NetScaler コンソールサービス

SSL Insight

SSL Insightは、セキュアなWebトランザクション(HTTPS)を可視化し、IT管理者は、セキュアなWebトランザクションのリアルタイムおよび履歴の統合監視を提供することで、NetScaler によって提供されるすべてのセキュアなWebアプリケーションを監視できます。状態を把握することで管理者は以下の評価を行うことができます。

  • 構成の変更がお客様の使用状況に与える影響を特定します。管理者は、SSLv3 をオフにするか、RC4-MD5 のような暗号を削除するなど、構成変更を行った場合の、クライアントへの影響を理解できます。そのためには、このプロトコルと暗号に関する履歴トランザクションデータを評価します。
  • クライアントのパフォーマンスを定量化します。管理者は、使用された SSL 暗号/プロトコル、またはネゴシエートされた証明書に基づいて、アプリケーション応答時間への影響を把握できます。
  • アプリケーションセキュリティ。セキュリティが低いプロトコル、暗号、または弱いキー強度で実行されているトランザクションがあるアプリケーションがあるかどうかを評価します。

NetScaler インスタンスでSSL Analyticsを有効にすると、SSL統計情報が記録され、SSLトランザクションごとに記録されます。この統計によりSSLフローの詳細が分かります。また、成功した接続はすべてNetScaler コンソールによって記録および表示されます。

SSL Insightは、NetScalerコンソール分析に表示される以下の重要な情報を提供します。

  • SSL プロトコルのバージョンがネゴシエ
  • ネゴシエートされた暗号と暗号強度
  • 使用された証明書の署名ハッシュアルゴリズム
  • 証明書の種類とサイズ
  • SSL フロントエンドおよびバックエンドエラー

SSL 接続が成功すると、SSL AppFlow のロギングは各トランザクションの最後に行われます。

前提条件

  • SSL Insightを構成するNetScaler ADCインスタンスは、NetScaler ADCソフトウェアリリース11.1 51.21以降を実行している必要があります。11.1 5.21を実行しているNetScalerインスタンスで次のコマンドを実行し、SSL Insightのトランスポートタイプとしてログストリームを有効にします 。
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the NetScaler Console>

    バージョン12.0以降を実行しているNetScalerインスタンスでは、NetScalerコンソールからAppFlowを有効にしながら、 トランスポートタイプとしてログストリームを選択ます 。

  • NetScaler Consoleのバージョンとビルドは、NetScalerのバージョンとビルドと同じかそれ以上である必要があります。たとえば、NetScaler Console 11.1ビルド61.7をインストールしている場合は、NetScaler 11.1ビルド60.14以前のバージョンがインストールされていることを確認してください。

SSL Insight 構成

次の要素を有効にした場合、SSL InsightメトリックはWeb Insightレポートに組み込まれます。

  • 各NetScalerインスタンスでWeb InsightのAppFlowを有効にします。
  • 各NetScalerインスタンスでULFDモードを有効にします。
  • 各NetScaler ADC インスタンスで必要なAppFlow パラメータを有効にします。

インサイトを有効にする

AppFlow機能は、NetScalerコンソールまたは各NetScalerインスタンスから有効にできます。

NetScaler コンソールからAppFlow 機能を有効にする

  1. [ インフラストラクチャ] > [インスタンス] に移動し、分析を有効にするNetScalerインスタンスを選択します。

  2. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  3. [ 仮想サーバーでの分析の設定 ] ページで、次の操作を行います:

    1. Web Insight を有効にする仮想サーバーを選択し、「 セキュリティと分析を有効にする」をクリックします。

      [セキュリティと分析を有効にする ] ウィンドウが表示されます。

    2. Web Insightを選択

    3. [ 詳細オプション] で、トランスポートモードとして [ ログストリーム ] または [ IPFIX ] を選択します

      NetScaler 12.0以前の場合、 IPFIXはトランスポートモードのデフォルトのオプションです 。NetScaler 12.0以降では、トランスポートモードとして[ ログストリーム ]または[ IPFIX ]を選択できます。

      IPFIX とログストリームの詳細については「 ログストリームの概要」を参照してください。

    4. 式はデフォルトでtrueです

    5. [OK]をクリックします

      web-insight

仮想サーバーの動作状態が[UP]以外の場合は、仮想サーバーでデータ収集を有効にできません。

NetScaler GUIを使用してAppFlow機能を有効にする

NetScaler インスタンスのGUIで、[ 構成 ]>[ システム ]>[ 設定]の順に選択し、[ 高度な機能の構成]をクリックし、[ AppFlow]を選択します。

ULFD モードを有効にする

仮想サーバーが構成されているNetScalerインスタンスでULFDモードを有効にすると、ULFDサーバーは分析データをNetScalerインスタンスからNetScalerコンソールにストリーミングします。

SSL Insight パラメータの有効化

NetScalerコンソールにSSLインサイトレコードを表示するには、各NetScalerインスタンスでいくつかのHTTPパラメーターを有効にする必要があります。

NetScaler 構成ユーティリティから SSL インサイトパラメーターを有効にする

  1. 構成 」>「 システム 」>「 AppFlow」に移動し、「 AppFlow設定の変更」をクリックします。

  2. HTTP ドメイン」、「HTTPホスト」、「HTTPメソッド」、「HTTPURL」、「HTTPユーザーエージェント」、「 HTTP コンテンツタイプ」のチェックボックスを選択します。

  3. OK」をクリックします。

    SSL insight

SSL Insight メトリックスの表示

NetScalerコンソールのSSLインサイトメトリックには、NetScalerインスタンスによって処理されるSSLトランザクションのパフォーマンスの詳細が表示されます。クライアント、サーバー、またはアプリケーションレベルの SSL Insight メトリック、および SSL 成功トランザクションと失敗トランザクションのメトリックスを表示できます。これらのメトリックを使用すると、NetScalerのHTTPS設定やSSL証明書設定を分析、最適化したり、パフォーマンスの問題を追跡したりできます。

注:

グループを作成するときに、グループに役割を割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てたりすることができます。NetScaler Consoleの分析では、仮想IPアドレスベースの認証がサポートされるようになりました。ユーザーは、権限のあるアプリケーション(仮想サーバー)のみのすべての Insightのレポートを表示できるようになりました。グループの詳細とグループへのユーザーの割り当てについては、「 NetScaler Consoleでのグループの構成」を参照してください。

NetScaler コンソールで SSL インサイトメトリクスを監視する

管理者として、以下の SSL メトリクスを表示できます。

  • アプリケーション。[ アプリケーション] > [ダッシュボード] に移動し、アプリケーションをクリックし、[ Web Insight ] タブを選択して詳細なメトリックスを表示します。詳細については、「 アプリケーション使用状況分析」を参照してください。

  • すべてのアプリケーション。[ アプリケーション] > [Web Insight ] に移動し、[ アプリケーション ] タブと [ クライアント ] タブをクリックして SSL メトリックを表示します。

ユースケース:SSL トランザクションの概要を取得する

次のユースケースは、SSL Insight を使用してさまざまな SSL パラメータの使用状況を評価し、セキュリティ対策を改善する方法について説明しています。

通信にSSLトランザクション(HTTPS)を使用するアプリケーションセットがあり、SSLコンポーネントを監視するようにNetScaler Consoleを構成したとします。最も注意が必要なアプリケーションに特に注意を払えるように、アプリケーションを頻繁に確認する必要があります。1 つのアプリケーションまたはすべてのアプリケーションの Web Insight ダッシュボードには、[SSL エラー] と [SSL **使用状況 ] の下に次の SSL**パラメーターの概要が表示されます。

  • SSL証明書

  • SSLプロトコル

  • SSL 暗号

  • SSLキーの強度

  • SSL 障害 — フロントエンド

  • SSL 障害 — バックエンド

    ssl-nsight5

各タブをクリックすると、詳細を表示できます。

ユースケース:クライアントの SSL メトリクス

クライアントのリスト (IP アドレスで識別) と、クライアントごとの合計発生数を確認できます。[ アプリケーション] > [Web Insight ] に移動し、[ クライアント ] タブを選択して [ SSL 使用状況] の下に詳細を表示します。

メトリックをクリックして詳細を表示し、[ クライアント] で任意のクライアント IP アドレスをクリックすると、選択したクライアントの SSL メトリックが表示されます。

SSL クライアントメトリック

SSL Insight