégorie configurée, les utilisateurs peuvent bloquer ou rediriger le trafic de bots. Cliquez sur Ajouter pour configurer une catégorie de bots malveillants.

  • Dans la page Configurer la liaison de réputation IP du profil de gestion des bots Citrix, définissez les paramètres suivants :

    • Catégorie. Sélectionnez une catégorie de bots malveillants dans la liste. Associez une action de bot basée sur la catégorie.

    • Activé. Cochez la case pour valider la détection de signature de réputation IP.

    • Action de bot. En fonction de la catégorie configurée, les utilisateurs peuvent attribuer aucune action, bloquer, rediriger ou une action CAPTCHA.

    • Journal. Cochez la case pour stocker les entrées de journal.

    • Message du journal. Brève description du journal.

    • Commentaires. Brève description de la catégorie de bot.

• Cliquez sur OK.

• Cliquez sur Mettre à jour.

• Cliquez sur Terminé.

Mise à jour automatique des signatures de bots

La technique de signature statique de bot utilise une table de recherche de signatures avec une liste de bons bots et de mauvais bots. Les bots sont classés en fonction de la chaîne d’agent utilisateur et des noms de domaine. Si la chaîne d’agent utilisateur et le nom de domaine dans le trafic de bot entrant correspondent à une valeur dans la table de recherche, une action de bot configurée est appliquée. Les mises à jour des signatures de bot sont hébergées sur le cloud AWS et la table de recherche de signatures communique avec la base de données AWS pour les mises à jour de signatures. Le planificateur de mise à jour automatique des signatures s’exécute toutes les heures pour vérifier la base de données AWS et met à jour la table de signatures dans l’appliance ADC.

L’URL de mise à jour automatique du mappage des signatures de bot pour configurer les signatures est : Mappage des signatures de bot.

Remarque : Les utilisateurs peuvent également configurer un serveur proxy et mettre à jour périodiquement les signatures du cloud AWS vers l’appliance ADC via le proxy. Pour la configuration du proxy, les utilisateurs doivent définir l’adresse IP et l’adresse de port du proxy dans les paramètres du bot.

Configurer la mise à jour automatique des signatures de bot

Pour configurer la mise à jour automatique des signatures de bot, procédez comme suit :

Activer la mise à jour automatique des signatures de bot

Les utilisateurs doivent activer l’option de mise à jour automatique dans les paramètres du bot sur l’appliance ADC.

À l’invite de commandes, tapez :

set bot settings –signatureAutoUpdate ACTIVÉ

Configurer la mise à jour automatique des signatures de bot à l’aide de l’interface graphique de Citrix ADC

Procédez comme suit pour configurer la mise à jour automatique des signatures de bot :

• Accédez à Sécurité > Gestion des bots Citrix.

• Dans le volet des détails, sous Paramètres, cliquez sur Modifier les paramètres de gestion des bots Citrix.

• Dans Configurer les paramètres de gestion des bots Citrix, sélectionnez la case à cocher Mise à jour automatique des signatures.

• Cliquez sur OK et Fermer.

Pour plus d’informations sur la configuration de la réputation IP à l’aide de l’interface de ligne de commande, consultez : Configure the IP Reputation Feature Using the CLI.

Références

Pour plus d’informations sur l’utilisation des relaxations à grain fin SQL, consultez : SQL Fine Grained Relaxations.

Pour plus d’informations sur la configuration de la vérification d’injection SQL à l’aide de la ligne de commande, consultez : HTML SQL Injection Check.

Pour plus d’informations sur la configuration de la vérification d’injection SQL à l’aide de l’interface graphique, consultez : Using the GUI to Configure the SQL Injection Security Check.

Pour plus d’informations sur l’utilisation de la fonction d’apprentissage avec la vérification d’injection SQL, consultez : Using the Learn Feature with the SQL Injection Check.

Pour plus d’informations sur l’utilisation de la fonction de journalisation avec la vérification d’injection SQL, consultez : Using the Log Feature with the SQL Injection Check.

Pour plus d’informations sur les statistiques des violations d’injection SQL, consultez : Statistics for the SQL Injection Violations.

Pour plus d’informations sur les points forts de la vérification d’injection SQL, consultez : Highlights.

Pour plus d’informations sur les vérifications d’injection SQL XML, consultez : XML SQL Injection Check.

Pour plus d’informations sur l’utilisation des relaxations à grain fin de script intersite, consultez : SQL Fine Grained Relaxations.

Pour plus d’informations sur la configuration du script intersite HTML à l’aide de la ligne de commande, consultez : Using the Command Line to Configure the HTML Cross-Site Scripting Check.

Pour plus d’informations sur la configuration du script intersite HTML à l’aide de l’interface graphique, consultez : Using the GUI to Configure the HTML Cross-Site Scripting Check.

Pour plus d’informations sur l’utilisation de la fonction d’apprentissage avec la vérification de script intersite HTML, consultez : Using the Learn Feature with the HTML Cross-Site Scripting Check.

Pour plus d’informations sur l’utilisation de la fonctionnalité de journalisation avec la vérification de script intersite HTML, consultez : Using the Log Feature with the HTML Cross-Site Scripting Check.

Pour plus d’informations sur les statistiques des violations de script intersite HTML, consultez : Statistics for the HTML Cross-Site Scripting Violations.

Pour plus d’informations sur les points forts du script intersite HTML, consultez : Highlights.

Pour plus d’informations sur le script intersite XML, consultez : XML Cross-Site Scripting Check.

Pour plus d’informations sur l’utilisation de la ligne de commande pour configurer la vérification de sécurité de dépassement de tampon, consultez : Using the Command Line to Configure the Buffer Overflow Security Check.

Pour plus d’informations sur l’utilisation de l’interface graphique pour configurer la vérification de sécurité de dépassement de tampon, consultez : Configure Buffer Overflow Security Check by using the Citrix ADC GUI.

Pour plus d’informations sur l’utilisation de la fonctionnalité de journalisation avec la vérification de sécurité de dépassement de tampon, consultez : Using the Log Feature with the Buffer Overflow Security Check.

Pour plus d’informations sur les statistiques des violations de dépassement de tampon, consultez : Statistics for the Buffer Overflow Violations.

Pour plus d’informations sur les points forts de la vérification de sécurité de dépassement de tampon, consultez : Highlights.

Pour plus d’informations sur l’ajout ou la suppression d’un objet de signature, consultez : Adding or Removing a Signature Object.

Pour plus d’informations sur la création d’un objet de signatures à partir d’un modèle, consultez : To Create a Signatures Object from a Template.

Pour plus d’informations sur la création d’un objet de signatures en important un fichier, consultez : To Create a Signatures Object by Importing a File.

Pour plus d’informations sur la création d’un objet de signatures en important un fichier à l’aide de la ligne de commande, consultez : To Create a Signatures Object by Importing a File using the Command Line.

Pour plus d’informations sur la suppression d’un objet de signatures à l’aide de l’interface graphique, consultez : To Remove a Signatures Object by using the GUI.

Pour plus d’informations sur la suppression d’un objet de signatures à l’aide de la ligne de commande, consultez : To Remove a Signatures Object by using the Command Line.

Pour plus d’informations sur la configuration ou la modification d’un objet de signatures, consultez : Configuring or Modifying a Signatures Object.

Pour plus d’informations sur la mise à jour d’un objet de signature, consultez : Updating a Signature Object.

Pour plus d’informations sur l’utilisation de la ligne de commande pour mettre à jour les signatures du pare-feu d’applications Web à partir de la source, consultez : To Update the Web Application Firewall Signatures from the Source by using the Command Line.

Pour plus d’informations sur la mise à jour d’un objet de signatures à partir d’un fichier au format Citrix, consultez : Updating a Signatures Object from a Citrix Format File.

Pour plus d’informations sur la mise à jour d’un objet de signatures à partir d’un outil d’analyse des vulnérabilités pris en charge, consultez : Updating a Signatures Object from a Supported Vulnerability Scanning Tool.

Pour plus d’informations sur l’intégration des règles Snort, consultez : Snort Rule Integration.

Pour plus d’informations sur la configuration des règles Snort, consultez : Configure Snort Rules.

Pour plus d’informations sur la configuration de la gestion des bots à l’aide de la ligne de commande, consultez : Configure Bot Management.

Pour plus d’informations sur la configuration des paramètres de gestion des bots pour la technique d’empreinte digitale des appareils, consultez : Configure Bot Management Settings for Device Fingerprint Technique.

Pour plus d’informations sur la configuration des listes d’autorisation de bots à l’aide de l’interface graphique de Citrix ADC, consultez : Configure Bot White List by using Citrix ADC GUI.

Pour plus d’informations sur la configuration des listes de blocage de bots à l’aide de l’interface graphique de Citrix ADC, consultez : Configure Bot Black List by using Citrix ADC GUI.

Pour plus d’informations sur la configuration de la gestion des bots, consultez : Configure Bot Management.

Prérequis

Les utilisateurs doivent posséder certaines connaissances préalables avant de déployer une instance Citrix VPX sur Azure :

• Familiarité avec la terminologie Azure et les détails du réseau. Pour plus d’informations, consultez la terminologie Azure ci-dessus.

• Connaissance d’une appliance Citrix ADC. Pour des informations détaillées sur l’appliance Citrix ADC, consultez : Citrix ADC 13.0.

• Connaissance de la mise en réseau Citrix ADC. Voir : Networking.

Prérequis Azure

Cette section décrit les prérequis que les utilisateurs doivent remplir dans Microsoft Azure et Citrix ADM avant de provisionner des instances Citrix ADC VPX.

Ce document suppose ce qui suit :

• Les utilisateurs possèdent un compte Microsoft Azure qui prend en charge le modèle de déploiement Azure Resource Manager.

• Les utilisateurs disposent d’un groupe de ressources dans Microsoft Azure.

Pour plus d’informations sur la création d’un compte et d’autres tâches, consultez la documentation Microsoft Azure : Microsoft Azure Documentation.

Limitations

L’exécution de la solution d’équilibrage de charge Citrix ADC VPX sur ARM impose les limitations suivantes :

• L’architecture Azure ne prend pas en charge les fonctionnalités Citrix ADC suivantes :

  • Clustering

  • IPv6

  • Gratuitous ARP (GARP)

  • Mode L2 (pontage). Les serveurs virtuels transparents sont pris en charge avec L2 (réécriture MAC) pour les serveurs situés dans le même sous-réseau que le SNIP.

  • VLAN balisé

  • Routage dynamique

  • MAC virtuelle

  • USIP

  • Trame Jumbo

• Si les utilisateurs pensent qu’ils pourraient avoir à arrêter et à désallouer temporairement la machine virtuelle Citrix ADC VPX à tout moment, ils doivent attribuer une adresse IP interne statique lors de la création de la machine virtuelle. S’ils n’attribuent pas d’adresse IP interne statique, Azure pourrait attribuer à la machine virtuelle une adresse IP différente à chaque redémarrage, et la machine virtuelle pourrait devenir inaccessible.

• Dans un déploiement Azure, seuls les modèles Citrix ADC VPX suivants sont pris en charge : VPX 10, VPX 200, VPX 1000 et VPX 3000. Pour plus d’informations, consultez la fiche technique de Citrix ADC VPX.

• Si une instance Citrix ADC VPX avec un numéro de modèle supérieur à VPX 3000 est utilisée, le débit réseau pourrait ne pas être le même que celui spécifié par la licence de l’instance. Cependant, d’autres fonctionnalités, telles que le débit SSL et les transactions SSL par seconde, pourraient s’améliorer.

• L’« ID de déploiement » généré par Azure lors du provisionnement de la machine virtuelle n’est pas visible pour l’utilisateur dans ARM. Les utilisateurs ne peuvent pas utiliser l’ID de déploiement pour déployer l’appliance Citrix ADC VPX sur ARM.

• L’instance Citrix ADC VPX prend en charge un débit de 20 Mb/s et les fonctionnalités de l’édition standard lors de son initialisation.

• Pour un déploiement XenApp et XenDesktop®, un serveur virtuel VPN sur une instance VPX peut être configuré dans les modes suivants :

  • Mode de base, où le paramètre de serveur virtuel VPN ICAOnly est défini sur ON. Le mode de base fonctionne entièrement sur une instance Citrix ADC VPX sans licence.

  • Mode Smart-Access, où le paramètre de serveur virtuel VPN ICAOnly est défini sur OFF. Le mode Smart-Access ne fonctionne que pour 5 utilisateurs de session NetScaler AAA sur une instance Citrix ADC VPX sans licence.

Remarque :

Pour configurer la fonctionnalité Smart Control, les utilisateurs doivent appliquer une licence Premium à l’instance Citrix ADC VPX.

Modèles et licences pris en charge par Azure-VPX

Dans un déploiement Azure, seuls les modèles Citrix ADC VPX suivants sont pris en charge : VPX 10, VPX 200, VPX 1000 et VPX 3000. Pour plus d’informations, consultez la fiche technique de Citrix ADC VPX.

Une instance Citrix ADC VPX sur Azure nécessite une licence. Les options de licence suivantes sont disponibles pour les instances Citrix ADC VPX exécutées sur Azure. Les utilisateurs peuvent choisir l’une de ces méthodes pour attribuer des licences aux Citrix ADC provisionnés par Citrix ADM :

• Utilisation des licences ADC présentes dans Citrix ADM : Configurez la capacité groupée, les licences VPX ou les licences de processeur virtuel lors de la création du groupe autoscale™. Ainsi, lorsqu’une nouvelle instance est provisionnée pour un groupe autoscale, le type de licence déjà configuré est automatiquement appliqué à l’instance provisionnée.

  • Capacité groupée : Alloue de la bande passante à chaque instance provisionnée dans le groupe autoscale. Assurez-vous que les utilisateurs disposent de la bande passante nécessaire dans Citrix ADM pour provisionner de nouvelles instances. Pour plus d’informations, consultez : Configurer la capacité groupée.

  Chaque instance ADC du groupe autoscale extrait une licence d’instance et la bande passante spécifiée du pool.

  • Licences VPX : Applique les licences VPX aux instances nouvellement provisionnées. Assurez-vous que les utilisateurs disposent du nombre nécessaire de licences VPX dans Citrix ADM pour provisionner de nouvelles instances.

  Lorsqu’une instance Citrix ADC VPX est provisionnée, l’instance extrait la licence de Citrix ADM. Pour plus d’informations, consultez : Licences d’enregistrement et de retrait de Citrix ADC VPX.

  • Licences de processeur virtuel : Applique les licences de processeur virtuel aux instances nouvellement provisionnées. Cette licence spécifie le nombre de processeurs auxquels une instance Citrix ADC VPX a droit. Assurez-vous que les utilisateurs disposent du nombre nécessaire de processeurs virtuels dans Citrix ADM pour provisionner de nouvelles instances.

Lorsqu’une instance Citrix ADC VPX est provisionnée, l’instance extrait la licence de processeur virtuel de Citrix ADM. Pour plus d’informations, consultez : Licences de processeur virtuel Citrix ADC.

Lorsque les instances provisionnées sont détruites ou déprovisionnées, les licences appliquées sont automatiquement renvoyées à Citrix ADM.

Pour surveiller les licences consommées, accédez à la page Réseaux > Licences.

Utilisation des licences d’abonnement Microsoft Azure : Configurez les licences Citrix ADC disponibles sur Azure Marketplace lors de la création du groupe autoscale. Ainsi, lorsqu’une nouvelle instance est provisionnée pour le groupe autoscale, la licence est obtenue à partir d’Azure Marketplace.

Images de machine virtuelle Azure Citrix ADC prises en charge

Images de machine virtuelle Azure Citrix ADC prises en charge pour le provisionnement

Utilisez l’image de machine virtuelle Azure qui prend en charge un minimum de trois cartes réseau. Le provisionnement de l’instance Citrix ADC VPX est pris en charge uniquement sur les éditions Premium et Advanced. Pour plus d’informations sur les types d’images de machines virtuelles Azure, consultez : Tailles de machines virtuelles à usage général.

Voici les tailles de machines virtuelles recommandées pour le provisionnement :

• Standard_DS3_v2

• Standard_B2ms

• Standard_DS4_v2

Directives d’utilisation des ports

Les utilisateurs peuvent configurer davantage de règles entrantes et sortantes dans le NSG lors de la création de l’instance NetScaler VPX™ ou après le provisionnement de la machine virtuelle. Chaque règle entrante et sortante est associée à un port public et à un port privé.

Avant de configurer les règles NSG, tenez compte des directives suivantes concernant les numéros de port que les utilisateurs peuvent utiliser :

1. L’instance NetScaler VPX réserve les ports suivants. Les utilisateurs ne peuvent pas les définir comme ports privés lorsqu’ils utilisent l’adresse IP publique pour les requêtes provenant d’Internet. Ports 21, 22, 80, 443, 8080, 67, 161, 179, 500, 520, 3003, 3008, 3009, 3010, 3011, 4001, 5061, 9000, 7000. Cependant, si les utilisateurs souhaitent que des services accessibles depuis Internet, tels que le VIP, utilisent un port standard (par exemple, le port 443), ils doivent créer un mappage de port à l’aide du NSG. Le port standard est ensuite mappé à un port différent configuré sur le Citrix ADC VPX pour ce service VIP. Par exemple, un service VIP peut s’exécuter sur le port 8443 sur l’instance VPX mais être mappé au port public 443. Ainsi, lorsque l’utilisateur accède au port 443 via l’IP publique, la requête est dirigée vers le port privé 8443.

2. L’adresse IP publique ne prend pas en charge les protocoles dans lesquels le mappage de port est ouvert dynamiquement, tels que le FTP passif ou l’ALG.

3. La haute disponibilité ne fonctionne pas pour le trafic qui utilise une adresse IP publique (PIP) associée à une instance VPX, au lieu d’une PIP configurée sur l’équilibreur de charge Azure. Pour plus d’informations, consultez : Configurer une configuration haute disponibilité avec une seule adresse IP et une seule carte réseau.

4. Dans un déploiement NetScaler Gateway, les utilisateurs n’ont pas besoin de configurer une adresse SNIP, car le NSIP peut être utilisé comme SNIP lorsqu’aucun SNIP n’est configuré. Les utilisateurs doivent configurer l’adresse VIP en utilisant l’adresse NSIP et un numéro de port non standard. Pour la configuration de rappel sur le serveur back-end, le numéro de port VIP doit être spécifié avec l’URL VIP (par exemple, url: port).

   Remarque :

   • Dans Azure Resource Manager, une instance Citrix ADC VPX est associée à deux adresses IP : une adresse IP publique (PIP) et une adresse IP interne. Alors que le trafic externe se connecte à la PIP, l’adresse IP interne ou le NSIP n’est pas routable. Pour configurer un VIP dans VPX, utilisez l’adresse IP interne (NSIP) et l’un des ports libres disponibles. N’utilisez pas la PIP pour configurer un VIP.

   • Par exemple, si le NSIP d’une instance Citrix ADC VPX est 10.1.0.3 et qu’un port libre disponible est 10022, les utilisateurs peuvent configurer un VIP en fournissant la combinaison 10.1.0.3:10022 (adresse NSIP + port).