Citrix Application Delivery Managementサービス

SSL Insight

SSL Insightは、セキュアなWebトランザクション(HTTPS)を可視化し、IT管理者は、セキュアなWebトランザクションのリアルタイムおよび履歴の統合監視を提供することで、Citrix ADC によって提供されるすべてのセキュアなWebアプリケーションを監視できます。状態を把握することで管理者は以下の評価を行うことができます。

  • 構成の変更がお客様の使用状況に与える影響を特定します。管理者は、SSLv3 をオフにするか、RC4-MD5 のような暗号を削除するなど、構成変更を行った場合の、クライアントへの影響を理解できます。そのためには、このプロトコルと暗号に関する履歴トランザクションデータを評価します。
  • クライアントのパフォーマンスを定量化します。管理者は、使用された SSL 暗号/プロトコル、またはネゴシエートされた証明書に基づいて、アプリケーション応答時間への影響を把握できます。
  • アプリケーションセキュリティ。セキュリティが低いプロトコル、暗号、または弱いキー強度で実行されているトランザクションがあるアプリケーションがあるかどうかを評価します。

ADC インスタンスで SSL Analytics を有効にすると、SSL トランザクションごとに SSL 統計が記録され、ログに記録されます。この統計によりSSLフローの詳細が分かります。また、成功した接続はすべてログに記録され、Citrix Application Delivery Management(ADM)によって表示されます。

SSL Insightは、Citrix ADM Analyticsによって表示される次の重要な情報を提供します。

  • ネゴシエートされた SSL プロトコルバージョン
  • ネゴシエートされた暗号と暗号強度
  • 使用された証明書の署名ハッシュアルゴリズム
  • 証明書の種類とサイズ
  • SSL フロントエンドおよびバックエンドエラー

SSL 接続が成功すると、SSL AppFlow ロギングはすべてのトランザクションの最後に発生します。

前提条件

  • SSL Insightを構成するCitrix ADC インスタンスでは、Citrix ADC ソフトウェアリリース11.1 51.21以降が実行されている必要があります。11.1 51.21 を実行する ADC インスタンスで次のコマンドを実行して、SSL Insight トランスポートタイプとして Logstream を有効にします。
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    バージョン 12.0 以降を実行する ADC インスタンスの場合は、ADM から AppFlow を有効にしながら、トランスポートタイプとして Logstream を選択します。

  • Citrix ADM のバージョンとビルドは、Citrix ADC のバージョンとビルドと同等かそれ以上である必要があります。たとえば、Citrix ADM 11.1ビルド 61.7をインストールしている場合は、Citrix ADC 11.1ビルド 60.14以前がインストールされていることを確認します。

SSL Insightの構成

次の要素を有効にした場合、SSL InsightメトリックスはWeb Insightレポートに含まれます。

  • 各 ADC インスタンスで Web Insight 用の AppFlow を有効にします。
  • 各 ADC インスタンスで ULFD モードを有効にします。
  • 各 ADC インスタンスで必要な AppFlow パラメーターを有効にします。

インサイトの有効化

AppFlow 機能は、Citrix ADMまたは各ADCインスタンスから有効にできます。

Citrix ADMからAppFlow 機能を有効にする

  1. [ ネットワーク ] > [ インスタンス] に移動し、分析を有効にする ADC インスタンスを選択します。

  2. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  3. [ 仮想サーバーでの分析の設定 ] ページで、次の操作を行います。

    1. Web Insight を有効にする仮想サーバーを選択し、[ アナリティクスの有効化] をクリックします

      [ アナリティクスを有効にする ] ウィンドウが表示されます。

    2. Web Insightの選択

    3. [ 詳細オプション] で、トランスポートモードとして [ ログストリーム ] または [ IPFIX ] を選択します

      Citrix ADC 12.0以前の場合、 IPFIXはトランスポートモードのデフォルトのオプションです 。Citrix ADC 12.0以降では、トランスポートモードとして[ ログストリーム ]または[ IPFIX ]を選択できます。

      IPFIX および Logstreamの詳細については、「ログストリームの概要」を参照してください。

    4. 式はデフォルトでtrueです

    5. [OK]をクリックします。

      web-insight

仮想サーバーの動作状態が[UP]以外の場合は、仮想サーバーでデータ収集を有効にできません。

ADC GUIを使用してAppFlow 機能を有効にする

ADC インスタンスの GUI で、[ 構成 ] > [ システム ] > [ 設定] に移動し、[ 高度な機能の構成] をクリックし、[ AppFlow] を選択します。

ULFD モードの有効化

仮想サーバーが構成されているADCインスタンスでULFDモードを有効にすると、ULFDサーバーは分析データをADCインスタンスからCitrix ADMにストリームします。

SSL Insight パラメータの有効化

各 ADC インスタンスで、いくつかのHTTPパラメータを有効にして、Citrix ADMでSSL Insight レコードを表示する必要があります。

ADC構成ユーティリティからSSL Insight・パラメータを有効にする

  1. 構成 」>「 システム 」>「 AppFlow」に移動し、「 AppFlow設定の変更」をクリックします。

  2. [ HTTP ドメイン]、[HTTPホスト]、[HTTPメソッド]、[HTTPURL]、[HTTPユーザーエージェント]、[ HTTP コンテンツタイプ]のチェックボックスをオンにします。

  3. [OK] をクリックします。

    SSL insight

SSL Insight メトリックスの表示

Citrix ADM SSL Insight メトリックは、ADCインスタンスによって処理されるSSLトランザクションのパフォーマンスの詳細ビューを提供します。クライアント、サーバー、またはアプリケーションレベルの SSL Insight メトリック、および SSL 成功トランザクションと失敗トランザクションのメトリックスを表示できます。これらのメトリックの助けを借りて、ADC HTTPS 設定と SSL 証明書の設定を分析および最適化し、パフォーマンスの問題を追跡できます。

注:

グループを作成するときに、グループに役割を割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てたりすることができます。Citrix ADM 分析では、仮想IPアドレスベースの認証がサポートされるようになりました。ユーザーは、権限のあるアプリケーション(仮想サーバー)のみのすべての Insightのレポートを表示できるようになりました。グループとグループへのユーザーの割り当てについて詳しくは、Citrix ADMでのグループの構成を参照してください。

Citrix ADMでSSL Insight メトリックスを監視する

  1. [ 分析 ] タブで、[Web Insight] に移動し、[ クライアント]、[ サーバー]、または [ アプリケーション ] ノードをクリックして、クライアント、サーバー、またはアプリケーションに関するメトリックスをそれぞれ表示します。
  2. 左上のペインのメニューから、メトリックを表示する時間枠を選択します。期間は、スライダーを使用してカスタマイズできます。[Go] をクリックします。
  3. SSL Insightのメトリックが円グラフとして表示されます。このグラフはクリックして詳細を確認できます。

    円グラフには、すべてのアプリケーション、クライアント、またはサーバーのメトリックが表示されます。

    SSL インサイトを監視する

  4. 特定のアプリケーション、クライアント、またはサーバーの詳細を表示するには、棒グラフで対応する値をクリックします。

    特定の詳細を表示する

  5. 失敗したSSLトランザクションを表示するには、[SSL]セクションのラジオボタンを選択します。

ユースケース:アプリケーション、クライアント、またはサーバーの SSL トランザクションの概要を取得します

次のユースケースでは、Security Insightを使用して、アプリケーション、クライアント、およびサーバーのさまざまなSSLパラメーターの使用状況を評価し、セキュリティ対策を向上させる方法を説明します。

通信にSSLトランザクション(HTTPS)を使用している一連のアプリケーションがあり、SSLコンポーネントを監視するようにCitrix ADM を構成しているとします。最も注意が必要なアプリケーションに特に注意を払えるように、アプリケーションを頻繁に確認する必要があります。SSL インサイトダッシュボードには、選択した期間、および選択した ADC デバイスについて、アプリケーションが使用するさまざまな SSL パラメータの概要が表示されます。それらは以下のようにリストされています。

  • SSL証明書
  • SSLプロトコル
  • ネゴシエートされたSSL暗号
  • SSLキーの強度
  • SSL 障害 — フロントエンド
  • SSL 障害 — バックエンド

SSLトランザクション

次の例では、クライアントの一覧(IPアドレスで識別)とクライアントごとのSSLヒット数を確認できます。また、右側では、すべてのクライアントのSSLパラメーターを表示できます。

クライアントリスト

クライアントのSSL詳細を表示するには、棒グラフまたはグラフの下の表でクライアントを選択します。次の例では、選択したクライアントのトランザクションでSHA1 SSL証明書と4つの主要なプロトコル(TSLv1.2、TSLv1.1、TSLv1、SSLv3)が使用されています。さまざまな強度の暗号がネゴシエートされたことが分かります。色付けによってSSLプロトコルの強度が示されており、弱い暗号と強い暗号に関する情報が分かります。

SSL の詳細

同様に、失敗した SSL トランザクションに関する情報を表示するには、[SSL] セクションのオプションボタンを選択します。SSL フロントエンドとバックエンドの障害は、2 つの円グラフで個別に表示されます。次の例では、主要なバックエンド SSL エラーはハンドシェイク失敗であり、主要なフロントエンド SSL エラーは無効なパラメータであることを確認できます。

失敗したトランザクション

SSL Insight