Application Delivery Management

SSL Insight

SSL Insightは、セキュアなWebトランザクション(HTTPS)を可視化し、IT管理者は、セキュアなWebトランザクションのリアルタイムおよび履歴の統合監視を提供することで、NetScaler ADC によって提供されるすべてのセキュアなWebアプリケーションを監視できます。状態を把握することで管理者は以下の評価を行うことができます。

  • 構成変更が顧客の使用に与える影響の特定:管理者は、SSLv3の無効化やRC4-MD5などの暗号の削除などの構成変更によるクライアントへの影響を把握できます。そのためには、このプロトコルと暗号に関する履歴トランザクションデータを評価します。

  • クライアントのパフォーマンスを定量化: 管理者は、使用された SSL 暗号化/プロトコルまたはネゴシエートされた証明書に基づいて、アプリケーションの応答時間への影響を把握できます。

  • アプリケーションセキュリティ:セキュリティーの低いプロトコル、暗号、または弱い鍵強度でトランザクションが実行されているアプリケーションがないかを評価します。

NetScaler ADC インスタンスでSSLAnalyticsを有効にすると、SSL統計情報が記録され、SSLトランザクションごとに記録されます。この統計によりSSLフローの詳細が分かります。また、成功した接続はすべてCitrixApplication Delivery Management(ADM) Analyticsによってログに記録され、表示されます。

SSL Insightは、NetScaler ADM Analyticsによって表示される次の重要な情報を提供します。

  • SSL プロトコルのバージョンがネゴシエ

  • ネゴシエートされた暗号と暗号強度

  • 使用された証明書の署名ハッシュアルゴリズム

  • 証明書の種類とサイズ

  • SSL フロントエンドエラーとバックエンドエラー

SSL 接続が成功すると、SSL AppFlow のロギングは各トランザクションの最後に行われます。

前提条件

  • SSL Insightを構成するNetScaler ADCインスタンスは、NetScaler ADCソフトウェアリリース11.1 51.21以降を実行している必要があります。11.1 51.21 を実行する ADC インスタンスで次のコマンドを実行して、SSL Insight トランスポートタイプとして Logstream を有効にします。
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    バージョン 12.0 以降を実行する ADC インスタンスの場合は、ADM から AppFlow を有効にしながら、トランスポートタイプとして Logstream を選択します。

  • NetScaler ADM バージョンとビルドは、NetScaler ADCのバージョンとビルドと同等かそれ以上でなければなりません。たとえば、NetScaler ADM 11.1ビルド 61.7をインストールしている場合は、NetScaler ADC 11.1ビルド 60.14以前がインストールされていることを確認します。

SSL Insight 構成

次の要素を有効にした場合、SSL InsightメトリックはWeb Insightレポートに組み込まれます。

  • 各 Citrix ADC インスタンスで AppFlow for Web Insight を有効にします。

  • 各Citrix ADC インスタンスで ULFD モードを有効にします。

  • 各NetScaler ADC インスタンスで必要なAppFlow パラメータを有効にします。

AppFlow 機能を有効にする

AppFlow機能は、Citrix ADM または各Citrix ADC インスタンスから有効にできます。

NetScaler ADM からAppFlow 機能を有効にするには:

Citrix ADMが13.0ビルド41.x以降の場合

  1. [ ネットワーク ] > [ インスタンス ] > [ NetScaler ADC] に移動し、インスタンスタイプを選択します。たとえば、VPX です。

  2. インスタンスを選択し、[ アクションの選択] リストから [ Analytics の設定] をクリックします。

  3. [ 仮想サーバーでの Analytics の設定 ] ページで、仮想サーバーを選択し、[ Analytics を有効にする] をクリックします。

  4. アナリティクスを有効にする 」ウィンドウで:

    1. Web インサイトを選択

    2. Logstream をトランスポートモードとして選択

      NetScaler ADC 12.0以前の場合、 IPFIXはトランスポートモードのデフォルトのオプションです 。NetScaler ADC 12.0以降では、トランスポートモードとして[ ログストリーム ]または[ IPFIX ]を選択できます。

      IPFIX とログストリームの詳細については、「 ログストリームの概要」を参照してください。

    3. 式はデフォルトでtrueです

    4. [OK]をクリックします

      分析を有効にする

      • ライセンスされていない仮想サーバーを選択すると、NetScaler ADM はまずそれらの仮想サーバーのライセンスを取得し、次に分析を有効にします。

      • 管理パーティションでは、 Web Insight のみがサポートされます

      • キャッシュリダイレクト、 認証、 GSLBなどの仮想サーバーでは、分析を有効にすることはできません。エラーメッセージが表示されます。

OK]をクリックすると、NetScaler ADM は選択した仮想サーバー上で分析を有効にするために処理します。

処理分析

Citrix ADMが13.0ビルド36.27以前の場合

  1. [ ネットワーク ] > [ インスタンス ] > [ Citrix ADC] に移動し、分析を有効にするNetScaler ADCインスタンスを選択します。

  2. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

    分析の設定

  3. [ ** Insightの設定** ] ページで、次の操作を行います。

    1. ロードバランシングまたはコンテンツスイッチングの アプリケーションリスト を選択します。

      アプリケーション一覧

    2. 仮想サーバーを選択し、[ AppFlow を有効にする] をクリックします。

      仮想サーバー

  4. [AppFlow を有効にする] ダイアログボックスで、次の操作を行います。

    • テキストボックスに true と入力します。

    • 転送モードとして [ ログストリーム ] を選択します。

      注:Citrix では、転送モードとしてLogstreamを選択することを推奨しています。

    • [ Web Insight ] を選択し、[ OK ] をクリックします。

      トランスポートモード

NetScaler ADC GUIを使用してAppFlow 機能を有効にするには:

NetScaler ADC インスタンスのGUIで、[ 構成 ]>[ システム ]>[ 設定]の順に選択し、[ 高度な機能の構成]をクリックし、[ AppFlow]を選択します。

SSL Insight パラメータの有効化

NetScaler ADC インスタンスごとに、一部のHTTPパラメーターを有効にして、NetScaler ADM でSSL Insightレコードを表示する必要があります。

Citrix ADC 構成ユーティリティから SSL Insight パラメーターを有効にするには:

  1. 構成 」>「 システム 」>「 AppFlow」に移動し、「 AppFlow設定の変更」をクリックします。

  2. HTTP ドメイン」、「HTTPホスト」、「HTTPメソッド」、「HTTPURL」、「HTTPユーザーエージェント」、「 HTTP コンテンツタイプ」のチェックボックスを選択します。  

  3. [OK] をクリックします。

    ssl-insight2

SSL Insight メトリックスの表示

NetScaler ADM SSL Insightメトリックは、NetScaler ADCインスタンスが処理するSSLトランザクションのパフォーマンスを詳細に表示します。クライアント、サーバー、またはアプリケーションレベルのSSL Insightメトリック、および成功したSSLトランザクションおよび失敗したSSLトランザクションのメトリックを表示できます。これらのメトリックを使用すると、 NetScaler ADC HTTPS設定とSSL証明書設定を分析および最適化し 、パフォーマンスの問題を追跡できます。

注:

グループを作成するときに、グループに役割を割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てたりすることができます。NetScaler ADM 分析では、仮想IPアドレスベースの認証がサポートされるようになりました。ユーザーは、権限のあるアプリケーション(仮想サーバー)のみのすべての Insightのレポートを表示できるようになりました。グループおよびグループへのユーザの割り当ての詳細については、「 グループを設定する」を参照してください。

NetScaler ADM でSSL Insightメトリックスを監視するには:

以下の SSL メトリクスを表示できます。

  • アプリケーション。[ アプリケーション] > [ダッシュボード] に移動し、アプリケーションをクリックし、[ Web Insight ] タブを選択して詳細なメトリックスを表示します。詳細については、「 アプリケーション使用状況分析」を参照してください。

  • すべてのアプリケーション。[ アプリケーション] > [Web Insight ] に移動し、[ アプリケーション ] タブと [ クライアント ] タブをクリックして SSL メトリックを表示します。

ユースケース:SSL トランザクションの概要を取得する

次のユースケースは、SSL Insight を使用してさまざまな SSL パラメータの使用状況を評価し、セキュリティ対策を改善する方法について説明しています。

通信にSSLトランザクション(HTTPS)を使用している一連のアプリケーションがあり、SSLコンポーネントを監視するようにNetScaler ADM を構成しているとします。最も注意が必要なアプリケーションに特に注意を払えるように、アプリケーションを頻繁に確認する必要があります。1 つのアプリケーションまたはすべてのアプリケーションの Web Insight ダッシュボードには、[SSL エラー] と [SSL **使用状況 ] の下に次の SSL**パラメーターの概要が表示されます。

  • SSL証明書

  • SSLプロトコル

  • SSL 暗号

  • SSLキーの強度

  • SSL 障害 — フロントエンド

  • SSL 障害 — バックエンド

    ssl-nsight5

各タブをクリックすると、詳細を表示できます。

ユースケース:クライアントの SSL メトリクス

クライアントのリスト (IP アドレスで識別) と、クライアントごとの合計発生数を確認できます。[ アプリケーション] > [Web Insight ] に移動し、[ クライアント ] タブを選択して [ SSL 使用状況] の下に詳細を表示します。

メトリックをクリックして詳細を表示し、[ クライアント] で任意のクライアント IP アドレスをクリックすると、選択したクライアントの SSL メトリックが表示されます。

SSL クライアントメトリック

SSL Insight