Citrix Application Delivery Management 13.0

SSL Insight

SSL Insightは、セキュアなWebトランザクション(HTTPS)を可視化し、IT管理者は、セキュアなWebトランザクションのリアルタイムおよび履歴の統合監視を提供することで、Citrix ADC によって提供されるすべてのセキュアなWebアプリケーションを監視できます。状態を把握することで管理者は以下の評価を行うことができます。

  • 構成変更による顧客使用への影響の判断: 管理者は、SSLv3 の電源を切ったり、RC4-MD5 のような暗号を削除するなど、構成変更を行った場合にクライアントへの影響を把握できます。そのためには、このプロトコルと暗号に関する履歴トランザクションデータを評価します。

  • クライアントのパフォーマンスを定量化: 管理者は、使用された SSL 暗号化/プロトコルまたはネゴシエートされた証明書に基づいて、アプリケーションの応答時間への影響を把握できます。

  • アプリケーションのセキュリティ: 低いセキュリティプロトコル、暗号、または弱いキー強度で実行されているトランザクションがあるアプリケーションがあるかどうかを評価します。

Citrix ADC インスタンスでSSLAnalyticsを有効にすると、SSL統計情報が記録され、SSLトランザクションごとに記録されます。この統計によりSSLフローの詳細が分かります。また、成功したすべての接続が記録され、Citrix Application Delivery Management(ADM) Analyticsによって表示されます。

SSL Insightは、Citrix ADM Analyticsによって表示される次の重要な情報を提供します。

  • ネゴシエートされた SSL プロトコルバージョン

  • ネゴシエートされた暗号と暗号強度

  • 使用された証明書の署名ハッシュアルゴリズム

  • 証明書の種類とサイズ

  • SSLフロントエンドとバックエンドのエラー

SSL 接続が成功すると、SSL AppFlow ロギングはすべてのトランザクションの最後に発生します。

前提条件

  • SSL Insightを構成するCitrix ADC インスタンスでは、Citrix ADC ソフトウェアリリース11.1 51.21以降が実行されている必要があります。11.1 51.21 を実行している ADC インスタンスで次のコマンドを実行して、SSL Insight のトランスポートタイプとして Logstream を有効にします。
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    バージョン 12.0以降を実行している ADC インスタンスの場合は、ADM から AppFlow を有効にしながら、トランスポートタイプとして Logstream を選択します。

  • Citrix ADM のバージョンとビルドは、Citrix ADC のバージョンとビルドと同等かそれ以上である必要があります。たとえば、Citrix ADM 11.1ビルド 61.7をインストールしている場合は、Citrix ADC 11.1ビルド 60.14以前がインストールされていることを確認します。

SSL Insightの構成

次の要素を有効にした場合、SSL InsightメトリックスはWeb Insightレポートに含まれます。

  • 各Citrix ADCインスタンスでWeb Insight用のAppFlowを有効にします。

  • 各Citrix ADC インスタンスでULFDモードを有効にします。

  • 各Citrix ADC インスタンスで必要なAppFlow パラメータを有効にします。

AppFlow 機能の有効化

AppFlow 機能は、Citrix ADMまたは各Citrix ADCインスタンスから有効にすることができます。

Citrix ADM からAppFlow 機能を有効にするには:

  1. [ ネットワーク ] > [ インスタンス] に移動し、分析を有効にするCitrix ADC インスタンスを選択します。

  2. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  3. 仮想サーバーを選択し、[ AppFlow を有効にする] をクリックします。

  4. 「AppFlow の有効化」フィールドに「 true」と入力し、「 Web Insight」を選択します。

  5. 各Citrix ADC インスタンスで手順3~6を繰り返します。

  6. [ OK] をクリックします

    ssl-insight1

仮想サーバーの動作状態が[UP]以外の場合は、仮想サーバーでデータ収集を有効にできません。

Citrix ADC GUIを使用してAppFlow 機能を有効にするには:

Citrix ADC インスタンスのGUIで、[ 構成 ]>[ システム ]>[ 設定]の順に選択し、[ 高度な機能の構成]をクリックし、[ AppFlow]を選択します。

SSL Insightパラメーターの有効化

Citrix ADC インスタンスごとに、一部のHTTPパラメーターを有効にして、Citrix ADM でSSL Insightレコードを表示する必要があります。

Citrix ADC 構成ユーティリティからSSL Insightパラメーターを有効にするには:

  1. 構成 」>「 システム 」>「 AppFlow」に移動し、「 AppFlow設定の変更」をクリックします。

  2. [ HTTP ドメイン]、[HTTPホスト]、[HTTPメソッド]、[HTTPURL]、[HTTPユーザーエージェント]、[ HTTP コンテンツタイプ]のチェックボックスをオンにします。  

  3. [ OK] をクリックします

    ssl-insight2

SSL Insightメトリックの表示

Citrix ADM SSL Insightメトリックは、Citrix ADCインスタンスが処理するSSLトランザクションのパフォーマンスを詳細に表示します。クライアント、サーバー、またはアプリケーションレベルのSSL Insightメトリック、および成功したSSLトランザクションおよび失敗したSSLトランザクションのメトリックを表示できます。これらのメトリックを使用して、Citrix ADC HTTPS設定とSSL証明書設定を分析して最適化し、パフォーマンスの問題を追跡できます。

注:

グループを作成するときに、グループに役割を割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てたりすることができます。Citrix ADM 分析では、仮想IPアドレスベースの認証がサポートされるようになりました。ユーザーは、権限のあるアプリケーション(仮想サーバー)のみのすべての Insightのレポートを表示できるようになりました。グループとグループへのユーザーの割り当てについて詳しくは、グループの構成を参照してください。

Citrix ADM でSSL Insightメトリックスを監視するには:

  1. Analytics 」タブで「Web Insight」に移動し、「 クライアント」、サーバー」、または「 アプリケーション 」ノードをクリックして、それぞれクライアント、サーバー、またはアプリケーションに関するメトリックを表示します。

  2. 左上のペインで、期間リストから、メトリックを表示する期間を選択します。期間は、スライダーを使用してカスタマイズできます。[Go] をクリックします。

  3. SSL Insightのメトリックが円グラフとして表示されます。このグラフはクリックして詳細を確認できます。

    円グラフには、すべてのアプリケーション、クライアント、またはサーバーのメトリックが表示されます。

    ssl-insight3

  4. 特定のアプリケーション、クライアント、またはサーバーの詳細を表示するには、棒グラフで対応する値をクリックします。

    ssl-insight4

  5. 失敗したSSLトランザクションを表示するには、[SSL]セクションのラジオボタンを選択します。

ユースケース:アプリケーション、クライアント、またはサーバーの SSL トランザクションの概要を取得します

次のユースケースでは、Security Insightを使用して、アプリケーション、クライアント、およびサーバーのさまざまなSSLパラメーターの使用状況を評価し、セキュリティ対策を向上させる方法を説明します。

通信にSSLトランザクション(HTTPS)を使用している一連のアプリケーションがあり、SSLコンポーネントを監視するようにCitrix ADM を構成しているとします。最も注意が必要なアプリケーションに特に注意を払えるように、アプリケーションを頻繁に確認する必要があります。SSL Insightダッシュボードには、選択した期間および選択したCitrix ADC デバイスについて、アプリケーションが使用するさまざまなSSLパラメータの概要が表示されます。これには、次の種類のアカウントがあります。

  • SSL証明書

  • SSLプロトコル

  • ネゴシエートされたSSL暗号

  • SSLキーの強度

  • SSL失敗 - フロントエンド

  • SSL失敗 - バックエンド

ssl-nsight5

次の例では、クライアントの一覧(IPアドレスで識別)とクライアントごとのSSLヒット数を確認できます。また、右側では、すべてのクライアントのSSLパラメーターを表示できます。

ssl-insight5

クライアントのSSL詳細を表示するには、棒グラフまたはグラフの下の表でクライアントを選択します。次の例では、選択したクライアントのトランザクションで SHA1 SSL 証明書と 4 つの主要なプロトコル (TLSv1.3、TLSv1.2、TLSv1.1、TLSv1、および SSLv3) を使用します。さまざまな強度の暗号がネゴシエートされたことが分かります。色付けによってSSLプロトコルの強度が示されており、弱い暗号と強い暗号に関する情報が分かります。

ssl-insight5

同様に、失敗した SSL トランザクションに関する情報を表示するには、[SSL] セクションのオプションボタンを選択します。SSL フロントエンドとバックエンドの障害は、2 つの円グラフで個別に表示されます。次の例では、主要なバックエンド SSL エラーはハンドシェイク失敗であり、主要なフロントエンド SSL エラーは無効なパラメータであることを確認できます。

SSL エラー