高度な概念

AWS 上のシトリックス ADC VPX 展開ガイド

June 16, 2026

寄稿者:

C C

概要

Citrix ADC は、Web、従来のアプリケーション、クラウドネイティブアプリケーションがどこでホストされていても、高品質なユーザーエクスペリエンスを提供するアプリケーション配信およびロードバランシングソリューションです。単一の構成やクラウドにユーザーを縛り付けることなく、さまざまなフォームファクターと展開オプションで提供されます。プールされたキャパシティライセンスにより、クラウド展開間でのキャパシティの移動が可能になります。

サービスおよびアプリケーション配信の揺るぎないリーダーとして、Citrix ADC は世界中の何千ものネットワークに展開され、すべてのエンタープライズおよびクラウドサービスの配信を最適化、保護、制御しています。Webサーバーとデータベースサーバーのすぐ前に展開される Citrix ADC は、高速ロードバランシングとコンテンツスイッチング、HTTP圧縮、コンテンツキャッシュ、SSLアクセラレーション、アプリケーションフローの可視化、強力なアプリケーションファイアウォールを統合された使いやすいプラットフォームに組み合わせています。ネットワークデータを実用的なビジネスインテリジェンスに変換するエンドツーエンドの監視により、SLAの達成が大幅に簡素化されます。Citrix ADC は、プログラミングの専門知識を必要としないシンプルな宣言型ポリシーエンジンを使用してポリシーを定義および管理できます。

シトリックス ADC VPX

Citrix ADC VPX 製品は、さまざまな仮想化プラットフォームやクラウドプラットフォームでホストできる仮想アプライアンスです。

この展開ガイドでは、Amazon Web Services 上の Citrix ADC VPX に焦点を当てています。

アマゾンウェブサービス

Amazon Web Services (AWS) は、Amazon が提供する包括的で進化し続けるクラウドコンピューティングプラットフォームであり、サービスとしてのインフラストラクチャ (IaaS)、サービスとしてのプラットフォーム (PaaS)、およびサービスとしてのパッケージソフトウェア (SaaS) の組み合わせが含まれています。AWS サービスは、コンピューティング能力、データベースストレージ、コンテンツ配信サービスなどのツールを提供します。

AWS は以下の主要サービスを提供しています。

AWS コンピューティングサービス
移行サービス
ストレージ
データベースサービス
管理ツール
セキュリティサービス
アナリティクス
ネットワーキング
メッセージング
開発者ツール
モバイルサービス

AWS用語

このドキュメントで使用されている、ユーザーが熟知しておくべき主要な用語について簡単に説明します。

Elastic Network Interface (ENI) – ユーザーがVirtual Private Cloud (VPC) 内のインスタンスにアタッチできる仮想ネットワークインターフェイス。
Elastic IP (EIP) アドレス – ユーザーがAmazon EC2またはAmazon VPCで割り当て、インスタンスにアタッチした静的なパブリックIPv4アドレス。Elastic IPアドレスは、特定のインスタンスではなく、ユーザーアカウントに関連付けられています。ユーザーのニーズの変化に応じて、簡単に割り当て、アタッチ、デタッチ、解放できるため、弾力性があります。
サブネット – EC2インスタンスをアタッチできるVPCのIPアドレス範囲のセグメント。ユーザーは、セキュリティおよび運用上のニーズに応じてインスタンスをグループ化するためにサブネットを作成できます。
Virtual Private Cloud (VPC) – ユーザーが定義する仮想ネットワーク内でAWSリソースを起動できる、AWSクラウドの論理的に分離されたセクションをプロビジョニングするためのウェブサービス。

このドキュメントで使用されている、ユーザーが熟知しておくべきその他の用語について簡単に説明します。

Amazon Machine Image (AMI) – インスタンス（クラウド内の仮想サーバー）を起動するために必要な情報を提供するマシンイメージ。
Elastic Block Store – AWSクラウドのAmazon EC2インスタンスで使用するための永続的なブロックストレージボリュームを提供します。
Simple Storage Service (S3) – インターネット用のストレージ。開発者がウェブスケールコンピューティングをより簡単にできるように設計されています。
Elastic Compute Cloud (EC2) – クラウドで安全かつサイズ変更可能なコンピューティング容量を提供するウェブサービス。開発者がウェブスケールクラウドコンピューティングをより簡単にできるように設計されています。
Elastic Kubernetes Service (EKS) – Amazon EKS は、ユーザーが独自の Kubernetes コントロールプレーンをセットアップまたは維持することなく、AWS で Kubernetes を簡単に実行できるようにするマネージドサービスです。Amazon EKS は、複数のアベイラビリティゾーンにわたって Kubernetes コントロールプレーンインスタンスを実行し、高可用性を確保します。Amazon EKS は、ユーザーが独自の Kubernetes クラスターをインストールして運用することなく、AWS で Kubernetes を簡単に実行できるようにするマネージドサービスです。
Application Load Balancing (ALB) – Amazon ALB は OSI スタックのレイヤー 7 で動作するため、ホストベースまたはパスベースのいずれであっても、HTTP または HTTPS 接続の要素に基づいてトラフィックをルーティングまたは選択したい場合に利用されます。ALB 接続はコンテキストを認識し、任意の単一変数に基づいて直接リクエストを行うことができます。アプリケーションは、サーバー（オペレーティングシステムまたは仮想化レイヤー）の情報だけでなく、その特有の動作に基づいてロードバランスされます。
Elastic Load Balancing (ALB/ELB/NLB) – Amazon ELB は、複数のアベイラビリティゾーンにある複数の EC2 インスタンスに受信アプリケーショントラフィックを分散します。これにより、ユーザーアプリケーションの耐障害性が向上します。
Network Load Balancing (NLB) – Amazon NLB は OSI スタックのレイヤー 4 以下で動作し、コンテンツタイプ、クッキーデータ、カスタムヘッダー、ユーザーロケーション、アプリケーションの動作など、アプリケーション層のものを考慮するようには設計されていません。これはコンテキストを持たず、転送するパケットに含まれるネットワーク層の情報のみを考慮します。IPアドレスや宛先ポートなどのネットワーク変数に基づいてトラフィックを分散します。
インスタンスタイプ – Amazon EC2 は、さまざまなユースケースに合わせて最適化された幅広いインスタンスタイプを提供します。インスタンスタイプは、CPU、メモリ、ストレージ、ネットワーク容量のさまざまな組み合わせで構成されており、ユーザーはアプリケーションに適したリソースの組み合わせを柔軟に選択できます。
Identity and Access Management (IAM) – AWS における、そのアイデンティティが AWS で何ができるか、何ができないかを決定する許可ポリシーを持つ AWS アイデンティティ。ユーザーは IAM ロールを使用して、EC2 インスタンスで実行されているアプリケーションが AWS リソースに安全にアクセスできるようにすることができます。高可用性セットアップで VPX インスタンスをデプロイするには、IAM ロールが必要です。
インターネットゲートウェイ – ネットワークをインターネットに接続します。ユーザーは、VPC 外の IP アドレスのトラフィックをインターネットゲートウェイにルーティングできます。
キーペア – ユーザーが電子的に身元を証明するためのセキュリティ認証情報のセット。キーペアは秘密鍵と公開鍵で構成されます。
ルートテーブル – ルートテーブルに関連付けられているサブネットから出るトラフィックを制御するルーティングルールのセット。ユーザーは複数のサブネットを単一のルートテーブルに関連付けることができますが、サブネットは一度に1つのルートテーブルにのみ関連付けることができます。
Auto Scale Groups – ユーザー定義のポリシー、スケジュール、ヘルスチェックに基づいて Amazon EC2 インスタンスを自動的に起動または終了するウェブサービス。
CloudFormation – 関連する AWS リソースを単位としてまとめて作成および削除するテンプレートを作成または変更するためのサービス。
Web Application Firewall (WAF) – WAF は、OSI ネットワークモデルのウェブアプリケーション層を保護するセキュリティソリューションとして定義されます。WAF は、保護対象のアプリケーションに依存しません。このドキュメントでは、Citrix WAF によって特に提供されるセキュリティメソッドと機能の解説と評価に焦点を当てています。
ボット – ボットは、ネットワーク（特にインターネット）上で、コンピューターシステムやユーザーと対話してコマンドを実行したり、メッセージに返信したり、ルーチンタスクを実行したりできる自律的なデバイス、プログラム、またはソフトウェアの一部として定義されます。ボットは、インターネット上で反復的なタスクを実行するソフトウェアプログラムです。一部のボットは良いものですが、ウェブサイトやアプリケーションに大きな悪影響を与える可能性のあるものもあります。

AWS 上の Citrix WAF アーキテクチャの例

AWS 上の Citrix WAF の本番環境デプロイメントのアーキテクチャ (/ja-jp/advanced-concepts/media/vpx-aws-appsecurity-deployment-guide/image-vpx-aws-appsecurity-deployment-01.png)

上の画像は、AWS クラウドに Citrix WAF 環境を構築する、デフォルトパラメータを持つ仮想プライベートクラウド (VPC) を示しています。

本番環境のデプロイでは、Citrix WAF 環境に対して以下のパラメータが設定されます。

このアーキテクチャは、AWS CloudFormation テンプレートと AWS クイックスタートガイドの使用を前提としており、これらは次の場所で確認できます: GitHub/AWS-Quickstart/Quickstart-Citrix-ADC-VPX。
AWS のベストプラクティスに従って、2つのアベイラビリティゾーンにまたがり、2つのパブリックサブネットと4つのプライベートサブネットで構成されたVPC。これにより、/16 のクラスレスドメイン間ルーティング (CIDR) ブロック (65,536 個のプライベートIPアドレスを持つネットワーク) を持つ独自の仮想ネットワークがAWS上に提供されます。 *
Citrix WAF の2つのインスタンス (プライマリとセカンダリ) が、それぞれのアベイラビリティゾーンに1つずつ。
3つのセキュリティグループ。各ネットワークインターフェース (管理、クライアント、サーバー) に1つずつあり、関連するインスタンスのトラフィックを制御する仮想ファイアウォールとして機能します。
3つのサブネット。各インスタンスに1つずつ、管理用、クライアント用、バックエンドサーバー用。
VPC にアタッチされたインターネットゲートウェイと、インターネットへのアクセスを許可するためにパブリックサブネットに関連付けられたパブリックサブネットルートテーブル。このゲートウェイは、WAF ホストがトラフィックを送受信するために使用されます。インターネットゲートウェイの詳細については、以下を参照してください: Internet Gateways。 *
5つのルートテーブル。プライマリおよびセカンダリ WAF の両方のクライアントサブネットに関連付けられた1つのパブリックルートテーブル。残りの4つのルートテーブルは、4つのプライベートサブネット (プライマリおよびセカンダリ WAF の管理サブネットとサーバー側サブネット) のそれぞれにリンクしています。 *
WAF の AWS Lambda は、以下の処理を行います。
- HA モードの各アベイラビリティゾーンで2つの WAF を構成する
- サンプル WAF プロファイルを作成し、WAF に関するこの構成をプッシュする
ユーザーが AWS サービスおよびリソースへのアクセスを安全に制御するための AWS Identity and Access Management (IAM)。デフォルトでは、CloudFormation テンプレート (CFT) が必要な IAM ロールを作成します。ただし、ユーザーは Citrix ADC インスタンスに独自の IAM ロールを提供できます。
パブリックサブネットでは、パブリックサブネット内のリソースがアウトバウンドインターネットアクセスを許可するために、2つのマネージドネットワークアドレス変換 (NAT) ゲートウェイを使用します。

注:

既存のVPCにCitrix WAFを展開するCFT WAFテンプレートは、アスタリスクでマークされたコンポーネントをスキップし、既存のVPC構成をユーザーに求めます。

バックエンドサーバーはCFTによって展開されません。

AWSにおけるCitrix WAFの論理フロー

AWSにおけるシトリックス WAFの論理図(/ja-jp/advanced-concepts/media/vpx-aws-appsecurity-deployment-guide/image-vpx-aws-appsecurity-deployment-02.png)

論理フロー

Webアプリケーションファイアウォールは、通常、顧客企業のルーターまたはファイアウォールの背後で、顧客サーバーと顧客ユーザー間のレイヤー3ネットワークデバイスまたはレイヤー2ネットワークブリッジとしてインストールできます。ユーザーが保護したいWebサーバーと、ユーザーがそれらのWebサーバーにアクセスするハブまたはスイッチとの間のトラフィックを傍受できる場所にインストールする必要があります。その後、ユーザーは、Webサーバーに直接ではなくWebアプリケーションファイアウォールにリクエストを送信し、ユーザーに直接ではなくWebアプリケーションファイアウォールに応答を送信するようにネットワークを構成します。Webアプリケーションファイアウォールは、内部ルールセットとユーザーの追加および変更の両方を使用して、そのトラフィックを最終的な宛先に転送する前にフィルタリングします。有害であると検出したアクティビティをブロックまたは無害化し、残りのトラフィックをWebサーバーに転送します。前の画像は、フィルタリングプロセスの概要を示しています。

注:

この図では、受信トラフィックへのポリシーの適用は省略されています。これは、すべてのリクエストを処理するポリシーであるセキュリティ構成を示しています。また、この構成では、シグネチャオブジェクトが構成され、プロファイルに関連付けられており、セキュリティチェックがプロファイルで構成されています。

図に示すように、ユーザーが保護されたWebサイトでURLをリクエストすると、Webアプリケーションファイアウォールはまず、リクエストがシグネチャと一致しないことを確認するためにリクエストを検査します。リクエストがシグネチャと一致する場合、Webアプリケーションファイアウォールはエラーオブジェクト（Webアプリケーションファイアウォールアプライアンスにあり、インポート機能を使用してユーザーが構成できるWebページ）を表示するか、指定されたエラーURL（エラーページ）にリクエストを転送します。

リクエストがシグネチャ検査を通過すると、Webアプリケーションファイアウォールは有効になっているリクエストセキュリティチェックを適用します。リクエストセキュリティチェックは、リクエストがユーザーのWebサイトまたはWebサービスに適しており、脅威となる可能性のあるコンテンツが含まれていないことを確認します。たとえば、セキュリティチェックは、リクエストが予期しないタイプである可能性のある兆候、予期しないコンテンツのリクエスト、または予期しない、あるいは悪意のあるWebフォームデータ、SQLコマンド、スクリプトが含まれているかどうかを検査します。リクエストがセキュリティチェックに失敗した場合、WebアプリケーションファイアウォールはリクエストをサニタイズしてCitrix ADCアプライアンス（またはCitrix ADC仮想アプライアンス）に送り返すか、エラーオブジェクトを表示します。リクエストがセキュリティチェックを通過すると、Citrix ADCアプライアンスに送り返され、Citrix ADCアプライアンスは他の処理を完了し、リクエストを保護されたWebサーバーに転送します。

WebサイトまたはWebサービスがユーザーに応答を送信すると、Webアプリケーションファイアウォールは有効になっている応答セキュリティチェックを適用します。応答セキュリティチェックは、機密性の高い個人情報の漏洩、Webサイトの改ざんの兆候、または存在すべきではないその他のコンテンツについて応答を検査します。応答がセキュリティチェックに失敗した場合、Webアプリケーションファイアウォールは存在すべきではないコンテンツを削除するか、応答をブロックします。応答がセキュリティチェックを通過すると、Citrix ADCアプライアンスに送り返され、Citrix ADCアプライアンスはそれをユーザーに転送します。

コストとライセンス

ユーザーは、AWS展開の実行中に使用されるAWSサービスの費用について責任を負います。この展開に使用できるAWS CloudFormationテンプレートには、ユーザーが必要に応じてカスタマイズできる構成パラメーターが含まれています。インスタンスタイプなど、これらの設定の一部は展開のコストに影響します。コストの見積もりについては、ユーザーは使用している各AWSサービスの料金ページを参照する必要があります。価格は変更される場合があります。

AWS上のCitrix ADC WAFにはライセンスが必要です。Citrix WAFをライセンスするには、ユーザーはライセンスキーをS3バケットに配置し、デプロイメントを起動する際にその場所を指定する必要があります。

注:

ユーザーがBring your own license (BYOL) ライセンスモデルを選択する場合、AppFlow機能が有効になっていることを確認する必要があります。BYOLライセンスの詳細については、AWS Marketplace/Citrix ADC VPX - Customer Licensedを参照してください。

AWS上で動作するCitrix ADC WAFには、以下のライセンスオプションがあります。ユーザーは、スループットなどの単一の要素に基づいてAMI (Amazon Machine Image) を選択できます。

ライセンスモデル: 従量課金制 (PAYG、本番ライセンス用) または自己所有ライセンス (BYOL、顧客ライセンスAMI - Citrix ADC Pooled Capacity用)。Citrix ADC Pooled Capacityの詳細については、Citrix ADC Pooled Capacityを参照してください。
- BYOLには、3つのライセンスモードがあります。
  - Citrix ADC プールキャパシティの構成: Citrix ADC プールキャパシティの構成
  - Citrix ADC VPX チェックイン/チェックアウトライセンス (CICO): Citrix ADC VPX チェックイン/チェックアウトライセンス
  ヒント:
  
  ユーザーがVPX-200、VPX-1000、VPX-3000、VPX-5000、またはVPX-8000アプリケーションプラットフォームタイプでCICOライセンスを選択する場合、ADMライセンスサーバーに同じスループットライセンスが存在することを確認する必要があります。
  - シトリックスADC 仮想CPUライセンス: シトリックスADC 仮想CPUライセンス

注:

ユーザーがVPXインスタンスの帯域幅を動的に変更したい場合、BYOLオプションを選択する必要があります。例えば、Citrix ADC pooled capacityでは、Citrix ADMからライセンスを割り当てたり、インスタンスの最小および最大容量に応じてオンデマンドで再起動なしにCitrix ADCインスタンスからライセンスをチェックアウトしたりできます。再起動が必要となるのは、ライセンスエディションを変更したい場合のみです。

スループット: 200 Mbpsまたは1 Gbps
バンドル: プレミアム

展開オプション

この展開ガイドでは、2つの展開オプションを提供します。

最初のオプションは、クイックスタートガイド形式と以下のオプションを使用して展開することです。
- Citrix WAFを新しいVPCに展開する（エンドツーエンド展開）。このオプションは、VPC、サブネット、セキュリティグループ、およびその他のインフラストラクチャコンポーネントで構成される新しいAWS環境を構築し、その新しいVPCにCitrix WAFを展開します。
- Citrix WAFを既存のVPCに展開する。このオプションは、ユーザーの既存のAWSインフラストラクチャにCitrix WAFをプロビジョニングします。
2番目のオプションは、Citrix ADMを使用してWAF StyleBookを展開することです。

クイックスタートガイドを使用した展開手順

ステップ1：ユーザーAWSアカウントにサインインする

AWSのユーザーアカウントにサインインします: AWS。Amazonアカウントを作成するために必要な権限を持つIAM (Identity and Access Management) ユーザーロールを使用するか（必要な場合）、Amazonアカウントにサインインします。
ナビゲーションバーのリージョンセレクターを使用して、AWSアベイラビリティゾーン間で高可用性を展開するAWSリージョンを選択します。
ユーザーのAWSアカウントが正しく設定されていることを確認してください。詳細については、このドキュメントの「技術要件」セクションを参照してください。

ステップ2：Citrix WAF AMIをサブスクライブする

この展開には、AWS MarketplaceでCitrix WAFのAMIをサブスクライブする必要があります。
ユーザーのAWSアカウントにサインインします。
以下の表のいずれかのリンクを選択して、Citrix WAFの提供ページを開きます。
- ユーザーが以下のステップ3でCitrix WAFをデプロイするためにクイックスタートガイドを起動する際、Citrix WAF Imageパラメーターを使用して、AMIサブスクリプションに一致するバンドルとスループットオプションを選択します。以下のリストは、AMIオプションと対応するパラメーター設定を示しています。VPX AMIインスタンスには、最低2つの仮想CPUと2GBのメモリが必要です。

注:

AMI IDを取得するには、GitHub の AWS Marketplace の Citrix 製品ページを参照してください。

AWS マーケットプレイス AMI
- Citrix ウェブアプリケーションファイアウォール (WAF) - 200 Mbps: Citrix ウェブアプリケーションファイアウォール (WAF) - 200 Mbps
- Citrix Webアプリケーションファイアウォール (WAF) - 1000 Mbps: Citrix Webアプリケーションファイアウォール (WAF) - 1000 Mbps
AMIページで、サブスクライブを続行を選択します。

Citrix ウェブアプリケーションファイアウォール (WAF) 用の AWS Marketplace ページ

ソフトウェア使用の利用規約を確認し、Accept Termsを選択します。

Citrix WAFユーザーライセンス契約の条件に同意する

注:

ユーザーは確認ページを受け取り、アカウント所有者にはメール確認が送信されます。詳細なサブスクリプション手順については、AWS Marketplaceドキュメントの「Getting Started」を参照してください: Getting Started。

サブスクリプションプロセスが完了したら、それ以上の操作を行わずにAWS Marketplaceを終了します。AWS Marketplaceからソフトウェアをプロビジョニングしないでください。ユーザーはクイックスタートガイドを使用してAMIをデプロイします。

ステップ3：AMIをデプロイするためのクイックスタートガイドを起動する

ユーザーのAWSアカウントにサインインし、AWS CloudFormationテンプレートを起動するために以下のいずれかのオプションを選択します。オプションの選択については、このガイドの前のデプロイオプションを参照してください。
- AWS CloudFormation テンプレートのいずれかを使用して、AWS 上の新しい VPC に Citrix VPX をデプロイします。テンプレートは以下にあります。
  - Citrix/Citrix-ADC-AWS-クラウドフォーメーション/テンプレート/高可用性/アベイラビリティゾーン間
  - Citrix/Citrix-ADC-AWS-クラウドフォーメーション/テンプレート/高可用性/同一アベイラビリティゾーン
- AWS Quickstart テンプレートを使用して、AWS 上の新規または既存の VPC に Citrix WAF をデプロイします。詳細はこちらのリンクを参照してください: AWS-Quickstart/Quickstart-Citrix-ADC- WAF

重要:

ユーザーが既存の VPC に Citrix WAF をデプロイする場合、VPC が 2 つの「アベイラビリティーゾーン」にまたがり、各「アベイラビリティーゾーン」に「ワークロードインスタンス」用の 1 つのパブリックサブネットと 2 つのプライベートサブネットがあり、サブネットが「共有」されていないことを確認する必要があります。このデプロイガイドは「共有サブネット」をサポートしていません。「共有 VPC の操作」を参照してください: Working with Shared VPCs。これらのサブネットは、インスタンスがインターネットに公開されることなくパッケージとソフトウェアをダウンロードできるように、ルートテーブルに「NAT ゲートウェイ」が必要です。「NAT ゲートウェイ」の詳細については、「NAT ゲートウェイ」を参照してください: NAT Gateways。サブネットが重複しないように設定してください。

また、ユーザーは、Amazon VPC ドキュメントの「DHCP オプションセット」で説明されているように、DHCP オプションの「ドメイン名オプション」が設定されていることを確認する必要があります: DHCP Options Sets。「クイックスタートガイド」を起動すると、ユーザーは「VPC 設定」の入力を求められます。

各デプロイには約 15 分かかります。
ナビゲーションバーの右上隅に表示されている「AWS リージョン」を確認し、必要に応じて変更します。ここに Citrix WAF の「ネットワークインフラストラクチャ」が構築されます。テンプレートはデフォルトで「米国東部 (オハイオ) リージョン」で起動されます。

注:

このデプロイには Citrix WAF が含まれていますが、これは現在すべての「AWS リージョン」でサポートされているわけではありません。「サポートされているリージョン」の最新リストについては、「AWS サービスエンドポイント」を参照してください: AWS Service Endpoints。

「テンプレートの選択」ページで、「テンプレート URL」のデフォルト設定を維持し、「次へ」を選択します。
「詳細の指定」ページで、ユーザーの都合に合わせて「スタック名」を指定します。テンプレートの「パラメータ」を確認します。入力が必要な「パラメータ」に値を指定します。その他のすべての「パラメータ」については、「デフォルト設定」を確認し、必要に応じてカスタマイズします。
次の表では、「パラメータ」が「カテゴリ」別にリストされ、「デプロイオプション」ごとに個別に説明されています。
新規または既存の VPC に Citrix WAF をデプロイするための「パラメータ」（デプロイオプション 1）
ユーザーがパラメータの確認とカスタマイズを終えたら、「次へ」を選択する必要があります。

新しいVPCにCitrix WAFを展開するためのパラメータ

VPCネットワーク構成

この展開に関する参照情報については、こちらのCFTテンプレートを参照してください: AWS-Quickstart/Quickstart-Citrix-ADC-WAF/Templates。

パラメータラベル (名前)	デフォルト	説明
プライマリ可用性ゾーン (プライマリ可用性ゾーン)	入力が必要です	プライマリCitrix WAF展開の可用性ゾーン
セカンダリ可用性ゾーン (セカンダリ可用性ゾーン)	入力が必要です	セカンダリCitrix WAF展開の可用性ゾーン
仮想プライベートクラウド CIDR (VPCCIDR)	10.0.0.0/16	VPC の CIDR ブロック。x.x.x.x/x の形式の有効な IP CIDR 範囲である必要があります。
リモートからのSSH接続に使用するCIDR IPアドレス (管理) (RestrictedSSHCIDR)	入力が必要です	EC2 インスタンスに SSH 接続できる IP アドレス範囲 (ポート: 22)。

リモートエイチティーティーピーシーアイディーアールアイピーアドレス (クライアント) (RestrictedWebAppCIDR)	0.0.0.0/0	EC2 インスタンスに HTTP 接続できる IP アドレス範囲 (ポート: 80)
リモートエイチティーティーピーシーアイディーアールアイピーアドレス (クライアント) (RestrictedWebAppCIDR)	0.0.0.0/0	EC2 インスタンスに HTTP 接続できる IP アドレス範囲 (ポート: 80)
プライマリ管理プライベートサブネットシーアイディーアール (PrimaryManagementPrivateSubnetCIDR)	10.0.1.0/24	アベイラビリティーゾーン 1 にあるプライマリ管理サブネットの CIDR ブロック。
Primary Management Private IP (PrimaryManagementPrivateIP)	—	プライマリ管理ENIに割り当てられたプライベートIP (最後のオクテットは5から254の間である必要があります)。プライマリ管理サブネットCIDRから取得されます。
Primary Client Public Subnet CIDR (PrimaryClientPublicSubnetCIDR)	10.0.2.0/24	アベイラビリティゾーン1に配置されているプライマリクライアントサブネットのCIDRブロック。
プライマリクライアントプライベートIP (PrimaryClientPrivateIP)	—	プライマリクライアントENIに割り当てられたプライベートIP (最後のオクテットは5から254の間である必要があります)。プライマリクライアントサブネットCIDRからのプライマリクライアントIPから取得されます。
プライマリサーバープライベートサブネットサイダー（プライマリサーバープライベートサブネットサイダー）	10.0.3.0/24	アベイラビリティゾーン1に配置されているプライマリサーバーのCIDRブロック。
プライマリサーバープライベートIP (プライマリサーバープライベートIP)	—	プライマリサーバーENIに割り当てられたプライベートIP (最後のオクテットは5から254の間である必要があります)。プライマリサーバーサブネットCIDRから取得されます。
セカンダリ管理プライベートサブネットCIDR (セカンダリ管理プライベートサブネットCIDR)	10.0.4.0/24	アベイラビリティゾーン2にあるセカンダリ管理サブネットのCIDRブロック。
セカンダリ管理プライベートIPアドレス（セカンダリ管理プライベートIPアドレス）	—	セカンダリ管理ENIに割り当てられたプライベートIP（最後のオクテットは5から254の間である必要があります）。セカンダリ管理サブネットCIDRからセカンダリ管理IPを割り当てます。
セカンダリクライアントパブリックサブネットCIDRブロック (SecondaryClientPublicSubnetCIDR)	10.0.5.0/24	アベイラビリティゾーン2にあるセカンダリクライアントサブネットのCIDRブロック。
セカンダリクライアントプライベートIPアドレス (SecondaryClientPrivateIP)	—	セカンダリクライアントENIに割り当てられたプライベートIP（最後のオクテットは5から254の間である必要があります）。セカンダリクライアントサブネットCIDRからセカンダリクライアントIPを割り当てます。
セカンダリサーバープライベートサブネットシーアイディーアール (SecondaryServerPrivateSubnetCIDR)	10.0.6.0/24	アベイラビリティゾーン2にあるセカンダリサーバーサブネットのCIDRブロック。
Secondary Server Private IP (SecondaryServerPrivateIP)	—	セカンダリサーバーENIに割り当てられたプライベートIP（最後のオクテットは5から254の間である必要があります）。セカンダリサーバーサブネットCIDRからセカンダリサーバーIPを割り当てます。
VPCテナンシー属性 (`VPCTenancy`)	デフォルト	VPCに起動されるインスタンスに許可されるテナンシー。単一の顧客専用のEC2インスタンスを起動するには、専用テナンシーを選択します。

Bastionホストの設定

パラメータラベル（名前）	デフォルト	説明
踏み台ホスト (設定が必須です) (LinuxBastionHostEIP)	いいえ	デフォルトでは、Bastionホストは設定されません。ただし、ユーザーがサンドボックス展開を選択したい場合は、メニューから「はい」を選択すると、パブリックサブネットにEIPを持つLinux Bastion Hostが展開され、ユーザーはプライベートおよびパブリックサブネット内のコンポーネントにアクセスできるようになります。

シトリックスWAFの設定

パラメータラベル（名前）	デフォルト	説明
Key pair name (KeyPairName)	入力が必要です	公開/秘密キーペア。これにより、ユーザーは起動後にユーザーインスタンスに安全に接続できます。これは、ユーザーが希望するAWSリージョンで作成したキーペアです。「技術要件」セクションを参照してください。
シトリックスエーディーシーインスタンスタイプ (CitrixADCInstanceType)	エムフォー・エックスラージ	ADCインスタンスに使用するEC2インスタンスタイプ。選択したインスタンスタイプがAWS Marketplaceで利用可能なインスタンスタイプと一致していることを確認してください。そうでない場合、CFTが失敗する可能性があります。
シトリックスエーディーシーエーエムアイアイディー (CitrixADCImageID)	—	Citrix WAFのデプロイに使用するAWS Marketplace AMI。これは、ユーザーがステップ2でサブスクライブしたAMIと一致している必要があります。
シトリックス ADC VPX IAM ロール (`iam:GetRole`)	—	このテンプレート: AWS-Quickstart/Quickstart-Citrix-ADC-VPX/Templates は、Citrix ADC VPXに必要なIAMロールとインスタンスプロファイルを作成します。空のままにした場合、CFTが必要なIAMロールを作成します。
クライアントパブリックIP (エラスティックIP) (ClientPublicEIP)	いいえ	ユーザーがクライアントネットワークインターフェースにパブリックEIPを割り当てたい場合は、「はい」を選択します。そうでない場合でも、デプロイ後、必要に応じて後から割り当てるオプションがあります。

プールライセンス設定

パラメータラベル（名前）	デフォルト	説明
ADMプールライセンス	いいえ	ライセンスのBYOLオプションを選択する場合は、リストからはいを選択します。これにより、ユーザーはすでに購入済みのライセンスをアップロードできます。
ユーザーは開始する前に、ADMプールライセンスが利用可能であることを確認するために、Citrix ADCプールキャパシティを設定する必要があります。詳細については、Citrix ADCプールキャパシティの設定を参照してください。
到達可能なADM / ADMエージェントIP	入力が必要です	顧客ライセンスオプションの場合、ユーザーがCitrix ADMをオンプレミスにデプロイするか、クラウドにエージェントをデプロイするかにかかわらず、入力パラメータとして使用される到達可能なADM IPがあることを確認してください。
ライセンスモード	オプション	ユーザーは3つのライセンスモードから選択できます。

Citrix ADC プール容量の設定: Citrix ADC プール容量の設定
Citrix ADC VPX チェックイン/チェックアウトライセンス (CICO): Citrix ADC VPX チェックイン/チェックアウトライセンス * Citrix ADC仮想CPUライセンス: [Citrix ADC virtual CPU Licensing](https://docs.citrix.com/ja-jp/citrix-application-delivery-management-software/13/license-server/adc-virtual-cpu-licensing.html)| |**ライセンス帯域幅 (Mbps)**|0 Mbps|ライセンスモードがプールライセンスの場合にのみ、このフィールドが適用されます。BYOL ADCが作成された後に割り当てられるライセンスの初期帯域幅をMbpsで割り当てます。10 Mbpsの倍数である必要があります。| |**ライセンスエディション**|Premium|プール容量ライセンスモードのライセンスエディションは**Premium**です。| |**アプライアンスプラットフォームタイプ**|オプション|CICOライセンスモードを選択した場合に**のみ**、必要なアプライアンスプラットフォームタイプを選択します。ユーザーは、VPX-200、VPX-1000、VPX-3000、VPX-5000、VPX-8000のオプションを利用できます。| |**ライセンスエディション**|Premium|vCPUベースのライセンスのライセンスエディションは**Premium**です。|

AWSクイックスタートガイドの設定

注:

ユーザーが独自のデプロイプロジェクトのためにクイックスタートガイドテンプレートをカスタマイズする場合を除き、以下の2つのパラメータのデフォルト設定を維持することをお勧めします。これらのパラメータの設定を変更すると、新しいクイックスタートガイドの場所にコード参照が自動的に更新されます。詳細については、こちらにあるAWSクイックスタートガイドコントリビューターガイドを参照してください: AWS Quick Starts/Option 1 - Adopt a Quick Start。

パラメータラベル (名前)	デフォルト	説明
クイックスタートガイドS3 バケット名 (QSS3BucketName)	`aws-quickstart`	ユーザーがクイックスタートガイドをカスタマイズまたは拡張することを決定した場合に、クイックスタートガイドアセットのコピー用に作成したS3バケット。バケット名には、数字、小文字、大文字、ハイフンを含めることができますが、ハイフンで開始または終了してはいけません。
クイックスタートガイドS3キープレフィックス (QSS3KeyPrefix)	quickstart-citrix-adc-vpx/	オブジェクトキーとメタデータ: Object Key and MetadataからのS3キー名プレフィックスは、ユーザーがクイックスタートガイドをカスタマイズまたは拡張することを決定した場合に、クイックスタートガイドアセットのユーザーコピー用のフォルダをシミュレートするために使用されます。このプレフィックスには、数字、小文字、大文字、ハイフン、スラッシュを含めることができます。

「オプション」ページで、ユーザーはスタック内のリソースの「リソースタグ」またはキーと値のペアを指定し、詳細オプションを設定できます。リソースタグの詳細については、リソースタグを参照してください。AWS CloudFormationスタックオプションの設定の詳細については、AWS CloudFormationスタックオプションの設定を参照してください。完了したら、「次へ」を選択します。
「レビュー」ページで、テンプレート設定を確認します。「機能」の下で、テンプレートがIAMリソースを作成すること、およびマクロを自動展開する機能が必要になる可能性があることを承認するために、2つのチェックボックスを選択します。
スタックをデプロイするには、「作成」を選択します。
スタックのステータスを監視します。ステータスが「CREATE_COMPLETE」になったら、Citrix WAFインスタンスの準備が完了です。
スタックの「出力」タブに表示されるURLを使用して、作成されたリソースを表示します。

展開成功後のCitrix WAF出力(/ja-jp/advanced-concepts/media/vpx-aws-appsecurity-deployment-guide/image-vpx-aws-appsecurity-deployment-05.png)

ステップ4：展開のテスト

この展開のインスタンスをプライマリとセカンダリと呼びます。各インスタンスには異なるIPアドレスが関連付けられています。クイックスタートが正常に展開されると、トラフィックはアベイラビリティゾーン1で構成されたプライマリCitrix WAFインスタンスを通過します。フェイルオーバー状態では、プライマリインスタンスがクライアント要求に応答しない場合、セカンダリWAFインスタンスが引き継ぎます。

プライマリインスタンスの仮想IPアドレスのElastic IPアドレスは、新しいプライマリインスタンスとして引き継ぐセカンダリインスタンスに移行します。

フェイルオーバープロセスでは、Citrix WAFは次のことを行います。

Citrix WAFは、IPセットがアタッチされている仮想サーバーをチェックします。
Citrix WAFは、仮想サーバーがリッスンしている2つのIPアドレス（1つは仮想サーバーに直接アタッチされ、もう1つはIPセットを介してアタッチされている）の中から、関連付けられたパブリックIPアドレスを持つIPアドレスを見つけます。
Citrix WAFは、パブリックElastic IPアドレスを、新しいプライマリ仮想IPアドレスに属するプライベートIPアドレスに再関連付けします。

展開を検証するには、次の手順を実行します。

プライマリインスタンスに接続します

例えば、プロキシサーバー、ジャンプホスト（AWSで実行されているLinux/Windows/FWインスタンス、または踏み台ホスト）、あるいはそのVPCに到達可能な別のデバイス、またはオンプレミス接続を扱う場合はDirect Connectを使用します。

トリガーアクションを実行してフェイルオーバーを強制し、セカンダリインスタンスが引き継ぐかどうかを確認します。

ヒント:

Citrix WAFに関する設定をさらに検証するには、プライマリCitrix WAFインスタンスに接続した後で次のコマンドを実行します。

Sh appfw profile QS-Profile

踏み台ホストを使用してCitrix WAF HAペアに接続する

ユーザーがサンドボックスデプロイメントを選択している場合（例えば、CFTの一部として、ユーザーが踏み台ホストの設定を選択する場合）、パブリックサブネットにデプロイされたLinux踏み台ホストは、WAFインターフェースにアクセスするように構成されます。

AWS CloudFormationコンソール（ここからサインインしてアクセスします: サインイン）で、マスタースタックを選択し、OutputsタブでLinuxBastionHostEIP1の値を見つけます。

Citrix WAF HAペアデプロイメントリソース

PrivateManagementPrivateNSIP and PrimaryADCInstanceID key’s value to be used in the later steps to SSH into the ADC.
サービスを選択します。
Computeタブで、EC2を選択します。
- リソースの下で、実行中のインスタンスを選択します。
- プライマリWAFインスタンスの説明タブで、IPv4パブリックIPアドレスをメモします。ユーザーはSSHコマンドを構築するためにそのIPアドレスが必要です。

プライマリインスタンスの説明が表示されたAmazon EC2コンソール

ユーザーのキーチェーンにキーを保存するには、コマンド ssh-add -K [your-key-pair].pem を実行します。

Linuxでは、ユーザーは-Kフラグを省略する必要がある場合があります。

ステップ1でユーザーがメモしたLinuxBastionHostEIP1の値を使用して、次のコマンドで踏み台ホストにログインします。

ssh -A ubuntu@[LinuxBastionHostEIP1]

踏み台ホストから、ユーザーはSSHを使用してプライマリWAFインスタンスに接続できます。

ssh nsroot@[Primary Management Private NSIP]

パスワード: [Primary ADC Instance ID]

プライマリCitrix WAFインスタンスへの接続(/ja-jp/advanced-concepts/media/vpx-aws-appsecurity-deployment-guide/image-vpx-aws-appsecurity-deployment-08.png)

これで、ユーザーはプライマリCitrix WAFインスタンスに接続されました。利用可能なコマンドを確認するには、helpコマンドを実行します。現在のHA構成を表示するには、show HA nodeコマンドを実行します。

Citrix アプリケーションデリバリー管理

Citrix アプリケーションデリバリー管理サービス (Citrix ADM) は、Citrix ADC MPX、Citrix ADC VPX、Citrix Gateway、Citrix Secure Web Gateway™、Citrix ADC SDX、Citrix ADC CPX、およびオンプレミスまたはクラウドに展開されているCitrix SD-WANアプライアンスを含むCitrix ADC展開を管理するための、簡単でスケーラブルなソリューションを提供します。

ユーザーは、このクラウドソリューションを使用して、単一の統合された集中型クラウドベースのコンソールから、グローバルなアプリケーション配信インフラストラクチャ全体を管理、監視、トラブルシューティングできます。Citrix ADM Serviceは、Citrix ADC展開におけるアプリケーション配信を迅速にセットアップ、展開、管理するために必要なすべての機能と、アプリケーションの健全性、パフォーマンス、セキュリティに関する豊富な分析機能を提供します。

Citrix ADM Serviceは、以下の利点を提供します。

アジャイル – 操作、更新、利用が簡単です。Citrix ADM Serviceのサービスモデルはクラウド経由で利用できるため、Citrix ADM Serviceが提供する機能を簡単に操作、更新、使用できます。更新頻度と自動更新機能の組み合わせにより、ユーザーのCitrix ADC展開が迅速に強化されます。
価値実現までの時間短縮 – ビジネス目標の迅速な達成。従来のオンプレミス展開とは異なり、ユーザーは数回クリックするだけでCitrix ADM Serviceを使用できます。ユーザーはインストールと構成の時間を節約できるだけでなく、潜在的なエラーに時間とリソースを浪費することも回避できます。
マルチサイト管理 – マルチサイトデータセンター全体のインスタンスをシングルペインで管理できます。Citrix ADM Serviceを使用すると、ユーザーはさまざまな種類の展開にあるCitrix ADCを管理および監視できます。ユーザーは、オンプレミスおよびクラウドに展開されたCitrix ADCを一元的に管理できます。
運用効率 – 運用生産性を向上させるための最適化された自動化された方法。Citrix ADM Serviceを使用すると、従来のハードウェア展開の保守とアップグレードにかかるユーザーの時間、費用、リソースを節約することで、ユーザーの運用コストを削減できます。

Citrix ADM サービスの動作方法

Citrix ADM Serviceは、Citrix Cloud上でサービスとして利用できます。ユーザーがCitrix Cloudにサインアップしてサービスの使用を開始した後、ユーザーのネットワーク環境にエージェントをインストールするか、インスタンスに組み込みエージェントを起動します。その後、管理したいインスタンスをサービスに追加します。

エージェントは、Citrix ADM Serviceとユーザーデータセンター内の管理対象インスタンス間の通信を可能にします。エージェントは、ユーザーネットワーク内の管理対象インスタンスからデータを収集し、Citrix ADM Serviceに送信します。

ユーザーがインスタンスをCitrix ADM Serviceに追加すると、そのインスタンスは暗黙的にトラップ宛先として自身を追加し、インスタンスのインベントリを収集します。

サービスは、次のようなインスタンスの詳細を収集します。

ホスト名
ソフトウェアバージョン
実行中および保存済みの構成
証明書
インスタンスで構成されたエンティティなど。

Citrix ADM Serviceは、管理対象インスタンスを定期的にポーリングして情報を収集します。

次の図は、サービス、エージェント、およびインスタンス間の通信を示しています。

image-vpx-aws-appsecurity-deployment-09

ドキュメントガイド

Citrix ADM Serviceのドキュメントには、サービスの開始方法、サービスでサポートされている機能のリスト、およびこのサービスソリューションに固有の構成に関する情報が含まれています。

Citrix ADMを使用してAWSにCitrix ADC VPXインスタンスを展開する

顧客がアプリケーションをクラウドに移行すると、アプリケーションの一部であるコンポーネントが増加し、より分散され、動的に管理する必要が生じます。

AWS上のCitrix ADC VPXインスタンスを使用すると、ユーザーはL4-L7ネットワークスタックをAWSにシームレスに拡張できます。Citrix ADC VPXを使用すると、AWSはオンプレミスのITインフラストラクチャの自然な拡張となります。顧客はAWS上のCitrix ADC VPXを使用して、クラウドの弾力性と柔軟性を、世界で最も要求の厳しいウェブサイトやアプリケーションをサポートするのと同じ最適化、セキュリティ、および制御機能と組み合わせることができます。

Citrix Application Delivery Management (ADM) がCitrix ADCインスタンスを監視することで、ユーザーはアプリケーションの健全性、パフォーマンス、およびセキュリティに関する可視性を得られます。ハイブリッドマルチクラウド環境全体で、アプリケーション配信インフラストラクチャのセットアップ、展開、および管理を自動化できます。

アーキテクチャ図

次の画像は、Citrix ADMがAWSと連携してAWSにCitrix ADC VPXインスタンスをプロビジョニングする方法の概要を示しています。

画像-vpx-aws-アプリセキュリティ-デプロイメント-10

構成タスク

Citrix ADMでCitrix ADC VPXインスタンスをプロビジョニングする前に、AWSで次のタスクを実行します。

サブネットを作成する
セキュリティグループを作成する
IAMロールを作成し、ポリシーを定義する

AWSにインスタンスをプロビジョニングするために、Citrix ADMで次のタスクを実行します。

サイトを作成
AWS に Citrix ADC VPX インスタンスをプロビジョニング

サブネットを作成するには

VPC に 3 つのサブネットを作成します。VPC に Citrix ADC VPX インスタンスをプロビジョニングするために必要な 3 つのサブネットは、管理、クライアント、サーバーです。各サブネットについて、VPC で定義されている範囲から IPv4 CIDR ブロックを指定します。サブネットが存在するアベイラビリティゾーンを指定します。3 つのサブネットすべてを同じアベイラビリティゾーンに作成します。次の図は、顧客リージョンに作成された 3 つのサブネットと、クライアントシステムへの接続を示しています。

画像-ブイピーエックス-エーダブリューエス-アップセキュリティ-デプロイメント-11

VPC とサブネットの詳細については、「VPC とサブネット」を参照してください。

セキュリティグループを作成するには

Citrix ADC VPX インスタンスのインバウンドおよびアウトバウンドトラフィックを制御するセキュリティグループを作成します。セキュリティグループは、ユーザーインスタンスの仮想ファイアウォールとして機能します。セキュリティグループは、サブネットレベルではなく、インスタンスレベルで作成します。ユーザー VPC 内のサブネット内の各インスタンスに、異なるセキュリティグループのセットを割り当てることができます。各セキュリティグループにルールを追加して、クライアントサブネットを介してインスタンスに渡されるインバウンドトラフィックを制御します。ユーザーは、サーバーサブネットを介してアプリケーションサーバーに渡されるアウトバウンドトラフィックを制御する別のルールセットを追加することもできます。ユーザーはインスタンスにデフォルトのセキュリティグループを使用できますが、独自のグループを作成することもできます。3 つのセキュリティグループを作成します。各サブネットに 1 つずつです。ユーザーが制御したいインバウンドトラフィックとアウトバウンドトラフィックの両方についてルールを作成します。ユーザーは必要なだけルールを追加できます。

セキュリティグループの詳細については、「VPC のセキュリティグループ」を参照してください。

IAM ロールを作成し、ポリシーを定義するには

顧客がユーザーと Citrix が信頼する AWS アカウントとの間に信頼関係を確立し、Citrix 権限を持つポリシーを作成できるように、IAM ロールを作成します。

AWS で、[サービス] をクリックします。左側のナビゲーションペインで、[IAM] > [ロール] を選択し、[ロールの作成] をクリックします。
ユーザーは自分の AWS アカウントを Citrix ADM の AWS アカウントに接続しています。そのため、Citrix ADM が AWS アカウントでアクションを実行できるように、[別の AWS アカウント] を選択します。

12 桁の Citrix ADM AWS アカウント ID を入力します。Citrix ID は 835822366011 です。ユーザーは、クラウドアクセスプロファイルを作成する際に Citrix ADM で Citrix ID を見つけることもできます。

画像-ブイピーエックス-エーダブリューエス-アップセキュリティ-デプロイメント-12

サードパーティアカウントに接続するには、「外部IDを要求」を有効にします。ユーザーは、オプションの外部識別子を要求することで、ロールのセキュリティを強化できます。任意の文字の組み合わせであるIDを入力します。
「権限」をクリックします。
「権限ポリシーをアタッチ」ページで、「ポリシーを作成」をクリックします。
ユーザーは、ビジュアルエディターで、またはJSONを使用してポリシーを作成および編集できます。

Citrixからの権限のリストは、次のボックスに記載されています。

{
"Version": "2012-10-17",
"Statement":
[
    {
         "Effect": "Allow",
        "Action": [
            "ec2:DescribeInstances",
            "ec2:DescribeImageAttribute",
            "ec2:DescribeInstanceAttribute",
            "ec2:DescribeRegions",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeHosts",
            "ec2:DescribeImages",
            "ec2:DescribeVpcs",
            "ec2:DescribeSubnets",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeNetworkInterfaceAttribute",
            "ec2:DescribeInstanceStatus",
            "ec2:DescribeAddresses",
            "ec2:DescribeKeyPairs",
            "ec2:DescribeTags",
            "ec2:DescribeVolumeStatus",
            "ec2:DescribeVolumes",
            "ec2:DescribeVolumeAttribute",
            "ec2:CreateTags",
            "ec2:DeleteTags",
            "ec2:CreateKeyPair",
            "ec2:DeleteKeyPair",
            "ec2:ResetInstanceAttribute",
            "ec2:RunScheduledInstances",
            "ec2:ReportInstanceStatus",
            "ec2:StartInstances",
            "ec2:RunInstances",
            "ec2:StopInstances",
            "ec2:UnmonitorInstances",
            "ec2:MonitorInstances",
            "ec2:RebootInstances",
            "ec2:TerminateInstances",
            "ec2:ModifyInstanceAttribute",
            "ec2:AssignPrivateIpAddresses",
            "ec2:UnassignPrivateIpAddresses",
            "ec2:CreateNetworkInterface",
            "ec2:AttachNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:ResetNetworkInterfaceAttribute",
            "ec2:ModifyNetworkInterfaceAttribute",
            "ec2:AssociateAddress",
            "ec2:AllocateAddress",
            "ec2:ReleaseAddress",
            "ec2:DisassociateAddress",
            "ec2:GetConsoleOutput"
        ],
            "Resource": "*"
    }
]
}
<!--NeedCopy-->

JSONタブに権限のリストをコピーして貼り付け、「ポリシーの確認」をクリックします。
「ポリシーの確認」ページで、ポリシーの名前を入力し、説明を入力して、「ポリシーを作成」をクリックします。

Citrix ADMでサイトを作成するには

Citrix ADMでサイトを作成し、AWSロールに関連付けられたVPCの詳細を追加します。

Citrix ADMで、「ネットワーク」>「サイト」に移動します。
「追加」をクリックします。
サービスタイプとしてAWSを選択し、「既存のVPCをサイトとして使用」を有効にします。
クラウドアクセスプロファイルを選択します。
フィールドにクラウドアクセスプロファイルが存在しない場合は、「追加」をクリックしてプロファイルを作成します。
- 「クラウドアクセスプロファイルの作成」ページで、ユーザーがAWSにアクセスするために使用するプロファイルの名前を入力します。
- AWSでユーザーが作成したロールに関連付けられたARNを入力します。
- AWSでIdentity and Access Management (IAM) ロールを作成する際にユーザーが指定した外部IDを入力します。「IAMロールを作成してポリシーを定義する」タスクのステップ4を参照してください。AWSで指定されたIAMロール名がCitrix-ADM-で始まり、ロールARNに正しく表示されていることを確認してください。

VPX-AWSアプリケーションセキュリティ展開の図13

AWSのIAMロールに関連付けられているVPCの詳細（リージョン、VPC ID、名前、CIDRブロックなど）がCitrix ADMにインポートされます。

サイトの名前を入力します。
作成をクリックします。

AWSでCitrix ADC VPXをプロビジョニングするには

ユーザーが以前に作成したサイトを使用して、AWSにCitrix ADC VPXインスタンスをプロビジョニングします。そのエージェントにバインドされているインスタンスをプロビジョニングするために、Citrix ADMサービスエージェントの詳細を指定します。

Citrix ADMで、ネットワーク > インスタンス > Citrix ADCに移動します。
VPXタブで、プロビジョニングをクリックします。

このオプションにより、クラウドでCitrix ADC VPXをプロビジョニングページが表示されます。

Amazon Web Services (AWS)を選択し、次へをクリックします。
基本パラメータで、
- リストからインスタンスの種類を選択します。
  - スタンドアロン: このオプションは、AWSにスタンドアロンのCitrix ADC VPXインスタンスをプロビジョニングします。
  - HA：このオプションは、AWS 上に高可用性 Citrix ADC VPX インスタンスをプロビジョニングします。
  同じゾーンに Citrix ADC VPX インスタンスをプロビジョニングするには、Zone Type の下の Single Zone オプションを選択します。
  
  複数のゾーンに Citrix ADC VPX インスタンスをプロビジョニングするには、Zone type の下の Multi Zone オプションを選択します。Cloud Parameters タブで、AWS 上に作成された各ゾーンのネットワーク詳細を必ず指定してください。
- Citrix ADC VPX インスタンスの名前を指定します。
- Site で、以前に作成したサイトを選択します。
- Agent で、Citrix ADC VPX インスタンスを管理するために作成されたエージェントを選択します。
- Cloud Access Profile で、サイト作成時に作成されたクラウドアクセスプロファイルを選択します。
- Device Profile で、認証を提供するためのプロファイルを選択します。
Citrix ADM は、Citrix ADC VPX インスタンスにログオンする必要がある場合にデバイスプロファイルを使用します。
- Next をクリックします。
クラウドパラメータ で、
- AWS で作成された Citrix IAM Role を選択します。IAM ロールは、AWS において、その ID が何を実行できるか、何を実行できないかを決定する権限ポリシーを持つ AWS ID です。
- Product フィールドで、ユーザーがプロビジョニングしたい Citrix ADC 製品バージョンを選択します。
- Instance Type リストから EC2 インスタンスタイプを選択します。
- ユーザーがプロビジョニングしたいCitrix ADCのバージョンを選択します。Citrix ADCのメジャーバージョンとマイナーバージョンの両方を選択します。
- セキュリティグループで、ユーザーが仮想ネットワークで作成した管理、クライアント、サーバーのセキュリティグループを選択します。
- 「ノードごとのサーバーサブネット内のIP」で、セキュリティグループのノードごとのサーバーサブネット内のIPアドレス数を選択します。
- 「サブネット」で、AWSで作成された各ゾーンの管理、クライアント、サーバーサブネットを選択します。ユーザーは「アベイラビリティゾーン」リストからリージョンを選択することもできます。
- 完了をクリックします。

画像-vpx-aws-アプリセキュリティ-デプロイメント-15

Citrix ADC VPXインスタンスがAWSにプロビジョニングされました。

注:

Citrix ADMは、AWSからのCitrix ADCインスタンスのプロビジョニング解除をサポートしていません。

AWSでプロビジョニングされたCitrix ADC VPXを表示するには

AWSのホームページから、サービスに移動し、EC2をクリックします。
リソースページで、実行中のインスタンスをクリックします。
ユーザーはAWSでプロビジョニングされたCitrix ADC VPXを表示できます。

Citrix ADC VPXインスタンスの名前は、ユーザーがCitrix ADMでインスタンスをプロビジョニングする際に指定した名前と同じです。

Citrix ADMでプロビジョニングされたCitrix ADC VPXを表示するには

Citrix ADMで、ネットワーク > インスタンス > Citrix ADCに移動します。
Citrix ADC VPXタブを選択します。
AWSでプロビジョニングされたCitrix ADC VPXインスタンスがここに一覧表示されます。

Citrix ADC WAF and OWASP Top 10 – 2017

Open Web Application Security Project: OWASPは、Webアプリケーションセキュリティに関する2017年版OWASP Top 10をリリースしました。このリストは、最も一般的なWebアプリケーションの脆弱性を文書化しており、Webセキュリティを評価するための優れた出発点となります。ここでは、これらの欠陥を軽減するためにCitrix ADC Web Application Firewall (WAF) を構成する方法を詳しく説明します。WAFは、Citrix ADC (Premium Edition) の統合モジュールとして、またあらゆるアプライアンスで利用できます。

OWASP Top 10の完全なドキュメントは、OWASP Top Tenで入手できます。

OWASPトップ10 2017年	シトリックス ADC WAF 機能
A1:2017- インジェクション	インジェクション攻撃の防止 (SQLまたはOSコマンドインジェクション、XPathインジェクション、LDAPインジェクションなどのカスタムインジェクション)、自動更新署名機能
A2:2017 - 認証の不備	Citrix ADC AAA、クッキー改ざん保護、クッキープロキシ、クッキー暗号化、CSRFタグ付け、SSLの使用
A3:2017 - 機密データの漏洩	クレジットカード保護、Safe Commerce、Cookieプロキシ、Cookie暗号化
A4:2017 XML外部エンティティ (XXE)	WSIチェック、XMLメッセージ検証、XML SOAP障害フィルタリングチェックを含むXML保護
A5:2017 不適切なアクセス制御	Citrix ADC AAA、NetScaler の Citrix ADC AAA モジュール内の認証セキュリティ機能、フォーム保護、クッキー改ざん保護、スタートURL、およびクローズURL
A6:2017 - セキュリティ設定ミス	PCIレポート、SSL機能、Cenznic、Qualys、AppScan、WebInspect、Whitehatなどの脆弱性スキャンレポートからの署名生成。また、Cookie暗号化、プロキシ、改ざんなどの特定の保護
A7:2017 - クロスサイトスクリプティング (XSS)	XSS攻撃防止、すべてのOWASP XSSチートシート攻撃をブロック
A8:2017 – 安全でないデシリアライゼーション	XMLセキュリティチェック、GWTコンテンツタイプ、カスタム署名、JSONおよびXML用のXPath
A9:2017 - 既知の脆弱性を持つコンポーネントの使用	脆弱性スキャンレポート、アプリケーションファイアウォールテンプレート、カスタム署名
A10:2017 – 不十分なロギングと監視	ユーザー設定可能なカスタムロギング、Citrix ADC 管理および分析システム

A1:2017- インジェクション

SQL、NoSQL、OS、LDAPインジェクションなどのインジェクションの欠陥は、信頼できないデータがコマンドまたはクエリの一部としてインタープリターに送信されたときに発生します。攻撃者の悪意のあるデータは、インタープリターをだまして意図しないコマンドを実行させたり、適切な認証なしにデータにアクセスさせたりする可能性があります。

ADC WAF 保護機能

SQLインジェクション防止機能は、一般的なインジェクション攻撃から保護します。XPathやLDAPを含むあらゆる種類のインジェクション攻撃から保護するために、カスタムインジェクションパターンをアップロードできます。これはHTMLペイロードとXMLペイロードの両方に適用されます。
自動更新シグネチャ機能により、インジェクションシグネチャは常に最新の状態に保たれます。
フィールド形式保護機能により、管理者は任意のユーザーパラメータを正規表現に制限できます。例えば、郵便番号フィールドに整数のみ、または5桁の整数のみが含まれるように強制できます。
フォームフィールドの一貫性: 送信された各ユーザーフォームをユーザーセッションフォームシグネチャと照合して検証し、すべてのフォーム要素の有効性を確保します。
バッファオーバーフローチェックは、URL、ヘッダー、およびCookieが適切な制限内にあることを保証し、大規模なスクリプトやコードを挿入しようとする試みをブロックします。

A2:2017 – 認証の不備

認証およびセッション管理に関連するアプリケーション機能は、しばしば不適切に実装されており、攻撃者がパスワード、キー、またはセッショントークンを侵害したり、他の実装上の欠陥を悪用して他のユーザーのIDを一時的または永続的に乗っ取ったりすることを可能にします。

ADC WAF 保護機能

Citrix ADC AAAモジュールはユーザー認証を実行し、バックエンドアプリケーションにシングルサインオン機能を提供します。これはCitrix ADC AppExpertポリシーエンジンに統合されており、ユーザーおよびグループ情報に基づいたカスタムポリシーを可能にします。
SSLオフロードおよびURL変換機能を使用することで、ファイアウォールは、ネットワークスニッフィングによるセッショントークンの盗難を防ぐために、サイトが安全なトランスポート層プロトコルを使用するのを支援することもできます。
クッキープロキシとクッキー暗号化を採用することで、クッキーの盗難を完全に軽減できます。

A3:2017 - 機密データの露出

多くのWebアプリケーションとAPIは、金融、医療、PIIなどの機密データを適切に保護していません。攻撃者は、このような不十分に保護されたデータを盗んだり変更したりして、クレジットカード詐欺、個人情報盗難、またはその他の犯罪を行う可能性があります。機密データは、保存時または転送時の暗号化などの追加の保護なしでは侵害される可能性があり、ブラウザと交換する際には特別な予防措置が必要です。

ADC WAF 保護機能

アプリケーションファイアウォールは、クレジットカード情報などの機密データの漏洩からアプリケーションを保護します。
機密データは、露出を避けるためにセーフコマース保護でセーフオブジェクトとして構成できます。
Cookie内の機密データは、CookieプロキシおよびCookie暗号化によって保護できます。

A4:2017 XML外部エンティティ (XXE)

多くの古い、または不適切に構成されたXMLプロセッサは、XMLドキュメント内の外部エンティティ参照を評価します。外部エンティティは、ファイルURIハンドラ、内部ファイル共有、内部ポートスキャン、リモートコード実行、およびサービス拒否攻撃を使用して、内部ファイルを公開するために使用できます。

ADC WAF の保護機能

XMLベースのアプリケーションを攻撃するために適応できる一般的なアプリケーションの脅威 (つまり、クロスサイトスクリプティング、コマンドインジェクションなど) を検出してブロックすることに加えて。
ADCアプリケーションファイアウォールには、XML固有の豊富なセキュリティ保護機能が含まれています。これらには、SOAPメッセージとXMLペイロードを徹底的に検証するためのスキーマ検証、および悪意のある実行可能ファイルやウイルスを含む添付ファイルをブロックするための強力なXML添付ファイルチェックが含まれます。
自動トラフィック検査方法は、アクセス権の取得を目的としたURLおよびフォームに対するXPathインジェクション攻撃をブロックします。
ADCアプリケーションファイアウォールは、外部エンティティ参照、再帰的展開、過剰なネスト、および長い属性または多数の属性と要素を含む悪意のあるメッセージなど、さまざまなDoS攻撃も阻止します。

A5:2017 不適切なアクセス制御

認証されたユーザーが実行できることに対する制限は、多くの場合、適切に適用されていません。攻撃者はこれらの欠陥を悪用して、他のユーザーのアカウントへのアクセス、機密ファイルの表示、他のユーザーのデータの変更、アクセス権の変更など、不正な機能やデータにアクセスできます。

ADC WAF 保護機能

すべてのアプリケーショントラフィックの認証、認可、および監査をサポートするCitrix ADC AAA機能により、サイト管理者はADCアプライアンスでアクセス制御を管理できます。
ADCアプライアンスのCitrix ADC AAAモジュール内の認可セキュリティ機能により、アプライアンスは、保護されたサーバー上のどのコンテンツに各ユーザーがアクセスすることを許可すべきかを検証できます。
フォームフィールドの一貫性: オブジェクト参照がフォームの非表示フィールドとして保存されている場合、フォームフィールドの一貫性を使用すると、後続のリクエストでこれらのフィールドが改ざんされていないことを検証できます。
クッキープロキシとクッキーの一貫性: クッキー値に保存されているオブジェクト参照は、これらの保護によって検証できます。
URLクローズによる開始URLチェック: 事前定義されたURLの許可リストへのユーザーアクセスを許可します。URLクローズは、ユーザーセッション中に有効な応答で検出されたすべてのURLのリストを作成し、そのセッション中にそれらへのアクセスを自動的に許可します。

A6:2017 - セキュリティ設定ミス

セキュリティ設定ミスは、最も一般的に見られる問題です。これは通常、安全でないデフォルト設定、不完全または場当たり的な設定、オープンなクラウドストレージ、誤って設定されたHTTPヘッダー、機密情報を含む詳細なエラーメッセージの結果として発生します。すべてのオペレーティングシステム、フレームワーク、ライブラリ、およびアプリケーションは、安全に構成されているだけでなく、タイムリーにパッチが適用され、アップグレードされている必要があります。

ADC WAFによる保護

アプリケーションファイアウォールによって生成されるPCI-DSSレポートは、ファイアウォールデバイスのセキュリティ設定を文書化します。
スキャンツールからのレポートは、セキュリティ設定ミスに対処するためにADC WAFシグネチャに変換されます。
ADC WAFは、センジック、IBM AppScan (エンタープライズおよびスタンダード)、クオリス、トレンドマイクロ、ホワイトハット、およびカスタム脆弱性スキャンレポートをサポートしています。

A7:2017 - クロスサイトスクリプティング (XSS)

XSSの欠陥は、アプリケーションが適切な検証やエスケープなしに信頼できないデータを新しいWebページに含める場合、またはHTMLやJavaScriptを作成できるブラウザAPIを使用してユーザー提供データで既存のWebページを更新する場合に発生します。クロスサイトスクリプティングにより、攻撃者は被害者のブラウザでスクリプトを実行でき、ユーザーセッションを乗っ取ったり、Webサイトを改ざんしたり、ユーザーを悪意のあるサイトにリダイレクトしたりする可能性があります。

ADC WAFによる保護

クロスサイトスクリプティング保護は、一般的なXSS攻撃から保護します。カスタムXSSパターンをアップロードして、許可されるタグと属性のデフォルトリストを変更できます。ADC WAFは、許可されるHTML属性とタグの許可リストを使用してXSS攻撃を検出します。これは、HTMLペイロードとXMLペイロードの両方に適用されます。
ADC WAFは、OWASP XSSフィルター評価チートシートに記載されているすべての攻撃をブロックします。
フィールド形式チェックは、攻撃者が不適切なWebフォームデータを送信するのを防ぎ、これは潜在的なXSS攻撃となる可能性があります。
フォームフィールドの一貫性。

A8:2017 - 安全でないデシリアライゼーション

安全でないデシリアライゼーションは、リモートコード実行につながることがよくあります。デシリアライゼーションの欠陥がリモートコード実行につながらない場合でも、リプレイ攻撃、インジェクション攻撃、権限昇格攻撃などの攻撃を実行するために使用できます。

ADC WAF 保護機能

カスタム署名によるJSONペイロードの検査。
XMLセキュリティ: XMLサービス拒否 (xDoS)、XML SQLおよびXpathインジェクション、クロスサイトスクリプティング、フォーマットチェック、WS-I基本プロファイル準拠、XML添付ファイルのチェックから保護します。
Cookieの一貫性およびフィールドの一貫性に加えて、フィールドフォーマットチェックを使用できます。

A9:2017 - 既知の脆弱性を持つコンポーネントの使用

ライブラリ、フレームワーク、その他のソフトウェアモジュールなどのコンポーネントは、アプリケーションと同じ権限で実行されます。脆弱なコンポーネントが悪用された場合、そのような攻撃は重大なデータ損失やサーバー乗っ取りを促進する可能性があります。既知の脆弱性を持つコンポーネントを使用するアプリケーションおよびAPIは、アプリケーションの防御を損ない、さまざまな攻撃や影響を可能にする可能性があります。

ADC WAF 保護機能

Citrixは、サードパーティコンポーネントを最新の状態に保つことを推奨します。
ADC署名に変換された脆弱性スキャンレポートは、これらのコンポーネントを仮想的にパッチするために使用できます。
これらの脆弱なコンポーネントで利用可能なアプリケーションファイアウォールテンプレートを使用できます。
これらのコンポーネントを保護するために、カスタム署名をファイアウォールにバインドできます。

A10:2017 - 不十分なロギングと監視

ログと監視が不十分であること、およびインシデント対応との統合が欠落しているか効果的でないことにより、攻撃者はシステムへの攻撃をさらに進め、永続性を維持し、より多くのシステムにピボットし、データを改ざん、抽出、または破壊することができます。ほとんどの侵害調査では、侵害を検出するまでの期間が200日を超えており、通常、内部プロセスや監視ではなく外部の当事者によって検出されていることが示されています。

ADC WAF 保護機能

セキュリティチェックまたはシグネチャに対してログアクションが有効になっている場合、結果として生成されるログメッセージは、アプリケーションファイアウォールがWebサイトとアプリケーションを保護している間に観測したリクエストとレスポンスに関する情報を提供します。
アプリケーションファイアウォールは、悪意のあるリクエストの発信元であるIPアドレスに対応する場所を特定するために、組み込みのADCデータベースを使用する利便性を提供します。
デフォルト形式 (PI) の式を使用すると、ログに含まれる情報をカスタマイズする柔軟性が得られ、アプリケーションファイアウォールが生成するログメッセージにキャプチャする特定のデータを追加するオプションも利用できます。
アプリケーションファイアウォールはCEFログをサポートしています。

アプリケーションセキュリティ保護

シトリックス ADM

シトリックスアプリケーションデリバリーマネジメントサービス (Citrix ADM) は、オンプレミスまたはクラウドに展開されているCitrix ADC MPX、Citrix ADC VPX、シトリックスゲートウェイ、シトリックスセキュアウェブ™ ゲートウェイ、Citrix ADC SDX、Citrix ADC CPX、およびシトリックス SD-WANアプライアンスを含むCitrix ADC展開を管理するための、スケーラブルなソリューションを提供します。

Citrix ADMアプリケーション分析および管理機能

次の機能は、App SecurityにおけるADMの役割にとって重要です。

アプリケーション分析と管理

Citrix ADMのアプリケーション分析および管理機能は、アプリケーション中心のアプローチを強化し、ユーザーがさまざまなアプリケーション配信の課題に対処できるようにします。このアプローチにより、ユーザーはアプリケーションの健全性スコアを可視化し、セキュリティリスクを判断し、アプリケーショントラフィックフローの異常を検出し、是正措置を講じることができます。App Securityにおけるこれらの役割の中で最も重要なのは、アプリケーションセキュリティ分析です。

アプリケーションセキュリティ分析: アプリケーションセキュリティ分析。App Securityダッシュボードは、ユーザーアプリケーションのセキュリティ状況を全体的に把握できます。たとえば、セキュリティ違反、シグネチャ違反、脅威インデックスなどの主要なセキュリティメトリックが表示されます。App Securityダッシュボードには、検出されたCitrix ADCインスタンスに対するSYN攻撃、スモールウィンドウ攻撃、DNSフラッド攻撃などの攻撃関連情報も表示されます。

スタイルブック

StyleBookは、ユーザーアプリケーションの複雑なCitrix ADC構成を管理するタスクを簡素化します。StyleBookは、ユーザーがCitrix ADC構成を作成および管理するために使用できるテンプレートです。ここでは、Web Application Firewallを展開するために使用されるStyleBookに主に関心があります。StyleBookの詳細については、StyleBooksを参照してください。

アナリティクス

Citrix ADCインスタンスのさまざまなデータインサイトを簡単に、かつスケーラブルに調査し、アプリケーションのパフォーマンスを記述、予測、改善します。ユーザーは、1つまたは複数のアナリティクス機能を同時に使用できます。App Securityにとって最も重要な役割は次のとおりです。

Security Insight: Security Insight。ユーザーアプリケーションのセキュリティ状態を評価し、ユーザーアプリケーションを保護するための是正措置を講じるのに役立つ単一ペインソリューションを提供します。
ボットインサイト
アナリティクスの詳細については、アナリティクス: Analyticsを参照してください。

ADM機能にとって重要なその他の機能は次のとおりです。

イベント管理

イベントは、管理対象のCitrix ADCインスタンスで発生したイベントまたはエラーを表します。たとえば、システム障害や構成の変更があった場合、イベントが生成され、Citrix ADMに記録されます。Citrix ADMを使用してユーザーが構成または表示できる関連機能は次のとおりです。

イベントルールの作成: イベントルールの作成
syslogメッセージの表示とエクスポート: syslogメッセージの表示とエクスポート

イベント管理の詳細については、Eventsを参照してください。

インスタンス管理

ユーザーがCitrix ADC、Citrix Gateway、Citrix Secure Web Gateway、およびCitrix SD-WANインスタンスを管理できるようにします。インスタンス管理の詳細については、Adding Instancesを参照してください。

ライセンス管理

ユーザーがCitrix ADMをライセンスマネージャーとして構成することで、Citrix ADCライセンスを管理できるようにします。

Citrix ADC プール容量: プール容量。ユーザーのCitrix ADCインスタンスが1つのインスタンスライセンスと必要な帯域幅のみをチェックアウトできる共通のライセンスプールです。インスタンスがこれらのリソースを必要としなくなった場合、それらを共通プールにチェックインし、必要とする他のインスタンスが利用できるようにします。
Citrix ADC VPX のチェックインおよびチェックアウトライセンス: Citrix ADC VPX のチェックインおよびチェックアウトライセンス。Citrix ADM は、Citrix ADC VPX インスタンスにオンデマンドでライセンスを割り当てます。Citrix ADC VPX インスタンスは、プロビジョニング時に Citrix ADM からライセンスをチェックアウトしたり、インスタンスが削除または破棄されたときに Citrix ADM にライセンスをチェックインしたりできます。
ライセンス管理の詳細については、以下を参照してください: プールされた容量。

構成管理機能

Citrix ADM を使用すると、ユーザーは構成ジョブを作成して、エンティティの作成、機能の構成、構成変更のレプリケーション、システムアップグレード、その他のメンテナンスアクティビティなどの構成タスクを複数のインスタンスで簡単に実行できます。構成ジョブとテンプレートは、最も反復的な管理タスクを Citrix ADM 上の単一のタスクに簡素化します。構成管理の詳細については、構成ジョブを参照してください。

構成監査機能

ユーザーインスタンス全体の構成における異常を監視および特定できるようにします。

構成アドバイス: ネットワーク構成に関するアドバイスの取得。ユーザーが構成の異常を特定できるようにします。
監査テンプレート: 監査テンプレートの作成。ユーザーは特定の構成全体での変更を監視できます。
構成監査の詳細については、構成監査を参照してください。

シグネチャは、ユーザーアプリケーションの保護を最適化するために、以下の展開オプションを提供します。

負のセキュリティモデル: 負のセキュリティモデルでは、ユーザーは豊富な事前構成済みシグネチャルールセットを使用して、パターンマッチングの力を適用し、攻撃を検出し、アプリケーションの脆弱性から保護します。ユーザーは不要なものだけをブロックし、残りを許可します。ユーザーは、ユーザーアプリケーションの特定のセキュリティニーズに基づいて独自のシグネチャルールを追加し、独自のカスタマイズされたセキュリティソリューションを設計できます。
ハイブリッドセキュリティモデル: シグネチャの使用に加えて、ユーザーはポジティブセキュリティチェックを使用して、ユーザーアプリケーションに最適な構成を作成できます。ユーザーが望まないものをブロックするためにシグネチャを使用し、許可されているものを強制するためにポジティブセキュリティチェックを使用します。

シグネチャを使用してユーザーアプリケーションを保護するには、ユーザーはシグネチャオブジェクトを使用するように1つ以上のプロファイルを構成する必要があります。ハイブリッドセキュリティ構成では、ユーザーシグネチャオブジェクト内のSQLインジェクションおよびクロスサイトスクリプティングパターン、およびSQL変換ルールは、シグネチャルールだけでなく、シグネチャオブジェクトを使用しているWeb Application Firewallプロファイルで構成されたポジティブセキュリティチェックによっても使用されます。

Webアプリケーションファイアウォールは、ユーザーが保護するウェブサイトおよびウェブサービスへのトラフィックを検査し、シグネチャに一致するトラフィックを検出します。ルール内のすべてのパターンがトラフィックに一致した場合にのみ、一致がトリガーされます。一致が発生すると、ルールに指定されたアクションが呼び出されます。リクエストがブロックされた場合、ユーザーはエラーページまたはエラーオブジェクトを表示できます。ログメッセージは、ユーザーアプリケーションに対して開始されている攻撃を特定するのに役立ちます。ユーザーが統計を有効にすると、Webアプリケーションファイアウォールは、Webアプリケーションファイアウォールシグネチャまたはセキュリティチェックに一致するリクエストに関するデータを維持します。

トラフィックがシグネチャとポジティブセキュリティチェックの両方に一致する場合、2つのアクションのうち、より制限の厳しい方が適用されます。たとえば、ブロックアクションが無効になっているシグネチャルールにリクエストが一致しても、アクションがブロックであるSQLインジェクションのポジティブセキュリティチェックにもリクエストが一致する場合、リクエストはブロックされます。この場合、リクエストはSQLインジェクションチェックによってブロックされますが、シグネチャ違反は[not blocked]としてログに記録される可能性があります。

カスタマイズ: 必要に応じて、ユーザーはシグネチャオブジェクトに独自のルールを追加できます。ユーザーはSQL/XSSパターンをカスタマイズすることもできます。ユーザーアプリケーションの特定のセキュリティニーズに基づいて独自のシグネチャルールを追加するオプションにより、ユーザーは独自のカスタマイズされたセキュリティソリューションを設計する柔軟性を得られます。ユーザーは不要なものだけをブロックし、残りは許可します。指定された場所の特定の高速一致パターンは、パフォーマンスを最適化するために処理オーバーヘッドを大幅に削減できます。ユーザーはSQLインジェクションおよびクロスサイトスクリプティングパターンを追加、変更、または削除できます。組み込みの正規表現および式エディタは、ユーザーがパターンを設定し、その正確性を検証するのに役立ちます。

ユースケース

各サービスを個別の仮想アプライアンスとして展開する必要がある代替ソリューションと比較して、AWS上のCitrix ADCは、L4ロードバランシング、L7トラフィック管理、サーバーオフロード、アプリケーションアクセラレーション、アプリケーションセキュリティ、柔軟なライセンス、およびその他の重要なアプリケーション配信機能を、AWS Marketplaceを通じて便利に利用できる単一のVPXインスタンスに統合します。さらに、すべてが単一のポリシーフレームワークによって管理され、オンプレミスのCitrix ADC展開を管理するために使用されるのと同じ強力なツールセットで管理されます。その結果、AWS上のCitrix ADCは、今日の企業の差し迫ったニーズをサポートするだけでなく、レガシーコンピューティングインフラストラクチャからエンタープライズクラウドデータセンターへの継続的な進化もサポートする、いくつかの魅力的なユースケースを可能にします。

Citrix Webアプリケーションファイアウォール (WAF)

Citrix Webアプリケーションファイアウォール (WAF) は、最新のアプリケーション向けに最先端の保護を提供するエンタープライズグレードのソリューションです。Citrix WAFは、ウェブサイト、ウェブアプリケーション、APIなどの公開資産に対する脅威を軽減します。Citrix WAFには、IPレピュテーションベースのフィルタリング、ボット軽減、OWASP Top 10アプリケーション脅威保護、レイヤー7 DDoS保護などが含まれます。また、認証、強力なSSL/TLS暗号、TLS 1.3、レート制限、および書き換えポリシーを適用するオプションも含まれています。基本および高度なWAF保護の両方を使用することで、Citrix WAFは比類のない使いやすさでアプリケーションを包括的に保護します。数分で稼働を開始できます。さらに、動的プロファイリングと呼ばれる自動学習モデルを使用することで、Citrix WAFはユーザーの貴重な時間を節約します。保護されたアプリケーションがどのように機能するかを自動的に学習することで、Citrix WAFは開発者がアプリケーションを展開および変更しても、アプリケーションに適応します。Citrix WAFは、PCI-DSS、HIPAAなど、すべての主要な規制基準および機関への準拠を支援します。当社のCloudFormationテンプレートを使用すると、迅速に稼働を開始することがこれまでになく簡単になります。オートスケーリングにより、ユーザーはトラフィックが増加してもアプリケーションが保護されたままであることを確信できます。

Webアプリケーションファイアウォール展開戦略

Webアプリケーションファイアウォールを展開する最初のステップは、どのアプリケーションまたは特定のデータが最大のセキュリティ保護を必要とし、どれが脆弱性が低く、セキュリティ検査を安全にバイパスできるかを評価することです。これにより、ユーザーは最適な構成を考案し、トラフィックを分離するための適切なポリシーとバインドポイントを設計するのに役立ちます。たとえば、ユーザーは画像、MP3ファイル、動画などの静的ウェブコンテンツのリクエストのセキュリティ検査をバイパスするポリシーを設定し、動的コンテンツのリクエストに高度なセキュリティチェックを適用する別のポリシーを設定したいと考えるかもしれません。ユーザーは複数のポリシーとプロファイルを使用して、同じアプリケーションの異なるコンテンツを保護できます。

次のステップは、展開のベースラインを設定することです。まず仮想サーバーを作成し、テストトラフィックを流して、ユーザーシステムを流れるトラフィックの速度と量を把握します。

次に、Webアプリケーションファイアウォールを展開します。Citrix ADMとWebアプリケーションファイアウォールStyleBookを使用して、Webアプリケーションファイアウォールを構成します。詳細については、このガイドの以下のStyleBookセクションを参照してください。

Webアプリケーションファイアウォールが展開され、WebアプリケーションファイアウォールStyleBookで構成された後、次の有用なステップはCitrix ADC WAFとOWASP Top 10を実装することです。

最後に、Webアプリケーションファイアウォールの保護機能のうち3つは、一般的な種類のWeb攻撃に対して特に効果的であり、そのため他のどの機能よりも一般的に使用されています。したがって、これらは初期展開で実装する必要があります。それらは次のとおりです。

HTMLクロスサイトスクリプティング。スクリプトが配置されているウェブサイトとは異なるウェブサイトのコンテンツにアクセスまたは変更しようとするスクリプトについて、リクエストとレスポンスを検査します。このチェックがそのようなスクリプトを検出すると、リクエストまたはレスポンスを宛先に転送する前にスクリプトを無害化するか、接続をブロックします。
HTML SQLインジェクション。フォームフィールドデータを含むリクエストを検査し、SQLコマンドをSQLデータベースに挿入しようとする試みを検出します。このチェックが挿入されたSQLコードを検出すると、リクエストをブロックするか、リクエストをWebサーバーに転送する前に挿入されたSQLコードを無害化します。

注記:

ユーザー設定に以下の両方の条件が当てはまる場合、Webアプリケーションファイアウォールが正しく構成されていることを確認する必要があります。

HTMLクロスサイトスクリプティングチェックまたはHTML SQLインジェクションチェック（またはその両方）を有効にしている場合、および

ユーザーが保護するWebサイトがファイルアップロードを受け入れるか、大量のPOSTボディデータを含むWebフォームを含んでいる場合。

このケースを処理するためのWebアプリケーションファイアウォールの構成の詳細については、「アプリケーションファイアウォールの構成: Webアプリケーションファイアウォールの構成」を参照してください。

バッファオーバーフロー。Webサーバーでバッファオーバーフローを引き起こそうとする試みを検出するためにリクエストを検査します。

Webアプリケーションファイアウォール (WAF) の構成

以下の手順は、WAFがすでに有効になっており、正しく機能していることを前提としています。

Citrixは、WebアプリケーションファイアウォールStyleBookを使用してWAFを構成することを推奨します。ほとんどのユーザーにとって、これはWebアプリケーションファイアウォールを構成する最も簡単な方法であり、間違いを防ぐように設計されています。GUIとコマンドラインインターフェイスの両方は、主に既存の構成を変更したり、高度なオプションを使用したりするために、経験豊富なユーザー向けに意図されています。

SQLインジェクション

アプリケーションファイアウォールHTML SQLインジェクションチェックは、ユーザーのアプリケーションセキュリティを侵害する可能性のある不正なSQLコードのインジェクションに対する特別な防御を提供します。Citrix Webアプリケーションファイアウォールは、インジェクションされたSQLコードについて、リクエストペイロードを次の3つの場所で検査します: 1) POSTボディ、2) ヘッダー、3) クッキー。

キーワードと特殊文字のデフォルトセットは、SQL攻撃を開始するためによく使用される既知のキーワードと特殊文字を提供します。ユーザーは新しいパターンを追加したり、デフォルトセットを編集してSQLチェック検査をカスタマイズしたりすることもできます。

SQLインジェクション処理用に構成できるいくつかのパラメータがあります。ユーザーはSQLワイルドカード文字をチェックできます。ユーザーはSQLインジェクションタイプを変更し、ペイロード処理時にSQLキーワードとSQL特殊文字をどのように評価するかを示すために、4つのオプション（SQLKeyword、SQLSplChar、SQLSplCharANDKeyword、SQLSplCharORKeyword）のいずれかを選択できます。SQLコメント処理パラメータを使用すると、SQLインジェクション検出中に検査または除外する必要があるコメントのタイプを指定するオプションがユーザーに提供されます。

ユーザーは誤検知を回避するために緩和策を展開できます。学習エンジンは、緩和ルールを構成するための推奨事項を提供できます。

ユーザーアプリケーション向けに最適化されたSQLインジェクション保護を構成するための以下のオプションが利用可能です。

ブロック — ユーザーがblockを有効にすると、入力がSQLインジェクションタイプの仕様と一致する場合にのみブロックアクションがトリガーされます。たとえば、SQLインジェクションタイプとしてSQLSplCharANDKeywordが設定されている場合、入力にSQL特殊文字が検出されてもキーワードが含まれていないリクエストはブロックされません。このようなリクエストは、SQLインジェクションタイプがSQLSplCharまたはSQLSplCharORKeywordのいずれかに設定されている場合にブロックされます。

ログ — ユーザーがログ機能を有効にすると、SQLインジェクションチェックは、実行するアクションを示すログメッセージを生成します。blockが無効になっている場合、SQL違反が検出された各入力フィールドに対して個別のログメッセージが生成されます。ただし、リクエストがブロックされた場合は1つのメッセージのみが生成されます。同様に、複数のフィールドでSQL特殊文字が変換された場合でも、変換操作に対してリクエストごとに1つのログメッセージが生成されます。ユーザーはログを監視して、正当なリクエストへの応答がブロックされているかどうかを判断できます。ログメッセージの数が大幅に増加すると、攻撃を試みている可能性があります。

統計 — 有効にすると、統計機能は違反とログに関する統計を収集します。統計カウンターの予期せぬ急増は、ユーザーアプリケーションが攻撃を受けていることを示している可能性があります。正当なリクエストがブロックされている場合、ユーザーは新しい緩和ルールを設定する必要があるか、既存のルールを変更する必要があるかを確認するために、設定を見直す必要があるかもしれません。

学習 — ユーザーが自分のアプリケーションに最適なSQL緩和ルールがどれかわからない場合、学習機能を使用して、学習データに基づいて推奨事項を生成できます。Web Application Firewallの学習エンジンはトラフィックを監視し、観測された値に基づいてSQL学習の推奨事項を提供します。パフォーマンスを損なうことなく最適なメリットを得るには、ユーザーは短期間学習オプションを有効にして、ルールの代表的なサンプルを取得し、その後ルールを展開して学習を無効にすることをお勧めします。

SQL特殊文字の変換—Web Application Firewallは、単一引用符（‘）、バックスラッシュ（）、セミコロン（;）の3つの文字をSQLセキュリティチェック処理の特殊文字と見なします。SQL変換機能は、HTMLリクエスト内のSQLインジェクションコードを変更して、リクエストが無害であることを保証します。変更されたHTMLリクエストはその後サーバーに送信されます。すべてのデフォルト変換ルールは、/netscaler/default_custom_settings.xmlファイルで指定されています。

変換操作は、リクエストに以下の変更を加えることでSQLコードを非アクティブ化します。
単一引用符（‘）を二重引用符（“）に変換。
バックスラッシュ（）を二重バックスラッシュ（）に変換。
セミコロン（;）は完全に削除されます。

これら3つの文字（特殊文字列）は、SQLサーバーにコマンドを発行するために必要です。SQLコマンドが特殊文字列で始まる場合を除き、ほとんどのSQLサーバーはそのコマンドを無視します。したがって、変換が有効な場合にWeb Application Firewallが実行する変更は、攻撃者がアクティブなSQLを挿入するのを防ぎます。これらの変更が行われた後、リクエストはユーザー保護されたWebサイトに安全に転送できます。ユーザー保護されたWebサイトのWebフォームが正当にSQL特殊文字列を含むことができ、かつWebフォームが正しく機能するために特殊文字列に依存しない場合、ユーザーはブロックを無効にし、変換を有効にすることで、Web Application Firewallがユーザー保護されたWebサイトに提供する保護を低下させることなく、正当なWebフォームデータのブロックを防ぐことができます。

変換操作は、SQLインジェクションタイプの設定とは独立して機能します。変換が有効で、SQLインジェクションタイプがSQLキーワードとして指定されている場合、リクエストにキーワードが含まれていなくてもSQL特殊文字は変換されます。

ヒント:

ユーザーは通常、変換またはブロックのいずれかを有効にしますが、両方を有効にすることはありません。ブロックアクションが有効になっている場合、それは変換アクションよりも優先されます。ユーザーがブロックを有効にしている場合、変換を有効にすることは冗長です。

SQLワイルドカード文字の確認—ワイルドカード文字は、SQL（SQL-SELECT）ステートメントの選択範囲を広げるために使用できます。これらのワイルドカード演算子は、LIKEおよびNOT LIKE演算子とともに使用して、値を類似の値と比較できます。パーセント（%）とアンダースコア（_）の文字は、ワイルドカードとして頻繁に使用されます。パーセント記号は、MS-DOSで使用されるアスタリスク（*）ワイルドカード文字に類似しており、フィールド内のゼロ、1つ、または複数の文字に一致します。アンダースコアは、MS-DOSの疑問符（?）ワイルドカード文字に類似しています。式内の単一の数字または文字に一致します。

たとえば、ユーザーは次のクエリを使用して、名前にD文字を含むすべての顧客を見つける文字列検索を実行できます。

SELECT * from customer WHERE name like “%D%”:

以下の例は、演算子を組み合わせて、2桁目と3桁目に0を持つ給与値を見つけます。

SELECT * from customer WHERE salary like ‘_00%’:

異なるDBMSベンダーは、追加の演算子を追加することでワイルドカード文字を拡張しています。Citrix Web Application Firewallは、これらのワイルドカード文字を挿入することによって開始される攻撃から保護できます。デフォルトの5つのワイルドカード文字は、パーセント (%)、アンダースコア (_)、キャレット (^)、開き角括弧 ([), and closing bracket (]) です。この保護は、HTMLプロファイルとXMLプロファイルの両方に適用されます。

デフォルトのワイルドカード文字は、Default Signatures で指定されたリテラルのリストです。

<ワイルドカード文字タイプ=” リテラル”>%</wildchar>
<ワイルドカード文字タイプ=”リテラル”]>_</wildchar>
<ワイルドチャタイプ=”リテラル”>^</wildchar>
<ワイルドチャタイプ=”リテラル”>[</wildchar>
<wildchar type=”LITERAL”>]</wildchar>

攻撃におけるワイルドカード文字は、[^A-F] のようなPCREである可能性があります。Web Application FirewallはPCREワイルドカードもサポートしていますが、ここに示されているリテラルワイルドカード文字は、ほとんどの攻撃をブロックするのに十分です。

注:

SQLワイルドカード文字チェックは、SQL特殊文字チェックとは異なります。このオプションは、誤検知を避けるために注意して使用する必要があります。

SQLインジェクションタイプを含むリクエストのチェック — Web Application Firewallは、アプリケーションの個々のニーズに基づいて、SQLインジェクション検査の厳密さの望ましいレベルを実装するための4つのオプションを提供します。リクエストは、SQL違反を検出するためにインジェクションタイプの仕様に対してチェックされます。4つのSQLインジェクションタイプオプションは次のとおりです。

SQL特殊文字とキーワード — SQL違反をトリガーするには、SQLキーワードとSQL特殊文字の両方が入力に存在する必要があります。この最も制限の少ない設定は、デフォルト設定でもあります。
SQL特殊文字 — SQL違反をトリガーするには、入力に特殊文字の少なくとも1つが存在する必要があります。
SQLキーワード — SQL違反をトリガーするには、指定されたSQLキーワードの少なくとも1つが入力に存在する必要があります。十分な検討なしにこのオプションを選択しないでください。誤検知を避けるため、入力にキーワードが含まれていないことを確認してください。
SQL特殊文字またはキーワード — セキュリティチェック違反をトリガーするには、キーワードまたは特殊文字文字列のいずれかが入力に存在する必要があります。

ヒント:

ユーザーがWeb Application Firewallを構成して、SQL特殊文字を含む入力をチェックするようにした場合、Web Application Firewallは特殊文字を含まないWebフォームフィールドをスキップします。ほとんどのSQLサーバーは特殊文字が先行しないSQLコマンドを処理しないため、このオプションを有効にすると、ユーザーが保護するWebサイトを危険にさらすことなく、Web Application Firewallの負荷を大幅に軽減し、処理を高速化できます。

SQLコメントの処理 — デフォルトでは、Web Application FirewallはすべてのSQLコメントでインジェクションされたSQLコマンドをチェックします。ただし、多くのSQLサーバーは、SQL特殊文字が先行していても、コメント内のすべてを無視します。処理を高速化するために、SQLサーバーがコメントを無視する場合、Web Application Firewallを構成して、インジェクションされたSQLのリクエストを検査する際にコメントをスキップさせることができます。SQLコメントの処理オプションは次のとおりです。

ANSI — 通常、UNIXベースのSQLデータベースで使用されるANSI形式のSQLコメントをスキップします。例:
- /– (2つのハイフン) - これは2つのハイフンで始まり、行末で終わるコメントです。
- {} - 中括弧 (中括弧がコメントを囲みます。{ がコメントの前にあり、} がその後に続きます。中括弧は単一行または複数行のコメントを区切ることができますが、コメントをネストすることはできません)
- /*/: Cスタイルコメント (ネストされたコメントは許可されません)。ご注意ください /! <スラッシュ、アスタリスク、感嘆符で始まるコメントはコメントではありません > */
- MySQLサーバーは、Cスタイルコメントのいくつかのバリアントをサポートしています。これらにより、ユーザーはMySQL拡張機能を含むコードを記述できますが、次の形式のコメントを使用することで、依然としてポータブルです: [/*! MySQL-specific code */]
- .#: MySQLコメント: これは # 文字で始まり、行末で終わるコメントです。
ネスト — 通常、Microsoft SQL Serverで使用されるネストされたSQLコメントをスキップします。例: – (2つのハイフン)、および /**/ (ネストされたコメントを許可)
ANSI/ネスト — ANSIおよびネストされたSQLコメント標準の両方に準拠するコメントをスキップします。ANSI標準のみ、またはネストされた標準のみに一致するコメントは、引き続きインジェクションされたSQLについてチェックされます。
すべてのコメントをチェック — 何もスキップせずに、リクエスト全体でインジェクションされたSQLをチェックします。これがデフォルト設定です。

ヒント:

ほとんどの場合、バックエンドデータベースがMicrosoft SQL Serverで実行されていない限り、ユーザーはNestedまたはANSI/Nestedオプションを選択すべきではありません。他のほとんどの種類のSQLサーバーソフトウェアは、ネストされたコメントを認識しません。別の種類のSQLサーバーに向けられたリクエストにネストされたコメントが含まれている場合、それはそのサーバーのセキュリティを侵害しようとする試みを示している可能性があります。

リクエストヘッダーの確認 — フォームフィールドの入力を検査するだけでなく、HTML SQLインジェクション攻撃のためにリクエストヘッダーを検査したい場合は、このオプションを有効にします。GUIを使用する場合、Web Application FirewallプロファイルのAdvanced Settings -> Profile Settingsペインでこのパラメータを有効にできます。

注:

ユーザーが「リクエストヘッダーの確認」フラグを有効にした場合、User-Agentヘッダーの緩和ルールを設定する必要があるかもしれません。SQLキーワードのlikeとSQL特殊文字のセミコロン(;)が存在すると、誤検知が発生し、このヘッダーを含むリクエストがブロックされる可能性があります。 警告: ユーザーがリクエストヘッダーのチェックと変換の両方を有効にすると、ヘッダー内で見つかったSQL特殊文字も変換されます。Accept、Accept-Charset、Accept-Encoding、Accept-Language、Expect、User-Agentヘッダーには通常セミコロン(;)が含まれています。リクエストヘッダーのチェックと変換を同時に有効にすると、エラーが発生する可能性があります。

InspectQueryContentTypes — 特定のコンテンツタイプに対して、SQLインジェクション攻撃のためにリクエストクエリ部分を検査したい場合は、このオプションを設定します。GUIを使用する場合、Application FirewallプロファイルのAdvanced Settings -> Profile Settingsペインでこのパラメータを設定できます。

クロスサイトスクリプティング

HTMLクロスサイトスクリプティング（クロスサイトスクリプティング）チェックは、ユーザーリクエストのヘッダーとPOSTボディの両方を検査し、クロスサイトスクリプティング攻撃の可能性を調べます。クロスサイトスクリプトが検出された場合、攻撃を無害化するためにリクエストを変更（変換）するか、リクエストをブロックします。

注:

HTMLクロスサイトスクリプティング（クロスサイトスクリプティング）チェックは、コンテンツタイプ、コンテンツ長などにのみ機能します。クッキーには機能しません。また、ユーザーのWeb Application Firewallプロファイルで「checkRequestHeaders」オプションが有効になっていることを確認してください。

ユーザー保護対象のWebサイト上のスクリプトが悪用されてユーザーのWebサイトのセキュリティが侵害されるのを防ぐため、HTMLクロスサイトスクリプティングチェックは、スクリプトが配置されているサーバー以外のサーバー上のコンテンツにアクセスしたり変更したりしてはならないと定める「同一生成元ポリシー」に違反するスクリプトをブロックします。同一生成元ポリシーに違反するスクリプトはクロスサイトスクリプトと呼ばれ、別のサーバー上のコンテンツにアクセスまたは変更するためにスクリプトを使用する行為はクロスサイトスクリプティングと呼ばれます。クロスサイトスクリプティングがセキュリティ上の問題となる理由は、クロスサイトスクリプティングを許可するWebサーバーが、そのWebサーバー上ではなく、攻撃者が所有および制御する別のWebサーバー上のスクリプトによって攻撃される可能性があるためです。

残念ながら、多くの企業は同一生成元ポリシーに違反するJavaScript強化Webコンテンツを大量に導入しています。ユーザーがそのようなサイトでHTMLクロスサイトスクリプティングチェックを有効にする場合、正当なアクティビティがブロックされないように、適切な例外を生成する必要があります。

Web Application Firewallは、HTMLクロスサイトスクリプティング保護を実装するためのさまざまなアクションオプションを提供します。Block、Log、Stats、Learnアクションに加えて、ユーザーは送信されたリクエスト内のスクリプトタグをエンティティエンコードすることで攻撃を無害化するクロスサイトスクリプトの変換オプションも利用できます。ユーザーは、クロスサイトスクリプティングパラメータの「完全なURLをチェック」を設定して、クエリパラメータだけでなくURL全体を検査してクロスサイトスクリプティング攻撃を検出するかどうかを指定できます。ユーザーは、InspectQueryContentTypesパラメータを設定して、特定のコンテンツタイプに対して、クロスサイトスクリプティング攻撃のためにリクエストクエリ部分を検査できます。

ユーザーは誤検知を回避するために緩和策を展開できます。Web Application Firewallの学習エンジンは、緩和ルールの設定に関する推奨事項を提供できます。

ユーザーアプリケーション向けに最適化されたHTMLクロスサイトスクリプティング保護を設定するために、以下のオプションが利用可能です。

ブロック — ユーザーがblockを有効にすると、リクエストでクロスサイトスクリプティングタグが検出された場合にブロックアクションがトリガーされます。
ログ — ユーザーがログ機能を有効にすると、HTMLクロスサイトスクリプティングチェックは、実行されたアクションを示すログメッセージを生成します。blockが無効になっている場合、クロスサイトスクリプティング違反が検出された各ヘッダーまたはフォームフィールドに対して個別のログメッセージが生成されます。ただし、リクエストがブロックされた場合は1つのメッセージのみが生成されます。同様に、複数のフィールドでクロスサイトスクリプティングタグが変換された場合でも、変換操作に対してリクエストごとに1つのログメッセージが生成されます。ユーザーはログを監視して、正当なリクエストへの応答がブロックされているかどうかを判断できます。ログメッセージの数が大幅に増加すると、攻撃を仕掛けようとしていることを示している可能性があります。
統計 — 有効にすると、統計機能は違反とログに関する統計を収集します。統計カウンターの予期せぬ急増は、ユーザーアプリケーションが攻撃を受けていることを示している可能性があります。正当なリクエストがブロックされている場合、ユーザーは新しい緩和ルールを設定する必要があるか、既存のルールを変更する必要があるかを確認するために設定を見直す必要があるかもしれません。
学習 — ユーザーがどの緩和ルールが自分のアプリケーションに最適であるか不明な場合、学習機能を使用して、学習データに基づいてHTMLクロスサイトスクリプティングルールの推奨事項を生成できます。Web Application Firewallの学習エンジンはトラフィックを監視し、観測された値に基づいて学習推奨事項を提供します。パフォーマンスを損なうことなく最適なメリットを得るために、ユーザーは短期間学習オプションを有効にして、ルールの代表的なサンプルを取得し、その後ルールを展開して学習を無効にすることをお勧めします。
クロスサイトスクリプトの変換 — 有効にすると、Web Application FirewallはHTMLクロスサイトスクリプティングチェックに一致するリクエストに対して以下の変更を行います。
- 左山括弧 (<) をHTML文字実体参照 (<) に変換
- 右山括弧 (>) をHTML文字実体参照 (>) に変換

これにより、ブラウザが<script>のような安全でないHTMLタグを解釈して悪意のあるコードを実行することがなくなります。ユーザーがリクエストヘッダーのチェックと変換の両方を有効にすると、リクエストヘッダーで見つかった特殊文字も上記のように変更されます。ユーザーが保護しているウェブサイト上のスクリプトにクロスサイトスクリプティング機能が含まれていても、ユーザーのウェブサイトがそれらのスクリプトに依存して正しく動作しない場合、ユーザーは安全にブロックを無効にして変換を有効にできます。この設定により、正当なウェブトラフィックがブロックされることなく、潜在的なクロスサイトスクリプティング攻撃を阻止できます。

クロスサイトスクリプティングの完全なURLをチェック — 完全なURLのチェックが有効になっている場合、Web Application FirewallはURLのクエリ部分のみをチェックするのではなく、HTMLクロスサイトスクリプティング攻撃のためにURL全体を検査します。
リクエストヘッダーをチェック — リクエストヘッダーのチェックが有効になっている場合、Web Application FirewallはURLだけでなく、HTMLクロスサイトスクリプティング攻撃のためにリクエストのヘッダーを検査します。ユーザーがGUIを使用する場合、Web Application Firewallプロファイルの[設定]タブでこのパラメータを有効にできます。
InspectQueryContentTypes — リクエストクエリの検査が設定されている場合、Application Firewallは特定のコンテンツタイプに対するクロスサイトスクリプティング攻撃のリクエストクエリを検査します。ユーザーがGUIを使用する場合、Application Firewallプロファイルの[設定]タブでこのパラメータを設定できます。

重要:

ストリーミングの変更の一環として、Web Application Firewallによるクロスサイトスクリプティングタグの処理が変更されました。以前のリリースでは、開き括弧 (<)、閉じ括弧 (>)、またはその両方 (<>) の存在がクロスサイトスクリプティング違反としてフラグ付けされていました。リクエストサイドストリーミングのサポートを含むビルドでは、動作が変更されています。閉じ括弧文字 (>) のみが攻撃とは見なされなくなりました。開き括弧文字 (<) が存在する場合でもリクエストはブロックされ、攻撃と見なされます。クロスサイトスクリプティング攻撃がフラグ付けされます。

バッファオーバーフローチェック

バッファオーバーフローチェックは、Webサーバーでバッファオーバーフローを引き起こそうとする試みを検出します。Web Application FirewallがURL、Cookie、またはヘッダーが設定された長さよりも長いことを検出した場合、バッファオーバーフローを引き起こす可能性があるため、リクエストをブロックします。

バッファオーバーフローチェックは、処理できるサイズを超えるデータ文字列を受信したときにクラッシュしたり、予期せぬ動作をしたりする可能性のある、安全でないオペレーティングシステムまたはWebサーバーソフトウェアに対する攻撃を防ぎます。適切なプログラミング技術は、受信データをチェックし、長すぎる文字列を拒否または切り捨てることによって、バッファオーバーフローを防ぎます。しかし、多くのプログラムはすべての受信データをチェックしないため、バッファオーバーフローに対して脆弱です。この問題は、特にWebサーバーソフトウェアやオペレーティングシステムの古いバージョンに影響を与え、その多くはまだ使用されています。

バッファオーバーフローセキュリティチェックでは、ユーザーがブロック、ログ、統計のアクションを設定できます。さらに、ユーザーは以下のパラメータも設定できます。

最大URL長。Webアプリケーションファイアウォールが要求されたURLで許可する最大長。これより長いURLを持つリクエストはブロックされます。可能な値: 0～65535。デフォルト: 1024
最大Cookie長。Webアプリケーションファイアウォールがリクエスト内のすべてのCookieに対して許可する最大長。これより長いCookieを持つリクエストは違反をトリガーします。可能な値: 0～65535。デフォルト: 4096
最大ヘッダー長。WebアプリケーションファイアウォールがHTTPヘッダーに対して許可する最大長。これより長いヘッダーを持つリクエストはブロックされます。可能な値: 0～65535。デフォルト: 4096
クエリ文字列長。受信リクエスト内のクエリ文字列に許可される最大長。これより長いクエリを持つリクエストはブロックされます。可能な値: 0～65535。デフォルト: 1024
合計リクエスト長。受信リクエストに許可される最大リクエスト長。これより長いリクエストはブロックされます。可能な値: 0～65535。デフォルト: 24820

仮想パッチ/シグネチャ

シグネチャは、既知の攻撃からユーザーのWebサイトを保護するタスクを簡素化するための、特定の構成可能なルールを提供します。シグネチャは、オペレーティングシステム、Webサーバー、Webサイト、XMLベースのWebサービス、またはその他のリソースに対する既知の攻撃のコンポーネントであるパターンを表します。事前設定された豊富な組み込みルールまたはネイティブルールは、パターンマッチングの力を適用して攻撃を検出し、アプリケーションの脆弱性から保護する、使いやすいセキュリティソリューションを提供します。

ユーザーは独自のシグネチャを作成することも、組み込みテンプレート内のシグネチャを使用することもできます。Webアプリケーションファイアウォールには、2つの組み込みテンプレートがあります。

デフォルトシグネチャ: このテンプレートには、1,300を超えるシグネチャの事前設定されたリストに加え、SQLインジェクションキーワード、SQL特殊文字列、SQL変換ルール、SQLワイルドカード文字の完全なリストが含まれています。また、クロスサイトスクリプティングの拒否パターン、およびクロスサイトスクリプティングの許可された属性とタグも含まれています。これは読み取り専用テンプレートです。ユーザーは内容を表示できますが、このテンプレートに何かを追加、編集、または削除することはできません。これを使用するには、ユーザーはコピーを作成する必要があります。独自のコピーでは、ユーザーはトラフィックに適用したいシグネチャルールを有効にし、シグネチャルールがトラフィックと一致した場合に実行するアクションを指定できます。

シグネチャは、SNORTによって公開されたルールから派生しています。SNORTは、さまざまな攻撃やプローブを検出するためにリアルタイムトラフィック分析を実行できるオープンソースの侵入防止システムです。

*XPathインジェクションパターン: このテンプレートには、XPath (XML Path Language) インジェクション攻撃を検出するために使用される、リテラルおよびPCREキーワードと特殊文字列の事前設定されたセットが含まれています。

空白のシグネチャ: 組み込みのデフォルトシグネチャテンプレートのコピーを作成するだけでなく、ユーザーは空白のシグネチャテンプレートを使用してシグネチャオブジェクトを作成できます。空白のシグネチャオプションでユーザーが作成するシグネチャオブジェクトには、ネイティブシグネチャルールはありませんが、*デフォルトテンプレートと同様に、すべてのSQL/XSS組み込みエンティティが含まれています。

外部形式シグネチャ: Webアプリケーションファイアウォールは、外部形式シグネチャもサポートしています。ユーザーは、Citrix WebアプリケーションファイアウォールでサポートされているXSLTファイルを使用して、サードパーティのスキャンレポートをインポートできます。選択されたスキャンツール向けに、外部形式ファイルをネイティブ形式に変換するための組み込みXSLTファイルのセットが利用可能です（このセクションの後半で組み込みXSLTファイルのリストを参照してください）。

シグネチャは、ユーザーが露出した脆弱性のリスクを軽減し、ユーザーのミッションクリティカルなWebサーバーを保護するのに役立ちますが、効果を追求する一方で、シグネチャには追加のCPU処理コストがかかります。

ユーザーのアプリケーションのニーズに合った適切なシグネチャを選択することが重要です。顧客のアプリケーション/環境に関連するシグネチャのみを有効にしてください。

Citrixは、プラットフォーム/OS/テクノロジー全体で10以上の異なるカテゴリのシグネチャを提供しています。

イメージ-vpx-aws-アプリケーションセキュリティ-デプロイメント-16

攻撃情報が長年にわたって蓄積されてきたため、シグネチャルールデータベースは膨大です。そのため、ソフトウェア開発者がすでにパッチを適用しているか、顧客がより新しいバージョンのOSを実行しているため、古いルールのほとんどはすべてのネットワークに関連しない可能性があります。

シグネチャの更新

Citrix Web Application Firewallは、シグネチャの自動および手動更新の両方をサポートしています。シグネチャを最新の状態に保つために、自動更新を有効にすることもお勧めします。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-17

これらのシグネチャファイルはAWS環境でホストされており、最新のシグネチャファイルを取得するために、ネットワークファイアウォールからNetScaler® IPへのアウトバウンドアクセスを許可することが重要です。リアルタイムトラフィックの処理中にADCにシグネチャを更新しても影響はありません。

アプリケーションセキュリティ分析

アプリケーションセキュリティダッシュボードは、ユーザーアプリケーションのセキュリティ状態を包括的に表示します。たとえば、セキュリティ違反、シグネチャ違反、脅威インデックスなどの主要なセキュリティメトリックが表示されます。アプリケーションセキュリティダッシュボードには、検出されたCitrix ADCインスタンスのSYN攻撃、スモールウィンドウ攻撃、DNSフラッド攻撃などの攻撃関連情報も表示されます。

注:

アプリケーションセキュリティダッシュボードのメトリックを表示するには、ユーザーが監視したいCitrix ADCインスタンスでセキュリティインサイト用のAppFlow®を有効にする必要があります。

アプリケーションセキュリティダッシュボードでCitrix ADCインスタンスのセキュリティメトリックを表示するには

管理者資格情報を使用してCitrix ADMにログオンします。
「アプリケーション」>「アプリケーションセキュリティダッシュボード」に移動し、「デバイス」リストからインスタンスのIPアドレスを選択します。

ユーザーは、グラフにプロットされたバブルをクリックすることで、Application Security Investigatorで報告された不一致をさらに詳しく調べることができます。

ADMでの集中学習

Citrix Web Application Firewall (WAF) は、SQLインジェクションやクロスサイトスクリプティング (XSS) などの悪意のある攻撃からユーザーのWebアプリケーションを保護します。データ侵害を防ぎ、適切なセキュリティ保護を提供するために、ユーザーは脅威や攻撃に関するリアルタイムの実行可能なデータについてトラフィックを監視する必要があります。報告された攻撃が誤検知である場合があり、それらは例外として提供される必要があります。

Citrix ADMの集中学習は、WAFがユーザーのWebアプリケーションの動作（通常の活動）を学習できるようにする反復パターンフィルターです。監視に基づいて、エンジンはHTTPトラフィックに適用される各セキュリティチェックに対して、推奨されるルールまたは例外のリストを生成します。

学習エンジンを使用して緩和ルールを展開する方が、必要な緩和策として手動で展開するよりもはるかに簡単です。

学習機能を展開するには、ユーザーはまずCitrix ADCアプライアンスでWeb Application Firewallプロファイル（セキュリティ設定のセット）を設定する必要があります。詳細については、「Web Application Firewallプロファイルの作成: Creating Web App Firewall Profiles」を参照してください。

Citrix ADMは、各セキュリティチェックに対して例外（緩和策）のリストを生成します。管理者として、ユーザーはCitrix ADMで例外のリストを確認し、展開するかスキップするかを決定できます。

Citrix ADMのWAF学習機能を使用すると、ユーザーは次のことができます。

次のセキュリティチェックで学習プロファイルを構成します
- バッファオーバーフロー
- HTMLクロスサイトスクリプティング
注:

ロケーションのクロスサイトスクリプトの制限はFormFieldのみです。
- HTML SQLインジェクション
注記:

HTML SQLインジェクションチェックの場合、ユーザーはCitrix ADCインスタンスでset -sqlinjectionTransformSpecialCharsをONに、set -sqlinjectiontype sqlspclcharorkeywordsを設定する必要があります。
Citrix ADMで緩和ルールを確認し、必要なアクション（展開またはスキップ）を実行するかどうかを決定します
メール、Slack、ServiceNowを介して通知を受け取る
ダッシュボードを使用して緩和の詳細を表示する

Citrix ADMでWAF学習を使用するには:

学習プロファイルを構成する: 学習プロファイルの構成
緩和ルールを表示する: 緩和ルールとアイドルルールを表示
WAF学習ダッシュボードを使用する: WAF学習ダッシュボードを表示

スタイルブック

Citrix Web Application Firewallは、Webアプリケーションとサイトを、既知および未知の攻撃の両方から、すべてのアプリケーション層およびゼロデイの脅威を含めて保護するWeb Application Firewall (WAF) です。

Citrix ADMは現在、ユーザーがCitrix ADCインスタンス上でアプリケーションファイアウォール構成をより便利に作成できるデフォルトのStyleBookを提供しています。

アプリケーションファイアウォール構成の展開

以下のタスクは、ビジネスネットワーク内のCitrix ADCインスタンス上で、アプリケーションファイアウォールおよびIPレピュテーションポリシーとともにロードバランシング構成を展開するのに役立ちます。

アプリケーションファイアウォール設定を含むLB構成を作成するには

Citrix ADM で、アプリケーション > 構成 > スタイルブック の順に移動します。スタイルブックページには、Citrix で顧客が利用できるすべてのスタイルブックが表示されます。

ADM。下にスクロールして、アプリケーションファイアウォールポリシーとIPレピュテーションポリシーを含むHTTP/SSLロードバランシングStyleBookを見つけます。ユーザーは、lb-appfw のように名前を入力してStyleBookを検索することもできます。Create Configuration をクリックします。

StyleBook はユーザーインターフェイスページとして開き、ユーザーはこの StyleBook で定義されているすべてのパラメーターの値を入力できます。

以下のパラメーターの値を入力します。
- ロードバランシングされたアプリケーション名。ユーザーネットワークに展開するアプリケーションファイアウォールを備えたロードバランシング構成の名前。
- ロードバランシングされたアプリの仮想IPアドレス。Citrix ADC インスタンスがクライアント要求を受信する仮想IPアドレス。
- ロードバランシングされたアプリの仮想ポート。ロードバランシングされたアプリケーションにアクセスする際にユーザーが使用するTCPポート。
- ロードバランシングされたアプリのプロトコル。リストからフロントエンドプロトコルを選択します。
- アプリケーションサーバープロトコル。アプリケーションサーバーのプロトコルを選択します。

VPX AWS アプリケーションセキュリティ展開の画像 18

オプションとして、ユーザーは高度なロードバランサー設定を有効にして構成できます。

VPX AWS アプリケーションセキュリティ展開の画像 19

オプションで、ユーザーはロードバランシング仮想サーバーのトラフィックを認証するための認証サーバーを設定することもできます。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-20

サーバーIPとポートのセクションで「+」をクリックして、アプリケーションサーバーとアクセス可能なポートを作成します。

イメージ-VPX-AWS-アプリケーションセキュリティ-デプロイ-21

ユーザーはアプリケーションサーバーのFQDN名を作成することもできます。

イメージ-VPX-AWS-アプリケーションセキュリティ-デプロイ-22

ユーザーはSSL証明書の詳細を指定することもできます。

イメージ-VPX-AWS-アプリケーションセキュリティ-デプロイ-23

ユーザーはターゲットのCitrix ADCインスタンスでモニターを作成することもできます。

イメージ-VPX-AWS-アプリケーションセキュリティ-デプロイ-24

仮想サーバーでアプリケーションファイアウォールを構成するには、WAF設定を有効にします。

ユーザーがそのVIP上のすべてのトラフィックにアプリケーションファイアウォール設定を適用したい場合は、アプリケーションファイアウォールポリシー規則がtrueであることを確認してください。そうでない場合は、アプリケーションファイアウォール設定を適用するリクエストのサブセットを選択するために、Citrix ADCポリシー規則を指定します。次に、適用するプロファイルの種類（HTMLまたはXML）を選択します。

イメージ-VPX-AWS-アプリケーションセキュリティ-デプロイ-25

オプションで、ユーザーはアプリケーションファイアウォールプロファイル設定チェックボックスを有効にすることで、詳細なアプリケーションファイアウォールプロファイル設定を構成できます。
オプションで、ユーザーがアプリケーションファイアウォール署名を構成したい場合は、仮想サーバーが展開されるCitrix ADCインスタンスで作成された署名オブジェクトの名前を入力します。

注:

ユーザーはこのStyleBookを使用して署名オブジェクトを作成できません。

次に、ユーザーはStartURL設定、DenyURL設定などの他のアプリケーションファイアウォールプロファイル設定も構成できます。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-26

アプリケーションファイアウォールと構成設定の詳細については、「アプリケーションファイアウォール」を参照してください。

「ターゲットインスタンス」セクションで、アプリケーションファイアウォールを使用して負荷分散仮想サーバーを展開するCitrix ADCインスタンスを選択します。

注:

ユーザーは更新アイコンをクリックして、Citrix ADMで最近検出されたCitrix ADCインスタンスをこのウィンドウの利用可能なインスタンスリストに追加することもできます。

ユーザーは、不要なリクエストを送信しているIPアドレスを特定するために、IPレピュテーションチェックを有効にすることもできます。ユーザーはIPレピュテーションリストを使用して、評判の悪いIPからのリクエストを事前に拒否できます。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-27

ヒント:

Citrixは、インスタンスで実際の構成を実行する前に、ターゲットインスタンスで作成する必要がある構成オブジェクトを確認するために、ユーザーがドライランを選択することを推奨します。

構成が正常に作成されると、StyleBookは必要な負荷分散仮想サーバー、アプリケーションサーバー、サービス、サービスグループ、アプリケーションファイアウォールラベル、アプリケーションファイアウォールポリシーを作成し、それらを負荷分散仮想サーバーにバインドします。

次の図は、各サーバーで作成されたオブジェクトを示しています。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-28

Citrix ADMで作成されたConfigPackを表示するには、アプリケーション > 構成に移動します。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-29

セキュリティインサイト分析

インターネットに公開されているWebおよびWebサービスアプリケーションは、攻撃に対してますます脆弱になっています。アプリケーションを攻撃から保護するために、ユーザーは過去、現在、および差し迫った脅威の性質と範囲、攻撃に関するリアルタイムの実行可能なデータ、および対策に関する推奨事項を可視化する必要があります。Security Insightは、ユーザーがアプリケーションのセキュリティ状態を評価し、ユーザーアプリケーションを保護するための是正措置を講じるのに役立つ単一ペインソリューションを提供します。

セキュリティインサイトの仕組み

Security Insightは、ユーザーアプリケーションに関連する脅威環境を完全に可視化する、直感的なダッシュボードベースのセキュリティ分析ソリューションです。Security InsightはCitrix ADMに含まれており、ユーザーのアプリケーションファイアウォールとADCシステムセキュリティ構成に基づいて定期的にレポートを生成します。レポートには、各アプリケーションに関する次の情報が含まれます。

脅威インデックス。アプリケーションがADCアプライアンスによって保護されているかどうかに関係なく、アプリケーションに対する攻撃の重要度を示す1桁の評価システムです。アプリケーションに対する攻撃が重要であるほど、そのアプリケーションの脅威インデックスは高くなります。値の範囲は1から7です。

脅威インデックスは攻撃情報に基づいています。違反の種類、攻撃カテゴリ、場所、クライアントの詳細などの攻撃関連情報は、アプリケーションに対する攻撃に関する洞察をユーザーに提供します。違反情報がCitrix ADMに送信されるのは、違反または攻撃が発生した場合のみです。多くの侵害や脆弱性が高い脅威インデックス値につながります。

安全インデックス。外部の脅威や脆弱性からアプリケーションを保護するために、ユーザーがADCインスタンスをどの程度安全に構成しているかを示す1桁の評価システムです。アプリケーションのセキュリティリスクが低いほど、安全インデックスは高くなります。値の範囲は1から7です。

安全インデックスは、アプリケーションファイアウォール構成とADCシステムセキュリティ構成の両方を考慮します。高い安全インデックス値を得るには、両方の構成が強力である必要があります。たとえば、厳格なアプリケーションファイアウォールチェックが実施されていても、nsroot ユーザーの強力なパスワードなどのADCシステムセキュリティ対策が採用されていない場合、アプリケーションには低い安全インデックス値が割り当てられます。

実用的な情報。脅威インデックスを下げ、安全インデックスを上げて、アプリケーションセキュリティを大幅に向上させるためにユーザーが必要とする情報です。たとえば、ユーザーは、違反、アプリケーションファイアウォールやその他のセキュリティ機能の既存および不足しているセキュリティ構成、アプリケーションが攻撃されている頻度などに関する情報を確認できます。

セキュリティインサイトの構成

注記:

Security Insightは、PremiumライセンスまたはAppFirewallライセンス付きのADC Advancedを持つADCインスタンスでのみサポートされています。

ADCインスタンスでSecurity Insightを構成するには、まずアプリケーションファイアウォールプロファイルとアプリケーションファイアウォールポリシーを構成し、次にアプリケーションファイアウォールポリシーをグローバルにバインドします。

次に、AppFlow機能を有効にし、AppFlowコレクター、アクション、およびポリシーを構成し、ポリシーをグローバルにバインドします。コレクターを構成する際、ユーザーはレポートを監視したいCitrix ADMサービスエージェントのIPアドレスを指定する必要があります。

ADCインスタンスでセキュリティインサイトを構成する

アプリケーションファイアウォールプロファイルとポリシーを構成し、アプリケーションファイアウォールポリシーをグローバルまたはロードバランシング仮想サーバーにバインドするには、次のコマンドを実行します。

appfw プロファイルを追加 <name> [-defaults ( 基本または詳細 )]

set appfw profile <name> [-startURLAction <startURLAction> …]

add appfw policy <name> <rule> <profileName>

アプリケーションファイアウォールグローバルをバインド <policyName> <priority>

または、

ロードバランシング仮想サーバーをバインド <lb vserver> -ポリシー名 <policy> -優先度 <priority>

例:

add appfw profile pr_appfw -defaults advanced

set appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority "20"

<!--NeedCopy-->

AppFlow機能を有効にし、AppFlowコレクター、アクション、およびポリシーを設定し、ポリシーをグローバルに、または負荷分散仮想サーバーにバインドするには、次のコマンドを実行します。

アップフローコレクターを追加 <name> -IPアドレス <ipaddress>

appflow パラメータを設定 [-セキュリティインサイトRecordInterval <secs>] [-セキュリティインサイトTraffic ( 有効または無効 )]

appflow アクションを追加 <name> -コレクター <string>

アプリケーションフローポリシーを追加 <name> <rule> <action>

bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

または、

バインドロードバランシング仮想サーバー <vserver> -ポリシー名 <policy> -優先度 <priority>

サンプル:

add appflow collector col -IPAddress 10.102.63.85

set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"

<!--NeedCopy-->

Citrix ADMからセキュリティインサイトを有効にする

ネットワーク > インスタンス > Citrix ADC に移動し、インスタンスタイプを選択します。例: VPX。
インスタンスを選択し、アクションの選択リストから分析の構成を選択します。
仮想サーバーでの分析の構成ウィンドウで:
- セキュリティインサイトを有効にする仮想サーバーを選択し、分析を有効にするをクリックします。
分析を有効にするウィンドウが表示されます。
- 「セキュリティインサイト」を選択します
- 詳細オプションで、転送モードとしてLogstreamまたはIPFIXを選択します
- 式はデフォルトでtrueです
- OKをクリックします

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-30

注記:

ユーザーがライセンスされていない仮想サーバーを選択した場合、Citrix ADMはまずそれらの仮想サーバーにライセンスを付与し、その後分析を有効にします

管理パーティションでは、Web Insightのみがサポートされています

ユーザーがOKをクリックすると、Citrix ADMは選択された仮想サーバーでアナリティクスを有効にする処理を行います。

image-vpx-aws-appsecurity-deployment-31

注:

ユーザーがグループを作成する際、そのグループにロールを割り当てたり、アプリケーションレベルのアクセス権を付与したり、ユーザーをグループに割り当てたりできます。Citrix ADMアナリティクスは、仮想IPアドレスベースの認証をサポートするようになりました。顧客ユーザーは、承認されたアプリケーション（仮想サーバー）のみのすべてのInsightsレポートを参照できるようになりました。グループとユーザーのグループへの割り当てに関する詳細については、Citrix ADMでのグループの設定: Citrix ADMでのグループの設定を参照してください。

しきい値

ユーザーは、Security Insightでアプリケーションの安全指数と脅威指数のしきい値を設定および表示できます。

しきい値を設定するには

システム > 分析設定 > しきい値 に移動し、追加を選択します。
Traffic TypeフィールドでトラフィックタイプをSecurityとして選択し、Name、Duration、entityなどの他の適切なフィールドに必要情報を入力します。
Ruleセクションで、Metric、Comparator、およびValueフィールドを使用してしきい値を設定します。例: 「脅威指数」「>」「5」
Createをクリックします。

しきい値違反を表示するには

「アナリティクス」>「セキュリティインサイト」>「デバイス」の順に移動し、ADCインスタンスを選択します。
Applicationセクションで、ユーザーはThreshold Breach列に表示される各仮想サーバーで発生したしきい値違反の数を確認できます。

セキュリティインサイトのユースケース

以下のユースケースでは、ユーザーがセキュリティインサイトを使用してアプリケーションの脅威への露出を評価し、セキュリティ対策を改善する方法について説明します。

脅威環境の概要を取得する

このユースケースでは、ユーザーは攻撃にさらされている一連のアプリケーションを持っており、Citrix ADMを構成して脅威環境を監視しています。ユーザーは、脅威インデックス、安全インデックス、およびアプリケーションが経験した可能性のある攻撃の種類と重大度を頻繁に確認し、最も注意が必要なアプリケーションに最初に焦点を当てられるようにする必要があります。セキュリティインサイトダッシュボードは、ユーザーが選択した期間、および選択したADCデバイスについて、ユーザーアプリケーションが経験した脅威の概要を提供します。これには、アプリケーションのリスト、それらの脅威および安全インデックス、および選択した期間の総攻撃数が表示されます。

たとえば、ユーザーはMicrosoft Outlook、Microsoft Lync、SharePoint、およびSAPアプリケーションを監視している可能性があり、これらのアプリケーションの脅威環境の概要を確認したい場合があります。

脅威環境の概要を取得するには、Citrix ADMにログオンし、Analytics > Security Insight に移動します。

各アプリケーションの主要情報が表示されます。デフォルトの期間は1時間です。

画像-VPX-AWS-アプリセキュリティ-デプロイメント-32

異なる期間の情報を表示するには、左上のリストから期間を選択します。

画像-VPX-AWS-アプリセキュリティ-デプロイメント-33

別のADCインスタンスの概要を表示するには、Devices の下で、ADCインスタンスのIPアドレスをクリックします。アプリケーションリストを特定の列で並べ替えるには、列ヘッダーをクリックします。

アプリケーションの脅威への露出を判断する

セキュリティインサイトダッシュボードで脅威環境の概要を確認し、脅威インデックスが高く安全インデックスが低いアプリケーションを特定した後、ユーザーはそれらを保護する方法を決定する前に、脅威への露出を判断したいと考えます。つまり、ユーザーはインデックス値を低下させた攻撃の種類と重大度を判断したいのです。ユーザーは、アプリケーションの概要を確認することで、アプリケーションの脅威への露出を判断できます。

この例では、Microsoft Outlookの脅威インデックス値は6であり、ユーザーはこの高い脅威インデックスに寄与している要因を知りたいと考えています。

Microsoft Outlookの脅威への露出を判断するには、Security Insight ダッシュボードで Outlook をクリックします。アプリケーションの概要には、サーバーの地理的位置を特定するマップが含まれています。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-34

「脅威インデックス」>「セキュリティチェック違反」をクリックし、表示される違反情報を確認します。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-35

「署名違反」をクリックし、表示される違反情報を確認します。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-36

アプリケーションの既存および不足しているセキュリティ構成を特定する

アプリケーションの脅威エクスポージャーを確認した後、ユーザーは、そのアプリケーションにどのようなアプリケーションセキュリティ構成が設定されており、どのような構成が不足しているかを判断したいと考えます。ユーザーは、アプリケーションのセーフティインデックスサマリーをドリルダウンすることで、この情報を取得できます。

セーフティインデックスサマリーは、以下のセキュリティ構成の有効性に関する情報をユーザーに提供します。

アプリケーションファイアウォール構成。設定されていない署名およびセキュリティエンティティの数を示します。
Citrix ADMシステムセキュリティ。設定されていないシステムセキュリティ設定の数を示します。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-37

以前のユースケースでは、ユーザーは脅威インデックス値が6であるMicrosoft Outlookの脅威エクスポージャーを確認しました。現在、ユーザーはOutlookにどのようなセキュリティ構成が設定されており、脅威インデックスを改善するためにどのような構成を追加できるかを知りたいと考えています。

Security Insightダッシュボードで「Outlook」をクリックし、次に「Safety Index」タブをクリックします。「Safety Index Summary」領域に表示される情報を確認します。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-38

アプリケーションファイアウォール構成ノードで「Outlook_Profile」をクリックし、円グラフでセキュリティチェックと署名違反の情報を確認します。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-39

アプリケーションファイアウォールの概要テーブルで、各保護タイプの構成ステータスを確認します。テーブルを列で並べ替えるには、列ヘッダーをクリックします。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-40

Citrix ADM System Securityノードをクリックし、システムセキュリティ設定と、アプリケーションの安全指数を向上させるためのCitrixの推奨事項を確認します。

すぐに注意が必要なアプリケーションを特定する

すぐに注意が必要なアプリケーションとは、脅威指数が高く、安全指数が低いアプリケーションです。

この例では、Microsoft OutlookとMicrosoft Lyncの両方が脅威指数6と高い値を示していますが、Lyncの方が2つの安全指数のうち低い方です。したがって、ユーザーはOutlookの脅威環境を改善する前に、Lyncに注意を集中する必要があるかもしれません。

VPX on AWS アプリケーションセキュリティ展開の画像 41

特定の期間における攻撃数を特定する

ユーザーは、特定の時点における特定のアプリケーションで発生した攻撃数を特定したい場合や、特定の期間における攻撃率を調査したい場合があります。

Security Insightページで、任意のアプリケーションをクリックし、アプリケーション概要で違反の数をクリックします。合計違反ページには、1時間、1日、1週間、1か月間の攻撃がグラフ形式で表示されます。

VPX on AWS アプリケーションセキュリティ展開の画像 42

アプリケーション概要テーブルには、攻撃に関する詳細が記載されています。その一部を以下に示します。

攻撃時刻
攻撃が発生したクライアントのIPアドレス
重大度
違反のカテゴリ
攻撃元のURL、およびその他の詳細。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-43

ユーザーは、画像に示されているように、時間ごとのレポートで常に攻撃時刻を表示できますが、集計レポートでは、日次または週次レポートでも攻撃時刻の範囲を表示できるようになりました。ユーザーが期間リストから「1日」を選択すると、Security Insightレポートには集計されたすべての攻撃が表示され、攻撃時刻は1時間範囲で表示されます。ユーザーが「1週間」または「1か月」を選択すると、すべての攻撃が集計され、攻撃時刻は1日範囲で表示されます。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-44

セキュリティ侵害に関する詳細情報の取得

ユーザーは、アプリケーションに対する攻撃のリストを表示し、攻撃の種類と重大度、ADCインスタンスによって実行されたアクション、要求されたリソース、および攻撃元に関する洞察を得たいと考えるかもしれません。

たとえば、ユーザーはMicrosoft Lyncに対する攻撃がいくつブロックされたか、どのようなリソースが要求されたか、および攻撃元のIPアドレスを特定したいと考えるかもしれません。

Security Insightダッシュボードで、Lync > Total Violationsをクリックします。テーブルで、Action Taken列ヘッダーのフィルターアイコンをクリックし、Blockedを選択します。

VPX AWSアプリケーションセキュリティ展開の画像45

要求されたリソースに関する情報については、URL列を確認してください。攻撃元に関する情報については、Client IP列を確認してください。

ログ式の詳細を表示

Citrix ADCインスタンスは、Application Firewallプロファイルで構成されたログ式を使用して、ユーザー企業内のアプリケーションに対する攻撃に対処します。Security Insightでは、ユーザーはADCインスタンスが使用するログ式に対して返される値を表示できます。これらの値には、リクエストヘッダー、リクエストボディなどが含まれます。ログ式の値に加えて、ユーザーは、ADCインスタンスが攻撃に対処するために使用したApplication Firewallプロファイルで定義されたログ式の名前とコメントも表示できます。

前提条件

ユーザーが以下を確実に行うようにします。

アプリケーションファイアウォールプロファイルでログ式を構成します。詳細については、「アプリケーションファイアウォール」を参照してください。
Citrix ADMでログ式ベースのSecurity Insights設定を有効にします。次の手順を実行します。
- アナリティクス > 設定に移動し、アナリティクス機能の有効化 をクリックします。
- 「分析機能の有効化」ページで、「ログ式ベースのセキュリティインサイト設定」セクションの「セキュリティインサイトを有効にする」を選択し、「OK」をクリックします。

画像-VPX-AWS-アプリセキュリティ-デプロイメント-46

たとえば、ユーザーは、ユーザー企業内のMicrosoft Lyncへの攻撃に対してADCインスタンスが実行したアクションによって返されたログ式の値を表示したい場合があります。

Security Insightダッシュボードで、Lync > Total Violations に移動します。[Application Summary] テーブルで、URLをクリックして、ログ式の名前、コメント、およびアクションに対してADCインスタンスによって返された値を含む、Violation Information ページで違反の完全な詳細を表示します。

画像-vpx-aws-アプリケーションセキュリティ-展開-47

構成を展開する前に安全性インデックスを決定する

セキュリティ侵害は、ユーザーがADCインスタンスにセキュリティ構成を展開した後に発生しますが、ユーザーは展開する前にセキュリティ構成の有効性を評価したい場合があります。

たとえば、ユーザーは、IPアドレス10.102.60.27のADCインスタンス上のSAPアプリケーションの構成の安全性インデックスを評価したい場合があります。

Security Insightダッシュボードの Devices で、ユーザーが構成したADCインスタンスのIPアドレスをクリックします。脅威インデックスと攻撃の総数の両方が0であることがわかります。脅威インデックスは、アプリケーションに対する攻撃の数と種類の直接的な反映です。攻撃がゼロであることは、アプリケーションが脅威にさらされていないことを示します。

画像-vpx-aws-アプリケーションセキュリティ-展開-48

Sap > Safety Index > SAP_Profile をクリックし、表示される安全性インデックス情報を評価します。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-49

アプリケーションファイアウォールの概要では、ユーザーはさまざまな保護設定の構成ステータスを表示できます。設定がログに設定されている場合、または設定が構成されていない場合、アプリケーションには低い安全指数が割り当てられます。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-50

セキュリティ違反

アプリケーションセキュリティ違反の詳細を表示

インターネットに公開されているWebアプリケーションは、攻撃に対して劇的に脆弱になっています。Citrix ADMを使用すると、ユーザーは実用的な違反の詳細を視覚化して、アプリケーションを攻撃から保護できます。セキュリティ > セキュリティ違反に移動すると、次の単一ペインソリューションが表示されます。

ネットワーク、ボット、WAFなどのカテゴリに基づいてアプリケーションセキュリティ違反にアクセスする
アプリケーションを保護するための是正措置を講じる

Citrix ADMでセキュリティ違反を表示するには、以下を確認してください。

ユーザーはCitrix ADCインスタンスのプレミアムライセンスを持っていること（WAFおよびBOT違反の場合）。
ユーザーは、負荷分散またはコンテンツスイッチング仮想サーバーにライセンスを適用していること（WAFおよびBOTの場合）。詳細については、「仮想サーバーでのライセンス管理」を参照してください。
ユーザーは追加の設定を有効にしていること。詳細については、Citrix製品ドキュメントの「設定」セクションにある手順を参照してください。「設定」。

違反カテゴリ**

Citrix ADMでは、以下の違反を表示できます。

ネットワーク	ボット	WAF
HTTP スローロリス	過剰なクライアント接続	異常に高いアップロードトランザクション
DNS スローロリス	アカウント乗っ取り**	異常に高いダウンロードトランザクション
HTTP スローポスト	異常に高いアップロード量	過剰なユニークIP
NXDomainフラッド攻撃	異常に高いリクエストレート	地域ごとの過剰なユニークIP
HTTP デシンク攻撃	異常に高いダウンロード量
ブライヒェンバッハー攻撃
セグメントスマック攻撃
SYNフラッド攻撃

** - ユーザーはCitrix ADMでアカウント乗っ取り設定を構成する必要があります。アカウント乗っ取りの前提条件については、アカウント乗っ取りを参照してください。

これらの違反とは別に、ユーザーはWAFおよびBotカテゴリの下で、以下のSecurity InsightおよびBot Insightの違反も表示できます。

WAF	ボット
バッファオーバーフロー	クローラー
コンテンツタイプ	フィードフェッチャー
クッキーの一貫性	リンクチェッカー
CSRFフォームタグ付け	マーケティング
URL拒否	スクレイパー
フォームフィールドの一貫性	スクリーンショット作成者
フィールド形式	検索エンジン
最大アップロード数	サービスエージェント
リファラーヘッダー	サイトモニター
セーフコマース	スピードテスター
セーフオブジェクト	ツール
HTML SQLインジェクション	分類なし
開始URL	ウイルススキャナー
XSS	脆弱性スキャナー
XMLサービス拒否	DeviceFP待機時間超過
XML形式	無効なデバイスFP
エックスエムエルダブリューエスアイ	無効なCAPTCHA応答
エックスエムエルエスエスエル	CAPTCHA試行回数超過
XML添付ファイル	有効なCAPTCHA応答
エックスエムエルソープフォルト	Captchaクライアントミュート
XML検証	Captcha待機時間超過
その他	リクエストサイズ制限超過
IPレピュテーション	レート制限超過
HTTPサービス拒否	ブロックリスト (IP、サブネット、ポリシー式)
TCPスモールウィンドウ	許可リスト (IP、サブネット、ポリシー式)
シグネチャ違反	ゼロピクセルリクエスト
ファイルアップロードタイプ	ソースIP
ジェイソン XSS	ホスト
ジェイソン SQL	ジオロケーション
ジェイソン・ドス	URL
コマンドインジェクション
コンテンツタイプXMLの推測
Cookieハイジャック

セットアップ

ユーザーは、Citrix ADMで以下の違反を表示するには、アドバンストセキュリティアナリティクスを有効にし、ウェブトランザクション設定をすべてに設定する必要があります。

異常に高いアップロードトランザクション (WAF)
異常に高いダウンロードトランザクション (WAF)
過剰なユニークIP (WAF)
アカウント乗っ取り (BOT)

その他の違反については、Metrics Collector が有効になっていることを確認してください。デフォルトでは、Citrix ADC インスタンスで Metrics Collector が有効になっています。詳細については、「インテリジェントアプリ分析の構成」を参照してください。

高度なセキュリティ分析を有効にする

Networks > Instances > Citrix ADC に移動し、インスタンスタイプを選択します。例: MPX。
Citrix ADC インスタンスを選択し、Select Action と表示されているリストから Configure Analytics を選択します。
仮想サーバーを選択し、Enable Analytics をクリックします。
Enable Analytics と表示されているウィンドウで:
- Web Insight を選択します。ユーザーが Web Insight を選択すると、読み取り専用の Advanced Security Analytics オプションが自動的に有効になります。
注: Advanced Security Analytics オプションは、プレミアムライセンスの ADC インスタンスでのみ表示されます。
- トランスポートモードとして Logstream を選択します
- 式はデフォルトで true です
- OK をクリックします

VPX AWS アプリケーションセキュリティデプロイメント 51 の画像

Webトランザクション設定を有効にする

アナリティクス > 設定 に移動します。

「設定」ページが表示されます。

「分析機能の有効化」をクリックします。
「Webトランザクション設定」で「すべて」を選択します。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-52

「OK」をクリックします。

セキュリティ違反ダッシュボード

セキュリティ違反ダッシュボードでは、ユーザーは以下を表示できます。

すべてのADCインスタンスとアプリケーションで発生した合計違反。合計違反は、選択した期間に基づいて表示されます。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-53

各カテゴリの合計違反。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-54

影響を受けたADCの合計、影響を受けたアプリケーションの合計、および合計発生数と影響を受けたアプリケーションに基づく上位の違反。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-55

違反の詳細

各違反について、Citrix ADMは特定の期間の動作を監視し、異常な動作の違反を検出します。各タブをクリックして、違反の詳細を表示します。ユーザーは次のような詳細を表示できます。

発生総数、最終発生日時、および影響を受けたアプリケーションの総数
イベント詳細では、ユーザーは以下を表示できます。
- 影響を受けたアプリケーション。2つ以上のアプリケーションが違反の影響を受けている場合、ユーザーはリストからアプリケーションを選択することもできます。
- 違反を示すグラフ。
違反を一覧表示するグラフ上でドラッグして選択し、違反検索を絞り込みます。

ズームのリセットをクリックして、ズーム結果をリセットします
- ユーザーに問題のトラブルシューティングを提案する推奨されるアクション
- 違反発生時刻や検出メッセージなど、その他の違反詳細

ボットインサイト

Citrix ADM でのボットインサイトの使用

ユーザーがCitrix ADCでボット管理を設定した後、Citrix ADMでインサイトを表示するには、仮想サーバーでBot Insightを有効にする必要があります。

Bot Insightを有効にするには：

Networks > Instances > Citrix ADCに移動し、インスタンスタイプを選択します。例：VPX。
インスタンスを選択し、Select ActionリストからConfigure Analyticsを選択します。
仮想サーバーを選択し、Enable Analytics をクリックします。
分析を有効にするウィンドウで:
- 「ボットインサイト」を選択します。
- 「詳細オプション」で、「ログストリーム」を選択します。
- OK をクリックします。

ボットインサイトを有効にした後、アナリティクス > セキュリティ > ボットインサイトに移動します。

VPX-AWSアプリケーションセキュリティデプロイメント画像-58

ボットの詳細を表示する時間リスト
スライダーをドラッグして特定の時間範囲を選択し、Go をクリックしてカスタマイズされた結果を表示します。
ボットから影響を受けたインスタンスの合計
選択したインスタンスの仮想サーバーとボット攻撃の合計
- Total Bots – 仮想サーバーで見つかったボット攻撃の合計（すべてのボットカテゴリを含む）を示します。
- Total Human Browsers – 仮想サーバーにアクセスしている人間のユーザーの合計を示します。
- Bot Human Ratio – 仮想サーバーにアクセスしている人間のユーザーとボットの比率を示します。
- シグネチャボット、フィンガープリントボット、レートベースボット、IPレピュテーションボット、許可リストボット、およびブロックリストボット – 設定されたボットカテゴリに基づいて発生したボット攻撃の合計を示します。ボットカテゴリの詳細については、「Citrix ADCでのボット検出技術の構成」を参照してください。
「>」をクリックして、ボットの詳細をグラフ形式で表示します。

VPX-AWSアプリケーションセキュリティデプロイメント画像-59

イベント履歴の表示

ユーザーは、次のイベント履歴でボットシグネチャの更新を表示できます。

Citrix ADCインスタンスに新しいボットシグネチャが追加された場合。
Citrix ADCインスタンスで既存のボットシグネチャが更新された場合。

ボットインサイトページで期間を選択して、イベント履歴を表示できます。

VPX AWSアプリケーションセキュリティデプロイメント図60

次の図は、ボットシグネチャがAWSクラウドから取得され、Citrix ADCで更新され、Citrix ADMでシグネチャ更新の概要が表示される方法を示しています。

VPX AWSアプリケーションセキュリティ展開の画像61

ボットシグネチャ自動更新スケジューラは、AWS URIからマッピングファイルを取得します。
マッピングファイル内の最新のシグネチャを、ADCアプライアンス内の既存のシグネチャと照合します。
AWSから新しいシグネチャをダウンロードし、シグネチャの整合性を検証します。
既存のボットシグネチャを、ボットシグネチャファイル内の新しいシグネチャで更新します。
SNMPアラートを生成し、署名更新の概要をCitrix ADMに送信します。

ボットの表示

仮想サーバーをクリックして、アプリケーションサマリーを表示します。

画像-vpx-aws-アプリケーションセキュリティ-展開-62

アプリケーションサマリーの詳細を以下のように提供します。
- 平均RPS – 仮想サーバーで受信した1秒あたりの平均ボットトランザクションリクエスト（RPS）を示します。
- 重大度別ボット – 重大度に基づいて発生した最も高いボットトランザクションを示します。重大度は、重大、高、中、低に基づいて分類されます。
  
  たとえば、仮想サーバーに11770個の高重大度ボットと1550個の重大度ボットがある場合、Citrix ADMは重大度別ボットの下に重大 1.55 Kと表示します。
- 最大のボットカテゴリ – ボットカテゴリに基づいて発生した最も高いボット攻撃を示します。
  
  たとえば、仮想サーバーに8000個のブロックリストボット、5000個の許可リストボット、10000個のレート制限超過ボットがある場合、Citrix ADMは最大のボットカテゴリの下にレート制限超過 10 Kと表示します。
- 最大の地理的ソース – 地域に基づいて発生した最も高いボット攻撃を示します。
  
  たとえば、仮想サーバーにサンタクララで5000件、ロンドンで7000件、バンガロールで9000件のボット攻撃がある場合、Citrix ADMは最大の地理的ソースの下にバンガロール 9 Kと表示します。
- 平均ボットトラフィック率 – 人間とボットの比率を示します。
マップビューで場所に基づいてボット攻撃の重大度を表示します
ボット攻撃の種類（良好、不良、すべて）を表示します
設定された対応するアクションとともに、ボット攻撃の合計数を表示します。たとえば、次のように設定した場合:
- IPアドレス範囲 (192.140.14.9 から 192.140.14.254) をブロックリストボットとして設定し、これらのIPアドレス範囲のアクションとしてドロップを選択した場合
- IP範囲 (192.140.15.4 から 192.140.15.254) をブロックリストボットとして設定し、これらのIP範囲のアクションとしてログメッセージの作成を選択した場合
  
  このシナリオでは、Citrix ADMは以下を表示します。
  - ブロックリストに登録されたボットの合計
  - ドロップされたボットの合計
  - ログに記録されたボットの合計

CAPTCHAボットを表示

ウェブページでは、CAPTCHAは、受信トラフィックが人間からのものか、自動ボットからのものかを識別するように設計されています。Citrix ADMでCAPTCHAアクティビティを表示するには、ユーザーはCitrix ADCインスタンスでIPレピュテーションおよびデバイスフィンガープリント検出技術のボットアクションとしてCAPTCHAを設定する必要があります。詳細については、「ボット管理の構成」を参照してください。

Citrix ADMがBot Insightに表示するCAPTCHAアクティビティは次のとおりです。

CAPTCHA試行回数超過 – ログイン失敗後に試行されたCAPTCHAの最大試行回数を示します
CAPTCHAクライアントミュート – これらのリクエストが以前にCAPTCHAチャレンジで不正なボットとして検出されたため、ドロップまたはリダイレクトされたクライアントリクエストの数を示します
人間 – 人間ユーザーによって実行されたCAPTCHAエントリを示します
無効なCAPTCHA応答 – Citrix ADCがCAPTCHAチャレンジを送信したときに、ボットまたは人間から受信した不正なCAPTCHA応答の数を示します

画像-vpx-aws-アプリケーションセキュリティ-展開-63

ボットトラップを表示

Citrix ADM でボットトラップを表示するには、Citrix ADC インスタンスでボットトラップを設定する必要があります。詳細については、「ボット管理の設定」を参照してください。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-64

ボットトラップを識別するために、ウェブページでスクリプトが有効になっています。このスクリプトは人間からは隠されていますが、ボットからは隠されていません。Citrix ADM は、このスクリプトがボットによってアクセスされたときに、ボットトラップを識別して報告します。

仮想サーバーをクリックし、Zero Pixel Request を選択します。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-65

ボットの詳細を表示

詳細については、ボットカテゴリの下にあるボット攻撃タイプをクリックしてください。

選択した CAPTCHA カテゴリの攻撃時間やボット攻撃の総数などの詳細が表示されます。

VPX AWSアプリケーションセキュリティ展開の画像66

ユーザーは、棒グラフをドラッグして、ボット攻撃とともに表示する特定の時間範囲を選択することもできます。

画像-vpx-aws-アプリセキュリティ-デプロイメント-67

ボット攻撃の追加情報を取得するには、クリックして展開します。

画像-vpx-aws-アプリセキュリティ-デプロイメント-68

インスタンス IP – Citrix ADC インスタンスの IP アドレスを示します。
合計ボット数 – 特定の時間に発生したボット攻撃の合計数を示します
HTTPリクエストURL – キャプチャレポート用に設定されているURLを示します
国コード – ボット攻撃が発生した国を示します
地域 – ボット攻撃が発生した地域を示します
プロファイル名 – ユーザーが設定時に指定したプロファイル名を示します

高度な検索

ユーザーは、検索テキストボックスと時間期間リストを使用して、ユーザーの要件に応じてボットの詳細を表示することもできます。ユーザーが検索ボックスをクリックすると、検索ボックスには以下の検索候補リストが表示されます。

インスタンスIP – Citrix ADCインスタンスのIPアドレス
クライアントIP – クライアントのIPアドレス
ボットタイプ – 良好または悪質などのボットタイプ
重大度 – ボット攻撃の重大度
実行されたアクション – ドロップ、アクションなし、リダイレクトなど、ボット攻撃後に実行されたアクション
ボットカテゴリ – ブロックリスト、許可リスト、フィンガープリントなどのボット攻撃のカテゴリ。カテゴリに基づいて、ユーザーはボットアクションを関連付けることができます
ボット検出 – ユーザーがCitrix ADCインスタンスで設定したボット検出タイプ（ブロックリスト、許可リストなど）
場所 – ボット攻撃が発生した地域/国
Request-URL – ボット攻撃の可能性があるURL

ユーザーは、ユーザー検索クエリで演算子を使用して、ユーザー検索の焦点を絞り込むこともできます。たとえば、すべての悪質なボットを表示したい場合：

検索ボックスをクリックし、Bot-Typeを選択します。
検索ボックスをもう一度クリックし、演算子=を選択します。
検索ボックスをもう一度クリックし、Badを選択します。
検索をクリックして結果を表示します。

画像-vpx-aws-アプリケーションセキュリティ-デプロイメント-69

ボット違反の詳細

過剰なクライアント接続

クライアントがWebアプリケーションにアクセスしようとすると、クライアント要求はサーバーに直接接続するのではなく、Citrix ADCアプライアンスで処理されます。Webトラフィックにはボットが含まれており、ボットは人間よりも速い速度でさまざまなアクションを実行できます。

過剰なクライアント接続インジケーターを使用すると、アプリケーションがボットを介して異常に多くのクライアント接続を受信するシナリオを分析できます。

画像-vpx-aws-アプリケーションセキュリティ-デプロイメント-70

イベントの詳細で、ユーザーは以下を表示できます。

影響を受けるアプリケーション。2つ以上のアプリケーションが違反の影響を受けている場合、ユーザーはリストからアプリケーションを選択することもできます。
すべての違反を示すグラフ
違反が発生した時刻
違反の検出メッセージ。アプリケーションを処理しているIPアドレスの総数を示します。
アプリケーションが受信できる許可されたIPアドレス範囲

アカウント乗っ取り

注:

ユーザーは、高度なセキュリティ分析とWebトランザクションオプションを有効にする必要があります。詳細については、「設定: 設定」を参照してください。

一部の悪意のあるボットは、ユーザーの資格情報を盗み、さまざまな種類のサイバー攻撃を実行する可能性があります。これらの悪意のあるボットは、悪質なボットとして知られています。悪質なボットを特定し、あらゆる種類の高度なセキュリティ攻撃からユーザーアプライアンスを保護することが不可欠です。

前提条件

ユーザーはCitrix ADMでアカウント乗っ取り設定を構成する必要があります。

「アナリティクス > 設定 > セキュリティ違反」に移動します。
追加をクリックします。

画像-VPX-AWS-アプリケーションセキュリティ-展開-71

アプリケーションの追加ページで、次のパラメータを指定します。
- アプリケーション - リストから仮想サーバーを選択します。
- メソッド - リストからHTTPメソッドタイプを選択します。利用可能なオプションは、GET、PUSH、POST、およびUPDATEです。
- ログインURLと成功応答コード - WebアプリケーションのURLを指定し、ユーザーがCitrix ADMに悪意のあるボットからのアカウント乗っ取り違反を報告させたいHTTPステータスコード（例：200）を指定します。
- 追加をクリックします。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-72

ユーザーが設定を構成した後、アカウント乗っ取りインジケーターを使用して、悪意のあるボットが資格情報とともに複数のリクエストを送信してユーザーアカウントを乗っ取ろうとしたかどうかを分析できます。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-73

イベントの詳細で、ユーザーは以下を表示できます。

影響を受けるアプリケーション。2つ以上のアプリケーションが違反の影響を受けている場合、ユーザーはリストからアプリケーションを選択することもできます。
すべての違反を示すグラフ
違反が発生した時刻
違反の検出メッセージ。合計の異常なログイン失敗アクティビティ、成功したログイン、および失敗したログインを示します。
悪意のあるボットのIPアドレス。クリックすると、時刻、IPアドレス、合計成功ログイン数、合計失敗ログイン数、そのIPアドレスからの合計リクエスト数などの詳細が表示されます。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-74

異常に高いアップロード量

Webトラフィックには、アップロードのために処理されるデータも含まれます。たとえば、ユーザーの1日あたりの平均アップロードデータが500 MBで、ユーザーが2 GBのデータをアップロードした場合、これは異常に高いアップロードデータ量と見なすことができます。ボットは人間よりも迅速にデータをアップロード処理することもできます。

異常に高いアップロード量インジケーターを使用すると、ユーザーはボットを介したアプリケーションへのアップロードデータの異常なシナリオを分析できます。

画像-vpx-aws-アプリセキュリティ-デプロイメント-75

イベント詳細で、ユーザーは以下を表示できます。

影響を受けるアプリケーション。2つ以上のアプリケーションが違反の影響を受けている場合、ユーザーはリストからアプリケーションを選択することもできます。
すべての違反を示すグラフ
違反が発生した時刻
違反の検出メッセージ。処理されたアップロードデータ総量を示します。
アプリケーションへのアップロードデータの許容範囲

異常に高いダウンロード量

高いアップロード量と同様に、ボットは人間よりも速くダウンロードを実行できます。

異常に高いダウンロード量インジケーターを使用して、ユーザーはボットを介したアプリケーションからのダウンロードデータの異常なシナリオを分析できます。

画像-vpx-aws-アプリセキュリティ-デプロイメント-76

イベント詳細で、ユーザーは以下を表示できます。

影響を受けるアプリケーション。2つ以上のアプリケーションが違反の影響を受けている場合、ユーザーはリストからアプリケーションを選択することもできます。
すべての違反を示すグラフ
違反が発生した時刻
違反の検出メッセージ。処理されたダウンロードデータ総量を示します。
アプリケーションからのダウンロードデータの許容範囲

異常に高いリクエストレート

ユーザーは、アプリケーションとの間で送受信されるトラフィックを制御できます。ボット攻撃は、異常に高いリクエストレートを実行する可能性があります。たとえば、ユーザーがアプリケーションを1分あたり100リクエストを許可するように構成し、350リクエストを観測した場合、それはボット攻撃である可能性があります。

異常に高いリクエストレートインジケーターを使用すると、ユーザーはアプリケーションに受信された異常なリクエストレートを分析できます。

画像-VPX-AWS-アプリケーションセキュリティ-展開-77

イベントの詳細で、ユーザーは以下を表示できます。

影響を受けるアプリケーション。2つ以上のアプリケーションが違反の影響を受けている場合、ユーザーはリストからアプリケーションを選択することもできます。
すべての違反を示すグラフ
違反が発生した時刻
違反の検出メッセージ。受信したリクエストの総数と、予想されるリクエストよりも過剰に受信したリクエストの割合を示します。
アプリケーションからの予想されるリクエストレートの許容範囲

ユースケース

ボット

受信するウェブトラフィックにはボットが含まれることがあり、ほとんどの組織はボット攻撃に苦しんでいます。ウェブおよびモバイルアプリケーションはビジネスにとって重要な収益源であり、ほとんどの企業はボットなどの高度なサイバー攻撃の脅威にさらされています。ボットとは、人間よりもはるかに速い速度で特定の動作を自動的に繰り返し実行するソフトウェアプログラムです。ボットは、ウェブページと対話したり、フォームを送信したり、アクションを実行したり、テキストをスキャンしたり、コンテンツをダウンロードしたりできます。動画にアクセスしたり、コメントを投稿したり、ソーシャルメディアプラットフォームでツイートしたりすることもできます。チャットボットとして知られる一部のボットは、人間のユーザーと基本的な会話をすることができます。カスタマーサービス、自動チャット、検索エンジンのクローラーなどの役立つサービスを実行するボットは、グッドボットです。同時に、ウェブサイトからコンテンツをスクレイピングまたはダウンロードしたり、ユーザー認証情報を盗んだり、コンテンツをスパムしたり、その他の種類のサイバー攻撃を実行したりできるボットは、バッドボットです。悪意のあるタスクを実行する多数のバッドボットが存在するため、ボットトラフィックを管理し、ユーザーのウェブアプリケーションをボット攻撃から保護することが不可欠です。Citrixボット管理を使用することで、ユーザーは受信するボットトラフィックを検出し、ボット攻撃を軽減してユーザーのウェブアプリケーションを保護できます。Citrixボット管理は、バッドボットを特定し、高度なセキュリティ攻撃からユーザーのアプライアンスを保護するのに役立ちます。グッドボットとバッドボットを検出し、受信トラフィックがボット攻撃であるかどうかを識別します。ボット管理を使用することで、ユーザーは攻撃を軽減し、ユーザーのウェブアプリケーションを保護できます。

Citrix ADCボット管理は以下の利点を提供します。

ボット、スクリプト、ツールキットからの防御。静的シグネチャベースの防御とデバイスフィンガープリンティングを使用して、リアルタイムの脅威軽減を提供します。
自動化された基本的および高度な攻撃を無力化。アプリケーション層DDoS、パスワードスプレー、パスワードスタッフィング、価格スクレーパー、コンテンツスクレーパーなどの攻撃を防ぎます。
ユーザーAPIと投資を保護。ユーザーAPIを不当な悪用から保護し、インフラストラクチャへの投資を自動化されたトラフィックから保護します。

ユーザーがCitrixボット管理システムを使用することで恩恵を受けられるユースケースには、以下のようなものがあります。

ブルートフォースログイン。政府のWebポータルは、ブルートフォースによるユーザーログインを試みるボットによって常に攻撃を受けています。組織は、Webログを調査し、特定のユーザーが辞書攻撃アプローチを使用して、高速なログイン試行とパスワードの増分で繰り返し攻撃されていることを確認することで、攻撃を発見します。法律により、彼らは自身とユーザーを保護しなければなりません。Citrixボット管理を導入することで、デバイスフィンガープリンティングとレート制限技術を使用してブルートフォースログインを阻止できます。
悪意のあるボットをブロックし、未知のボットをデバイスフィンガープリントする。あるWebエンティティには毎日10万人の訪問者があります。彼らは基盤となるフットプリントをアップグレードする必要があり、多額の費用を費やしています。最近の監査で、チームはトラフィックの40パーセントがボットからのものであり、コンテンツのスクレイピング、ニュースの収集、ユーザープロファイルの確認などを行っていることを発見しました。彼らはユーザーを保護し、ホスティングコストを削減するためにこのトラフィックをブロックしたいと考えています。ボット管理を使用することで、既知の悪意のあるボットをブロックし、サイトを攻撃している未知のボットをフィンガープリントできます。これらのボットをブロックすることで、ボットトラフィックを90パーセント削減できます。
良性ボットを許可する。「良性」ボットは、企業や消費者を支援するように設計されています。これらは、最初の検索エンジンボットがインターネットをクロールするために開発された1990年代初頭から存在しています。Google、Yahoo、Bingはこれらなしでは存在しなかったでしょう。主に消費者向けの良性ボットの他の例には、以下が含まれます。
- チャットボット（チャッターボット、スマートボット、トークボット、IMボット、ソーシャルボット、会話ボットとも呼ばれる）は、テキストまたは音声を通じて人間と対話します。最初のテキスト使用の1つは、オンラインカスタマーサービスやFacebook Messenger、iPhone Messagesなどのテキストメッセージングアプリでした。Siri、Cortana、Alexaはチャットボットですが、ユーザーがコーヒーを注文して準備ができたときに通知したり、映画の予告編を視聴して地元の劇場の上映時間を見つけたり、配車サービスをリクエストしたときに車のモデルとナンバープレートの写真を送信したりできるモバイルアプリも同様です。
- ショップボットは、ユーザーが探している商品の最低価格を求めてインターネットを検索します。
- 監視ボットは、ウェブサイトの健全性（可用性と応答性）をチェックします。Downdetectorは、ウェブサイトやその他の種類のサービスの停止を含むリアルタイムのステータス情報を提供する独立したサイトの一例です。Downdetectorの詳細については、Downdetectorを参照してください。

ボット検出

Citrix ADC GUIを使用したボット管理の構成

ユーザーは、まずアプライアンスで機能を有効にすることで、Citrix ADCボット管理を構成できます。有効にすると、ユーザーは受信トラフィックをボットとして評価し、そのトラフィックをボットプロファイルに送信するためのボットポリシーを作成できます。次に、ユーザーはボットプロファイルを作成し、そのプロファイルをボットシグネチャにバインドします。代替として、ユーザーはデフォルトのボットシグネチャファイルをクローンし、そのシグネチャファイルを使用して検出技術を構成することもできます。シグネチャファイルを作成した後、ユーザーはそれをボットプロファイルにインポートできます。これらすべての手順は、以下の順序で実行されます。

展開図-78

ボット管理機能を有効にする
ボット管理設定を構成する
Citrix ボットのデフォルト署名をクローンする
Citrix ボット署名をインポートする
ボット署名設定を構成する
ボットプロファイルを作成する
ボットポリシーを作成する

ボット管理機能を有効にする

ナビゲーションペインで、System を展開し、Settings をクリックします。
「高度な機能の構成」ページで、「ボット管理」チェックボックスを選択します。
OK をクリックし、次に Close をクリックします。

画像-vpx-aws-アプリセキュリティ-デプロイメント-79

ボット署名ファイルをクローンする

「セキュリティ > Citrix Bot Management > シグネチャ」に移動します。
Citrix Bot Management Signatures ページで、デフォルトのボット署名レコードを選択し、Clone をクリックします。
「Clone Bot Signature」ページで、名前を入力し、シグネチャデータを編集します。
「作成」をクリックします。

VPX AWS アプリケーションセキュリティ展開の画像 80

ボットシグネチャファイルのインポート

ユーザーが独自のシグネチャファイルを持っている場合、ファイル、テキスト、またはURLとしてインポートできます。ボットシグネチャファイルをインポートするには、次の手順を実行します。

「セキュリティ」>「Citrix Bot Management」>「シグネチャ」に移動します。
「Citrix Bot Management Signatures」ページで、ファイルをURL、ファイル、またはテキストとしてインポートします。
「続行」をクリックします。

VPX AWS アプリケーションセキュリティ展開の画像 81

Citrix Bot Management署名のインポート ページで、次のパラメータを設定します。
- 名前。ボットシグネチャファイルの名前。
- コメント。インポートされたファイルに関する簡単な説明。
- 上書き。ファイルの更新時にデータの上書きを許可するには、チェックボックスをオンにします。
- シグネチャデータ。シグネチャパラメータを変更します
「完了」をクリックします。

画像-vpx-aws-アプリセキュリティ-デプロイメント-82

IPレピュテーション

Citrix ADC GUI を使用して IP レピュテーションを構成する

この構成は、ボットIPレピュテーション機能の前提条件です。この検出技術により、ユーザーは受信IPアドレスからの悪意のあるアクティビティを特定できます。構成の一部として、さまざまな悪意のあるボットカテゴリを設定し、それぞれにボットアクションを関連付けます。

「セキュリティ」>「Citrix Bot Management」>「プロファイル」の順に移動します。
Citrix Bot Management Profiles ページで、署名ファイルを選択し、Edit をクリックします。
Citrix Bot Management Profile ページで、署名設定 セクションに移動し、IP レピュテーション をクリックします。
IP Reputation セクションで、次のパラメータを設定します。
- Enabled。検出プロセスの一部として、受信ボットトラフィックを検証するには、このチェックボックスをオンにします。
- Configure Categories。ユーザーは、さまざまなカテゴリの受信ボットトラフィックに対してIPレピュテーション技術を使用できます。設定されたカテゴリに基づいて、ユーザーはボットトラフィックをドロップまたはリダイレクトできます。悪意のあるボットカテゴリを設定するには、[Add] をクリックします。
- Citrix Bot Management Profile IP レピュテーションバインディングの構成 ページで、次のパラメータを設定します。
  - Category。リストから悪意のあるボットカテゴリを選択します。カテゴリに基づいてボットアクションを関連付けます。
  - Enabled。IPレピュテーション署名検出を検証するには、このチェックボックスをオンにします。
  - Bot action。設定されたカテゴリに基づいて、ユーザーはアクションなし、ドロップ、リダイレクト、またはCAPTCHAアクションを割り当てることができます。
  - Log。ログエントリを保存するには、このチェックボックスをオンにします。
  - ログメッセージ。ログの簡単な説明。
  - コメント。ボットカテゴリに関する簡単な説明。
OK をクリックします。
更新をクリックします。
完了をクリックします。

画像-VPX-AWS-アプリケーションセキュリティ展開-83

ボットシグネチャの自動更新

ボットの静的シグネチャ技術は、優良ボットと悪質ボットのリストを含むシグネチャルックアップテーブルを使用します。ボットは、ユーザーエージェント文字列とドメイン名に基づいて分類されます。受信ボットトラフィックのユーザーエージェント文字列とドメイン名がルックアップテーブルの値と一致する場合、設定されたボットアクションが適用されます。ボットシグネチャの更新はAWSクラウドでホストされ、シグネチャルックアップテーブルはシグネチャ更新のためにAWSデータベースと通信します。自動シグネチャ更新スケジューラは1時間ごとに実行され、AWSデータベースをチェックし、ADCアプライアンスのシグネチャテーブルを更新します。

シグネチャを設定するためのボットシグネチャマッピング自動更新URLは次のとおりです: ボットシグネチャマッピング。

注:

ユーザーはプロキシサーバーを設定し、プロキシを介してAWSクラウドからADCアプライアンスにシグネチャを定期的に更新することもできます。プロキシ設定の場合、ユーザーはボット設定でプロキシIPアドレスとポートアドレスを設定する必要があります。

ボットシグネチャの自動更新を構成する

ボットシグネチャの自動更新を構成するには、次の手順を実行します。

ボットシグネチャの自動更新を有効にする

ユーザーは、ADCアプライアンスのボット設定で自動更新オプションを有効にする必要があります。

コマンドプロンプトで、次のように入力します。

set bot settings –signatureAutoUpdate ON

Citrix ADC GUI を使用してボットシグネチャの自動更新を構成する

ボットシグネチャの自動更新を構成するには、次の手順を実行します。

セキュリティ > Citrix Bot管理 に移動します。
詳細ペインの設定で、Citrix Bot Management 設定の変更 をクリックします。
Citrix Bot Management 設定の構成 で、シグネチャの自動更新 チェックボックスをオンにします。

画像-VPX-AWS-アプリケーションセキュリティ-デプロイメント-84

OK と 閉じる をクリックします。

CLI を使用した IP レピュテーションの構成の詳細については、「CLI を使用した IP レピュテーション機能の構成」を参照してください。

参考文献

SQL のきめ細かい緩和の使用については、「SQL のきめ細かい緩和」を参照してください。

コマンドラインを使用して SQL インジェクションチェックを構成する方法については、「HTML SQL インジェクションチェック」を参照してください。

GUI を使用して SQL インジェクションチェックを構成する方法については、「GUI を使用した SQL インジェクションセキュリティチェックの構成」を参照してください。

SQL インジェクションチェックで学習機能を使用する方法については、「SQL インジェクションチェックで学習機能を使用する」を参照してください。

SQLインジェクションチェックでログ機能を使用する方法については、以下を参照してください。 SQLインジェクションチェックでログ機能を使用する。

SQLインジェクション違反の統計については、SQLインジェクション違反の統計を参照してください。

SQLインジェクションチェックのハイライトについては、ハイライトを参照してください。

XML SQLインジェクションチェックについては、XML SQLインジェクションチェックを参照してください。

クロスサイトスクリプティングのきめ細かい緩和策の使用については、SQLのきめ細かい緩和策を参照してください。

コマンドラインを使用してHTMLクロスサイトスクリプティングを設定する方法については、コマンドラインを使用してHTMLクロスサイトスクリプティングチェックを設定するを参照してください。

GUIを使用してHTMLクロスサイトスクリプティングを設定する方法については、GUIを使用してHTMLクロスサイトスクリプティングチェックを設定するを参照してください。

HTMLクロスサイトスクリプティングチェックで学習機能を使用する方法については、HTMLクロスサイトスクリプティングチェックで学習機能を使用するを参照してください。

HTMLクロスサイトスクリプティングチェックでログ機能を使用する方法については、HTMLクロスサイトスクリプティングチェックでログ機能を使用するを参照してください。

HTMLクロスサイトスクリプティング違反の統計については、HTMLクロスサイトスクリプティング違反の統計を参照してください。

HTMLクロスサイトスクリプティングのハイライトについては、ハイライトを参照してください。

XMLクロスサイトスクリプティングについては、XMLクロスサイトスクリプティングチェックをご覧ください。

コマンドラインを使用してバッファオーバーフローセキュリティチェックを設定する方法については、コマンドラインを使用してバッファオーバーフローセキュリティチェックを設定するを参照してください。

GUIを使用してバッファオーバーフローセキュリティチェックを設定する方法については、Citrix ADC GUIを使用してバッファオーバーフローセキュリティチェックを設定するを参照してください。

バッファオーバーフローセキュリティチェックでログ機能を使用する方法については、バッファオーバーフローセキュリティチェックでログ機能を使用するを参照してください。

バッファオーバーフロー違反の統計については、バッファオーバーフロー違反の統計を参照してください。

バッファオーバーフローセキュリティチェックのハイライトについては、ハイライトを参照してください。

署名オブジェクトの追加または削除については、以下を参照してください: 署名オブジェクトの追加または削除。

テンプレートから署名オブジェクトを作成する方法については、テンプレートから署名オブジェクトを作成するにはを参照してください。

ファイルをインポートして署名オブジェクトを作成する方法については、以下を参照してください: ファイルをインポートして署名オブジェクトを作成する。

コマンドラインを使用してファイルをインポートして署名オブジェクトを作成する方法については、コマンドラインを使用してファイルをインポートして署名オブジェクトを作成するを参照してください。

GUI を使用して署名オブジェクトを削除する方法については、以下を参照してください: GUI を使用して署名オブジェクトを削除するには。

コマンドラインを使用して署名オブジェクトを削除する方法については、コマンドラインを使用して署名オブジェクトを削除するを参照してください。

署名オブジェクトの設定または変更については、以下を参照してください: 署名オブジェクトの設定または変更。

署名オブジェクトの更新の詳細については、以下を参照してください: 署名オブジェクトの更新。

コマンドラインを使用してソースからWeb Application Firewall署名を更新する方法については、以下を参照してください: コマンドラインを使用してソースからWeb Application Firewall署名を更新する。

Citrix 形式ファイルから署名オブジェクトを更新する方法については、Citrix 形式ファイルから署名オブジェクトを更新するを参照してください。

サポートされている脆弱性スキャンツールから署名オブジェクトを更新する方法については、以下を参照してください: サポートされている脆弱性スキャンツールからの署名オブジェクトの更新。

Snort ルール統合については、以下を参照してください: Snort ルール統合。

Snort ルールの設定については、以下を参照してください: Snort ルールの設定。

コマンドラインを使用してボット管理を設定する方法については、以下を参照してください: ボット管理の設定。

デバイスフィンガープリント技術のボット管理設定については、以下を参照してください: デバイスフィンガープリント技術のボット管理設定。

Citrix ADC GUI を使用してボット許可リストを設定する方法については、以下を参照してください: Citrix ADC GUI を使用したボットホワイトリストの設定。

Citrix ADC GUI を使用してボットブロックリストを設定する方法については、以下を参照してください: Citrix ADC GUI を使用したボットブラックリストの設定。

ボット管理の設定に関する詳細については、以下を参照してください: ボット管理の設定。

前提条件

AWS で VPX インスタンスを作成する前に、ユーザーは以下のものがあることを確認する必要があります。

Amazon Web Services (AWS) の仮想プライベートクラウド (VPC) で Citrix ADC VPX AMI を起動するための AWS アカウント。ユーザーは、アマゾンウェブサービスで無料で AWS アカウントを作成できます: AWS。
ユーザーの AWS サービスおよびリソースへのアクセスを安全に制御するための AWS Identity and Access Management (IAM) ユーザーアカウント。IAM ユーザーアカウントの作成方法の詳細については、トピックを参照してください: IAM ユーザーの作成 (コンソール)。

IAM ロールは、スタンドアロンデプロイと高可用性デプロイの両方で必須です。IAM ロールには、以下の権限が必要です。

ec2:DescribeInstances
ec2:ネットワークインターフェースを記述する
ec2:ネットワークインターフェースをデタッチする
ec2:ネットワークインターフェースをアタッチ
ec2:インスタンスを開始
ec2:インスタンスの停止
ec2:インスタンスの再起動
ec2:アドレスの記述
ec2:アドレスの関連付け
ec2:アドレスの関連付け解除
ec2:プライベートIPアドレスの割り当て
オートスケーリング:*
sns:すべて
sqs:すべて
クラウドウォッチ:*
iam:プリンシパルポリシーのシミュレーション
iam:ロールの取得

IAM権限の詳細については、以下を参照してください: AWS マネージドポリシー (ジョブ機能用)。

Citrix CloudFormationテンプレートを使用する場合、IAMロールは自動的に作成されます。このテンプレートでは、すでに作成されているIAMロールを選択することはできません。

注:

ユーザーがGUI経由でVPXインスタンスにログインすると、IAMロールに必要な権限を設定するためのプロンプトが表示されます。権限がすでに設定されている場合は、プロンプトを無視してください。注:

ターミナルプログラムからAWS Management Consoleが提供するすべての機能を使用するには、AWS CLIが必要です。詳細については、AWS CLIユーザーガイド「AWS Command Line Interface とは」を参照してください。ユーザーは、ネットワークインターフェースタイプをSR-IOVに変更するためにもAWS CLIを必要とします。

Citrix ADCとAWS、およびAWS内でのCitrix Networking VPXのサポートに関する詳細については、Citrix ADCとAmazon Web Servicesの検証済みリファレンスデザインガイド：Citrix ADCとAmazon Web Servicesの検証済みリファレンスデザインを参照してください。

制限事項と使用ガイドライン

AWSにCitrix ADC VPXインスタンスを展開する際には、以下の制限事項と使用ガイドラインが適用されます。

新しい展開を開始する前に、上記のAWS用語を読んでください。
クラスタリング機能は、Citrix ADM Auto Scale Groupsでプロビジョニングされている場合にのみサポートされます。
高可用性セットアップを効果的に機能させるには、管理インターフェースに専用のNATデバイスを関連付けるか、NSIPにElastic IP (EIP) を関連付けます。NATの詳細については、AWSドキュメントの「NAT インスタンス」を参照してください。
データトラフィックと管理トラフィックは、異なるサブネットに属するENIで分離する必要があります。
管理ENIにはNSIPアドレスのみが存在する必要があります。
NSIPにEIPを割り当てる代わりにセキュリティのためにNATインスタンスを使用する場合、適切なVPCレベルのルーティング変更が必要です。VPCレベルのルーティング変更を行う手順については、AWSドキュメントの「シナリオ 2: パブリックサブネットとプライベートサブネットを持つ VPC」を参照してください。
VPXインスタンスは、あるEC2インスタンスタイプから別のタイプへ移動できます（例: m3.largeからm3.xlargeへ）。詳細については、「制限事項と使用ガイドライン」を参照してください。
AWS上のVPXのストレージメディアには、CitrixはEBSを推奨します。これは耐久性があり、インスタンスからデタッチされた後でもデータが利用可能であるためです。
VPXへのENIの動的な追加はサポートされていません。更新を適用するには、VPXインスタンスを再起動してください。Citrixは、スタンドアロンまたはHAインスタンスを停止し、新しいENIをアタッチしてからインスタンスを再起動することを推奨します。プライマリENIは、一度デプロイされると変更したり、異なるサブネットにアタッチしたりすることはできません。セカンダリENIは、VPXが停止している間に必要に応じてデタッチおよび変更できます。
ユーザーはENIに複数のIPアドレスを割り当てることができます。ENIあたりの最大IPアドレス数はEC2インスタンスタイプによって決定されます。Elastic Network Interfacesの「インスタンスタイプごとのネットワークインターフェースあたりのIPアドレス」セクションを参照してください: Elastic Network Interfaces。ユーザーは、ENIに割り当てる前にAWSでIPアドレスを割り当てる必要があります。詳細については、Elastic Network Interfaces: Elastic Network Interfacesを参照してください。
Citrixは、Citrix ADC VPXインターフェースでenableおよびdisableインターフェースコマンドを使用しないことを推奨します。
Citrix ADC set ha node \<NODE\_ID\> -haStatus STAYPRIMARY および set ha node \<NODE\_ID\> -haStatus STAYSECONDARY コマンドは、デフォルトで無効になっています。
VPXではIPv6はサポートされていません。
AWSの制限により、以下の機能はサポートされていません。
- グレイシャスARP (GARP)
- L2モード（ブリッジング）。透過型仮想サーバーは、SNIPと同じサブネット内のサーバーに対してL2（MAC書き換え）でサポートされています。
- タグ付きVLAN
- ダイナミックルーティング
- 仮想MAC
RNAT、ルーティング、および透過型仮想サーバーが機能するように、データパス内のすべてのENIで送信元/送信先チェックが無効になっていることを確認してください。詳細については、Elastic Network Interfacesの「送信元/送信先チェックの変更」を参照してください: Elastic Network Interfaces。
AWS上のCitrix ADC VPX展開において、一部のAWSリージョンでは、AWSインフラストラクチャがAWS APIコールを解決できない場合があります。これは、Citrix ADC VPXインスタンス上の非管理インターフェースを介してAPIコールが発行された場合に発生します。回避策として、APIコールを管理インターフェースのみに制限してください。そのためには、VPXインスタンス上にNSVLANを作成し、適切なコマンドを使用して管理インターフェースをNSVLANにバインドします。
例えば、
- set ns config -nsvlan <vlan id> -ifnum 1/1 -tagged NO
- 設定を保存
プロンプトでVPXインスタンスを再起動します。
nsvlan の設定に関する詳細については、「NSVLAN の設定」を参照してください: Configuring NSVLAN。
AWS コンソールでは、監視タブに表示される VPX インスタンスの vCPU 使用率が、実際の使用率がはるかに低い場合でも高くなる (最大 100 パーセント) ことがあります。実際の vCPU 使用率を確認するには、「すべての CloudWatch メトリクスを表示」に移動します。詳細については、以下を参照してください: Monitor your Instances using Amazon CloudWatch。あるいは、低遅延とパフォーマンスが問題にならない場合は、トラフィックがないときにパケットエンジンをアイドル状態にできる CPU Yield 機能を有効にすることができます。CPU Yield 機能の詳細と有効化方法については、Citrix Support Knowledge Center を参照してください。

技術的な要件

ユーザーがデプロイを開始するためにクイックスタートガイドを起動する前に、ユーザーアカウントを次の表で指定されているとおりに設定する必要があります。そうしないと、デプロイが失敗する可能性があります。

リソース

必要に応じて、ユーザーの Amazon アカウントにサインインし、次のリソースのサービス制限の引き上げをここでリクエストしてください: AWS/Sign in。これらのリソースを使用する既存のデプロイがあり、このデプロイでデフォルトの制限を超える可能性があると考える場合は、これを行う必要があるかもしれません。デフォルトの制限については、AWS ドキュメントの AWS Service Quotas を参照してください: AWS Service Quotas。

AWS Trusted Advisor は、こちらで確認できます: AWS/Sign in。これは、一部のサービスの特定の側面における使用状況と制限を表示するサービス制限チェックを提供します。

リソース	このデプロイが使用するもの
VPC	1
エラスティックIPアドレス	0/1 (踏み台ホスト用)
IAM セキュリティグループ	3
IAMロール	1
サブネット	6 (3/アベイラビリティゾーン)
インターネットゲートウェイ	1
ルートテーブル	5
WAF VPXインスタンス	2
踏み台ホスト	0/1
NATゲートウェイ	2

リージョン

AWS上のCitrix WAFは、現在、すべてのAWSリージョンでサポートされているわけではありません。サポートされているリージョンの最新リストについては、AWSドキュメントの「AWS Service Endpoints」を参照してください: AWS Service Endpoints。

AWSリージョンとクラウドインフラストラクチャが重要である理由の詳細については、以下を参照してください: Global Infrastructure。

キーペア

クイックスタートガイドを使用してデプロイを計画しているリージョンのユーザーAWSアカウントに、少なくとも1つのAmazon EC2キーペアが存在することを確認してください。キーペア名を控えておいてください。デプロイ中にこの情報の入力を求められます。キーペアを作成するには、AWSドキュメントの「Amazon EC2 Key Pairs and Linux Instances」の手順に従ってください: Amazon EC2 Key Pairs and Linux Instances。

ユーザーがテストまたは概念実証の目的でクイックスタートガイドをデプロイする場合、本番インスタンスで既に利用されているキーペアを指定するのではなく、新しいキーペアを作成することをお勧めします。

この製品ドキュメントの正式なバージョンは英語版です。英語以外のすべてのバージョンは、お客様の利便性のためにのみ提供され、機械翻訳された内容が含まれている場合があります。詳しくは、Cloud Software Group home で機械翻訳に関する免責事項（Machine Translation Disclaimer）をご覧ください。

AWS 上のシトリックス ADC VPX 展開ガイド

June 16, 2026

寄稿者:

C C

June 16, 2026

寄稿者:

C C

この記事の概要

概要
シトリックス ADC VPX
アマゾンウェブサービス
AWS用語
AWS 上の Citrix WAF アーキテクチャの例
AWSにおけるCitrix WAFの論理フロー
コストとライセンス
展開オプション
クイックスタートガイドを使用した展開手順
Citrix アプリケーションデリバリー管理
Citrix ADMを使用してAWSにCitrix ADC VPXインスタンスを展開する
アーキテクチャ図
構成タスク
Citrix ADC WAF and OWASP Top 10 – 2017
A1:2017- インジェクション
A2:2017 – 認証の不備
A3:2017 - 機密データの露出
A4:2017 XML外部エンティティ (XXE)
A5:2017 不適切なアクセス制御
A6:2017 - セキュリティ設定ミス
A7:2017 - クロスサイトスクリプティング (XSS)
A8:2017 - 安全でないデシリアライゼーション
A9:2017 - 既知の脆弱性を持つコンポーネントの使用
A10:2017 - 不十分なロギングと監視
アプリケーションセキュリティ保護
シトリックス ADM
ユースケース
Citrix Webアプリケーションファイアウォール (WAF)
Webアプリケーションファイアウォール展開戦略
Webアプリケーションファイアウォール (WAF) の構成
SQLインジェクション
クロスサイトスクリプティング
バッファオーバーフローチェック
仮想パッチ/シグネチャ
アプリケーションセキュリティ分析
ADMでの集中学習
スタイルブック
アプリケーションファイアウォール構成の展開
セキュリティインサイト分析
セキュリティインサイトの構成
しきい値
セキュリティインサイトのユースケース
セキュリティ違反
アプリケーションセキュリティ違反の詳細を表示
違反カテゴリ**
セットアップ
セキュリティ違反ダッシュボード
違反の詳細
ボットインサイト
Citrix ADM でのボットインサイトの使用
イベント履歴の表示
ボットの表示
ボットの詳細を表示
高度な検索
ボット違反の詳細
過剰なクライアント接続
アカウント乗っ取り
異常に高いアップロード量
異常に高いダウンロード量
異常に高いリクエストレート
ユースケース
ボット検出
IPレピュテーション
参考文献
前提条件
制限事項と使用ガイドライン
技術的な要件

AWS 上の シトリックス ADC VPX 展開ガイド

概要

シトリックス ADC VPX

アマゾン ウェブ サービス

AWS用語

AWS 上の Citrix WAF アーキテクチャの例

AWSにおけるCitrix WAFの論理フロー

論理フロー

コストとライセンス

展開オプション

クイックスタートガイドを使用した展開手順

ステップ1：ユーザーAWSアカウントにサインインする

ステップ2：Citrix WAF AMIをサブスクライブする

ステップ3：AMIをデプロイするためのクイックスタートガイドを起動する

新しいVPCにCitrix WAFを展開するためのパラメータ

VPCネットワーク構成

Bastionホストの設定

シトリックスWAFの設定

プールライセンス設定

AWSクイックスタートガイドの設定

ステップ4：展開のテスト

踏み台ホストを使用してCitrix WAF HAペアに接続する

Citrix アプリケーションデリバリー管理

Citrix ADM サービスの動作方法

ドキュメントガイド

Citrix ADMを使用してAWSにCitrix ADC VPXインスタンスを展開する

アーキテクチャ図

構成タスク

サブネットを作成するには

セキュリティグループを作成するには

IAM ロールを作成し、ポリシーを定義するには

Citrix ADMでサイトを作成するには

AWSでCitrix ADC VPXをプロビジョニングするには

AWSでプロビジョニングされたCitrix ADC VPXを表示するには

Citrix ADMでプロビジョニングされたCitrix ADC VPXを表示するには

Citrix ADC WAF and OWASP Top 10 – 2017

A1:2017- インジェクション

ADC WAF 保護機能

A2:2017 – 認証の不備

ADC WAF 保護機能

A3:2017 - 機密データの露出

ADC WAF 保護機能

A4:2017 XML外部エンティティ (XXE)

ADC WAF の保護機能

A5:2017 不適切なアクセス制御

ADC WAF 保護機能

A6:2017 - セキュリティ設定ミス

ADC WAFによる保護

A7:2017 - クロスサイトスクリプティング (XSS)

ADC WAFによる保護

A8:2017 - 安全でないデシリアライゼーション

ADC WAF 保護機能

A9:2017 - 既知の脆弱性を持つコンポーネントの使用

ADC WAF 保護機能

A10:2017 - 不十分なロギングと監視

ADC WAF 保護機能

アプリケーションセキュリティ保護

シトリックス ADM

Citrix ADMアプリケーション分析および管理機能

アプリケーション分析と管理

スタイルブック

アナリティクス

イベント管理

インスタンス管理

ライセンス管理

構成管理機能

構成監査機能

ユースケース

Citrix Webアプリケーションファイアウォール (WAF)

Webアプリケーションファイアウォール展開戦略

Webアプリケーションファイアウォール (WAF) の構成

SQLインジェクション

クロスサイトスクリプティング

バッファオーバーフローチェック

仮想パッチ/シグネチャ

シグネチャの更新

アプリケーションセキュリティ分析

アプリケーションセキュリティダッシュボードでCitrix ADCインスタンスのセキュリティメトリックを表示するには

ADMでの集中学習

スタイルブック

AWS 上のシトリックス ADC VPX 展開ガイド

アマゾンウェブサービス